——电脑,不论广义上的还是狭义上的,永远都不会安全。而相对于技术而言,经济手段或许才是真正的风险管理之道。
5月8号-14号刊
也许网络安全这个词就其本身构成而言就是矛盾的——网络就意味着不安全。回顾2016年的网络安全事故:孟加拉国中央银行遭遇网络入侵,被盗8100万美元;Verizon对雅虎的48亿美元收购合同差一点就因为后者的两起重大数据泄漏事件泡汤;更令人色变的是,美国的总统大选中出现了俄罗斯黑客的影子。
而在这些新闻头条之外,基于电子敲诈、数字资产盗窃、受雇入侵等黑客行为的地下市场也正在迅速兴起。如今,电脑早已不再是只与信用卡资料或数据库等抽象数据打交道的工具了,它们早已渗入到现代世界的方方面面,甚至与每个人的血肉之躯都息息相关。不夸张地说,现代汽车是装了四个轮子的电脑,飞机是装了翅膀的电脑。即将到来的“物联网时代“更是会让微型电子计算机遍布从道路指示牌到核磁共振仪,从义肢到胰岛素注射泵。没有任何证据表明,这些东西会比你正在使用的桌面电脑更安全分毫。何况已经有黑客证实,远程控制联网的汽车和心脏起博器并不是什么难事。
人们会自然地相信,道高一丈的技术人员或者更加严厉的监管措施会搞定这些麻烦。对许多非技术类公司或企业而言,大费周章地部署网络安全措施也显得远没那么必要。但所有的公司都应该欢迎一种叫”漏洞猎人“的线上活动:付钱给网络”侠士“们,以便在自己的系统漏洞被攻击前就能得到发现和修补。
但由于软件产业极度的复杂性,要实现彻底的网络安全则是不可能的。以谷歌为例,在其所有的产品和服务的背后,是多达约20亿行的源码——这个数量级决定了差错是不可避免的。就平均状况而言,一个软件大约有14处互不关联的弱点,而其中每一个都可能成为遭受攻击的对象。而互联网自身的历史特点更无疑放大了这种风险,毕竟安全性并不是互联网发明之初的重点考虑。
窗开当开
然而这里绝不是要渲染绝望情绪,毕竟人活于世,同样不可能永远根除的风险还包括诈骗、车祸与天灾不是么?人类社会发展至今,已经从监管、立法、保险等方面为以上风险提供了应对办法,或者说对安全行为的鼓励。
从监管说开,政府的首要任务就是不要让形势恶化。拿发生在圣彼得堡和伦敦的恐怖袭击为例子,其一大影响是要求削弱加密手段的呼声会兴起一阵,理由是国家安全部门可以对个人行为进行更好的监控。但要实现对恐怖分子加密手段的”精准弱化“是不可能的。保护着人们WhatsApp消息的加密技术同样也在保护着银行交易信息与人们的网络身份。让每个人都处于强加密状态下是对网络安全的最佳保护。
下一步则是设立基本的产品监管制度。既然不能保证电子设备的使用者们都拥有足以保护其自身的专业知识,那么政府就应当提倡电子产品和服务的”公共健康化“。意即当有漏洞发现时,强制所有连网的设备安装更新或补丁。或强制用户更换各种设备和服务上默认的账户名和密码。像美国的某些州一样,相关部门也可以实行强制报告制度,若有公司或其产品被黑,则必须对该信息进行公开。这样一来,受害者选择隐瞒问题而不是修正问题的概率会大大降低。
步大防扯
但设立最低标准所能带来的补救效果也仅止于此了。网络安全的诸多棘手问题中,用户的自保能力不足只是一方面。真正的问题在于,用户缺乏严肃待之的动机。以僵尸网络为例,真正的受害者并不是电脑、路由器、智能灯泡这些被黑的电子设备的拥有者,他们只是无意中充当了传播媒介。
最要紧的是,软件行业数十年来都在为自己的问题产品开脱。这么做自然有其好处。“快速前进,打破陈规“是著名的硅谷口号。也只有在这样的文化背景下,在产品还尚需完善时就允许将其推向市场,才使得硅谷在过去的几十年间保持了强劲的创新势头。但这一点很快就要另行商榷,毕竟在迅速电脑化的许多领域,比如汽车和家用产品,早已有了完善的责任条款。计算机行业的免责声明很可能在这里遭遇法律困境。
所有的生产企业都应当考虑的是,即使立法机构不强制,公众意见也会划分责任归属。许多计算机安全援引1960年代美国汽车行业的案例。这本是一个长期忽视安全性的行业,但随着1965年拉尔夫・纳德在其畅销书《任何时速都不安全》中对该行业散漫态度的曝光与质问,美国政府于翌年便出台了针对汽车安全带、头枕之类部件的严格规定。前车之鉴在此,那么想象一下第一起自动驾驶车辆导致儿童伤亡事故后人们对立法的呼声吧。
值得庆幸的是,体量尚小但正在进步的网安保险市场给大众信息安全与计算机行业创新的兼得提供了解决之道。那些产品经常出故障或频繁被黑的公司将承受相对更高的保险金,进而使得其不得不重视改进。而对那些因为重视安防和优化,但却不得不妥协盈利的公司则会受到保险行业的照顾,以使其不至破产。只有在此种情况下,“免责内容”才有讨论的意义。当然了,这也不是没有先例:1980年代美国生产轻型飞行器的公司们几近因为用户的控告和索赔而陷入行业破产,最后是政府更改了法律,使得它们不必为早期产品负责,从而躲过了一劫。
计算机安全形势的今天之所以这么糟糕,是因为在互联网还作为新兴事物的昨天,没人把它真正当了回事儿,毕竟要允许年轻人犯错误嘛。但如今其后果已经凸显,自身缺陷和黑客入侵导致的灾难触目惊心,我们没有理由一再重蹈覆辙。但说到改变态度与行为,恐怕单一的技术手段还是不够,也要加上经济工具才行啊。#完
网友评论