不要光看表面 網路犯罪的潛在成本無法計算
對網路攻擊成本的分析通常會伴隨著各種價格標籤,我們也定期就會閱讀到一些強調資料洩露成本的報告,這些資料通常十分驚人,例如,Juniper Research就在其釋出的一份報告中指出,預計到2019年,全球網路犯罪成本可能將超過 2萬億美元 。
雖然這些驚人的資料成功引起了人們的注意,但往往卻忽略了一種更深刻、更具震撼的考慮——即資訊與網路安全和我們的物理/人身安全之間的關係。
網路安全風險通常被視為一種模糊、抽象的概念。對於我們普通人來說,很容易區分開我們的數字和物理環境——我們的家、辦公司以及帶孩子玩的公園等。我們會在頭條新聞中閱讀到有關網路攻擊的內容,但是它所帶來的震撼性卻遠遠不如我們閱讀到有關人身攻擊或銀行搶劫時所產生的情緒。很顯然,對於我們來說,與閱讀到網路攻擊的新聞相比,閱讀有關人身攻擊或銀行搶劫的新聞,能夠在我們的腦海中產生更為震撼和深刻的畫面感。
然而,隨著網路攻擊的數量不斷增加,網路犯罪分子的攻擊方法也變得越來越多樣,越不可預測且更為有效——數字世界和物理世界之間的分界線也變得越來越模糊和脆弱。逐漸地,“動力攻擊”(kinetic attacks)——這個詞來源於David Rothkopf關於全球性對待網路攻擊的態度的演講之中,其包括可以廣泛流傳的眾多部分,比如說思想炸彈——的可能性,正在引發越來越多的關注和警惕。
威脅同樣適用於個人及更廣泛的社會
網路安全和物理安全之間的聯絡適用於廣泛的範圍——網路安全毫無疑問是一個重大的國家安全問題,而且針對關鍵基礎設施的攻擊可能會對我們的身體健康造成大範圍的損害——同樣地,網路安全在個人層面上也是一個重大的問題,尤其是涉及個人身份資訊(PII)暴露問題時。落入壞人之手的資料(包括家庭住址、聯絡資訊以及其他PII資料)可能會為那些存有惡意意圖的人提供攻擊入口,進而造成人身傷害。
源自網路攻擊的物理威脅可以針對我們中最脆弱的那部分人——如那些依賴醫療裝置維持生命的病人等。惡意行為者可以通過攻擊心臟起搏器或胰島素泵等醫療裝置,對人身安全造成威脅。而面臨威脅的醫療機構也會積極地對安全和風險管理計劃進行戰略投資,以便為患者營造更為安全的治療環境。
不可否認,針對個人的攻擊行為已經足具威脅性,而針對關鍵基礎設施的威脅可能會對我們的人身安全造成更大規模的威脅和傷害。正如2017年麻省理工學院(MIT)報告中所指出的那樣:美國和其他大多數國家用於控制關鍵基礎設施的數字系統都十分脆弱,非常容易遭到入侵攻擊。
除此之外,物聯網裝置的加速普及雖然為人們的工作和生活帶來了很多好處,但卻使工業控制系統成為了網路犯罪分子的目標,由此可能會引發更為嚴重的後果。如今,針對關鍵基礎設施的攻擊已經引發了一系列嚴重的安全威脅,包括危及工人生命的工廠爆炸、入侵交通工具造成的人員傷亡,以及電網故障可能導致數以萬計的人無法獲取食物、水以及醫療衛生服務等。
長期處於電力故障狀態固然會為居民和企業造成非常嚴重的後果,但是更令人不安的是,一旦民族國家黑客針對一個國家的關鍵基礎設施進行無恥的攻擊行為,那麼這種攻擊可能會將網路空間的戰爭升級為危害全民安全的軍事衝突。
更多工具可供網路犯罪分子利用
源自數字世界的威脅在我們的物理環境中浮現的可能性正變得越來越明顯。越來越多的人工智慧惡意應用已經為我們的安全造成了威脅。根據ISACA的第二份年度數字化轉型晴雨表(Digital Transformation Barometer)的調查顯示,只有 40% 的受訪者對他們的組織能夠準確評估基於AI和機器學習的系統的安全性表示有信心。隨著自動駕駛汽車以及人工智慧技術在海上和其他運輸方式中的應用變得日益普及,加強這些系統的安全性對於防止惡意攻擊具有至關重要的作用。
除此之外,暗網也提供了另一個平臺,通過該平臺,網路威脅可以轉變為針對我們人身安全的現實威脅。如今,搜尋引擎無法訪問到的暗網區域已經成為犯罪分子、極端分子以及其他希望逃避執法處罰的團體的“避風港”。在暗網上,犯罪分子可以僱傭黑客實施攻擊以及恐怖活動,或是進行一系列非法交易,這些交易往往涉及毒品,進而引發街頭暴力事件。
我們必須認識到濫用社交媒體可能會對我們的身體健康造成威脅的可能性,因為在社交渠道上傳播的過於私人的資訊或攻擊方式,可能會迅速地演變成現實世界中(如社群、學校及其他地方)的暴力行為。
雖然所有這些威脅都是真實存在的,而且在大多數情況下,恐懼情緒可能會引爆一個更具指數級風險的世界,但是我們必須通過記住有“好人”在盡力推遲(如果不是避免的話)技術引發的物理攻擊,來平衡我們的焦慮情緒。例如,物聯網安全基金會正致力於提高對重要安全因素的關注,以便更好、更安全地融入萬物互聯的世界;而在雲安全聯盟的幫助下,企業也正在採用和推廣雲端計算中的最佳安全實踐。
不過,儘管這些組織已經做出了最大的努力,但是鑑於網路攻擊和物理攻擊的可能性,想要真正計算出網路犯罪的潛在成本幾乎是不可能實現的事情。這也進一步強調了我一直倡導的一個觀點—— 網路安全是每個人的事情,我們必須充分理解網路安全和物理安全之間的聯絡,並協同努力來減少針對全球社會和公民的安全風險。