维护网络安全需要加强国际合作
全球约百个国家遭网络攻击(资料图)
5月12日起,全球150多个国家先后遭遇了“WannaCry”勒索软件的攻击,20余万台计算机“中招”,医疗、政务、金融、能源、高校等机构首当其冲。尽管有安全企业发现了攻击者的蛛丝马迹,但真凶究竟是谁,会不会有第二、第三波类似或更猛烈的攻击等等,都没有明确答案。整个事件发生和蔓延的速度、后果的严重程度均创纪录,欧洲刑警组织负责人认为此次攻击“达到了史无前例的级别”。痛定思痛,各方必须认真反思,综合技术、理念、规则等各层面探寻有效的防范之道。
网络攻击防不胜防,需加快构建新型网络安防架构防患未然
当前,社会网络化、信息化和智能化高度发展,其中的安全隐忧常常被提及,技术专家,企业家抑或政治家屡屡叫喊“狼”来了。在各国政府、企业和个人的眼里,网络安全无论再怎么强调都不过分,在这个领域的投入与成果有目共睹。但技术的发展及其脆弱却远超人们认知,攻击会来自哪里?什么时候发生?会以什么形式发生?未知远远大于已知。此次“WannaCry”就没有按恶意程序传播的套路出牌,无需用户进行任何操作,只要开机联网,黑客就自动选取目标、加密文档并索要高额解锁费,结果打了一个措手不及。黑客的手段千变万化,攻击的渠道形形色色,网络防御战线难免百密一疏,归根到底是技术的角力,依托人工智能等技术的发展,各方要转变思路,加快谋求改变被动应对为防患未燃,构建新型网络安防架构。
“WannaCry”肆虐责任在于美国政府失职
“夫以汤止沸,沸愈不止,去其火则止矣”。究其根本,“WannaCry”得以肆虐的根源是美国国安局的网络武器库。2016年8月13日,“影子经纪人”公布了从美国安局窃取的大量黑客工具并在互联网上公然叫卖。4月14日,该组织再度曝光了部分网络武器,声称70%的微软系统难以抵挡。“想哭”改编自其中的“永恒之蓝”,专门针对Windows操作系统,支持多语言,使用开源代码,利用系统自身漏洞快速扩散,防不胜防。近年,漏洞正在成为价值连城的商品,在其挖掘、提交、验证、公布、传播等各环节,有着不同的利益团体,形成了一个漏洞商业生态系统。而其中政府又是主要买家。美国媒体曾披露国安局2013年斥资2500万美元购买漏洞。除不惜重金外,美国安局、中情局等军情部门搜罗顶级黑客成立“方程式组织”等机构,其主要任务就是不停地探测全球网络和电子设备的漏洞和隐患。今年3月以来,维基解密也分四批泄露了美中情局掌握的大量网络入侵工具,其数量之众、分类之细让人咋舌。美军情部门一直把漏洞视为情报资产,2014年5月,时任“网络沙皇”迈克·丹尼尔就在博客中写道,“隐瞒漏洞不符合美国的安全利益,但完全放弃这一工具作为情报搜集的渠道以更好地保护国家也是一样”,为此,美形成了一套完全封闭的漏洞评估机制,经情报和安全界层层审核后才决定是否将漏洞告知企业让其修补或公之于众。此次事件的责任应归咎于美国政府,美国政府囤积漏洞,而政府又没有尽到保管责任,使其外流并落入坏人手中,最终酿成祸端。
打击黑客行为需加强国际合作
近日,“影子经纪人”声称未来几周还会公布更多漏洞,甚至包括伊朗、朝鲜和俄罗斯等国核导弹计划,同时还会采取月付费模式。这场魔与道之间的较量远未结束。面对这种公然的挑衅,除了政府、企业与个人用户真正合作,各司其职,把好技术安全关之外,更要思考防止未来再度出现被黑客绑架的国际制度框架。一方面,国际社会要在联合国框架下加快制定有关网络空间行为准则的进程,所有国家、尤其是网络强国,要约束自身的行为,抛弃冷战和黩武思维,不要把维护网络空间稳定挂在嘴边,把它作为指责他国的口号和旗帜,背地里却仍一昧追求网络霸权、网络威慑。二是切实开展积极有效的国际合作,打破法律和制度障碍,通力合作围剿遍布在全球各地的黑客组织,遏制“暗网”等地下黑市的发展势头,防止破坏性网络技术的扩散与滥用。(唐岚 中国现代国际关系研究院信息与社会发展研究所副所长 )