2020年的安全-2011-01-15
理論上來說並沒有安全這種事存在,安全只能用與其他東西的關聯來定義。你只能說你因為某樣事物而安全或者因為某樣事物而不安全。在未來的10年裡,傳統對 IT(Information Technology)安全的定義──那些用來保護你不為駭客、罪犯以及其他壞人所害的──將徹底改變。它不會保你不為壞人所害,它會逐漸地被用來保護企業以及他們的商業模式免受你之「害」。
十年前,IT安全重大的概念改變是「deperimeterization」(去邊界化),一個有前綴詞也有後綴詞,共由18個字母組成的字,這一定是我們業界所發明最醜的字。儘管長得很醜,它所代表的概念:「解除內部網路與外部網路間嚴格的邊界」,是真確而且重要的。
現在這種「去邊界化」的狀況比以往都要來得多。因為顧客、商業夥伴或是來賓的網路存取、e-mail委外、VPN等需求,就算找得出組織的網路邊界,它也是坑坑洞洞的,還不如假裝它不存在。最重要的改變,是觀念上的。我們以前認為網路是座堡壘,好人在堡壘內而壞人在外面,有著城牆與閘門還有守衛來確保只有好人進得去。現代網路比較像是城市,是動態而複雜的存在,其中有著許多不同的邊界。其存取、授權以及信任關係更是複雜。
另外兩個觀念的改變在今日也很重要。首先是「消費端化」(consumerization),另一個被發明出來冗長的字,它的概念是,消費者先拿到新的酷玩意,隨之要求使用它們來工作。員工已有按照他們喜好設置的筆記型電腦,他們不想為了連上公司的VPN而要用另外一部筆電。他們家裡已經有一部電腦,而且比公司IT部門發配的標準型電腦還要新潮許多。網路管理員逐漸失去對客戶端設備的控制權。
這種趨勢只會有增無減。消費者裝置將會越來越時髦、更便宜,並且更為完整一致,年輕的朋友也已經習慣使用他們自己的裝置來連上學校網路。這猶如當年PC革命的續集。當時集中式電腦中心的地位,被人們買來跑VisiCalc的PC所動搖,而現在主角則是iPad或是Android智慧型手機。
第二個觀念上的轉變來自於雲端計算:我們越來越習慣把資料存放在他處。這可以稱為「去集權化」(decentralization):我們把email、照片、書籍、音樂以及文件存放在某個地方,然後透過我們的消費者裝置來存取它們。你的年紀越輕,就越可能有這種傾向,習慣使用任何手上有的裝置去存取的你的數位資料。這是一個重要的趨勢,它意味著我們長期以來容忍的硬體與作業系統戰爭即將終結。當你只需要網頁瀏覽器,那麼到底Windows好或是Mac較優這種爭議對你也無關緊要了。電腦本身只是臨時性的器具,使用者端的資料備份也不重要了,反正資料就在網路上的某個地方,而使用者也因此逐漸喪失他們資料的控制權。
在接下來的10年中,將出現三個新的觀念變化,我們已經可以看到其中兩個的前兆。第一個我稱之為「分散化」(deconcentration)。一般用途的電腦將漸被淘汰,由特殊用途的裝置所取代。其中某些裝置,例如iPhone,看似通用,但事實上受到其提供者的嚴格控管。其他的裝置,例如可以連上網際網路的遊戲機或是數位照相機,就是真正的專用裝置了。10年內,大多數的電腦都會是小體積、專門用途,而且無處不在。
即使有些裝置看起來是通用的,它的應用也會越來越具特殊目的。你當然可以用iPhone的網頁瀏覽器來閱讀New York Times的網站,但是使用他們提供的專用 iPhone app會更加容易。隨著電腦越來越小、越來越便宜,這種趨勢會持續下去。使用為特殊用途所設計的硬體與軟體會讓事情更加容易。為了更能掌控使用者體驗,公司企業也會助長此趨勢。
第二個是「去顧客化」(decustomerization, 現在換我來發明一些很醜的字了),這觀念意味著我們大部分的IT功能將來自於非商業性的關係。我們都是這趨勢的一部分:每個搜尋引擎都用他們的搜尋服務換取廣告的機會。不只是Google或Bing,大部分的webmail或是社交網站都用免費的基本服務換取廣告機會,也可能提供收費的高級服務。大多數的網站,就算是那些足以取代客戶端軟體功能的網站,都是免費的,他們要不是非營利的,就是透過廣告來賺錢。
不久,他們所提供的將是硬體。1999年,網際網路新創公司FreePC嘗試用免費的電腦換取觀察使用者瀏覽網路與購物習慣的機會來賺錢。那家公司失敗了,但在那之後電腦越來越便宜了。不用太久,用免費的筆記型電腦或是數位照相機來換取廣告機會也會是個有利可圖的事業。目前已經有公司用長途電話的分鐘數來換取廣告機會。免費的手機也離我們不遠了。當然,並非所有的IT硬體都會是免費的。一些新的冷卻硬件將花費過多的自由,並有將永遠是一個需要集中的計算能力貼近用戶,遊戲系統是一個明顯的例子,但這些將是例外。 有些新的酷炫硬體很貴,用來免費贈送成本太高了,而且還是會有使用者希望把計算能力強大的機器留在身邊(遊戲機系統就是個好例子),但這些都是少數的例外。如果硬體價格過高,無法免費送出,我們將會看到綁約以換得價格津貼的情形出現,就像現在手機販售的方法一樣。
這一點很重要,因為它摧毀了IT公司與他們使用者間所剩的常規商業關係。我們不是Google的顧客,我們是最後賣給他們顧客的Google產品。這是個三方關係,由我們、IT 服務供應商,以及廣告者或資料買家所組成。隨著這種非顧客式 IT 關係越來越普遍,我們可以看到會有越來越多的IT公司將我們視為產品。如果我買了一部Dell電腦,那麼我顯然是Dell公司的客戶,但如果我用介入我生活的機會換取一部免費的Dell電腦,要找出我與何者發生了商業關係就不是那麼容易了。為了滿足它實際的客戶(廣告主)以增加營收,Facebook持續緊縮使用者的隱私權,就是此波趨勢的跡象之一。
第三個觀念上的轉變我稱之為「無人化」(depersonization):片面性或者全面性消除電腦計算中,使用者的介入。 希望看到更多的軟件代理:程序代表你做的事情,如優先考慮你的電子郵件根據您的觀察的喜好或向您發送個性化的銷售公告根據您過去的行為。我們期待看到更多的軟體代理人,也就是那些可以代你處理某些事物的程式,例如根據觀察到的喜好幫你排序email,或者根據你之前的消費行為寄給你訂量身訂製的特價優惠廣告。在零售網站上常見的「喜歡這個的人也喜歡…」功能只是個開端。你會希望有個網站能在你最愛的旅遊地點機票票價低於某個價格時通知你,這種功能雖然簡單,但很實用,實際上有些網站已經提供此類功能。要完整實現這種有智慧的代理人,就要解決一些嚴峻的人工智慧難題,十年的時間並不足夠,即便如此,十年後的代理人技術也夠精密並且普及化了,到時它們就比較不需要使用者的直接輸入。
同樣地,連接物品到網際網路上,也會因為費用逐漸下降而變得可行。已經有相當多的研究投入在有連網能力的醫療裝置、能夠與智慧手機溝通的智慧型電力網路,以及以網路連接的車輛。Nike運動鞋已經可以與你的iPhone通訊了。你的電話早已有辦法通知網路你所在的位置。具備連網功能的家用電器也已經用在某些地方,而且很快地會成為常態。企業將會購入智能溫控系統、智能電梯、還有智能庫存系統。而當短距通訊技術,例如RFID或是藍牙,變得更便宜,一切都將變得聰明。
物品的網際網路不須經由你來通訊。你智慧型住家中的智慧家電會直接與電力公司溝通。你的智慧車將會與道路上的感應器通訊,最終與其他車輛溝通。你的衣服會跟你的乾洗店說話。你的手機會與自動販賣機交談,這在某些國家已經可以看到。這衍生的後果很難想像,很有可能變得比現代報章雜誌上說的還要來得怪異與失序。當然這些智慧物件也會跟你說話,但是你可能很難控制他們會說些什麼。
一個舊趨勢「 deperimeterization 」(去邊界化);二個目前的趨勢:「消費端化」(consumerization)和「去集權化」(decentralization);三個未來的趨勢:「分散化」(deconcentration)、「去顧客化」(decustomerization)和「無人化」(depersonization)。這就是2020年的IT,這不是由你所控制,它在你不知情或是沒有你的批准下做事,而且不一定根據你的最佳利益來行事。這就是事情照這樣下去會有的樣子,我甚至還沒提到壞人呢。
這是因為 2020 年的I安全,將比較少關注在保護你不被傳統的壞傢伙所害,而是保護公司企業的商業模式不受你之「害」。去邊界化假設每個人都不可信,直至證明並非如此。消費端化,要求網路假設所有的用戶設備都是不可信的,直至證明並非如此。如果你能破解設備並執行未經授權的軟體或存取未經授權的資料,那麼去集權化和分散化只是空談。除非你無法繞過廣告或是廠商用來賺你錢的任何方法,去顧客化也無法實現。而無人化要求那些自動裝置要自力更生,這本身就是個難處。
10 年後的 2020 年,根據Moore’s Law的預測,電腦將比現在還要強大100倍。這將以人類無法想像的方式改變事物,但我們知道,人性永遠不變。Cory Doctorow正確地指出,所有複雜的生態系統中都有寄生蟲。社會中傳統的寄生蟲是罪犯,但在這裡我們需要更廣的定義。當使用者失去對這些系統的控制權,當IT供應商根據他們的目的來行使這權力,「寄生蟲」的定義將會有所轉變。不管是嘗試要偷光你銀行存款的罪犯、破解電影工作室施加在電影上版權控制的電影觀眾,或是想要不看廣告或是不放棄他們隱私的Facebook服務使用者,這些寄生蟲都會試著從IT系統中得到好處。他們一定會存在,就像過去一樣,然而今日的安全機制將很難追得上他們。
歡迎來到未來。公司將使用技術性的保障措施,輔以法律保障措施,來保護自己的商業模式。除非你是這個模式的使用者,否則你就會是寄生蟲。
Source webpage: http://www.schneier.com/crypto-gram-1101.html
Leave a Reply