沈逸:高度警惕网络霸权带来的风险
网络霸权对全球网络空间安全有着什么样的威胁?垄断企业与霸权国家的深度嵌套对身处信息技术革命前沿的整个世界来说意味着什么?这两个引发广泛争议的问题,刚刚收获最新的例证:7月19日开始,全球多地用户反映,使用微软操作系统的电脑出现蓝屏。目前已经确认,这是一场由美国网络安全企业“众击”(CrowdStrike)发布的终端安全软件FalconSensor,在进行系统文件更新时出现故障引发的网络瘫痪事件。
此次受影响而陷入大规模网络瘫痪的国家,有美澳英德加等。英国广播公司(BBC)发现,俄罗斯和中国受到的影响比较小,不过它习惯性地颠倒黑白称,原因是CrowdStrike经常发表批评性言论,导致它的产品不讨中国与俄罗斯的喜欢等。其实,如果了解微软、CrowdStrike与美国政府的关系,就不会这样认为了。
根据斯诺登披露的文件,微软长期配合美国国家安全局进行监听活动,为其提供技术支持和数据访问权限。CrowdStrike走得更远:它的联合创始人之一兼首席技术官阿尔佩罗维奇在创建CrowdStrike之前,就与美国的国家安全机构在应对所谓来自俄罗斯的网络安全威胁领域展开了密切合作;现任首席安全官肖恩·亨利,加入CrowdStrike之前是美国联邦调查局的高官。正是因为这样的关系,2011年成立的CrowdStrike,从2013年开始就加入美国政府主导的对中国的网络围攻中。它承担并撰写了多份以“熊猫”命名的所谓中国APT(高级可持续性威胁)系列报告,为美国政府抹黑中国的国际形象提供弹药。
简而言之,微软与CrowdStrike和美国政府的关系,以及此次网络安全风暴,让我们看到垄断企业与网络霸权结合之后,至少会在如下几个方面带来显著的风险、挑战与威胁:
其一,霸权对垄断企业的扶持,进一步加剧了市场垄断带来的负面效果。市场垄断以及对垄断地位的不当使用,本身就有削弱技术竞争的负面效果,一旦被霸权国安全化之后,垄断企业进行技术和能力创新的动力将被进一步削弱。从这次“蓝屏事件”来看,微软和CrowdStrike凭借与美国政府的密切关系,垄断了远超其安全服务能力范围的市场份额,一旦出现问题,波及范围极广,且响应困难。
其二,网络霸权与垄断的结合,提供了放大细微风险的结构性环境。BBC关注到中俄受影响相对较小,却没有看到或故意忽视其原因是美国这个基于护持网络霸权、维持自身领先优势的国家,禁止向中国出售CrowdStrike的相关软件,这是美国对华“小院高墙”的一环。最终的结果,就是让细微风险,比如某个员工某个操作中的某个无心失误,进入到一个迅速被放大的风险环境,因为在得到霸权护持后,垄断企业对利润的畸形追逐将被显著放大。业界对微软等企业为了追求高额利润,系统性地通过减少、弱化乃至消除评测环节来实现“增加效益、降低成本”已多有微词。
其三,网络霸权与垄断结合后的全球网络战争雏形初步显现。此次事件,在主权国家网络安全战略博弈层面,验证了这样的假设,即垄断企业可以为霸权国提供非对称的技术优势,增大其在网络空间实施“先发制人”策略的风险。事件证明,不少国家都无法排除美国政府利用微软和CrowdStrike等的技术优势,在全球范围内实施网络监听和攻击的可能性。这无疑使全球网络安全暴露在了巨大的风险和挑战之中。
此次“蓝屏事件”验证了一句老话:“当美国的对手是危险的,当美国的盟友则是致命的。”这提醒各国,应以此为鉴,高度关注和警惕网络霸权带来的风险,深化交流、务实合作,共同努力避免和应对过度垄断可能造成的负面后果。特别是“全球南方”应加强合作,共同应对网络霸权带来的威胁与挑战。此次事件也提醒各方,应高度关注中国倡导的网络空间命运共同体理念,认可并接受中国倡导的发展、安全、治理、普惠等理念主张,朝着构建更加普惠繁荣、更加和平安全、更加平等包容的网络空间共同努力。具体说,可以从这几方面入手:
其一,对自身的关键基础设施进行有效的排查。从产品部署到能力建设等方面入手,系统性地排除已经存在的各种风险、问题和挑战等。
其二,对技术、产品和产业的监管,要从总体国家安全的角度出发,真正做到并实现对发展和安全的统筹,确保相关技术、产品、服务,以符合业界规则、平衡多样化需求的方式,实现更加透明、公开、可追溯的优化与完善。特别是在高权限软件的补丁与更新发布上,构建系统级覆盖的软件供应链安全能力和能力体系,应该尽快成为各方具有共识的高优先级发展重点。
其三,在治理和行为规则维度开展有效的务实合作。此次“蓝屏事件”同样证明,网络霸权国及其核心盟友,在面对网络空间的攻击与风险时,同样是脆弱的。各方是时候推进全球范围网络空间信任与战略稳定的安全对话,以确保构建有效的行为准则,共同维护网络空间的安全、稳定与发展。这对全人类来说,至关重要。
(文|复旦大学网络空间国际治理研究基地主任、复旦大学国家安全研究中心执行主任、教授 沈逸;来源:环球网 图片来源网络 侵删)