“英特尔处理器的安全漏洞是一个非常严重的事实,尤其是在方法上:怎么可能将这种易受攻击的产品投放市场?”。 解释现象 网络犯罪 和 网络安全,离开 自从上次轰动一时的案件 继 2017 年仅上半年(且仅计算确诊案例)全球网络攻击增长 8,35% 之后, 加布里埃尔·法焦利, 信息安全与隐私观察站科学主任 米兰理工学院,Clusit(意大利信息安全协会)主席兼 Digital4 集团咨询公司 P360I 首席执行官。 “如何保护自己? 始终下载可用更新并通知我们更多信息。 用 Tobagi 的话说,黑客不是无敌的武士。”
让我们从最近的案例开始:英特尔、AMD 和 Arm 等三大 IT 巨头的“故障”处理器可能导致数十亿台 PC 遭受黑客攻击。 到底发生了什么?
“首先,让我们马上弄清楚一件事:在这种情况下,这不是攻击问题,而是技术系统的脆弱性问题。 一个重大的安全漏洞涉及全球数十亿台设备,所有这些设备都是最近生产的,使 IT 设备中包含的公司和个人数据面临风险。 如果世界上没有不诚实的人,可能什么都不会发生,但不幸的是情况并非如此,因此不能排除重要和广泛的危险。 然而,最严重的方面不是技术而是方法:将具有如此严重漏洞的产品投放市场相当于销售即使在正常下雨的情况下也不会刹车的汽车。 在研究、设计和开发中怎么会忽视这个问题?”。
谁是最敏感的目标,他们如何保护自己?
“任何人,因为网络犯罪行动,来吧 恶意软件 al 钓鱼 这是最普遍的,玩大量的。 数十亿人受到打击,也许没有特别针对任何人,希望有人会上当受骗。 显然,老年人处于危险之中,但矛盾的是,使用电子工具更多的年轻人,尽管在实际使用中更有经验,但往往很少注意,因为他们不太倾向于在行动前不信任和反思。 建议始终下载所有可用的更新,从操作系统到浏览器,然后了解更多信息。 这也必须成为公众的一项任务:计算机科学教育永久性进入学校的时候到了”。
Clusit(意大利信息安全协会)的报告强调,网络犯罪的风险仍然主要与它们可能对受害者造成的经济损失有关。 各种类型的风险是什么?
“在 75% 的案例中,网络罪犯以勒索钱财为目标。 然而,只有一小部分是通过入侵电子支付系统而发生的,电子支付系统如今越来越安全,而大多数情况下它们是通过电子邮件进行的诈骗,玩弄欺骗。 例如,我记得尼日利亚骗局的案例,还有其他在 2017 年流行的案例。这就是为什么我坚持需要更多信息。 然后是网络欺凌、图像损坏、个人数据盗窃、身份盗用。 还有间谍活动。”
在这里,2017 年网络间谍活动增长很多,俄罗斯之门等案件成为头条新闻:它会成为网络犯罪的新前沿吗?
“很难说这是否会成为一种新的主导趋势。 当然,已知的案例在一年内增长了 126%,即使它们在总数中仍然很少,尽管像俄罗斯之门一样非常重要。 然而,我相信这种做法可以继续传播,不仅在地缘政治领域,而且在企业领域,作为不正当竞争的一种手段”。
谁通常是黑客的幕后黑手?
“来自世界各地的犯罪组织现在使它成为可靠且可观的收入来源。 然后是独狼,甚至一些国家,比如俄罗斯和中国,即使他们自然而然地否认”。
回到技术缺陷,这些缺陷可能会助长网络犯罪:许多人指责硅谷的知名人士在这个问题上采取了过于肤浅的态度。 同意?
“我不会说有绝对的忽视,但有时似乎存在一些轻松的方法,即使连接设备的大规模传播不仅将问题带到硅谷的大人物家中,而且所有创建或要求实现产品和服务 informatici 和 telematici 的公司。 他们能做更多吗? 肯定是的,但我认为他们会:人们的意识越来越强,这也要归功于媒体对最近出现的连续病例的关注”。
Clusit 数据反而表明,恰恰是欧洲容易受到网络攻击。 为什么,他是如何解决这个问题的?
“在欧洲,有更多的受害者,但这是正常的,因为与北美相比,但不仅限于,一些国家,包括意大利,在计算机化方面经历了历史性的延迟。 计算机化也意味着计算机文化,在这方面我们落后了,即使正在采取重要步骤。 欧洲议会正在讨论的立法(称为网络安全法案)应加强欧洲网络和信息安全机构 ENISA,并应导致产品和服务的 IT 安全认证的有机框架。 这是很好的一步。”
是意大利吗?
“正在好转。 首先,公众的关注度有所提高:即将卸任的政府批准了新的国家网络保护和信息安全计划。 AgID(意大利数字机构)最近几个月为公共行政部门采取的最低限度 ICT 安全措施也表现良好。 我一直认为,意大利公共行政部门在 IT 基础设施和应用程序的组织方面过于分散,从而增加了 IT 成本和风险。 相反,我认为集中管理基础设施和应用程序以实现合理化、成本节约和更高的安全性是合适的。 事实上,毫无疑问,只有能够依靠重要的规模经济的玩家才能进行充分的投资:想想世界上最重要的云计算平台,比如 Dropbox。 没有任何个人、自由职业者甚至任何中小企业或大型企业能够负担得起如此大规模和持续的安全投资。 外包和聚合使系统更加安全和高效。 无论如何,这条路是正确的,即使我担心资源可能会耗尽:需要数十亿美元来确保巴勒斯坦权力机构的安全”。
而不是在公司层面?
“在高端,即在最大的公司中,我相信计算机安全问题现在已提上议事日程。 另一方面,中小企业落后了。 主题是 IT 安全投资太低:66 年意大利的 ICT(信息和通信技术)支出为 2016 亿美元。米兰理工学院估计,在这 66 亿美元中,分配给安全的不到 1 亿,即 1,5 %(占 GDP 的 0,05%):太少了。 毕竟,我们当中谁会相信我们会购买一辆知道制造商仅将 100 种资源中的一种用于其可靠性的汽车?”。
最后,挑衅:我们已经谈到了技术滞后,即使在意大利也是如此,但有时恰恰是技术在更广泛领域的传播决定了更大的风险。 事实上,Clusit 报告还包括智能工作、物联网和工业 4.0 等危险因素……
“这是生理上的,因为它增加了攻击面,但技术不应该被妖魔化。 就好像为了避免在车上发生意外,我们又回到了马车里。 让产品变得越来越安全当然要靠公司,而制定规则并为公民教育做出贡献则要靠公众。 但不幸的是,总会有问题,就像所有事情一样:由于粗心、无知、错误信息。 我们需要文化和对风险的理解,因此需要能够理解为了自己的利益最好在何处停下来的能力,也为了他人的利益”。
