为什么政府需要带头网络安全

我们一次又一次听到人们对网络犯罪对我们的业务,个人生活,经济和社会的影响感到遗憾。一份又一份的报告显示,网络犯罪对我们的经济产生了影响,有人估计全球网络犯罪的成本每年接近3万亿美元。随着这些报告的发布,人们通常都在抱怨为什么网络安全状况如此糟糕。

我们责怪公司未适当保护我们的个人数据,责怪供应商提供了无法有效解决我们问题的无效解决方案,责怪标准机构开发了仅解决安全性基本要素的标准和框架,责怪用户下降网络钓鱼电子邮件和其他诈骗的受害者,我们指责执法部门缺乏处理网络犯罪分子的行动和/或能力,我们指责学术界没有对学生进行适当技能的培训或没有在适当领域进行研究,最后,我们指责进行这些攻击的罪犯。

在上述所有指责中,我经常会看到一个小组,可以说,这个小组对我们如何改善网络安全和应对网络犯罪的影响最大:我们每个国家的政府。在过去的几十年中,政府一直没有意识到甚至不承认网络安全是一个重要问题。集体的态度一直是,网络犯罪或网络攻击不是政府应关注的问题,个人和公司应保护自己。

正是这种目光短浅,使我们陷入了我们现在面临的糟糕的网络安全状态。政府缺乏对网络安全的领导和投资,导致许多执法机构缺乏应对网络犯罪的适当能力和资源。缺乏领导力也导致许多政府系统的安全性低于应有的水平。

有人说“自然讨厌真空”,领导力也是如此。没有我们政府的领导,私营部门已经扮演了定义什么是良好安全实践的角色,而我们现在有无数标准在争夺我们的注意力。由于缺乏资源和熟练的工作人员,执法机构不得不依靠私营公司来增强其能力。我们经常看到安全供应商与执法部门合作,以关闭僵尸网络并破坏在线犯罪活动。提供这些服务以增强执法的技术能力,并且通常免费提供。

对于安全公司而言,其价值在于他们进行这项工作所获得的媒体关注。执法机构对此表示欢迎,但这种做法突显了政府在这一领域的资金严重不足。当安全供应商可以花在参与僵尸网络删除上的营销预算超过执法网络犯罪部门收到的年度预算时,我们的优先事项就严重不对。

实际上,私营部门公司是推动网络安全议程的公司,而不是政府。危险在于,网络安全议程将由相关私营部门公司的目标来驱动,在许多情况下,这些目标与社会的更高要求不符。我们已经看到,公司在其服务市场中创造了一个利基市场,然后发起运动,要求其服务应为政府政策。许多公司大力推广将黑客入侵作为应对网络攻击的有效方法,就是一个很好的例子。

但是,最大的担忧是安全厂商的做法是仅根据私营公司持有的信息将攻击快速归因于某些民族国家。结果,我们看到一个又一个的新闻稿说某些国家是重大袭击的来源,通常只有最脆弱的证据来支持这些主张。我们不时地看到供应商报告中的所谓事实和证据被用来支持政治论点,随后又目睹了证据被驳回。

毫无疑问,代表着这些网络安全公司的政治游说支持的这种“新闻”故事不断流传,冒着形成公众和政治观点的风险,这些观点涉及应如何制定与网络攻击有关的政府外交和国内政策。当政府有关网络安全的政策基于营销报告和私营部门网络安全公司的新闻发布时,我们将来就会面临重大问题。

作为安全专家,请确保当我们看到公司将其营销宣传纳入政治议程的一部分时,会以基于事实的论点来对其进行炒作。

作为私人公民,请确保我们游说政客认真对待网络安全,并向他们强调真正的问题所在。

现在是时候让我们的政府把重点放在制定有关网络安全的更好的政策上了,因此,请确保他们根据社会的更大需求而不是私人公司的营销要求来制定这些政策。

分享这个