本文为世界经济论坛《未来系列:网络安全、新兴技术与系统性风险》报告,在世界基于互联网联系得日益紧密的今天,报告重点介绍了新兴技术环境中固有的隐性和系统性风险所带来的日益严重的威胁,以呼吁国际社会和业界重视并采取措施保障网络安全。
网络空间正在发生变化
未来,我们将看到一个以各种技术为基础的网络空间,这些技术共同搭建出一个创新平台,其结构、组件、关系和流程都在不断发生变化,以支持新兴的想法、服务和商业需求。网络空间的潜在动态正在发生变化:
新技术将带来的新机遇,为应对未来全球风险提供可能。
四项变革性技术:
新技术给世界带来的新机遇:
关键系统性风险和挑战
网络空间的新兴动力正在加强网络中各个组织的相互依存及其对数字环境的依赖,因此,网络空间中潜藏着多种可能造成系统性风险的威胁。
保护数字生态系统的五个新挑战
伴随组织相互依赖程度的加深,广泛的数字生态系统的恢复力和安全性开始对组织和社会至关重要。某一组织或地区的网络韧性和安全将影响到其他组合或地区,并给双方带来严重的危害。目前,数字生态系统正面临着以下5项挑战:
维护网络安全能力匮乏
除非加速网络安全教育和培训,否则许多劳动力将不会拥有可以应对网络风险的意识和能力。
技术和政策的碎片化
公共政策原则和相关技术标准的制定存在分歧,地缘政治和贸易保护主义使全球数字生态的治理被划为个个孤岛。
现有维护安全的技术和能力并不适用
现有的操作能力和技术不足以应对新兴风险,例如对网络犯罪的侦测、破坏和威慑等,因此必须提高网络防御的自动化水平,提高互操作性,为应对新兴威胁提供支持。
对安全地开发新兴技术的支持和投资不足
安全性能并未被视为技术创新中的重要组成部分,如果没有适当的激励措施来防止这种情况发生,将可能会带来恶意威胁的风险,并面临着日后昂贵的技术更新成本。
问责模糊
依赖的加深可能带来责任不明晰的后果。风险转移(例如通过合同或技术E&O[过失和遗漏]保险)不能覆盖横向风险的全部范围。
人工智能
AI的简介与应用
随着AI(Artificial Intelligence,人工智能)技术在经济领域内的应用快速发展,全球AI技术竞赛也正愈演愈烈。AI旨在建立一个推理系统:让科技可以执行通常需要人类智慧(如决策、视觉感知、语言认知、环境适应力等)的任务。强AI(“strong AI”)能够在没有指令时像人一样“思考”,从而能够在推理任务中创造优势;弱AI(“narrow AI”)则只专注于特定任务中的特定应用,这也是目前主要的AI。
目前,全球多个国家都在对AI研发进行大量投资,尤其是在机器学习技术的应用方面。2019年全球AI研发支出约为375亿美元,预计到2023年将达到979亿美元,其中中国和美国将占主导地位。预计在未来的5-10年内,AI技术将扮演越来越关键的角色。
网络攻击者和防守者
近年来,网络攻击者和防守者都在加紧部署AI,很难说哪一方更具有优势。从长远来看,攻击者可能会发起更多全新的攻击。那么防守者又该如何应对呢?
攻击者方面,通过使攻击或攻击组件自动化,攻击者利用AI能够加快并扩大其行动;同时,随着自动化对专业知识需求的减少,AI带来的威胁可能也会增加;攻击者通过“深度学习分析”来预测攻击范围,了解被攻击者的防御方法,从而实现更精确的攻击;此外,攻击者利用AI可成功“隐身”,从而逃避检测和查杀。
防守者方面,尽管AI为攻击者创造了明显价值,但同时也提高了网络防御的速度、准确性、影响力以及韧性。目前,AI防御正在研究和开发中,它能够辅助分析人员执行增强与自动化任务。以上应用已越来越多地融入网络安全生态系统中的防御响应中,到2027年,AI在网络安全中的全球价值预计将达到460亿美元。
挑战与威胁
1. 攻击范围扩大并操纵算法
AI系统正迅速成为大型企业重要资产的一部分,其执行的关键功能越来越多,而人员监督却越来越少,这使得攻击者利用AI造成的攻击规模和严重性大大增加。另外,攻击者利用AI 改变算法和数据的完整性以操纵或破坏组织的流程以及社会所依赖的基础设施。不仅如此,攻击者还能够利用AI从窃取的数据中获取更多价值,并通过AI改进网络攻击模式,制造更多伤害。
2. 深度伪造问题
由数字操控的视频、图像和音频(Deepfake,深度伪造)变得越来越复杂,也越来越普遍,“真相”随之变得越来越模糊。一些针对性强的虚假新闻和可操控的信息扭曲了公众对事实真相的认知,甚至会带来政治和经济结果的改变。深度伪造,已经成为新的网络攻击媒介。
应对措施
连接一切
在全球范围内,伴随联网设备和网络数量的迅速增加,数字生态系统中的各种关系日益密切交织。从安全角度来看,这种密切连接带来了许多挑战,需要从宏观的角度考虑整个生态系统。
连接一切带来的相互依赖
近年来,互联网连接的系统和设备数量显著增加。个人的智能手机、可穿戴设备和智能家居设备正在改善用户体验。各类产业已经开始利用数据传感、移动通信和控制系统的自动化来提高效率,发现新的服务机会。同时,对于组织或企业而言,保持独立在这样的互联社会并不经济,因此积极参与互联的生态系统势在必行。
系统性风险
数字生态系统向无所不在的连接方向发展,创造了新的商业模式,也带来了系统性的网络安全风险。随着技术的成熟,这种风险将加速发展。
规模
互联生态规模的扩大表明潜在的攻击面也在扩大。伴随越来越多之前未连接的系统进入互联网,数据、信息、算法等数字资产的风险也与日俱增。例如,医疗领域中的智能运输系统和外科手术程序等,将越来越依赖于连接的完整性和可用性,如果对医疗系统进行攻击,则可能危及人类安全,甚至导致生命损失。
相互依存
在数字生态系统中,参与者之间的一系列新的依存关系正在演变。新产品的出现和新服务的成长,正在催生组织、供应链、部门和个人之间复杂的相互依赖关系。这种相互依赖带来了不可预见的连锁风险:一旦系统中某个部分发生故障,可能会损害所有和它相关的部分。
共享资源
许多组织都越来越依赖于集中的基础设施和共享服务,包括云、互联网服务提供商、软硬件以及设备供应链等。这样的现状可能给共享资源的组织带来严重的系统性风险。
量子计算
量子军备竞赛
量子计算是未来5-15年内最具战略意义的技术之一,很可能引发技术革命并带来巨大的发展机会。量子计算机运用量子物理学定律处理信息,原则上可以完成传统计算机无法完成的信息处理任务。
此外,量子计算的应用潜力也将为各行业带来重大进步与突破。例如,量子可以应用于分子模拟、药物开发、材料科学;可以解决优化金融服务和航空航天的复杂问题;并可以提升AI性能。
显然,这项技术能够在各个领域创造巨大价值,由此,一场量子技术军备竞赛正悄然开启,将可能在全球经济中释放数万亿美元的价值。
风险与挑战
全球网络安全已经受到了量子军备竞赛的重大影响。具体体现在以下方面:
应对措施
量子技术对网络安全的风险及影响可能远比本报告呈现出的更加深远。伴随技术本身的迅速发展,必须做好准备,采取相应的行动。
数字身份
数字身份管理
对于数字身份管理,建立一个可靠的且可在全球范围内互操作的方法对于未来5-10年内实现数字生态系统的潜在经济社会价值至关重要。通过正确使用数字身份,或许能够解决现有的安全和隐私挑战,促进低摩擦的全球市场,支持现有服务的数字化转型,并通过提供新的可信服务释放新的价值,从而为企业和公共服务创造机会。
但是,目前在数字生态系统中管理身份的方法不是最理想的。薄弱的数字身份管理加剧了网络安全问题,并且也是多种形式的网络犯罪的根源。而关于数字身份管理的重新构想还在进行中,各国政府虽然都付出了许多努力,但究竟如何实施数字身份管理系统还存在许多不同的观点,导致了全球范围内管理方法的差异。
数字身份系统的安全风险
如今,社会越来越依赖于在关键应用程序中使用身份识别系统。具有威胁的行为主体正在利用这个机会发现漏洞以接管账户、破坏交易以及获取敏感数据。如犯罪分子会滥用该系统谋取经济利益,而业内人士和政府则可能利用其地位公开或秘密地获取经济和政治利益。
威胁群体和动机
对身份生态系统的威胁
从系统的机密性、完整性和可用性考虑:
首先,身份管理系统中的大量个人信息(包括个人身份信息、生物识别、行为和位置数据)存在重大的保密风险,必须将风险降到最低。
其次,身份管理系统的完整性被破坏会降低用户的信心,尤其是在信任不足的情况下。对于用户而言,不仅要求整个系统及其组件的完整性,还要求系统的功能不会被滥用。
最后,攻击者会试图阻止用户对身份管理系统的访问和使用,如果系统没有必要的韧性与备用方案,则针对系统的攻击将可能带来严重的后果。
应对措施
目前的全球数字身份管理系统分散且不统一,为其内部安全带来了极大风险,进而阻碍了其潜在价值的释放。为应对以上挑战,可以从以下几个方面考虑需采取的行动:
结论
尽管全球在改善整个网络安全方面已经取得了不小的进展,但技术发展日益增加的复杂性、日益加快的步伐、日益扩大的规模以及相互依赖性都可能让我们之前的努力付诸东流。面对这些可能出现的挑战,需要广泛推动利益相关者集体采取行动。
安全和技术团体
安全和技术团体需要优先介入,以提升对网络安全运营至关重要的集体响应力度,并在企业和国家关键基础设施内有效控制新的网络风险。
行业和政府领导层
行业和政府领导层需要推动一系列政策,鼓励人们采用安全解决方案,增强生态系统不同组成部分之间的信任和透明度:明确责任问题;减少现行保障和监管模式中的摩擦;以及促进数据和数字服务的国际商业和贸易。
国际社会
最后,国际社会需要确保网络安全问题确切得到解决。这样新兴技术的有益价值才能最大化得以体现,才能保障发展中国家的需求并减少跨境网络犯罪。
免责声明:本文根据世界经济论坛《未来系列:网络安全、新兴技术与系统性风险》报告编译,原作者Sadie Creese等。文章内容系原作者个人观点,本公众号编译仅为分享、传达不同观点,如有任何异议,欢迎联系我们!
作者简介
翟丽影 国务院发展研究中心国际技术经济研究所数据部,研究助理
联系方式:zhaily@drciite.org
刘瑾 国务院发展研究中心国际技术经济研究所数据部,研究助理
联系方式:liujin@drciite.org
声明:本文来自全球技术地图,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
