今日的网络安全,无异于安然事件之前的会计行业
全球技术地图
创新丨前沿丨科普丨资讯
在网络安全文化发生改变之前,我们将在2018年及以后见证更多的网络攻击。
亚特兰大Equifax办公处。自新闻报道Equifax大规模信息泄露之后,该公司股票下跌了近35%。
上周,调查者们发现了两个严重的微处理器漏洞,几乎波及了全球所有的电脑。这次事件紧跟在一系列令人心烦意乱的黑客入侵事件之后:2017年,雅虎宣布其公司拥有的30亿个用户信息被盗,WannaCry病毒软件攻击了全球范围内的医疗机构,以及美国Equifax已有约1.455亿的用户信息受到侵害。这两个漏洞分别被命名为“幽灵”(Spectre)和“崩溃”(Meltdown),可见其严重程度。而最近有关它们的新闻,正说明了真正的数字网络安全依旧遥不可及。
但是在漏洞暴露,破坏发生之后,它们带来的影响却常常并不持久。股价反弹,客户回归,高管们保住饭碗或带着“金色降落伞”(指作为企业的高级管理层,在失去他们原来的工作后,公司从经济上给予其丰厚保障)离开,政府视而不见,如此种种,几乎毫无例外。比如说,在新闻报道Equifax大规模信息泄露之后,其估价下跌了约35%。但是最近该公司已收回近一半的市值损失。《财富》杂志称其前任总裁理查德·史密斯(RichardSmith)的退休赔偿金高达9000万美元。弹性是稳定、成熟市场的标志之一,在这种情况下却不该如此。
这种不冷不热的结果也是日益严重的问题之一。从企业的治理和责任角度来看,当下人们对待网络安全的方式,与在因安然丑闻事件制定萨班斯-奥克斯利法案(Sarbanes-Oxley Act)、提高企业信息披露标准之前的会计行业颇为相似。数以亿计的个人隐私数据遭到威胁,生活中相互连接的设备无处不在,确保数字网络安全的重要性不言而喻。这就需要政府作出更明确的承诺,制定更有效的防御政策,企业进行更加有力一致的公司治理,也需要加强社会的网络安全责任文化。
加强责任文化需要政府和企业一同做出改变。去年,纽约金融服务局迈出了卓有远见的一步,它将对美国某些金融公司实施新的数据安全管理办法,包括要在72小时内公开网络安全事故,每年进行渗透测试和到2020年之前建立第三方评估机构。所有的规则都是为了加强问责制,拨开数据泄露事件周遭的疑团迷雾。美国联邦政府应当效仿纽约金融服务局,在政府层面制定类似法律。如果没有政府的支持,加强网络安全管理的行为也会出现,但肯定都是零零散散、四分五裂。更加统一的规定可以制定出愈加一致的标准,让企业获得必要的可预见性和确定性,进而能够正确地评估风险管理和安全投资。
我们在期待企业能做得更好的同时,也应对政府抱有同样的期望。我们国家的企业遭受的是美国地缘政治对手和其附属非国家行为体的攻击。试想一下,如果让美国的航运公司与外国海军对战,让国内航空公司和敌方海军交兵,这种不对称会使他们陷入永远无法取胜的战争之中。
最可怕的情况是,随着美国企业遭受的网络攻击越来越多,严重程度日益增加,更多的企业可能会选择“以彼之道,还施彼身”,自行处理。这会打开潘多拉的盒子,释放出无尽的恶果。就算是华尔街的大型银行,每年花费数亿美元在网络安全上,也无法抵挡来自其他国家的攻击,因而他们会冒着风险、做出反击,从而使情形愈发恶劣。
但是如果不想让这些私营企业和个体进行自卫反击的话,政府就应当站出来解决问题。
简而言之,联邦政府一定要确保政府威慑力会在数字领域发挥作用。网络冲突中,私营企业面对的通常都是国家层面上庞大的资源力量的挑战。只有当企业确信政府会履行基本职能、维护公民权利的时候,才能够接受愈加严格的网络安全管理政策。
就像政策框架的存在是为了应对或者阻止国内外威胁到美国国民及其利益的攻击,政府也应当制止网络空间的冒险主义。值得注意的是,这不仅仅是指以“黑”制“黑”,而是应该讨论到所有的外交、信息、经济和军事选择。如果政府不能让结果清晰可信,他们就会失去网络空间的基本威慑力,也会使美国政府、企业和公民在未来遭受到更多的网络攻击。
现在,每一家企业都与数字网络有关,几乎每一个人都愈发依赖这个互相连接的世界。我们生活在一个特定攻击大爆炸的时代,企业和个人力量直接对战国家水平的资源势力。在网络安全文化发生改变之前,我们将在2018年及以后见证更多的网络攻击。
编译丨路会会
选自丨NYT