此页面上的内容需要较新版本的 Adobe Flash Player。

获取 Adobe Flash Player

 

此页面上的内容需要较新版本的 Adobe Flash Player。

获取 Adobe Flash Player

 
建业月刊往期查询:
152期
草叶集
网络安全之迷思
0 田聪儿

计算机安全是个自相矛盾的说法。姑且只看下去年的情况:网络窃贼从孟加拉中央银行盗走了8100万美元;电信公司威瑞森(Verizon)以48亿美元收购互联网公司雅虎的交易差点因两起大规模数据泄露而泡汤;俄罗斯黑客干扰了美国总统大选。
在这些头条之外,一个利用电脑敲诈勒索、黑客雇佣和数字商品销赃的黑市日渐繁荣。计算机的应用途径日益增多,它们不仅处理信用卡详细信息和数据库之类的抽象数据,还涉及真实世界里的物品和脆弱的人体。物联网的到来会让所有物品都嵌上计算机,从道路标识、核磁共振扫描仪,到假肢和胰岛素泵。黑客们已经证明了他们能远程控制联网的汽车和起搏器。
人们很容易认为,只要有了更多的技术魔法并呼吁大家提高警惕,安全问题就能得到解决。而且很多公司对待安全问题的态度确实还不够认真。这种意识需要一种长期养成的偏执,而科技界以外的公司不会自然而然地拥有这一特质。
软件极其复杂,我们不可能让计算机百分之百地安全。谷歌在各种产品中必须处理约20亿行源代码,出错在所难免。这些弱点因互联网的历史而雪上加霜:对互联网而言,安全是事后才想到的事情。

敞开窗口
这并不表示已经无计可施。遭遇欺诈、车祸、坏天气的风险同样无法完全避免。不过社会各界已经研究出管理这类风险的种种方法,从政府监管到使用法定责任和保险,来鼓励更安全的行为。
先要从监管开始。各国政府的首要任务是克制会让事态恶化的举动。恐怖袭击常常会引发削弱加密的呼声,因为这样一来安保部门就能更好地监控个人在做什么。但削弱加密不可能只针对恐怖分子。对每一个人都做好加密,计算机安全才能得到最好的保护。
第二要务是设立基本的产品法规。缺乏专业知识常常会阻碍计算机用户保护自己,因此政府应当推进计算的“公共健康”。它们可以要求联网装置发现漏洞时必须修补更新,还可以强迫用户修改默认的用户名和密码。已在美国部分州实施的报告法要求公司披露它们或它们的产品被黑客攻击的情况。这鼓励它们解决问题而不是隐匿不报。

慢一点,解决问题
但制定最低标准的作用也就仅此而已。计算机安全的普遍问题是人们实在缺乏动力来认真对待这一问题,用户无法自我保护只是其中一个例子。
更重要的是,软件业几十年来都拒绝为产品问题造成的损害承担责任。这种做法确有好处。只有公司能相对自由地推出有待完善的新产品,硅谷“快速推进、破除陈规”的创新方式才能结出累累硕果。但是这一点很快将失去意义。随着计算机扩展到已建立了责任制度的产品,如汽车或家用产品,这一行业的免责声明会越来越违背已有法律。
所幸网络安全保险这个虽小却不断发展的市场提供了一种方法,可以在保护消费者的同时保持计算机行业的创新能力。产品无法正常工作或是经常被黑客攻击的公司将面临保费上涨,这会敦促它解决问题。采取了合理措施来保障安全但仍然遭到伤害的公司可以向保险公司索赔,免于破产。也正是在这里,一些免赔的责任或许可以协商解决。在这方面也有先例:上世纪80年代,当美国轻型飞机制造公司面临巨额索赔以致整个行业都有破产风险时,政府更改了法律,限定了它们在旧产品上应负的责任。
今天计算机安全问题如此严峻,原因之一便是之前极少有人认真对待过这个问题。在互联网兴起之初,这种状况还情有可原。既然如今后果已经彰显,漏洞和黑客攻击带来的风险也巨大且与日俱增,那么就没有理由再重蹈覆辙。但改变观念、改变行为都需要经济手段,而不仅是技术手段。
消息来源:经济学人

编辑部地址:中国郑州市农业东路建业总部港E座 邮编:450004
电话:0371-66531597 传真:0371-66515003 E-mail:bianjibu.001@gmail.com
内部资料 (豫直) 第0176号