OECD：信息战争风险被过分夸大

北京时间1月18日上午消息，经济合作及发展组织(OECD)近期一份研究报告显示，尽管各国政府需要准备好应对间谍软件和恶意软件的攻击，但发生类似Stuxnet的大规模攻击的可能性并不是很大。　　研究报告联合作者、伦敦经济学院教授皮特·索末(Peter Sommer)表示：“一些说法令人恐惧，但实际结果并不是这样。如果你分析恶意软件，那么会发现很多都是短期性的，或是不成功的。”索末指出，对于国家关键基础设施的大规模攻击被过分夸大了，大部分攻击的水平都较低，只会带来不便，而不会产生严重的长期影响。　　索末表示，类似Stuxnet的复杂恶意软件只是特例，而不是常态。Stuxnet利用大量零日漏洞，瞄准频率转换器中的可编程逻辑控制器(PLC)。不过报告同时称，政策制定者需要知道，如果将多种信息攻击、灾难事件和物理攻击结合在一起，那么可以创造出“完美风暴”。单纯的信息战争不太可能发生，攻击计算机的行为往往会与其他行为，例如物理攻击同时进行。　　报告指出，对于信息战争的夸大主要是由于信息安全机构缺乏准确的语言去描述攻击。报告称：“一次攻击或一次事故可以包括任何行为，例如通过简单的钓鱼攻击去窃取密码，一个易于检测的病毒，或是大规模的信息窃取行为等。”　　索末表示，如果对恶意软件的类型不加区分，那么英国政府、情报部门和军方有可能对信息风险作出不准确的分析。英国情报部门通信总局信号主管伊安·洛班(Iain Lobban)去年10月表示，英国政府每月受到数千次攻击。不过他没有透露攻击成功的比例。　　索末表示，美国和英国军方希望参与对国家关键基础设施的防务，但目前的问题是很多基础设施都在私人手中。他表示：“人们希望知道的是，对政府的攻击是否是通过反病毒软件和电子邮件过滤系统识别的？你们在谈论什么样的犯罪？如果只是泛泛而谈，那么数据没有任何意义。如果你使用夸大的语言，那么将不太可能获得良好的风险分析及管理。”(张楠)