中美两国相互指责源自对方的黑客攻击,法国多名政要个人网站被黑客攻破,朝鲜与韩国、以色列与伊朗……一对又一对“网络战”的“冤家对头”浮出水面,Mandiant、赛门铁克等网络安全公司的“黑客威胁”报告,更平添了人们对“网络战”的恐惧。
美国、法国、韩国等国家相继出台一系列应对“网络战”的准备措施,如美国参院情报委员会3月12日在年度报告中突出谈及“外国黑客威胁”,法国政府刚刚由总理任命了一名反黑客专家,负责制订法国未来10年的网络战战略目标,并将在下个月提交总统审阅,还打算将2009年才成立的、专门的国家机构计算机安全防护团队ANSSI,在2014年和军方网络战机构合并,扩充人员、增加费用(目前拥有员工300名,每年预算7500万欧元);刚刚宣称遭到“大规模黑客攻击”的韩国,更计划将2010年成立的、拥有400人的“网军司令部”扩充到1000人,以应对愈演愈烈的网络威胁。
但不同声音已悄然出现如此“严防死守”是否过头了些?或换一种说法,目前这种类似大禹父亲鲧“息壤治水”的笨办法,是否是彻底制服网络黑客威胁这一“洪水”的理想途径?
有外媒上周刊出一系列专题文章,建议有关方面不要被中美两国相互指责对方发动黑客攻击这类轰动性话题过分吸引,因为事实上更危险的黑客攻击无时无处不在,且真正危险的网络战争攻防从不公开示人。其中一篇文章援引法国战略分析中心EADS官员的话表示,在法国,每天至少有一万台电脑因各种原因而异常,而其中绝大多数是黑客攻击直接或间接引起的,没有人能幸免,也没有可以包打天下的万能防护系统,事实上,各国为应对黑客攻击而支付的费用,每年超过1000亿美元,相当于现实世界各国用于扫除毒品费用的1/3,且谁也不知道这些威胁真正来自何方,自己这些钱究竟花得有无效果。正如一名官员所言,在汹涌的黑客攻击舆论面前,法国人如今突然觉得,自己缺乏网络战专业知识和培训,而法国的盟国在这方面却遥遥领先,如美国和以色列,已经有能力对伊朗戒备森严的核设施网络发动攻击了。
该媒体另一篇文章谈及美国参院情报总监3月12日的年度报告,称该报告中关于“中国黑客威胁”的说法言过其实,美国2010年就成立了900人的“网络司令部”,2012年由总统出面建立网络战军事学说,到2015年,美国负责“网络战”的军人和平民将多达4000人,而美国仍在声称“资金不足”、“人手不够”。文章称,人们的说法总是两极分化,一些人认为,真正的网络威胁并非中国或俄罗斯,而是那些不知来源的黑客,不论军用或民用目标,真正源自大国的黑客窃取总是极少数。而另一些人则宣称,4000人对网络安全需要而言,不过“沧海之于一粟”,需要进一步扩编。文章认为,各国的“网军”固然可以有、应该有,但应着眼于威慑,而非处处设防、针锋相对,疲于应付却吃力不讨好。更重要的,是应设法展开国际合作,制订网络战争规则,而不是徒劳地不断扩编“网军”。
文章还特别指出,“不要总是被商业网络安全公司的报告所左右”,因为“它们要么不明白何为网络安全终极目标,要么刻意夸大和扭曲风险,然后打包兜售价格不菲、效果可疑的一揽子防范方案”。
在比利时,欧洲计算机防病毒研究学院主任艾迪威廉姆斯也认为,如今许多人将一些简单的黑客行为,或无意识黑客行为也视作“网战”的一部分,从而夸大了网络战争的危险,事实上,防范这些黑客和网络病毒,与防范有意识、有针对性网络战争行为的方法是不同的,尽管网络战争风险切实存在,但草木皆兵,在不认真了解现实威胁究竟是怎样的情况下,就过早花费大量人力、财力,构建“万无一失”的防护长城,本身是不合理的,必须看到,迄今尚未有一次直接通过网络发动的恐怖袭击,也没有一次这样的袭击导致任何伤亡,各国对“网络战争”的恐惧,很大程度上基于“看不见摸不着的危险”而引发的不信任和不安全感。
(作者系旅加媒体人)