Wednesday, November 26, 2014
2

政府的愚蠢能否立即导致一场网络危机?

剑桥——2008年金融危机来袭时,很多大吃一惊的批评家们质问为什么市场、监管机构和金融专家未能预见到这场危机。今天,人们或许会对全球经济面对网络攻击时的脆弱性提出同样的问题。其实,金融危机和网络崩溃这两种威胁之间惊人的相似。

虽然最大的网络威胁来源于有能力研发复杂计算机病毒的流氓国家,但风险也同样来自于信奉无政府主义的黑客和恐怖分子,甚至可能来自于因自然灾害而加剧的电脑故障。

不止一位安全专家都发出了严正警告,包括不久前英国安全局(军情五处)的负责人乔纳森·埃文斯。但总的来讲,很少有领导人愿意因为这样一种难以名状的威胁而明显放缓科技领域或互联网的发展速度。反之,他们更愿意组建相对无伤大雅的特遣队和工作组。

人类几乎不可能夸大现代经济对大型计算机系统的依赖程度。但想象一下如果哪天某台管理关键通信卫星的主机瘫痪无法工作,或者主要金融系统中的数据库遭到删除。

电网早就被专家认定为最严重的漏洞,因为一旦供电被切断,任何现代经济都会陷入崩溃。当然,很多怀疑论者提出只要采取低成本的合理预防措施,大规模网络崩溃的可能性非常之低,末日论者夸大了可能出现最坏情况。他们表示网络恐怖分子和恐吓勒索者再现2007年布鲁斯·威利斯电影《虎胆龙威4》中的恐怖一幕,将全球经济推向崩溃边缘的能力完全是虚构的。

辩论的正反两方都有重量级的专家,很难判断哪一方的观点更加贴近事实。但是,网络空间监管和金融监管的政治经济之间的确存在着令人不安的相似之处。

首先,网络安全和金融稳定都是极为复杂的课题,政府监管部门想要完全跟上它们的发展有些力不从心。从业专家的报酬远远超过任何公共部门的工资,而顶尖的人才不断地被吸引过去。因此有人认为,唯一的办法是依赖软件业的自我调节机制。人们在许多现代工业中都能听到这种说法,从大型食品到大型制药再到大型金融公司。

其次,像金融业一样,高科技行业通过捐款和游说拥有了巨大的政治影响力。美国的所有总统候选人必须到硅谷和其他高科技中心去朝圣筹资。金融部门影响过大无疑是2008年危机的根本原因,而且在今天的欧元区乱象中仍然脱不了干系。

第三,随着先进经济体增长放缓,就像五年前的金融业那样,道德的制高点似乎被信息业所占据。事实证明政府执行监管的粗暴尝试可能无法防止灾难的发生,但在扼杀经济增长方面却收效显著。

在金融稳定和网络安全两大课题下,蔓延的危险造成了私人激励和社会风险机制的分离。诚然,技术领域的总体进展往往能产生巨大的社会福利效益,这种效益甚至可能超过近几十年来所有其他行业的总和。但正如核电厂一样,缺乏良好的监管可能导致在进展的过程中出现差错。

最后,最大的风险来自于傲慢和无知,这两种人性的弱点一直处在多数金融危机的核心位置。最近关于超级病毒Stuxnet和火焰(Flame)的披露尤其令人不安。这些病毒似乎由美国和以色列研发用于破坏伊朗的核计划,体现出远超之前记录的先进水平。这两种病毒均经过深度加密,一旦输入计算机就很难被发现。火焰病毒能够接管计算机的外围设备、Skype通话记录、借助电脑摄像头拍照,并通过蓝牙设备向任何邻近设备传输信息。

如果世界上最先进的政府都在研制计算机病毒,那么还有什么能够保证不会出现差错?我们怎能肯定它们不会“泄露”并感染更大范围的系统,或者被转作其他用途,再或者未来的无赖国家或恐怖分子不会利用它们反过来攻击它们的创造者?没有哪国经济比美国更加脆弱,认为美国(对除中国之外所有国家)的网络优势在攻击面前坚不可摧仅仅是傲慢而已。

不幸的是,解决办法不是编写更好的防病毒程序那么简单。病毒防护和病毒开发构成了一场不平衡的军备竞赛。病毒可能仅仅是几百行计算机代码,但防毒程序的长度却至少成千上万,因为防毒程序的设计必须能够发现各式各样的敌人。

我们被告知不用担心大规模的网络崩溃,因为政府会时刻保持警惕,而且这样的网络崩溃还从未发生过。不幸的是金融危机的另一个教训是,多数政客命中注定无法在风险实际兑现前作出艰难的抉择。我们只能希望能够幸运更长一段时间。

翻译:Xu Binbin

  • Contact us to secure rights

     

  • Hide Comments Hide Comments Read Comments (2)

    Please login or register to post a comment

    1. Commentedsrinivasan gopalan

      The implicit message delivered by Prof.Rogoff needs to be understood by serious-minded people. If developed countries cruising on the information super highway develop computer viruses to wreak havoc on the so-called rogue States, what a real rogue State or an aberrant techie can do to inflict systemic damage to the web world in his/her own way that would leave a seismic impact on the highly inter-connected internet world in general or in any specific target in particular. It is time that instead of spending humongous money on unleashing virus to combat the potential threats of rogue States, the advanced countries desisted from opening the obnoxious genie of viruses. The fallout of any such perilous course would, like the financial tsunami that hit the western world with its contagion effects on the rest of the world, be too horrendous to contemplate. The wake-up call to the patent folly by the US government to play with cyber world in the name of ensuring cyber security needs to be heeded if the rest of the world were not being turned as ideal ground for costly experiments. G.Srinivasan. New Delhi

    2. CommentedA. T.

      There is a very, very important difference. With finance (as with most other previous shocks), the threat was big and centralised (it were the "too big to fail" and "systemically important" institutions that brought the financial system to its knees, not Mr Beams the independent day-trader from Topeka). Effective ways of preventing the crisis could then be big and centralised as well.

      The cyber threat, on the other hand, is fluid and distributed. When it comes, it will likely be the result of a small and independent group exploiting problems in decades-old control software of municipal systems, not anything from the "enormously influential" tech industry. The solution, to be effective, must therefore be bottom-up and distributed as well.

      NOTHING will make the country more prone to cyber-attack than believing that it is a problem that can be solved from Washington. The government can perhaps pressure utilities and municipalities to start taking cyber-security more seriously (or even offer free 'white-hat' mock attack audits from the NSA), but there is no one-size-fits all solution for it to design and impose.

    Featured