我们所处的世界通过数字技术日益紧密相连、数据驱动并加速虚拟化,为人们的工作和生活提供了无限便利。但是,这样的便利无疑是一把双刃剑:同样的数字技术暴露了网络安全的脆弱性,成为大规模数据泄露的罪魁祸首。
驱动“不安年代”的六大趋势
无处不在的传感器设备
网络威胁数量上升、危害加重
越来越多的网络攻击被用于扰乱地区政治局势非政府组织影响力增大“新闻造假”日益猖獗
数据驱动型组织增多,数据驱动型决策兴起
畅想三 2022
2022 年 10 月 1 日
2022 年 10 月 1 日:专访卡洛斯·海尔采格,网络安全基金会首席执行官
在参议员阿克被暗杀后,网络安全再次占据各大媒体的新闻头条。当人们听说攻击心脏起搏器竟然这么容易时,都非常震惊。请问您是否也和大家一样呢?
很遗憾,我其实一点儿也不惊讶。多年来,对互联设备脆弱性表示担忧的声音始终没有停止过。但是,当不幸真的发生时,尤其是当人们眼睁睁地看着黑客入侵起搏器制造商的推特账号,并用推文给阿克的死亡进行倒计时的时候,确实让人脊背发凉。我一直盯着屏幕右下角的已经经过核实的实时新闻推送,难以相信这一切真的发生了。
您是否信任那些已经经过核实的新闻推送?
这年头你没法完全相信任何东西,对吧?不过,我觉得这确实是个有用的工具,而且我们确实在新闻核实方面做得越来越好。我不知道你听说过没有,有简报说美国中央情报局宣布此次事件是“国家支持的”恐怖主义袭击。这种说法一度引发了大规模恐慌,但实际上这条简报根本就是虚假消息。幸好流言很快被澄清了。目前看来,这是国内的极端主义者在捣乱。
我们来聊一聊那些值得高兴的事吧。Thing Safe已经成为第一家获得网络安全基金会AAA评级的公司。这件事情也让您在本周再次成为媒体关注的焦点。那么,这么高的评级到底意味着什么?
这意味着我们认为该公司已经在合理范围内用尽所有努力来提高产品安全性。当然,我们并不是说他们已经对网络安全绝对免疫,毕竟没人能做到万无一失。而且作为一家独立的公司,对保障网络安全能够做到的依然有限。如果网络袭击导致整个互联网的瘫痪,就像上周二美国东海岸所发生的那样,那么拥有再高评级的公司也无能为力。
上次美国东海岸的事件给了我们哪些经验教训呢?
上次事件揭示了许多公司的网络安全防备是多么脆弱。那次事件中,我们看到人们被锁在自己家门外,自动驾驶汽车停在高速公路中央,全息影像员工在企业平台上消失,XR 购物中心无法进行支付。所以,我们在网络安全基金会的评级流程中会评估企业的应急计划是否足以应对此类大规模恶性事件。显然,大部分企业的应急计划可以说是不够充分的。
您能否为那些还不熟悉网络安全基金会的读者简要介绍一下,这是一个什么样的机构?负责哪些工作?
网络安全基金会由几位硅谷慈善家创立。他们认为,为了引导消费者选择更高质量的产品,有必要对网络安全制定一个质量认证体系,就像为食品贴上“有机食品” 标签一样。我们希望能够推动整个市场的良性循环:消费者越青睐那些保障产品安全性的企业,越会促使更多企业在广告中提及自己通过了网络安全基金会的认证评级,进而会有更多消费者认可这一评级,那么就会有更多企业愿意向我们付费进行评级。
评级流程涉及哪些方面呢?
我们会派遣一支团队进入待评级企业,提出各种问题,并考察他们的网络安全配置。然后,我们和白帽黑客合作,请他们攻击这家企业。顺便说一句,我们的评级不是一次性的,而是一个持续的过程。也就是说,我们会定期开展企业内部自测,一旦发现漏洞且判断该企业未能及时处理,就可能会对其降级。
具体而言,你们都使用了哪些评估标准?
我们有一张标明评级标准的清单。但评级并不只是简单地打打钩,还需要涉及诸多复杂的判断。这种安全评级方面的对标服务还是一个比较新的概念。就在几年前,企业还在使用一些比较粗糙的衡量标准,比如以“网络安全投入占IT预算的百分比”为衡量标准。而且,企业面临的威胁也一直在变化。例如,由于越来越多的国家建立了数字边界,我们目前就在制定一项标准,来评估企业在应对数据监管政策突然改变时的准备情况。
虽然网络安全基金会成立才不过 18个月,但现在到处都能看到基金会的标识。我们可以感受到,公众的“不安全焦虑感”达到了前所未有的高度。这是你们得以快速发展的原因吗?
这只是一部分原因。人们对网络的依赖性越来越高,尤其对XR创造的虚拟世界欲罢不能。这已经成为人们生活中再自然不过的一件事。但很少有人真正理解其中的风险和所需的安全保障。在冷战时期,各方力量的博弈至少还是看得见摸得着的。每个人都能看得到武器的存在,懂得武力威慑的逻辑——那些东西的可预测性比较高。
如今情况不同了?
大不相同。想一想这些因素:割裂的区域政治局势,恐怖分子和犯罪分子网络,以及宽松的技术管制导致新技术内在的安全风险提升,进而导致网络攻击的方式愈发复杂。
大部分消费者调研表明,企业是否有能力保障数据安全已经成为消费者做出购买决策前的首要考虑因素。是什么导致了消费者态度的转变呢?
一些影响力极坏的事件使人们更加意识到,他们的数据其实非常有价值,一旦被泄露,后果将不堪设想。还记得去年亚戈银行的数据泄露事件吗?当时员工福利服务信息被泄漏到网上,人们最隐私的医疗数据被公之于众。
还有哪些方面会让人们担忧?
首先,钓鱼攻击越来越复杂。几年前,钓鱼邮件中还会出现像“我是尼日利亚前国防部长的遗孀”这种很容易引起人们怀疑的桥段,并充斥着拼写错误。如今,骗子们可以利用人工智能来整合从各种渠道盗取的信息,来杜撰一些高度个性化的、真假难辨的钓鱼信息,比如“我在萨利披萨店买披萨呢,快把支付密码发给我一下!”
不过也有人认为这些事情总是防不胜防的。您觉得是这样吗?
的确。所以越来越多的消费者有意选择那些值得他们信任的公司,以便将不利情况发生的概率降到最低。我们看到,市场上的新玩家将网络安全放在产品和服务的首位,对价格和使用便利性反而不那么重视,这让市场上其他竞争对手相形见绌。Thing Safe就是市场上的佼佼者,这家企业不仅管理智能住宅内的所有互联设备,也负责保障这些设备产生的数据的安全性。
政府应该在数据安全方面承担更多责任吗?
不知道你有没有研究过加州提案?这项提案建议,应该把那些“无法有效防止病毒入侵”的互联设备认定为非法设备。希望借此提案,法律能够更加完善。但是,一些政府总是会给出数据民族主义倾向的回应,使问题变得愈发复杂,因为那些措施根本就是缺乏考虑。顾虑重重的监管者总是疲于追赶快速改变的行业——这就是为什么我更喜欢我们的做法,也就是让市场本身发挥作用,推动整个行业更好更快地发展。
拉回现实
今天,互联设备的数量已经超过了这个星球上的人口总和,无处不在的传感器设备还在源源不断地产生新的数据。以汽车行业为例。目前,每辆新车拥有60到100个传感器,而随着传感器愈发智能化,这一数字将增加至200个。到2020年,仅汽车行业就预计将安装约220亿个传感器。从整个社会来看,2015年至2020 年间产生的数据量将出现极大飞跃。单独看互联网流量, 2016年每几秒钟处理的流量就已经超出了 1992 年全年的流量。
我们所处的世界日益紧密相连、数据驱动并加速虚拟化,为人们的工作和生活提供了无限便利。但是,我们的世界也日益暴露出网络安全的脆弱性。2016年,全世界发生了15次大规模数据泄露,每次数据泄露都导致超过一千万条信息被盗。2017 年的勒索软件Wanna Cry利用微软Windows 操作系统的漏洞,锁住了150个国家的30多万台遍布工厂、医院、商店、学校和政府中的电脑。
黑客攻击能够造成整个网络平台或实体基础设施瘫痪。2015 年,一次针对乌克兰电网的攻击让 70 万人断电数小时。2016 年,一个由近50万台联网设备(包括网络摄像头和数字录像机等)组成的“僵尸网络”使推特和贝宝一度无法访问。过去,只有少数大国拥有大规模攻击基础设施的能力。如今,随着地缘政治局势越来越复杂,恐怖分子和犯罪团体的破坏能力不断上升,人们越来越难以确切地找到攻击源头。
网络攻击对企业的财务和声誉造成的影响越来越大。2015 年,一些技术研究人员展示了他们能够入侵Jeep大切诺基并远程操控该车辆的引擎、刹车和方向盘,迫使菲亚特克莱斯勒召回了140 万辆汽车。雅虎在2016 年的数据泄露事件中造成 10 亿账户信息外泄,为此面临着 23 起集体诉讼。
预计到 2020 年,全球对网络安全硬件、软件和服务的投入将超过 1000亿美元。越来越多的公司将网络安全升级为重要的投资对象。例如,亚马逊的云业务 AWS 就在 2017 年收购了网络安全公司 harvest.ai。
未来挑战
保障网络安全迫在眉睫,企业很可能需要做出决策:是付费升级不安全的系统,还是继续保留这些系统并进行风险评估。这样的决策往往会很艰难。比如,尽管已有 15 年历史的Windows XP操作系统从 2014 年起就不再进行安全更新,但目前世界上仍有超过 7%的电脑正在使用 XP 系统。有一些电脑用于医学等专业领域。但正如英国国家医疗服务系统的网络安全专家指出的那样:“你不可能因为核磁共振扫描仪使用的是 XP 系统,就淘汰这种昂贵的设备”。
网络安全忧虑的增长很可能会在消费者中引起恐慌,进而造成大规模抵制不安全开源平台的社会运动。本来,开源和协作文化促使独立开发者和用户等参与到企业产品周期中来,从而激发创新,提升用户体验。但是一些企业会顾及开源平台的安全性,可能放弃使用这样的平台,进而错失商业发展的良机。比如,安卓系统因为花样繁多的应用而广受开发者和消费者的喜爱,但也因为应用质量良莠不齐或恶意软件泛滥的问题而备受诟病。出于安全考虑,企业可能会选择远离这样的平台,放弃与之相关的发展机遇。
人工智能的发展可能为网络安全带来新的隐患。例如,华盛顿大学的研究人员利用人工智能制作的奥巴马总统讲话视频就已经达到了以假乱真的程度。这意味着使用人工智能技术伪造音频和视频已经成为可能,这些音频和视频可能被用于操纵和误导不明真相的群众。心怀不轨的犯罪分子也能使用人工智能更加轻而易举地收集和滥用个人敏感信息。
未来机遇
人工智能尽管会对网络安全构成威胁,也为提升网络安全的提供了新工具。例如,成立于 2012 年的美国技术公司 Cylance 正利用机器学习技术分析过去的攻击,旨在在病毒或恶意软件对用户电脑造成损害前检测到并阻止它们。
从生态系统的角度来看,新兴的物联网生态体系正处于制定设备兼容性标准和网络安全标准的阶段,这可能是企业成为行业领导者的良好机遇。如何为不同级别的数据划定合理的安全级别,如何保证价值链各个环节的安全标准保持一致,如何在保护整个生态系统的安全中承担责任,都可能成为讨论的焦点。
值得企业思考的问题
•网络攻击不在于是否会发生,而在于何时会发生。企业应随时做好准备
•安全将成为企业的竞争优势,安全评级服务可能随之产生,影响消费者和客户的决策
•企业可以考虑把已有的人工智能和区块链等技术应用到提升网络安全之中,以最大化投资回报
•企业的网络安全责任将与实体安全责任同等重要
•企业如果能就网络安全方面的具体事项牵头为整个行业乃至生态系统来制定框架,将会从中受益
尾声
本研究虚构的故事绝不是仅供消遣,而应当成为企业实际决策和行动的基础。每家企业在未来面临的挑战各不相同。作为企业的领导者,您不妨想象一下,您的企业现有的运作模式是否足以应对本文描绘的种种未来。如果已知这样的未来终将来临,您从现在开始应当进行哪些改变?未来变幻莫测,您预备的种种方案是否足以让您从容应对?
我们也期待企业的领导者们展开想象,大胆推测在本文描述的三种未来以外,还有哪些情况可能会发生。不妨选择不同的趋势,以全新的方式进行组合,并考虑它们之间的互相作用会产生什么结果。如果这些趋势互相碰撞、相互影响,会发生什么样的重大事件?您需要在今天为明天的到来做好哪些准备?
预测未来永远不可能成为像数学或物理学那样精准的科学。它始终要求决策者运用大量的主观判断,在未来的可能性和未来的不确定性之间取得平衡。我们希望“商业未来”的研究方法能够成为商业领袖们理清思路、制定决策一大新工具。
附录:研究方法
作为本研究的起点,我们首先筛选出了一百多个重要的全球趋势,这些趋势都将在中长期内对各个行业中的企业产生重大影响。有些趋势是长期以来一直存在的,有些趋势是最近几年刚刚萌生的。它们分布在人口与社会、经济、地缘政治、环境、组织、技术这六大领域,凝结着我们对300多个二手信息来源进行分析的成果。
本研究所讨论的每个未来都是由这一百个重要趋势中的几个趋势相互碰撞组合而产生的。我们是如何确定应该选取哪些趋势进行组合分析的呢?答案是,我们使用了文本分析工具对所有趋势进行了筛选和分组。我们分析了 CEO 们发表的 7000 多次演讲,由此了解到企业高管最关注的问题是什么。以2017年为例,社交媒体和人工智能是CEO 演讲中最常涉及的两大话题,意味着这两个话题是企业高管在2017年最关注的问题。
我们进一步对CEO的演讲进行了倾向性分析,发现他们尤其关注地缘政治和网络安全。例如,在 2017 年的分析中,有关网络安全的负面情绪占总所有分析对象的 27%,远远高出虚拟现实的9%和宏观经济环境的8%。
除此之外,我们运用文本分析评估了风投资金的流向,以此追踪不同技术的受关注程度。我们对不同行业的交叉分析表明,医疗、人工智能和区块链是人们目前关注的焦点;我们对不同地区的交叉分析表明,人们对中国、印度和以色列等新兴技术型国家的关注呈上升趋势。我们还对政治、经济和技术领域的 300 个影响力最大的博客爬取了数据,以发现新兴的热门话题。
我们在用多种研究方法检验了不同趋势之间的关系并将这些趋势合并分组后,邀请了专家顾问团对初步研究成果进行分析。我们的专家顾问团包括了埃森哲内部和外部的未来学家、企业家和行业专家。他们通过一系列访谈和研讨会共同探讨这些未来对企业的影响。
经过这些研究步骤,我们最终敲定了三大商业未来,在本文中一一呈现。
作者简介
马克·珀迪
埃森哲研究部董事总经理
常驻伦敦
mark.purdy@accenture.com
比尔·勒西厄尔
埃森哲技术研究院经理
常驻旧金山
william.lesieur@accenture.com
雅典娜·佩普斯
埃森哲研究部经理
常驻伦敦
athena.peppes@accenture.com
安愫宁
埃森哲研究部研究员
常驻北京
suning.an@accenture.com
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。