警惕“數(shù)字化破壞”

全球經(jīng)濟正在進入極易受“數(shù)字化破壞”的階段，這一威脅堪比美國次貸危機——美國大西洋理事會近日一份報告發(fā)出如是警示。

這份題為《超越數(shù)據(jù)破壞：全球關(guān)聯(lián)的網(wǎng)絡(luò)風(fēng)險》的報告由大西洋理事會網(wǎng)絡(luò)治國計劃項目主任賈森·希利主筆，研究歷時一年。

報告認為，未來的互聯(lián)網(wǎng)危機與2008年的次貸危機具有某種相似性，在爆發(fā)前隱藏得很好以至于人們難以察覺；一旦被某個事件引爆，可能令全球經(jīng)濟發(fā)生連鎖反應(yīng)，從而引起更大范圍或更持久的崩潰。問題是，現(xiàn)在的政府、公司等大多僅限于關(guān)注組織內(nèi)部的網(wǎng)絡(luò)安全，而忽視了整個網(wǎng)絡(luò)系統(tǒng)的風(fēng)險。

“網(wǎng)絡(luò)次貸”風(fēng)險

說起網(wǎng)絡(luò)安全，大部分人腦海中浮現(xiàn)的是網(wǎng)絡(luò)間諜、網(wǎng)絡(luò)犯罪或者是網(wǎng)絡(luò)武器研發(fā)等。大西洋理事會的這份報告則認為，網(wǎng)絡(luò)最大的安全風(fēng)險是基于網(wǎng)絡(luò)本身的復(fù)雜性衍生的，足以使整個系統(tǒng)崩潰甚至造成全球經(jīng)濟危機。

報告創(chuàng)造了“網(wǎng)絡(luò)次貸”（cyber sub-prime）一詞來類比網(wǎng)絡(luò)風(fēng)險和次貸風(fēng)險，并認為網(wǎng)絡(luò)系統(tǒng)和金融系統(tǒng)有三個相似性：它們都極其復(fù)雜，金融系統(tǒng)中各家金融機構(gòu)的關(guān)系錯綜復(fù)雜，高度關(guān)聯(lián)，網(wǎng)絡(luò)系統(tǒng)更是如此；都與實體經(jīng)濟相連，一旦發(fā)生危機，實體經(jīng)濟必受沖擊；形成系統(tǒng)性危機的過程相似，金融系統(tǒng)是通過次級債一級級證券化，利用系統(tǒng)的復(fù)雜性和不透明性，將風(fēng)險資產(chǎn)不斷打包成金融衍生品出售給下家，直到最后誰也不知道這些風(fēng)險在哪里，網(wǎng)絡(luò)系統(tǒng)則是通過網(wǎng)絡(luò)化擴散風(fēng)險，組織機構(gòu)通過一級級外包和相互關(guān)聯(lián)，形成復(fù)雜又無人能清楚認知的風(fēng)險網(wǎng)絡(luò)。

次貸危機在2008年大爆發(fā)前隱藏得很好，基本上未被發(fā)現(xiàn)。網(wǎng)絡(luò)風(fēng)險也有這一特點，由于互聯(lián)網(wǎng)極為復(fù)雜，人們極易陷入模糊技術(shù)的風(fēng)險中而不自知。

報告舉例說，假如一家提供賬單、設(shè)計圖樣或訂單的大互聯(lián)網(wǎng)云服務(wù)供應(yīng)商出現(xiàn)了“雷曼兄弟公司那樣的崩潰時刻”——每個人的數(shù)據(jù)周五還在那里，周一就徹底消失了，那會怎樣？如果這樣一次故障“牽連到一家主要的后勤供應(yīng)商或經(jīng)營重要基礎(chǔ)設(shè)施的企業(yè)，它可能會以事前難以理解、模仿或預(yù)測的方式，將災(zāi)難性連鎖反應(yīng)擴大到整個實體經(jīng)濟”。

“互聯(lián)網(wǎng)與社會高度關(guān)聯(lián)、緊密交織，這意味著一個地方的小故障會發(fā)生連鎖反應(yīng)，并對其他地方產(chǎn)生特大規(guī)模的影響。雖然人類社會對互聯(lián)網(wǎng)的依賴呈指數(shù)式增長，但人類對它的控制只呈線性增長?！眻蟾婵偨Y(jié)說。

報告歸納了“網(wǎng)絡(luò)化”帶來的7種主要網(wǎng)絡(luò)風(fēng)險：組織機構(gòu)內(nèi)部的IT風(fēng)險，包括軟件、硬件、服務(wù)器、操作人員和流程中的風(fēng)險；合作方的風(fēng)險，比如大學(xué)研究機構(gòu)、工業(yè)聯(lián)合會等；外包風(fēng)險，比如互聯(lián)網(wǎng)云服務(wù)提供商；供應(yīng)鏈風(fēng)險；新興技術(shù)帶來的風(fēng)險，比如智能電網(wǎng)、無人駕駛汽車等；上游基礎(chǔ)設(shè)施的風(fēng)險，包括海底電纜、DNS系統(tǒng)等；最后是外部沖擊，如國際沖突等帶來的風(fēng)險。

防范全球性的網(wǎng)絡(luò)沖擊

既然網(wǎng)絡(luò)風(fēng)險具有如此重大的威脅性，為何直至今天，全球性網(wǎng)絡(luò)沖擊從未出現(xiàn)？報告說，從25年網(wǎng)絡(luò)攻擊史來看，世界上確實還未曾發(fā)生過持久的大范圍網(wǎng)絡(luò)沖擊事件。

以前，網(wǎng)絡(luò)風(fēng)險不太可能成為全球性沖擊的源頭有三個原因。網(wǎng)絡(luò)的極具彈性使得即使部分節(jié)點損失，整個系統(tǒng)仍能正常運作；技術(shù)人員能日復(fù)一日、年復(fù)一年勤勞工作保證網(wǎng)絡(luò)正常運作，將網(wǎng)絡(luò)攻擊限制在短時間、小范圍之內(nèi)；網(wǎng)絡(luò)歷史相對時間較短，世界對網(wǎng)絡(luò)的依賴性較低，直到最近網(wǎng)絡(luò)才與真實世界緊密相連。

“未來，網(wǎng)絡(luò)現(xiàn)階段的穩(wěn)定與繁榮很可能會消失，網(wǎng)絡(luò)將產(chǎn)生更多危機并將危機的影響放大?！眻蟾孀髡哔Z森·希利說。

現(xiàn)今網(wǎng)絡(luò)交織相連，與現(xiàn)實世界緊密耦合。網(wǎng)絡(luò)系統(tǒng)之外，有很多系統(tǒng)依附于網(wǎng)絡(luò)系統(tǒng)，關(guān)系錯綜復(fù)雜。這將導(dǎo)致危機或許一開始以網(wǎng)絡(luò)沖擊的方式存在，但很快就會波及現(xiàn)實世界。

部分網(wǎng)絡(luò)節(jié)點脆弱。盡管網(wǎng)絡(luò)是一個無邊界、極富彈性的系統(tǒng)，但有選擇性地攻擊其中5%?15%的節(jié)點可能會摧毀一個系統(tǒng)。而且網(wǎng)絡(luò)系統(tǒng)的節(jié)點一般都承載多種功能，這就會放大網(wǎng)絡(luò)沖擊的影響。

網(wǎng)絡(luò)攻擊者處于優(yōu)勢地位。網(wǎng)絡(luò)的原初架構(gòu)是基于信任，因此攻擊比防御更容易。更重要的是，基于成本與收益的對比，現(xiàn)在很多IT廠商和信息服務(wù)提供商（ISP）沒有動機去做好網(wǎng)絡(luò)安全的防御工作。

互聯(lián)網(wǎng)世界正在失去多元性。在硬件、軟件等方面，壟斷趨勢越來越明顯，導(dǎo)致網(wǎng)絡(luò)系統(tǒng)的脆弱性進一步加重。

報告還列舉了一些可能造成全球“網(wǎng)絡(luò)次貸危機”的導(dǎo)火索，比如中美沖突、智能電網(wǎng)基礎(chǔ)設(shè)施受到破壞、舊金山灣區(qū)發(fā)生大型地震、大型云安全提供商出現(xiàn)問題，等等。

“政府和組織機構(gòu)的風(fēng)險管理不能僅限于組織內(nèi)部的數(shù)據(jù)破壞問題，而要有更長遠的目光，看到網(wǎng)絡(luò)可能帶來的全球風(fēng)險?！贝笪餮髮W(xué)會會長弗雷德里克·肯佩說：“網(wǎng)絡(luò)系統(tǒng)規(guī)模的風(fēng)險不容忽視?！?/p>

為防范全球性的“網(wǎng)絡(luò)次貸危機”，報告認為，具有系統(tǒng)責(zé)任的政府機構(gòu)及組織要將網(wǎng)絡(luò)風(fēng)險管理擴展至系統(tǒng)層面，加強事故反應(yīng)措施，把風(fēng)險管理外包給第三方時要保持謹慎。由于與金融風(fēng)險類似，有必要從金融系統(tǒng)的治理中借鑒經(jīng)驗，比如進行壓力測試和防范“太大而不能倒”，同時可成立“G20+20”的全球網(wǎng)絡(luò)穩(wěn)定委員會，即全球20個主要大國加上微軟等20家全球重要的信息通信技術(shù)公司和組織，加強國際協(xié)調(diào)。