勒索軟件全球攻擊的警示

網絡安全治理需各國合作、多方參與

今年5月12日開始,名為“想哭”(wanna cry)的比特幣勒索軟件(以下簡稱“勒索軟件”)對全球網絡進行攻擊。不到一周時間,150多個國家遭受其害,涉及醫療、電力、能源、銀行、交通等多個行業。事件發生后,如何構筑安全防線、確保網絡安全,成為互聯網行業關注的焦點。近日,記者就此進行了采訪。

“潘多拉魔盒”打開

在業界看來,“勒索軟件”攻擊的影響非常惡劣。奇虎360公司董事長周鴻祎用“潘多拉盒子”形容此次勒索軟件襲擊。在他看來,網絡攻擊的新時代已經被開啟。

周鴻祎介紹說,在國外,因機構受到“勒索軟件”攻擊所導致的不便已嚴重影響了正常社會秩序。“慶幸的是,民航和很多交通樞紐并沒有受到嚴重攻擊,如果民航空管系統被攻擊,可能會導致航班錯亂,大批旅客滯留機場,后果是非常嚴重的。”

據媒體報道,英國已有16家醫院受到“勒索軟件”攻擊的影響:醫院網絡被攻陷,醫生電腦被鎖定。病毒稱:“若不支付等額300美元價值的比特幣,將會刪除所有的資料。”醫護人員無法訪問病人數據,病人就診秩序陷入混亂;沒有了電腦的內部病例溝通系統,醫生不能給病人做X光、CT等檢查;排隊等待了10個月的心臟手術,因遇上網絡攻擊,不得不緊急取消……

“這次網絡攻擊可能會給犯罪分子、恐怖分子帶來啟發。”周鴻祎說,網絡攻擊成本很低,但很容易造成大規模的恐慌。今后,借助網絡,恐怖主義很有可能再次興起。“9·11”事件之后,各國加強了傳統安防力量,比如加強了地鐵和機場的安檢。但未來反恐很重要的領域,應該要和網絡安全結合在一起。

中國社會科學院法學研究所研究員、中國法學會互聯網與信息法學研究會副會長周漢華則認為,“勒索軟件”攻擊事件凸顯了網絡安全是綜合性的挑戰這一命題,需要引起足夠的重視。“這次只是把郵件給你鎖起來,如果發出更大的挑戰,怎么辦?”周漢華說。

政府、社會及時應對

1994年4月20日,中關村(000931,股吧)地區教育與科研示范網絡工程通過美國Sprint公司連入Internet的國際專線開通,實現與Internet的全功能連接。

自接入互聯網以來,歷經23年的發展,我國網絡安全建設仍不夠完善,存在著法律缺位與管理滯后的短板問題,網絡安全領域潛在風險巨大。與此同時,如北京師范大學刑事法律科學研究員講師孫道萃在采訪中所說:“不應奢望徹底消除網絡安全隱患,技術發展是不可阻擋的趨勢,技術異化風險也是常態。”

在業內人士看來,應對本次“勒索軟件”的攻擊,不論是官方還是民間,總體表現不錯,體現了共同參與、共筑網絡安全防線的特點。"勒索軟件"攻擊事件發生后,公安、工信、教育、銀行、網信等部門都作出部署,對防范工作提出了要求。”工信部賽迪智庫網絡安全所研究員張莉向記者介紹。

據了解,奇虎360、騰訊、安天、金山安全、安恒、遠望等相關企業迅速開展研究,主動提供安全服務和防范工具。各相關媒體作了大量報道,對提高全社會的防范意識、遏制“勒索軟件”發揮了重要作用。

“其實,早在今年4月17日,360公司就全球首發了"NSA網絡武器"的技術分析,4月19日推出了網絡武器免疫工具。”周鴻祎在接受記者采訪時稱。

5月15日,“勒索軟件”攻擊事件發生后的第四天,網信辦網絡安全協調局負責人表示,勒索病毒仍在傳播,但速度已明顯放緩,對廣大用戶而言最有效的應對措施是安裝安全防護軟件,及時升級操作系統和各種應用的安全補丁。

“相較于之前,面對勒索病毒,我們處置得比較及時。”周漢華介紹,網信辦及相關部門、相關媒體,包括一些企業,應對病毒沖擊時都有一定的進步。

對網絡空間治理提出新挑戰

“這次事件應當引起各國政府的高度關注。網絡病毒的管理、預防和控制需要各國政府的合作與協調,否則,這樣的無國界損害會極其嚴重。”北京大學法學院教授王磊說。

本次網絡襲擊已對全球150個國家、近20萬臺電腦帶來了影響,這已超出了某個國家的范疇。“在這種情況下,應站在全球角度,進行互聯網安全治理,特別是一些在技術上掌握優勢的國家,更應該有互聯網安全的全局觀念,而不能以鄰為壑。”周漢華呼吁。

網絡空間與傳統社會治理存在著區別。周漢華向記者解釋,在傳統社會治理觀念下,行為者要為自己的行為負責,作奸犯科者要承擔具體的法律責任,懲治違法者是處罰的出發點。但是在網絡空間,雖然刑法對非法侵入計算機系統等行為進行了規制,但在實踐中,遏制病毒傳播,較之于追查病毒制造者、傳播者,永遠是放在第一位的。

“一定程度上,網絡空間的治理,針對的是信息而非人。”周漢華強調,互聯網的開放性和隱蔽性,使得傳統刑事法律意義上的屬地管轄功能很難實現,面對這樣的形勢,互聯網安全的治理一定要有全球視野,需要各個國家都擔負起自己的責任,并進行跨國界的合作,唯有如此,網絡空間才有安全可言。

王磊建議,應當由相關國際條約強調各國政府的責任,以預防類似事件的發生。特別是高風險部門,應當在預防和控制電腦病毒感染方面加大工作力度。

今年6月1日,網絡安全法即將施行。“這也算是一堂生動的普法課。對于網絡安全,我們要有足夠的重視和關注。”周漢華說。

“受到這次軟件攻擊的很多都屬于國家關鍵信息基礎設施,網絡安全法對此有很多保護性規定,如果得到有效貫徹落實,對于應對此類事件定會起到積極作用。”張莉介紹。