#网络安全灾难?是危言耸听还是现实上演
艳阳下,路人的尖叫打破了宁静。数分钟前,道路上还是一幅有序的景象,此刻忽然被打乱了:一辆辆汽车在无人驾驶的情况下,冲出了停车场、横冲直撞,行人尖叫着躲闪……
时至今日,你还以为这是电影《黑客帝国》的桥段?实际上,在生活中接触到的交通工具几乎均装有电脑芯片。看似便利宁静的智慧生活,随时可能在突如其来的瞬间被某种“网络入侵”破坏。
如果说这些距离生活有点遥远,你是否还记得雅虎10亿数据泄露门,姓名、联系方式、密码以及安全问答等隐私信息无一幸免;直播刚兴起之际不少国民发现自家摄像头被操控、生活被直播;2017年WannaCry勒索病毒攻击各行业,加油站加不了油、医院挂不了号、学校上不了课,生活变得一团糟……
网络安全好比“蝴蝶效应”。一个小小的BUG,至今仍可能引发企业的动荡。微软新推出Win11、甚至尚未大规模推广,2021年10月17日,来自中国KKK团队的白帽子黑客仅用3秒就成功攻克系统并接管所有Windows系统,包括Win11。听到这个消息,在担心电脑安全与否的同时,我们也意识到,加速奔跑在信息阳光下,网络安全已经成为身边同速相伴、无法抛开的影子。
#隐形的网络安全“弱势群体”
信息时代让人类的视野变大了,可以触及更遥远的宇宙;也让地球变小了,万里之外也能极速抵达;更让一切便利的同时,原本隐形的网络安全也开始浮出水面。
2021年10月初,外交部新闻发言人赵立坚为国家网络安全宣传周打Call,铿锵有力的话语的背后,彰显出我国加速领跑全球经济的同时,早已把网络安全作为一项“惯例”。
2021年上海车展上,除车企外更有多国极具代表性的高科技企业,碰撞出了不少惊艳火花,饱含着科技与安全的较量。众所周知,高科技企业产品中融合移动智能终端是一种标配。而这些终端在不同程序的控制下可以360度采集与安全相关的信息。曾经聚焦战略、产业、技术等体系的经济框架,在数据与信息的激发下,网络安全成为其必不可少的基石,也让我国对于安全主场地位愈发警醒。
有趣的是在大洋彼岸反倒频繁出现“翻车”。诸如特朗普推特账号被盗、奥巴马账号遭黑客攻击。无论名人还是名企,常因安全“被”成为“焦点”:
英国开出2000万英镑(约合2580万美元)的天价罚单,因为英航公司出现影响逾40万客户的数据泄露。
为空客、波音等提供飞机零部件设计的供应商ASCO遭受黑客攻击,四个国家的工厂被迫停工……
一起起事件反映出网络安全和经济发展已密不可分。如果经济是牵引者,那么安全便是保护者。随着企业数字化转型的深入,对网络安全的重视从国家层面延展到头部企业:中石油与大数据协同安全技术国家工程实验室联合建立了安全研究中心;国家电网则成立了信息网络安全实验室。
与此同时,作为网络安全金字塔“基石”的民众安全意识亦越来越高。数年前常能看到有人在街头以派发小礼物的形式邀请路人下载、注册APP。路人会蜂拥而上,偶尔还会比较一下小礼物的价格高低。如今在国家网络犯罪违法举报网站上赫然写着13条公民网络安全提醒,包括不使用公共WI-FI、不安装陌生软件等。越来越多的国民发现不知何时泄露了个人信息,导致会接到准确叫出自己名字的骚扰电话……每一次小小触发都仿佛警钟,面对过去很受欢迎的“获取小礼物”来牺牲个人隐私,每个人都开始谨慎。
网络安全越来越重要的今天,你是不是感觉少了点什么?的确,在国家和头部企业愈发重视安全、国人全方位提高警惕的同时,占据了全国企业总数的超90%的腰部以下企业或机构仿佛成为了“无声地带”。这些企业与机构远比寻常认知的范围更广:既有学校、医院等与民生息息相关的机构,也有民办企业、政府非垂直企业乃至同一行业内的相似或相关企业。这些恰恰是中国经济中最为庞大的舰队。面对数字化经济风浪,中小企业或许驶出了数据化的海湾,却在网络安全的“暗礁”前止步。
#中小企业更需要有温度的全方位安全
数字化转型好似盖楼,安全则似配套安防。太急着把楼盖起来、住进去,网络安全没跟上,反倒会让中小企业陷入被动挨打的泥潭。尤其大量的医院、学校,以及处于创业关键期的民企,依旧是“老三样”——防火墙、网站防入侵和终端杀毒。如果在2010年,这算先进。当时代的车轮前行到2020年代,从物联网到云计算,再到大数据分析,哪怕在新冠肺炎疫情引发的特殊态势下,网络安全只做到这一步已然不够。中小企业直面的“命悬一线”更需要“强身健体”:如果主营业务是“骨骼”“肌肉”,那么网络安全是供给营养的重要“血脉”。如果主营业务是引领前行的“大脑”,那么网络安全便是支撑“大脑”的“中枢神经”。
网络安全融入竞争实力的过程中,亦会产生越来越多的“后门”。安全策略前置便是将这些难以被察觉又极易积压的“后门”解决于未然。国家针对中小企业的安全痛点架设了“网络安全漏洞共享平台”。但全球爆发的WannaCry勒索病毒事件时,我国也有近30万台主机和电脑被感染。实际上仅需要杀毒软件包更新便可避免,而从国家到中小企业的传递链漫长,无形中让信息减速。而对于中小企业来说,后知后觉可能意味着痛彻心扉。根据Hiscox公司调查显示,全球有47%的小型企业和63%的中型企业曾遭遇网络安全事件。面对严峻局面,中小企业反倒出现了两种声音。
一种是心有余而力不足的“无暇顾及”。加拿大一家为汽车制造商和供应商生产自动化程序的工程服务供应商因未设置有效的用户访问权限,导致近4.7万份工厂文件泄露,内容包括设计原理图、装配线原理图、工厂平面图、采购合同等敏感信息,影响遍及全球多家知名车企。调查发现,竟是在使用远程同步工具处理数据时,备份服务器没有限制使用者的IP地址,也未设置身份验证等访问权限。看似基础的安全策略设置,对全心忙于主营业务的企业而言是不易察觉的挑战。类似的网络安全风险如同发展道路上的大坑,广泛存在于企业的日常安全治理过程中,一旦踩空,后果难以预料。不少中外安全专家针在惋惜的同时,也认为利用IT技术高速发展的中小企业不仅不能忽视安全问题,更要将安全“化矛为盾”,让伤害企业的因素转化为保护发展的能力。对非专业安全厂商的中小企业而言,设备、专家、机制、经验、策略等日常网络安全风险治理无一不是挑战,可以考虑云化安全服务的模式,将专业的问题托管给专业的机构处理。不仅极大地发挥出安全保护功效,降低安全风险和压力,还让企业能够聚焦精力创新业务,放心利用IT技术驱动业务高速发展。
另一种声音是被动等待的“无计可施”。英格兰地区超过三分之一的国家医疗服务体系(NHS)多次受到攻击,因网络安全问题不得不取消超过1.9万人次的就诊预约。NHS多次出现“预约取消”事件背后是数字化进程的不同步:同一行业内地区与地区的不同步、机构与机构的不同步,带来了数据化与安全的不同步。为此英国组织专家多方探索,最后选择和英国电信合作,专门成立了NHS业务运营中心(NSOC),提供端到端、全天候的服务,针对重大事件的出现,及时调配由高技能人才组成的虚拟专家团队,尽快在不同的地点共同解决问题。这正是我们如今十分熟悉的安全云端托管服务。
而更多的现状是中小企业的安全“未解之谜”用各种“笨办法”应对。据某市级医院的医生介绍,半年多内、每到周二,全院会组织一到两个小时的集中学习。学习前,要求每位医生必须把电脑上的杀毒软件运行起来。起因是门诊挂号系统连续四五次出现“不知原因的崩溃”、无法正常接诊。院领导聘请了Web开发人员,检查后认为是感染病毒,但提不出扎实有效的防范措施。于是院里想出了“学习一小时”来进行电脑杀毒“抵御”门诊系统“中毒”。可系统崩溃仍时有发生。网络安全是讲求细节、缺一不可的。简单复制的安全策略、非专业的人员队伍、不完善的安全机制,在安全漏洞的面前往往不堪一击。
国内某高校得到国家政策加持和资金注入,添置网络安全设备后便以为高枕无忧。但因无专业团队,导致网络安全威胁某学术成果数据暴露。可见就算花大价钱部署安全设备,并不等同于有了网络安全。更多中小企业因网络安全不能迅速带来显而易见的回报而止步,依靠办公室的行政人员或IT人员处理复杂的安全性任务成为常态。难以自建专业安全工程师队伍、无法不眠不休地监控数据、面对罕见的安全攻击方式不知如何应对、漏洞难以被及时发现和修复、单一的防守策略不能及升级为动态优化策略……这些又岂是“笨办法”“买设备”能解决的?网络安全失守对一些头部企业来说尚有可能被推上风口浪尖,对中小企业更可能意味着“灾难”。
让我们回过头反思安全专家给出的建议:中小企业应考虑使用云端安全管控与托管服务。实际上,以色列的Matam科技园区有近430家的网络安全公司面向全球用户提供云托管与服务。八千公里外的新加坡,网络安全则采取了云端支持和共享策略。加拿大从2019年起公布面向中小企业的自愿性认证,经认证机构的审核通过便被授予使用政府认可的网络安全标志。这些看似加紧加严的要求,从另一个角度给予了中小企业活下去的保证,也是各国看到中小企业受惠于安全云端服务红利后的举措。
而在中国也有提供安全云托管与服务的供应商。如具有二十多年安全管理经验的“深信服”,早在2018年就提出了托管式安全运营服务的理念,革新了传统堆人和堆技术的方法,将“安全”改由“服务”的方式交付。让国内中小企业不仅享受到和世界网络安全同步的支撑,更通过运营中心平台的多种前沿技术接入和云端安全专家矩阵,实现中小企业的人才和设备效果最大化。从更长远的视角来看,“深信服”提供的不仅是服务,更是前行路上的安全智库、伙伴与战友。
在和中小企业同进步的“深信服”看来,安全与发展不仅是拧成一股绳的合力,更要形成闭环体系。据全球网络安全调查数据显示,仅在2021年上半年发生3亿多次勒索软件攻击未遂事件,同比增长151%。而在我国感染恶意程序的主机数量约为446万台,同比增长46.8%。信息时代里的网络安全从来不是单打独斗的个体事件,只有当国家、企业、个人各自履行责任、承担义务,方能形成一整套互相关联与成就的体系。中小企业和机构才能通过安全网络云托管与云服务,掌握简单高效高性价比的破局方法,心无旁骛地搞生产,“有质量的活下去”。这一体系又将构成国家网络安全体系的重要部分,反过来让中小企业自主掌握网络安全的命脉、与国家同步发展前行。
希腊诗人卡瓦菲斯在《伊萨卡岛》中讲述了英雄奥德修斯返乡的故事:他受到独目巨人的袭击、海妖塞壬的诱惑、被女巫喀耳刻施了魔法……虽困难重重,目标却不曾变化。其实在中小企业的发展中,每一个安全隐患都如同这部神话里所描述的困难。发展征程上,没有演习,唯有实战。披上守护安全的“隐形披风”,化身时代浪潮下的“企业超人”,一路避坑升级,方可大胆追逐信息时代里的星辰与大海。