:::

寰宇韜略

【寰宇韜略】打擊網路駭客 美與盟友合作反制(中)

◎邱榮守(譯)

(接上文)

 美國網路安全的國際作為

 為了實現「美國網路空間國際戰略」的目標,美國將建立一個健全的網路環境,律定責任行為規範來指導國家的行為,維持夥伴關係,和落實網路空間的法治管理。這樣的目標值得推崇,但問題是:美國如何實現這種「開放,可交互運作,安全和可靠」的網路空間呢?

 歐巴馬政府呼籲各國共同參與制定國際規範主要目的是基於自由、隱私、財產權、自衛權等原則。雖然這些原則立意甚佳,但由於各國各有不同的價值理念,因此將影響整體運作成效。尤其是,中共或俄羅斯不太可能認同這一系列的規範,包括保護個人隱私權、網路的自由訪問權和智財權。即使在盟友中,隱私權等規範的差異性也會使彼此的合作關係變得很複雜。

 「布達佩斯網路犯罪公約」規範的侷限性即是最好的例證。該公約是網路犯罪方面唯一具有約束力的國際法,主要目的是幫助各國訂定和實施網路犯罪的反制計畫。儘管多數國家已簽署並承諾共同打擊網路犯罪及促進網際網路的自由與安全,但2個可能是網路最大威脅來源(俄羅斯與中共)的國家至今仍未加入該公約。此外,即使一些已通過該公約的國家,也沒有承諾或能夠全面推動相關的規範要求,如烏克蘭即是一個簽署「布達佩斯公約」國家,同時也是網路犯罪分子避風港的典型案例。

 同樣地,美國前國務卿約翰克里和國家安全局長邁克爾羅傑斯海軍上將也主張訂定類似「聯合國海洋法公約(UNCLOS)」的「網路空間國際法」。然其所面臨的最大困境是如何經由仲裁來解決各國的爭議,以及仲裁結果能否被確實地遵守。過去10多年來,美國一直傾向採取非對抗的手段並試圖與中共這樣的國家共同合作來打擊網路駭客。時任聯參主席馬丁鄧普西上將和國務卿希拉蕊女士也都讚成要強化與中共的合作,希拉蕊還特別強調:美「中」都是「網路攻擊的受害者」。

 然而,當中共一系列重大駭客行動被公開揭發後,美國政府開始認知到要對惡意網路行為者採取更強勢的威懾行動。2013年,歐巴馬政府公開指責中共對美國公司和政府機構的網路間諜活動;2014年5月,共軍5名成員因網路盜竊被起訴,這是美國首次針對外國政府的網路犯罪採取法律行動。

 歐巴馬政府為進一步有效打擊惡意網路行為者,於2015年頒布第13694號行政命令,允許政府「凍結那些從事重大惡意網路活動者的財產」,這也表明美政府有能力制裁主要駭客、背後支持者,以及駭客行為的受益者。但美國政府並沒有用此行政手段來對付中共,反而與之簽署協議來共同反制網路經濟間諜活動和網路犯罪。

 在2016年美國選舉期間,俄羅斯政府對美國選舉和政治組織進行了一系列駭客行動。事後,歐巴馬政府驅逐俄羅斯駐美的一些外交官和情報官員,同時首次啟動第13694號行政命令來制裁4名俄羅斯人和5個組織。儘管歐巴馬政府已採取步驟來進一步推動美國的國際網路安全議程,但美國對於網路侵略的整體政策與立場,仍有待強化。

 打擊網路犯罪和間諜活動的政策選項

 美國如要在打擊網路犯罪和間諜活動上扮演更積極的角色,則需針對國家權力的所有要素制定一套全面性的政策,手段種類包括軍事、情報、外交、法律、資訊、金融及經濟(MIDLIFE)。在網路空間中,運用國家各種權力手段的政策選項區分2個階段,第1是準備和防禦網路侵略的階段,採取加強打擊網路犯罪方面的全球合作,以及強化與盟友和合作夥伴國家在網絡安全上的合作關係;第2是反制網路駭客階段,透過外交反制、法律和經濟制裁,以及戰略回應來打擊惡意行為者。

 準備和捍衛網路侵略階段

 美國透過「布達佩斯公約」、北約與雙邊關係等志同道合的國家進行網路安全的合作交流。此運作關係的成果包括分享打擊網路犯罪的最佳作為、網路威脅和犯罪訊息的共享、擴大和改善網路犯罪的立法、加強執法和司法合作、引渡網路犯罪分子、網路安全演習,以及相互軍事合作與訓練。現在是美國與那些真正想要打擊網路犯罪和經濟間諜活動等國家,建立更深層關係及擴大行動的最佳時機。美國應該承諾更多的合作和網路資安作為,使現行的網路合作關係更加健全及更具意義。

 改善全球合作來打擊網路犯罪

 基於網路全球化,打擊網路犯罪需要國際合作。如前所述,「布達佩斯公約」是成員國對網路犯罪調查進行合作的主要機制。不幸的是,公約的組織擴展現正面臨瓶頸,而且網路犯罪的核心關鍵國家,如俄羅斯與中共,以及巴西與印度,都可能不會加入該公約。俄羅斯與中共直接受益於大量的駭客行為,因此沒有參與公約的動機。印度和巴西原則上是拒絕加入,因為歐洲等國家在發起該公約時,並未徵詢他們的意見。

 雖然現已有52個成員國,但會員數可能不會再增加了。因此,美國選擇只有2種:和公約成員國進行更深入的合作,或尋求公約組織的擴大。美國除應強化與公約成員國的承諾與合作外,更應採取務實手段來擴充執法部門及打擊網路犯罪的能力,如擴大「主動式識別駭客網路防禦」就是一個成功的合作案例。然有些國家目前是禁止電腦在其國內進行任何未經授權的訪問,這意味著主動式防禦技術使用是非法的,儘管他們在識別駭客上可以提供相當地助益。

 將「信標」置於檔案文件上,當文件被偷時,信標會將數據自動回報,並告知誰的文件被盜取及目前所處位置。這些數據對執法部門雖然非常有幫助,但信標如未經授權而直接訪問駭客電腦的行為是違法的。因此,本來是要防範駭客非法入侵的法律,反而成為駭客的保護傘,美國應該與盟友一起解決這種不合理的現象。

 美國在加強與夥伴國家對抗網路犯罪的另一方式,是將「打擊跨國犯罪組織(TCO)」、「敲詐影響和腐敗組織(RICO)法」和「金融行動特別工作組(FATF)」等手段擴大運用到網路犯罪組織上。「布達佩斯公約」成員國可以成立一個類似FATF的組織,監督成員在共同打擊網路不法情事的運作情況。對那些不想加入「布達佩斯公約」的國家,可以鼓勵他們採取額外措施來協助其他國家打擊網路犯罪。(待續)

友善列印

相關新聞

熱門新聞