不要光看表面 网络犯罪的潜在成本无法计算

对网络攻击成本的分析通常会伴随着各种价格标签,我们也定期就会阅读到一些强调数据泄露成本的报告,这些数据通常十分惊人,例如,Juniper Research就在其发布的一份报告中指出,预计到2019年,全球网络犯罪成本可能将超过2万亿美元。

虽然这些惊人的数据成功引起了人们的注意,但往往却忽略了一种更深刻、更具震撼的考虑——即信息与网络安全和我们的物理/人身安全之间的关系。

网络安全风险通常被视为一种模糊、抽象的概念。对于我们普通人来说,很容易区分开我们的数字和物理环境——我们的家、办公司以及带孩子玩的公园等。我们会在头条新闻中阅读到有关网络攻击的内容,但是它所带来的震撼性却远远不如我们阅读到有关人身攻击或银行抢劫时所产生的情绪。很显然,对于我们来说,与阅读到网络攻击的新闻相比,阅读有关人身攻击或银行抢劫的新闻,能够在我们的脑海中产生更为震撼和深刻的画面感。

然而,随着网络攻击的数量不断增加,网络犯罪分子的攻击方法也变得越来越多样,越不可预测且更为有效——数字世界和物理世界之间的分界线也变得越来越模糊和脆弱。逐渐地,“动力攻击”(kinetic attacks)——这个词来源于David Rothkopf关于全球性对待网络攻击的态度的演讲之中,其包括可以广泛流传的众多部分,比如说思想炸弹——的可能性,正在引发越来越多的关注和警惕。

威胁同样适用于个人及更广泛的社会

网络安全和物理安全之间的联系适用于广泛的范围——网络安全毫无疑问是一个重大的国家安全问题,而且针对关键基础设施的攻击可能会对我们的身体健康造成大范围的损害——同样地,网络安全在个人层面上也是一个重大的问题,尤其是涉及个人身份信息(PII)暴露问题时。落入坏人之手的数据(包括家庭住址、联系信息以及其他PII数据)可能会为那些存有恶意意图的人提供攻击入口,进而造成人身伤害。

源自网络攻击的物理威胁可以针对我们中最脆弱的那部分人——如那些依赖医疗设备维持生命的病人等。恶意行为者可以通过攻击心脏起搏器或胰岛素泵等医疗设备,对人身安全造成威胁。而面临威胁的医疗机构也会积极地对安全和风险管理计划进行战略投资,以便为患者营造更为安全的治疗环境。

不可否认,针对个人的攻击行为已经足具威胁性,而针对关键基础设施的威胁可能会对我们的人身安全造成更大规模的威胁和伤害。正如2017年麻省理工学院(MIT)报告中所指出的那样:美国和其他大多数国家用于控制关键基础设施的数字系统都十分脆弱,非常容易遭到入侵攻击。

除此之外,物联网设备的加速普及虽然为人们的工作和生活带来了很多好处,但却使工业控制系统成为了网络犯罪分子的目标,由此可能会引发更为严重的后果。如今,针对关键基础设施的攻击已经引发了一系列严重的安全威胁,包括危及工人生命的工厂爆炸、入侵交通工具造成的人员伤亡,以及电网故障可能导致数以万计的人无法获取食物、水以及医疗卫生服务等。

长期处于电力故障状态固然会为居民和企业造成非常严重的后果,但是更令人不安的是,一旦民族国家黑客针对一个国家的关键基础设施进行无耻的攻击行为,那么这种攻击可能会将网络空间的战争升级为危害全民安全的军事冲突。

更多工具可供网络犯罪分子利用

源自数字世界的威胁在我们的物理环境中浮现的可能性正变得越来越明显。越来越多的人工智能恶意应用已经为我们的安全造成了威胁。根据ISACA的第二份年度数字化转型晴雨表(Digital Transformation Barometer)的调查显示,只有40%的受访者对他们的组织能够准确评估基于AI和机器学习的系统的安全性表示有信心。随着自动驾驶汽车以及人工智能技术在海上和其他运输方式中的应用变得日益普及,加强这些系统的安全性对于防止恶意攻击具有至关重要的作用。

除此之外,暗网也提供了另一个平台,通过该平台,网络威胁可以转变为针对我们人身安全的现实威胁。如今,搜索引擎无法访问到的暗网区域已经成为犯罪分子、极端分子以及其他希望逃避执法处罚的团体的“避风港”。在暗网上,犯罪分子可以雇佣黑客实施攻击以及恐怖活动,或是进行一系列非法交易,这些交易往往涉及毒品,进而引发街头暴力事件。

我们必须认识到滥用社交媒体可能会对我们的身体健康造成威胁的可能性,因为在社交渠道上传播的过于私人的信息或攻击方式,可能会迅速地演变成现实世界中(如社区、学校及其他地方)的暴力行为。

虽然所有这些威胁都是真实存在的,而且在大多数情况下,恐惧情绪可能会引爆一个更具指数级风险的世界,但是我们必须通过记住有“好人”在尽力推迟(如果不是避免的话)技术引发的物理攻击,来平衡我们的焦虑情绪。例如,物联网安全基金会正致力于提高对重要安全因素的关注,以便更好、更安全地融入万物互联的世界;而在云安全联盟的帮助下,企业也正在采用和推广云计算中的最佳安全实践。

不过,尽管这些组织已经做出了最大的努力,但是鉴于网络攻击和物理攻击的可能性,想要真正计算出网络犯罪的潜在成本几乎是不可能实现的事情。这也进一步强调了我一直倡导的一个观点——网络安全是每个人的事情,我们必须充分理解网络安全和物理安全之间的联系,并协同努力来减少针对全球社会和公民的安全风险。

上一篇:从索尼黑客起诉书看IT安全的5个经验教训

下一篇:IBM发布一系列安全、AI及云项目