今天下午在天津達沃斯論壇上，來自丹麥、美國、瑞士、俄羅斯的五位專家就目前全球關注的網絡安全問題進行了討論。論壇由來自彭博社的北亞首席記者恩格爾（Stephen Engle）主持。

恩格爾:首先我介紹一下在場嘉賓。在我左邊的是瑞士網絡安全公司Kudelski Security的創始人及副總裁尼古拉斯（Christophe Nicolas）。他的左邊是世界第二大再保險公司，瑞士再保險公司的亞洲CEO普倫吉特（Jayne Plunkett）。接下來是俄羅斯聯邦儲蓄銀行副主席庫茲涅佐夫（Stanislav Kuznetsov）。在我右邊的是全球經濟論壇網絡安全中心主任喬根森（Troels Oerting Jorgensen）。

今天我們的話題是建立地區性的網絡防禦機制。這個標題本身沒有任何爭議性，但是如何建立防禦機制就很有挑戰。去年最嚴重的一次網絡襲擊造成了40億美元的損失。而在2017年曾有多次這樣的襲擊。所以今天我們將要討論的問題是，我們到底有多脆弱？這些攻擊現在有多複雜？將來會有多複雜？對此我們都做了什麼，沒有做的又有哪些？當有利益衝突的時候又可以達成什麼樣的合作？​​

我們有多脆弱？

尼古拉斯：首先需要澄清的是，在網絡世界中我們是不平等的。對攻擊者來說，他們只需要在你的系統裏發現一個弱點即可，而且他們並不在乎法律。而作爲防守的一方，你需要在法律框架的限制中進行抵禦。這是第一個不平等的地方。第二個不平等是，我們現在是在全球背景下維護網絡安全，但根據你所在的國家、行業和組織，規則並不相同。由於缺少網絡健康（Cyber wellness），從政府到大型組織都在面臨越來越多的複雜攻擊。這些攻擊很難解釋，也很難預見。網絡世界和現實世界的邊界越來越模糊，潛在漏洞越來越多。黑客可以掌握的信息也比以前更多。

喬根森：決定組織犯罪有主要三個因素：投入、風險、收益。網絡犯罪低投入，高收益，並且幾乎沒有任何風險。因爲大多時候網絡罪犯不在事發國家，警察沒辦法調查。這是第一點。第二點，如果你觀察一下現在的房間，我們的網絡活動已經從個人電腦轉移到了手機上，這極大增加了網民的數目。並且在物聯網時代，物理世界和數字世界是連接在一起的。如果世界上用移動設備上網的網民從35億人增加到70億人，同時移動設備又和500億機器連接的話，當然你的受攻擊面就極大增加了。前路坎坷，革命尚未成功。

庫茲涅佐夫：金融機構是網絡犯罪分子的頭號攻擊目標。因爲他們的主要目的就是獲取錢財。網絡犯罪沒有國家邊境一說。同一個網絡犯罪組織的成員可以散佈在幾個大洲內，在幾小時甚至幾分鐘內進行多次攻擊。2017年網絡犯罪造成的經濟損失達到1萬億美元。在未來兩年預計會達到3萬億美元。去年最大的網絡犯罪造成了40億的經濟損失。這還只是官方的統計。很多公司不公開網絡攻擊的事實。​

俄羅斯是網絡犯罪的最大受害方。犯罪分子卻連門都不用出。在這種情況下地緣政治動盪不安使全球協作更加重要也更加困難。所以今天的網絡犯罪分子有充分的時間來抹去他們的犯罪痕跡。對大型公司和組織來說，開發和擁有網絡安全系統至關重要。

從我們的經驗來說，我們建立了複雜的網絡安全系統。首先是網絡安全標準、規則和程序，在不同國家有不同網絡安全規則。第二方面是網絡安全勞動力、技術和工具。第三方面是網絡安全教育、培訓、文化。最後是協作。

普倫吉特：我想談談風險。在網絡安全時代保護自己要用很多緩衝措施。不能只有在生病的時候纔去看醫生，進而由保險公司賠付。網絡安全也是一樣，重點爲管控風險。擁有相應的技術和對員工進行培訓是第一步，最終由保險對你不能承擔的風險進行賠付。​​

網絡攻擊有多複雜？

恩格爾：接下來我想聊一下網絡攻擊的複雜程度。那些黑客使用的技術和建防火牆的技術是一樣的麼？他們對政府和法律沒有任何尊重而已還是說他們的技術比防禦一方要高超？

尼古拉斯：對於任何戰爭你都要明白戰場情勢。但網絡戰爭的挑戰之一是，它不是靜止的，而是不斷變化的。例如你攻擊身邊的這位嘉賓的時候我可能也想從中獲利。所以如何能確保大家同時對自己的安全盡責是一個挑戰。

喬根森：網絡安全不只是技術，還有人。罪犯一般很懶，他們希望找到最簡單的方法獲得財富。當我在銀行的時候我要看罪犯、動機和手段。然後從防禦角度給重要的資產排序。現在網絡犯罪分子佔據上風是因爲我們在這方面做的太少了。同時大企業相當扁平化，沒有任何隔斷。在南非的實體可以獲取的倫敦分公司的數據。很多方面可以改進網絡安全的防禦。​

除了錢以外，我更擔心另一種偷竊，就是你所有的信息。如果你想要免費使用程序，你就是產品。所以我們怎麼保護自己的隱私？我的手機知道我的一切：我在哪兒，聽什麼音樂，我喜歡什麼，我看什麼節目，我讀什麼書，買什麼東西，這對罪犯來說也非常有價值。

尼古拉斯：沒人想要麻煩地每天換一個界面或者應用系統。但是系統每個月都會更新。能確保每個系統的每次更新都沒有bug麼？所以我們要改變觀念，接受網絡安全的脆弱性。

喬根森：剛剛說到網絡健康。其中一項就是你的隱私設置。每次下載應用時它都會問能不能使用你的攝像頭、地址、身份信息等等。你要說不！ ​​

虛擬貨幣是否增加網絡犯罪？

恩格爾：我想聊一下虛擬貨幣的問題。在2017年網絡勒索增加了2500%，這和虛擬貨幣有沒有關係？

喬根森：當然有關係，幾乎所有的網絡勒索案中，贖金都要以比特幣支付。當我是警察的時候，在一些兒童性侵網站上，你可以用比特幣支付直播觀看兒童被性侵。比特幣匿名的性質使網絡犯罪大幅增加。區塊鏈技術在安全方面做得倒是非常不錯。另一方面，國家之間的信任越來越少，犯罪分子從中獲利。

庫茲涅佐夫：是的。作爲私營領域我們可以推動官方。去年俄羅斯在五個方面推動數字經濟，其中一個就是網絡安全，由企業主導。我們可以推動官方改變法律、改變標準、改變教育、改變技術規範。很多國家有大型基礎建設，同時小的國家也需要保護。

喬根森：有一個重要的問題是把網絡組織犯罪和國家間諜行爲區分開。國家間自古以來就有間諜行爲，200年後還會繼續。但是間諜的問題干擾了整個網絡安全的討論。也許有一些灰色地帶，但是如果拋開灰色地帶不說，仍有70%的犯罪行爲。我們應該對這些犯罪做些什麼。我曾經從俄羅斯銀行收到了關於將要對西方企業進行的攻擊預警，我甚至把這個報告交給了這個企業，幫他們保住了好多錢。

普倫吉特：我同意你的觀點。人們傾向於談論國家背景的網絡犯罪，其實大多數網絡犯罪是針對企業的，標準化操作可以應對。網絡犯罪對象不同對應的三種風險：第一種是數據偷竊，第二種是干擾企業運行，第三種是以國家爲主導的網絡犯罪。前兩種對企業來說是更好處理的。

專題：界面新聞直擊2018夏季達沃斯