本文發表於《大眾科學》的前部落格網路,反映了作者的觀點,不一定代表《大眾科學》的觀點
隨著颶風的加劇,不難想象這樣的情景:現在是十月初,天氣頻道正在廣泛報道一場颶風,它將在五天後襲擊美國東海岸。現在,它只是古巴附近的某個熱帶風暴。我們是如何知道的?100多年前,國際社會認識到,為了應對和解決潛在風險,各國、各地區和各半球分享天氣相關資訊和技術對所有人都有益。即使在冷戰最嚴酷的年代,蘇聯和美國也互相以及向世界其他地區報告天氣模式。
這是一個持續的國際合作以促進共同利益的顯著例子,為了就公共安全、農業、民用安全、交通和保險做出正確的決策。
這與網路安全有什麼關係呢?一切都有關係。
支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保未來有關塑造我們當今世界的發現和想法的有影響力的故事。
網路攻擊有時似乎幾乎憑空出現,摧毀企業並削弱各級政府。但是,與極端天氣事件一樣,也存在預警訊號——如果人們知道在哪裡尋找這些訊號以及向誰報告任何可疑事件。三週前德國機場的可疑活動可能會變成明天在肯尼迪國際機場全面爆發的勒索軟體問題——導致飛機停飛、股價暴跌,在最壞的情況下,甚至會造成生命損失。這些型別的網路挑戰將推動21世紀的問題。
為了保護人民和幫助企業,執行董事會和全球社會需要適應新的網路驅動的現實;為了做出好的決策,高管和全球社會需要擁有準確和及時的資料。
從技術行業和國際政策這兩個不同的角度來看,我們清楚地認識到,企業、政府之間以及跨國界的網路資訊共享是正確的解決方案。它可以像今天氣象資訊的交流一樣有效。
與有關危險天氣模式的資料不同,網路資料,以及我們可以從中收集的經驗教訓和預測,並沒有被廣泛分享。事實上,資訊囤積是常態。
這種孤島式的網路資料方法最終可能是致命的。這就是為什麼20多年前,美國開始成立資訊共享和分析中心(ISACS),以促進關鍵基礎設施(如金融、石油和天然氣以及國防工業基礎)的資訊共享。ISACS是非營利組織,負責收集、分析和傳播成員之間可操作的網路威脅資訊,提供工具以降低風險並增強彈性。
我們需要做什麼
我們需要開始將天氣跟蹤和報告模式推廣到一切事物。目標應該是努力建立一個致力於共享網路情報的國際聯盟或組織,就像我們用於天氣的組織一樣。但邁向該系統的第一步是讓企業,從工程師到董事會,都意識到情報共享符合他們的最佳利益,也符合所有人的最佳利益。
如果要使公司和公共機構切實可行,政府首先需要解決對報復的恐懼。監管機構應提供足夠的周旋空間,並且在報告攻擊時不要過於迅速地扣動扳機。應提供某種形式的安全港或法律豁免。否則,如果公司因共享情報和與洩露相關的資料而受到懲罰,那麼實際上幾乎沒有動力去共享這些資料。
駭客夏令營,拉斯維加斯的三大安全會議(Black Hat、DEFCON 和 BSides)剛剛向世界介紹了又一個微軟漏洞,這次讓未打補丁的使用者面臨攻擊。這肯定讓人聯想到沿海城市深處颶風季節的感覺。公司一直在考慮2019年下半年的規劃,而2020年預算的決策也即將到來。信任及其缺失,在公司的聲譽和成功中扮演著比以往更大的角色。
世界經濟論壇的一項研究清楚地表明,客戶希望安全的系統,不僅能保護他們及其資訊免受任何當前漏洞的侵害,還能免受任何未來變異的侵害。研究表明,93%的高管願意為安全性更好的裝置平均多支付22%的費用。這不僅僅關乎最新的技術。還關乎該技術有多安全。優先考慮網路安全的董事會有機會在行業中區分他們的公司和董事會本身。網路安全可以成為業務推動者,但如果不得到文化、員工和技術戰略投資的支援,那將只是空談。
世界上沒有哪個系統是完全密不透風的。連線性每天都在更深入地滲透到我們的業務和生活中。5G、物聯網和雲採用已成為每個具有競爭力的業務不可或缺的一部分。無論在最新的安全工具上花費多少,連線到網際網路都是一種風險。如果你住在東海岸,颶風最終會在你家附近登陸。目標是做好準備——建造更堅固的建築物,購買洪水保險,制定疏散計劃。但最重要的是,為了拯救生命,需要共享允許你預測時間和損失的資訊。
對於網路事件,同樣的道理也成立。投資於收集、分析和警告威脅的系統,以及可以制定最佳實踐和緊急響應計劃的組織,以應對不可避免的事件。定期進行模擬演練。不斷更新計劃和系統,因為威脅總是在不斷演變。最重要的是,廣泛分享經驗教訓。天氣不Recognize邊界;網路攻擊也不Recognize邊界。
資訊共享是每個人的責任。工程師需要報告並聽從警告。最重要的是,董事會需要接受並培養網路安全文化。客戶需要要求安全性。政府需要更加開放。我們每個人都需要關心。如果我們繼續像現在這樣,將資訊緊緊抱在懷裡,那麼第一次因網路事件造成的死亡將會發生。這只是時間問題。國際社會過去曾走到一起,使世界更安全。我們能再次做到。