9月4日至6日,首尔防务对话在首尔召开。会议结束时,有人提问,在未来20年内是否会发生导致大规模人员伤亡的网络攻击,与会的网络安全小组的五名专家中,有四人举手表示肯定。这表明了,如今这个无国界、无处不在、难以监管的互联网所蕴含的风险。
网络空间很大程度上是由商业公司创建的,而不是由政府基础设施提供商创建的。现在收集、分析和利用数据大多由私营企业完成而非政府。
网络领域作为一个相对较新的、人们知之甚少的前沿领域,在这里,先行者具有高度的风险承受能力。
风险的提出
数字化浪潮带来的风险是双刃剑——对联网设备日益增长的依赖,不仅会造成新的漏洞,也会形成新的攻击途径。
爱沙尼亚塔林大学网络安全管理教授奥蒂斯(Rain Ottis)说:“随着我们越来越多地将控制权交给智能系统、智能汽车以及我们体内的医疗设备,我们对网络的依赖也在增加。与此同时,网络攻击者们的攻击能力也在增强。”
各国政府已经意识到了这些风险。
欧盟共同安全与防务政策和危机应对机构的常务董事帕维尔?马谢伊?赫琴斯基(Pavel Maciej Herczynski)表示:“欧盟和我们的国家都对非国家行为体恶意使用信息通信技术感到担忧,而且越来越多的国家行为体也都开始恶意使用信息通信技术。”
“网络空间安全是治国之道,但当我们想到网络安全和国家战略,我们的环境中,有很多犯罪和支持活动的证据——IP中断,干预政治进程等等,“ 澳大利亚国防部战略政策部门的首席助理西莉亚补充说。
网络问题频出
波兰国防副部长Tomas Zdzikot表示,2015年,针对美国政府的网络攻击事件高达7.7万起,而且情况还在恶化。
网络空间也越来越被视为战场。他指出,2016年在华沙举行的北约峰会上,网络空间正式成为一个新的作战领域,要求军队进行相关规划和能力部署。
网络问题的另一个领域是网络犯罪。他指出,去年,在20个主要的工业化国家中,超过10亿人遭受了诸如身份盗窃或金钱盗窃等网络犯罪事件。
“网络犯罪的经济影响是毁灭性的——惊人的——数字只会越来越大,”赫琴斯基补充说。“你没有国界……追踪和起诉是极其困难的。”
然而,互联网无国界导致的问题远不止犯罪领域。“当国家利益、政治和意识形态发挥作用时,麻烦就开始了。”
第一道防线
在波兰,Zdzikot监督成立了一个专门的警察网络犯罪部门。“我相信建造防御措施是有效的。”但他补充说,网络安全的第一道防线在于个人。
“没有人会为你的网络安全负责。” 他说。“在你的组织、公司或办公室里,大多数员工都会认为这是‘IT人员’的责任,但事实上,这也是你的责任。”
合作是网络安全的关键,其中一个核心领域是公私合作——尤其是考虑到企业高管如今能够通过数字网络发挥的作用。
但是,国家也必须坚持监管控制。
赫琴斯基说:“国家不创造这种环境,但应由国家与私营部门和民间社会合作来规范环境。”
“没有人否认私营部门的作用,私营部门应该成为对话的一部分,但是我们不应该忘记政府的责任。私营部门受商业驱动,而政府有责任保护。”
跨境合作
鉴于互联网无国界性,跨境合作同样至关重要。这在一定程度上与硬件有关。
在谈到组件安全问题时,Zdzikot表示:“全世界都在讨论安全供应链,尤其是在5G领域。当然,最好的办法是拥有自己的技术,但总是靠自己单打独斗时不现实的,所以下一步是与盟友和志同道合的国家合作。”
在国际公约方面,《欧洲理事会网络犯罪公约》,又称《布达佩斯公约》,是各国制定打击网络犯罪国家法律的指南,是各国开展国际合作的框架。大约有70个国家加入这一公约。
除了制裁,还有军事行动。Zdzikot说:“我们的任务是在武装部队内部建立打击混合威胁的能力。”
发现漏洞
在评估网络战略时,企业、组织和国家需要借鉴军事经验,进行军事演习。
“你怎么知道你的策略有效?把它写在纸上或向媒体宣布是一回事,但到了紧要关头,它真的会起作用吗?” 奥蒂斯问道。“我们应该设置一个练习,向执行你的策略的人抛出一些场景,看看哪里出了问题。”
这些行为的目的是为了找出这些策略哪里有问题,以便填补漏洞,找出漏洞存在的地方和责任所在。
总的来说,尽管网络安全方面的资源和利益不断增加,但前景仍然十分危险。奥蒂斯建议,应该积极主动的应对风险。
与此同时,传统的问责制和权力机制正在受到侵蚀。
奥蒂斯警告说,人类正走向“一个非常反乌托邦的环境,在那里,我们周围和内部将有数千亿台设备,我们不知道它们在做什么,谁在控制它们。我不认为我们想去那里,但我们正朝着那个方向稳步前进。”
