本文发表于《大众科学》的前博客网络,反映了作者的观点,不一定反映《大众科学》的观点
最近,一位老同事安德鲁·罗戈伊斯基博士来到我们学校,为理学硕士学生讲授政府如何应对网络安全问题。罗戈伊斯基博士研究了政府与产业界之间的互动,他的演讲引出了一个关键问题,对此,人们的看法出人意料地各不相同。问题是什么?政府应该何时以及如何介入网络安全?
波士顿咨询集团于 2012 年 3 月发布的研究显示,英国是 G20 工业化国家集团中互联网中心程度最高的经济体。据估计,2010 年英国的互联网经济价值 1210 亿英镑,人均超过 2000 英镑。再加上互联网上每秒钟大约发现 20 个威胁的情况,英国政府将网络安全列为与恐怖主义并列的“一级威胁”也就不足为奇了。然而,认识到威胁与实际采取行动略有不同。
各国政府现在认识到,拥有安全的数字基础设施具有强大的经济优势。为了吸引企业进入你的经济体,你越来越需要证明你的国家是开展互联网业务的安全场所。博思艾伦在其网络中心指数中报告了各国的这一方面。
关于支持科学新闻
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您正在帮助确保有关发现和塑造我们当今世界的想法的具有影响力的故事的未来。
有趣的是,英国和美国被认为是开展互联网业务最安全的地方。这导致一些大型公司悄然逆转了最近将业务迁往发展中国家以降低成本的趋势。确保安全已成为政府与成本同等重要,甚至更重要的业务驱动因素。当一个国家因评级机构而失去其 AAA 信用评级时,这会成为头条新闻。我预测,在不久的将来,博思艾伦网络中心指数等措施也会受到类似的重视。
但是,为了确保安全的环境,政府的责任在哪里结束,企业的责任在哪里开始?2011 年 11 月,英国政府主办了首次关于网络威胁的政府间会议,并在会上发布了修订后的网络安全战略。除了讨论来自网络犯罪、间谍活动和战争的常见威胁外,会议还开始在政府层面就保护互联网上关键资产的责任归属展开辩论。当国家利益受到威胁时,保护责任主要在于国家,但在网络威胁的情况下,许多政府无能为力,原因有很多。
保护关键国家资产的一个重大困难是,互联网主要由私营公司或非政府组织运营。即使在公用事业等关键国家基础设施的情况下也是如此,这些基础设施很容易受到互联网攻击。支撑国家数字基础设施的大部分基础设施和服务都由惠普、富士通、IBM、Verizon、英国电信等私营公司运营。甚至用于构建在基础设施之上的关键技术也由包括谷歌、微软、苹果以及大量规模小得多的初创公司在内的私营公司开发,其中一些公司您可能从未听说过。这些公司产生的投资额远远超过政府的投资额。
例如,英国国家网络安全计划在四年内总共提供 6.5 亿英镑(10.1 亿美元)。这笔资金旨在成为政府与企业合作以及保护政府资产的计划的一部分。但是,当您想到网络安全公司赛门铁克仅在 2011 年就花费了 8.62 亿美元用于研发时,这笔钱就显得微不足道了。同样,微软在 2010 年花费了 87 亿美元,谷歌花费了 37 亿美元。个别政府的支出与他们习惯于多年采购系统而不是以互联网技术变化的速度采购系统之间的差距意味着政府发现很难与私营企业进行互动。
那么,政府针对这种情况采取了哪些应对措施呢?嗯,他们的行动方式截然不同。
例如,您可能会想象 2007 年对爱沙尼亚的全方位攻击会引发激烈的反应。相反,它促成了合作网络防御卓越中心(CCD COE)的成立。CCD COE 的目的是了解网络威胁的发展,从而预防这些攻击。这种方法得到了北约的全力支持。与此同时,欧盟成立了欧洲网络和信息安全机构(ENISA),作为信息安全领域信息、最佳实践和知识交流的中心。
其他国家政府采取了更具军事化的方法。2010 年 5 月,美国网络司令部(美国战略司令部的一部分)开始运作。网络司令部不仅负责指定国防部信息网络的运行和防御,还负责执行“全频谱军事网络空间行动”。同样,以色列总理本雅明·内塔尼亚胡在 2011 年 5 月宣布,该国将成立一个网络防御特别工作组,以保护以色列的重要基础设施免受网络攻击。
无论采取何种风格的方法,都出现了一个共同的主题:有效防御快速演变的威胁的关键是情报共享。罗戈伊斯基博士进行的研究表明,企业最希望从政府那里获得的是信息共享和提高意识。而且,情报是政府确实拥有的一项资源。
他们现在正在寻找方法来共享敏感信息,这些信息他们可能原本不愿共享,因为它可能会泄露信息来源,而是与直接受其影响的人共享。在美国,国防部于 2011 年启动了一项新的试点计划“国防工业基地网络试点”,其中与大约 20 家国防承包商或其商业互联网服务提供商共享机密威胁情报。虽然国防工业网络试点的最初范围是帮助保护政府网络,但不难想象这如何成为一个双向过程,尤其是在电力、交通和能源等领域。该计划的成功导致其在 2011 年 9 月扩展到包括更多私营组织。然而,这在公众意识中突显了军方参与保护互联网,关于应该由国土安全部还是国防部承担此类责任的争论仍在继续。无论如何,积极的方面是它正在发生。
在英国,私营部门不一定等待政府的指示。例如,几家大型银行成立了一个金融服务虚拟工作组。该工作组与伦敦警察厅合作,并尽可能快速地交流有关威胁和攻击的信息。事实证明,这是一种非常有效的方法,并促成了许多成功的起诉。英国高科技行业协会 Intellect 和 ADS 正在建立另一个信息交流平台。
2011 年臭名昭著的 Stuxnet 病毒的出现凸显了关键国家基础设施的脆弱性,这给所有从政府角度考虑互联网安全的人敲响了警钟。即使这仅仅是一个商业问题,网络安全(当然还有对其的认知)也可能会极大地影响一个国家在现代世界的命运。有人可能切断供水、照明和停止火车的事实让人们对什么是“稳定”国家有了完全不同的看法,并且肯定会影响任何试图决定是否将业务设在某个国家的人。
然而,很明显,与历史上许多对国家福祉的威胁不同,这种威胁只能通过政府和企业之间尽可能密切的合作来遏制。企业必须专注于确保这种情况发生,政府必须比以前更愿意分享其所知的信息。
就在本周有消息称,Duqu 病毒(Stuxnet 的邪恶之子)以新的变种形式在野外被发现,我们可以看到威胁正变得更加先进和更具持久性,也许最令人担忧的是,威胁变得更有针对性。各国政府和企业有一个相对较短的时间窗口来建立必要的机制来共享信息,以便能够足够快地采取行动以防止损害。对于那些不这样做的国家,他们将很快意识到,虽然过去人们“用脚投票”,但现在人们“用鼠标投票”,并且在互联网时代失去信任所需的时间比以往任何时候都要少得多。