查看原文
其他

从wifi奠基人到网络间谍:网络安全需要女性力量

Nature自然科研 Nature自然科研 2019-05-25

原文以Cybersecurity needs women为标题

发布在2018年3月26日的《自然》评论上

原文作者:Winifred R. Poster, 美国密苏里州华盛顿大学的国际事务讲师

威妮弗蕾德·R·波斯特表示,保卫网络安全需要的技能和经验不只来自人们刻板印象中的男性黑客和士兵。

电脑黑客入侵现象正变得越来越普遍,越来越具有破坏性。黑客攻击政府机构、政治竞选办公室、金融机构和大公司的头版头条新闻屡见报端。公民和消费者为此付出了沉重的代价。2016年,20亿人的个人信息被盗,其中包括超过1亿美国人的病历。黑客通过入侵Target这样的美国零售店和Equifax等全球信用公司,窃取了数亿客户的私人数据。在过去的6年中,黑客通过身份盗用从美国消费者处窃取了超过1070亿美元的资金。

网络间谍夏侬·罗斯米勒在极端主义聊天室中扮演伊拉克和阿富汗男性武装分子,以找出武器藏匿地点和轰炸区域。

来源:David Howells / Corbis / Getty

网络犯罪增加了不平等的现象。2014年,身份被盗的美国女性比男性多一百万人。非裔和拉丁裔美国人沦为债务或收入相关诈骗受害者的可能性平均比白人高两至三倍。而相比于男性,成年女性和年轻女孩更有可能成为“远程性虐待”的目标——被强迫在网上发布裸照或在网上受到骚扰。


安全技术也不利于女性和其他少数群体。例如,生物面部识别系统难以识别女性和有色人种的脸部。相对于其他乘客,机场安全系统会不成比例地标记黑人女性,安检员会更多地对这一群体进行光身搜查。

来源:2017年全球信息安全劳动力研究

网络安全人员的职责是保护数据库、软件系统和计算机网络免遭异常访问、篡改或破坏,男性在这一行业中占据主导。在全世界范围内,女性仅占这类专业人士的11%,而在北美地区,女性仅占14%(请参阅“网络安全行业的女性”)相比之下,女性占美国劳动力的57%。即使是和网络安全行业现状相似的姐妹行业,这一比例都更会高一些:美国女性军人占15%,信息技术行业女性占25%(见“姐妹行业”)。到2020年,除了已有的320万从业者(其中近75万个在美国)之外,全球还有200万个网络安全工作岗位空缺。

来源:国家妇女技术中心/皮尤研究中心/ ISC2 / Frost&Sullivan

网络安全的未来取决于其吸引、留系女性及促进女性职业发展的的能力,女性代表了高度熟练和未被充分利用的资源整个行业还需进一步了解女性作为网络犯罪受害者的经历,以及需要采取什么措施来解决伤害不平衡的问题。


我想在此强调网络安全行业应该采取的四种方式。


四项重点

承认女性的贡献。女性从事网络安全工作已经有一个世纪的历史。然而,她们的许多故事都因为工作保密性、战时环境特殊性,或因男性同事的故事被捧为焦点而湮没无人过问。

 

在第二次世界大战期间,美国雇佣了1万名女性作为“密码女孩”来破译日本人和德国人发送的密信。英国同样雇用了7000多名女性在英国密码分析中心布莱切利公园工作,约占全部工作人员的四分之三。1942年,演员兼发明家海蒂·拉玛申请了一项信号加密技术的专利,该技术用于向鱼雷发送信号,它奠定了今天WiFi和蓝牙技术的基础


伊丽莎白·史密斯·弗里德曼帮助美国联邦调查局(FBI)发明了密码学。20世纪40年代,她的技术成功摧毁了一个国际间谍网络,解码了三台纳粹恩尼格玛密码机 (Enigma machine),并为中央情报局的前身(注:美国战略情报局)的早期工作做出了贡献。然而,在战争结束后,她成就卓著的密码破译部门却被叫停,她的功劳被安插到许多男性身上,其中包括她的丈夫威廉·弗里德曼和联邦调查局局长J.埃德加·胡佛。事实上,胡佛在1924年开始担任联邦调查局前身机构(注:美国调查局)的局长时,就表现出对该领域女性的全然敌视,他解雇了所有女性特工,并禁止进一步招募女性担任这些职务。


世界上的第一批程序员是女性,在20世纪40年代,她们手动计算武器轨迹,并将数据输入宾夕法尼亚大学的电子数字积分计算机(简称埃尼阿克)。事实上,“计算机”这个词最初指的并不是那台机器,而是指编程的女性。此外,另一群女性开发了世界上第一种编程语言、检测计算机系统遭入侵的方法以及通信中心之间的网桥。20世纪50年代,美国宇航局的美国黑人女数学家们计算出了将人送上月球上的航空轨迹。计算机科学领域的女性比例持续增长,直到20世纪80年代中期,那个年代迎来了个人计算的曙光,而女性从业者的数量也开始急剧下降。如今只有约18%的美国计算机科学从业者是女性,而1984年是37%。


即便如此,在过去十年中,女性在美国国家网络安全领域还是担任了重要职位。特丽萨·培顿是前总统乔治·W·布什主位白宫期间的第一位女性首席信息官。2009年,前总统奥巴马任命梅丽莎·哈撒韦为他的首位“网络沙皇”,担任国家安全委员会网络空间代理高级总监一职。利蒂希娅·朗是第一位领导美国主要情报机构的女性,她从2010年到2014年担任国家地理空间情报局局长一职,帮助提供了卫星、地理和社交媒体数据,推进了本·拉登的抓捕进程。珍妮特·纳波利塔诺在2009年到2013年间担任国土安全部(DHS)的主管,而自2017年起,柯尔斯顿·尼尔森开始担任这一职位。此外,DHS首席网络安全官员珍妮特·曼弗拉领导调查了俄罗斯黑客在2016年美国总统大选前入侵美国选民登记名册的事件。

美国宇航局数学家凯瑟琳·约翰逊在做载人登月的计算工作。

来源:NASA / Donaldson Collection / Getty

领导力至关重要,因为它决定了安全技术和策略的方向。2009年至2012年间,雷吉纳·杜甘出任美国国防高级研究计划局(DARPA)的第一位女性局长,该机构旨在帮助开发互联网和全球定位系统。她手中的优先事项包括机器智能、柔性机动的变形装置,以及使用脑波测绘进行无言语交流的军事“读心术”。杜甘一直在谷歌和Facebook上运行技术程序。2008年至2012年间,莉萨·波特作为“DARPA间谍部门”的创始主管,负责情报高级研究项目活动(Intelligence Advanced Research Projects Activity)。她领导了对量子计算、生物指纹识别和隐形装置的研究。


除了白人女性在这些职位上占据一席之地,有色人种的女性代表也在逐渐进入这一行列。奎森斯·菲利普是一名美国黑人,她当选为纽约市网络指挥部首席信息安全副官。印度计算机科学家安查尔·古普塔如今在Facebook担任安全总监。


其他女性扮演的则更多是地下角色,如网络间谍。前法官香侬·罗斯米勒在2001年9月11日的恐怖袭击事件后,为FBI收集了全球在线情报。她通过在伊拉克和阿富汗的极端分子聊天室中扮演男性武装分子,曝光了200多次武装行动中的武器库、轰炸区域和恐怖基地的位置。事实上,35%的情报从业者是女性。


与此同时,还有像金伯利·里特这样的网络侦探从事着打击网络性交易等犯罪行为的工作。里特的工作给了计算机科学家以启发,为此开发一款名为Traffickcam的应用程序,使公众可以将酒店房间的照片上传到数据库。通过将这些图片与招妓广告中的图像进行匹配,执法机构可以更精确快速地追踪受害者及人贩子的位置。


然而,仅仅打破玻璃天花板还远远不够。我们还需克服制度障碍


认可多元专业知识技能。尽管网络安全职位的女性应聘者并不多,但她们的受教育程度往往高于男性。女性从业人员更有可能拥有硕士及以上学位(在全球范围内,女性为51%,男性为45%)。女性也倾向于带来更广泛的专业知识。尽管女性和男性员工都受过大量的计算机科学及信息和工程训练,但女性的学位更多来自商业、数学和社会科学等领域(女性为44%,男性为30%)


这一点至关重要,因为网络安全工作需要不同的技能。专业人员必须了解网络安全、风险消减和信息保护,并为将来的人工智能、机器学习和虚拟现实映射活动做好准备。他们需要管理项目、熟悉法律和合规守则,他们的工作还可能涉及从医疗保健到执法等行业或部门。


但是,科学、技术、工程和数学(STEM)领域以外的培训通常得不到回报。大多数网络安全雇主优先考虑计算机科学或工程背景,但是即使是一些大型科技公司也在改变他们的观点。2011年,微软联合创始人比尔·盖茨贬低文科教育。现在,微软总裁布拉德·史密斯认为,这样的培训对计算的未来至关重要,特别是人工智能。谷歌高管在分析完员工数据后,震惊地发现STEM专业知识是与员工成功相关的最不重要的因素。相反,诸如优秀的指导能力、解决问题的能力或者批判性思维等因素则排名较高

20世纪40年代,费城宾夕法尼亚大学电子数字积分计算机(ENIAC)的女程序员。

来源:美国军方

停止性别歧视。与网络安全密切相关的两个领域——IT和军队——都深受歧视女性的文化的困扰。


IT行业敬畏黑客人物——通常独来独往的男性白人,他们整夜工作,放弃了自己其它的生活空间。有些员工可能会对这种形象产生共鸣。尽管劳动力已经呈现多元化的趋势,雇主们仍经常将性别和种族作为招聘和晋升的标准。正如民族数学家罗恩·厄格拉什在2002年所说的那样,这种基于种族和性别而对黑客产生的刻板印象正面临着一些新兴团体的挑战,如“黑人极客、亚裔美国嬉皮士和极客女孩”等。

 

性别歧视态度在硅谷也很常见。2017年,谷歌一名男性员工泄露了一份备忘录,文中称女性从生物角度而言不适合从事技术领域工作。根据2017年在打车公司Uber总部(旧金山)的一项调查显示,Uber收到了200多起来自员工的性骚扰、歧视和不当行为的投诉。美国联邦政府已针对存在性别化工资歧视的科技公司提起诉讼。

 

士兵形象植根于军事传统。据报道称,网络安全行业的女性常常与由前情报机构人员和军官组成的“老男孩俱乐部”一起工作。招聘信息上写着需要“忍者”和“网络战士”这样的要求。网络安全的语言反映了捍卫网络免受入侵者威胁的精神。相反,信息安全的概念——以创建安全有效的系统和保护使用者为中心——则更好地描述了这项工作的内容,并且会吸引更广泛的领域的从业者,包括女性。


众所周知,在网络安全会议中,男性占多数,在行为方面超男性化。女性可能只占百分之一。两个规模最大的网络安全会议DEF CON和Black Hat在内华达州拉斯维加斯举行——这是一个长期与物化女性关联起来的城市。参会的女性曾向学者和同行描述了自己遭受男性与会者质疑的经历,被问是不是秘书或妓女。


这种影响是显而易见的。全球网络安全中有一半以上的女性(51%)表示她们经历过性别歧视,而男性则为15%。这种歧视有时是公开的,但更多情况下是不明显的——通过装点门面,无意识的偏见,放大错误,否定和延迟职业晋升等方式体现出来。女性和男性网络安全员工的薪酬差距为3-6%。这比计算行业的28%的工资差距要小得多,但这种损失会在职业生涯中越积越多。在过去几年,女性管理者在这方面与男性管理者的差距已经扩大。


技术领域的女性离职率比男性高。每年,美国公司因性别、种族、性倾向或宗教偏见而流失和再聘用专业人员的成本约为640亿美元。


认识到妇女和女孩是网络犯罪的主要目标。2008年,美国女性遭遇身份盗窃的可能性比男性高26%,通常涉及欺诈性使用银行账户或信用卡。三分之二的受害者遭受财产损失。平均而言,女性比男性要花费更多的时间来注意到受害情况:83天和45天。部分原因是男性更有可能在网上处理银行业务和网上购物,因此可以在几个小时内收到自动通知——这要比在每月财务报表中发现未经授权的交易所用的周数快得多。美国的女性也比男性的生活更加贫困,对网络安全服务的投资、冻结信用评分或聘请律师的能力较弱。


诸如“性勒索”一类的网络犯罪主要针对妇女和女孩。例如,犯罪分子欺骗受害人,使用包含软件病毒的电子邮件访问她们的计算机。犯罪分子可以在硬盘上搜索照片或使用摄像头监视女性受害者。然后,他们威胁要在儿童色情网站上发布她们的照片和视频,强迫其进行进一步的性活动,从而达到勒索目标。这种勒索可能会持续多年,因为图片可以永久保存在多个平台上。一名犯罪分子可能有数百个受害者目标。例如,在2016年以来提起诉讼的78起涉及性勒索的刑事案件中,出现了6500多名受害者,涉及52个司法辖区(美国和国际辖区)、美国29个州或属地和3个其它国家。


人们通常被认为犯罪的实施者是陌生人。事实上,女性的配偶、男友或家人经常是导致出现安全漏洞的元凶。犯罪分子通过密钥记录设备收集密码或强迫受害人交出密码。线上网络技术的误用与线下的性虐待直接相关。在一项全国调查中,97%的美国家庭暴力庇护所报告说,他们的女性客户受到技术骚扰。


下一步

网络安全行业需要更多地接受女性力量,对女性的加入表示欢迎。中小学和大学应强调该领域的创造力和现实应用。应该鼓励年轻女性和女孩参加到技术推广的项目中来,例如旨在增加女性在计算机科学与工程专业中的数量的“写代码女孩”项目。在另一项倡议中,美国女童军组织正在将网络安全作为其技能徽章项目之一。


媒体和会议组织者应邀请女性专家和演讲者。合适的人选有很多:在一年一度的格雷丝·霍普计算机女性峰会上(以第一位女编码人命名),约18000名女性技术专家共聚一堂。WiCyS和戴安娜倡议(Diana Initiative)规模较小,但聚焦在更细分的网络领域,同样也推动了网络安全中的女性力量的发展。

 

雇主应制作和发布具有包容性措辞的招聘广告,并寻求计算机科学和军事领域以外的求职者,例如社会科学、人文学科、法律和公共政策。招聘人员应该采用多元化的选拔标准和不分性别的简历筛选方式。雇主应成群雇用女性员工,以避免女性被孤立,或造成只是为了装点门面的刻板印象。

 

留系女性员工需确保她们拥有公平的职业发展通道。雇主应该在评估、晋升和薪水方面做到性别平等。一些公司已取得了进步。安妮塔·博格学院列出了对女性技术专家友好的公司名单,2017年表现突出的有埃森哲、盖可保险和思特沃克等公司。

 

研究人员需要尽快回答网络安全领域内的性别问。例如,零售和信贷公司如何可以更好地保护女性免受黑客和身份盗窃的影响?如何防止家庭成员获取密码?区域差距也需进一步加以考察。例如,尽管工业化水平类似,但是欧洲从事网络安全行业工作的女性(7%)比北美(14%)少。印度女性计算机程序员的毕业率(30%)比美国(21%)要高。


网络安全专业人员和组织需要建立伙伴关系,以了解受网络犯罪影响的人员的类型。在美国,这样的组织可能包括国家反家暴网络、全国有色人种促进协会、UnidosUS(一个非营利的拉丁裔倡导组织)、联邦贸易委员会和消费者金融保护局等。


应该反思网络安全的目的和实际保护措施。大量的资金、技术和资源往往被分配给可能效率低下且效果适得其反的命令和控制策略。强制安装安全补丁和加强对消费电子产品的隐私保护等常识性解决方案会更简单,更便宜和更有效。


安全系统必须平等地保护每个人。接受、吸引、训练和留系信息安全研究、商业和管理等多元领域的学者和技术人员正是值得努力的方向。

Nature|doi:10.1038/d41586-018-03327-w

点击“阅读原文”阅读英文原文


热门文章

点击图片阅读:减少性别歧视的第一步,可能是让男性承认他们有偏见

点击图片阅读:全世界一半大脑都在女性身上,暗物质之母Vera Rubin常说

点击图片阅读:自然科研与雅诗兰黛推出激励科研女性的全球奖,快来提名吧!



版权声明:

本文由施普林格·自然上海办公室负责翻译。中文内容仅供参考,一切内容以英文原版为准。欢迎转发至朋友圈,如需转载,请邮件Chinapress@nature.com。未经授权的翻译是侵权行为,版权方将保留追究法律责任的权利。


© 2018 Macmillan Publishers Limited, part of Springer Nature. All Rights Reserved

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存