近年来网络安全事故频发,大到刚刚披露的万豪国际酒店5亿用户信息泄露事件,小到几乎人人都经历过的网络诈骗,互联网给人们带来巨大的利益和机遇的同时,也给人们带来了巨大的风险。不可否认的是,在可预期的未来,人类社会对于互联网的依赖程度将会与日俱增,而依赖背后蕴含的风险也将随之膨胀,如何管理由互联网带来的网络风险已经成为摆在所有人面前的一道难题。
《孙子兵法》中说:“知己知彼,百战不殆。”想要管理网络风险的前提是对网络风险有一个清楚的认知,那么我们该如何定义网络风险呢?参考风险管理协会(IRM)对网络风险的定义:网络风险,是指一个组织或个人因信息技术系统的某种故障而遭受财务损失、营业中断或声誉受损的风险。从网络风险可能发生的原因来看,网络风险常常以下列三种形式出现:
第一,不法分子出于间谍活动、敲诈勒索等目的,未经受害组织或个人授权,蓄意入侵受害组织或个人的信息系统,实施盗窃、销毁信息等破坏行为。
第二,不法分子无意间对受害组织或个人的信息系统造成了不可挽回的损坏。
第三,由于组织或个人的信息技术系统自身的漏洞,比如没有安装备用电源等,导致其信息技术系统运行过程中发生了不可挽回的损坏。
对网络风险的进一步分析则有赖于对其性质的剖析,通过梳理相关材料,笔者总结出了网络风险的三个特征:
第一,网络风险发生的可能性随互联网的发展呈增长趋势。首先,互联网的普及使得每个人都暴露在网络风险之下。自20世纪70年代互联网出现以来,互联网一步步走入了普通百姓的家中,根据《中国互联网发展报告2018》,2017年我国互联网用户数量已经达到7.72亿。随着互联网的普及,网络风险也随之“普及”到了普通百姓之中,从而提高了网络风险发生的可能性。其次,互联网技术的不断演进提高了人们掌握网络安全技术的难度。随着互联网技术的不断演进,人们在享受互联网带来的便利的同时,也面临着更高的网络安全技术学习门槛,尤其是对于学习能力较差的人群,比如老年人群体。这种学习门槛的存在使得人们更加难以规避网络风险,从而也提升了网络风险事故发生的可能性。最后,互联网产业规模的不断扩大也给不法分子提供了充足的犯罪动机。同样来自《中国互联网发展报告2018》的数据显示,2017年我国第三方互联网支付达到了143万亿元。时至今日,越来越多的人选择以电子货币的形式持有财富,而这也为不法分子进行网络犯罪提供了更为充足的动机,因而也提升了网络风险发生的可能性。
第二,网络风险事故的损失程度随互联网技术的发展迅速增长。一方面,公司越来越多地选择以电子信息的形式将其商业机密、用户信息等重要数据储存在互联网中。随着数据的不断积累,一旦网络风险事故发生,公司将面临巨额的经济损失和信誉损失。比如刚刚发生的万豪国际酒店5亿用户信息泄露事件,该事件披露的当天,万豪国际酒店的市值就蒸发了6%。另一方面,对于个人而言,或是出于交易的目的,或是出于增值的目的,越来越多的人选择以电子货币的形式持有其手中的财富,随着积累在互联网上的财富越来越多,网络风险事故所造成的损失程度也自然迅速增长。
第三,网络风险事故的损失相关性随互联网技术的发展与日俱增。互联网技术的发展类似于一棵大树的生长,由底层技术出发,不断延伸出新的技术,层层迭代,不断演进。但也正因为这种发展模式,一旦互联网技术中的某一个重要节点出现问题,基于该节点演进的技术都会受其危害。比如自2017年起,Saturn9t等一系列勒索病毒利用Windows老版系统中存在的漏洞,对Windows老版系统用户展开了攻击,造成了全球范围内的巨额损失。尽管这些事故的发生时间、地点、对象都有所不同,但却都是利用了相同的漏洞,因而具有极强的损失相关性。此外,从来没有一项技术能像互联网这样将所有人紧密地连接在一起,并且随着互联网的不断发展,这种连接必然将变得更加紧密。一旦互联网中的某处发生了网络风险事故,该风险事故会迅速蔓延到与该处相连的其他组织或个人。因此,相互关联的组织或个人所经历的网络风险事故往往具有很强的相关性。
在对网络风险的定义及性质进行分析的基础上,笔者认为政府应该从以下三个方面出发应对网络风险。
首先,政府要坚持立法与强化执法并重的理念,着力打击网络犯罪。剑桥大学发布的《Cyber Risk Outlook 2018 (网络风险纵览2018)》中指出,网络风险主要是以前文提到的第一种形式出现,而针对此类网络风险,最为有效的管理手段就是增大犯罪分子犯罪成本的手段。
其次,政府应当探索网络安全宣传教育的新方法、新途径,全面提升公众的网络安全意识和网络安全常识。与互联网急速的发展相比,人们的网络安全意识还不够高,网络安全常识还比较薄弱,比如在密码的设置上,大多数人还在使用极易破解的生日做密码。因此,政府应当通过推广网络安全宣传教育的方法提升公众的网络安全意识和网络安全常识。
最后,政府应当在引导企业开发新技术的同时,采取激励措施鼓励企业积极承担网络风险的治理责任,尤其是在重大网络风险事故发生时,更需要那些拥有强大技术实力的企业主动出击。事实上,勒索病毒的蔓延之所以迅速被遏制,就与许多互联网企业的主动出击密不可分。
转载自《中国保险报》“北大保险评论”栏目第630期,2018年12月27日