网络威胁在世界经济中日益变得具有系统性。所有参与者的关注度不断上升,在一定程度上可能会导致一个全球性的反数字化,对经济造成巨大的负面影响。另一方面云计算和大数据方面进展迅速,根据麦肯锡公司的研究,这些技术为全球经济的贡献每年在9.6-21.6万亿美元之间。如果网络攻击的复杂性超出了国家和组织的防御能力,为此而制定的严厉法规和政策则可能会减缓创新和增长。
Read this article in English | French
巴黎高科评论:网络威胁政府和企业而言,有什么不同吗?
Hervé Guillou:区别不大。在网络世界中,公共和私营部门之间的边界不是根据企业或政府来界定。由于服务性行为的存在,这些边界实际上存在很多孔隙。个人需要和使用医疗服务,军队需要后勤,纳税企业要向财政机构缴税。但是为了理解方便,我们应该首先把网络空间定义为一个相当复杂的组合,它由贯通“三个世界”的“三个层级”的“九个部分”构成。
最底层是物理层,包括电缆、光纤、海底电缆、无线电和卫星网络、路由器……总之,需要一个支持并传输信息的系统。
然后是数据处理层,包括计算机、机器人、服务器、协议、直接可用的软件包如Windows、机器人控制软件或车载软件。
最后是信息内容和功能层,这个层最具可见性,也最和网络安全相关:我们这里说的是所有经过加工或存储的数据、应用程序、信息内容,包括在线金融交易(大多是采购付款)的数据和安全。
以往,这三个“横向”贯穿三个垂直世界的水平层是各自分离的,所涉及的技术端口、标准和产业结构完全不同。三个世界是:1、一般计算机科学领域(IBM、Atos、Bull); 2、工业计算机领域(CATIA、西门子、施耐德),包括自动化、机器人、3D工具、数字化设备控制协议等; 3、机(车)载计算机(霍尼韦尔、泰雷兹)凭借其在实时数据处理的专业化来控制飞机的飞行表面。
网络威胁是如何传播的?
互联网协议(IP)是垂直渗透的(因为通信和路由系统对数据进行了虚拟化,同时,IP连接的是一般计算机科学层与工厂控制和管理软件如使用SAP软件来监控生产)。机载计算机现在也加上了工业数据处理。例如,“公文包”(suit-case)使车载数据处理设备将维修数据传回到汽车制造商的技术中心,下载修复软件补丁程序,甚至订购备件。每架空客有7个IP地址可以连接“接口”,来处理餐饮物流、上传新航班时刻表,并且在飞行中发送回状态数据。很明显我前面提到的三个世界如今紧密啮合在一起。
今天发生的一切让我们回想起四个世纪以前国际贸易的发展情形。当时沿海港口到港口的旅行变得全球化,令人难以置信的巨大财富开始在海上航线流通。这种流通引来了海盗攻击船只,抢夺船上货物,海军舰队因此建立。致命的病毒,开始蔓延。
这也正是今天互联网上所发生的,除了攻击者和防御者之间的不对称性更为惊人。不用花费太多就能轻松雇用到全世界最优秀的计算机科学家来充当黑客。成本远远低于建造一枚弹道导弹、一架战斗机或一个核反应堆。构建一个攻击所需支付的设备和攻击者价格几乎为零。此外,攻击者可以在任何地方进行操作:用50美分租用一个服务器站,控制200万台服务器进行攻击,就能赚到100万美元。当有遍布全球的200万台服务器,牵涉到14个国家,谁有能力定位攻击源?攻击者不会因此受到惩罚,因为很少有受到攻击的机构会选择发动法庭诉讼程序,担心这将会对声誉产生明显的负面影响。
我们只能自己保护自己?
就算想要定性一个网络攻击,你也不具备相应的法律手段,因为实际上还没有适用于互联网的国际法。在这个领域罕见的国际条约之一《布达佩斯网络安全公约》覆盖范围极其有限,远没有涉及到空中交通、空间或海洋探索等领域。今天的受害者与往昔西班牙商船上的受害者处境相同。越来越多的财富正在网络上被运输。私募人士“透露”他们的银行数据;设计师们交换自己的知识产权;企业家也在使用在线生产工具,通过电子供应链和电子仓库连接工厂和供应商,通过电子商务管理客户,通过电子人力资源软件管理员工。受害者是静态的,并“努力”暴露可被攻击的网络端口!攻击通道的数量呈指数级增长。2003年全球有5亿个IP地址,到2020年,物联网将导致这一数字不低于800亿……所以没有什么比通过供应商或外部流动员工来攻击一家公司更容易了。
那么,什么是网络犯罪?
有的人仅仅是为了钱,比如出售偷来的信用卡ID码。其他动机可能是国家级别的恐怖主义破坏,或非政府组织希望“惩罚”某家公司,以及工业间谍和商业数据盗窃。所有这些行为背后,不是浪漫的罗宾汉,更多的是有组织的犯罪,我们现在必须称之为“持续的高级威胁。”20欧元,你可以购买一个完整、有效的信用卡号码,透支额度被窃贼设置在100欧元。如果攻击窃取了你的工业设计图纸,你必须知道,这类知识产权项目存在地下市场,购买者可以通过使用这些文件的内容赚取利润或让产品增值。
这场战争的成本是多少?
2013年,被网络犯罪分子窃取的经济财富为1900亿欧元,这里的数字仅指直接损失。例如,索尼公司被窃150万个信用卡ID数据,直接价值1.5亿欧元。但索尼随后声称拿到了13亿美元的保险赔偿用于支付完全关闭受非法电子交易侵扰的服务器,对数据处理系统进行改造以及为重建公司信任度而进行的公关活动。与国防或能源部门合作的公司,如果工业图纸被盗,其经济或战略损失可能非常巨大。
为什么要追踪黑客是如此困难?
连逮捕到叙利亚参加“圣战”的圣战者都被证明不可能,更别提抓到黑客…..你该如何跟踪一个在网络上使用假IP地址的人?为此组建了完整的警察编队,借助法国金融情报组[主要针对金融诈骗]和国家安全部门的帮助。2013年约有2600万个病毒(恶意软件)软件包被识别,意味着每天70万个新的威胁。全球被病毒潜伏的计算机数量约为40%,一台新电脑安装初始程序后,只能保持清洁3分钟。之后,黑客安装的一个小“僵尸网络”(一个休眠的病毒软件)可能唤醒,并在之后某个时刻运行僵尸网络序列,然后使用这个“无辜”的IP发动网际攻击。
黑客如何成功隐藏得这么好?
发现一个复杂、高层次攻击的平均用时为416天。法国财政部为G20峰会做的准备服务被黑客攻击;一个由50名专家组成的团队,历时4个月,一周七天不间断地夜以继日工作,才根除了“癌症”。一旦黑客侵入你的系统,他/她只需要等待24小时就可以获得日常备份协议和文件,然后用一个月访问每月备份、年备份,以此类推。渐渐地,他/她就能越来越深层次地访问您的网络结构。当你认为你已经关闭了一扇门的时候,他/她已经有了打开所有其他门的钥匙。
总之是不可能有效地保护自己吗?
确实很难,但又不能不做。我们的生存面临着威胁,简单的说,因为互联网通过我们的所有系统以物理形式表现出来:在医院手术室、我们的汽车、交通灯控制、电能表、供水网络。同样,以非物质的方式,互联网服务框架通过银行体系直接影响一国的经济防御能力,或能源采购政策和决策。我们可以回顾一下爱沙尼亚的情况——当时世界上技术最先进的国家之一——俄罗斯黑客于2007年令其整个经济瘫痪整整4天。
能否在成本可承受的前提下,实现一定的自我保护?
一般的电脑安全软件是最基本的,能够应付90%的低级别网络犯罪。2013年,有7万部手提电脑在伦敦地铁被窃。全球70家公司遭受了网络攻击。你必须小心防范。只要树立一道小“墙”,就能阻止很多以简单入侵为目标的网络犯罪。但最终,你必须尽快安装一个控制ID,基于三重授权:1. 我是谁(网名);2. 我的ID形式(证件还是卡片);3. 只有我自己知道的信息(密码)。如果密码太多记不住,而必须做个列表,这个列表本身就成了软肋。人们可以利用生物识别技术接入网络,而你的密码更是不堪一击。我们必须小心自己的手机,这个介于计算机和机载数据处理设备之间的东西,完美体现了早期互相隔离的世界如今已经逐渐融为一体。
国家和工业巨头是否有共同利益基础来实施各自的保护协议?他们最终会禁止使用云计算吗?
当然,国家和巨头们应该管好自己的事情,并采取措施保护自己。但必须指出的是,这些手段,通过适当部署,在其整个系统、网络和数据处理设备中应该是同质,且与潜在损失是成比例。针对间谍、服务被迫关闭或被盗等不同性质的攻击,保护手段也存在区别。然而,依我之见,禁止云技术是没有意义的。已经太晚了,走那条路经济压力也会过于沉重。我们必须与其共处,并尽最大可能来组织自身,例如通过不发送任何东西、数据到云备份,通过高加密和对个人ID的专业控制、安全传输来保护我们的网络行为。
今天,有可能保证一个公司或机构内部网络的绝对完整性吗?
不能。即使将一个内部网络在技术上和物理上与外界隔离,只要人们可以访问,它们就会存在薄弱环节:缺乏纪律、人为错误、ID盗用……
危险不仅是个人黑客,是吗?
各国应该在两个方面进行布局:进攻和防守。爱德华·斯诺登披露的文件表明了一个事实,即美国国家安全局投入了大量的资金和丰富资源,进行经济间谍活动,甚至从设计和生产阶段就开始去“感染”美国之外计算机和路由设备,以确保该机构获得对所有入口和端口的访问。与此同时,美国建立了更出色的网络安全监管和法律框架,迫使家庭和企业采取措施以保护自己免受网络攻击。动员各国解决这些问题为起点。在法国,2014年军事立法规划有几篇致力于网络安全的文章。被认为利益重大的项目和机构被要求依法提交专家听证会。2013年,英国政府要求CEO和所有FTSE100公司的外贸部门成员,发布潜在攻击和解决方案的警告。培训也很重要,所有工程和博士课程现在都设置了网络安全课程,专业课程也有必要开设。
那么,企业界呢?
将控制风险纳入战略制定是必不可少的。一般来说,网络安全部门的负责人向计算机和数据处理部门报告,这是最糟糕的配置。网络安全预算与计算机部门的整体预算相冲突,系统中出现漏洞时,其负责人的位置很弱势。往往是首席信息官(信息总监)全权负责一般功能的计算和数据处理,与工业计算或操作密集型数据处理没有联系。简言之,2/3的计算功能存在于他的责任范围以外。对于访问控制非常重要的人力资源管理问题,也在他/她的权限之外。 CIO受到职务等级的压力,无法达到处理量规模和更低成本。他/她无权裁量网络风险的经济价值和实施充分保护的成本之间的投入产出。外资或出口部门也必须完全参与和动员。在法国大汽车公司,CTO(首席技术官)负责运营、工程及运转,也负责网络安全。这种安排很好,因为首席技术官对车载计算机设备很了解,他的团队既是网络的设计者,同时也是最终使用者。
哪些行业的安全保护做得更好?
最先进的是银行,因为就其而言,一般的计算机操作和行业计算操作二者是同一件事。其他行业则明显松懈得多。某些交钥匙工厂项目并没有实施任何网络安全措施。我们曾经参观中东一个炼油厂——世界上最大的炼油厂之一——整个工厂可以在10小时内远程停止。只需要盗取控制面板的IP,修改显示屏内容设置,并诱导技术人员采取在这种设置下将导致工厂事故的“纠正”措施。你必须知道何时进行适当的投资。当一个石油公司的移动团队得知所有勘探地图和文件都被窃取时,他们在本质上失去了非常珍贵的商业谈判砝码,而雇主公司一定会后悔没有购买几部拥有加密功能的手机。
而最好的防线是…?
关键是实时反应。为了减少损失,就必须先缩短受到攻击后的觉察时间。探头应该安装在系统环境中。高水平的网络罪犯分子仍然会通过,而其他人在离开时会留下微弱的信号。非工作时间内仍然安排“活跃”的监控。第二个关键点是要有选择性,因为你不能实时保护所有的一切。数据处理系统应被划分成不可混溶的单元,对系统访问授权进行专业管理。
如何建立一个强大的网络安全产品?
所谓高级别安全是非常保密的,应用领域很窄。例如,在核电站中使用的军事通信代码。这个市场完全掌握在美国人手中。他们买下了所有竞争对手,围绕英特尔、微软和思科建立了数十亿美元的垂直产业。中等级别的安全产品,即保证大型、重要工业集团的防御产品,在欧洲几乎没有,因为这个问题在很大程度上被忽视了。超过95%的企业资产不到5万欧元。通常是资金不足的初创企业,产品有限,研发薄弱,很难拓展市场,尤其是国外市场。大型工业集团毫不犹豫地将自己的网络安全外包,因为害怕重新部署和雇佣新员工……在美国,国土安全部对国家安全局(NSA)拥有联合控制,年收入50亿美元,每年投资30亿美元在网络安全产业,为8万人提供就业。我们在这个领域需要加强。在法国,关于网络防御的所谓的“33计划”,最近被写进了建立一个专门的国家安全部门的框架,向正确的方向迈出了一步。
法国CNIL(国家计算机应用与自由委员会)和国外一些性质类似的机构注重保护个人。应该设立类似机构来保护企业吗?
CNIL的职责是保护私人免受潜在个人资料滥用,也对这些个人的工作环境感兴趣。因此该委员会很高调,但它不负责保护商人的商品或企业的数据。这是企业的责任,可能得到法国国家信息系统安全局的支持和建议,或值得信赖的网络安全公司,这些公司开始有所发展。唯一的问题是,这些公司还太小了。网络安全产业应迅速建立并巩固。
是否可以设想建立一个全球性的监管机构,以保证系统的完整性和网络信息交换免受黑客攻击?
有些人目前正在研究这个问题,但成果不大。各国家目标不同,甚至对同一个概念的定义都存在分歧,那就是公共和私人自由到底是什么!
(本采访发表于2014年4月,Hervé Guillou先生当时担任法国信托及安全产业委员会(Conseil des Industriels de la Confiance et de la Sécurité)主席)
如果病原体传播到全世界只需几天,意味着我们的反应时间必须更短,甚至短到几个小时。迅速反应的前提是医疗基础设施的完善,而数字医疗体系则是关键的关键。