连接设备和技术的激增为消费者提供了不可估量的便利,但也造成了极大的脆弱性。 近年来,我们看到破坏性网络攻击的数量呈爆炸式增长。 仅 2017 年就见证了 Wanna Cry、Petya、Not Petya、Bad Rabbit,当然还有历史性的 Equifax 漏洞,等等。 目前,没有任何机制可以促进了解这些威胁或其共性。 虽然有关重大违规原因的信息可能会在事后公开,但缺少的是可用于研究目的的汇总数据集。 然后,这项研究可以提供有关攻击趋势和运营商可避免的错误以及其他有价值的数据的线索。 收集此类信息的一种可能制度是要求披露事件以及对这些事件进行调查。 强制性报告和调查将导致更好的数据收集。 这种制度也将导致公司内部化,至少在某种程度上,安全的外部性。 然而,强制报告面临挑战,这将使该制度难以实施,而且可能成本大于收益。 另一种选择是自愿报告计划,以 NASA 内的航空安全报告系统为模型,并可能与激励计划相结合。 根据该协议,遭受黑客攻击或“险些失误”的组织将向某些中立方报告事件,提供重要细节。 然后,研究人员和整个行业都可以使用该数据库。 人们可以了解什么有效,什么无效,以及弱点在哪里。
