網上版請按此
資安問題嚴峻有藥醫嗎?
今年 5 月,勒索軟件(Ransomware)《WannaCry》肆虐全球,幸好個多星期事件便平息;最近出現 GoldenEye/Petya,網絡保安再成為了大家關注的焦點。
根據網絡保安方案商卡巴斯基實驗室(Kaspersky Lab)的數據,2017 年首季網上惡意攻擊比 2016 年同期增加 1 倍,至 4 億多次。不幸的是,防毒軟件未必能完全確保你電腦、電話不受入侵 —— 曾被稱許為最佳保安方案開發商之一的 Symantec,早前公開宣稱防毒軟件「已死」,因為實在難以完全把病毒拒諸門外;以色列網絡保安公司近日更揚言,發現了一種專門攻擊防毒軟件的病毒......
在美國奧巴馬政府時代擔任白宮網絡安全協調的 Michael Daniel 認為,網絡保安的挑戰巨大,因為我們用舊思維處理新問題;最近他撰文指出有 3 大原因,令網絡保安問題愈來愈嚴峻:
(1)它並非單純的技術問題,當然這中間有技術含量,例如如何寫一個滴水不漏的程式;
(2)網絡與現實世界存在根本的分別,規則玩法因此要重新定義——現實世界不論是犯案現場或防守的邊界都以地域劃分;但互聯網的威脅可以在千里之外發出並迅即來到面前,而且它以路由器、防火牆和閘道(gateway)界定,不以國家為界,如在公海作業通常牽涉不止一個政權,緝捕歹徒變得困難。
(3)網絡世界的法律和政策未完全建立——互聯網是近廿多年才開始廣為民用,法規仍欠完備,包括保護用戶的責任誰屬。例如最近的《WannaCry》事件,全球受影響的範圍從政府部門、公私營機構到個人,但遭受入侵的電腦安裝由私營企業開發的軟件,哪究竟應該誰來主導事件?此外,公司處理我們的數據時,有甚麼保護措施?各行各業的監管機構有為行業制定安全守則嗎?如果軟件有紕漏,責任誰屬?真是錯綜複雜。
有網絡保安專家直言,因為大家現在都在互聯網經營業務,所以要接受事實:威脅無可避免。要做的不是避免受襲,而是要制定網絡防衛機制,提高抵禦攻擊的能力。
因此,公私營機構和政府部門都要加強人手努力「練兵」。最近出爐、訪問了全球 170 個國家近 20,000 位業內人士的《2017 全球資訊安全人力研究》指出,全球資訊保安人才嚴重短缺,到 2022 年空缺會達 180 萬名,僅歐洲估計便需要 350,000 名。
要解決人才荒及 Michael Daniel 提出的種種問題,其實沒有立竿見影的方法,因為牽涉到許多複雜和未知的領域,而我深信教育是刺激新思維以至解決問題的不二法門。因此,培訓年輕一代有關編寫電腦程式和網絡安全意識,以及於中小學大力提倡 STEM(科學、科技、工程和數學)教育,實在是當務之急,而政府應該要加快腳步,畢竟人才培訓沒有速成班。
有危才有機,期望新一代年輕人可以盡早把握機遇,捍衛我們的網絡安全之餘,更可以此成就一番事業。
鄧淑明博士
香港大學計算機科學系榮譽教授