刚刚落下帷幕的RSA 2014安全大会,主题是:学习、分享、保护——聚焦集体智慧。RSA执行主席亚瑟•科维洛在大会主旨演讲中呼吁,对互联网上的网络战争、监控、隐私、互信等重要问题,各国政府及行业间需增強合作。
不过,因为2013年出现的安全事件尤为特别(棱镜门、RSA后门等),本次RSA大会也就此带有一种不同寻常的色彩。
科维洛在主旨演讲中直面RSA后门等焦点问题,并在会议期间接受了51CTO记者的专访,针对公众关注的后门事件、与NSA的合作、中国威胁论、安全与隐私的平衡等问题,进行了阐述。
问:RSA与NSA之前是怎样一种合作方式?后门事件发生后,你们还会跟NSA合作吗?
答:RSA跟NSA的合作已经将近十个年头。可能很多人已经忘记,NSA还有一个防御的机构——信息保障委员会(the Information Assurance Directorate ,IAD),该机构声称其使命是为美国关键电子设施和信息系统提供防护。实际上,包括RSA在内的大部分安全公司与NSA的合作,都是与这个防御部门进行的。抛开这些事实,如果NSA在安全领域模糊了正常安全防御和搜集隐私信息的界限,那问题就来了。
如果我们无法确定自己是跟NSA的哪个部门在一起工作,不知道他们的真正动机,我们就不会再跟NSA展开合作。对NSA而言,需要更明确地分清楚“防御”和“冒犯”,这对他们在公众中重构信任至关重要。
问:您认为应该如何平衡个人隐私和安全防御?
答:今天,我们需要保护我们的隐私,也需要保护公司的数据。在我看来,安全和隐私不互相对抗。他们应该像磁铁一样紧紧相连。在一些情况下,安全是有助于保护隐私的;而在另一些情况下,我们则需要这样一种方法,做到既能在基本层面上理解员工在做什么,又能避免不必要的监控,我们可以知道员工在做什么,但没必要看到他们所做的事情的细节。
我们可以向政府提供一些必要的信息,但政府对这些信息的搜集和处理应该是对公众透明的,我们需要知道政府对我们的信息做了什么,没做什么。比如,有一些并不是非法却会让我们感到尴尬的私人信息,是应该予以保护的。
问:棱镜门后,NSA形象大跌。有人认为,NSA亮相RSA大会,是他们的一次危机公关。您的看法?如果是,您认为他们这一次的表现成功吗?
答:他们的确参加了RSA大会,并且做了很多的自我展示。事实上,他们已经参加了好几届RSA大会。我们也希望他们对公众更加开放。
不过,我并不知道他们是否通过此举成功地重塑形象。但我想,在重构信任的道路上,他们还有很多事要做。并且,我也清楚,NSA不是孤立的,在每个国家,都有类似的事情在发生。因为斯诺登的爆料,公众对此知道得更多了。但斯诺登这样的人在其他国家也都存在。
问:每届RSA大会,我们都会听到一些“中国威胁论”的声音,在本次RSA大会上,有人认为这一现象变得更严重了,你是否认同?
答:我在欧洲时,他们总是说攻击来自美国和中国;在中国时,他们会说攻击来自美国和欧洲;在美国,又会说攻击来自中国和欧洲。这些,我都相信。没有一个国家是道德上的垄断者,也没有一个国家天生邪恶。我们生活在同一个星球,我们珍惜孩子的未来,呼吸同一片空气。今天,我们需要增强对话的能力。美国有很多的公司,跟中国联系非常紧密。中国在经济发展方面取得了巨大进步,当地居民生活也有很大改善。作为美国人,我可以不认同中国的政治系统;作为中国人,你也可以不认同美国的政治系统。但我喜欢中国人,中国人很友好。因此,我们需要聚焦于我们的共同利益。正如肯尼迪总统所说,如果不能终止我们之间的不同,那至少我们还能推动这个存在差异的世界变得更安全。
问:你在演讲中提到,今天我们需要通过合作来应对复杂威胁,包括政府、企业间的合作,在这个过程中,你的角色会有改变吗?
答:我认为自己有两个角色。角色一:是商业公司RSA的领导人,我们的使命是帮助组织进行安全防御,远离网络威胁。在这个角色中,我们做了很多工作,帮助很大政府和企业保护了关键设施。角色二:在一定程度上,我的角色是美国和世界的公民,我认为我有责任影响有关如何更好地保护自己的讨论,RSA会继续承担起重要的领导者角色,因为我们现在的地位允许我们这么做。我们认为这对世界有好处,最终对我们的商业有好处。
问:有人认为,您在演讲中提到的合作与分享的理念非常好,但实际操作起来并不容易实现,目前,政府和产业之间的合作过于理想化,您怎么看?
答:我在主旨演讲中提到了四个原则:放弃使用网络武器及放弃利用互联网发动战争;合作调查、逮捕和起诉网络罪犯;确保互联网上的经济活动能够不受约束地进行,知识产权得到保护;尊重和确保每个人的隐私。我最近跟一位著名的黑客及无政府主义者也谈到了这四个原则,他对任何政府的不信任会让他感到,这些原则并不现实,根本不可能实现。这是一种危险的不信任,这会让网络世界的冲突变得更加严重。
肯尼迪总统曾经说过,我们的问题都是人为的,因此,都是能被人们解决的。人的精神和信念会帮助其解决看起来解决不了的问题。的确,信任和诚恳的缺失、利益的冲突等都让这样的合作变得困难。但是,不论我们怎么不同,上述原则是符合所有国家和人民的共同利益的。
在这个过程中,政府无法单独行动。我们安全从业者需要发挥出更积极的作用,构建起一个积极的对话环境。
