网络安全形势变得越来越复杂。2018年1月,世界经济论坛强调,经济越来越依赖于互联网和数字信息,网络攻击和数据欺诈分别成为2018年全球第三和第四大严重威胁。
网络危机与金融危机
网络威胁的系统性越来越明显。对大规模威胁的认识以及如何应对这种威胁,可以借鉴另一种全球大规模破坏——金融危机——。
互联网和全球金融体系有着惊人的相似之处,两者都在网上传递信息和资金,为经济提供血液。理论上,金融危机和潜在的网络危机有三个相似之处:
一、原因:一些风险过大的券商导致漏洞的积累,而这些漏洞由于彼此之间的关系,最终转化为系统性风险。
二、发展:弱节点可能发生中断,几天甚至几小时后,中断会蔓延到整个系统。
三、结果:如果双方失去信任,参与者就切断了彼此的联系,导致交易乃至整个经济的停滞。
可以部署策略响应来解决这些问题。在金融系统中,安全措施随着时间的推移而建立,如收紧贷款,为失败的机构提供有序的流程,以及不断收集微小的数据以确定薄弱环节。虽然不一定有效,但这些措施有助于降低系统性风险。在网络世界中,创造安全的过程仍处于初级阶段。
商品市场带来的安全风险
至于原因一篇颇有见地的文献认为,扭曲的激励制度是问题的核心,而不是复杂的攻击。
计算机科学家在2001年首次发现,竞争压力导致硬件和软件开发商放弃部署完整的安全措施,因为他们都忙于将自己的产品推向市场。
此外,在网络防御市场,供应商可能会利用客户有限的技术知识向客户销售无效但昂贵的解决方案。
尽管采取了一些正确的措施,例如:
欧盟《通用数据保护条例》 (GDPR)规定,泄露个人隐私数据的公司将面临巨额罚款,该规定也迫使当局和数据主体泄露数据。
《网络信息系统安全(NIS)指令》介绍了网络保护的要求以及在紧急情况下向关键部门(如能源、金融和医疗)披露的义务。欧盟委员会于2017年9月提出了一项监管提案,设想建立一个EU-范围的软件和硬件安全认证框架。
这些都是必要的步骤,但还不够;GDPR和NIS的努力受到一些具体案例或部门的限制。
缺乏有效的一般问责规则。
到目前为止,还没有一个通用的规则、标准或参数让攻击者利用第三方的漏洞,比如DDoS攻击,来攻击他的最终目标。显然,在这方面仍有许多事情可以做。
关于上面的第二点,对于安全弱点的定位以及两者之间的相关性有不同的看法。很少有可靠、公平、全面和可广泛获取关于网络攻击的频率和经济影响的数据。这类信息有助于了解人们应该从哪些方面紧急干预经济,包括意识、大型活动、特殊激励制度或监管等。
困难在于失去信任,断绝联系
第三个结果以上,也就是双方失去信任,参与者彼此断绝联系,是最难解决的。
2009年金融危机后,一些大规模、有争议的公共资金注入银行体系,使金融业的信任得到恢复,全球监管框架得到实质性加强,包括金融稳定委员会、国际清算银行和国际货币基金组织。
在网络危机中,没有经济学家艾伦格林斯潘(美联储前主席)这样的人。或许建立全球监管框架的难度更大,某个国家的单边行动可能发展成网络危机。它这就像一场货币战或贸易战。如果有些国家不如果没有共同的目标或不同意一些基本规则,那么技术上最优的全球协议将失去其目的。因此,问题主要存在于政治、外交和军事关系中。
政治学家约瑟夫奈(JOseph S. Nye)曾认为,非政府网络监管组织,如全球网络稳定委员会,可能在帮助处理此类问题方面发挥重要作用。解决方案也可以诞生在志同道合的国家之间,比如欧盟,然后这样的解决方案会推广到更广泛的地区。从这个意义上说,金融体系再次提供了一个偏向于实际行动的重要参考。比如G7(主要工业国开会讨论政策的论坛,其成员国包括美国、英国、德国、法国、日本、意大利和加拿大)的财长和央行行长其实都很谨慎。他们已经开始提出建议,希望举行跨境网络危机演习。
标签:网络全球危机