本文發表於《大眾科學》的前部落格網路,反映了作者的觀點,不一定反映《大眾科學》的觀點
最近,一位老同事安德魯·羅戈伊斯基博士來到我們學校,為理學碩士學生講授政府如何應對網路安全問題。羅戈伊斯基博士研究了政府與產業界之間的互動,他的演講引出了一個關鍵問題,對此,人們的看法出人意料地各不相同。問題是什麼?政府應該何時以及如何介入網路安全?
波士頓諮詢集團於 2012 年 3 月釋出的研究顯示,英國是 G20 工業化國家集團中網際網路中心程度最高的經濟體。據估計,2010 年英國的網際網路經濟價值 1210 億英鎊,人均超過 2000 英鎊。再加上網際網路上每秒鐘大約發現 20 個威脅的情況,英國政府將網路安全列為與恐怖主義並列的“一級威脅”也就不足為奇了。然而,認識到威脅與實際採取行動略有不同。
各國政府現在認識到,擁有安全的數字基礎設施具有強大的經濟優勢。為了吸引企業進入你的經濟體,你越來越需要證明你的國家是開展網際網路業務的安全場所。博思艾倫在其網路中心指數中報告了各國的這一方面。
關於支援科學新聞
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保有關發現和塑造我們當今世界的想法的具有影響力的故事的未來。
有趣的是,英國和美國被認為是開展網際網路業務最安全的地方。這導致一些大型公司悄然逆轉了最近將業務遷往發展中國家以降低成本的趨勢。確保安全已成為政府與成本同等重要,甚至更重要的業務驅動因素。當一個國家因評級機構而失去其 AAA 信用評級時,這會成為頭條新聞。我預測,在不久的將來,博思艾倫網路中心指數等措施也會受到類似的重視。
但是,為了確保安全的環境,政府的責任在哪裡結束,企業的責任在哪裡開始?2011 年 11 月,英國政府主辦了首次關於網路威脅的政府間會議,並在會上釋出了修訂後的網路安全戰略。除了討論來自網路犯罪、間諜活動和戰爭的常見威脅外,會議還開始在政府層面就保護網際網路上關鍵資產的責任歸屬展開辯論。當國家利益受到威脅時,保護責任主要在於國家,但在網路威脅的情況下,許多政府無能為力,原因有很多。
保護關鍵國家資產的一個重大困難是,網際網路主要由私營公司或非政府組織運營。即使在公用事業等關鍵國家基礎設施的情況下也是如此,這些基礎設施很容易受到網際網路攻擊。支撐國家數字基礎設施的大部分基礎設施和服務都由惠普、富士通、IBM、Verizon、英國電信等私營公司運營。甚至用於構建在基礎設施之上的關鍵技術也由包括谷歌、微軟、蘋果以及大量規模小得多的初創公司在內的私營公司開發,其中一些公司您可能從未聽說過。這些公司產生的投資額遠遠超過政府的投資額。
例如,英國國家網路安全計劃在四年內總共提供 6.5 億英鎊(10.1 億美元)。這筆資金旨在成為政府與企業合作以及保護政府資產的計劃的一部分。但是,當您想到網路安全公司賽門鐵克僅在 2011 年就花費了 8.62 億美元用於研發時,這筆錢就顯得微不足道了。同樣,微軟在 2010 年花費了 87 億美元,谷歌花費了 37 億美元。個別政府的支出與他們習慣於多年採購系統而不是以網際網路技術變化的速度採購系統之間的差距意味著政府發現很難與私營企業進行互動。
那麼,政府針對這種情況採取了哪些應對措施呢?嗯,他們的行動方式截然不同。
例如,您可能會想象 2007 年對愛沙尼亞的全方位攻擊會引發激烈的反應。相反,它促成了合作網路防禦卓越中心(CCD COE)的成立。CCD COE 的目的是瞭解網路威脅的發展,從而預防這些攻擊。這種方法得到了北約的全力支援。與此同時,歐盟成立了歐洲網路和資訊安全機構(ENISA),作為資訊安全領域資訊、最佳實踐和知識交流的中心。
其他國家政府採取了更具軍事化的方法。2010 年 5 月,美國網路司令部(美國戰略司令部的一部分)開始運作。網路司令部不僅負責指定國防部資訊網路的執行和防禦,還負責執行“全頻譜軍事網路空間行動”。同樣,以色列總理本雅明·內塔尼亞胡在 2011 年 5 月宣佈,該國將成立一個網路防禦特別工作組,以保護以色列的重要基礎設施免受網路攻擊。
無論採取何種風格的方法,都出現了一個共同的主題:有效防禦快速演變的威脅的關鍵是情報共享。羅戈伊斯基博士進行的研究表明,企業最希望從政府那裡獲得的是資訊共享和提高意識。而且,情報是政府確實擁有的一項資源。
他們現在正在尋找方法來共享敏感資訊,這些資訊他們可能原本不願共享,因為它可能會洩露資訊來源,而是與直接受其影響的人共享。在美國,國防部於 2011 年啟動了一項新的試點計劃“國防工業基地網路試點”,其中與大約 20 家國防承包商或其商業網際網路服務提供商共享機密威脅情報。雖然國防工業網路試點的最初範圍是幫助保護政府網路,但不難想象這如何成為一個雙向過程,尤其是在電力、交通和能源等領域。該計劃的成功導致其在 2011 年 9 月擴充套件到包括更多私營組織。然而,這在公眾意識中突顯了軍方參與保護網際網路,關於應該由國土安全部還是國防部承擔此類責任的爭論仍在繼續。無論如何,積極的方面是它正在發生。
在英國,私營部門不一定等待政府的指示。例如,幾家大型銀行成立了一個金融服務虛擬工作組。該工作組與倫敦警察廳合作,並儘可能快速地交流有關威脅和攻擊的資訊。事實證明,這是一種非常有效的方法,並促成了許多成功的起訴。英國高科技行業協會 Intellect 和 ADS 正在建立另一個資訊交流平臺。
2011 年臭名昭著的 Stuxnet 病毒的出現凸顯了關鍵國家基礎設施的脆弱性,這給所有從政府角度考慮網際網路安全的人敲響了警鐘。即使這僅僅是一個商業問題,網路安全(當然還有對其的認知)也可能會極大地影響一個國家在現代世界的命運。有人可能切斷供水、照明和停止火車的事實讓人們對什麼是“穩定”國家有了完全不同的看法,並且肯定會影響任何試圖決定是否將業務設在某個國家的人。
然而,很明顯,與歷史上許多對國家福祉的威脅不同,這種威脅只能透過政府和企業之間儘可能密切的合作來遏制。企業必須專注於確保這種情況發生,政府必須比以前更願意分享其所知的資訊。
就在本週有訊息稱,Duqu 病毒(Stuxnet 的邪惡之子)以新的變種形式在野外被發現,我們可以看到威脅正變得更加先進和更具永續性,也許最令人擔憂的是,威脅變得更有針對性。各國政府和企業有一個相對較短的時間視窗來建立必要的機制來共享資訊,以便能夠足夠快地採取行動以防止損害。對於那些不這樣做的國家,他們將很快意識到,雖然過去人們“用腳投票”,但現在人們“用滑鼠投票”,並且在網際網路時代失去信任所需的時間比以往任何時候都要少得多。