摘 要:數(shù)字技術(shù)的廣泛應(yīng)用,帶來(lái)了數(shù)字安全問(wèn)題,從安全的態(tài)勢(shì)來(lái)看,數(shù)字安全問(wèn)題越來(lái)越復(fù)雜,既存在網(wǎng)絡(luò)安全、數(shù)據(jù)安全、輿論操縱等問(wèn)題,也存在供應(yīng)鏈風(fēng)險(xiǎn)、系統(tǒng)性風(fēng)險(xiǎn)等物理世界的問(wèn)題,而各國(guó)在數(shù)字安全治理上的觀念分歧與政策錯(cuò)位,還導(dǎo)致了各國(guó)數(shù)字安全政策的沖突與協(xié)調(diào)問(wèn)題。因此,需要將數(shù)字安全放在國(guó)家安全的整體框架下,建立起統(tǒng)一的應(yīng)對(duì)策略。
關(guān)鍵詞:數(shù)字安全 安全態(tài)勢(shì) 網(wǎng)絡(luò)空間 數(shù)字技術(shù)
【中圖分類號(hào)】TP309 【文獻(xiàn)標(biāo)識(shí)碼】A
數(shù)字技術(shù)已全面滲透到社會(huì)經(jīng)濟(jì)生活的各個(gè)方面,形成了一個(gè)新的網(wǎng)絡(luò)空間。根據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的《第52次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》,截至2023年6月,我國(guó)網(wǎng)民規(guī)模達(dá)10.79億人,互聯(lián)網(wǎng)普及率達(dá)76.4%。
數(shù)字技術(shù)的廣泛應(yīng)用,帶來(lái)了大量安全問(wèn)題。首先是網(wǎng)絡(luò)空間及相關(guān)的安全問(wèn)題成為了各界關(guān)注的重點(diǎn)。早在2014年,在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議上習(xí)近平總書(shū)記提出了“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全,沒(méi)有信息化就沒(méi)有現(xiàn)代化”的重要論斷。世界經(jīng)濟(jì)論壇發(fā)布的《2023年全球網(wǎng)絡(luò)安全展望》顯示,91%的企業(yè)和網(wǎng)絡(luò)領(lǐng)導(dǎo)者認(rèn)為,未來(lái)兩年可能會(huì)發(fā)生影響深遠(yuǎn)的災(zāi)難性網(wǎng)絡(luò)事件。而對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊在“當(dāng)前顯現(xiàn)的風(fēng)險(xiǎn)”中排名第五。同時(shí),與網(wǎng)絡(luò)相關(guān)的數(shù)字經(jīng)濟(jì)領(lǐng)域的安全問(wèn)題越來(lái)越重要。數(shù)字技術(shù)全面滲透到社會(huì)生產(chǎn)生活與治理領(lǐng)域,其安全問(wèn)題對(duì)經(jīng)濟(jì)運(yùn)行將產(chǎn)生重大影響。根據(jù)工信部發(fā)布的數(shù)據(jù),我國(guó)已建成跨行業(yè)跨領(lǐng)域工業(yè)互聯(lián)網(wǎng)平臺(tái)50家,平均連接工業(yè)設(shè)備超218萬(wàn)臺(tái),服務(wù)企業(yè)數(shù)量超過(guò)23.4萬(wàn)家。特色專業(yè)型工業(yè)互聯(lián)網(wǎng)平臺(tái)達(dá)221個(gè),其中,面向行業(yè)平臺(tái)有150個(gè),面向區(qū)域平臺(tái)有27個(gè),面向特色領(lǐng)域平臺(tái)有44個(gè)。大量的工業(yè)企業(yè)、設(shè)備全面上網(wǎng),安全問(wèn)題應(yīng)得到更多的重視。三是數(shù)據(jù)安全問(wèn)題越來(lái)越重要。數(shù)據(jù)已成為一種重要的生產(chǎn)要素,在經(jīng)濟(jì)生活中發(fā)揮著越來(lái)越大的作用。根據(jù)《國(guó)家數(shù)據(jù)資源調(diào)查報(bào)告(2021)》,2021年我國(guó)數(shù)據(jù)產(chǎn)量達(dá)到6.6ZB,占全球數(shù)據(jù)總產(chǎn)量的10%,位列全球第二。四是數(shù)字領(lǐng)域的安全風(fēng)險(xiǎn)全面向物理世界擴(kuò)散,有可能導(dǎo)致科技研發(fā)、供應(yīng)鏈產(chǎn)業(yè)鏈等多方面的風(fēng)險(xiǎn)。
數(shù)字技術(shù)作為一種通用目的技術(shù)(General Purpose Technology)具有廣泛滲透性,使網(wǎng)絡(luò)安全問(wèn)題的范疇持續(xù)擴(kuò)大,從而演化為數(shù)字安全,因?yàn)殡S著各行各業(yè)數(shù)字化水平持續(xù)提升,數(shù)據(jù)、網(wǎng)絡(luò)、智能技術(shù)等在生產(chǎn)生活中越來(lái)越重要,因此,網(wǎng)絡(luò)安全問(wèn)題向千行百業(yè)延伸拓展,成為社會(huì)的底座。習(xí)近平總書(shū)記明確指出:“在信息時(shí)代,網(wǎng)絡(luò)安全對(duì)國(guó)家安全牽一發(fā)而動(dòng)全身,同許多其他方面的安全都有著密切關(guān)系”。為了進(jìn)一步明確網(wǎng)絡(luò)安全的這種廣泛性,本文將數(shù)字安全定義為:與數(shù)字技術(shù)直接相關(guān)的網(wǎng)絡(luò)空間安全、數(shù)據(jù)安全以及由于應(yīng)用數(shù)字技術(shù)而帶來(lái)的物理世界安全、社會(huì)治理安全等復(fù)合性綜合性安全。數(shù)字安全是一個(gè)大的概念,既包括了虛擬世界的數(shù)據(jù)安全、網(wǎng)絡(luò)安全、輿論操縱等問(wèn)題,也包括物理世界的關(guān)鍵基礎(chǔ)設(shè)施風(fēng)險(xiǎn)、供應(yīng)鏈風(fēng)險(xiǎn)、系統(tǒng)性風(fēng)險(xiǎn)。在應(yīng)對(duì)數(shù)字安全風(fēng)險(xiǎn)方面,各國(guó)的政策理念以及具體措施仍有不少?zèng)_突。從總體上看,數(shù)字安全越來(lái)越重要,給社會(huì)、經(jīng)濟(jì)、生活帶來(lái)了深刻的影響,也給工業(yè)生產(chǎn)、科技研發(fā)等帶來(lái)了巨大的影響。本文在分析數(shù)字安全新態(tài)勢(shì)的基礎(chǔ)上,對(duì)不同國(guó)家數(shù)字安全政策進(jìn)行了深入討論,并提出了我國(guó)的應(yīng)對(duì)策略。
傳統(tǒng)數(shù)字安全:網(wǎng)絡(luò)空間安全常態(tài)化
數(shù)字技術(shù)的廣泛應(yīng)用,形成了一個(gè)新的空間——網(wǎng)絡(luò)空間,由于其具有虛擬性、技術(shù)性、智能化等特征,帶來(lái)了大量的網(wǎng)絡(luò)安全問(wèn)題,使網(wǎng)絡(luò)空間的安全問(wèn)題成為一種常態(tài)。
網(wǎng)絡(luò)運(yùn)行安全問(wèn)題影響越來(lái)越大
一是基于網(wǎng)絡(luò)漏洞、網(wǎng)絡(luò)攻擊等網(wǎng)絡(luò)運(yùn)行的安全問(wèn)題越來(lái)越顯著。根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)發(fā)布的《2021年上半年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測(cè)數(shù)據(jù)分析報(bào)告》,我國(guó)網(wǎng)絡(luò)普遍存在著惡意程序傳播、漏洞風(fēng)險(xiǎn)、DDoS攻擊、網(wǎng)站安全等方面的安全問(wèn)題。以網(wǎng)絡(luò)漏洞為例,國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄通用型安全漏洞13083個(gè),同比增長(zhǎng)18.2%。其中,高危漏洞收錄數(shù)量為3719個(gè)(占28.4%),同比減少13.1%;“零日”漏洞收錄數(shù)量為7107個(gè)(占54.3%),同比大幅增長(zhǎng)55.1%。2021年上半年,CNVD驗(yàn)證和處置涉及政府機(jī)構(gòu)、重要信息系統(tǒng)等網(wǎng)絡(luò)安全漏洞事件近1.8萬(wàn)起。捕獲惡意程序樣本數(shù)量約2307萬(wàn)個(gè),日均傳播次數(shù)達(dá)582萬(wàn)余次,涉及惡意程序家族約20.8萬(wàn)個(gè)。馬來(lái)西亞通信和數(shù)字部網(wǎng)站數(shù)據(jù)顯示,在馬來(lái)西亞,2020 年共發(fā)生了 6512 起網(wǎng)絡(luò)安全事件,而到2021年1—5月,共發(fā)生了4615 起網(wǎng)絡(luò)安全事件,幾乎增長(zhǎng)了一倍。因此,世界經(jīng)濟(jì)論壇發(fā)布的《2023年全球風(fēng)險(xiǎn)報(bào)告》將網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)不安全位列未來(lái)兩到十年全球第八大風(fēng)險(xiǎn)。
二是網(wǎng)絡(luò)安全問(wèn)題的影響越來(lái)越大。網(wǎng)絡(luò)安全嚴(yán)重影響了社會(huì)經(jīng)濟(jì)發(fā)展情況,網(wǎng)絡(luò)安全問(wèn)題正在給全球經(jīng)濟(jì)帶來(lái)巨大的損失。從宏觀上看,網(wǎng)絡(luò)犯罪雜志(Cybercrime Magazine)測(cè)算,2015年全球網(wǎng)絡(luò)安全犯罪帶來(lái)的成本達(dá)到3萬(wàn)億美元,而且每年以15%的速率增長(zhǎng),到2025年將達(dá)到10.5萬(wàn)億美元,將超過(guò)全球自然災(zāi)害帶來(lái)的損失,也大于全球非法毒品貿(mào)易之和,相當(dāng)于全球的能源市場(chǎng)總價(jià)值。而且,網(wǎng)絡(luò)安全犯罪極難預(yù)防,根據(jù)世界經(jīng)濟(jì)論壇發(fā)布的《2020年全球風(fēng)險(xiǎn)報(bào)告》,網(wǎng)絡(luò)犯罪在美國(guó)被發(fā)現(xiàn)和起訴的可能性估計(jì)只有0.05%。從微觀上看,企業(yè)數(shù)字化水平不斷提高,大量的業(yè)務(wù)以及生產(chǎn)經(jīng)營(yíng)活動(dòng)都依賴于網(wǎng)絡(luò),企業(yè)受到網(wǎng)絡(luò)安全攻擊后,將帶來(lái)極為不利的后果。國(guó)際商業(yè)機(jī)器公司(IBM)發(fā)現(xiàn),超過(guò)一半的網(wǎng)絡(luò)攻擊是針對(duì)中小型企業(yè)的,其中60%的企業(yè)在遭遇數(shù)據(jù)泄露或黑客攻擊后六個(gè)月內(nèi)倒閉。美國(guó)司法部的數(shù)據(jù)表明,所有勒索軟件攻擊中有75%是針對(duì)小型企業(yè)的。根據(jù)萬(wàn)事達(dá)卡(MasterCard)的數(shù)據(jù),66%的中小企業(yè)在過(guò)去兩年中至少發(fā)生過(guò)一次網(wǎng)絡(luò)事件。即使對(duì)大企業(yè)而言,網(wǎng)絡(luò)安全事件也將對(duì)其市值帶來(lái)不利影響。IBM發(fā)布的《數(shù)據(jù)泄露成本報(bào)告》發(fā)現(xiàn),在發(fā)生一次重大網(wǎng)絡(luò)安全事件后,超過(guò)70%的企業(yè)的市值將損失5%以上;2022年勒索軟件的頻率增加了41%,平均成本為454萬(wàn)美元。
數(shù)據(jù)安全問(wèn)題日益凸顯
數(shù)字技術(shù)的廣泛應(yīng)用,使社會(huì)生產(chǎn)、生活、治理等過(guò)程全部數(shù)據(jù)化,帶來(lái)了數(shù)據(jù)量的爆炸式增長(zhǎng)。有數(shù)據(jù)表明[1],未來(lái)三年生產(chǎn)的數(shù)據(jù)量將與過(guò)去三十年生產(chǎn)的數(shù)據(jù)量相當(dāng),這些數(shù)據(jù)有40%來(lái)源于對(duì)機(jī)器運(yùn)行過(guò)程數(shù)據(jù)的收集。這使數(shù)據(jù)安全問(wèn)題日益嚴(yán)重。
個(gè)人數(shù)據(jù)安全問(wèn)題受到了嚴(yán)重挑戰(zhàn)。由于個(gè)人生活已全面數(shù)字化、網(wǎng)絡(luò)化,個(gè)人數(shù)據(jù)的收集維度快速增長(zhǎng),人工智能疊加大數(shù)據(jù),可能導(dǎo)致部分傳統(tǒng)數(shù)據(jù)匿名化處理失效,匿名數(shù)據(jù)可能被重新識(shí)別。隨著人工智能技術(shù)的應(yīng)用,這些數(shù)據(jù)可以用于精準(zhǔn)地預(yù)測(cè)、誘導(dǎo)乃至干預(yù)個(gè)人行為,將對(duì)個(gè)人生活乃至國(guó)家安全帶來(lái)不利影響。例如,當(dāng)前的很多電信詐騙具有利用個(gè)人數(shù)據(jù)進(jìn)行精準(zhǔn)詐騙的特征,這使被騙者非常難以預(yù)防。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2020年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》顯示,我國(guó)公民個(gè)人信息未脫敏展示與非法售賣情況較為嚴(yán)重。監(jiān)測(cè)發(fā)現(xiàn),全年共發(fā)生政務(wù)公開(kāi)、招考公示等平臺(tái)未脫敏展示公民個(gè)人信息事件107起,涉及未脫敏個(gè)人信息近10萬(wàn)條。而美國(guó)聯(lián)邦調(diào)查局(FBI)負(fù)責(zé)個(gè)人數(shù)據(jù)安全的特工在2018年公開(kāi)表示,每個(gè)美國(guó)公民都應(yīng)該預(yù)料到他們的所有數(shù)據(jù)(個(gè)人身份信息)都已被盜,并且在暗網(wǎng)中被售賣。2023年3月25日,美國(guó)開(kāi)放人工智能研究中心(OpenAI)發(fā)布公告,證實(shí)部分網(wǎng)絡(luò)安全Plus服務(wù)訂閱用戶的個(gè)人隱私和支付信息存在泄露。這導(dǎo)致了81%的用戶擔(dān)心ChatGPT帶來(lái)的數(shù)據(jù)安全問(wèn)題。
商業(yè)數(shù)據(jù)安全問(wèn)題也越來(lái)越嚴(yán)重。企業(yè)數(shù)據(jù)云化、開(kāi)放化、開(kāi)源化、大連接均增加了數(shù)據(jù)防護(hù)難度;工業(yè)互聯(lián)網(wǎng)將研發(fā)、生產(chǎn)、營(yíng)銷、管理等相關(guān)數(shù)據(jù)聚合起來(lái),使數(shù)據(jù)在生產(chǎn)經(jīng)營(yíng)過(guò)程中的重要性日益增加。而隨著供應(yīng)鏈的數(shù)字化、智慧化,供應(yīng)鏈帶來(lái)的數(shù)據(jù)安全問(wèn)題不容忽視。例如,美國(guó)連鎖超市塔吉特(Target)和家居公司家得寶(HomeDepot)的數(shù)據(jù)泄露案件,都是從供應(yīng)鏈方開(kāi)始進(jìn)行數(shù)據(jù)攻擊的。從企業(yè)數(shù)據(jù)泄露來(lái)看,很多企業(yè)均收集了大量個(gè)人數(shù)據(jù)、供應(yīng)鏈數(shù)據(jù)、經(jīng)濟(jì)分析數(shù)據(jù)等,這些數(shù)據(jù)泄露不但帶來(lái)了巨額的經(jīng)濟(jì)成本,也帶來(lái)國(guó)家安全方面的風(fēng)險(xiǎn)。
公共數(shù)據(jù)安全問(wèn)題影響越來(lái)越大。公共部門是最大的數(shù)據(jù)擁有者,其數(shù)據(jù)涉及到大量個(gè)人隱私、國(guó)家安全等問(wèn)題,數(shù)據(jù)安全問(wèn)題影響非常大。根據(jù)英國(guó)信息專員辦公室(ICO)報(bào)告,衛(wèi)生和教育部門出現(xiàn)數(shù)據(jù)泄露的情況最多。英國(guó)警方在過(guò)去3年間共發(fā)生12起數(shù)據(jù)泄露事件。這些數(shù)據(jù)泄露事件帶來(lái)了非常嚴(yán)重的安全隱患。
虛擬空間秩序安全問(wèn)題復(fù)雜化
數(shù)字技術(shù)帶來(lái)了一個(gè)全新的空間——虛擬空間。這個(gè)空間存在著無(wú)國(guó)界、容易擴(kuò)散與滲透、管控難度大等特征,因此,更容易出現(xiàn)秩序失范,從而帶來(lái)復(fù)雜的安全問(wèn)題。2013年11月,習(xí)近平總書(shū)記在向十八屆三中全會(huì)作關(guān)于《中共中央關(guān)于全面深化改革若干重大問(wèn)題的決定》的說(shuō)明中指出:“如何加強(qiáng)網(wǎng)絡(luò)法制建設(shè)和輿論引導(dǎo),確保網(wǎng)絡(luò)信息傳播秩序和國(guó)家安全、社會(huì)穩(wěn)定,已經(jīng)成為擺在我們面前的現(xiàn)實(shí)突出問(wèn)題”。
虛擬空間秩序安全正在成為國(guó)家安全的重要組成部分。2022年11月,在羅馬舉行的北約網(wǎng)絡(luò)防御承諾會(huì)議上,北約秘書(shū)長(zhǎng)延斯·斯托爾滕貝格表示:“網(wǎng)絡(luò)現(xiàn)在是一個(gè)與陸地、海洋、空中和太空同等的作戰(zhàn)領(lǐng)域”。歐盟網(wǎng)絡(luò)安全局 (ENISA)認(rèn)為,網(wǎng)絡(luò)間諜活動(dòng)是一種日益嚴(yán)重的威脅,它不僅影響各個(gè)國(guó)家政府,而且影響經(jīng)濟(jì)部門,甚至影響對(duì)特定國(guó)家重要的戰(zhàn)略參與者。
虛擬空間的數(shù)據(jù)信息流動(dòng)容易失序。在網(wǎng)絡(luò)空間中,每個(gè)參與者都可以成為信息內(nèi)容的生產(chǎn)者,這導(dǎo)致了虛擬空間中信息泛濫,壟斷了消費(fèi)者注意力的大型平臺(tái)或其他機(jī)構(gòu),在信息分發(fā)方面具有優(yōu)勢(shì),幾乎可以決定哪些內(nèi)容能夠在虛擬空間中快速傳播,從而實(shí)現(xiàn)信息操縱。OpenAI的研究人員Lilian Weng和OSoMe通過(guò)模擬發(fā)現(xiàn),信息分享的次數(shù)服從冪律分布,例如,信息被分享3次的可能性比被分享一次的可能性低大約9倍。這意味著在虛擬空間中,信息容易被操縱,內(nèi)容分發(fā)主體可以控制內(nèi)容的分發(fā),這會(huì)影響社會(huì)輿論,放大偏見(jiàn)。在社會(huì)治理體系中,虛擬空間成為了一柄雙刃劍,一方面可以實(shí)現(xiàn)更高效更廣泛的輿論監(jiān)督,另一方面,這種虛擬空間的內(nèi)容及其傳播非常容易被滲透,從而對(duì)社會(huì)公眾進(jìn)行思想攻擊或錯(cuò)誤引導(dǎo),這將給國(guó)家安全帶來(lái)不利影響。
牛津大學(xué)牛津互聯(lián)網(wǎng)研究所 (OII) 發(fā)現(xiàn),通過(guò)社交媒體平臺(tái)操縱輿論已成為對(duì)公共生活的嚴(yán)重威脅,各種機(jī)構(gòu)利用社交媒體平臺(tái)傳播垃圾新聞和虛假信息,破壞人們對(duì)媒體、公共機(jī)構(gòu)和科學(xué)的信任。而元宇宙的興起,更可以通過(guò)劇本化、場(chǎng)景化、沉浸式的方式,進(jìn)行思想、文化、意識(shí)形態(tài)等多方面的滲透,使社會(huì)經(jīng)濟(jì)政治更容易受到外來(lái)力量的干預(yù),帶來(lái)了新的安全問(wèn)題。
數(shù)字安全的新趨勢(shì):數(shù)字安全向物理世界傳導(dǎo)
數(shù)字安全通過(guò)供應(yīng)鏈傳導(dǎo)到整個(gè)經(jīng)濟(jì)體系
數(shù)字技術(shù)已全面滲透生產(chǎn)、交換、分配和消費(fèi)的每一個(gè)環(huán)節(jié),對(duì)一二三產(chǎn)的生產(chǎn)和經(jīng)營(yíng)產(chǎn)生了巨大的影響。數(shù)字技術(shù)的強(qiáng)滲透性,使數(shù)字安全能夠通過(guò)供應(yīng)鏈傳導(dǎo)到整個(gè)經(jīng)濟(jì)體系。工業(yè)互聯(lián)網(wǎng)的廣泛應(yīng)用,使整個(gè)生產(chǎn)經(jīng)營(yíng)流程數(shù)字化,企業(yè)通過(guò)數(shù)字技術(shù)來(lái)全面控制企業(yè)的研發(fā)、設(shè)計(jì)、生產(chǎn)、管理、營(yíng)銷、售后服務(wù)等全部流程,當(dāng)受到網(wǎng)絡(luò)攻擊時(shí),會(huì)對(duì)企業(yè)的物理生產(chǎn)經(jīng)營(yíng)過(guò)程產(chǎn)生重大風(fēng)險(xiǎn)。當(dāng)前,對(duì)工業(yè)互聯(lián)網(wǎng)領(lǐng)域的安全問(wèn)題仍重視不足,風(fēng)險(xiǎn)評(píng)估、安全防護(hù)、安全管控等方面的技術(shù)和意識(shí)仍較薄弱[2]。CNCERT監(jiān)測(cè)發(fā)現(xiàn),我國(guó)境內(nèi)仍有大量暴露在互聯(lián)網(wǎng)的工業(yè)控制設(shè)備和系統(tǒng),存在高危漏洞的系統(tǒng)涉及煤炭、石油、電力、城市軌道交通等重點(diǎn)行業(yè),覆蓋企業(yè)生產(chǎn)管理、企業(yè)經(jīng)營(yíng)管理、政府監(jiān)管、工業(yè)云平臺(tái)等。實(shí)體生產(chǎn)領(lǐng)域往往具有連續(xù)性,一旦某個(gè)環(huán)節(jié)受到網(wǎng)絡(luò)攻擊而產(chǎn)生事故,將對(duì)整個(gè)生產(chǎn)流程帶來(lái)影響,從而使損失進(jìn)一步擴(kuò)大。
數(shù)字技術(shù)推動(dòng)了供應(yīng)鏈的數(shù)字化與智慧化。供應(yīng)鏈的數(shù)字化使不同的企業(yè)主體之間能夠?qū)崿F(xiàn)數(shù)據(jù)的互聯(lián)互通,這要求供應(yīng)鏈中的不同企業(yè)向其他企業(yè)提供接口,推動(dòng)供應(yīng)鏈的緊密集成,實(shí)現(xiàn)自動(dòng)訂購(gòu)和自動(dòng)發(fā)票開(kāi)具,甚至自動(dòng)結(jié)算支付等功能。這極大地提高了供應(yīng)鏈的效率。但是,由于供應(yīng)鏈中各個(gè)主體之間的安全防護(hù)能力之間有著巨大的差異,這使供應(yīng)鏈成為了針對(duì)生產(chǎn)領(lǐng)域進(jìn)行攻擊的重點(diǎn)。例如,在Target導(dǎo)致1.1 億條數(shù)據(jù)記錄丟失的惡性事件中,攻擊者就是通過(guò)空調(diào)服務(wù)供應(yīng)商 Fazio Mechanical Services的接口,侵入Target的網(wǎng)絡(luò),并最終非法訪問(wèn)并獲取其數(shù)據(jù),導(dǎo)致了數(shù)據(jù)泄露。
現(xiàn)有的研究表明,供應(yīng)鏈攻擊正在快速增長(zhǎng)。歐盟網(wǎng)絡(luò)安全局 (ENISA) 的一項(xiàng)研究表明[3],2021年,利用供應(yīng)鏈中的第三方實(shí)施侵入的網(wǎng)絡(luò)事件占比達(dá)17%,而2020年這一比例不到1%。《2022年數(shù)據(jù)泄露成本報(bào)告》顯示,2022年,供應(yīng)鏈攻擊的數(shù)量已超過(guò)基于惡意軟件攻擊數(shù)量的40%,供應(yīng)鏈攻擊導(dǎo)致的數(shù)據(jù)泄露數(shù)量超過(guò)了與惡意軟件相關(guān)的危害。根據(jù)Argon Security的一項(xiàng)研究,2021年,供應(yīng)鏈攻擊比2020年增長(zhǎng)了300%以上。一項(xiàng)針對(duì)全球1000名首席信息官(CIO)的調(diào)查表明,82%表示他們的組織容易受到針對(duì)供應(yīng)鏈軟件的網(wǎng)絡(luò)攻擊。開(kāi)源軟件中所存在的開(kāi)源漏洞正在成為一個(gè)攻擊的重點(diǎn)。2021年針對(duì)開(kāi)源軟件的供應(yīng)鏈攻擊增加了650%。針對(duì)供應(yīng)鏈中第三方所使用的開(kāi)源軟件攻擊的防護(hù)難度更大,根據(jù)靈跡軟件服務(wù)有限公司(Dynatrace)的研究,61%的調(diào)查受訪者表示,使用第三方或開(kāi)源代碼會(huì)使識(shí)別和解決應(yīng)用程序漏洞變得困難,這是因?yàn)榇蟛糠质褂瞄_(kāi)源軟件的企業(yè)缺乏具有高安全度的策略。
因此,網(wǎng)絡(luò)攻擊是供應(yīng)鏈安全風(fēng)險(xiǎn)中的重大挑戰(zhàn),維護(hù)供應(yīng)鏈各個(gè)節(jié)點(diǎn)的安全將成為企業(yè)供應(yīng)鏈風(fēng)險(xiǎn)管控的核心目標(biāo)之一。畢馬威(KPMG)的調(diào)查表明,近一半的全球組織將網(wǎng)絡(luò)安全視為未來(lái)3年供應(yīng)鏈的重要運(yùn)營(yíng)挑戰(zhàn)。
系統(tǒng)性風(fēng)險(xiǎn):數(shù)字安全的新沖擊
數(shù)字安全對(duì)社會(huì)經(jīng)濟(jì)生活越來(lái)越重要,其一旦產(chǎn)生風(fēng)險(xiǎn),將具有系統(tǒng)重要性。蘭德公司的研究人員提出,可以借鑒金融領(lǐng)域的“系統(tǒng)性風(fēng)險(xiǎn)”的概念,將其應(yīng)用到數(shù)字經(jīng)濟(jì)領(lǐng)域(RAND Corporation, 2020),從而研究數(shù)字安全問(wèn)題帶來(lái)的系統(tǒng)性風(fēng)險(xiǎn)[4]。數(shù)字安全的確已成為系統(tǒng)性風(fēng)險(xiǎn)的重要來(lái)源,主要體現(xiàn)在以下幾個(gè)方面:
一是級(jí)聯(lián)風(fēng)險(xiǎn)。這是蘭德公司研究人員的核心觀點(diǎn)。他們認(rèn)為,全球經(jīng)濟(jì)的許多部門都依賴同一套網(wǎng)絡(luò)關(guān)鍵技術(shù)產(chǎn)品和服務(wù),將風(fēng)險(xiǎn)集中在未知數(shù)量的可能故障點(diǎn)上。這種系統(tǒng)性風(fēng)險(xiǎn)并不能通過(guò)個(gè)人或者單一組織在安全等方面的措施強(qiáng)化而得到緩解,而是經(jīng)由某一網(wǎng)絡(luò)安全事件觸發(fā),通過(guò)網(wǎng)絡(luò)通路級(jí)聯(lián)放大,進(jìn)而產(chǎn)生風(fēng)險(xiǎn)的網(wǎng)絡(luò)效應(yīng),形成系統(tǒng)性風(fēng)險(xiǎn)事件。觸發(fā)器—網(wǎng)絡(luò)通路—網(wǎng)絡(luò)效應(yīng),三個(gè)因素獨(dú)立或一起,從而產(chǎn)生系統(tǒng)性風(fēng)險(xiǎn)。
二是系統(tǒng)重要性平臺(tái)及其風(fēng)險(xiǎn)。隨著數(shù)字經(jīng)濟(jì)發(fā)展,數(shù)字平臺(tái)的地位越來(lái)越重要,平臺(tái)不但匯聚了大量的個(gè)人用戶及企業(yè)用戶,還積累了海量的數(shù)據(jù),提供著大量與經(jīng)濟(jì)社會(huì)運(yùn)行相關(guān)的基礎(chǔ)服務(wù)。與系統(tǒng)重要性金融機(jī)構(gòu)相似,一些在行業(yè)內(nèi)具備重要地位的數(shù)字平臺(tái)也對(duì)社會(huì)經(jīng)濟(jì)發(fā)展具有“大而不能倒”的重要作用,此類數(shù)字平臺(tái)往往提供難以替代的關(guān)鍵服務(wù),很難要求用戶停止使用其服務(wù)或轉(zhuǎn)換其他平臺(tái)。一旦這類平臺(tái)出現(xiàn)安全問(wèn)題,就會(huì)導(dǎo)致系統(tǒng)性風(fēng)險(xiǎn)。世界經(jīng)濟(jì)論壇(WEF)將系統(tǒng)性網(wǎng)絡(luò)風(fēng)險(xiǎn)定義為:“關(guān)鍵基礎(chǔ)設(shè)施生態(tài)系統(tǒng)單個(gè)組成部分的網(wǎng)絡(luò)事件(攻擊或其他不良事件)將導(dǎo)致重大延遲、拒絕、故障、中斷或損失的風(fēng)險(xiǎn),從而使服務(wù)不僅在原始組成部分受到影響,而且后果還級(jí)聯(lián)到相關(guān)的(邏輯和/或地理上)生態(tài)系統(tǒng)組成部分,對(duì)公共衛(wèi)生或安全、經(jīng)濟(jì)保障或國(guó)家安全造成重大不利影響”。Dean Curran (2020) 進(jìn)而提出[5],數(shù)字經(jīng)濟(jì)如同金融一樣,成為社會(huì)聯(lián)結(jié)的重要中介,在運(yùn)行過(guò)程中有可能威脅到整個(gè)經(jīng)濟(jì)的運(yùn)作。
三是關(guān)鍵基礎(chǔ)設(shè)施的數(shù)字安全具有系統(tǒng)重要性。關(guān)鍵基礎(chǔ)設(shè)施包括各種網(wǎng)絡(luò)基礎(chǔ)設(shè)施、電力設(shè)施等對(duì)社會(huì)經(jīng)濟(jì)安全具有重要意義與價(jià)值的基礎(chǔ)設(shè)施,在數(shù)字化的浪潮下,這些基礎(chǔ)設(shè)施容易受到數(shù)字攻擊。通過(guò)遠(yuǎn)程網(wǎng)絡(luò)方式攻擊基礎(chǔ)設(shè)施,已成為數(shù)字時(shí)代的一個(gè)新的網(wǎng)絡(luò)安全問(wèn)題。IBM根據(jù)美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)對(duì)關(guān)鍵基礎(chǔ)設(shè)施的定義,發(fā)現(xiàn)22%的針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的攻擊是由人為錯(cuò)誤引起的,12%是由勒索軟件攻擊引起的,17%是由供應(yīng)鏈攻擊引起的。在現(xiàn)實(shí)中,針對(duì)電網(wǎng)、鐵路等基礎(chǔ)設(shè)施的數(shù)字攻擊已時(shí)有發(fā)生。
應(yīng)對(duì)數(shù)字安全新態(tài)勢(shì)的政策建議
一是要加大數(shù)字核心技術(shù)的研發(fā)力度,推動(dòng)數(shù)字安全產(chǎn)業(yè)化發(fā)展。技術(shù)是數(shù)字安全的“命門”。無(wú)論是快速應(yīng)對(duì)數(shù)字安全的威脅,還是提高對(duì)數(shù)字安全的預(yù)防能力,歸根到底,都需要核心關(guān)鍵技術(shù)進(jìn)行支撐。習(xí)近平總書(shū)記2016年4月19日在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上的講話明確提出“要以技術(shù)對(duì)技術(shù),以技術(shù)管技術(shù),做到魔高一尺、道高一丈”。因此,在國(guó)家層面要進(jìn)一步支持?jǐn)?shù)字安全技術(shù)的研發(fā),包括底層的密碼技術(shù)、操作系統(tǒng)安全技術(shù)、芯片安全技術(shù),到應(yīng)用層的網(wǎng)絡(luò)運(yùn)行安全技術(shù)、工業(yè)軟件安全技術(shù)等,并推動(dòng)人工智能、區(qū)塊鏈等技術(shù)在數(shù)字安全領(lǐng)域的廣泛應(yīng)用,從而建立起保障數(shù)字安全的技術(shù)體系。在技術(shù)創(chuàng)新的基礎(chǔ)上,鼓勵(lì)數(shù)字安全產(chǎn)業(yè)化發(fā)展。我國(guó)數(shù)字安全產(chǎn)業(yè)規(guī)模偏小,原始創(chuàng)新不足,高端供給不夠,領(lǐng)軍人才缺乏,是制約我國(guó)數(shù)字安全的重要因素。要通過(guò)稅收、人才、技術(shù)、市場(chǎng)準(zhǔn)入等多方面的綜合支持政策,推動(dòng)數(shù)字安全產(chǎn)業(yè)做大做強(qiáng)。
二是大力推動(dòng)數(shù)據(jù)安全制度建設(shè)。數(shù)據(jù)安全既與技術(shù)有關(guān),也與制度有關(guān)。要建立起數(shù)據(jù)安全的相關(guān)制度。在數(shù)據(jù)作為生產(chǎn)要素的前提下,進(jìn)一步完善數(shù)據(jù)保護(hù)的制度架構(gòu)。要建立起平臺(tái)企業(yè)、應(yīng)用程序等相關(guān)主體收集個(gè)人數(shù)據(jù)的規(guī)則體系,盡快明確數(shù)據(jù)分級(jí)分類保護(hù)的具體內(nèi)容、標(biāo)準(zhǔn),做好隱私、信息等數(shù)據(jù)區(qū)分和保護(hù)。建立工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等非個(gè)人數(shù)據(jù)的收集、使用、共享、交易等方面的規(guī)則,明確非個(gè)人數(shù)據(jù)的安全防護(hù)標(biāo)準(zhǔn)。進(jìn)一步明確國(guó)家數(shù)據(jù)局在數(shù)據(jù)保護(hù)方面的職能,與第三方機(jī)構(gòu)協(xié)同,分行業(yè)、分地區(qū)開(kāi)展企業(yè)數(shù)據(jù)保護(hù)評(píng)估,倒逼企業(yè)強(qiáng)化應(yīng)對(duì)數(shù)據(jù)風(fēng)險(xiǎn)的組織管理建設(shè)和技術(shù)實(shí)力,鼓勵(lì)企業(yè)自主探索數(shù)據(jù)保護(hù)路徑,實(shí)施多元化監(jiān)管措施。探索區(qū)塊鏈、隱私計(jì)算等新技術(shù)在數(shù)據(jù)保護(hù)中的應(yīng)用,可率先將此類技術(shù)運(yùn)用到高度機(jī)密、對(duì)數(shù)據(jù)傳輸效率要求相對(duì)較低,可承受成本更高的部分政府、企業(yè)核心數(shù)據(jù)保護(hù)上。
三是建立起高效有序的數(shù)字虛擬空間秩序維護(hù)機(jī)制和安全機(jī)制。虛擬空間的秩序安全問(wèn)題是一個(gè)涉及多維度、多主體、多目標(biāo)、多手段、多視角,且涉及到國(guó)際國(guó)內(nèi)的復(fù)雜問(wèn)題,需要在“安全、發(fā)展、權(quán)利”等多重目標(biāo)之間進(jìn)行平衡。一方面,應(yīng)該看到虛擬空間的失序,本身會(huì)給其帶來(lái)安全隱患,而且這種虛擬空間的失序?qū)?lái)各種失范行為,如侵犯?jìng)€(gè)人隱私、各種類型的網(wǎng)絡(luò)暴力、網(wǎng)絡(luò)排斥、網(wǎng)絡(luò)謠言、虛擬新聞,乃至于形形色色的網(wǎng)絡(luò)犯罪,都將威脅虛擬空間的運(yùn)行,對(duì)國(guó)家安全造成損害。另一方面,對(duì)虛擬空間失序行為的治理,并非政府單方面的行為,不能采取純粹剛性的方法,而是要采取富有彈性的手段和方式。因此,需要協(xié)同政府、網(wǎng)民、平臺(tái)、各種虛擬組織等各個(gè)主體的治理行為,推動(dòng)網(wǎng)絡(luò)“技治、法治、自治”三者的融合互動(dòng),使“工具、法律、自律”三者之間達(dá)到統(tǒng)一,從而更好地維護(hù)虛擬空間的秩序安全。要推動(dòng)各個(gè)治理主體,包括政府、平臺(tái)乃至于社會(huì)公眾,積極運(yùn)用人工智能等前沿?cái)?shù)字技術(shù),共同對(duì)虛擬空間的秩序安全進(jìn)行維護(hù)。例如,各個(gè)主體要積極利用人工智能自然語(yǔ)言技術(shù),對(duì)虛擬空間的各種謠言、虛假新聞、極端言論等進(jìn)行深度治理,從而避免這些內(nèi)容泛濫,影響虛擬空間的安全,并進(jìn)一步影響物理空間的安全。其次,建立互聯(lián)網(wǎng)平臺(tái)、用戶、第三方機(jī)構(gòu)、政府等多方面參與的虛擬空間秩序安全機(jī)制。尤其要重視平臺(tái)等新主體維護(hù)虛擬空間秩序安全方面的作用。平臺(tái)在關(guān)于虛擬空間的規(guī)則制訂、內(nèi)容框架、實(shí)施機(jī)制等方面,都要考慮到安全因素。
四是關(guān)注供應(yīng)鏈數(shù)字安全,提升中小企業(yè)數(shù)字安全水平和防護(hù)能力。工業(yè)互聯(lián)網(wǎng)快速發(fā)展,數(shù)字技術(shù)全面滲透到供應(yīng)鏈產(chǎn)業(yè)鏈,帶來(lái)了供應(yīng)鏈產(chǎn)業(yè)鏈的數(shù)字安全問(wèn)題。首先要提高對(duì)供應(yīng)鏈數(shù)字安全的認(rèn)識(shí)。當(dāng)前,對(duì)網(wǎng)絡(luò)運(yùn)行安全、數(shù)據(jù)安全、虛擬空間秩序安全等問(wèn)題已形成共識(shí),且有大量的制度與技術(shù)措施已在運(yùn)行中。但在討論供應(yīng)鏈安全時(shí),重點(diǎn)關(guān)注的是供應(yīng)鏈的物理安全問(wèn)題,對(duì)供應(yīng)鏈數(shù)字安全問(wèn)題仍缺乏系統(tǒng)性的認(rèn)識(shí)。因此,無(wú)論是政府部門,還是供應(yīng)鏈的主導(dǎo)企業(yè),都要將供應(yīng)鏈數(shù)字安全問(wèn)題放到更高的地位。其次,要通過(guò)各方協(xié)同,推動(dòng)建立起供應(yīng)鏈軟件、數(shù)據(jù)等安全標(biāo)準(zhǔn)體系。供應(yīng)鏈軟件的接口不一,數(shù)據(jù)標(biāo)準(zhǔn)不統(tǒng)一,已成為供應(yīng)鏈數(shù)字攻擊的重要入口。因此,從安全的角度出發(fā),建立起接口、數(shù)據(jù)、軟件等各方面的標(biāo)準(zhǔn),有利于提高供應(yīng)鏈數(shù)字安全水平。最后,要重視中小企業(yè)數(shù)字安全水平。經(jīng)濟(jì)合作與發(fā)展組織(OECD)2021年的研究指出,中小企業(yè)的數(shù)字安全能力與大中型企業(yè)之間仍存在著巨大的差距,2015年歐洲只有30%的中小企業(yè)制定了正式的安全政策,而大型企業(yè)中這一比例接近70%,在整個(gè)OECD國(guó)家,大型和小型企業(yè)之間的數(shù)據(jù)安全能力與政策執(zhí)行方面的平均差距為45%,最終導(dǎo)致中小企業(yè)成為供應(yīng)鏈安全的薄弱環(huán)節(jié)。在提高中小企業(yè)數(shù)字安全水平方面,推動(dòng)中小企業(yè)上云是一個(gè)重要的環(huán)節(jié),基于云原生的業(yè)務(wù)體系,將安全架構(gòu)于云上,比中小企業(yè)自身有著更高的安全防護(hù)能力。
五是建立起數(shù)字安全系統(tǒng)性風(fēng)險(xiǎn)預(yù)防機(jī)制。數(shù)字安全所帶來(lái)的系統(tǒng)性風(fēng)險(xiǎn)是一個(gè)全新的問(wèn)題。首先要對(duì)數(shù)字安全所帶來(lái)的系統(tǒng)性風(fēng)險(xiǎn)進(jìn)行深入研究,明確系統(tǒng)性風(fēng)險(xiǎn)的要素和條件,建立可能觸發(fā)系統(tǒng)性風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全事件預(yù)警機(jī)制。其次明確數(shù)字經(jīng)濟(jì)風(fēng)險(xiǎn)傳導(dǎo)渠道,識(shí)別具有系統(tǒng)重要性的數(shù)字實(shí)體并建立起相應(yīng)的監(jiān)管制度。再次,加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施協(xié)同防護(hù)。尤其是要重視關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全、數(shù)據(jù)安全,將其與物理安全放到同等重要的地位。最后,要建立起數(shù)字安全系統(tǒng)性風(fēng)險(xiǎn)預(yù)防的政府部門聯(lián)動(dòng)機(jī)制。數(shù)字安全引發(fā)的系統(tǒng)性風(fēng)險(xiǎn),不但涉及到數(shù)字主管部門,也涉及到其他相關(guān)政府主管部門,只有通過(guò)這些部門間的協(xié)同,才能使系統(tǒng)性風(fēng)險(xiǎn)預(yù)防機(jī)制更為高效。
六是積極參與數(shù)字安全全球協(xié)同機(jī)制。由于虛擬空間的無(wú)界性,以及數(shù)字技術(shù)的快速傳播性與滲透性等特點(diǎn),數(shù)字安全已成為全球共同的問(wèn)題。但是,應(yīng)該看到,在數(shù)字安全協(xié)同方面,各國(guó)并沒(méi)有完全達(dá)成一致,個(gè)別國(guó)家在數(shù)字安全方面追求絕對(duì)安全,并將數(shù)字安全問(wèn)題泛化、武器化,實(shí)行“長(zhǎng)臂管轄”的防御機(jī)制,給數(shù)字安全全球協(xié)同機(jī)制的建設(shè)帶來(lái)了阻力。我國(guó)已向國(guó)際社會(huì)發(fā)起《全球數(shù)據(jù)安全倡議》,積極申請(qǐng)加入《全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》(CPTPP)、《數(shù)字經(jīng)濟(jì)伙伴關(guān)系協(xié)定》(DEPA),通過(guò)這些國(guó)際合作,積極參與數(shù)字安全全球協(xié)同機(jī)制,從而更好地應(yīng)對(duì)數(shù)字安全所面臨的新態(tài)勢(shì)、新問(wèn)題。
【本文作者為中國(guó)社會(huì)科學(xué)院財(cái)經(jīng)戰(zhàn)略研究院研究員,中國(guó)社會(huì)科學(xué)院大學(xué)教授;本文系中國(guó)社會(huì)科學(xué)院創(chuàng)新工程項(xiàng)目“防止資本無(wú)序擴(kuò)張——基于數(shù)字平臺(tái)的理論與實(shí)證研究”(項(xiàng)目編號(hào):2022CJYB03)階段性成果】
注釋
[1]Pepe Zhang,Data 4.0–Rethinking rules for a data-driven economy,https://www.weforum.org/agenda/2022/01/data-4-0-rethinking-rules-for-a-data-driven-economy/,Jan 31, 2022
[2][3]James Gordon,How to reduce cyber attacks in the global supply chain, https://www.raconteur.net/risk-regulation/how-to-reduce-cyber-attacks-in-the-global-supply-chain/
[4]RAND Corporation,Systemic Risk in the Broad Economy--Interfirm Networks and Shocks in the U.S. Economy,https://www.rand.org/pubs/research_reports/RR4185.html
[5]Dean Curran (2020) Connecting risk: Systemic risk from finance to the digital, Economy and Society, 49:2, 239-264.
責(zé)編:程靜靜/美編:石 玉