上兆！美元！這就是網絡攻擊惹的禍

在過去一年中，無論是公有還是私營機構和企業，都不斷遭到網絡攻擊。例如，荷蘭三大銀行網絡系統在一周內不斷遭受分布式拒絕服務攻擊；Facebook稱遭受黑客攻擊，5000 多萬用戶的個人隱私信息面臨風險……

俄羅斯儲蓄銀行發布報告稱，2018年因網絡犯罪導致世界經濟損失1.5兆美元，今年預計該損失將達到2.5兆美元，增長60%。

值得注意的是，《2018年全球風險報告》首次將網絡攻擊納入全球風險前五名，成為2018年全球第三大風險因素。在《2019年全球風險報告》中，網絡攻擊仍然被列為全球面臨的首要風險之一。

從數據外泄、身份盜竊到業務和關鍵基礎設施破壞，公共部門和私營部門應如何確保全球網絡安全跟上步伐？在夏季達沃斯論壇上，與會嘉賓分享了各自的見解。

企業的責任

“如果我們認為，生活中的一切都可以被聚合、出售，甚至在黑客攻擊事件中被洩露，這是正常且不可避免的，那麽我們失去的不僅僅是數據，我們還失去了做人的自由。”

這是蘋果公司首席執行官蒂姆·庫克日前在史丹佛大學的畢業典禮上發表演講時說的一句話。庫克認為，矽谷的科技公司應該為他們製造的“混亂”承擔責任，包括數據洩露、侵犯隱私等。

過去一年來，幾乎每隔一段時間，就有網絡安全事件發生。尤其是美國社交巨頭Facebook，因數據洩露頻上輿論風口。

2019年4月4日，據路透社報導，網絡安全公司UpGuard的研究人員聲稱，他們在亞馬遜雲計算伺服器上可公開訪問的地方發現了數億Facebook用戶的個人信息記錄。

該事件發生兩周前，網絡安全專家克萊布斯發布的一份報告顯示，Facebook存儲的“數以億計”用戶的账戶密碼並沒有被加密，且可以作為純文本格式的文件，顯示給該公司成千上萬的員工。

這些被曝光的事件，反映出Facebook在網絡安全方面仍然存在不少漏洞。事實上，不僅僅是Facebook，全球許多科技公司也存在同樣的問題。

企業在維護網絡安全方面，應該承擔什麽樣的責任？

美洲國家組織網絡安全項目經理Belisario Contreras指出，很多人說數據就是新一代石油，但數據的所有者是人。“如果我們能夠成功對人進行教育，確保他們進行數據保護，我們就可以保障信息安全和數據安全。”

蘇黎世保險集團首席IT服務官Thomas Kropp認為，在應對網絡攻擊方面，很多公司已經開始采取行動，比如對公司結構進行調整。現在IT在公司業務發展中越來越重要，這是公司需要做的事情，必須設定一個優先級，以應對新的風險。

Splunk高級副總裁兼安全市場總經理Haiyan Song表示，很多網絡安全問題是瞬息萬變的，需要企業提前部署。與此同時，數字轉型開拓了很多新的領域，現在正朝著自動化的方向發展。如果全球的企業界不懂得加入數據和技術實現網絡威脅的自動識別和應對，那麽只能任由別人攻擊。

Haiyan Song進一步指出，當前全球正處於AI應用的早期，可以嘗試用AI管理網絡安全。“尤其是當邊界越來越模糊，很多數據和應用都在雲上，我們需要有更標準化的技術來幫助大家理解外部的環境，從這個角度來說，AI是一個非常強大的工具。”

哥倫比亞大學國際與公共事務學院國際與公共事務兼職高級研究學者Katheryn Rosen指出，當網絡攻擊者越來越狡猾，且資源越來越強大的時候，他們的工具成本更低，因此他們可以持續地發起網絡攻擊。企業應該做好被攻擊的準備，尤其是企業的響應方案很重要。

Katheryn Rosen認為，如果企業出現網絡攻擊事故，企業要知道如何迅速恢復系統。公司甚至可能需要準備這種狀態下的行為手冊，這是一個非常重要的計劃。

政府監管的度

隨著網絡攻擊以及數據濫用問題日趨嚴重，全球不少經濟體制定了相關的數據安全保護法律法規。

2018年5 月，歐盟《通用數據保護條例》 （GDPR）正式生效。業界普遍認為，GDPR是一部比較嚴厲的數據隱私保護法。根據GDPR，一旦發生數據洩露事故，數據控制者需要及時通知監管機構，如果可行，應不超過72小時。

在處罰上，GDPR也規定了嚴苛的罰金。如果沒有實施充分的IT安全保障措施，或者沒有提供全面的透明的隱私政策，沒有簽訂書面的數據處理協議等，可能罰以1千萬歐元或者上一年度全球營收的2%，兩者取其高。

值得注意的是，美國加利福尼亞州也加大消費者對個人數據的處置權，去年簽署了《2018加州消費者隱私法案》，堪稱全美各州最嚴網絡隱私保護法規。

但代表Facebook、亞馬遜等大型互聯網企業的公共政策遊說團體“互聯網聯盟”、加州商會、全國零售商聯合會、全國廣告商協會等表示反對，認為會遏製美國創新能力。

在網絡攻擊日益嚴重下，政府監管的度應該在哪裡？

Thomas Kropp表示，如果政府監管得太嚴，整個執行就會出現尾大不掉的情況。要允許人們進行自由的測試，在不違反規定的情況下嘗試不同的方法。從用戶的角度來說，應該和監管者一起制定決策，而不是政府規定得事無巨細，最後很多錢都花在制定標準和標準的實施方面。

Thomas Kropp還指出，應對網絡攻擊，全球最大的挑戰是透明度。“有人對企業發動攻擊後，我們發現存在各種各樣的限制，讓我們沒辦法進行數據的分享和專利的分享，這也會給我們帶來網絡安全的挑戰。”

Haiyan Song也認為，在網絡安全方面，應該打造以信任為基礎，形成以技術為推動的分享，讓各國的政府能夠在全球給企業一定的自由度去分享一些保護措施。

在Katheryn Rosen看來，從應對網絡風險的角度來講，現在很多企業的網絡系統都需要具有一定的靈活性，因為技術進步很快，企業必須保證靈活性。

“如果監管過多，會產生一些不良的負面作用。過去很多監管一開始出發點是為了解決某些問題，最後產生的結果和影響是意料之外的。所以監管者在立法的時候要考慮後果。”Katheryn Rosen說。

來源：國是直通車

作者：孫秋霞

編輯：楊佳欣