在這個日益數(shù)字化�����、充斥著虛假信息和假新聞的時代��,最大的挑戰(zhàn)是建立對技術(shù)本身的信任���。
現(xiàn)在,無人不知網(wǎng)絡(luò)安全的重要性�,無人不曉網(wǎng)絡(luò)攻擊對電腦、智能手機(jī)和其他設(shè)備造成的威脅�。我們總能收到提示,千萬不要泄露密碼�,要小心垃圾郵件和釣魚郵件,這些郵件會企圖操縱用戶泄露各類密碼����、銀行賬戶信息、社會保險或醫(yī)療資料等個人信息����。
身份盜竊問題十分棘手���,而當(dāng)受攻擊目標(biāo)是政府和其他主要機(jī)構(gòu)時,情況會更加復(fù)雜惡化��。由英國廣播公司(BBC)出品的熱門電視劇《真相捕捉》(The
Capture)的宣傳語為“眼見為虛”���,該劇探討了被稱作“21世紀(jì)PS”的深度偽造技術(shù)所帶來的巨大沖擊����,威脅國家安全�,動搖國本,摧毀信任����,讓人們懷疑現(xiàn)實(shí)。
該劇在許多方面可能有些夸張��,然而隨著第四次工業(yè)革命的深入發(fā)展����,我們發(fā)現(xiàn),該劇突出了飛速發(fā)展����、愈加復(fù)雜的技術(shù)帶來的潛在風(fēng)險和威脅���。
提高網(wǎng)絡(luò)風(fēng)險的優(yōu)先級
世界經(jīng)濟(jì)論壇的《2022年全球網(wǎng)絡(luò)安全展望》報告指出,網(wǎng)絡(luò)領(lǐng)導(dǎo)者們將網(wǎng)絡(luò)攻擊造成的基礎(chǔ)設(shè)施故障視為首要風(fēng)險�����,其次是身份盜竊�����。報告也表明�����,盡管85%的網(wǎng)絡(luò)領(lǐng)導(dǎo)者認(rèn)為提高所在組織的網(wǎng)絡(luò)復(fù)原力是首要任務(wù)����,但要將這類風(fēng)險的優(yōu)先級別提到其他眾多緊迫事項(xiàng)之前�,卻很難獲得決策者的支持,而我們需要嚴(yán)肅對待這個挑戰(zhàn)����!毒W(wǎng)絡(luò)犯罪》(CyberCrime)雜志認(rèn)為�����,網(wǎng)絡(luò)攻擊很有可能令一座城市、一個州���,甚至整個國家的經(jīng)濟(jì)癱瘓�,到2025年��,全世界每年由于網(wǎng)絡(luò)犯罪造成的損失將達(dá)到10.5萬億美元�����。
網(wǎng)絡(luò)安全議題并不新鮮��,然而隨著世界日益互聯(lián)和碎片化����,個人、組織機(jī)構(gòu)��、服務(wù)和系統(tǒng)面臨網(wǎng)絡(luò)攻擊的風(fēng)險越來越大�����。隨著技術(shù)日益成熟,網(wǎng)絡(luò)罪犯也越來越精明����。在這個充滿不確定性的時代,信任彌足珍貴��。對系統(tǒng)安全的信任和保證是人們的基本要求����,而ISO的兩項(xiàng)國際信息技術(shù)標(biāo)準(zhǔn)ISO/IEC
15408和ISO/IEC 18045有助于人們恢復(fù)對技術(shù)的信任。
米蓋爾·班儂(Miguel
Ba?ón)是網(wǎng)絡(luò)安全評估和認(rèn)證專家����,也是ISO和國際電工委員會(IEC)安全評估、測試與規(guī)范工作組的召集人��。他認(rèn)為�����,這兩項(xiàng)標(biāo)準(zhǔn)就像“自行車的腳踏板”一樣協(xié)同工作�����,ISO/IEC
15408建立了IT安全的評估標(biāo)準(zhǔn)��,而ISO/IEC 18045明確了IT安全評估的方法�。不過在實(shí)際應(yīng)用上,這兩項(xiàng)標(biāo)準(zhǔn)是相同的��。
及時修訂標(biāo)準(zhǔn)
近期�����,這幾項(xiàng)標(biāo)準(zhǔn)的修訂非常及時�,能不斷滿足復(fù)雜的新時代需求。班儂說����,“工作組重點(diǎn)關(guān)注技術(shù)保障、測試認(rèn)證�,并提供確保技術(shù)本身安全性的標(biāo)準(zhǔn)。這也是解決方案的重要組成部分�����!標(biāo)準(zhǔn)有助于采用整體全面的方法進(jìn)行信息管理�����,但技術(shù)安全是根本性基礎(chǔ)��。
要想在市場上取得成功��,必須取得客戶的信任�����,對于技術(shù)來說����,也是一樣。面對快速涌入市場的琳瑯滿目的新產(chǎn)品�,例如智能互聯(lián)汽車,如果我們對它沒有把握�����,又怎么能放心讓它自動駕駛呢����?
班儂稱,通過ISO/IEC 15408和ISO/IEC
18045這兩項(xiàng)標(biāo)準(zhǔn)����,“我們提供了國際公認(rèn)的最佳����、也是唯一的產(chǎn)品和系統(tǒng)安全性測試和評估方法”����。他指出�����,曾經(jīng)的小眾領(lǐng)域網(wǎng)絡(luò)安全如今成為了主流���,而市場本身將網(wǎng)絡(luò)安全視為先決條件����,決策者和領(lǐng)導(dǎo)者們必須要進(jìn)一步提高對網(wǎng)絡(luò)風(fēng)險的重視程度����。
建立網(wǎng)絡(luò)復(fù)原力
政府對這一問題也越來越重視。班儂表示�����,網(wǎng)絡(luò)安全引起了廣泛的關(guān)注��,帶來了很多積極成果�����,例如即將出臺的歐盟立法將提出強(qiáng)化網(wǎng)絡(luò)安全系統(tǒng)。他說�����,“《歐盟網(wǎng)絡(luò)安全法案》的實(shí)施為全歐洲的認(rèn)證工作提供了統(tǒng)一框架���。過去�,如果你想對產(chǎn)品進(jìn)行安全認(rèn)證����,需要以各國家體系為依據(jù),而現(xiàn)在���,首個泛歐洲產(chǎn)品認(rèn)證體系即將推出����,這是基于ISO/IEC
15408制定的”�。
他還指出,IT安全并非新議題����,此前的標(biāo)準(zhǔn)實(shí)施已經(jīng)給市場上的產(chǎn)品帶來積極影響��!巴ㄟ^遵循操作系統(tǒng)或網(wǎng)絡(luò)設(shè)備等標(biāo)準(zhǔn)的要求�����,許多傳統(tǒng)產(chǎn)品不斷發(fā)展和改進(jìn)�,使黑客不得不另尋‘更容易’攻破的產(chǎn)品或界面了,”他說道�����。
符合ISO/IEC
15408的產(chǎn)品或界面需要高度成熟�����,對攻擊有較強(qiáng)的抵抗力��。對于當(dāng)今我們常聽到的重大安全破壞事件�,班儂認(rèn)為,很有可能是因?yàn)楹诳歪槍ξ唇?jīng)該標(biāo)準(zhǔn)認(rèn)證或分析的產(chǎn)品下手����������!凹僭O(shè)你是黑客,你會針對整個鏈條上最薄弱的環(huán)節(jié)��,而現(xiàn)在最簡單的途徑就是攻擊未經(jīng)標(biāo)準(zhǔn)認(rèn)證的產(chǎn)品”
��,他說���。
獨(dú)立而公正
信任是根本性問題���。班儂指出,“我們的標(biāo)準(zhǔn)首先對產(chǎn)品進(jìn)行非常嚴(yán)格���、獨(dú)立而公正的審查�����,再做一系列評估和認(rèn)證����,確保得到用戶的信任”�����。舉個例子,誰都不想買到不符合安全規(guī)定的洗衣機(jī)���,所以標(biāo)準(zhǔn)合規(guī)是“市場的需求�����,也是網(wǎng)絡(luò)安全方案在全球大獲成功的基礎(chǔ)”,既防范了惡意攻擊���,又能讓用戶安心��。