警惕“數字化破壞”

全球經濟正在進入極易受“數字化破壞”的階段，這一威脅堪比美國次貸危機——美國大西洋理事會近日一份報告發出如是警示。

這份題為《超越數據破壞：全球關聯的網絡風險》的報告由大西洋理事會網絡治國計劃項目主任賈森·希利主筆，研究歷時一年。

報告認為，未來的互聯網危機與2008年的次貸危機具有某種相似性，在爆發前隱藏得很好以至于人們難以察覺；一旦被某個事件引爆，可能令全球經濟發生連鎖反應，從而引起更大范圍或更持久的崩潰。問題是，現在的政府、公司等大多僅限于關注組織內部的網絡安全，而忽視了整個網絡系統的風險。

“網絡次貸”風險

說起網絡安全，大部分人腦海中浮現的是網絡間諜、網絡犯罪或者是網絡武器研發等。大西洋理事會的這份報告則認為，網絡最大的安全風險是基于網絡本身的復雜性衍生的，足以使整個系統崩潰甚至造成全球經濟危機。

報告創造了“網絡次貸”（cyber sub-prime）一詞來類比網絡風險和次貸風險，并認為網絡系統和金融系統有三個相似性：它們都極其復雜，金融系統中各家金融機構的關系錯綜復雜，高度關聯，網絡系統更是如此；都與實體經濟相連，一旦發生危機，實體經濟必受沖擊；形成系統性危機的過程相似，金融系統是通過次級債一級級證券化，利用系統的復雜性和不透明性，將風險資產不斷打包成金融衍生品出售給下家，直到最后誰也不知道這些風險在哪里，網絡系統則是通過網絡化擴散風險，組織機構通過一級級外包和相互關聯，形成復雜又無人能清楚認知的風險網絡。

次貸危機在2008年大爆發前隱藏得很好，基本上未被發現。網絡風險也有這一特點，由于互聯網極為復雜，人們極易陷入模糊技術的風險中而不自知。

報告舉例說，假如一家提供賬單、設計圖樣或訂單的大互聯網云服務供應商出現了“雷曼兄弟公司那樣的崩潰時刻”——每個人的數據周五還在那里，周一就徹底消失了，那會怎樣？如果這樣一次故障“牽連到一家主要的后勤供應商或經營重要基礎設施的企業，它可能會以事前難以理解、模仿或預測的方式，將災難性連鎖反應擴大到整個實體經濟”。

“互聯網與社會高度關聯、緊密交織，這意味著一個地方的小故障會發生連鎖反應，并對其他地方產生特大規模的影響。雖然人類社會對互聯網的依賴呈指數式增長，但人類對它的控制只呈線性增長。”報告總結說。

報告歸納了“網絡化”帶來的7種主要網絡風險：組織機構內部的IT風險，包括軟件、硬件、服務器、操作人員和流程中的風險；合作方的風險，比如大學研究機構、工業聯合會等；外包風險，比如互聯網云服務提供商；供應鏈風險；新興技術帶來的風險，比如智能電網、無人駕駛汽車等；上游基礎設施的風險，包括海底電纜、DNS系統等；最后是外部沖擊，如國際沖突等帶來的風險。

防范全球性的網絡沖擊

既然網絡風險具有如此重大的威脅性，為何直至今天，全球性網絡沖擊從未出現？報告說，從25年網絡攻擊史來看，世界上確實還未曾發生過持久的大范圍網絡沖擊事件。

以前，網絡風險不太可能成為全球性沖擊的源頭有三個原因。網絡的極具彈性使得即使部分節點損失，整個系統仍能正常運作；技術人員能日復一日、年復一年勤勞工作保證網絡正常運作，將網絡攻擊限制在短時間、小范圍之內；網絡歷史相對時間較短，世界對網絡的依賴性較低，直到最近網絡才與真實世界緊密相連。

“未來，網絡現階段的穩定與繁榮很可能會消失，網絡將產生更多危機并將危機的影響放大。”報告作者賈森·希利說。

現今網絡交織相連，與現實世界緊密耦合。網絡系統之外，有很多系統依附于網絡系統，關系錯綜復雜。這將導致危機或許一開始以網絡沖擊的方式存在，但很快就會波及現實世界。

部分網絡節點脆弱。盡管網絡是一個無邊界、極富彈性的系統，但有選擇性地攻擊其中5%?15%的節點可能會摧毀一個系統。而且網絡系統的節點一般都承載多種功能，這就會放大網絡沖擊的影響。

網絡攻擊者處于優勢地位。網絡的原初架構是基于信任，因此攻擊比防御更容易。更重要的是，基于成本與收益的對比，現在很多IT廠商和信息服務提供商（ISP）沒有動機去做好網絡安全的防御工作。

互聯網世界正在失去多元性。在硬件、軟件等方面，壟斷趨勢越來越明顯，導致網絡系統的脆弱性進一步加重。

報告還列舉了一些可能造成全球“網絡次貸危機”的導火索，比如中美沖突、智能電網基礎設施受到破壞、舊金山灣區發生大型地震、大型云安全提供商出現問題，等等。

“政府和組織機構的風險管理不能僅限于組織內部的數據破壞問題，而要有更長遠的目光，看到網絡可能帶來的全球風險。”大西洋學會會長弗雷德里克·肯佩說：“網絡系統規模的風險不容忽視。”

為防范全球性的“網絡次貸危機”，報告認為，具有系統責任的政府機構及組織要將網絡風險管理擴展至系統層面，加強事故反應措施，把風險管理外包給第三方時要保持謹慎。由于與金融風險類似，有必要從金融系統的治理中借鑒經驗，比如進行壓力測試和防范“太大而不能倒”，同時可成立“G20+20”的全球網絡穩定委員會，即全球20個主要大國加上微軟等20家全球重要的信息通信技術公司和組織，加強國際協調。