技经观察 | 世界经济论坛:网络安全、新兴技术与系统性风险(下)
本文为世界经济论坛《未来系列:网络安全、新兴技术与系统性风险》报告的下篇,在世界基于互联网联系得日益紧密的今天,报告重点介绍了新兴技术环境中固有的隐性和系统性风险所带来的日益严重的威胁,以呼吁国际社会和业界重视并采取措施保障网络安全。
连接一切
在全球范围内,伴随联网设备和网络数量的迅速增加,数字生态系统中的各种关系日益密切交织。从安全角度来看,这种密切连接带来了许多挑战,需要从宏观的角度考虑整个生态系统。
连接一切带来的相互依赖
近年来,互联网连接的系统和设备数量显著增加。个人的智能手机、可穿戴设备和智能家居设备正在改善用户体验。各类产业已经开始利用数据传感、移动通信和控制系统的自动化来提高效率,发现新的服务机会。同时,对于组织或企业而言,保持独立在这样的互联社会并不经济,因此积极参与互联的生态系统势在必行。
系统性风险
数字生态系统向无所不在的连接方向发展,创造了新的商业模式,也带来了系统性的网络安全风险。随着技术的成熟,这种风险将加速发展。
规模
互联生态规模的扩大表明潜在的攻击面也在扩大。伴随越来越多之前未连接的系统进入互联网,数据、信息、算法等数字资产的风险也与日俱增。例如,医疗领域中的智能运输系统和外科手术程序等,将越来越依赖于连接的完整性和可用性,如果对医疗系统进行攻击,则可能危及人类安全,甚至导致生命损失。
相互依存
在数字生态系统中,参与者之间的一系列新的依存关系正在演变。新产品的出现和新服务的成长,正在催生组织、供应链、部门和个人之间复杂的相互依赖关系。这种相互依赖带来了不可预见的连锁风险:一旦系统中某个部分发生故障,可能会损害所有和它相关的部分。
共享资源
许多组织都越来越依赖于集中的基础设施和共享服务,包括云、互联网服务提供商、软硬件以及设备供应链等。这样的现状可能给共享资源的组织带来严重的系统性风险。
量子计算
量子军备竞赛
量子计算是未来5-15年内最具战略意义的技术之一,很可能引发技术革命并带来巨大的发展机会。量子计算机运用量子物理学定律处理信息,原则上可以完成传统计算机无法完成的信息处理任务。
此外,量子计算的应用潜力也将为各行业带来重大进步与突破。例如,量子可以应用于分子模拟、药物开发、材料科学;可以解决优化金融服务和航空航天的复杂问题;并可以提升AI性能。
显然,这项技术能够在各个领域创造巨大价值,由此,一场量子技术军备竞赛正悄然开启,将可能在全球经济中释放数万亿美元的价值。
风险与挑战
全球网络安全已经受到了量子军备竞赛的重大影响。具体体现在以下方面:
应对措施
量子技术对网络安全的风险及影响可能远比本报告呈现出的更加深远。伴随技术本身的迅速发展,必须做好准备,采取相应的行动。
数字身份
数字身份管理
对于数字身份管理,建立一个可靠的且可在全球范围内互操作的方法对于未来5-10年内实现数字生态系统的潜在经济社会价值至关重要。通过正确使用数字身份,或许能够解决现有的安全和隐私挑战,促进低摩擦的全球市场,支持现有服务的数字化转型,并通过提供新的可信服务释放新的价值,从而为企业和公共服务创造机会。
但是,目前在数字生态系统中管理身份的方法不是最理想的。薄弱的数字身份管理加剧了网络安全问题,并且也是多种形式的网络犯罪的根源。而关于数字身份管理的重新构想还在进行中,各国政府虽然都付出了许多努力,但究竟如何实施数字身份管理系统还存在许多不同的观点,导致了全球范围内管理方法的差异。
数字身份系统的安全风险
如今,社会越来越依赖于在关键应用程序中使用身份识别系统。具有威胁的行为主体正在利用这个机会发现漏洞以接管账户、破坏交易以及获取敏感数据。如犯罪分子会滥用该系统谋取经济利益,而业内人士和政府则可能利用其地位公开或秘密地获取经济和政治利益。
威胁群体和动机
对身份生态系统的威胁
从系统的机密性、完整性和可用性考虑:
首先,身份管理系统中的大量个人信息(包括个人身份信息、生物识别、行为和位置数据)存在重大的保密风险,必须将风险降到最低。
其次,身份管理系统的完整性被破坏会降低用户的信心,尤其是在信任不足的情况下。对于用户而言,不仅要求整个系统及其组件的完整性,还要求系统的功能不会被滥用。
最后,攻击者会试图阻止用户对身份管理系统的访问和使用,如果系统没有必要的韧性与备用方案,则针对系统的攻击将可能带来严重的后果。
应对措施
目前的全球数字身份管理系统分散且不统一,为其内部安全带来了极大风险,进而阻碍了其潜在价值的释放。为应对以上挑战,可以从以下几个方面考虑需采取的行动:
结论
尽管全球在改善整个网络安全方面已经取得了不小的进展,但技术发展日益增加的复杂性、日益加快的步伐、日益扩大的规模以及相互依赖性都可能让我们之前的努力付诸东流。面对这些可能出现的挑战,需要广泛推动利益相关者集体采取行动。
安全和技术团体
安全和技术团体需要优先介入,以提升对网络安全运营至关重要的集体响应力度,并在企业和国家关键基础设施内有效控制新的网络风险。
行业和政府领导层
行业和政府领导层需要推动一系列政策,鼓励人们采用安全解决方案,增强生态系统不同组成部分之间的信任和透明度:明确责任问题;减少现行保障和监管模式中的摩擦;以及促进数据和数字服务的国际商业和贸易。
国际社会
最后,国际社会需要确保网络安全问题确切得到解决。这样新兴技术的有益价值才能最大化得以体现,才能保障发展中国家的需求并减少跨境网络犯罪。