:::

寰宇韜略

給美國第45位總統的網安政策建議(中)

◎邱榮守(譯)

(接上文) 

 一個不同且更困難的網路安全環境

 自2009年以來,網路安全環境已經改變,政府政策應該隨之調整,特別是在國際交往的領域。美國的影響力正遭到侵蝕且區域內已出現有自信的挑戰者,如俄羅斯運用網路的手段令人印象深刻及擔憂。近年來發生的重要事件有:北韓及伊朗分別駭入索尼公司及金沙賭場、中共駭入人力管理辦公室(OPM),這也顯示愈來愈多的駭客正在使用網路工具來對付美國。

 國際安全形勢的惡化,意謂著新任政府將持續面對:網路犯罪與間諜活動所造成的損失、個人訊息與公司資料的威脅、網路行為的政治壓迫及關鍵基礎設施被中斷或攻擊的風險。我們所面對的潛在對手已具備網路攻擊能力,且正積極測試其網路行動能力的極限。他們利用互聯網來挑戰美國並製造數位恐嚇行動,如北韓、俄羅斯、伊朗及中共,都已對美國的網路進行弱點掃瞄分析並發現可以開發利用的重要情資。

 索尼公司被駭以後,歐巴馬政府雖成功地重新建立網路防衛機制,然我們的對手已經發現方法來對付美國的威懾手段且正在擴大運用。當我們最先進對手運用管道入侵公司或機構的網路時,它們幾乎無法被阻止或甚至被偵測。同時,俄羅斯在網際空間的積極行為已告訴我們,利用網路資安漏洞不僅可以竊取資料;網路間諜的活動範圍已開始產生變化。2015年「習歐峰會」對於商業網路間諜所簽定的協議,似乎已明顯降低中共商業的間諜活動,但在政治與軍事上的間諜活動仍是有增無減。

 2013年「史諾登事件」改變網路安全的全貌,亦損害美國在網際空間的領導地位與合法性。此事件凸顯隱私權被侵犯後的嚴重後果,各國亦加強對國家網路主權的控制。

 這不是互聯網的「巴爾幹化」,但國家對於隱私、安全與內容的規範將逐漸延伸到網際空間。這種主權控制的擴張,如果不以相互合作的方式來運作,必將損及所有國家線上產品暨服務的生產與運用。

 與外國對手打交道

 網路安全戰略不同於個別網路的防禦作為,其主要關鍵是在於改變對手的行為。美國應與志同道合的國家建立打擊網路犯罪的合作機制,及透過互動交往來改變對手的行為。要改變我們對手、國家與非國家者的行為,美政府高層需要以前所未有的謹慎及持續性的態度達成此任務。

 我們必須能夠勸阻最危險攻擊者並迫其遠離美國的目標。然而,這不是使用軍事報復的「傳統」嚇阻。美國網路安全戰略作為,必須由政府運用所有的手段來達成勸服或壓迫對手的效果。在此方面,軍事手段只能扮演輔助的角色,因為我們必須全方位運用公民營組織的力量(包括創新、經濟影響力、制裁、指控及相關反制措施)來對抗敵人。

 在2009年,我們認為網際空間負責任國家行為規範(配合信心建立措施)的全球性協議,可以增進網際空間的穩定及降低風險。負責任國家行動規範的制定,是美國國際網路安全戰略的核心要素。然而,協議規範本身不是萬靈丹,其亦無法完全改變對手的行為及達到降低風險的效果。更重要的問題是,如何確定協議規範的有效性?對手是否會簽訂規範協議?

 規範的有效性必須從對手的後續行為來檢視評估。同時,我們亦需考量義務性規範的實用性,美國現行做法是確保各國自願遵守一般性的規範(由各國政府專家組成的聯合國小組所訂定)及在國際法和國家的運作框架下嵌入網路安全的要求。再者,現已是考慮簽訂約束性協議的時候了,正如同我們在冷戰時期所簽訂的武器使用限制協議。

 目前,此種協議尚未獲得任何國家的支持。一個正式協議的有效性及義務性規範的實用性,主要是取決於各國願意遵守的程度。網路安全的效益驗證較其它領域更加困難,但它不是做不到的。

 真正的難題不是驗證,而是當我們發現作弊情事時要如何處置的決策。預推作弊或網路攻擊可能產生的後果,並將這些結果讓全世界知曉,就與運用規範或協議來重塑敵手行為是同樣的重要。

 新政府需要面對的問題

 如果我們可以評估行動可以產生的風險,我們就可以據此來規劃明確的網路安全任務。在網際空間的風險行為有三種:攻擊、間諜活動及犯罪。間諜活動及犯罪是經常發生,但真正的攻擊行為很少見。間諜活動與網路犯罪的高發生率所反映的事實就是大多數網路的防禦力薄弱且易於被滲透。間諜活動主要是透過國家或其代理人來執行,然而間諜活動與網路犯罪的界限不易劃分,尤其是當一個國家行為者因商業目的而竊取資料時。

 網路攻擊與間諜活動的界限亦是模糊不清。當美國主要對手(俄羅斯、中共、伊朗及北韓)用網路行動來入侵國內目標時,這些行動雖未達到國際規範與實務可以動用武力的門檻,但其已妨害到美國的政治獨立。索尼公司、金沙賭場及民主黨全國委員會(DNC)被駭事件,正代表嚇阻與網路防禦失敗的象徵,亦是網路安全脆弱程度的指標。

 網路犯罪盛行,也反映了我們主要對手拒絕以國際法或相關規範來解決此問題的意願。根據研究報告指出:網路犯罪及智財權遭竊,造成美國每年約1千億美元的損失,全球損失約為4500至6000億美元。不願接受法律規範或依各國法律來取締制裁網路犯罪行為,是網路安全戰略所面臨的最大挑戰之一。還有,我們不能期待間諜活動的終止,但是我們可以強化防禦作為來降低其成功機率,和增加對手的風險來降低發生頻率。

(待續)

友善列印

相關新聞

熱門新聞