2030年欧洲网络安全的未来
写在前面:最近元宇宙、Web3.0都比较火,揭示了信息技术未来发展的一个方向。但网络安全未来会如何?我们不妨把眼光放远一点,看看德勤的观点。从人类学的角度来看待网络安全,抛弃了技术观点,也很有趣。
最后部分对方法论的描述很有意义,让我们一窥顶级咨询公司的工作方法。
最近翻译了麦肯锡、毕马威、德勤的几篇关于网络安全的文章,有具体的技术也有宏观看法,咨询公司的文章写得都很地道,用词不俗、结构缜密、喜欢用长句。
欧洲网络防御
第二部分:2030年网络安全的未来
情景思考
欧洲网络安全前景一瞥
网络安全未来的格局会如何发展,是我们今天面临最不确定的问题之一。指数级的技术发展、变动的法规、动荡的政治环境导致网络安全领域持续变化。新的玩家进入到网络安全领域,网络安全在政治和军事领域内的角色也在转变,这些只是重塑网络安全格局众多有力因素的一部分。
在这个不确定环境中,不同利益方的决策将决定公共和私营部门以及民间团体和国家公民的未来。今天的决策者有可能为未来网络安全格局做好计划。
不可否认,当一个人诉诸传统的策略或战略分析时,捕捉这样的复杂性非常困难。虽然不可能预测未来,但情景式分析似乎能讲述可信的未来故事,劈开迷雾,显露出风险和机遇。情景是对可选择未来的叙述,作为私营部门、公共部门、民间团体等利益相关者参与网络安全问题的战略决策基础。给决策者一个机会,为将来可能场景,制定强大而且灵活的战略。
网络安全格局正在经历快速甚至加速变化。在本研究的两个不同部分,我们都已经发现这个趋势。《2018年欧洲网络防御》的第一部分着眼于国家网络安全战略的现状。第二部分将关注未来:2030年的网络安全图景将会是什么样子?会导致什么样的风险和机会?为回答这些问题,我们开发了四个可能场景:
金笼子场景。欧洲网络安全状况是高度稳定和安全的,威胁已知,基本没有破坏。尽管承担很高的安全成本,行业非常健康。然而,基本没有创新,对未知威胁有很大脆弱性。正常秩序之外的无政府主义者叫嚣要威胁网络安全。在受保护地区的周围如欧盟,已经立起‘金墙’。保护主义泛滥,社会变得自满,但威胁潜伏在阴影之中。
自我保护场景描述了一个极度不安全和技术上分裂的世界,显现为文化不信任和严重的官僚主义,安全和网络自我管理的私有化产生了小主张的安全岛。应对低效网络安全的创新压力很大,外交谈判明显增加。然而新的规定和法规没有得到执行,网络雇佣军经常是保护频繁网络攻击的唯一方法。
另一个场景中,网络达尔文主义已经接管了世界。一个自由放任的欧洲变成数字丛林,其中非政府主义者或准政府主义者已经崛起,网络联邦制成为常态。虽然存在一些严密保护的网络安全岛屿,外部世界非常不安全。随后崛起的两级分化的安全已经导致严重社会不公平。网络安全已经变成明显竞争优势,业务转移到有清晰网络法规的区域。个性化导致全球化的终结。虽然多边联盟和双边联盟继续,重整武装的可能性很高,总而言之,欧洲由失败的网络政府组成。
在网络寡头场景,一小群网络精英控制了网络安全。高度创新自由市场受益于小型国家影响和控制。虽然自动化已经导致大量失业,网络安全攻击和反抗的增长导致网络冲突的高风险,迫切需要威慑,导致网络军备竞赛和许多小型的热点战争。新型国家的概念很有潜力,私营部门在建设正常运转的国家方面,很有兴趣。
今天的网络安全形势正在飞速和显著变化。这四个场景描述了将来可能多么不同。每一种都有它自己的机会和风险-我们一起看看,他们对我们意味着什么。
旅途愉快。
重大不确定性
塑造网络安全未来的推动力量
作为情景分析的一部分,我们已经列举了有可能影响欧洲网络安全格局的政治、军事、技术、社会、经济和环境等推动力量综合清单。这个清单使用自然语言处理、AI,专家访谈和传统研究等多种方法。来自公共部门、私营部门和民间社会的各种专家,根据他们对欧洲2030年网络安全格局的影响和发展的不确定性,评估了这些推动力量。之后,影响最大和最不确定的推动力量被分组到重大不确定性集合。重要不确定性的主题包罗万象,有潜力左右欧洲网络安全形势的发展、从一个方向转向另一个方向。
我们的专家小组,发现了两个重大不确定性,作为未来欧洲网络安全的关键决定因素。首先,是否存在以规则为基础的秩序,及其发展程度。这描述了一种秩序,基于本地、国家或国际水平法律框架和标准,或他们的任何组合;其次,预测网络威胁和归因网络攻击的可能性。预测网络威胁涉及在已知的攻击机制和方法的范围内,发现和对网络攻击有所准备;归因网络攻击指通过成功地跟踪、发现和起诉网络罪犯,将犯罪归因到犯罪者身上的过程。
基于规则的秩序,或者是定义清晰,具有可操作性;或者是碎片化的,最后以最强者规则为主。在前者而言,欧洲的特点是在网络相关议题、双边和多边协作、网络空间通用人际互动方面存在可运作规则和法规。作为对比,后者的定义缺少通用可接受和执行的法规,网络安全被一小部分有权势的人推动和控制。这个重大不确定性的底层推动力量包括国际网络协作、国际单边网络法规、数据保护和隐私法规、欧盟在网络安全重要性、欧盟和其他参与者如NATO、联合国和单个国家,如俄罗斯、中国、北朝鲜之间的关系。
预测网络威胁和归因网络攻击,在未来可能有效,也可能无效。一方面,这个重大不确定性能采取阻止、尽早检测和分析网络威胁,政府能够找到攻击,有效制止攻击者。另一方,由于没有能力阻止或跟踪网络威胁,显现为高度不安全。这些发展的底层推动力量包括对抗网络犯罪和恐怖主义、威胁情报、恶意软件和勒索软件方面的算力发展、量子计算,网络风险水平,归因的效率和精确度,法律强制的有效性。
重大不确定性的结合,未来形成四个维度,如图1,所有这四个场景都符合5个标准:他们必须合理、相关、多样的、挑战和平衡。因此每种场景都预示未来的不同故事,2030年,四种世界都可能存在。
图1 场景矩阵描绘了欧洲网络安全格局的未来
未来四种可能场景
金笼子
在这种场景下,欧洲非常安全和稳定,基本没有破坏。网络威胁水平已知,安全组织如实报告当前的威胁和发展。虽然存在强势网络监控文化,保证高水平安全,监管是清楚和透明的。在2020年代早期强劲的创新,保证面对网络威胁技术上完整状态。频繁地网络能力培训和测试确保对网络威胁持续保持警惕,并通过民间网络演习得到补充,例如,在学校和私营公司。已经围绕欧洲建造了金墙,保护主义定义了欧洲政治。
然而,随着最初的创新推动,在2030年,基本没有创新空间,创新潜力仅限于工程部门。虽然私营部门很健康,承担了网络安全沉重成本。社会已经变得自满,依赖现有方案。当对手和威胁出现,国家处在高度警戒和准备就绪的状态,而不是这种情况时,他们变得迟钝。因此,尽管欧洲对已知威胁做好了准备,应对不可预见的威胁,它非常脆弱。现有秩序之外的非国家行为人员,构成欧洲网络安全状况的最大威胁。
自我保护
在这个场景中,欧洲高度官僚主义,极不安全,技术上支离破碎。虽然有一些小主张的安全孤岛,例如围绕着互联医疗健康,但这些区域外部缺乏网络安全。随着公共部门无法提供有效网络安全,安全已经变成私有化,网络自我管理和使用网络雇佣军变成常态。这形成了新的网络安全经济,私营部门和公共部门之间开始竞争。公共部门努力赢得安全环境的尊重。有大量的网络侦察部队和网络特种军队。然而,增加的威胁水平导致私营部分和公共部门合作的必要性。随之而来的安全紧身衣正在窒息社会,不信任文化占据上风。
为对抗网络安全方面有效性缺失,欧洲面临着巨大的创新压力,公共部门和私营部门都在推动技术发展。创新潜力来自私营部门,但重点在国家网络安全创新。必要时,经济政府把私营公司国有化,寻找有效网络保护。在这个环境中,规模经济占统治地位,中小企业经济遭受损失。
为保持和增强基于规则的秩序,必须提高谈判和外交。多边和双边层面协作和监管大量出现,不断形成新的联盟,然而,在加强这些明确定义和运作规则时,缺乏效率。
网络达尔文主义
在这个可选择的未来,欧洲已经变成适者生存的丛林。虽然在良好保护社区内存在高水平网络安全孤岛,但外部世界极度不安全。导致两级分化安全系统,对低端安全严重鄙视和排斥。在地区甚至国家层面,低效网络法规导致网络联邦制:为弥补国内和国际法规的不足,联邦国家和所属区域制定自己的网络政策。由此带来的法规混乱和安全枢纽的存在,催生了区域网络安全避风港,得益于他们的安全状态和享受着高水平的生活。网络军阀统治着单独领土,非国家和准国家行为者赢取了权力。全球化结束,个性化取而代之。
网络安全已经变成了明显的竞争优势。产业转向网络监管高度清晰的区域,例如中国。在已有双边和多边线成立联盟,但缺少国际监管,严重依赖单个国家和下属地区沉重的军备重整。整体上,欧洲由失败的网络国家组成,由适者生存原则统治。
网络寡头
在这个场景,一小群网络安全专家精英统治着欧洲网络安全格局。国家不再是网络安全的主宰者。相反,根据‘丛林法则’网络安全由私人管理。因此很有可能产生新的国家概念。私营部门对运转正常的网络安全国家表现了积极的兴趣,对公众部门重建贡献了资金和知识,在这个由最强者统治的分裂的秩序中,非常需要威慑,包括核威慑。因此网络军备竞赛随之展开,导致紧张,产生很多小的冲突。网络攻击增加,包括使用互联网大规模杀伤性武器( Internet Weapons of Mass Destruction,IWMD)的冲突风险很高。
缺少国家影响和控制,给私营部门带来大量机会。自由市场受益于大量创新和革新空间。初创公司茁长成长,努力的目标不是为了独立,而是希望被技术巨头收购。传统行业间形成牢固结盟,例如自动驾驶行业和技术巨头。领先的传统公司在创新的技术帝国保护伞下运营。然而,自动化已经导致高失业率,社会抗议频发,传统的双边和多边联盟仍然保持,在网络安全领域,玩家非常清晰。
结论和展望
欧洲网络安全格局的未来,将对私营部门、公共部门和民间社会产生深远影响。
设想这四种场景,最引人注目的一点也许是他们的时间表,在网络安全独特的动态领域里,提前几年考虑似乎是一项高深莫测的任务。但我们的情景思考方式,对2030年网络安全格局的样子给出了一个展望。
尽管网络安全的未来极不确定,仍然非常有必要考虑对公共部门和私营部门及欧洲及其他地区民间社会的影响。我们的四个场景很精确地实现了这点,但我们不希望任何一个所描述的场景完全彻底地实现;相反,网络安全未来格局会介于他们之间。根据《2018年欧洲网络防御》第一部分描述的对欧洲网络安全战略状态的洞察,通过考虑和准备这四个极端场景,利益相关方能形成强大但灵活战略。许多网络战略回顾了数年前,但没有一个展望未来的威胁,为未来做准备非常重要。
虽然从这些场景中,产生许多共同影响,最大的一个也许是首要合作需求。国家、地区和国际组织之间合作和协调非常重要。每个国家的私营部门,包括军队和情报服务,公共部门和民间社会必须一起工作,为未来的风险做好准备,利用未来的机遇。同样,国家需要步伐一致,推动区域和全球的网络治理。区域和国际组织和联盟,包括在欧盟,北约(NATO)和联合国,将必须和国家合作,互相保证网络安全水平。
在四个场景中,还会出现其他普遍性的影响。数字教育和培训的需求、向混合或网络战争转变的必要性、包括国家潜在使用进攻性网络武器的必要性、需要保护基础设施等一些例子。同时,每个场景带来许多具体的影响,包括风险和机遇。
对每个场景开发特定战略,将使决策者灵活响应欧洲内部和外部动态的网络安全环境。通过这些做,决策者能主动推动网络安全格局的转变,为隐藏在阴影中可能的风险做好准备。因此,这些未来故事的目标是拓展思维、挑战认知、捕获可能会消失的复杂性。
四个场景也许截然不同,但共享一个共同的主题:成功地遨游于欧洲不断变化的网络安全格局中,需要远见、愿景、在私营和公共部门、民间社会的决策者之间紧密合作,情景分析能作为实现这一目标的指南针,让你引领前路。
方法论
简要介绍情景设计和它的方法论
这个未来欧洲网络安全格局的研究,根据长期观点中心(center for long view ,CLV)的七步情景设计方法,应用客观性、可靠性和有效性指导性科学原则。这篇文章是综合研究、专家访谈、场景工作室的共同成果。参与者来自私营和公共部门及民间社会的政治、军事、经济和社会网络安全专家,还有德勤网络和来自长期观点中心经验丰富的实操人员。
为了决定项目的范围和战略方向,我们的场景设计方法开始于制定一个焦点问题。这个研究的问题是:2030年欧洲网络安全格局是什么样?
因为场景是了解塑造未来动力的一种方式,我们方法论的第二步是发现能潜在影响焦点问题结果的推动力量。这些驱动力能分成五类,称为STEEP力量,包括社会、技术、经济、环境和政治因素。
为了决定这个研究中推动力量的长名单,我们和选定德勤专家访谈及使用我们基于AI的研究工具CLV Deep View。Deep View使用专属自然语言处理算法读取百万数据集,目标是识别关键词、短语、人、公司或机构之间的特征。这允许我们全面理解高度复杂问题和相互关系,并发现全球趋势。也有助于避免传统方法的偏见,传统方法根据场景分析人员的性格、情绪或个人偏好,导致内在的倾向。
第三步,我们把确定的推动力量分级分类到重大不确定性中。这很有必要,因为不是所有的驱动力量都是不确定。一些也许是可预料和在不同场景中不可能有显著差异。因此,重大不确定性必须符合两个标准:首先,必须对焦点问题的结果有明显影响,其次,必须高度不确定性和波动性,最初,所有不确定性显示起来都是独一无二,然而,通过分析每个重大不确定性整体和相互关系,我们能为我们场景框架建立构建块。
场景设计方法的第四步是开发场景框架。所确定的重大不确定性作为矩阵的两个轴,导致四种高度分散但可信场景。我们的研究中,两个重大的不确定性是基于规则秩序的本质和预测网络威胁和归因网络攻击的可能性。
建立情景矩阵后,第五步,我们开发四个场景,场景叙述定义框架条件每个故事场景范围的上下文内条件和氛围。通过使用以前发现的推动力量逆向工程通向未来的里程碑,我们能决定每个场景的关键因素。
第六步,我们使用场景叙述,得到对利益参与方结果最终影响,例如私营和公共部门和民间社会。
最后第七步,我们对每个场景定义关键指标,实现监控趋势发展。这步的目标是观察哪个场景在任何给定时刻最有可能实现,确定从一个场景到另一个场景的转换。
图2 七步场景开发方法
Deloitte 德勤
德勤给多个行业的公开和私人客户,提供审计、风险咨询、税务,财务建议和咨询服务;超过150国家成员公司的全球网络互联,德勤给客户带来世界级的能力和高质量服务,交付给他们需要解决最复杂商业挑战的见解,德勤超过244000专家承诺做出有意义的影响。
