乔纳森·肖少将在网络安全和国防战略方面的专业知识塑造了国家安全的未来。这位网络安全主题演讲者是英国国防部国防网络安全计划的首任负责人,开创了现代网络防御计划。我们与乔纳森进行了交谈,探讨了组织如何加强网络安全、应对不断变化的威胁并在数字战争时代增强抵御能力。
作为海外国防部国防网络安全项目负责人,您涉足了一个技术性强、概念复杂的领域。您在这个职位上最自豪的成就是什么?
我认为这是一个从对网络一无所知的人转变为能够对网络安全概念方面知识渊博的人的过程。网络显然具有深厚的技术性,但我很快意识到,技术细节并不像更广泛的含义那么重要——网络技术如何影响我们所有人的生活。
我最大的成就是培养了用模拟方式解释数字主题的能力,让那些不懂的人也能理解。我相信这是我最重要的成就。
由于技术的颠覆性,网络安全领域的领导力需要采用不同的方法。根据您的经验,网络安全领域的有效领导力是什么样的?它应该如何发展才能应对这个快速变化的领域所带来的挑战?
网络从根本上具有颠覆性。它与信息有关,因此它颠覆了传统的知识层次结构。组织通常采用确保高层领导首先获得信息的方式构建,但在网络世界中,情况并非如此。
我遇到的许多高层领导都是我所说的“网络游客”——他们有一定的意识,但缺乏真正的专业知识。这意味着领导层必须改变,因为你不能再等高层管理人员完全理解问题后再采取行动。相反,领导层必须授权、培训和信任一线人员,这些人往往对网络安全威胁有更深入的了解。
这需要从僵硬的自上而下的指挥结构转向更加分散的方法。在军队中,我们称之为“任务指挥”,而不是“指令指挥”。它允许更快地做出决策并更灵活地应对威胁。
组织面临着日益严重的网络犯罪威胁。他们可以采取哪三个最实用的步骤来保护自己并增强抵御网络攻击的能力?
讨论防护时,大多数人关注的是盾牌和阻挡机制,但军事类比在这里很有用。在保护车辆免受攻击时,有多层防御,其中只有一层是物理盾牌。第一步也是最关键的一步是避免被发现——保持隐形。
假设网络空间本质上是不安全的,并采取相应的行动。如果你在网上让自己暴露在外,你就增加了成为目标的机会。虽然这与广告需求相冲突,但组织必须找到平衡点。人们还需要停止为了方便而牺牲隐私,这是我们许多人都犯过的错误。
第二步是接受自己终有一天会被黑客攻击的事实。你越成功,就越有可能受到攻击。因此,做好准备是关键。建立弹性,建立冗余,并培训你的团队有效应对入侵。
第三步是确保整个供应链遵循严格的网络安全协议。这不仅仅关乎您的组织;漏洞通常来自第三方供应商。网络安全必须从您自己的系统扩展到您的合作伙伴的系统。总之:尽量减少您的暴露,为攻击做好准备,并确保您的供应链保持较高的网络安全标准。
针对国家基础设施的网络攻击可能会对社会造成大规模破坏。国家网络攻击对我们的日常生活影响有多大?
例子不难找到。最引人注目的案例是 2007 年,当时俄罗斯对爱沙尼亚政府决定将青铜士兵雕像从塔林市中心移至墓地的决定表示不满。
作为报复,俄罗斯发动了大规模网络攻击,导致爱沙尼亚陷入瘫痪。他们瘫痪了银行系统、政府运作和媒体渠道,导致该国数周甚至数月无法正常运转。
有趣的是,这次攻击迫使爱沙尼亚成为网络安全领域的全球领导者。作为回应,他们成立了一个国家网络防御部门,认识到网络安全是集体责任。他们的做法现在被认为是欧洲乃至全世界的最佳实践。
此案凸显了网络攻击的严重性和国家防备的重要性。大规模网络攻击可能会破坏基本服务、破坏通信并产生持久的经济后果。这提醒我们,网络安全不仅仅是政府的问题,它影响到每个人。
随着技术的快速发展,您预测下一种主要的网络攻击类型是什么?我们应该注意哪些新兴风险?
网络空间本质上是不安全的。事实上,俄罗斯人之前曾入侵过美国国家安全局的数据库,并发现了故意嵌入各种系统的后门。现在,他们有了一份可以利用的漏洞列表。SolarWinds 攻击只是其中一个例子,我们应该预计未来还会有更多此类攻击。
另一个直接的担忧是人们错误地认为区块链技术是一种完美的安全解决方案。许多人认为它是万能药,但事实并非如此。区块链有后门,以前被黑客攻击过,并且包含零日漏洞。认为区块链会自动确保网络空间安全的假设是完全错误的。
从长远来看,我认为这不仅仅是网络安全问题,而是一个文化问题。我们正在从一些人所说的“美国数字殖民主义”——美国根据西方价值观控制数字技术的发展——转变为“中国数字殖民主义”。五角大楼前网络安全负责人最近表示,西方已经输掉了人工智能之战,中国将主宰人工智能的未来。
这种转变将从根本上改变软件开发的假设。随着人工智能变得越来越普遍,我们将需要应对一个软件和网络安全框架受不同文化和战略利益影响的时代。
针对国家基础设施的网络攻击成功的可能性有多大?哪些因素影响此类事件发生的概率?
如果攻击者发现漏洞,他们就会加以利用。问题不在于国家网络攻击是否可能发生,而是在于我们如何减轻损害。
好消息是,由于“相互保证摧毁”原则,主要国家避免直接发动网络战争。如果中国能够打败英国,英国可能会以牙还牙。这两个国家都没有动机发动全面网络攻击,因为后果对双方来说都是灾难性的。
坏消息是,犯罪组织充当国家行为者的代理人。这些非国家团体没有可以作为报复目标的基础设施,这使它们成为更大的威胁。有人认为这些团体间接受国家控制,这很可能是真的。
然而,由于网络犯罪分子必须从物理位置进行操作,他们仍然会受到压力。这些团体并非从外太空进行操作——他们的基地在俄罗斯、中国、保加利亚或其他地方。政府可以而且应该使用外交和经济手段来阻止他们的活动。
虽然互联网创造了巨大的攻击面,但网络犯罪分子仍有可能在现实生活中遭受惩罚。最终,如果攻击是经过计划的,那么它很可能会在一定程度上成功,这就是为什么准备和缓解策略如此重要。
如果您能给年轻时的自己一个建议,您会说什么?
其实与网络安全无关。关键是抓住机会,对自己更有信心。回想起来,我最大的遗憾不是我做过的事,而是我没有打开的门。只要更有信心,勇于尝试,就会有很大的不同。
生活不是彩排——你必须掌控并充分利用它,因为时间过得很快。我今年 63 岁了,虽然我做了一些伟大的事情,但我知道我本可以做得更多。现在永远是抓住机会的时候。
