网络攻击透明化才刚开始。保护网络安全,需要信息分享、快速警示,利益相关方应该加强合作。网络攻击如同恐怖袭击,我们无法承担输给黑客的后果。
有关网络威胁的讨论终于公开化了。多年来,各国政府一直都把因网络攻击而蒙受的损失当做机密信息,而私营领域也对这种损失缄口不言,以免吓走客户和投资者。
近期的高调网络攻击,例如《纽约时报》、《华尔街日报》(The Wall Street Journal)和美联储(U.S. Federal Reserve)等所遭受的那些,都只是冰山一角。无论网络攻击是随机的,还是有目标的,无论是否成功,其数量都越来越多,多到了改变观念的地步:我们意识到,透明度和知识共享可以加强保护,并且提高安全性。
偷盗个人信息或知识产权等恶意网络行为,虽然目前造成的损失主要是经济上的,但是损失非常巨大。而且,网络攻击与其他任何一种恐怖袭击一样,都有可能毁坏关键基础设施,并制造前所未有的灾难。
去年,德国电信(Deutsche Telekom)开始公布网络攻击信息(我是这家公司的首席执行官)。为了把这种做法制度化,我们与慕尼黑安全会议(Munich Security Conference)携手举办了一次有德国主要产业参与的网络安全峰会(Cyber Security Summit)。峰会得到了积极响应,我们也因此备受鼓舞,决定在2013年举行一场后续峰会。
“邻里互助”制度是网络防卫成功的关键。我们需要建立“单点联系人”体系,以迅速示警并在所有产业之间交换信息。关于这一点,有个好榜样是信息科技领域的社区紧急事态应对小组(Community Emergency Response Team)机制。为了增进我们对危险的了解,我们正在开发一种“实时情景监控”功能,可以真正监控重大网络攻击。在攻击发生时分享信息,能使我们实时更新安全措施。
网络攻击透明化才刚刚开始,我们需要加速这项工作。攻击者集合多股力量进行攻击,他们利用的就是这种优势。他们把几万个电脑系统的力量聚合在僵尸网络之中,以发动大规模攻击。
为什么我们在保护网络安全时不使用这种策略呢?自愿分享信息是这种协作的一个组成部分;另一部分就是共享专家技术等现有的资源,使我们的防卫更加强大有效。
各产业基本上都愿意竭尽所能保卫网络安全。其他利益相关方也需要完成自己的任务。各产业的担心是,法律法规未能与技术发展同步,在攻击和守卫领域都是如此。
一套广为接受的基本交通规则保护着我们的高速公路和交通。对于信息高速公路,我们也要有类似的国际社会认可的规则。我们必须明确标准及功能,以保证数字世界的安全与和谐。德国安全标准“智能电表”(smart meters)就是一个好例子。这种制度用于监测能耗,并开出账单。
这对IT产业来说并不容易。在欧洲,网络供应商的数量非常多,这使得他们很难找到一个共同出发点。透明和信息共享在这里也很关键:有效执行这些规矩和标准,都要依赖关于弱点的反馈报告,以及攻击数量、质量和来源的有关数据。只有能够衡量问题时,才能解决问题。
互联网生态系统的全部利益攸关方都应该加入这个“网络安全集体联盟”。对于网络安全,软硬件供应商有着和基础设施供应商同样的责任,必须有所作为。一旦厂商供应了一种具有弱点的产品,我们就几乎不可能达到足够的安全水平。在这一点上,IT业需要反思。消费者会越来越看重网络安全。
但是,作为网络安全中最薄弱的一环,终端用户也必须负起责任。房屋拥有者出门时会确保财产安全;因特网用户也必须同样勤谨地保护数字资产。如果所有用户都保证他们的IT系统及时更新,多数攻击不会成功。
最后,我们必须加速网络安全创新。在互联网的最初设计阶段,安全并非首要考虑因素。如今,移动网络、智能电网及云计算等新技术不断进步,网络的连接性也越来越强。这些都为各种重大威胁打开了大门。所以,我们的防卫能力需要灵活且有力。
那些灵活的、具有创造力的、熟谙技术的创业公司常常最善于应对新的网络袭击。我们需要与他们合作,为他们提供适当的风险投资。
长远来看,我们不能落后于坏人,因为我们无法承担相关后果。当然,正如我们无法根除犯罪,我们也无法清除网络攻击。但是我们至少可以把控制网络攻击作为目标。否则,在这场威胁到我们的财产、公共安全,并最终威胁到我们国家安全的战斗中,我们将处于不利位置。
from 纽约时报中文网 http://cn.nytimes.com/tools/r.html?from=RSS&url=http%3A%2F%2Fcn.nytimes.com%2Farticle%2Fopinion%2F2013%2F02%2F22%2Fc22obermann%2F&cid=