NotPetya、WannaCry、ShadowPad、Sunburst……这些恶意软件或许不为人们所熟知,但它们却时刻危害着全球互联网安全。
2022年初,一名19岁黑客通过第三方应用程序远程入侵了分布在13个国家的20余辆特斯拉汽车,获得了锁定和解锁汽车、打开和关闭车灯的权限,甚至实现了无钥匙驾驶。2021年,位于都柏林的信息技术服务公司遭受恶意软件攻击,这家公司为全球几百家网络安全承包商提供安全软件。黑客利用勒索软件感染了该公司客户的系统,向每家公司索取5万至500万美元来交换解密密钥。同年,一家美国信息技术软件公司也遭到攻击,随后黑客渗透了总统办公室、财政部和商务部等9个美国联邦机构。
这些攻击有着相似的特点:黑客攻击软件供应商或信息技术公司,进入这些公司客户系统的后门,一次性感染成百上千个系统。公司的业务流程相互连接,一旦某个环节受到影响,多米诺骨牌效应就会随之产生,信息通信技术供应链的可靠性面临严峻挑战。
问题所在
近年来,针对信息通信技术供应链的网络攻击数量不断增加。据欧盟网络安全局统计,2021年发生的相关攻击数量较2020年增加了4倍。漏洞可能发生在信息通信技术生命周期的任意阶段,包括开发、制作、分发、获取和部署等在内的各个环节,由此产生了综合性的网络攻击风险。
鉴于各个机构、行业和国家信息技术系统的关联日益紧密,网络攻击的危害将造成越来越大的影响。据Gartner公司在2019年开展的调查,60%的机构需要与1000多个第三方开展业务合作。2022年5月,美国Verizon通信公司发布的《2022年数据泄露调查报告》(以下简称《报告》)显示,世界各地都出现了供应链遭受攻击的情况。
越来越多的不法分子通过勒索软件的攻击来进行敲诈。2019年至2020年,在卡巴斯基公司的用户中,遭遇针对性勒索软件攻击的用户数量增加了767%,以政府和企业等为主。《报告》指出,勒索软件的威胁将继续增加,2022年几乎70%的恶意软件入侵事件中有勒索软件存在。
目前,尽管网络攻击对政府和企业造成的危害更严重,但普通民众也无法置身事外。病毒通过软件更新就可以入侵数百万用户的电脑;针对食品杂货连锁企业的攻击,能让无数超市临时关闭;医疗或公共服务机构的软件系统遭受破坏,可能导致基础公共服务中断……这些攻击产生的危害将波及千家万户。
及早应对
越来越多的国家意识到供应链遭受网络攻击引发的潜在风险,纷纷采取行动。2020年以来,亚太地区许多国家发布或更新了网络安全国家战略,包括新加坡、马来西亚、澳大利亚和日本。越南、印度和印度尼西亚将发布网络安全国家战略和实施办法。
但是,由于信息通信技术供应链的安全涉及数量众多、范围广泛的利益相关方,解决方案会更加复杂。一些国家在采取行动的过程中,重点关注保护关键信息基础设施的信息通信技术供应链。
例如,美国国土安全部于2018年建立信息通信技术供应链风险管理工作组,建立公私部门合作伙伴关系,推动形成风险管理策略的共识,增强全球信息通信技术供应链的安全性。该工作组已发布关于分享供应链风险信息的准则,以及管理服务供应商客户的风险因素。
2021年,澳大利亚网络安全中心发布指南,指导企业识别供应链相关的网络安全风险,采取相应的应对措施。
新加坡网络安全局宣布将启动关键信息基础设施供应链项目,要求相关方采纳供应链风险管理的国际最佳实践方案和标准。
前方道路
信息通信技术供应链具有全球性的特点,我们需要在不同层面开展强有力和更具协调性的应对措施。
在全球层面,各国以及国际刑警组织、联合国、东盟和欧洲刑警组织等国际组织已经采取行动、加强合作,共享实践经验。
多边平台:如今,联合国政府专家组和开放工作组成为各国建立网络领域共识和制定相关规范的平台。联合国互联网治理论坛等会议提供了在工作层面深入探讨的机会,卡巴斯基与合作伙伴于2020年召开研讨会,讨论加强全球信息通信技术供应链保障、提升透明度的必要性和方法。
双边伙伴关系:亚太地区国家已就网络安全的不同领域签署合作备忘录,中国、越南、印度、日本、新加坡和韩国等,取得了重要进展。
尽管这些平台在建立共识、交流经验、协调标准等方面发挥着重要作用,但关键是要增加针对全球信息通信技术供应链韧性的讨论,因为这个议题涉及不同类型的行为主体,对全球产生广泛的影响。
在国家层面,政府必须通过制定法律、规章、指南、培训要求等举措,持续推动在不同领域建立起网络安全的基本标准。
考虑到信息通信技术供应具有综合性的特点,政府需要建立核心原则、技术标准、法律法规框架,保证不同利益相关方在维护网络安全方面承担的责任程度保持一致。政府除了推动相关措施落地,还可以发布通用性的网络安全风险评估工具。
在个人层面,每个人都有责任维护网络安全。在这方面,开发应用产品和维护软件系统的企业需要发挥引领作用。
维护网络安全事关每一个人,因为最薄弱的环节往往对集体网络安全的实现产生决定性的作用。想要保持网络安全方面的领先地位,不能只是忙于应对网络威胁,关键要放眼长远,设计网络安全生态系统,建立畅通的人才通道,达到计算机应急响应组织、取证分析团队和信息技术部门的要求,以“通过设计获得安全”的理念来建设关键信息基础设施。