不要光看表面 網絡犯罪的潛在成本無法計算
責編:gltian |2018-10-22 13:46:10對網絡攻擊成本的分析通常會伴隨著各種價格標簽,我們也定期就會閱讀到一些強調數據泄露成本的報告,這些數據通常十分驚人,例如,Juniper Research就在其發布的一份報告中指出,預計到2019年,全球網絡犯罪成本可能將超過2萬億美元。
雖然這些驚人的數據成功引起了人們的注意,但往往卻忽略了一種更深刻、更具震撼的考慮——即信息與網絡安全和我們的物理/人身安全之間的關系。
網絡安全風險通常被視為一種模糊、抽象的概念。對于我們普通人來說,很容易區分開我們的數字和物理環境——我們的家、辦公司以及帶孩子玩的公園等。我們會在頭條新聞中閱讀到有關網絡攻擊的內容,但是它所帶來的震撼性卻遠遠不如我們閱讀到有關人身攻擊或銀行搶劫時所產生的情緒。很顯然,對于我們來說,與閱讀到網絡攻擊的新聞相比,閱讀有關人身攻擊或銀行搶劫的新聞,能夠在我們的腦海中產生更為震撼和深刻的畫面感。
然而,隨著網絡攻擊的數量不斷增加,網絡犯罪分子的攻擊方法也變得越來越多樣,越不可預測且更為有效——數字世界和物理世界之間的分界線也變得越來越模糊和脆弱。逐漸地,“動力攻擊”(kinetic attacks)——這個詞來源于David Rothkopf關于全球性對待網絡攻擊的態度的演講之中,其包括可以廣泛流傳的眾多部分,比如說思想炸彈——的可能性,正在引發越來越多的關注和警惕。
威脅同樣適用于個人及更廣泛的社會
網絡安全和物理安全之間的聯系適用于廣泛的范圍——網絡安全毫無疑問是一個重大的國家安全問題,而且針對關鍵基礎設施的攻擊可能會對我們的身體健康造成大范圍的損害——同樣地,網絡安全在個人層面上也是一個重大的問題,尤其是涉及個人身份信息(PII)暴露問題時。落入壞人之手的數據(包括家庭住址、聯系信息以及其他PII數據)可能會為那些存有惡意意圖的人提供攻擊入口,進而造成人身傷害。
源自網絡攻擊的物理威脅可以針對我們中最脆弱的那部分人——如那些依賴醫療設備維持生命的病人等。惡意行為者可以通過攻擊心臟起搏器或胰島素泵等醫療設備,對人身安全造成威脅。而面臨威脅的醫療機構也會積極地對安全和風險管理計劃進行戰略投資,以便為患者營造更為安全的治療環境。
不可否認,針對個人的攻擊行為已經足具威脅性,而針對關鍵基礎設施的威脅可能會對我們的人身安全造成更大規模的威脅和傷害。正如2017年麻省理工學院(MIT)報告中所指出的那樣:美國和其他大多數國家用于控制關鍵基礎設施的數字系統都十分脆弱,非常容易遭到入侵攻擊。
除此之外,物聯網設備的加速普及雖然為人們的工作和生活帶來了很多好處,但卻使工業控制系統成為了網絡犯罪分子的目標,由此可能會引發更為嚴重的后果。如今,針對關鍵基礎設施的攻擊已經引發了一系列嚴重的安全威脅,包括危及工人生命的工廠爆炸、入侵交通工具造成的人員傷亡,以及電網故障可能導致數以萬計的人無法獲取食物、水以及醫療衛生服務等。
長期處于電力故障狀態固然會為居民和企業造成非常嚴重的后果,但是更令人不安的是,一旦民族國家黑客針對一個國家的關鍵基礎設施進行無恥的攻擊行為,那么這種攻擊可能會將網絡空間的戰爭升級為危害全民安全的軍事沖突。
更多工具可供網絡犯罪分子利用
源自數字世界的威脅在我們的物理環境中浮現的可能性正變得越來越明顯。越來越多的人工智能惡意應用已經為我們的安全造成了威脅。根據ISACA的第二份年度數字化轉型晴雨表(Digital Transformation Barometer)的調查顯示,只有40%的受訪者對他們的組織能夠準確評估基于AI和機器學習的系統的安全性表示有信心。隨著自動駕駛汽車以及人工智能技術在海上和其他運輸方式中的應用變得日益普及,加強這些系統的安全性對于防止惡意攻擊具有至關重要的作用。
除此之外,暗網也提供了另一個平臺,通過該平臺,網絡威脅可以轉變為針對我們人身安全的現實威脅。如今,搜索引擎無法訪問到的暗網區域已經成為犯罪分子、極端分子以及其他希望逃避執法處罰的團體的“避風港”。在暗網上,犯罪分子可以雇傭黑客實施攻擊以及恐怖活動,或是進行一系列非法交易,這些交易往往涉及毒品,進而引發街頭暴力事件。
我們必須認識到濫用社交媒體可能會對我們的身體健康造成威脅的可能性,因為在社交渠道上傳播的過于私人的信息或攻擊方式,可能會迅速地演變成現實世界中(如社區、學校及其他地方)的暴力行為。
雖然所有這些威脅都是真實存在的,而且在大多數情況下,恐懼情緒可能會引爆一個更具指數級風險的世界,但是我們必須通過記住有“好人”在盡力推遲(如果不是避免的話)技術引發的物理攻擊,來平衡我們的焦慮情緒。例如,物聯網安全基金會正致力于提高對重要安全因素的關注,以便更好、更安全地融入萬物互聯的世界;而在云安全聯盟的幫助下,企業也正在采用和推廣云計算中的最佳安全實踐。
不過,盡管這些組織已經做出了最大的努力,但是鑒于網絡攻擊和物理攻擊的可能性,想要真正計算出網絡犯罪的潛在成本幾乎是不可能實現的事情。這也進一步強調了我一直倡導的一個觀點——網絡安全是每個人的事情,我們必須充分理解網絡安全和物理安全之間的聯系,并協同努力來減少針對全球社會和公民的安全風險。