文|趙淑鈺 中國(guó)信通院互聯(lián)網(wǎng)法律研究中心高級(jí)研究員

2023年2月美國(guó)兩黨政策中心（Bipartisan Policy Center）發(fā)布了題為《網(wǎng)絡(luò)安全中最大的風(fēng)險(xiǎn)2023》的報(bào)告，以期為企業(yè)和政府決策者提供識(shí)別并管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的框架。

一、宏觀網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

兩黨政策中心提出了最主要的八項(xiàng)宏觀網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，并認(rèn)為這八項(xiàng)風(fēng)險(xiǎn)是最具影響力的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

一是不斷變化的地緣政治環(huán)境。受到國(guó)際沖突加劇和民族主義的廣泛影響，全球多邊地緣政治格局加速演變。俄羅斯和烏克蘭的戰(zhàn)爭(zhēng)導(dǎo)致網(wǎng)絡(luò)攻擊和對(duì)關(guān)鍵基礎(chǔ)設(shè)施的破壞日益增多，并且這場(chǎng)戰(zhàn)爭(zhēng)有蔓延到?jīng)_突地區(qū)以外的風(fēng)險(xiǎn)。

二是網(wǎng)絡(luò)軍備競(jìng)賽加速。網(wǎng)絡(luò)安全的基本性質(zhì)正在發(fā)生變化，但幾十年前的網(wǎng)絡(luò)攻擊方式仍然有效，隨著攻擊者的每一次創(chuàng)新，防御者必須找出針對(duì)過(guò)去、現(xiàn)在和未來(lái)網(wǎng)絡(luò)攻擊的防御方法，在攻擊者和防御者之間展開(kāi)“軍備競(jìng)賽”。隨著技術(shù)的進(jìn)步和數(shù)字化的發(fā)展，2023年網(wǎng)絡(luò)安全專業(yè)人員要重點(diǎn)保護(hù)的領(lǐng)域?qū)⒊尸F(xiàn)指數(shù)級(jí)增長(zhǎng)。

三是全球經(jīng)濟(jì)不穩(wěn)定。股市波動(dòng)和高通脹影響了全球需求，并引發(fā)了對(duì)全球供應(yīng)鏈和世界經(jīng)濟(jì)關(guān)鍵要素的沖擊。對(duì)2023年市場(chǎng)繼續(xù)波動(dòng)和利率上升的預(yù)期加劇了不穩(wěn)定的地緣政治環(huán)境，并給整個(gè)網(wǎng)絡(luò)安全部門帶來(lái)了風(fēng)險(xiǎn)，包括人員、預(yù)算等方面。

四是重疊、沖突和主觀化的合規(guī)要求。在美國(guó)乃至全球范圍，美國(guó)公司需要遵守不同的地方當(dāng)局、州政府、聯(lián)邦政府發(fā)布的網(wǎng)絡(luò)安全、數(shù)據(jù)安全要求，不同地方的法律要求各不相同。隨著法律法規(guī)的增加，可能會(huì)給本地的跨國(guó)公司帶來(lái)更大合規(guī)挑戰(zhàn)。

五是公司治理滯后。盡管大型公司已在公司董事會(huì)和高級(jí)領(lǐng)導(dǎo)職位中增加網(wǎng)絡(luò)安全人才，但許多公司仍未設(shè)立此類職位。公司管理人員缺乏足夠的專業(yè)知識(shí)來(lái)有效管理網(wǎng)絡(luò)安全，使得公司處于一個(gè)不確定和充滿挑戰(zhàn)的經(jīng)營(yíng)環(huán)境中。其中，中小企業(yè)面臨更大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

六是缺乏投資、準(zhǔn)備和韌性。目前，公共部門和私營(yíng)部門都沒(méi)有對(duì)重大網(wǎng)絡(luò)安全事故進(jìn)行充分準(zhǔn)備和投資，在2023年仍然是一個(gè)巨大的漏洞。為危機(jī)準(zhǔn)備的自滿心態(tài)也可能導(dǎo)致不利的財(cái)務(wù)后果或者機(jī)密信息的丟失，可能會(huì)導(dǎo)致數(shù)據(jù)泄露、網(wǎng)絡(luò)釣魚(yú)攻擊和其他風(fēng)險(xiǎn)。對(duì)第三方和第四方運(yùn)營(yíng)商的依賴也可能給網(wǎng)絡(luò)系統(tǒng)帶來(lái)額外的風(fēng)險(xiǎn)。

七是脆弱的基礎(chǔ)設(shè)施。美國(guó)關(guān)鍵基礎(chǔ)設(shè)施尤其面臨著網(wǎng)絡(luò)安全威脅，美國(guó)CISA將關(guān)鍵基礎(chǔ)設(shè)施定義為“社會(huì)賴以維持國(guó)家安全、經(jīng)濟(jì)活力以及公共健康和安全的資產(chǎn)、系統(tǒng)、設(shè)施、網(wǎng)絡(luò)和其他要素”。關(guān)鍵基礎(chǔ)設(shè)施中很多系統(tǒng)都嚴(yán)重依賴國(guó)家和地方機(jī)構(gòu)以及可能缺乏必要網(wǎng)絡(luò)安全控制的第三方和第四方供應(yīng)商，這種依賴性可能導(dǎo)致巨大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

八是人才短缺。“大辭職”、遠(yuǎn)程工作、云計(jì)算、人工智能、消費(fèi)者通脹壓力以及其他因素導(dǎo)致很多機(jī)構(gòu)難以留住網(wǎng)絡(luò)安全人才。目前，安全運(yùn)營(yíng)中心需要不斷雇傭熟練的員工來(lái)抵御云存儲(chǔ)和智能驅(qū)動(dòng)中的網(wǎng)絡(luò)攻擊威脅。如果沒(méi)有掌握熟練技能的網(wǎng)絡(luò)安全人員來(lái)應(yīng)對(duì)這些新挑戰(zhàn)，相關(guān)機(jī)構(gòu)的安全防御能力將很快下降。

二、顯著網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

顯著網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是宏觀網(wǎng)絡(luò)安全風(fēng)險(xiǎn)之外值得重點(diǎn)關(guān)注的風(fēng)險(xiǎn)類型，其又分為戰(zhàn)略層面風(fēng)險(xiǎn)和操作層面風(fēng)險(xiǎn)。戰(zhàn)略層面風(fēng)險(xiǎn)是代表網(wǎng)絡(luò)安全問(wèn)題宏觀層面的已識(shí)別風(fēng)險(xiǎn)，雖然沒(méi)有與其相關(guān)的具體威脅，但隨著時(shí)間的推移此類風(fēng)險(xiǎn)可能會(huì)成倍增加。操作層面風(fēng)險(xiǎn)代表網(wǎng)絡(luò)安全運(yùn)營(yíng)的微觀威脅，來(lái)自實(shí)踐部門的直接經(jīng)驗(yàn)。

（一）戰(zhàn)略層面風(fēng)險(xiǎn)

1、個(gè)人可識(shí)別信息（PII）的第三方保護(hù)仍需加強(qiáng)。PII是指可用于識(shí)別個(gè)人身份的任何信息，數(shù)據(jù)控制者通常會(huì)出于各種目的與第三方（如服務(wù)提供商或合作伙伴）共享PII，因此保護(hù)個(gè)人隱私安全的立法和措施仍需加強(qiáng)和完善。

2、缺乏統(tǒng)一定義的安全標(biāo)準(zhǔn)。在網(wǎng)絡(luò)安全背景下，安全標(biāo)準(zhǔn)被定義為合理和謹(jǐn)慎的網(wǎng)絡(luò)安全做法。但由于各行業(yè)和經(jīng)濟(jì)體的安全需求廣泛，因此并沒(méi)有產(chǎn)生公認(rèn)的標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)包括定期更新軟件和安全系統(tǒng)，培訓(xùn)員工，采用防止未經(jīng)授權(quán)訪問(wèn)敏感信息的政策和程序等。

3、違約規(guī)模和嚴(yán)重程度增加。網(wǎng)絡(luò)犯罪統(tǒng)計(jì)數(shù)據(jù)表明，網(wǎng)絡(luò)攻擊的數(shù)量每年增加15%，并且，遠(yuǎn)程工作也為網(wǎng)絡(luò)安全帶來(lái)的新的挑戰(zhàn)，數(shù)據(jù)泄露可能危及家庭網(wǎng)絡(luò)和個(gè)人設(shè)備。隨著全球威脅的增長(zhǎng)，幾乎每個(gè)行業(yè)都必須實(shí)施新的戰(zhàn)略并迅速適應(yīng)，否則，攻擊者可能會(huì)調(diào)整方法以應(yīng)對(duì)新措施。

4、投資者安全透明度規(guī)則需落實(shí)。2022年，美國(guó)證券交易委員會(huì)提出了新的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理規(guī)則，要求投資顧問(wèn)和上市公司披露網(wǎng)絡(luò)事件。美國(guó)兩黨政策中心支持這一行動(dòng)，并認(rèn)為需要更清楚地說(shuō)明事件可報(bào)告的閾值，以及事件發(fā)生的時(shí)間、被發(fā)現(xiàn)的時(shí)間和達(dá)到可報(bào)告閾值的時(shí)間差。

5、白領(lǐng)網(wǎng)絡(luò)犯罪研究需加強(qiáng)。白領(lǐng)網(wǎng)絡(luò)犯罪是指為獲取經(jīng)濟(jì)利益而在網(wǎng)上進(jìn)行的非暴力的非法活動(dòng)，包括知識(shí)產(chǎn)權(quán)盜竊、計(jì)算機(jī)黑客、信用卡欺詐、身份盜竊、網(wǎng)絡(luò)釣魚(yú)等。聯(lián)邦法律對(duì)這類犯罪規(guī)定了嚴(yán)厲的懲罰。為了加強(qiáng)對(duì)網(wǎng)絡(luò)犯罪的應(yīng)對(duì)，需要在恢復(fù)數(shù)字證據(jù)等方面有經(jīng)驗(yàn)豐富的計(jì)算機(jī)專家。由于白領(lǐng)網(wǎng)絡(luò)犯罪在刑事司法中是一個(gè)相對(duì)較新的概念，因此很少有關(guān)于技術(shù)對(duì)白領(lǐng)犯罪的影響以及白領(lǐng)犯罪行為的誘因的研究。

6、強(qiáng)制互操作性要求需落實(shí)。美國(guó)國(guó)會(huì)起草了在線平臺(tái)的互操作性要求，要求它們通過(guò)應(yīng)用程序編程接口（API）開(kāi)放服務(wù)，以增加市場(chǎng)競(jìng)爭(zhēng)。盡管這項(xiàng)立法尚未通過(guò)，但它表明了該行業(yè)新的監(jiān)管方式的潛力。這種整合可以促進(jìn)共同標(biāo)準(zhǔn)的實(shí)現(xiàn)，從而提高網(wǎng)絡(luò)基礎(chǔ)設(shè)施的穩(wěn)定性。

7、無(wú)效的信息共享。通過(guò)積極主動(dòng)的信息共享進(jìn)行跨部門合作，對(duì)于提高國(guó)家抵御網(wǎng)絡(luò)攻擊的能力越來(lái)越重要。一些著名的網(wǎng)絡(luò)威脅情報(bào)報(bào)告機(jī)制包括結(jié)構(gòu)化威脅信息表達(dá)（STIX?）以及MITRE的對(duì)抗戰(zhàn)術(shù)、技巧和常識(shí)框架（ATT&CK?）。在政府機(jī)構(gòu)和公司之間，阻礙信息共享的問(wèn)題是報(bào)告的及時(shí)性、數(shù)據(jù)的相關(guān)性和復(fù)雜性。

8、社會(huì)工程攻擊。社會(huì)工程攻擊會(huì)利用心理學(xué)操縱人們作出共享敏感信息或是允許訪問(wèn)相關(guān)系統(tǒng)的行為。與其說(shuō)是網(wǎng)絡(luò)攻擊，不如說(shuō)是一場(chǎng)心理游戲，全世界有數(shù)百萬(wàn)人上當(dāng)受騙，成為受害者。許多欺詐者的目標(biāo)是網(wǎng)絡(luò)安全意識(shí)有限的老年人。

9、加密貨幣成為犯罪的輔助手段。加密貨幣在犯罪活動(dòng)中使用非常普遍，例如比特幣易于轉(zhuǎn)移和存儲(chǔ)，可以在世界任何地方匿名買賣，并且交易是永久的。在勒索軟件交易中，大多數(shù)黑客都要求使用比特幣支付，這種貨幣也用于暗網(wǎng)交易。網(wǎng)絡(luò)犯罪在加密貨幣本身也非常普遍，在過(guò)去幾年中，加密欺詐激增，隨著加密貨幣作為網(wǎng)絡(luò)犯罪支付手段，犯罪靈活性增加，限制了當(dāng)局追蹤和扣押非法資產(chǎn)的能力。

10、商業(yè)監(jiān)控構(gòu)成對(duì)隱私保護(hù)的威脅。使用可追蹤和監(jiān)控個(gè)人活動(dòng)的商業(yè)產(chǎn)品對(duì)隱私和網(wǎng)絡(luò)安全構(gòu)成嚴(yán)重威脅。行為者可以利用商業(yè)上的產(chǎn)品進(jìn)行間諜活動(dòng)。目前，商業(yè)監(jiān)控產(chǎn)品的數(shù)量已使得當(dāng)局很難監(jiān)管和控制使用這些產(chǎn)品的人。

（二）操作層面風(fēng)險(xiǎn)

1、Cookie盜竊。Cookie盜竊是一種中間人攻擊，它捕獲用戶的Cookie，以接管用戶的賬戶。此信息可能包括與特定登錄相關(guān)聯(lián)的用戶名、密碼或會(huì)話ID。這通常發(fā)生在公共WIFI網(wǎng)絡(luò)上，但也可以通過(guò)直接安裝在機(jī)器上的惡意軟件或跨站點(diǎn)腳本捕獲。

2、身份驗(yàn)證。身份驗(yàn)證在一些重要的系統(tǒng)中用來(lái)區(qū)分用戶，例如金融、醫(yī)療衛(wèi)生或政府服務(wù)。目前的重大挑戰(zhàn)是，不法分子使用遠(yuǎn)程身份驗(yàn)證工具竊取用戶身份，導(dǎo)致了數(shù)十億美元的損失。

3、對(duì)開(kāi)源軟件的依賴。在網(wǎng)絡(luò)安全方面，開(kāi)源軟件允許用戶檢查源代碼并識(shí)別任何可能存在的漏洞。當(dāng)發(fā)現(xiàn)一個(gè)錯(cuò)誤時(shí)，它會(huì)影響所有包含該代碼的系統(tǒng)。如果開(kāi)發(fā)人員不積極維護(hù)開(kāi)源軟件，就會(huì)導(dǎo)致無(wú)法修補(bǔ)的漏洞。開(kāi)源軟件也容易成為分發(fā)惡意軟件的一種方式。

4、內(nèi)部威脅、勒索、未經(jīng)驗(yàn)證的信任。美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）確定了四種類型的內(nèi)部威脅：疏忽或意外、故意、串通和第三方威脅。除了存在于內(nèi)部的威脅外，不同類型的合作也可能增加內(nèi)部勾結(jié)的風(fēng)險(xiǎn)，這些操作會(huì)導(dǎo)致對(duì)資本、敏感信息或?qū)Ｓ袛?shù)據(jù)的勒索。未經(jīng)驗(yàn)證的信任是指內(nèi)部人員利用其訪問(wèn)權(quán)限傳播錯(cuò)誤信息、惡意軟件或?qū)嵤┚W(wǎng)絡(luò)釣魚(yú)詐騙，或者訪問(wèn)一些薄弱的系統(tǒng)。

5、惡意軟件商業(yè)化。許多犯罪分子正轉(zhuǎn)向惡意軟件即服務(wù)和勒索軟件即服務(wù)（RaaS）來(lái)滿足黑客需求，目前此類程序可以很容易地在暗網(wǎng)上找到。

6、支持內(nèi)置應(yīng)用程序安全防范措施。公司和其他人必須在技術(shù)開(kāi)發(fā)過(guò)程中對(duì)安全因素進(jìn)行事前考慮。雖然內(nèi)置安全程序可能需要更長(zhǎng)的時(shí)間，而且代價(jià)更高。但目前對(duì)網(wǎng)絡(luò)安全的日益重視，此種措施將更容易實(shí)現(xiàn)。

7、基礎(chǔ)控制失效?；A(chǔ)控制是指構(gòu)成組織整體安全態(tài)勢(shì)基礎(chǔ)的基本安全措施，包括訪問(wèn)控制、密碼和網(wǎng)絡(luò)安全措施。隨著時(shí)間推移，需要定期評(píng)估基礎(chǔ)控制措施，以確保其有效。雖然基本控制對(duì)于計(jì)算機(jī)系統(tǒng)來(lái)說(shuō)已經(jīng)足夠復(fù)雜，但相關(guān)技術(shù)在更新系統(tǒng)方面仍面臨挑戰(zhàn)。

8、證書受損。多年來(lái)，證書受損的危險(xiǎn)主要局限于密碼。但近年來(lái)，不法分子也發(fā)現(xiàn)了破壞一些多因素身份驗(yàn)證（MFA）的工具。傳統(tǒng)的密碼攻擊側(cè)重于暴力攻擊和憑證填充，現(xiàn)在已經(jīng)被更復(fù)雜的網(wǎng)絡(luò)釣魚(yú)攻擊所加強(qiáng)。

9、數(shù)據(jù)解密。數(shù)據(jù)加密在網(wǎng)絡(luò)安全中極其重要。許多用戶認(rèn)為，如果他們對(duì)數(shù)據(jù)進(jìn)行加密，數(shù)據(jù)就是安全的。然而，一些加密算法已經(jīng)被破壞，一些秘鑰也可以通過(guò)暴力強(qiáng)制打開(kāi)。隨著加密算法被破解，系統(tǒng)必須更新更復(fù)雜的加密代碼。

聲明：本文來(lái)自CAICT互聯(lián)網(wǎng)法律研究中心，版權(quán)歸作者所有。