NotPetya、WannaCry、ShadowPad、Sunburst……這些惡意軟件或許不為人們所熟知,但它們卻時刻危害著全球互聯網安全。
2022年初,一名19歲黑客通過第三方應用程序遠程入侵了分布在13個國家的20余輛特斯拉汽車,獲得了鎖定和解鎖汽車、打開和關閉車燈的權限,甚至實現了無鑰匙駕駛。2021年,位于都柏林的信息技術服務公司遭受惡意軟件攻擊,這家公司為全球幾百家網絡安全承包商提供安全軟件。黑客利用勒索軟件感染了該公司客戶的系統,向每家公司索取5萬至500萬美元來交換解密密鑰。同年,一家美國信息技術軟件公司也遭到攻擊,隨后黑客滲透了總統辦公室、財政部和商務部等9個美國聯邦機構。
這些攻擊有著相似的特點:黑客攻擊軟件供應商或信息技術公司,進入這些公司客戶系統的后門,一次性感染成百上千個系統。公司的業務流程相互連接,一旦某個環節受到影響,多米諾骨牌效應就會隨之產生,信息通信技術供應鏈的可靠性面臨嚴峻挑戰。
01
問題所在
近年來,針對信息通信技術供應鏈的網絡攻擊數量不斷增加。據歐盟網絡安全局統計,2021年發生的相關攻擊數量較2020年增加了4倍。漏洞可能發生在信息通信技術生命周期的任意階段,包括開發、制作、分發、獲取和部署等在內的各個環節,由此產生了綜合性的網絡攻擊風險。
鑒于各個機構、行業和國家信息技術系統的關聯日益緊密,網絡攻擊的危害將造成越來越大的影響。據Gartner公司在2019年開展的調查,60%的機構需要與1000多個第三方開展業務合作。2022年5月,美國Verizon通信公司發布的《2022年數據泄露調查報告》(以下簡稱《報告》)顯示,世界各地都出現了供應鏈遭受攻擊的情況。
越來越多的不法分子通過勒索軟件的攻擊來進行敲詐。2019年至2020年,在卡巴斯基公司的用戶中,遭遇針對性勒索軟件攻擊的用戶數量增加了767%,以政府和企業等為主。《報告》指出,勒索軟件的威脅將繼續增加,2022年幾乎70%的惡意軟件入侵事件中有勒索軟件存在。
目前,盡管網絡攻擊對政府和企業造成的危害更嚴重,但普通民眾也無法置身事外。病毒通過軟件更新就可以入侵數百萬用戶的電腦;針對食品雜貨連鎖企業的攻擊,能讓無數超市臨時關閉;醫療或公共服務機構的軟件系統遭受破壞,可能導致基礎公共服務中斷……這些攻擊產生的危害將波及千家萬戶。
02
及早應對
越來越多的國家意識到供應鏈遭受網絡攻擊引發的潛在風險,紛紛采取行動。2020年以來,亞太地區許多國家發布或更新了網絡安全國家戰略,包括新加坡、馬來西亞、澳大利亞和日本。越南、印度和印度尼西亞將發布網絡安全國家戰略和實施辦法。
但是,由于信息通信技術供應鏈的安全涉及數量眾多、范圍廣泛的利益相關方,解決方案會更加復雜。一些國家在采取行動的過程中,重點關注保護關鍵信息基礎設施的信息通信技術供應鏈。
例如,美國國土安全部于2018年建立信息通信技術供應鏈風險管理工作組,建立公私部門合作伙伴關系,推動形成風險管理策略的共識,增強全球信息通信技術供應鏈的安全性。該工作組已發布關于分享供應鏈風險信息的準則,以及管理服務供應商客戶的風險因素。
2021年,澳大利亞網絡安全中心發布指南,指導企業識別供應鏈相關的網絡安全風險,采取相應的應對措施。
新加坡網絡安全局宣布將啟動關鍵信息基礎設施供應鏈項目,要求相關方采納供應鏈風險管理的國際最佳實踐方案和標準。
03
前方道路
信息通信技術供應鏈具有全球性的特點,我們需要在不同層面開展強有力和更具協調性的應對措施。
在全球層面,各國以及國際刑警組織、聯合國、東盟和歐洲刑警組織等國際組織已經采取行動、加強合作,共享實踐經驗。
多邊平臺:如今,聯合國政府專家組和開放工作組成為各國建立網絡領域共識和制定相關規范的平臺。聯合國互聯網治理論壇等會議提供了在工作層面深入探討的機會,卡巴斯基與合作伙伴于2020年召開研討會,討論加強全球信息通信技術供應鏈保障、提升透明度的必要性和方法。
雙邊伙伴關系:亞太地區國家已就網絡安全的不同領域簽署合作備忘錄,中國、越南、印度、日本、新加坡和韓國等,取得了重要進展。
盡管這些平臺在建立共識、交流經驗、協調標準等方面發揮著重要作用,但關鍵是要增加針對全球信息通信技術供應鏈韌性的討論,因為這個議題涉及不同類型的行為主體,對全球產生廣泛的影響。
在國家層面,政府必須通過制定法律、規章、指南、培訓要求等舉措,持續推動在不同領域建立起網絡安全的基本標準。
考慮到信息通信技術供應具有綜合性的特點,政府需要建立核心原則、技術標準、法律法規框架,保證不同利益相關方在維護網絡安全方面承擔的責任程度保持一致。政府除了推動相關措施落地,還可以發布通用性的網絡安全風險評估工具。
在個人層面,每個人都有責任維護網絡安全。在這方面,開發應用產品和維護軟件系統的企業需要發揮引領作用。
維護網絡安全事關每一個人,因為最薄弱的環節往往對集體網絡安全的實現產生決定性的作用。想要保持網絡安全方面的領先地位,不能只是忙于應對網絡威脅,關鍵要放眼長遠,設計網絡安全生態系統,建立暢通的人才通道,達到計算機應急響應組織、取證分析團隊和信息技術部門的要求,以“通過設計獲得安全”的理念來建設關鍵信息基礎設施。
來源:中國網信雜志
