名为“想哭”的勒索病毒对全球网络空间的冲击仍在继续。“想哭”借鉴或者直接使用了此前被黑客组织“影子经纪人”在网上披露的网络武器“永恒之蓝”,这被认为是美国国家安全局网络武器的一种。如果将标准的网络武器比作一枚导弹,那么此次肆虐的勒索病毒就是一种半武器级的东西。
此事真正值得关注的首先是性质。冷战结束之后,全球完善了大规模杀伤性武器及其运载工具相关及时的防扩散机制。而这次事件可以看做,全球第一次某种意义上的武器级网络攻击能力和产品扩散,并被投入实际使用的案例。有观点称,这将改变全球网络空间治理的格局。确实如此。但改变的方向,不是从一个极端,即完全信奉实力即自由、强权即公理的丛林世界,过渡到另一个极端,即在全球网络空间追求以康德式的理想主义为基础,遵循非战、和平主义的理想世界。
其次对于中国来说,特别值得关注的一个问题是,为什么在微软3月14日发布相关补丁之后,这款勒索病毒仍然能够造成如此显著的影响,特别是在高校、部分央企以及一些政府有关部门,或者管辖或者使用的网络中。相信此次遭遇攻击的那些目标,也不是没有通过相关保护制度审核的。那么挂在墙上的证书为何没能确保打上安全补丁,为何没能避免本可避免的损失,是中国未来建设网络强国所必须回答的问题。
对中国来说,从宏观国家网络安全战略和全球体系的视角出发,此次半武器级勒索病毒肆虐带来的冲击,并不完全是坏事。因为它以相对较低或者说可以承受的代价,证明了总书记关于没有网络安全就没有国家安全,没有信息化就没有现代化的精准论断。“单点防御”、迷信单一或者少数软件带来的绝对安全,在实践检验中被证明已无法继续满足国家网络安全的需求。
从全球角度来看,此次肆虐的勒索病毒反衬出,中国从2015年开始向全球倡导建设网络空间命运共同体的必要性、正当性以及迫切性。这个共同体不是要实现某种理想化的乌托邦,而是在尊重主权平等原则基础上,尊重客观的需要与合理的利益,同时将不确定性的风险降到最低。
从务实的路径来看,此次事件表明,中国以及其他所有愿意承担责任的国家,包括美国,应该尽快倡议推进全球网络空间的防扩散机制建设,尤其是形成一套成熟的机制,在出现类似“影子经纪人”披露网络武器的事件时,相关国家有义务遵循标准程序,避免进攻性网络能力的扩散。从此次事件看,为了开发网络武器并保持攻击的有效性,美国政府存在发现企业漏洞后但不告知并企图利用的行为。坦率地说,此类行为反映出来的是不同主体之间安全利益存在差异,但有必要建立一套共同机制,以务实的方式,将相关损害降到最低,避免意外风险。这也是共同构建网络空间命运共同体的要义之一。