网络攻击已经成为对美国商业的持续威胁。用黑客的方式回击能解决问题吗？

　　图片来源：Photo-Illustration by Tres Commas; Original Photographs, Shield: Gabe Ginsberg—Getty Images; arrows: Getty images

　　参加任何有关于网络安全的非正式会谈，你都会听到这样一句话：“世界上有两种类型的公司：被黑客攻击过的公司，和那些不知道曾经被黑客攻击过的公司。”

　　这句引发上千条妙语的话出自于德米特里·艾尔帕洛维蒂奇，他是一位出生于莫斯科的企业家，也是世界最前沿的黑客侦探之一。2011年，作为反病毒先驱麦克菲的首席威胁研究员，他在调查时发明了这句话——公众对此很感兴趣——调查对象是五年内发起的对超过70个组织的网络攻击，包括国防承包商、科技公司和联合国。

　　现在这句无可奈何的话该升级一下了。“我已经修改了我的话。”艾尔帕洛维蒂奇告诉《财富》杂志，“前两种公司仍然存在，但现在有第三类公司，他们能够成功地防御黑客入侵。”好吧，还有希望！

　　你尽可以把他修改后的话，当作一种纯熟的销售技巧。作为网络安全公司CrowdStrike的联合创始人和首席科技官，这家公司在今年6月上市时的股价大涨让投资者侧目，艾尔帕洛维蒂奇确实有理由得意一下。

　　但实际上艾尔帕洛维蒂奇修改这句话，是意有所指的。在布什和克林顿政府任职的前白宫安全顾问理查德·克拉克，同意这句新的三段体话。他刚与奥巴马政府的网络主管罗伯特·柯内克合写了一本书《第五领域》（The Fifth Domain），书中提到网络已经成为继陆地、海洋、天空和外太空之后的最新的战争威胁。

　　想想NotPetya病毒吧。俄罗斯在2017年释放的这一病毒灾难性地袭击了全球的许多电脑，导致了像联邦快递、马士基和默沙东这样的公司损失数十亿美元。

　　但是，并非所有公司都受害了。“你所不知道的是，有一批美国公司在乌克兰做生意”——可谓处于网络攻击的中心点——“却没有受到损失，”克拉克说。一些公司像波音、杜邦和强生“并未吱声，于是在我们的书中，就试图找出原因。”

　　那么，为什么有些公司被黑客攻击，有些没有？从技术层面来说，未受损的公司把它们的设备都打了补丁，防止漏洞被NotPetya利用。但一个更基本的问题是，为什么有些公司打补丁，而有些却忽略了？

　　原因就一个词：优先级。最具韧性的组织，都有预案。一位主管若是驳回首席信息安全官的建议，得有充足的理由。首席执行官肯定也会过问。

　　这是很好的防御措施，但如果公司发起反击呢？一些美国国会的成员正在提议一项立法，称之为“黑客反击”议案，该议案允许公司调查攻击者的电脑并摧毁被盗数据。

　　位于亚特兰大的律所长盛（Troutman Sanders）的隐私保护主管马克·毛，对此议案表示谨慎地支持。“我个人认为，这主意不错。”他说，“我觉得这就像网络第二修正案。”（但他补充说，这种做法应该是“有限制的”，并且需要制定很多细节。）

　　毛将网络攻击和反击，与核平衡相对比。“核威慑是有效的，因为没有人希望被核攻击。”他说，“许多黑客逃之夭夭，因为没有任何报复措施。”

　　然而，许多网络安全业内人士认为，如果黑客反击议案变成法律，将会是巨大的灾难。网络安全公司火眼的情报主管、美国空军预备役人员桑德拉·乔伊斯就表示反对。“最不希望看到的，就是用意良好但纯属菜鸟的人来掺和此事。”她认为这一议案会有误判攻击者的危险，也会导致争锋相对和矛盾升级。它只会“带来人心惶惶，风险丛生。”

　　她还说，这项议案代表着“商业界的声音，他们感到被忽视了。这是一种受挫的信号。”

　　他们的恼怒是可以理解的。据Gartner的数据，今年全球网络安全的支出将增长9%，达1240亿美元。但网络安全还是难以保全。

　　要防止黑客偷光公司财产，公司却不必耗尽家财。克拉克认为，公司把IT预算的8%到10%投入到网络安全中，就相当不错了。

　　要防护好网络，这个比例的投入也并不总是必要的。艾尔帕洛维蒂奇说，他就知道一家《财富》美国500强的从事宾馆业的公司，每年只花费区区1100万美元做网络防护，但他确信这家公司的网络安全是他所见过最好的之一。

　　面对网络安全的担忧，公司的董事会主席把自己的手机号码给了公司首席信息安全官，并告诉他：“不管白天或夜里，如果有人拒绝你的提议，随时打我电话。”

　　艾尔帕洛维蒂奇加了一句：“在这个机构里，没人敢对他说不。”（财富中文网）