无障碍链接

中国时间 1:14 2024年11月28日 星期四

政企不同心,美国要打赢网络战前景堪忧


索尼影业公司大楼外侧
索尼影业公司大楼外侧

2014年12月19日,迈克尔·林顿(Michael Lynton)正从CNN休息间的电视上观看奥巴马的年终新闻发布会。这位索尼影视娱乐公司的CEO正经历他职业生涯上最大的危机,或许他期待着自己在白宫的老朋友能在这时候对他表示些支持。迈克尔·林顿和他的妻子杰米·林顿(Jamie Lynton)从奥巴马2007年宣布竞选总统之初就是他的重要筹款人。

然而林顿看到的,却是奥巴马在镜头前说:“是的,我认为索尼公司犯了一个错误。”

林顿随后走进CNN的演播室,在被主持人问到如何看待奥巴马的批评时,他脸上有着掩饰不住的失落:“我如果说我不失望,那是在撒谎。总统和我还没有通过话,我不确定他是否了解造成电影无法上映的一系列事件。”

*索尼的“错误”还是白宫的“错误”?*

在此之前的一个月里,索尼影业因为一部喜剧电影而遭遇了美国公司历史上最严重的黑客袭击。这部名为《采访》的电影虚构了刺杀金正恩的桥段,因而得罪了自称“和平使者”的黑客组织。不计其数的文件被窃,内部数据中心被清空,75% 的公司服务器被摧毁,大量涉及员工隐私的信息遭到泄露。更糟糕的是,黑客扬言要对上映《采访》的影院实施9-11式的袭击,而FBI将黑客的身份锁定于了朝鲜政府。在此之后,各大院线陆续取消了《采访》的上映,索尼继而宣布放弃这部电影的发行。

“他们在做这个决定之前应该先来跟我谈谈。”奥巴马在新闻发布会上以及之后的CNN专访里多次说起这句话。

然而据彭博新闻社爆料,索尼在接到恐怖威胁后,其实的确向白宫咨询过应对的措施,但白宫的回复却是:如何处置这部电影将对地缘政治和索尼公司产生影响。但是该怎么做,完全取决于索尼本身。

这是两位熟悉内情的政府官员告诉彭博的。他们同时透露说,白宫这么做,一方面是因为这次黑客袭击的相关信息涉密,不方便透露给索尼;另一方面,白宫不想开创总统直接为单个公司出谋划策的先例,以避偏袒之嫌。

与白宫的这场无效交流让索尼在关键时刻做出了放弃电影发行的“错误”决定。前众议院议长、曾经参选总统的共和党人纽特·金里奇(Newt Gingrich )第一时间在推特上发帖说:“我们都不该自己骗自己,索尼崩溃,美国已经输掉了它的第一场网络战争”。

尽管受到了批评的索尼最终还是在互联网平台以及331家小型影院里上映了这部电影,算是从黑客手中抢回了点言论自由。但正如彭博社所说,这件事足以证明“美国政府和商界依然不能在阻止、防御和回应网络袭击中有效地合作。”

*企业让政府很“头疼”*

从上世纪90年代起,美国就在担心会出现一场“网络珍珠港”——某个敌对国的作战指挥部里,指挥官在电脑前敲了一下回车键,美国境内瞬间陷入一片漆黑,除了大范围停电或许还有停水外加交通瘫痪,各种混乱与恐慌也随之出现。

防止噩梦成真的关键在于防御而非进攻,这是网络安全界的共识。然而网络空间是一个由攻方主宰的空间,易攻难守,尤其是对美国而言:在这个私人财产与权利受到严格保护的国家中,“网络珍珠港”情境下中弹的“靶子”往往掌握在私人公司的手里,政府权力往往无法企及。

曾著书论述电网威胁的乔•威斯(Joe Weiss)也是国防部的一个承包商。他举过一个很有趣的例子:美国政府曾希望电力公司能在一些电力设备上安装一种装置,这种装置可以防止网络攻击者远程控制设备的电路开关,造成旋转部件的不同步——这是网络袭击者常用的摧毁电网的方式。据说这种装置的造价并不高,但几乎没有电力公司愿意花这笔在他们看来是额外的钱。于是美国国防部便购置了一批这样的装置,愿意免费发放给电力公司,但很多公司依然选择拒绝,因为他们认为一旦接受了政府发放的装置,这些电力设备将被列为“关键设施”(critical facility), 而“关键设施”需要接受监管机构的特殊审计(NERC-CIP audit)。

所幸“网络珍珠港”尚未发生,但针对美国的网络袭击却在2009年到2013年间翻了一倍,仅2013年就发生了22万8千7百起。网络袭击的目标也不仅仅是基础设施而已,美国的金融系统、能源公司、IT公司、零售商无一幸免,就连赌场也会一不小心惹上“大麻烦”。2014年2月,拉斯维加斯金沙集团遭受了毁灭性的网络袭击,FBI在最近公布的调查报告中指出,袭击者来自伊朗,其目的是为了报复金沙集团CEO 谢尔登·阿德尔森(Sheldon Adelson)关于在伊朗引爆核弹的言论。索尼事件更是让美国人看到,即便只是一家位于好莱坞的娱乐公司遭到袭击,处理得不好也会赔上言论自由这个美国的立国之本。

随着黑客在各领域全面设靶,美国政府也认为有必要把防御的阵线拉得更长。奥巴马在2011年就曾提出一项旨在加强政府和企业网络安全信息共享的立法提案。国会也曾试图通过一些法案来鼓励公司采取额外的安全防御措施。监管机构曾想为能源、银行和公共设施等行业制定网络安全最低标准……不过在企业看来,这些都只意味着被迫向政府开放信息,更多的政府干预,更重的监管负担,以及更大的法律风险。他们借助美国商会,并雇用了大量的游说公司对这些提案发起抵制,结果就是,迄今为止这类提案全都胎死腹中。

*政府值得信任吗?*

企业的不合作自有商业得失的考量,但对本国政府的不信任也是因素之一。在索尼事件中,FBI通过追查安装在索尼公司电脑系统里的恶意软件来指证这是朝鲜政府所为,于是就有很多企业安全顾问说,既然FBI掌握了黑客所使用的恶意软件代码,为什么不能把这些代码告知企业,好让企业有针对性地修补漏洞,加强防范?而政府的回答是,事关机密,不宜公开。

由于泄露政府搜集公民通讯情报而逃到莫斯科的前中情局合同工斯诺登,前不久接受了美国公共广播公司(PBS)的采访,在采访中他除了强调自己在俄罗斯的生活“好极了”,还不忘再借机批评一下美国政府。他认为正是美国政府的攻击性网络行为给美国的公司招来了这么多的报复。最典型的例子,就是2012年美国多家银行和位于波斯湾的石油公司遭遇的那场网络袭击,就是伊朗在报复美国此前连同以色列采用“震网”病毒对伊朗的核设施实施了打击。斯诺登同时指出,政府的行为让美国社会产生了这样一种氛围,就是当网络安全研究员发现了安全隐患时,不是告知企业,而是把信息卖给情报部门。

*威胁还在继续,公私合作何时到来*

政府和企业之间网络安全信息的传递目前更多是单向而极具选择性的。据美国国家安全助理总检察长约翰∙卡林(John Carlin)说,在过去的一年中,他们到各个公司去开了30多场情况通报会。在这样的会议上,安全部门以及有关专家会有针对性地向企业提供机密信息,告诫企业所面临的威胁,并为他们提供应对措施的建议。

无论是对企业还是对政府来说,这都显然是不够的。

索尼事件为奥巴马提供了再次推动公-私网络安全合作的机会,而在奥巴马的计划中,这种合作的核心在于信息共享。1月13号,奥巴马在国家网络安全和通讯整合中心(National Cybersecurity and Communications Integration Center)提出一项新议案。议案中说,如果企业主动将自己所面临的网络威胁的相关信息提供给国土安全部的网络安全中心,那么一旦网络袭击发生,这些公司可以在一定程度上免于为客户信息泄露等问题承担法律责任。

为了给这个议案造势,奥巴马的团队于前一天在推特上发了句推文:“如果我们要被联接,那我们就需要被保护。”( If we're going to be connected, then we need to be protected.)

具有讽刺意味的是,就在这条推文发出后不久,美国中央司令部的推特帐号就被盗了。伊斯兰国组织(ISIS)的支持者借着中央司令部的推特帐号发了条“美国士兵们,小心点,我们来了,ISIS”,并于随后上传了一些涉及美国军官及其家属隐私的文件,还有美国与中、朝作战的构想图。

在第二天的国会听证会上,民主党众议员康纳利(Gerry Connolly)向负责网络安全行动和项目的国土安全部助理副部长格雷格•陶希尔准将( Greg Touhill)问起此事。陶希尔强调说,黑客袭击的并不是军方的系统,所公布的文件也并不是机密文件,这只是发生在商业空间里的网络袭击。

康纳利打断了陶希尔的发言:“我认为如今区分公共部门和私营领域已经没有什么意义了,美国80%的重要基础设施都掌握在私营企业的手里!”

在网络时代,如何在保障公民个人隐私权以及私营企业的权益的前提下进行网络战,是美国面临的巨大考验。

XS
SM
MD
LG