应对网络威胁需要私营部门出手
近几个月来,公众关注焦点一直是国家主导的网络攻击——从俄罗斯黑客入侵的戏剧性事件到粗暴的朝鲜在线银行盗窃。当然,这些事情很重要,最近我们写信给各个英国政党,就当前威胁向他们提出了警示,但这不应该分散西方国家对于广泛得多的网络挑战的注意力。
过去几年里,英国政府已彻底改变了其应对网络安全的方法,但如果我们打算解决不断增多的网络事件的话,现在需要促成整个私营部门在文化和技能方面实现相应转变。企业的挑战在于参与进去,了解更多,并更新数字时代的公司治理。
此事的核心是一种代际差距。在董事会会议室里,网络安全如今被承认是重要问题,但仍被视为一个令人困惑、该由IT专家去解决的问题,或者是一种不可避免的业务成本。对于更了解网络安全的创新者和破坏者而言,这是别人的问题,远不如他们正在创造的技术那般令人兴奋和有利可图。
对这两个群体而言,关键是把网络安全主要视为数据问题,而不是IT问题。每个人都理解数据对其业务的重要性,但是对于理解哪种数据对他们最宝贵以及数据的处理、存储和保护方式,没有足够多的高层人员真正参与其中。
对技术感到紧张,妨碍了商界领导人像对待金融或法律领域一样拿出法庭科学取证一般的兴趣。公司治理结构胜任不了这一任务:投资者如何知道潜在的投资、收购或持股是否正确地处理了其中的网络风险?
这一点将变得更关键,因为物联网正从接入一些不重要的设备变为内置到经济的每一个领域,数十亿台新增设备随时产生日益丰富的数据。从医疗保健到旅游,从教育到食品,每一个严重依赖数据的行业将开始面临对于金融服务业来说已很熟悉的问题。
最令人担心的问题也不是信息失窃或被毁,而是诚信。如果企业不能确定自己的数据未被恶意或意外更改,它们将无法正常运行。
在英国,政府的回应体现在两个方面。首先,政府创建了新的国家网络安全中心,使原来负责网络安全的庞杂机构更有条理。更重要的是,通过把该中心变成英国电子情报机构英国政府通信总部的业务部门,政府让世界领先的技术专家在咨询和操作中发挥核心作用。我们从科技行业学到,必须把专业知识置于战略的核心。仅仅依靠善意的通才——自1950年代以来,他们在计算机科学领域的政府政策作为并不理想——是不够的。
比任何新结构更重要的,是在国家层面挑起更多重担的决心。这意味着大规模使用行业创新防御手段进行开发,以技术打败技术威胁。犯罪性质的和国家支持的网络攻击不可避免地成为一场速度令人炫目的军备竞赛的一部分,但西方政府和行业可以通过合作保持领先。
最起码,这可能意味着防止犯罪分子把自己伪装为英国税务及海关总署之类的机构,或者过滤掉那些塞满我们收件箱的数不清的鱼叉式网络钓鱼电子邮件。我怀疑,几年后公众会发问,为什么服务提供商不在很久以前就在国家层面采取这种措施。答案当然是,当初设计互联网时并未考虑到安全或犯罪问题。互联网一直在学术界和行业的完美合作中向前发展。