網絡安全狀況已越發復雜,2018年1月,世界經濟論壇強調,經濟越來越依賴互聯網和數字信息,網絡攻擊和數據詐騙已經分別成為2018年全球第三和第四最嚴重的威脅源。
網絡危機與金融危機
網絡威脅的系統維度越來越明顯,對于大規模威脅的理解以及如何應對這類威脅,或可從全球另一類大規模破壞——金融危機——中借鑒經驗。
互聯網和全球金融系統之間存在令人驚訝的相似之處,二者都網絡傳送信息和資金,為經濟提供血液。理論上講,一次金融危機和一次潛在的網絡危機有三點相似:
一、起因:一些過于冒險的經紀導致了漏洞累積,而這些漏洞最終由于彼此之間的關系轉化為系統性風險。
二、發展:在比較薄弱的節點可出現中斷,幾天甚至是幾小時后,中斷會蔓延到整個系統。
三、結果:如果雙方失去信任,參與方彼此切斷往來,導致交易乃至整個經濟陷入停滯。
可以部署政策響應來解決這些問題。在金融系統中,安全保障措施已經隨著時間推移建立起來,例如:收緊貸款,為失敗機構提供有序處理的流程,持續收集微小數據以識別薄弱環節。盡管不一定奏效,但這些措施有助于減少系統性的風險。而在網絡世界,創建安全保障的流程還處于起步階段。
商品市場帶來的安全隱患
關于"起因",某具洞察力的文獻認為,扭曲的激勵制度是問題核心所在,而非復雜的攻擊。
計算機科學家最先于2001年發現,競爭壓力導致硬件和軟件開發商放棄部署完整的安全措施,因為他們都忙于把產品推向市場。
此外,在網絡防御市場,供應商或許利用顧客技術知識有限,而向客戶推銷無效但昂貴的解決方案。
盡管已引入一些正確的措施,例如:
歐盟《通用數據保護條例》(GDPR)規定,披露個人私密數據的公司會面臨巨額罰款,而且該條例還強制要求當局和數據主體披露數據泄露情況。
網絡和信息系統安全(NIS)的指令介紹了網絡保護要求和緊急事件發生時需向重點部門(如能源,金融和醫療)披露的義務。歐盟委員會2017年9月提出過一個監管提案,設想建立一個歐盟范圍內的軟硬件安全認證框架。
這些都是必要的步驟,但還不夠;GDPR 和 NIS 的努力受限于一些特定案例或部門。
缺乏行之有效的通用追責法則
目前為止,攻擊者如果利用第三方漏洞,如 DDoS 攻擊,攻擊其最終目標,還沒有通用的法則,標準或參數進行追責。顯然,在這方面可以做的還有很多。
關于上述第二點,對安全薄弱環節的定位和薄弱點之間的相互關聯,各方觀點不一。有關網絡攻擊頻率和經濟影響的“可靠,公正,全面且可廣泛訪問的”數據很少。這類信息有助于了解人們應從哪些方面對經濟做緊急干預,包括從意識,大規模活動,專門的激勵制度或監管等。
難點在于“失去信任、切斷往來”
而上述第三點“結果”中強調的問題,即雙方失去信任,參與方彼此切斷往來才是最難解決的。
在2009年的金融危機之后,一些大規模,有爭議性的公共資金注入銀行系統,金融業的信任才得以恢復,全球監管框架也得到了實質性的強化,包括金融穩定委員會,國際清算銀行和國際貨幣基金組織等。
在網絡危機中,并沒有等同于經濟學家艾倫·格林斯潘(前美聯儲主席)這樣的人設。更難的或許是建立一個全球性的監管架構,某個國家的單邊行動就可能發展成網絡危機。這就好比貨幣戰或貿易戰,如果有一些國家不共享目標或不認同某些基本規則,那么技術上最優的全球性協議就會失去其目的。因此問題主要還是存在于政治,外交和軍事關系中。
政治學家 JOseph S. Nye 曾辯稱,非政府的網絡規范組織,如全球網絡穩定委員會,或許在協助處理這類問題 方面可起到重要作用。解決方案也可以在志同道合的國家之間催生出來,如歐盟,而且隨后這類方案會擴展到更廣泛的地區。從這個意義上來說,金融體系再次提供了一種偏向于實際行動的顯著參考。例如,G7集團(主要工業國家會晤和討論政策的論壇,成員國包括美國、英國、德國、法國、日本、意大利和加拿大)的財政部長們和央行行長們其實都十分謹慎,他們已經開始著手提案,希望舉行跨境的網絡危機演習。
-
互聯網
+關注
關注
54文章
11148瀏覽量
103245 -
網絡安全
+關注
關注
10文章
3155瀏覽量
59704 -
數字信息
+關注
關注
0文章
10瀏覽量
7571
原文標題:網絡危機如何解決?參考金融危機
文章出處:【微信號:EAQapp,微信公眾號:E安全】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論