如今,網絡空間已經與陸、海、空和太空並列成為美軍的第五戰場。而特朗普政府最近發佈的國家安全戰略中將大部分衝突領域外包給第三方私營企業,這就使美國更易受到外國的攻擊。因此,美國《外交政策》雜誌刊登《In Cyberwar, There Are No Rules》一文,分析並強調了網絡戰沒有規則,更不存在“公平競爭”的殘酷特點,並列舉了不同領域若干真實案例;最後呼籲美國儘快建立信息安全的相關法律。現由學術plus編譯全文,僅供參考。文章版權歸原作者所有,觀點不代表本機構立場。
網絡戰,沒有規則
世界迫切地需要日內瓦數字公約
來源: https://foreignpolicy.com
網絡戰最令人恐懼的地方就是具有針對性:敵人可以跨越國界攻擊一個人、一類人、甚至一個區域或一個國家。
如今,網絡空間已經與陸、海、空和太空並列成為美軍的第五戰場。截止目前,美國政府已經在網絡安全方面開展了很多工作。特朗普政府最近發佈的國家安全戰略中將大部分衝突領域外包給第三方私營企業,這就使美國更易受到外國的攻擊。
因此,圍繞網絡安全不斷增加的恐懼、不確定性和懷疑導致我們已經無法分辨網絡中哪些事情已經發生,哪些事情還沒有發生。網絡戰的本質是不對稱的 。單個戰鬥人員就可以在國家和國家規模公司的大規模防禦中找到一個小的漏洞並利用漏洞發起攻擊。這種攻擊可能不會成為網絡上的珍珠港攻擊,引起美國或其他國家、地區的恐慌。更可能的形式是針對工業控制系統、交通網絡和醫療保健提供商等的普通攻擊,因為這類基礎設施從安全性上講都已經過時了,存在很大的網絡安全風險。更糟糕的是利用一些漏洞可以使用數字工具對公眾輿論和選舉結果進行無形地操縱,例如有針對性的廣告和使用deepfake技術製作的偽造領導人的圖片、音頻和視頻。
軍事和網絡安全從業人員都認識到:
即將到來的攻擊是不可預測的,但目前的預防戰略有個明顯的缺陷,那就是認為“傳統戰爭規則也可以擴展到網絡空間中”。然而,網絡戰的規則並不是我們已經習慣傳統戰爭中的規則,公平競爭恰好不在網絡戰的規則中。而且,這些規則對於精通常規戰爭的將軍來說並不容易直觀地理解。因為網絡戰不會在通知了相關的技術部門之後再爆發,所以這是一個關鍵的問題。比如,最近谷歌就撕毀了與美國國防部AI相關的合同,微軟也停止了美國移民局和海關的辦公軟件合同。目前只有政府和跨國公司正在制定規則,但他們也沒有提出“全球公認的戰爭行為”確切的定義,然而給出定義也只是防止這種違法行為的第一步。
美國軍方給出的最接近的定義是:根據具體情況對“造成重大後果的行為”進行審查,其中部分評估工作可能需要國會參與。但考慮到網絡攻擊破壞關鍵基礎設施的速度,期望國會能夠及時做出有效回應是不現實的。網絡行動中還可能有附帶其他嚴重傷害的風險。儘管在美國批准網絡行動之前會進行傷害評估,但明確還沒有國際協議要求其他權力機構採取類似的措施。
2014年針對美國的一次重大網絡攻擊是一個例子——索尼影業被黑客攻擊,該事件說明了非政府組織和公民如何承受這類網絡行動的攻擊。幾乎所有的網絡安全專家、聯邦調查局都認為這次攻擊來源於朝鮮。朝鮮攻擊了美國的民用目標(區別于軍用目標,索尼影業),意圖破壞其穩定運行,攻擊活動最終取得了成功。索尼影業應對此次攻擊的成本超過1億美元,如果將這個成本轉換為傳統戰爭帶來的破壞,相當於對德克薩斯州油田或阿巴拉契亞煤礦產生了物理性地破壞。如果這類高價值民用資源被外國勢力故意攻擊,那將被視為戰爭行為。未來,像索尼被黑這樣的攻擊可能會大規模發生。現實生活中有無數的漏洞可能會導致大規模傷亡,但是沒有成文的規範或規則來定義如何對這樣的犯罪進行處罰。
航空業屬於安全防護比較脆弱的部門之一。一家歐洲飛機制造商每週會清理一次飛機駕駛艙的安卓惡意軟件。但飛行員可以通過智能手機UBS連接的方式將惡意軟件傳播給第二個、第三個飛行員。飛機上還佈滿了計算機病毒。在這樣惡劣的網絡環境下,即使技術不夠成熟的黑客也能夠對系統造成嚴重破壞。一個發送到給空中飛行員的國家安全告警或重新安排飛機這樣的消息都會導致緊急著陸和大範圍的恐慌,因此更復雜的攻擊可能會導致更嚴重的後果。
美國的醫保系統的操作系統的醫療設備也普遍存在老舊過時的問題,因此根本無力應對常見的網絡入侵。一些小型醫院甚至無法定期更換醫療設備,而設備供應商為了銷售更新的設備可能並不會對原來的設備進行安全更新。
這是一個很關鍵的問題,因為現在許多的外科手術都是由機器人輔助完成的,而醫院很難保證這些設備的安全。對使用機器人手術設備的醫院發起的網絡攻擊可能會導致機器人手術設備發生故障,導致病人受到致命的傷害。
如果一個國家或恐怖組織決定對一名正在坐在醫院進行機器人輔助手術的美國參議員進行攻擊,然後抹掉相關記錄,那麼肇事者的身份將很難確定,而且美國也沒有將醫療設備被黑客攻擊分類為暗殺或戰爭行為的法律先例,同時沒有明確的報復協議。
最近,克利夫蘭的一個用於胚胎的冷藏設施因為未能注意到其儲存罐上的遠程可觸及警報已關閉,導致超過4000個冷凍卵和胚胎的損失。許多工控系統的運營商從不修改系統的默認密碼或安全憑證,這使他們極易遭受勒索攻擊。甚至有些政府醫療部門官員認為攻擊者不會故意攻擊冷藏胚胎的基礎設施。隨著諸如冷凍卵等技術的應用在富裕(發達)國家變得越來越普遍,這種簡單的攻擊可能會越來越多。
外國士兵拿斧頭到製冷劑罐摧毀4000個冷凍卵和胚胎,和士兵從6000英里外使用鍵盤遠程關閉設備的溫度維持協議來摧毀4000個冷凍卵和胚胎本質上是沒有區別的。這兩種行為在道德層面上同樣令人髮指,可能有人會認為後者只會出現在科幻小說和電影中,但事實並非如此,類似的事情正不斷在現實中上演。
網絡攻擊正在不斷髮生,不過普通民眾並不會注意到。公眾對網絡安全的許多困惑和恐懼主要來源於身邊的一些歪曲事實的宣傳。
技術和網絡空間的變化速度之快,遠超過立法和談判的速度。定義和評估針對美國的網絡戰的問題在於:在涉及到定義“illegal cyberact”(非法網絡行為/網絡戰)和信息安全研究人員的計算機操作方面,沒有明確和穩定的法律。
美國大多數信息安全研究的法律地位不明確,主要是受到1986年計算機欺詐和濫用法案(Computer Fraud and Abuse Act , CFAA)的管轄和限制。CFAA是一份飽受詬病的法案,因此產生了一些不必要的恐慌。
這些信息安全研究方法包括使用Nmap(計算機網絡發現和映射工具)或Shodan(物聯網上的設備的搜索引擎)之類的工具進行網絡掃描。但這種網絡掃描並不屬於入侵活動,只是找出系統中有漏洞不安全的地方。解決這一問題最快的辦法就是推翻CFAA,鼓勵從事預防性研究的網絡安全研究人員。CFAA的限制阻止了許多信息安全研究人員進入網絡安全行業。這導致美國政府嚴重缺乏頂級的信息安全專家。而且美國缺乏一個可行的立法計劃來增強其基礎設施應對網絡攻擊的能力。
所有應對網絡攻擊的防禦措施都應遵循基本的美國基礎設施設計原則:戰略家規劃、技術人員執行、專家檢查。原作者所有,觀點不代表本機構立場。
網絡安全應該屬於基礎設施預算中的一項。基本的網絡安全措施應加入各級組織的預算中,比如升級加密、測試數據丟失時的恢復能力以及適當用戶訪問的例行審計。當發生事故時,應該 由具有監管權限的審計員和事故響應人員進行檢查,就像由國家運輸安全委員會(NTSB)處理涉及航空公司的重大事故一樣。
然而,目前美國缺乏專門處理網絡安全事件的機構。由於政府缺乏專業知識,因此過度依賴安永、普華永道、德勤等第三方公司來處理這類工作。如果美國政府無力對重大網絡事件進行事後分析,那麼公民就應該問為什麼,而不是讓立法者將工作交給承包商。政府在應對重大網絡攻擊事件時需要的是訓練有素的政府分析師,而不是會計師和律師。有一些專家提出了有關信息安全和最佳實踐的可靠建議。但是,政府部門的網絡人才在不斷地流失而不是被更高級的人才替代。
總的來說,網絡防禦是一個持續的漏洞發現和修復的過程,因此需要大量的致力於保護人民安全的網絡人才,人才的數量應該要比海豹突擊隊更多。在網絡防禦中,要抓住重點,就像木桶原理一樣,改善網絡安全
中最低安全標準的基礎設施,才可以最有效地進行防禦。《中國電子科學研究院學報》歡迎各位專家、學者賜稿!投稿鏈接
http://kjpl.cbpt.cnki.net
學報電話:010-68893411
學報郵箱:[email protected]
閱讀更多 信息與電子前沿 的文章
