2015年12月18日,美國國會通過並由奧巴馬總統簽署了第一部綜合性的美國網絡安全法案“Cybersecurity Information Sharing Act of 2015”,即“2015年賽博安全信息共享法案”。美國一些官方文件也直稱該法案為“2015網絡安全法”。
在網絡空間安全立法方面,美國一直走在全世界的最前面。自2002年以來,美國通過了近50部與網絡空間安全有關的聯邦法律,其中包括《1984年偽造接入設備及計算機欺詐與濫用法》、《1986年電子通信隱私法》、《1987年計算機安全法》、《1995年削減公文法》、《1996年信息技術管理改革法》、《2002年國土安全法》、《2002年網絡安全研發法》、《2002年電子政務法》、《2002年聯邦信息安全管理法》等。但是自2002年通過《聯邦信息安全管理法》以來,美國沒有通過任何重要的綜合性網絡安全立法。2014年年末通過的四項法案也僅是對已有法律的修正案或者是就人員和機構等局部事項作出規定。
為什麼這項方案這麼難通過,因為該法案涉及的不僅是“信息共享”,而是包含了保護美國網絡安全和國家利益的更多法律措施,特別是進攻性網絡防禦措施。進攻就意味著美國國會允許網絡戰爭合法化,美國總統可以像武力制裁伊朗一樣,憑藉強大的網絡攻擊能力對其他國家開展精準打擊。這個是非常可怕的,NSA洩露的工具庫裡面的一個小小的漏洞就可以造成全球的勒索病毒事件爆發,那麼他們還有那麼多沒有公開的網絡武器的威力可想而知。
那麼為什麼到2015年美國國會通過了這項法律呢?如果聚焦2011年開始,你會發現美國開始不斷地炒作各種網絡安全攻擊事件,包括各種APT報告。通過熱炒國外軍事力量的攻擊,來給國會施壓,獲得法案通過,達到美國的真實目的。
現在是一個信息爆炸的社會,互聯網上存在著各種各樣的信息,有真有假,無法判別,一個網絡事件從出現到消亡一直會不斷地反轉變換,民眾也會根據輿論的導向不斷地無腦抨擊。我們如何去看待一個事件的真相,我覺得不能單純的從原因去看待,也不能盲目地信任某一方言論。網絡上出現的事件的真相其實很難去確認,畢竟我們都不是見證人,但是我們可以有自己的思考。事件本身有時候不是那麼重要,我們更多應該去看的是事件形成的真實結果和對我們自身的影響。就像上面所有的觀點一樣,也都是作者自己的推斷,很難說一定反應的是真實的情況,但是事件發生的背景和造成的結果都是看得到的。
美國的這部法律頒佈以後,各個國家紛紛趨之若鶩地建立自己的網絡安全法律和關鍵基礎設施保護條例,這應該是各國在看到了美國真實目的後的真實反應。國家需要一套完整的法律體系來支撐自己的行為,不管是中國還是英國、法國、澳大利亞。《中華人民共和國網絡安全法》由全國人民代表大會常務委員會於2016年11月7日發佈,自2017年6月1日起施行。《中華人民共和國網絡安全法》的第一條就是,為了保障網絡安全,維護網絡空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展,制定本法。
中國網絡安全法的頒佈,極大地活躍了整個網絡安全市場。由於把基本網絡安全定性成為等級保護制度,等保相關的衍生行業得到大翻身,原來要死不活的網絡安全公司們,開始大批量地得到防火牆、WAF、堡壘機等設備的訂單。各行各業的集成商迅速宣稱自己有成熟的網絡安全建設能力,網絡安全公司像是在河裡的螞蝗一樣迅速盯上了有等保建設需求的甲方單位,由於是一把手負責制,甲方單位在網絡安全上的投入也越來越大方,甲方如何合理規範化自己的投入也成為一個難題,如果有機會,我後面可能會單獨寫一篇文章來提供自己的一些考慮。
當然,上面是網絡安全法這些法律給市場帶來的表面最容易看到的地方。網絡安全法還有一點,就是帶動了行業從業人員的變化。藍海的市場帶來了極大的收益,極大的收益吸引來眾多的從業人員。只要是IT相關人員,都開始搖身一變轉行成為網絡安全人員,當然水平也很容易被戳穿。還有一撥人就是原先的網絡黑產者,之前提到的黑產行業看似收入非常高,但是具體從業人員良莠不齊,大部分收益由於信息的不對稱被一些中介拿走。產業鏈裡面的絕大多數黑客們面臨幾個問題:
1)攻擊的訂單不穩定,經常幾個月都沒有收入來源,導致心慌。
2)攻擊的風險低,存在被抓的可能性,立法以後攻擊被抓後有法律依據,可能會有牢獄之災,不再像以前一樣僅僅罰款草草了事。
3)做網絡安全防護的越來越多,很多攻擊目標都按照要求做了體系防護,攻擊難度逐漸增大,成功率變低。
還有很多很多的因素,當然還有一個最重要的因素,就是網絡安全服務人員被市場的熱炒以後,待遇變得極為可觀,再加上原來的高校都不存在專門的網絡安全專業,這使得有能力的網絡安全工程師成為香餑餑,一般的網絡安全工程師的待遇甚至超過了一些公司的副總級別。基於這些原因,黑客人員的洗白開始變快,黑客們不斷地搖身一變成為網絡安全工程師。當然市場總是會迴歸理性的,這個人員緊缺的環境後面也會隨著現在高校網絡安全專業的不斷擴充和經過培訓機構培訓上崗的隊伍的壯大回歸正常,到時候一些黑客基於一些利益的考慮迴歸黑產也不無可能。如果真有黑客迴歸,他們在做網絡安全防護市場中積累的經驗會讓他們攻擊起來更加得心應手,因為他們熟悉了防護的體系,懂得一線從業人員是如何做防護的,瞭解防護可能存在的弱點,這個也是作者比較擔心的可能發生的情況。
不管怎麼說,目前都是網絡安全行業的春天,而我們也應該瞭解到,這個春天跟網絡安全法是離不開的,這也就是我們專門提一個法律的原因。如果您感興趣,可以自行學習網絡安全法律體系
閱讀更多 Wooder 的文章
