论文部分内容阅读
今年3月,德国莱茵集团正式发布《2020年网络安全趋势——面向数字化转型,对网络安全和隐私的新思考》报告,对全球范围内个人数据、供应链、智能设备、航运业、实时操作系统、可穿戴医疗设备以及车辆和交通等七大领域网络安全发展趋势进行了深入分析,探讨了数字化时代,企业和个人该如何应对网络安全风险,为工业、互联网、交通运输等领域加强网络安全保障能力提出了建议。赛迪智库网络安全研究所对该报告进行了编译,希望对我国有关部门制定网络安全政策有所帮助。
一、趋势1:对个人数据的无限制挖掘威胁数字社会的稳定。免费获取个人数据的时代即将结束,但取而代之的是什么,尚未可知。
(一)数据过多,透明度过低。2017年,法国记者茱蒂丝·杜普托尔向一款约会应用软件索要她在该应用中被存储的个人数据,结果收到整整800页文档,仅此一款应用就在短短几年时间内收集了她如此多个人数据,这意味着个人隐私正面临着严峻挑战,也凸显了应用软件在使用个人数据建立用户画像时缺乏透明度的问题。
(二)数据滥用风险仍被低估。过去,机构感兴趣的只是个人姓名、地址、职业、消费能力等数据;如今,个人政治倾向、社会态度和投票意向等更深层次数据也成为了收集对象。如果没有强烈的数据道德意识,这些掌握个人活动、兴趣、态度等大规模数据的机构很容易就能利用这些数据,实现对个人甚至整个社会的操纵。只有当这些企业被曝光存在有意或无意地以不道德的方式使用个人数据时,他们才会变得“脆弱”。
(三)来自数据共享第三方的隐患。可以清楚地看到,近年来有些企业一直对如何与第三方共享个人数据,以及一旦数据被共享后第三方应如何使用这些数据的问题有所疏忽,引发了多起备受瞩目的数据共享丑闻。甚至在某些案例中,企业在未得到数据主体同意的情况下,就将個人数据进行商业销售,有的还将个人数据用于建立完整的选民心理档案等政治活动工具。这些数据共享丑闻经少数记者和“吹哨人”调查后被曝光。如果没有这样的调查,个人数据的收集规模和用途将一直不为人知。往好处想,这是以一种“粗暴”的方式实现对利用个人数据获益行为的监管;往坏处想,这种临时建立的管控机制缺乏透明度和问责制。
(四)一些政府开始对数据伦理感兴趣。2018年,欧盟《通用数据保护条例》(GDPR)颁布后,数据伦理正获得越来越多的关注。许多出台的政策措施已经超出了基本的数据保护范畴,开始关注数据伦理。GDPR列出了数据使用的一般合法目的清单,包括重大利益、法律义务、合同需要、合法商业利益、公共利益以及其他获得数据主体同意的目的。虽然这一做法在欧洲实施时看上去有些冒险,目前却正在被全世界效仿。美国加利福尼亚州2019年批准了类似的数据保护法案,并于2020年正式生效。但是,或许是有意为之,该法案中有些描述合法使用数据的条款具有强烈的主观性,给企业从事相关盈利活动留出了解释空间,防止被法案条款过度限制经营,影响企业活力。
(五)情况正在逐步好转。个人数据保护的重点正在向实现价值观和伦理原则转变,例如通过制度设计实现透明度、问责制、隐私保护。电气和电子工程师协会(IEEE)P7000工作组制定的伦理和人工智能系列标准,就是旨在通过设计人工智能发展的总体原则来推动伦理发展。欧盟通过的关于人工智能和机器人技术决议也提出一种基于价值观的技术设计方案。未来几年或将有越来越多的数据伦理准则被融入到强制执行的法律法规中。
二、趋势2:黑客将智慧供应链作为攻击目标并使其变“笨”。智慧供应链是全球商业的未来趋势,但人们尚未意识到智慧供应链的脆弱性。
(一)供应链数字化催生新安全风险。无论对企业自身还是外部供应商,供应链管理越来越多地使用物联网(IoT)、自动化、机器人以及大数据等技术来提高效率和降低成本。尽管与统供应链有相似之处,但智慧供应链越来越多地将仓库等元素虚拟化。在智慧供应链中,仓库不再是简单的物理建筑,而是产品或零部件在任何时刻可能出现的位置信息。在这种模式下,微小扰动便会引发巨大的安全风险。因此,智慧供应链不仅具备动态和高效的优点,同时也非常脆弱。
(二)重视成本的盲目性和复杂性。智慧供应链本质仍是实体供应链,制造商对影响供应链成本的物理扰动非常敏感。智慧供应链中使用的智能技术依赖于网络连接,因此需要将网络攻击的风险纳入供应链成本统计范畴。但因网络攻击风险难以量化 所以常常被忽视。这种情况同样适用于包含外部供应商的复杂供应链。此外,由于智慧供应链还涉及仓储机器人等新技术应用,这些新技术也带来了新的未知风险和漏洞。对企业而言,在建设智慧供应链的同时解决安全风险问题,仍需继续努力探索。
(三)机器人得到快速发展。仓储机器人可以形象地反映智慧供应链存在的网络安全挑战。当前,企业积极投入到第一代仓储机器人的研发和应用,并采用将控制系统隔离的方式以增强其安全性。但是,这些机器人的工作环境和维修环境依旧是联网状态,无法做到彻底隔离。在复杂的环境中使用机器人也可能会破坏其控制系统的安全性。解决此类问题的标准做法是将机器人使用的网络进行分区管理,但这一做法对网络架构不断变化、范围不断扩张的企业而言难以实现。网络安全漏洞等威胁可以通过联网的办公系统在企业内网快速传播,为网络攻击者提供攻击整个供应链的路径。
(四)除了增强韧性外,没有简单解决方法。智慧供应链运行环境存在大量隐患,任何微小的时延都可能造成严重后果,导致犯罪分子喜欢利用勒索软件对智慧供应链实施网络攻击。因此,企业必须想办法避免类似情况发生,在打造智慧供应链之初就需要考虑网络安全问题,并将建立韧性供应链融入企业运营管理任务。2019年初,铝业巨头挪威海德鲁公司遭到勒索软件攻击,它们采取的策略是将受感染设备进行隔离并采用手工操作替代。由此可见,在类似情况下,企业需将关键业务系统进行隔离。
(五)智慧供应链需要更智能的安全。智慧供应链的发展需要新一代智能网络安全技术保驾护航。当前,智能网络安全技术依旧建立在传统的网络安全架构之上。在此架构下,对特定系统或网络实现隔离或断开连接非常困难,需由人工智能等新兴技术辅助完成,但目前此类亟需的智能网络安全技术尚未问世。未来智能网络安全系统需要在攻击者试图发动攻击时,快速反应并解决问题。此外,制定标准和完善认证工作也将对保障智慧供应链安全产生积极影响,前提是必须为强制性标准和认证。
一、趋势1:对个人数据的无限制挖掘威胁数字社会的稳定。免费获取个人数据的时代即将结束,但取而代之的是什么,尚未可知。
(一)数据过多,透明度过低。2017年,法国记者茱蒂丝·杜普托尔向一款约会应用软件索要她在该应用中被存储的个人数据,结果收到整整800页文档,仅此一款应用就在短短几年时间内收集了她如此多个人数据,这意味着个人隐私正面临着严峻挑战,也凸显了应用软件在使用个人数据建立用户画像时缺乏透明度的问题。
(二)数据滥用风险仍被低估。过去,机构感兴趣的只是个人姓名、地址、职业、消费能力等数据;如今,个人政治倾向、社会态度和投票意向等更深层次数据也成为了收集对象。如果没有强烈的数据道德意识,这些掌握个人活动、兴趣、态度等大规模数据的机构很容易就能利用这些数据,实现对个人甚至整个社会的操纵。只有当这些企业被曝光存在有意或无意地以不道德的方式使用个人数据时,他们才会变得“脆弱”。
(三)来自数据共享第三方的隐患。可以清楚地看到,近年来有些企业一直对如何与第三方共享个人数据,以及一旦数据被共享后第三方应如何使用这些数据的问题有所疏忽,引发了多起备受瞩目的数据共享丑闻。甚至在某些案例中,企业在未得到数据主体同意的情况下,就将個人数据进行商业销售,有的还将个人数据用于建立完整的选民心理档案等政治活动工具。这些数据共享丑闻经少数记者和“吹哨人”调查后被曝光。如果没有这样的调查,个人数据的收集规模和用途将一直不为人知。往好处想,这是以一种“粗暴”的方式实现对利用个人数据获益行为的监管;往坏处想,这种临时建立的管控机制缺乏透明度和问责制。
(四)一些政府开始对数据伦理感兴趣。2018年,欧盟《通用数据保护条例》(GDPR)颁布后,数据伦理正获得越来越多的关注。许多出台的政策措施已经超出了基本的数据保护范畴,开始关注数据伦理。GDPR列出了数据使用的一般合法目的清单,包括重大利益、法律义务、合同需要、合法商业利益、公共利益以及其他获得数据主体同意的目的。虽然这一做法在欧洲实施时看上去有些冒险,目前却正在被全世界效仿。美国加利福尼亚州2019年批准了类似的数据保护法案,并于2020年正式生效。但是,或许是有意为之,该法案中有些描述合法使用数据的条款具有强烈的主观性,给企业从事相关盈利活动留出了解释空间,防止被法案条款过度限制经营,影响企业活力。
(五)情况正在逐步好转。个人数据保护的重点正在向实现价值观和伦理原则转变,例如通过制度设计实现透明度、问责制、隐私保护。电气和电子工程师协会(IEEE)P7000工作组制定的伦理和人工智能系列标准,就是旨在通过设计人工智能发展的总体原则来推动伦理发展。欧盟通过的关于人工智能和机器人技术决议也提出一种基于价值观的技术设计方案。未来几年或将有越来越多的数据伦理准则被融入到强制执行的法律法规中。
二、趋势2:黑客将智慧供应链作为攻击目标并使其变“笨”。智慧供应链是全球商业的未来趋势,但人们尚未意识到智慧供应链的脆弱性。
(一)供应链数字化催生新安全风险。无论对企业自身还是外部供应商,供应链管理越来越多地使用物联网(IoT)、自动化、机器人以及大数据等技术来提高效率和降低成本。尽管与统供应链有相似之处,但智慧供应链越来越多地将仓库等元素虚拟化。在智慧供应链中,仓库不再是简单的物理建筑,而是产品或零部件在任何时刻可能出现的位置信息。在这种模式下,微小扰动便会引发巨大的安全风险。因此,智慧供应链不仅具备动态和高效的优点,同时也非常脆弱。
(二)重视成本的盲目性和复杂性。智慧供应链本质仍是实体供应链,制造商对影响供应链成本的物理扰动非常敏感。智慧供应链中使用的智能技术依赖于网络连接,因此需要将网络攻击的风险纳入供应链成本统计范畴。但因网络攻击风险难以量化 所以常常被忽视。这种情况同样适用于包含外部供应商的复杂供应链。此外,由于智慧供应链还涉及仓储机器人等新技术应用,这些新技术也带来了新的未知风险和漏洞。对企业而言,在建设智慧供应链的同时解决安全风险问题,仍需继续努力探索。
(三)机器人得到快速发展。仓储机器人可以形象地反映智慧供应链存在的网络安全挑战。当前,企业积极投入到第一代仓储机器人的研发和应用,并采用将控制系统隔离的方式以增强其安全性。但是,这些机器人的工作环境和维修环境依旧是联网状态,无法做到彻底隔离。在复杂的环境中使用机器人也可能会破坏其控制系统的安全性。解决此类问题的标准做法是将机器人使用的网络进行分区管理,但这一做法对网络架构不断变化、范围不断扩张的企业而言难以实现。网络安全漏洞等威胁可以通过联网的办公系统在企业内网快速传播,为网络攻击者提供攻击整个供应链的路径。
(四)除了增强韧性外,没有简单解决方法。智慧供应链运行环境存在大量隐患,任何微小的时延都可能造成严重后果,导致犯罪分子喜欢利用勒索软件对智慧供应链实施网络攻击。因此,企业必须想办法避免类似情况发生,在打造智慧供应链之初就需要考虑网络安全问题,并将建立韧性供应链融入企业运营管理任务。2019年初,铝业巨头挪威海德鲁公司遭到勒索软件攻击,它们采取的策略是将受感染设备进行隔离并采用手工操作替代。由此可见,在类似情况下,企业需将关键业务系统进行隔离。
(五)智慧供应链需要更智能的安全。智慧供应链的发展需要新一代智能网络安全技术保驾护航。当前,智能网络安全技术依旧建立在传统的网络安全架构之上。在此架构下,对特定系统或网络实现隔离或断开连接非常困难,需由人工智能等新兴技术辅助完成,但目前此类亟需的智能网络安全技术尚未问世。未来智能网络安全系统需要在攻击者试图发动攻击时,快速反应并解决问题。此外,制定标准和完善认证工作也将对保障智慧供应链安全产生积极影响,前提是必须为强制性标准和认证。