網路危機如何解決？參考金融危機

E安全8月1日訊 網路安全狀況已越發複雜，2018年1月，世界經濟論壇強調，經濟越來越依賴互聯網和數字信息，網路攻擊和數據詐騙已經分別成為2018年全球第三和第四最嚴重的威脅源。

本文源自E安全

網路危機與金融危機

網路威脅的系統維度越來越明顯，對於大規模威脅的理解以及如何應對這類威脅，或可從全球另一類大規模破壞——金融危機——中借鑒經驗。

互聯網和全球金融系統之間存在令人驚訝的相似之處，二者都網路傳送信息和資金，為經濟提供血液。理論上講，一次金融危機和一次潛在的網路危機有三點相似：

一、起因：一些過於冒險的經紀導致了漏洞累積，而這些漏洞最終由於彼此之間的關係轉化為系統性風險。

二、發展：在比較薄弱的節點可出現中斷，幾天甚至是幾小時後，中斷會蔓延到整個系統。

三、結果：如果雙方失去信任，參與方彼此切斷往來，導致交易乃至整個經濟陷入停滯。

可以部署政策響應來解決這些問題。在金融系統中，安全保障措施已經隨著時間推移建立起來，例如：收緊貸款，為失敗機構提供有序處理的流程，持續收集微小數據以識別薄弱環節。儘管不一定奏效，但這些措施有助於減少系統性的風險。而在網路世界，創建安全保障的流程還處於起步階段。

商品市場帶來的安全隱患

關於"起因"，某具洞察力的文獻認為，扭曲的激勵制度是問題核心所在，而非複雜的攻擊。

計算機科學家最先於2001年發現，競爭壓力導致硬體和軟體開發商放棄部署完整的安全措施，因為他們都忙於把產品推向市場。

此外，在網路防禦市場，供應商或許利用顧客技術知識有限，而向客戶推銷無效但昂貴的解決方案。

儘管已引入一些正確的措施，例如：

• 歐盟《通用數據保護條例》（GDPR）規定，披露個人私密數據的公司會面臨巨額罰款，而且該條例還強制要求當局和數據主體披露數據泄露情況。
• 網路和信息系統安全（NIS）的指令介紹了網路保護要求和緊急事件發生時需向重點部門（如能源，金融和醫療）披露的義務。歐盟委員會2017年9月提出過一個監管提案，設想建立一個歐盟範圍內的軟硬體安全認證框架。

這些都是必要的步驟，但還不夠；GDPR 和 NIS 的努力受限於一些特定案例或部門。

本文源自E安全

缺乏行之有效的通用追責法則

目前為止，攻擊者如果利用第三方漏洞，如 DDoS 攻擊，攻擊其最終目標，還沒有通用的法則，標準或參數進行追責。顯然，在這方面可以做的還有很多。

關於上述第二點，對安全薄弱環節的定位和薄弱點之間的相互關聯，各方觀點不一。有關網路攻擊頻率和經濟影響的「可靠，公正，全面且可廣泛訪問的」數據很少。這類信息有助於了解人們應從哪些方面對經濟做緊急干預，包括從意識，大規模活動，專門的激勵制度或監管等。

難點在於「失去信任、切斷往來」

而上述第三點「結果」中強調的問題，即雙方失去信任，參與方彼此切斷往來才是最難解決的。

在2009年的金融危機之後，一些大規模，有爭議性的公共資金注入銀行系統，金融業的信任才得以恢復，全球監管框架也得到了實質性的強化，包括金融穩定委員會，國際清算銀行和國際貨幣基金組織等。

在網路危機中，並沒有等同於經濟學家艾倫·格林斯潘（前美聯儲主席）這樣的人設。更難的或許是建立一個全球性的監管架構，某個國家的單邊行動就可能發展成網路危機。這就好比貨幣戰或貿易戰，如果有一些國家不共享目標或不認同某些基本規則，那麼技術上最優的全球性協議就會失去其目的。因此問題主要還是存在於政治，外交和軍事關係中。

政治學家 JOseph S. Nye 曾辯稱，非政府的網路規範組織，如全球網路穩定委員會，或許在協助處理這類問題 方面可起到重要作用。解決方案也可以在志同道合的國家之間催生出來，如歐盟，而且隨後這類方案會擴展到更廣泛的地區。從這個意義上來說，金融體系再次提供了一種偏向於實際行動的顯著參考。例如，G7集團（主要工業國家會晤和討論政策的論壇，成員國包括美國、英國、德國、法國、日本、義大利和加拿大）的財政部長們和央行行長們其實都十分謹慎，他們已經開始著手提案，希望舉行跨境的網路危機演習。

註：本文由E安全編譯報道,轉載請註明原文地址

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！