2030年歐洲網絡安全的未來
寫在前面:最近元宇宙、Web3.0都比較火,揭示了信息技術未來發展的一個方向。但網絡安全未來會如何?我們不妨把眼光放遠一點,看看德勤的觀點。從人類學的角度來看待網絡安全,拋棄了技術觀點,也很有趣。
最后部分對方法論的描述很有意義,讓我們一窺頂級咨詢公司的工作方法。
最近翻譯了麥肯錫、畢馬威、德勤的幾篇關于網絡安全的文章,有具體的技術也有宏觀看法,咨詢公司的文章寫得都很地道,用詞不俗、結構縝密、喜歡用長句。
歐洲網絡防御
第二部分:2030年網絡安全的未來
情景思考
歐洲網絡安全前景一瞥
網絡安全未來的格局會如何發展,是我們今天面臨最不確定的問題之一。指數級的技術發展、變動的法規、動蕩的政治環境導致網絡安全領域持續變化。新的玩家進入到網絡安全領域,網絡安全在政治和軍事領域內的角色也在轉變,這些只是重塑網絡安全格局眾多有力因素的一部分。
在這個不確定環境中,不同利益方的決策將決定公共和私營部門以及民間團體和國家公民的未來。今天的決策者有可能為未來網絡安全格局做好計劃。
不可否認,當一個人訴諸傳統的策略或戰略分析時,捕捉這樣的復雜性非常困難。雖然不可能預測未來,但情景式分析似乎能講述可信的未來故事,劈開迷霧,顯露出風險和機遇。情景是對可選擇未來的敘述,作為私營部門、公共部門、民間團體等利益相關者參與網絡安全問題的戰略決策基礎。給決策者一個機會,為將來可能場景,制定強大而且靈活的戰略。
網絡安全格局正在經歷快速甚至加速變化。在本研究的兩個不同部分,我們都已經發現這個趨勢。《2018年歐洲網絡防御》的第一部分著眼于國家網絡安全戰略的現狀。第二部分將關注未來:2030年的網絡安全圖景將會是什么樣子?會導致什么樣的風險和機會?為回答這些問題,我們開發了四個可能場景:
金籠子場景。歐洲網絡安全狀況是高度穩定和安全的,威脅已知,基本沒有破壞。盡管承擔很高的安全成本,行業非常健康。然而,基本沒有創新,對未知威脅有很大脆弱性。正常秩序之外的無政府主義者叫囂要威脅網絡安全。在受保護地區的周圍如歐盟,已經立起‘金墻’。保護主義泛濫,社會變得自滿,但威脅潛伏在陰影之中。
自我保護場景描述了一個極度不安全和技術上分裂的世界,顯現為文化不信任和嚴重的官僚主義,安全和網絡自我管理的私有化產生了小主張的安全島。應對低效網絡安全的創新壓力很大,外交談判明顯增加。然而新的規定和法規沒有得到執行,網絡雇傭軍經常是保護頻繁網絡攻擊的唯一方法。
另一個場景中,網絡達爾文主義已經接管了世界。一個自由放任的歐洲變成數字叢林,其中非政府主義者或準政府主義者已經崛起,網絡聯邦制成為常態。雖然存在一些嚴密保護的網絡安全島嶼,外部世界非常不安全。隨后崛起的兩級分化的安全已經導致嚴重社會不公平。網絡安全已經變成明顯競爭優勢,業務轉移到有清晰網絡法規的區域。個性化導致全球化的終結。雖然多邊聯盟和雙邊聯盟繼續,重整武裝的可能性很高,總而言之,歐洲由失敗的網絡政府組成。
在網絡寡頭場景,一小群網絡精英控制了網絡安全。高度創新自由市場受益于小型國家影響和控制。雖然自動化已經導致大量失業,網絡安全攻擊和反抗的增長導致網絡沖突的高風險,迫切需要威懾,導致網絡軍備競賽和許多小型的熱點戰爭。新型國家的概念很有潛力,私營部門在建設正常運轉的國家方面,很有興趣。
今天的網絡安全形勢正在飛速和顯著變化。這四個場景描述了將來可能多么不同。每一種都有它自己的機會和風險-我們一起看看,他們對我們意味著什么。
旅途愉快。
重大不確定性
塑造網絡安全未來的推動力量
作為情景分析的一部分,我們已經列舉了有可能影響歐洲網絡安全格局的政治、軍事、技術、社會、經濟和環境等推動力量綜合清單。這個清單使用自然語言處理、AI,專家訪談和傳統研究等多種方法。來自公共部門、私營部門和民間社會的各種專家,根據他們對歐洲2030年網絡安全格局的影響和發展的不確定性,評估了這些推動力量。之后,影響最大和最不確定的推動力量被分組到重大不確定性集合。重要不確定性的主題包羅萬象,有潛力左右歐洲網絡安全形勢的發展、從一個方向轉向另一個方向。
我們的專家小組,發現了兩個重大不確定性,作為未來歐洲網絡安全的關鍵決定因素。首先,是否存在以規則為基礎的秩序,及其發展程度。這描述了一種秩序,基于本地、國家或國際水平法律框架和標準,或他們的任何組合;其次,預測網絡威脅和歸因網絡攻擊的可能性。預測網絡威脅涉及在已知的攻擊機制和方法的范圍內,發現和對網絡攻擊有所準備;歸因網絡攻擊指通過成功地跟蹤、發現和起訴網絡罪犯,將犯罪歸因到犯罪者身上的過程。
基于規則的秩序,或者是定義清晰,具有可操作性;或者是碎片化的,最后以最強者規則為主。在前者而言,歐洲的特點是在網絡相關議題、雙邊和多邊協作、網絡空間通用人際互動方面存在可運作規則和法規。作為對比,后者的定義缺少通用可接受和執行的法規,網絡安全被一小部分有權勢的人推動和控制。這個重大不確定性的底層推動力量包括國際網絡協作、國際單邊網絡法規、數據保護和隱私法規、歐盟在網絡安全重要性、歐盟和其他參與者如NATO、聯合國和單個國家,如俄羅斯、中國、北朝鮮之間的關系。
預測網絡威脅和歸因網絡攻擊,在未來可能有效,也可能無效。一方面,這個重大不確定性能采取阻止、盡早檢測和分析網絡威脅,政府能夠找到攻擊,有效制止攻擊者。另一方,由于沒有能力阻止或跟蹤網絡威脅,顯現為高度不安全。這些發展的底層推動力量包括對抗網絡犯罪和恐怖主義、威脅情報、惡意軟件和勒索軟件方面的算力發展、量子計算,網絡風險水平,歸因的效率和精確度,法律強制的有效性。
重大不確定性的結合,未來形成四個維度,如圖1,所有這四個場景都符合5個標準:他們必須合理、相關、多樣的、挑戰和平衡。因此每種場景都預示未來的不同故事,2030年,四種世界都可能存在。
圖1 場景矩陣描繪了歐洲網絡安全格局的未來
未來四種可能場景
金籠子
在這種場景下,歐洲非常安全和穩定,基本沒有破壞。網絡威脅水平已知,安全組織如實報告當前的威脅和發展。雖然存在強勢網絡監控文化,保證高水平安全,監管是清楚和透明的。在2020年代早期強勁的創新,保證面對網絡威脅技術上完整狀態。頻繁地網絡能力培訓和測試確保對網絡威脅持續保持警惕,并通過民間網絡演習得到補充,例如,在學校和私營公司。已經圍繞歐洲建造了金墻,保護主義定義了歐洲政治。
然而,隨著最初的創新推動,在2030年,基本沒有創新空間,創新潛力僅限于工程部門。雖然私營部門很健康,承擔了網絡安全沉重成本。社會已經變得自滿,依賴現有方案。當對手和威脅出現,國家處在高度警戒和準備就緒的狀態,而不是這種情況時,他們變得遲鈍。因此,盡管歐洲對已知威脅做好了準備,應對不可預見的威脅,它非常脆弱。現有秩序之外的非國家行為人員,構成歐洲網絡安全狀況的最大威脅。
自我保護
在這個場景中,歐洲高度官僚主義,極不安全,技術上支離破碎。雖然有一些小主張的安全孤島,例如圍繞著互聯醫療健康,但這些區域外部缺乏網絡安全。隨著公共部門無法提供有效網絡安全,安全已經變成私有化,網絡自我管理和使用網絡雇傭軍變成常態。這形成了新的網絡安全經濟,私營部門和公共部門之間開始競爭。公共部門努力贏得安全環境的尊重。有大量的網絡偵察部隊和網絡特種軍隊。然而,增加的威脅水平導致私營部分和公共部門合作的必要性。隨之而來的安全緊身衣正在窒息社會,不信任文化占據上風。
為對抗網絡安全方面有效性缺失,歐洲面臨著巨大的創新壓力,公共部門和私營部門都在推動技術發展。創新潛力來自私營部門,但重點在國家網絡安全創新。必要時,經濟政府把私營公司國有化,尋找有效網絡保護。在這個環境中,規模經濟占統治地位,中小企業經濟遭受損失。
為保持和增強基于規則的秩序,必須提高談判和外交。多邊和雙邊層面協作和監管大量出現,不斷形成新的聯盟,然而,在加強這些明確定義和運作規則時,缺乏效率。
網絡達爾文主義
在這個可選擇的未來,歐洲已經變成適者生存的叢林。雖然在良好保護社區內存在高水平網絡安全孤島,但外部世界極度不安全。導致兩級分化安全系統,對低端安全嚴重鄙視和排斥。在地區甚至國家層面,低效網絡法規導致網絡聯邦制:為彌補國內和國際法規的不足,聯邦國家和所屬區域制定自己的網絡政策。由此帶來的法規混亂和安全樞紐的存在,催生了區域網絡安全避風港,得益于他們的安全狀態和享受著高水平的生活。網絡軍閥統治著單獨領土,非國家和準國家行為者贏取了權力。全球化結束,個性化取而代之。
網絡安全已經變成了明顯的競爭優勢。產業轉向網絡監管高度清晰的區域,例如中國。在已有雙邊和多邊線成立聯盟,但缺少國際監管,嚴重依賴單個國家和下屬地區沉重的軍備重整。整體上,歐洲由失敗的網絡國家組成,由適者生存原則統治。
網絡寡頭
在這個場景,一小群網絡安全專家精英統治著歐洲網絡安全格局。國家不再是網絡安全的主宰者。相反,根據‘叢林法則’網絡安全由私人管理。因此很有可能產生新的國家概念。私營部門對運轉正常的網絡安全國家表現了積極的興趣,對公眾部門重建貢獻了資金和知識,在這個由最強者統治的分裂的秩序中,非常需要威懾,包括核威懾。因此網絡軍備競賽隨之展開,導致緊張,產生很多小的沖突。網絡攻擊增加,包括使用互聯網大規模殺傷性武器( Internet Weapons of Mass Destruction,IWMD)的沖突風險很高。
缺少國家影響和控制,給私營部門帶來大量機會。自由市場受益于大量創新和革新空間。初創公司茁長成長,努力的目標不是為了獨立,而是希望被技術巨頭收購。傳統行業間形成牢固結盟,例如自動駕駛行業和技術巨頭。領先的傳統公司在創新的技術帝國保護傘下運營。然而,自動化已經導致高失業率,社會抗議頻發,傳統的雙邊和多邊聯盟仍然保持,在網絡安全領域,玩家非常清晰。
結論和展望
歐洲網絡安全格局的未來,將對私營部門、公共部門和民間社會產生深遠影響。
設想這四種場景,最引人注目的一點也許是他們的時間表,在網絡安全獨特的動態領域里,提前幾年考慮似乎是一項高深莫測的任務。但我們的情景思考方式,對2030年網絡安全格局的樣子給出了一個展望。
盡管網絡安全的未來極不確定,仍然非常有必要考慮對公共部門和私營部門及歐洲及其他地區民間社會的影響。我們的四個場景很精確地實現了這點,但我們不希望任何一個所描述的場景完全徹底地實現;相反,網絡安全未來格局會介于他們之間。根據《2018年歐洲網絡防御》第一部分描述的對歐洲網絡安全戰略狀態的洞察,通過考慮和準備這四個極端場景,利益相關方能形成強大但靈活戰略。許多網絡戰略回顧了數年前,但沒有一個展望未來的威脅,為未來做準備非常重要。
雖然從這些場景中,產生許多共同影響,最大的一個也許是首要合作需求。國家、地區和國際組織之間合作和協調非常重要。每個國家的私營部門,包括軍隊和情報服務,公共部門和民間社會必須一起工作,為未來的風險做好準備,利用未來的機遇。同樣,國家需要步伐一致,推動區域和全球的網絡治理。區域和國際組織和聯盟,包括在歐盟,北約(NATO)和聯合國,將必須和國家合作,互相保證網絡安全水平。
在四個場景中,還會出現其他普遍性的影響。數字教育和培訓的需求、向混合或網絡戰爭轉變的必要性、包括國家潛在使用進攻性網絡武器的必要性、需要保護基礎設施等一些例子。同時,每個場景帶來許多具體的影響,包括風險和機遇。
對每個場景開發特定戰略,將使決策者靈活響應歐洲內部和外部動態的網絡安全環境。通過這些做,決策者能主動推動網絡安全格局的轉變,為隱藏在陰影中可能的風險做好準備。因此,這些未來故事的目標是拓展思維、挑戰認知、捕獲可能會消失的復雜性。
四個場景也許截然不同,但共享一個共同的主題:成功地遨游于歐洲不斷變化的網絡安全格局中,需要遠見、愿景、在私營和公共部門、民間社會的決策者之間緊密合作,情景分析能作為實現這一目標的指南針,讓你引領前路。
方法論
簡要介紹情景設計和它的方法論
這個未來歐洲網絡安全格局的研究,根據長期觀點中心(center for long view ,CLV)的七步情景設計方法,應用客觀性、可靠性和有效性指導性科學原則。這篇文章是綜合研究、專家訪談、場景工作室的共同成果。參與者來自私營和公共部門及民間社會的政治、軍事、經濟和社會網絡安全專家,還有德勤網絡和來自長期觀點中心經驗豐富的實操人員。
為了決定項目的范圍和戰略方向,我們的場景設計方法開始于制定一個焦點問題。這個研究的問題是:2030年歐洲網絡安全格局是什么樣?
因為場景是了解塑造未來動力的一種方式,我們方法論的第二步是發現能潛在影響焦點問題結果的推動力量。這些驅動力能分成五類,稱為STEEP力量,包括社會、技術、經濟、環境和政治因素。
為了決定這個研究中推動力量的長名單,我們和選定德勤專家訪談及使用我們基于AI的研究工具CLV Deep View。Deep View使用專屬自然語言處理算法讀取百萬數據集,目標是識別關鍵詞、短語、人、公司或機構之間的特征。這允許我們全面理解高度復雜問題和相互關系,并發現全球趨勢。也有助于避免傳統方法的偏見,傳統方法根據場景分析人員的性格、情緒或個人偏好,導致內在的傾向。
第三步,我們把確定的推動力量分級分類到重大不確定性中。這很有必要,因為不是所有的驅動力量都是不確定。一些也許是可預料和在不同場景中不可能有顯著差異。因此,重大不確定性必須符合兩個標準:首先,必須對焦點問題的結果有明顯影響,其次,必須高度不確定性和波動性,最初,所有不確定性顯示起來都是獨一無二,然而,通過分析每個重大不確定性整體和相互關系,我們能為我們場景框架建立構建塊。
場景設計方法的第四步是開發場景框架。所確定的重大不確定性作為矩陣的兩個軸,導致四種高度分散但可信場景。我們的研究中,兩個重大的不確定性是基于規則秩序的本質和預測網絡威脅和歸因網絡攻擊的可能性。
建立情景矩陣后,第五步,我們開發四個場景,場景敘述定義框架條件每個故事場景范圍的上下文內條件和氛圍。通過使用以前發現的推動力量逆向工程通向未來的里程碑,我們能決定每個場景的關鍵因素。
第六步,我們使用場景敘述,得到對利益參與方結果最終影響,例如私營和公共部門和民間社會。
最后第七步,我們對每個場景定義關鍵指標,實現監控趨勢發展。這步的目標是觀察哪個場景在任何給定時刻最有可能實現,確定從一個場景到另一個場景的轉換。
圖2 七步場景開發方法
Deloitte 德勤
德勤給多個行業的公開和私人客戶,提供審計、風險咨詢、稅務,財務建議和咨詢服務;超過150國家成員公司的全球網絡互聯,德勤給客戶帶來世界級的能力和高質量服務,交付給他們需要解決最復雜商業挑戰的見解,德勤超過244000專家承諾做出有意義的影響。
