你是否看到过关于冠状病毒期间网络犯罪大幅增加的报告:勒索软件增加90%,数据泄露增加223%? 是否注意到 推特上的许多主要账户被黑客入侵?如果是这样,你可能会感到似曾相识。如果你在2009年上网,你就会听说网络犯罪翻了一番。你也会听说网络犯罪的增长以及警察部门正在增加人员来阻止它。
我们大多数人可能觉得我们需要做很多事情来保护自己在网上。不断更改密码,输入两因素身份验证代码来登录网站,更新我们的计算机,甚至可能运行防病毒软件。需要遵循的安全建议清单不断增加:研究人员最近记录了超过400条独特的在线安全和隐私建议。为了帮助你掌握最新情况,你甚至可以注册接收每日安全建议电子邮件。
为什么我们在数字安全方面不断投入精力,但网络犯罪却持续上升?事实证明,即使是提出这些建议的安全专家,也不知道你该怎么做才能免受那些耸人听闻的新闻报道中的犯罪侵害。
关于支持科学新闻
如果你喜欢这篇文章,请考虑订阅我们的屡获殊荣的新闻报道,以支持我们。 订阅。通过购买订阅,你正在帮助确保有关当今塑造我们世界的发现和想法的有影响力的故事的未来。
安全建议的论点似乎很明确。与需要近距离接触的实体犯罪不同,网络犯罪使攻击者可以全球范围地攻击。美国绿树成荫的郊区的居民通常不必担心半个世界之外的犯罪团伙,但网络犯罪改变了这一点。互联网将来自世界各地的罪犯带入一个共享空间,极大地增加了可能攻击你的人数。正如安全专家布鲁斯·施奈尔所写,“在网络空间中,你可以设置你的计算机来寻找千分之一的机会。你每天可能会找到几十个。”为了打击这种网络犯罪,我们被要求采取越来越多的安全措施来保护我们的计算机和帐户。
你可能会认为,有大量的证据表明,如果你按照指示去做——使用强密码、运行防病毒软件——你将大大降低遭受网络犯罪的风险。
不幸的是,你就错了。尽管数字安全建议很突出,但我们对其有效性的了解却非常少。在医学领域,新的治疗方法和健康行为建议必须经过严格的临床研究,然后医生才开始向患者提出建议。然而,对于在线安全——我们很多人在上面花费的时间比在身体健康上花费的时间还要多——却几乎没有这样的证据。
冠状病毒使我们了解了做出基于证据的决策并在我们了解更多信息时调整这些决策的重要性。例如,我们对哪些类型的聚会具有风险的理解
以及佩戴口罩的重要性已经随着新信息的出现而改变和调整。然而,无论需求多么迫切,我们都不会在明确证明其有效性之前发布疫苗,甚至建议使用口罩。
大多数网络防御的效果如何?答案是“我们不知道”。每当发现一种新的可能的数字攻击时,就会出现新的建议来预防它;即使发生该攻击的可能性极小。例如,仅在过去六个月中,就已经制定了新的安全建议清单,以帮助你免受接触者追踪诈骗、刺激付款诈骗和 失业救济诈骗的侵害,尽管没有已知证据表明这些攻击的普遍性和持久性。
有关在线诈骗以及如何应对的主要信息来源是安全专家。但是,这些专家提供的建议被证明随着时间推移不一致,并且在专家之间也存在不一致。甚至专家也难以确定哪些安全建议最重要。最近的研究发现,41位安全专家被要求对数百条安全和隐私建议进行评分,结果将118条独特的建议归类为人们保护自己时需要做的“最重要的五件事”之一!
向安全专家询问强密码的重要性,你可能会听到关于密码短语、长度和组成对攻击者需要进行的猜测次数的影响,以及计算机每秒可以进行数十亿次密码猜测的信息。你肯定不会听到任何数据表明,选择更强密码的人比使用弱密码的人做得更好。
为什么不呢?首先,我们对个人互联网用户面临的风险水平知之甚少。我在明年成为网络犯罪受害者的可能性有多大?答案尚不清楚。为什么?因为许多关于网络犯罪损失的估计都涵盖了企业而非消费者的成本,并且对消费者损失进行调查的尝试通常方法存在缺陷,以至于我们无法相信结论。如果你问任何医生,她可以给你一个相当精确的估计,即在明年将有多少人患上癌症。如果你问任何安全专家,她将很难给出一个数据驱动的估计,即在同一时期有多少人的推特帐户会被泄露。
其次,我们没有证据表明专家建议的特定安全行为在多大程度上预防了特定的在线风险。我们所拥有的是一个不连贯且不断增长的行动集合,其目标是针对一个模糊的危害集合。
事实证明,我们所有人——甚至安全专家——都没有关于我们应该做什么才能在网上保持安全的可靠数据。现在,这并不意味着我们什么都不能做,或者忽略威胁是可取的。但是,支持我们应该做什么才能在网上保持安全的证据远未达到我们对医学和其他领域的期望标准。因此,你可以停止为没有听取每一条在线安全建议而感到内疚:如果你怀疑并非所有这些建议都是必要的,那么你就没有错。而数字安全专家可以将此视为一个号召,以赶上数据驱动的证据标准:如果你有数据支持,那么改变数十亿人的行为就容易得多。