NSA当然应该反思,虽然他们到现在都没有出来表态回应。但更值得反思的是一个本质性话题:网络安全,到底掌握在谁的手里?
就此次而言,美国政府内部的决策流程更值得被诟病。其内部有个简称为VEP(Vulnerability Equity Process)的流程,其用处是,当NSA或美国其他政府部门发现一个软件的漏洞,要走这个流程,决定是不是把漏洞公开。把漏洞公开,微软等厂商很容易就能制造出补丁,漏洞就消失了;不把漏洞公开,这些政府部门就可以自己留着用,用于“执法、情报收集或者其他’攻击性’利用”。虽然这一被奥巴马政府创造的流程既不是法律也不是总统令,但从2008年一直实施至今。
在美国之外的其他国家人民看来,这一流程显然是有问题的:这一近乎可以被称为“黑箱”的流程,整个世界的网络安全风险全由美国的内部机制决定,其他人不明不白地就被暴露在了风险面前。
对此,微软总裁Brad Smith也在自己的博客上愤怒地说,“如果这些政府部门继续躲在暗处挖掘全球电脑系统的漏洞,然后制成所谓的’武器库’用来攻击别国或是’买卖’,那么你们就是网络犯罪的帮凶!”
从这个意义上说,习近平多次讲“没有网络安全就没有国家安全”,绝对是有的放矢的。试想,这次病毒还是在可控范围内的,下一次如果网络攻击的规模更大、目标更明确呢?
从中国的角度看,在大多数人印象中,上一次如此规模的病毒爆发,大概还要追溯到十几年前的“熊猫烧香”。而像此次的病毒这样,一旦中招几乎无解、面临自身重要资料被“绑架”的严重情况,也属罕见。
而从各地的反应看,对于网络安全的重视程度显然也不一样。国家网信部门,以及上海、北京等省市,几乎在13日就发布了应急通告;15日上午发生的感染,中西部省份则偏多。也有业界专家指出,像政府、企事业单位、校园等机构,很多领导对网络安全的概念还停留在“电脑中毒了就找人杀杀毒”的地步,很多也觉得“有了内网的物理隔绝就没事儿”,观念和防护措施都相当滞后。
事情还未收场,引起的课题和震撼就已经足够多。这就像是一场公共卫生事件,是平时对安全的重视和组织程度,决定了瘟疫能在多大程度上扩散。不得不说,这是一堂非常生动、非常深刻的网络安全教育课。毕竟,今天我们的个人信息、资产、资料等已经越来越多地与电脑、与网络相联系,而这一过程却不可逆。
更多精彩请点击:新闻排行榜
