 |
| 2018年RSA安全大會在美國舊金山舉辦,吸引了超過45000名安全行業的人員參與。 |
5月1日,Facebook創始人及CEO扎克伯格在年度開發者大會F8上宣布:Facebook將推出“一鍵清除歷史”功能,用戶只要選擇“清除歷史”,就能清除在Facebook上的瀏覽記錄。
這一舉措從隱私保護角度來看,是Facebook在“劍橋分析”曝光泄露8000萬用戶數據和被國會聽證會質詢后對用戶做出的一大讓步,也是互聯網企業面對越來越受民眾關注的信息安全的重視。
嚴峻的信息安全
近來,勒索軟件、個人信息泄露、物聯網攻擊、比特幣盜竊、電信詐騙,以及國家間的網絡間諜戰等網絡安全事件屢成話題:2017年全球爆發的WannaCry勒索病毒使得150個國家、30萬用戶中招,造成數十億美元損失;美國最大征信機構之一Equifax聲明由于網站漏洞導致1.43億消費者信息泄露;雅虎承認30億賬戶全部泄露;比特幣挖礦平臺NiceHash超過4700枚比特幣被盜。
據美國在線信任聯盟(OTA)的統計,涉及商業攻擊的網絡安全事件幾乎翻番,從2016年的約8.2萬起升至2017年的大約16萬起事件。報告還稱,由于大量安全安全事件從未報告,攻擊總數實際上可能高達35萬。
美國咨詢公司Cybersecurity Ventures稱,網絡犯罪活動是人類未來二十年將面臨的最大挑戰之一。據Cybersecurity Ventures預測,從2017年到2021年,未來五年,網絡安全產品和服務的全球支出將累計超過1萬億美元。2021年全球因網絡犯罪導致的損失達6萬億美元。也難怪匯聚全世界超4.5萬安全專家和行業人員的信息安全峰會RSA將今年的主題定為“現在很重要”(Now Matters)。
兩周前在美國舊金山閉幕的RSA大會上,美國國土安全部部長尼爾森(Kirstjen Nielsen)說, “數字威脅數倍于我們防護的速度”,“從網絡攻擊數量上來看,去年是最嚴重的一年。”她援引Cybersecurity Ventures的數據,到2021年因網絡犯罪導致的損失達6萬億美元,這幾乎達到世界經濟的10%。
據中國國家信息安全研究院2017年發布的報告,全球網絡空間安全威脅加劇的表現有幾方面,一是針對關鍵信息基礎設施的攻擊不斷增長;二是利用物聯網設備實施的網絡攻擊事件頻發;三是勒索軟件病毒呈現爆發性增長態勢;四是電子郵件所導致的安全危害愈發嚴重。
360企業安全集團總裁吳云坤說:“之前我們是旁觀者,會認為都是黑客對黑客的行為,現在我們都是受害者。”尤其是一些針對企業或者機構的勒索帶來的危害也更具體。比如2月24日湖南省兒童醫院信息系統遭受黑客攻擊,植入勒索病毒,對醫院信息系統服務器文件進行了加密,導致系統大面積癱瘓,院內診療流程無法正常運轉。
在吳云坤看來,現在的安全分為低位、中位和高位三個層面:高位就是云端層面,中位是操作中心,低位是軟件。如果從安全防護角度來看歸結起來就是三句話“新戰場新打法,比如云安全;老戰場新打法,原來的終端還在,用數據分析去解決;三是回歸本源,重新梳理IT技術架構”。“360在2015年提出數據驅動安全,致力于用大數據方法解決數字化時代的網絡安全和業務安全問題。”
全球協作的可能
面對嚴峻的信息安全態勢,世界各國、各組織和相關企業在探尋全球合作的可能。
美國東西方研究所全球副總裁、原美國國土安全部網絡安全部門副部長Bruce W. McConnell說,各國只有協同合作、協同發展,才能共同建立安全的網絡空間。
云安全聯盟CSA創始人、全球首席執行官吉瑞威(Jim Reavis)告訴記者:“信息安全,尤其是云安全需要各個公司和各個國家合作來推動。”他說,云計算是全球性的計算應用,隨著云計算技術的不斷成熟,越來越多的業務都在向云上遷移。與此同時,針對云的攻擊事件也顯著增多。如何加強云安全領域的合作以及建成云安全的行業標準成為各方努力的方向。
微軟公司總裁布拉德·史密斯(Brad Smith)在今年的RSA上說:“我們意識到自己生活在一個新時代、一個擁有新式武器的世界中,網絡空間成為了新的戰場。”2017年發生的影響極壞的多起網絡攻擊事件給科技公司指明道路——“合作起來采取有效措施來保護全球的消費者”。
在RSA大會期間,包括微軟、Facebook、思科、甲骨文及賽門鐵克等在內的34家全球技術和安全公司簽署了一個集體網絡安全技術協議。參與公司承諾:加強對網絡攻擊的防御,并在全球范圍內為每個用戶提供保護,無論網上攻擊的動機如何;不會幫助政府對無辜公民和企業發起網絡攻擊,在技術開發、設計和部署的每個階段防止其產品和服務遭到篡改或利用;為用戶提高自我保護能力提供更多幫助,在產品和服務中聯合部署新的安全功能;采取集體行動,加強技術合作,協調漏洞披露,分享威脅并最大限度地減少惡意代碼引入網絡空間的可能性。
如果說這個網絡安全技術協議是企業在信息安全方面主動行動的縮影,那么5月25日生效在即的歐盟《通用數據保護條例》(GDPR)則是強制性協作的體現。
GDPR強化了對公民隱私權的保護,明確了公民獲取、修改、刪除個人信息的權利,并且引入了懲罰機制。關鍵是,該法規不僅直接適用于全體歐盟成員國,還對所有為歐盟提供服務的企業一視同仁,不論該企業是否設在歐盟境內。正因此,該法規受到了世界互聯網企業的普遍關注。
在吳云坤看來,GDPR是國家/國際/國民“三視角理論”的典型體現:國家要保護國民的隱私安全,國際公司要遵循當地的法律,歐盟擔心跟美國在數據方面的競爭。他說,全球黑產目前是安全行業共同面對的挑戰,其次是國家間的網絡戰。國際之間既有競爭對抗也需要面對黑產來進行合作。
“三視角理論”由觀潮論壇主席、國家創新與發展戰略研究會副會長郝葉力提出。她說,國家/國際/國民各行為體都在堅持自身利益的最大化,但網絡的開放性和全球性,讓后兩個行為體的重要性在凸顯。郝葉力在RSA大會期間的觀潮晚宴上說,“如果我們把人類命運共同體作為新時代、新空間的一個世界觀,要使這樣世界觀落地,一定要有與之相稱的方法論。這個方法論應該是三視角下的網絡主權的對立統一。”
