今天,每個國家面臨的主要威脅,本質(zhì)上都是數(shù)字威脅。全球幾乎每個國家都采取嚴厲的措施對抗這些威脅,增強自身網(wǎng)絡(luò)的整體安全性。
同樣的,對每個國家而言,保護網(wǎng)絡(luò)空間也是政府重要事項之一。但不是所有國家都這么認為。有些國家就更醉心于通過盜取商業(yè)知識產(chǎn)權(quán),或者讓競爭者在數(shù)字領(lǐng)域陷入停工狀態(tài),來推動自身經(jīng)濟發(fā)展。
這些國家有時候缺乏技術(shù)專業(yè)知識,但他們可以用惡意來彌補技術(shù)上的差距。2016年11月,Shamoon病毒搞癱了沙特阿拉伯一家石油產(chǎn)品公司的近3萬臺電腦,生動演繹了何為數(shù)字領(lǐng)域搞垮對手?;蛘撸桓袷交_計算機,攻擊者選擇盜取TB級機密數(shù)據(jù),然后公之于眾。
為應(yīng)付這一不斷進化升級的威脅,每個國家都必須激勵私營產(chǎn)業(yè)采取動態(tài)且持續(xù)的網(wǎng)絡(luò)安全投資,護衛(wèi)好各公司多種多樣的網(wǎng)絡(luò),利用市場的力量提升整體安全水平。
以下就是各國應(yīng)納入網(wǎng)絡(luò)安全戰(zhàn)略的幾條建議。
建議
每個國家都應(yīng)遵循一套網(wǎng)絡(luò)安全策略,避免昂貴且繁瑣的監(jiān)管方式,應(yīng)將可產(chǎn)生動態(tài)網(wǎng)絡(luò)安全防御的關(guān)鍵因素納入該策略。這些關(guān)鍵因素包括:
1. 積極承擔國際網(wǎng)絡(luò)安全責任
一個國家,若想在對抗間諜和網(wǎng)絡(luò)犯罪方面起到積極作用,就需要一套全面的策略,必須與其盟友保持協(xié)同與合作。更進一步,應(yīng)引導(dǎo)國際社會讓那些利用網(wǎng)絡(luò)空間從事惡意活動的國家改變他們的策略,無論他們針對的是自己的國民還是其他國家。
還必須以經(jīng)濟和外交手段回應(yīng)其他國家的激進網(wǎng)絡(luò)活動。國家支持的大規(guī)模網(wǎng)絡(luò)間諜,必須通過讓作惡者付出難以承受的高昂代價的方式予以阻止。其他響應(yīng)方式還包括:對盜取知識產(chǎn)權(quán)和其他信息的嫌犯提起刑事訴訟或其他法律指控,限制有罪方簽證,停止合作。
2. 促進有效網(wǎng)絡(luò)保險業(yè)務(wù)的發(fā)展
政府須支持問責標準的發(fā)展,這么做很難,但若通過業(yè)界合作做成了,便可增強安全活動和安全意識。隨著責任與風險得到更好的理解,網(wǎng)絡(luò)安全保險商便可率先打造“精算表”了。
以此為基準,網(wǎng)絡(luò)保險可按基于風險的模型售賣。公司的安全越好,保費越低。私營產(chǎn)業(yè)應(yīng)受市場驅(qū)動的解決方案所推動,投資精確恰當?shù)木W(wǎng)絡(luò)安全,從而規(guī)避苛刻又過時的政府監(jiān)管。
3. 保護網(wǎng)絡(luò)供應(yīng)鏈
由于智能手機、平板和計算機的組件幾乎是一樣的,且其他小設(shè)備也是全球制造,評估供應(yīng)鏈操作、實踐及安全方法就顯得特別重要了?;蛟S可以成立一個非政府組織,對技術(shù)公司供應(yīng)鏈的運營評分,并公布評估結(jié)果。
獲得高評分的公司可給其產(chǎn)品定較高的價格。買家若想要經(jīng)濟實惠,也可以投注更便宜但更有可能不太安全的產(chǎn)品。消費者可以基于風險作出明智決策。
4. 受控且明確的網(wǎng)絡(luò)自衛(wèi)權(quán)
時至今日,不了解面對黑客時自衛(wèi)權(quán)利的公司,必然會承受風險。如果遭到攻擊,公司可以做什么?報警?報告FBI?公司可以自行反擊嗎?
沒人想要看到義務(wù)警員毫無顧忌沒有底線的憤怒報復(fù)。為避免出現(xiàn)此類“俠客”行為,法律應(yīng)創(chuàng)建僅供自衛(wèi)使用的基本卻受限的規(guī)則。
5. 推動培訓(xùn)、教育和真正的意識
更強的安全意識工作,必須終結(jié)掉炒作和無視這兩個極端。讓人們知道網(wǎng)絡(luò)威脅的真實情況,提供所需的防護工具,保護他們自己,以及他們的公司和家庭。
安全意識培養(yǎng)工作應(yīng)深入各級社區(qū)。各個政府機構(gòu)和組織也應(yīng)定期進行安全培訓(xùn)。
6. 雇傭并培養(yǎng)一支強大的網(wǎng)絡(luò)人才力量
任何軍事、商業(yè)和政府事務(wù)都會受到網(wǎng)絡(luò)安全的影響。每個國家都需要調(diào)整認證和簽證操作,促進科學(xué)、技術(shù)、工程和數(shù)學(xué)(STEM)發(fā)展,這樣才能確保最聰明最好的人才可以將自身技術(shù)用于提振安全上。
該工作還應(yīng)更新安全審查過程,用上隱藏在黑客社區(qū)、公司和軍隊中的人才資源。應(yīng)盡一切可能從立法上鼓勵并推動這項工作。b