解决网络安全人才短缺的关键是打破目前网络安全就业的“学历优先”屏障,通过“教育左移”和“认证优先”让青少年尽早接触网络安全教育。
根据VPN提供商Sufshark的最新数据,2023年第一季度至第二季度,全球数据泄露数量增长了156%,今年第二季度共有1.108亿个账户被泄露,相当于每分钟就有855个账户被泄露。在网络威胁愈发猖獗的当下,网络安全建设该何去何从?
网络勒索软件持续威胁
2023年5月,美国德克萨斯州达拉斯市政府遭受了一次严重的勒索软件攻击,该事件造成了听证会和陪审团值班的停摆,最终导致达拉斯市法院大楼被迫关闭。此次事件还对更广泛的警务活动产生了间接影响,引发了长时间、大范围的混乱。然而,在勒索软件攻击逐渐成为常态的当下,这一严重事件并未引起广泛关注。
实际上,全球范围内的政府、学校、医院、企业和慈善机构每周都会遭受不同程度的网络勒索攻击,这些攻击大都会造成严重的经济和社会损失。
根据最新的调查结果,勒索软件的赎金金额在过去一年几乎翻了一番,达到了150万美元。英国网络安全公司Sophos研究发现,勒索软件的平均赎金金额从2021年的81.2万美元上升到了150万美元。2023年,英国组织的平均支付金额甚至高于全球平均水平,达到了210万美元。
十年前,勒索软件还只是一种理论上的可能性和小众威胁,如今已被视为现代社会的一大挑战。其持续助长犯罪并造成难以计数的损失,应引起人们的高度关注。勒索软件将在未来几年甚至几十年内持续构成挑战,或将融入正常经济生活,企业将面临持续的攻击威胁。而背后的网络犯罪团伙通常保持匿名,很少受到实质性追究。
为了减轻这种负面影响,人们必须提高对这一威胁的认知。各方应加大对网络安全的各种投资,从员工培训到建立支持报告事件的组织文化。此外,还需加大对恢复计划的投资,包括有效备份、内部专业知识、保险和久经考验的应急计划。
根本而言,每个人都需要更好地隐藏和保护自己的数字密钥和敏感信息,如此方能有望抵御下一代勒索软件攻击者的威胁。
网络安全人才严重匮乏
不断演变的勒索软件及其他类型的网络攻击对网络安全人才提出了更高的要求,但如今网络安全人才严重短缺,这对于变化莫测的网络安全领域显然是致命的。根据世界经济论坛发布的《2023年全球网络安全展望》报告,电力、支付和医院等行业面临的网络安全风险最大,因为这些领域在招募熟练网络安全专业人员方面存在不足。总的来说,网络人才短缺问题已成为全球性挑战。
根据ThreatX最新发布的《2023年网络安全人才全球调查》报告,全球仍有超过340万个网络安全职位空缺。主要因为企业招聘对安全人才的要求过高,以及网络安全教育和培训的社会覆盖面太窄等。随着新兴技术在整个组织中的广泛应用,这一人才缺口将进一步扩大。
解决网络安全人才短缺的关键是打破目前网络安全就业的“学历优先”屏障,通过“教育左移”和“认证优先”让青少年尽早接触网络安全教育。
此外,还应消除“专业人士必须具备IT安全或工程领域的技术背景”这一误解。加强宣传工作,提高人们对网络安全职业路径的认识,确保该行业向所有人开放。
另外,应大力扩充人才库。招聘者需要明确定义网络安全职位的要求,重点关注应聘者的能力,考虑到候选人的多样性背景。为提高员工的留任率,公共和私营机构应提供激励措施。首席执行官和决策者应该提高对网络安全技能缺口及其对经济和安全影响的认识,在组织内部和跨部门建立可持续的网络人才梯队。
面对网络安全人才短缺的情况,各国纷纷采取措施。2023年8月,美国国家网络总监办公室发布了《国家网络人才和教育战略》,标志着美国启动了一项为期数年的系统性培养网络安全技能和能力计划。
这份战略文件包括所有美国人基础网络技能的配备、改革网络教育、扩充和强化美国网络劳动力以及提升联邦网络劳动力四大方面。每个方面都包括了一系列措施,涉及教育、招聘、职业发展及联邦劳动力政策等多个层次。这些措施旨在协助现有网络技能从业人员提升他们的技能水平,鼓励新员工和少数族裔员工进入网络安全领域。白宫表示,填补全国数十万个网络职位空缺是国家安全的当务之急。
加强网络安全生态建设
针对网络安全新形势,2023年7月,美国白宫发布了《国家网络安全战略实施计划》(简称《实施计划》)。该计划是美国政府对其2023年版《国家网络安全战略》的执行补充,与《基础设施投资和就业法案》《芯片与科学法案》《通胀削减法案》一同被视为美国政府重建国家基础设施和重振美国制造业的重要举措。
《实施计划》整体上延续了美国2023年版《国家网络安全战略》的核心战略及实施原则。这些主要战略包括:关键基础设施的保护、对抗和遏制威胁行为者、引导市场力量以促进网络安全和弹性、投资于未来的网络安全策略及建立国际伙伴关系以实现共同目标等五个方面。而实施原则方面包括:要求网络空间中实力较强的参与者承担更多的安全责任,以及增加激励措施以促进长期投资等两个方面。以下是主要内容概述:
一是强化基础设施防护。美国网络安全和基础设施安全局(CISA)将与美国国家网络总监办公室(ONCD)合作,更新《美国国家网络事件响应计划》(NCIRP),以更好地贯彻“一呼百应”(A call to one is a call to all)的事件响应政策。例如,美国联邦政府将加强对关键部门的审查,确保其符合网络安全硬性要求。此次更新的NCIRP还将提供外部合作伙伴指导,进一步提升基础设施的安全性。
二是强化威胁实体应对。美国联邦政府将依托CISA和联邦调查局(FBI)共同主持的联合勒索软件特别工作组(JRTF),继续打击勒索软件和其他网络犯罪活动。与此同时,CISA还将领导一项附加计划,为高风险的勒索软件组织提供培训、网络安全服务、技术评估、事前规划和事后响应等支持,以减轻网络攻击的影响。
三是强化市场力量塑造。CISA将继续与相关机构合作,以推动软件物料清单(SBOM)的实施,提高网络安全市场活动透明度,使市场参与者能够更好了解其供应链风险,并要求供应商对安全开发负责。此外,CISA还将成立国际SBOM工作组,探讨建立全球可访问不再更新的软件数据库的需求等事宜。
四是强化技术标准把控。美国国家标准与技术研究院(NIST)将召集跨部门的国际网络安全标准化工作组,协调解决国际网络安全标准化的主要问题,并加强美国联邦机构的参与。此外,NIST还将完成抗量子公钥加密算法等多项标准的制定。
五是强化国际网络合作。美国国务院将发布《国际网络空间和数字政策战略》,并加强相关工作人员在网络空间和数字政策领域的知识和技能培训,以建立国家和地区机构间的网络协作团队,推动与合作国家之间的协同工作。
构建安全的数字未来
除美国外,欧盟也有所行动。欧盟的《数字服务法案》(DSA)于2023年8月25日正式生效。该法案将通过欧盟委员会(而非各国的数据保护机构)集中执法,适用于所有用户数量超过4500万的在线平台。DSA的内容主要涵盖以下七个方面:
规定了针对线上非法商品、服务或非法内容的打击措施,例如建立了用户标记线上非法内容的机制,并与“可信标记者(trusted flaggers)”合作。
为网络市场商家的可追溯性设立了新规定,有助于识别非法商品的卖家,从而更好地保护消费者。
有力保障用户的基本权利,如允许用户质疑平台内容审查的决定。
要求网络平台在各种问题上采取透明措施,包括提高推荐算法和定向广告的透明度。
规定了VLOPs(Very Large Online Platforms)在风险管控方面的责任,包括对其风险管理措施进行独立审计,以预防系统被滥用于非法内容和虚假宣传活动,如操纵竞选、犯罪活动和传播恐怖主义及虚假信息。
允许研究人员访问最大平台的关键数据,以帮助其了解在线风险的演变过程。
建立了相应的监督架构,通过新设立的欧洲数字服务委员会来应对数字空间的复杂性。在监督方面,欧盟各成员国将发挥主要作用,而欧盟委员会将加强对VLOPs的执法与监督。
DSA将在整个欧盟范围内统一适用,以促进跨境数字创新,并确保所有欧盟用户公平享受数字创新带来的便利,同时受到同等水平的保护。可以说,DSA的通过标志着欧盟数字领域立法的良好开端,也是欧盟制定统一数字规则图景的重要一步。
欧盟委员会主席乌尔苏拉·冯·德莱恩对此表示:“今天DSA达成的协议,不论从速度还是实质内容上都具有历史意义。DSA将提升欧盟内所有网络服务的基本规则,确保网络环境的安全,同时保障言论自由和数字贸易的机会。它将落实这一原则:线下非法的内容或行为,在线上同样被视为非法;规模越大,互联网平台的责任越大。”这表明,欧盟即将进入数字领域的有序、强监管时代。
本文同时刊登于《中国教育网络》2023年8月刊
来源:World Economic Forum网站、Silicon ANGLE网站、Electronics Weekly网站、白宫官网、欧盟官网等网站
整理:李佳
责编:陈永杰