沈逸:高度警惕網絡霸權帶來的風險
來源:環球時報
網絡霸權對全球網絡空間安全有着什麼樣的威脅?壟斷企業與霸權國家的深度嵌套對身處信息技術革命前沿的整個世界來說意味着什麼?這兩個引發廣泛爭議的問題,剛剛收穫最新的例證:7月19日開始,全球多地用戶反映,使用微軟操作系統的電腦出現藍屏。目前已經確認,這是一場由美國網絡安全企業“衆擊”(CrowdStrike)發佈的終端安全軟件FalconSensor,在進行系統文件更新時出現故障引發的網絡癱瘓事件。
此次受影響而陷入大規模網絡癱瘓的國家,有美澳英德加等。英國廣播公司(BBC)發現,俄羅斯和中國受到的影響比較小,不過它習慣性地顛倒黑白稱,原因是CrowdStrike經常發表批評性言論,導致它的產品不討中國與俄羅斯的喜歡等。其實,如果瞭解微軟、CrowdStrike與美國政府的關係,就不會這樣認爲了。
根據斯諾登披露的文件,微軟長期配合美國國家安全局進行監聽活動,爲其提供技術支持和數據訪問權限。CrowdStrike走得更遠:它的聯合創始人之一兼首席技術官阿爾佩羅維奇在創建CrowdStrike之前,就與美國的國家安全機構在應對所謂來自俄羅斯的網絡安全威脅領域展開了密切合作;現任首席安全官肖恩·亨利,加入CrowdStrike之前是美國聯邦調查局的高官。正是因爲這樣的關係,2011年成立的CrowdStrike,從2013年開始就加入美國政府主導的對中國的網絡圍攻中。它承擔並撰寫了多份以“熊貓”命名的所謂中國APT(高級可持續性威脅)系列報告,爲美國政府抹黑中國的國際形象提供彈藥。
簡而言之,微軟與CrowdStrike和美國政府的關係,以及此次網絡安全風暴,讓我們看到壟斷企業與網絡霸權結合之後,至少會在如下幾個方面帶來顯著的風險、挑戰與威脅:
其一,霸權對壟斷企業的扶持,進一步加劇了市場壟斷帶來的負面效果。市場壟斷以及對壟斷地位的不當使用,本身就有削弱技術競爭的負面效果,一旦被霸權國安全化之後,壟斷企業進行技術和能力創新的動力將被進一步削弱。從這次“藍屏事件”來看,微軟和CrowdStrike憑藉與美國政府的密切關係,壟斷了遠超其安全服務能力範圍的市場份額,一旦出現問題,波及範圍極廣,且響應困難。
其二,網絡霸權與壟斷的結合,提供了放大細微風險的結構性環境。BBC關注到中俄受影響相對較小,卻沒有看到或故意忽視其原因是美國這個基於護持網絡霸權、維持自身領先優勢的國家,禁止向中國出售CrowdStrike的相關軟件,這是美國對華“小院高牆”的一環。最終的結果,就是讓細微風險,比如某個員工某個操作中的某個無心失誤,進入到一個迅速被放大的風險環境,因爲在得到霸權護持後,壟斷企業對利潤的畸形追逐將被顯著放大。業界對微軟等企業爲了追求高額利潤,系統性地通過減少、弱化乃至消除評測環節來實現“增加效益、降低成本”已多有微詞。
其三,網絡霸權與壟斷結合後的全球網絡戰爭雛形初步顯現。此次事件,在主權國家網絡安全戰略博弈層面,驗證了這樣的假設,即壟斷企業可以爲霸權國提供非對稱的技術優勢,增大其在網絡空間實施“先發制人”策略的風險。事件證明,不少國家都無法排除美國政府利用微軟和CrowdStrike等的技術優勢,在全球範圍內實施網絡監聽和攻擊的可能性。這無疑使全球網絡安全暴露在了巨大的風險和挑戰之中。
此次“藍屏事件”驗證了一句老話:“當美國的對手是危險的,當美國的盟友則是致命的。”這提醒各國,應以此爲鑑,高度關注和警惕網絡霸權帶來的風險,深化交流、務實合作,共同努力避免和應對過度壟斷可能造成的負面後果。特別是“全球南方”應加強合作,共同應對網絡霸權帶來的威脅與挑戰。此次事件也提醒各方,應高度關注中國倡導的網絡空間命運共同體理念,認可並接受中國倡導的發展、安全、治理、普惠等理念主張,朝着構建更加普惠繁榮、更加和平安全、更加平等包容的網絡空間共同努力。具體說,可以從這幾方面入手:
其一,對自身的關鍵基礎設施進行有效的排查。從產品部署到能力建設等方面入手,系統性地排除已經存在的各種風險、問題和挑戰等。
其二,對技術、產品和產業的監管,要從總體國家安全的角度出發,真正做到並實現對發展和安全的統籌,確保相關技術、產品、服務,以符合業界規則、平衡多樣化需求的方式,實現更加透明、公開、可追溯的優化與完善。特別是在高權限軟件的補丁與更新發布上,構建系統級覆蓋的軟件供應鏈安全能力和能力體系,應該儘快成爲各方具有共識的高優先級發展重點。
其三,在治理和行爲規則維度開展有效的務實合作。此次“藍屏事件”同樣證明,網絡霸權國及其核心盟友,在面對網絡空間的攻擊與風險時,同樣是脆弱的。各方是時候推進全球範圍網絡空間信任與戰略穩定的安全對話,以確保構建有效的行爲準則,共同維護網絡空間的安全、穩定與發展。這對全人類來說,至關重要。(作者是復旦大學網絡空間國際治理研究基地主任、復旦大學國家安全研究中心執行主任、教授)