今天下午在天津达沃斯论坛上,来自丹麦、美国、瑞士、俄罗斯的五位专家就目前全球关注的网络安全问题进行了讨论。论坛由来自彭博社的北亚首席记者恩格尔(Stephen Engle)主持。
恩格尔: 首先我介绍一下在场嘉宾。在我左边的是瑞士网络安全公司Kudelski Security的创始人及副总裁尼古拉斯(Christophe Nicolas)。他的左边是世界第二大再保险公司,瑞士再保险公司的亚洲CEO普伦吉特(Jayne Plunkett)。接下来是俄罗斯联邦储蓄银行副主席库兹涅佐夫(Stanislav Kuznetsov)。在我右边的是全球经济论坛网络安全中心主任乔根森(Troels Oerting Jorgensen)。
今天我们的话题是建立地区性的网络防御机制。这个标题本身没有任何争议性,但是如何建立防御机制就很有挑战。去年最严重的一次网络袭击造成了40亿美元的损失。而在2017年曾有多次这样的袭击。所以今天我们将要讨论的问题是,我们到底有多脆弱?这些攻击现在有多复杂?将来会有多复杂?对此我们都做了什么,没有做的又有哪些?当有利益冲突的时候又可以达成什么样的合作?
我们有多脆弱?
尼古拉斯:首先需要澄清的是,在网络世界中我们是不平等的。对攻击者来说,他们只需要在你的系统里发现一个弱点即可,而且他们并不在乎法律。而作为防守的一方,你需要在法律框架的限制中进行抵御。这是第一个不平等的地方。第二个不平等是,我们现在是在全球背景下维护网络安全,但根据你所在的国家、行业和组织,规则并不相同。由于缺少网络健康(Cyber wellness),从政府到大型组织都在面临越来越多的复杂攻击。这些攻击很难解释,也很难预见。网络世界和现实世界的边界越来越模糊,潜在漏洞越来越多。黑客可以掌握的信息也比以前更多。
乔根森:决定组织犯罪有主要三个因素:投入、风险、收益。网络犯罪低投入,高收益,并且几乎没有任何风险。因为大多时候网络罪犯不在事发国家,警察没办法调查。这是第一点。第二点,如果你观察一下现在的房间,我们的网络活动已经从个人电脑转移到了手机上,这极大增加了网民的数目。并且在物联网时代,物理世界和数字世界是连接在一起的。如果世界上用移动设备上网的网民从35亿人增加到70亿人,同时移动设备又和500亿机器连接的话,当然你的受攻击面就极大增加了。前路坎坷,革命尚未成功。
库兹涅佐夫:金融机构是网络犯罪分子的头号攻击目标。因为他们的主要目的就是获取钱财。网络犯罪没有国家边境一说。同一个网络犯罪组织的成员可以散布在几个大洲内,在几小时甚至几分钟内进行多次攻击。2017年网络犯罪造成的经济损失达到1万亿美元。在未来两年预计会达到3万亿美元。去年最大的网络犯罪造成了40亿的经济损失。这还只是官方的统计。很多公司不公开网络攻击的事实。
俄罗斯是网络犯罪的最大受害方。犯罪分子却连门都不用出。在这种情况下地缘政治动荡不安使全球协作更加重要也更加困难。所以今天的网络犯罪分子有充分的时间来抹去他们的犯罪痕迹。对大型公司和组织来说,开发和拥有网络安全系统至关重要。
从我们的经验来说,我们建立了复杂的网络安全系统。首先是网络安全标准、规则和程序,在不同国家有不同网络安全规则。第二方面是网络安全劳动力、技术和工具。第三方面是网络安全教育、培训、文化。最后是协作。
普伦吉特:我想谈谈风险。在网络安全时代保护自己要用很多缓冲措施。不能只有在生病的时候才去看医生,进而由保险公司赔付。网络安全也是一样,重点为管控风险。拥有相应的技术和对员工进行培训是第一步,最终由保险对你不能承担的风险进行赔付。
网络攻击有多复杂?
恩格尔:接下来我想聊一下网络攻击的复杂程度。那些黑客使用的技术和建防火墙的技术是一样的么?他们对政府和法律没有任何尊重而已还是说他们的技术比防御一方要高超?
尼古拉斯:对于任何战争你都要明白战场情势。但网络战争的挑战之一是,它不是静止的,而是不断变化的。例如你攻击身边的这位嘉宾的时候我可能也想从中获利。所以如何能确保大家同时对自己的安全尽责是一个挑战。
乔根森:网络安全不只是技术,还有人。罪犯一般很懒,他们希望找到最简单的方法获得财富。当我在银行的时候我要看罪犯、动机和手段。然后从防御角度给重要的资产排序。现在网络犯罪分子占据上风是因为我们在这方面做的太少了。同时大企业相当扁平化,没有任何隔断。在南非的实体可以获取的伦敦分公司的数据。很多方面可以改进网络安全的防御。
除了钱以外,我更担心另一种偷窃,就是你所有的信息。如果你想要免费使用程序,你就是产品。所以我们怎么保护自己的隐私?我的手机知道我的一切:我在哪儿,听什么音乐,我喜欢什么,我看什么节目,我读什么书,买什么东西,这对罪犯来说也非常有价值。
尼古拉斯:没人想要麻烦地每天换一个界面或者应用系统。但是系统每个月都会更新。能确保每个系统的每次更新都没有bug么?所以我们要改变观念,接受网络安全的脆弱性。
乔根森:刚刚说到网络健康。其中一项就是你的隐私设置。每次下载应用时它都会问能不能使用你的摄像头、地址、身份信息等等。你要说不!
虚拟货币是否增加网络犯罪?
恩格尔:我想聊一下虚拟货币的问题。在2017年网络勒索增加了2500%,这和虚拟货币有没有关系?
乔根森:当然有关系,几乎所有的网络勒索案中,赎金都要以比特币支付。当我是警察的时候,在一些儿童性侵网站上,你可以用比特币支付直播观看儿童被性侵。比特币匿名的性质使网络犯罪大幅增加。区块链技术在安全方面做得倒是非常不错。另一方面,国家之间的信任越来越少,犯罪分子从中获利。
库兹涅佐夫:是的。作为私营领域我们可以推动官方。去年俄罗斯在五个方面推动数字经济,其中一个就是网络安全,由企业主导。我们可以推动官方改变法律、改变标准、改变教育、改变技术规范。很多国家有大型基础建设,同时小的国家也需要保护。
乔根森:有一个重要的问题是把网络组织犯罪和国家间谍行为区分开。国家间自古以来就有间谍行为,200年后还会继续。但是间谍的问题干扰了整个网络安全的讨论。也许有一些灰色地带,但是如果抛开灰色地带不说,仍有70%的犯罪行为。我们应该对这些犯罪做些什么。我曾经从俄罗斯银行收到了关于将要对西方企业进行的攻击预警,我甚至把这个报告交给了这个企业,帮他们保住了好多钱。
普伦吉特:我同意你的观点。人们倾向于谈论国家背景的网络犯罪,其实大多数网络犯罪是针对企业的,标准化操作可以应对。网络犯罪对象不同对应的三种风险:第一种是数据偷窃,第二种是干扰企业运行,第三种是以国家为主导的网络犯罪。前两种对企业来说是更好处理的。
