:::

寰宇韜略

【寰宇韜略】維護國安 美打造能源供應防護網(上)

◎賴名倫(譯)

 美國知名智庫蘭德公司近期發布探討美國電網設施資訊安全的研究報告,探索保護國家基礎設施的可行策略。青年日報節譯如下,以饗讀者。(編按)

 前言

 眾所周知,現代生活可謂乃植基於資訊科技的進步之上。然而,資訊設備的多樣化與普及化,也意味著對電力網路的高度依賴。即使是美國國防部(DOD)軍用設施所消耗的電力,也主要依賴商業電網供應,顯然能源設施安全對於維繫國防戰力,已成為絕對優先要務。然而,電網系統不僅存在設備逐年老化與天然災損等風險,也因其龐大管線設備的管理複雜性,而有受到攻擊與損害的可能性。這些因素皆對能否確保電力供應構成重要隱憂,近年2起案例即凸顯其脆弱性。

 首先是2015年12月份,烏克蘭國有電力公司電網在短時間內快速失效,影響20多萬用戶無電可用。事後發現,疑為俄國駭客在長期刺探與測試後,發動攻擊,儘管電網在短時間內暫時修復,但重建資訊設備的相關工程,卻耗時近1年之久,此弱點在2016年12月和翌年6月,再度受到俄國駭客攻擊,致使烏克蘭民眾飽受斷電之苦。

 此外,2018年3月15日,美國國土安全部(DHS)與聯邦調查局(FBI)也發布聯合技術警報,指出由俄國政府支持的網路駭客活動,自2016年起逐年增加,嘗試破壞美國境內電網設施與管理系統。這些案例反應出美國的潛在對手,正尋求以不對稱手段攻擊(民用)關鍵基礎設施與資產,其內容涵蓋各級政府管理系統、私人企業、民間學術單位、銀行金融機構,乃至於水電能源基礎設施。意圖藉此削弱美國的國家安全。

 關注網路攻擊並敦促行動

 對此,美國國會已提高對網路嚇阻的關注,在2019財年《國防授權法》(NDAA)第1636條中即明文指出:「任何由外國對發起的惡意網路行動,都被視為是威脅美國利益之武裝攻擊,尤其若干基礎設施的穩定,對美國的政治、經濟和國家安全至關重要。因此,美國應運用其國家力量,包括運用攻擊性網路機制,在必要時作出具體回應,以確保威懾能力。」這項內容不僅強調網路安全層面,已由國防武力擴及基礎設施層面,更指出國防部必須迅速採取具體行動,以嚇阻對手。

 因此,蘭德公司這份報告,即可說是針對國會關注議題,所發布的首份研究報告,其內容涵蓋3個面向,首先,是電網系統的脆弱性,與相關改善機制之分析;其次,則是探討針對網路攻擊的可行反制方略;最後則檢視國際法與歷史案例,提供一套針對網路戰內容與程度的分析框架,以列舉美國可行的具體政策選項。

 理解電網基礎設施脆弱性

  報告指出,美國電網涵蓋了各種能源生產設施,以及長距離高壓輸電線路,與短距離配電線路,並劃分為美西、美東與德州等3大主要區域電網。此外,也包含多種複雜技術,並由數十個政府機構、3000多家大小型公共和私人企業、5800家大型電廠、45萬英里輸電線路,以及眾多標準和法規所共同構成。美國電網實際上也橫跨美國大陸,與加拿大及墨西哥的電網互連,因此需由涵蓋地方、國家和國際級政府單位和非政府機構等一系列管理維護機構(技術層面),以及政府監管機構(法規層面)負責維護管理,因此其監管機制十分複雜,涉及行為者亦十分多元。

 事實上,國防部採購的能源設備中,約有50%使用電力,而軍事設施更有99%能源需求來自民用電網,這意味著,電網設施與管理機制,並不在其管控與防護範圍中。因此,當民用電網遭遇狀況時,美軍也必定受到衝擊,考慮到多數軍用基地位置偏遠,其必定更為嚴重。

  舉例來說,常見問題包括天然災害、設備故障、操作錯誤,以及外部物理性或網路攻擊等。天災導致的設備故障曾在2003年造成東北區域多達5500萬人無電可用。電網故障也可能造成供水和通訊設施等基礎設施癱瘓,反之亦然。停電必然嚴重損及美軍的戰鬥能力,因此,如何確保水電基礎設施穩定運作,近年來,也成為國防部關注的焦點。

 資料庫界定對手行動模式

 對此,報告首先定義,包括能源在內的16種關鍵基礎設施,並將重點集中於電力、水和通訊設施這3類最重要能源相關類型。在廣泛地研究4種資料庫,包括空軍研究所(AFRI)戰區行動歷史(THOR)、國際戰略研究所(IISS)、戰略與國際研究中心(CSIS)、對外關係委員會(CFR)等資料庫後,報告將威脅對象假定為以國家行為者為主。儘管近年來的許多研究高度關切恐怖攻擊的威脅,同時也缺乏在軍事衝突期間,一般基礎設施遭遇風險的相關研究。但歷史紀錄表明,無論何時與對手為何,支持軍事用途的民用基礎設施已成為重要攻擊目標。如第1次波斯灣戰爭中,伊拉克軍隊於撤退時對科威特油田放火,或是前述親俄駭客對烏克蘭電網,乃至於基礎設施的網路攻擊等,證明基礎設施受到威脅的風險確實存在。

 因此,美國自1990年代起,即由國會立法,為軍事設施運作相關能源改革,提供法律基礎。然而由前文可知,絕大多數民用基礎設施仍在國防部的管控範圍之外。由於這些基礎設施系統複雜,涉及到一系列不同領域的人員、技術與流程的複雜組合,並牽涉到公私領域、政治經濟與法律監管等不同層次。因此,想要完全理解並建立與保障基礎設施運作相關的分析框架與理論,誠屬困難。

 國防部管控與否建立改革標準

 對此,這份報告的重點在於提出一套分類標準,將相關改革策略以「受到國防部擁有或有效管理與否」為標準,劃分為可由國防部權限所管轄規範的「部內管控」,以及需要進一步落實改革的「部外管控」,並在後文中就2類策略的選項難度與具體案例進行分析評估。

 報告也強調,此2類標準所提供的各項具體策略,並不具備單一性,而需要視不同情境與規模,在經過評估後混合採用。實際上,已有許多研究案例提供具體可行的改革措施,與具有高效益的解決方案,藉由研究相關案例,將有助於提出一套標準化的改革策略與流程。

(待續)

友善列印

相關新聞

熱門新聞