微软警告:中共等国黑客利用Log4j漏洞钻空子;澳内政事务部长呼吁国际合作应对中俄恶意网络攻击,英国发布网络新战略或以攻为守打击中共黑客。图为2020年8月4日,中国一黑客组织的成员在其位于东莞的办公室使用电脑。
9月5日,中共高调指控美国国家安全局(NSA)网络攻击中国的西北工业大学进行并窃取数据。这可视为该日起在全国范围内统一举办的“2022年国家网络安全宣传周”(5-11日,2014年首次举办,每年一届)的特殊启动仪式。
9月7日,陆媒又集中报道:据教育部最新公布的数据显示,到2027年,我国网络安全人员缺口将达327万。央视[新闻直播间]特别让“教育部高等学校网络空间安全专业教学指导委员会委员”俞能海出镜说:“人家以国家的力量来攻击我们,我们该不该还手,我们应该在国家允许的情况下做我们该做的事情,至少我们从人才培养的角度,既要做盾也要做矛,我们只有做好了矛和盾,才能够真正地维护我们的国家安全。”
在外界看来,颇有贼喊捉贼的味道;不过,这也等于把中共发展网络安全行业的用心公开点明:建立一支庞大的网络安全队伍(高喊缺口是为要求加快人才培养),作为一种战略力量,挑战美国与世界。为什么这样讲呢?
第一,相对于中国网络安全市场规模,网络安全人才缺口远没有那么大
根据2020年6月29日中国网络空间安全协会发布的《2020年中国网络安全产业统计报告》,2019年网络安全企业从业人员约为10万人,国内网络安全技术、产品与服务总收入约为523.09亿元,同比增长25.37%。
中国网络安全产业联盟(CCIA)发布的《2021年中国网络安全产业分析报告》预测,未来三年保持15%+增速,到2023年市场规模将超过800亿元。著名的国际数据集团(IDC),近期发布的《全球网络安全支出指南》(IDC Worldwide Security Spending Guide)预测,2022-2026年,中国网络安全市场增速持续领跑全球,五年复合增长率(CAGR)为21.2%(近全球两倍),2026年市场规模将超318亿美元。
而中共教育部《网络安全人才实战能力白皮书》数据显示,国内已有34个高校设立网络空间安全一级学科,高校人才培养规模为3万/年。把人才培养规模与市场规模相比较,“到2027年网络安全人员缺口将达327万”之论就显得夸张了。
再看网络安全产业最发达的美国的情况。美国的网络安全行业市场规模是中国的7倍多(2020年为为640亿美元,全球占比为46.8%)。而美国国际战略研究中心(CSIS)的研究报告《网络安全劳动力缺口》(The Cybersecurity Workforce Gap)指出,截至2019年1月,美国当前就业的网络安全岗位人数为71.6万,还缺少31.4万名网络安全人才。3年多过去了,当前,美国需要填补的网络安全职位爆炸性增长,缺口也就70多万。与美国比较,中国“到2027年网络安全人员缺口将达327万”,真不知道是怎么测算出来的。
第二,中共渴求网络安全人才大军,是为打网络战争
网络安全行业在中共眼里是个特殊行业,受特别管制;中共通过各种方式,网络一些网络安全人才,执行特殊任务。
事实上,多年以来,中共对美网络攻击一直是美中关系的一个棘手问题。2010年对谷歌和安全公司RSA的攻击(谷歌为此退出中国大陆市场),以及在2013年对《纽约时报》的攻击,使中共黑客浮出水面。2014年,美国的六家公司在遭受黑客攻击后,美国政府指责中共军方的五名现役军人应对那次网络袭击负责;作为回应,中共取消了中美网络安全工作组。
2015年9月,习近平访美,与奥巴马达成一项协议:双方承诺任何一方都不能为获取商业利益而故意实施黑客攻击。但是,该协议宣布不到一天,习近平才在西雅图与美国主要科技企业的高管会面,一个被指与中共政府有牵连的黑客组织,为寻找商业秘密攻击了其中一家企业。
2020年底,美国突遭“太阳风暴”攻击,国务院、五角大楼、国土安全部、商务部、财政部、国家核安全委员会等政府部门及多个财富500强企业网络遭入侵,波及全球多个国家和地区的18,000多个用户,被认为是“史上最严重”的供应链攻击。其背后的攻击组织训练有素、作战指挥协同达到了很高的水准。时任总统川普通过推文置评道:“假媒体总优先质疑网攻来自俄罗斯,却不敢讨论网攻可能来自中(共)国。”
2021年7月13日,微软报告,该公司的软件系统太阳风(SolarWinds)遭到一个中(共)国黑客团伙的大规模攻击。19日,罕见地,美国、欧盟、英国联合指控中共政府在全球范围内进行网络攻击;这也是由30个国家组成的北约首次谴责中共发动网络攻击,日本、澳大利亚、加拿大和新西兰也加入行列。
同日,美国司法部公布对4名中共黑客的起诉书,指控他们在2011年至2018年期间攻击美国和其它国家的数十家公司、大学和政府机构的网站;国务卿布林肯在声明中表示,中共国安部“扶植了一个涉及犯罪的合同黑客生态系统,这些黑客既执行政府支持的行动,也从事以自身经济利益为目的网络犯罪活动”。
27日,拜登警告称,对美国的重大网络攻击可能导致与一个大国的“真正交火”。
今年4月底,美国联邦调查局副局长Paul Abbate对美国医院协会(American Hospital Association)演说时表示,中共有“庞大而复杂的网路窃盗计划,所进行的网路入侵攻击比世界所有其他国家加起来还多”。美国官员与网路情报分析家认为,中共为成为制造强国,推出“中国制造2025”计划,相关类型制造业就是中共骇客锁定窃取资讯的目标。
5月4日,波士顿的网络安全公司Cybereason表示,与中共政府有关的骇客从美国、欧洲和亚洲的逾30家制造业与科技公司窃取敏感资讯。这家公司是在去年发现这类活动,但表示这种骇客攻击行动至少可以回溯到2019年。Cybereason的研究主管Assaf Dahan说:“这显然是最高等级的工业间谍和窃取智慧财产行径。”而Cybereason执行长Lior Div则指出:“依我们估计,相信金额是数兆美元,不是以亿计。真正的影响我们要5或10年后才知道。”
总的来讲,中共的网络攻击目的,主要是为获取在军事或商业上具有重大价值的高科技,重要的政治和商业信息(例如,2015年美国人事局网络系统遭中共黑客攻击,约400万现任或离任政府雇员的个人信息“可能已经外泄”),此外,也会攻击身在国外的异议人士、外国记者等等。
由此可见,中共早就发动了网络战,是美国和西方社会的主要网络威胁。
结语
9月8日,据外媒报道,网络安全公司 Secureworks表示,今年6月和7月发现了中共黑客用PlugX的模块化恶意软件攻击欧洲、南美以及欧洲政府官员。这再次给世界敲响了警钟。作为当今世界主要的网络安全破坏者,中共指挥媒体高喊“到2027年中国网络安全人员缺口将达327万”,用心是险恶的。
