2019年2月,美国智库CNA发布报告《赛博安全展望2025》,是对未来将出现的当今国家安全议程和网络安全挑战的前瞻性探索。通过一系列网络安全方案,该报告可帮助决策者预测网络安全挑战将如何演变,并了解世界各地的同行如何看待这些挑战。
文章仅供参考,观点不代表本机构立场。
作者:由加州大学伯克利分校长期网络安全中心(CLTC),CNA公共研究所(CNA)和世界经济论坛全球网络安全中心(C4C)合作完成。
发布时间:2019年2月
编译:学术plus 谭惠文
来源:https://www.cna.org
人们一致认为,数字时代,当人与技术混合在一起时,结果难以预料。这种不确定性使网络安全专业人员处于结构性劣势,因为时代有利于攻击者,而不是防御者和保护者。展望未来,在人与数字技术的混合领域,今天意义上的网络安全,与未来将要面对的一系列安全问题和挑战之间存在鸿沟。
为了解决这一差距,我们制定了一套展望未来的网络安全方案,旨在激发人们就政府、行业和公民社会在不久的将来将面临的网络安全挑战展开亟需的讨论。
《2025年网络安全展望》的基本理念是:如果我们能够预测网络安全挑战将如何演变,了解世界不同地区的政府、企业和社会如何看待这些挑战,我们就能更好地让决策者减少有害摩擦,抓住合作机会。《赛博安全展望2025》充分认识到当前安全政策和战略框架的不足,并将进一步加强这一认识,旨在为未来推动作战和战术的新的高水平概念和战略提供路线图。
第一阶段
制定《网络安全展望2025》方案
在项目的第一阶段,我们开发了一组场景,描绘了大约2025年的“赛博安全”的可能性空间。这四种场景的设计是为了强调在不久的将来出现的目标和价值的权衡。场景集中了相关可能性,同时也挑战现有的观念。
《赛博安全展望2025》中描绘的场景并非预言,而是一种合乎逻辑的叙述,讲述了各种来源的变化力量(技术、经济、人类行为、企业战略、政府政策、社会和道德规范等等)如何在2025年重叠并结合起来,产生一系列不同于今天的安全问题。这个未来的问题集涉及更广泛的参与者,包含更大的利害关系,基于不同的技术基础,以一种新颖的方式涉及人类的核心价值观。
第二阶段
国际研讨
在2018年5月至10月期间,我们带着四种场景来到7个地方:帕洛阿尔托、慕尼黑、新加坡、香港、莫斯科、日内瓦和华盛顿。在每个地点我们都组织了一个研讨会,与会者来自政府、企业、民间社会、学术界和其他领域。各个研讨会的组织过程基本类似,以产生大致可类比的反应和见解。这也是研讨会最重要的直接成果。尽管这四种场景在2025年都不会“成真”,但2025年的网络安全很可能将涵盖这些厂经中所描述的许多问题和挑战。预测世界不同地区的反应有助于制定前瞻性的研究和政策议程,该议程应更健全、更明智、更务实,并更广泛地适用于各个国家和地区。
场景1:量子跃迁
在2025年,第一批实现量子计算能力的国家一直在努力构建一个不扩散机制,以保护该技术业已产生的经济、战略和军事优势。但是其他在竞争中处于落后地位的国家,甚至是大城市,拒绝了少数精英提供商提供的经过稀释的量子服务,许多人试图追求“量子自治”。技术发展加速,几乎摒除了道德、经济和其他社会政治方面的关切,毒品卡特尔和其他全球犯罪网络的“全球化”领域出现了量子泄漏。
以各国政府为目标的核不扩散协议的胡萝卜不够诱人(大棒也不够可怕),无法让各个国家同心协力,过去或多或少起到遏制核武器扩散的模式,在遏制量子技术扩散方面失败了。到2025年,美国和中国都开始怀疑他们的下一个最佳举措是否就是改变方向,加速向他们各自的朋友和盟友传播量子计算,而这个偏离正道的领域正在迎头赶上。
场景2:新的转圜
当今世界,数字安全技术、物联网(IoT)和大规模机器学习(ML)的承诺(将之前混乱的人类社会现象转化为精确的指标和预测算法)在很多方面都变成了一个有毒的圣杯。其根本原因是人类社会生活失去了“回旋余地”。在21世纪20年代,社会面临的问题,将与他们几个世纪以来一直在努力解决的问题正好相反:目前我们对世界了解得不够多,还在与不准确的世界作斗争,到那时候我们知道得太多,而且知道得太准确。
安全性已经高到许多重要数字系统可以非常自信地运行,这就造成了新的难题,因为精确的知识会带走使社会和经济生活易于管理的宝贵润滑剂。当人们无法对令人不安的事实视而不见,无法达成建设性的模棱两可的协议,无法以沉默表示同意或是拒绝,或者对“事实”持有不同意见的代价越来越大时,人们发现自己要寻找新的回旋余地。他们发现它存在于对身份的操纵中,或者寻找多重或流动身份。这种建设性的重新引入不确定性和创造回旋余地的努力,将导致新的安全关切出现,并与国家间竞争的动态变化相重叠。
场景3:巴洛的复仇
数字安全急剧恶化,世界各地的企业和个人都认为,过去那种由政府、公司、工程标准机构和规范数字世界的作法不再可行。虽然大家一致认为部分的、零碎的改革是不够,但对于如何全面重新拟订规则也存在着根本的分歧,导致出现两条截然不同的道路。
在世界上的一些地方,政府基本上已经从游戏中退出,让位于最大的公司来管理,感觉像是1996年约翰•佩里•巴洛(John Perry Barlow)的“网络空间独立宣言”(Declaration of the Independence in Cyberspace)的讽刺翻版。
而在世界另一些地方,政府采取了相反的道路,拥抱互联网民族主义,将数字权力毫不掩饰地视为国家权力的来源和目标。到2025年,最具挑战性的紧张关系和惊人的相似之处,将出现在这两种截然不同的模式之间,二者之间的矛盾几乎存在于所有层面。
场景4:信任我们
这是一个数字的世界,不安全感在2010年代末互联网经济接近崩溃的边缘,在这一过程中,驱动公司的戏剧性的步骤卸载安全功能的人工智能(AI)网状网络,“社保网”,能够检测异常和入侵,修补系统没有人类的循环。由于人工智能网络实际上帮助经济从悬崖边爬了回来,并恢复了数字生活的稳定感,人们对人工智能会扰乱劳动力市场的担忧被抛到了脑后。但一种新的安全漏洞被引入,尽管从很多方面来说,SafetyNet的风险要小得多,但人工智能本身的安全性一直受到质疑。
2025年,大多数人将数字环境视为一个支离破碎的空间:一个不安全、不可靠的互联网,以及一个高度安全、但不断受到监控、由算法组织和保护的安全网。当机构将它们的活动隔离到任意一个环境中时,它们可以松一口气。但许多人都在想,对他们来说重要的现实特征——他们认为值得保护的价值观——是否在这一过程中遭到了践踏。
第三阶段
产生洞察
从七次研讨的结果中,我们形成了一些概要见解。这些见解带有明显的警示意味,其中最重要的是地缘特征。例如,将慕尼黑研讨会的成果归因于“欧洲”(尽管有许多欧洲国家、机构和部门的广泛代表),与在欧洲各地举办研讨会或在欧洲各国和地区之间划分观点是不同的。地理标签最好被认为是不完美的代理和模糊边缘的概念“云”。另一个警告是近期偏差;我们的研讨会参与者都是人,人们在阅读未来的情景时,会考虑到当时他们头脑中最重要和最紧迫的事情。我们设计的研讨会过程尽量来最小化这些偏差。
尽管有不同声音,但我们认为我们报告的早期见解至少在方向上是正确的,在战略规划和未来决策方面具有一定价值。其中提出了三个全局性见解和五个新的场景元素,以重新构建决策环境。
三个见解
1.关于数字技术和安全的讨论现在已经高度“国家化”,这点在场景分析中尤为明显。仅仅三年前,那种将政府直接置于数字环境背景下的“自由开放的互联网”论调还很盛行,而现在看这种有几分幼稚的观念似乎已经消失了。在某种意义上的“数据民族主义”如今已成定局,新的叙事围绕着与国家权力目标紧密相连的技术展开。虽然这在历史上司空见惯,但对互联网和数字经济而言,这是一个重大的变化。
2. 人们对有关“网络规范”的模糊讨论产生了强烈的幻灭感。世界各地的研讨会参与者都很难给“规范”赋予具体的含义,也很难阐明关于规范的讨论是如何与领导冲突的,而不是遵循紧急行为。
3.人们对数字技术在改善人类体验方面所能发挥的作用抱有深深的乐观预期,但这些预期有可能被埋没在新兴市场之中。第一代数字技术带来了(可能是超量的)理想主义——财富创造、安全、效率、和平、幸福等等。随着时间的推移,这些预期不可避免地会得到调整。但是,如果钟摆摆得太快、离风险和威胁的极点太远(现在看来是有可能的),社会就有可能忽视这些技术如果得到妥善管理和保护,可以带来的巨大好处。
五个新的场景
场景1. 中庸之道
过去20年,政府和企业共同打造了数字经济的“中庸之道”,即宽松监管和不受许可的创新,但这种“中庸之道”未必持久。这一模式已被打破的想法源自政治经济环境的重大变化,我们应该期待世界各地在新监管制度方面出现不同的实验。虽然这些试验将使各国政府在总体上发挥更大的作用,但全球格局将日益多样化。
这引发了一个简单的问题:如果事情出错,谁应该带领这一指责走上正轨?
在帕洛阿尔托,答案是“必须是大公司,因为这是能力所在。”
在慕尼黑,答案是“欧洲缺乏企业,我们不相信政府会做出回应,因此我们需要一场公民社会运动。”
在新加坡,人们的反应则较为温和:“可能不会出那么大的问题,但如果出了问题,政府是最后的定局。”
这是显然是两种截然不同的发展轨迹,它们必将会在某些重要方面产生摩擦。
场景2. 数字地缘政治
数字地缘政治不再是传统地缘政治的叠加层;数字技术正在新的行动者之间建立新的联盟,而不仅仅是在各州之间。目前,有许多人仍然相信“没有人真的会因为网络攻击而开战,即使他们真的开战了,也不是网络攻击本身的问题。”我们的研讨会表明,这种信念不会持久。联盟正在重新洗牌:例如,有关欧洲网络攻击归属的争论,既关注美国国家安全局(NSA),也同样关注APT-28等组织。半国营和犯罪组织正成为大公司和政府的平等参与者:把它们称为“非国家行为者”,暗示着二等的地缘政治地位是错误的。
同样,“大公司和政府”现在被广泛视为政治进程中几乎平等的参与者;像丹麦这样的国家已经设立了一个正式的技术部门大使,更多的国家将会效仿。新技术的出现可能会极大地重组地缘政治力量(例如,可能是量子计算),这将加速与数字利益相关的联盟的重新制定,在新的联盟中,企业可能与国家一样重要。还将出现关于什么构成犯罪活动以及谁或什么是“罪犯”的新定义。随着这些定义在不同地区出现分歧,数字犯罪分子在全球市场进行套利的机会将会增加。
场景3.数字压力
数字化导致的工作转移和不平等将不仅仅是一种压力源;这些动态注定会给劳动力市场和政治带来根本性的崩溃和失败。社会资本和更广泛的社会适应能力将是关键资产,有助于实现任何新的自动化和机器人驱动的劳动力市场均衡。
各国和区域在这方面的立场非常不同;例如,亚洲人似乎对社会能够经受住这些变化抱有更高的信心,这是建立在许多亚洲社会在面对类似挑战时已被证明具有弹性和凝聚力的信念之上的。然而,人们也日益认识到,大多数国家的经济增长和发展轨迹越来越不确定。美国和欧洲的民粹主义运动在一定程度上表明,人们对传统市场和政治的结合将确保数字技术的好处帮助那些似乎被落在后面的人失去信心,这在一定程度上造成了压力。工业化晚期发展中国家的成功故事(低工资制造业随着资本积累逐渐向更高的附加值发展)现在已基本过时,在以数据流和机器学习为主导的全球经济中,晚期开发人员成功的道路尚未确定。跨国流动——无论是贫困和流离失所的劳动力,还是(拥有巨大权力的)技术精英劳动力——在世界的某些地方还处于萌芽状态(尤其是美国和欧洲);它们的可能出现将成为安全领域的一个重要的新组成部分。
场景4. 全球监督
现在,最大的中介平台公司在世界各地都被视为一个真正独特的参与者类别,它们与政府、消费者和社会的关系需要特别的评估、关注,甚至可能需要监督。一项引人注目的观察是,虽然许多平台是全球性的,或正在成为全球性的,但关于它们的社会和经济后果的讨论充其量仍是全国性或区域性的。市场力量和寡头垄断现在是世界上大多数国家的一种假设;欧洲人最强烈地强调了负面影响。在亚洲,言论的重点在于:试图在平台结构的话语中评估“真相”行为如何影响社会资本和凝聚力。美国在美国竞争政策的消费者福利中心苦苦挣扎;对于总部位于美国的平台公司如何影响美国以外的社会和经济,几乎没有人关注。
尽管计算架构的变化被视为不稳定因素,但在2025年的情况下,这些当代的观察结果仍然相当强劲。可以明确的是,竞争政策和网络安全政策在许多方面是趋同的,这一趋势也将各国在竞争政策处理方式上的差异纳入安全领域。
场景5. 安全挑战
保护网络和数据集不受主权和犯罪窃贼侵害的网络安全挑战,正在演变为保护网络和数据集不受不正当操纵的挑战。蛮力攻击仍在议事日程上,但有一个广泛的假设,即攻击的复杂性将通过这些更隐蔽的渠道上升,比如对抗性机器学习、微妙的深度造假,或者有意偏向算法的训练集数据的微小变化。这将加速网络安全成为一个更加科学有趣的领域的趋势,但它也将给已经承受巨大压力的劳动力带来更多的需求。广泛的社会适应项目是亚洲主流且特色的应对措施;在美国,消费者和用户大多仍很被动,而如何引导他们成为更精明的信息消费者仍处于起步阶段。因此,会将更多的负担转移到诸如人工智能驱动平台之类的自动化系统上。
第四阶段
下一步是什么?
基于这些观察,我们认为,在政府和私营部门制定网络安全战略的高级决策者现在必须在未来几年内,以个人和集体的方式,持续地解决以下每一个问题。这些问题虽然不是针对某一特定工业部门或国家的业务层面,但是,这些问题的答案,对应对快速发展环境提供有意义的信息。
- 新的偏离常规的数字黑市在哪里发展?在这些市场上交易的是什么?
- 罪犯的定义是什么?这些定义之间的仲裁准备差异是什么?
- 正在形成和出现哪些新的地缘政治联盟?我们如何才能更好地理解国家和社会内部利益分裂的细微差别,这些差别会影响这些联盟可能采取的方向?
- 不同的社会在多大程度上可以通过数字化手段加剧和/或诱发不平等?速率是多少?
- 先发优势在哪里?当然是在技术上,也包括政策上?
- 是什么特性使得社会对数字操纵具有抵抗力和弹性?如果员工、消费者和公民需要在2025年的网络安全格局中重新定位为不那么被动的参与者,他们需要获得什么样的新能力,以及如何获得这些能力?
解决这些问题应该是2019年世界各国高管、董事会和政府机构的一个决定性重点。
查看英文原文:https://www.cna.org/cna_files/sas/report/Cybersecurity%20Futures%202025%20Insights%20and%20Findings.pdf
声明:本文来自学术plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。