美國公布《國家網路安全戰略》: 重點領域與未來發展
2023.03.17
瀏覽數
2525
壹、新聞重點
美國2023年3月4日發布《國家網路安全戰略》(National Cybersecurity Strategy)(以下簡稱《戰略》),由國家網路總監辦公室(Office of the National Cyber Director, ONCD)主導,重點提出五大支柱,包括「捍衛關鍵基礎設施」、「擾亂和摧毀威脅行為者」、「塑造市場力量以推動安全和彈性」、「投資具韌性的未來」,以及「建立國際夥伴關係謀求共同目標」。[1]
貳、安全意涵
一、安內攘外積極打擊威脅並強化監管
揆諸2023年拜登政府的《戰略》版本,延續2018年川普政府側重消除網路威脅與破壞,但強調除美國網路司令部網路攻防行動,針對外國惡意者的持續進攻和防禦網路行動,應動用所有國家工具包括執法行動、制裁和私營部門合作、外交措施和情報行動等其他方式,以助益在網路空間「持續交戰」。惟此前美國側重於以資訊共用、公私部門協力與民間公司自願遵守網路安全指南,作為維持關鍵基礎設施(CI)網路安全方案。如今承認無法阻止外國網路犯罪分子或高階駭客的重大入侵攻擊行動,代表防禦舉措成效不彰。故新版《戰略》宣稱政府將利用現有權力,並與國會合作立法,整合外交、資訊、軍事、金融、情報和執法能力,對美國關鍵基礎設施進行全面網路安全控管,期以填補監管空白。安內(強制性法規監管)與攘外(打擊網路安全威脅)將係主要策略,俾強化公共安全和國家安全。
二、攻防兼備以對抗頭號惡意網路禍害
2018年的《戰略》版本點名俄羅斯、伊朗、北韓對美國選舉的網路干預,另批評中國網路竊取智慧財產權所造成的衝擊,將渠等歸納為兩類不同的網路威脅。2023年的《戰略》版本則將中國、俄羅斯、伊朗及北韓等四個專制國家視為構成對美國網路安全之威脅群體,其中抨擊中國乃對美國政府和私營部門網路構成最廣泛、最活躍、最持久的威脅。結合美國白宮要求聯邦政府機構30天內刪除公務設備上的TikTok,[2] 避免陸企利用網路作為監控美國國家與影響力工具,顯示美國將逐步封殺禁止中國發展網路科技相關新興技術,截斷中國輸出數位威權主義渠道。在烏俄戰爭衝突中,俄羅斯駭客在駭客攻擊、假訊息煽動民心、癱瘓烏克蘭的關鍵基礎設施等網路戰部分尤其明顯,故而美國除重點改善公私部門間的網路保護機制,亦嘗試以合法方式滲透進入駭客群體「臥底」,轉換多元的資安攻防手段,避免再次遭受擾亂性與毀滅性的虛擬攻擊。
參、趨勢研判
一、仍需立法以明確網安責任
烏俄戰爭後,鑒於俄羅斯駭客為報復各國對俄羅斯的經濟制裁,或反擊各國發動的網路攻擊,研判入侵廣為美國各級政府部門和企業使用軟體產品與破壞關鍵基礎設施等網路攻擊,在今後幾年將遽增。而美國曾推動的「Shields Up」資安指引入口網站,彙整近百項可運用的免費網路工具與服務,[3] 提供不熟悉資安的企業自發性運用,或企業管理高層自願性接受建言。美國站在企業利益與國家安全的角度,評估該類自動配合策略已緩不濟急,亟需立即改變嚴陣以待。
由於針對軟體供應鏈的攻擊通常是從最薄弱的環節開始,故而《戰略》思考重新分配網安責任。由於「安全來自最初設計」(secure-by-design),因此目前責任將從以往的個人、小企業和地方政府,轉移到大型電腦業者、軟體開發商與其他擁有必要資源及專業知識的相關機構,並要求軟體產品上市之前,須經過有目的地設計、構建和測試,大幅減少其遭駭客利用的缺陷。且為政府部門提供軟體的公司,首先要交付供應鏈中的「軟體材料清單」(Software Bills of Material, SBOM),從而在源頭便以高規格嚴格控管。為特定醫院、天然氣管道、航空、供水服務等關鍵基礎設施使用的軟體,則需建立更高的安全標準。
這些政策凸顯的趨勢,是責任歸屬從消費者轉移到行業,且唯有通過網路安全稽核流程,並獲得網路安全認證合格的企業,才被允許承辦政府契約。惟網路安全責任轉移牽涉立法,目前共和黨贏得眾議院控制權,且諸多科技巨擘以至商界亦會對政府在網路安全方面加強對民營企業規管有所抗拒,或對拜登政府提出的法案掣肘。
二、促國際協力合作扼殺勒索軟體蔓延
《戰略》將勒索軟體(ransomware)視為駭客謀取經濟和社會利益的國家級攻擊手段,並將其列為美國首要處理的主要問題。在此之前,2022年10月美國召集反勒索軟體倡議(Counter-Ransomware Initiative, CRI)會議,聚集美國微軟(Microsoft)、德國西門子(Siemens)及印度塔塔集團(Tata)共37國13家企業參與,[4] 凸顯藉由國際的科技巨頭合作及資訊共享,辨識及摧毀勒索軟體攻擊的幕後黑手。
2023年1月美國聯邦調查局(FBI)與加拿大、立陶宛、西班牙、法國、美國、英國、挪威、荷蘭、愛爾蘭、瑞典、葡萄牙、德國與羅馬尼亞等13國執法部門,以及歐洲刑警組織(Europol),共同組成聯合執法行動,成功瓦解利用勒索軟體、橫跨80國犯案的犯罪集團Hive,阻擋逾1.3億美元贖金支付。[5] 該舉措顯示擴大全球力量並結合各國資源,提供勒索軟體攻擊的緊急支援,有助增強回應能力,降低受駭後損失,防堵打擊駭客獲利。
鑒於勒索軟體通常針對廣泛企業與關鍵基礎設施部門,包括政府設施、通信、IT、醫療保健與公共衛生,除非支付贖金(通常以加密貨幣形式)否則就無法恢復系統。有感於網攻肆虐並不亞於恐攻危險,目前美國刻積極呼籲讓各參與國制定一套「受全球認可的網路規範」以預防受駭,最終達到在攻擊事件發生前,便破壞勒索軟體與其生態體系,從根源上打擊勒索軟體犯罪威脅。
[1]“FACT SHEET: Biden-Harris Administration Announces National Cybersecurity Strategy,” The White House, March 2, 2023, https://www.whitehouse.gov/briefing-room/statements-releases/2023/03/02/fact-sheet-biden-harris-administration-announces-national-cybersecurity-strategy/.
[2]〈美國要求30天內刪TikTok 加拿大同步宣布禁令〉,《德國之聲》,2023年2月28日,https://reurl.cc/lvZlKE。
[3]羅正漢,〈美國CISA成立「Shields Up」網站列出可行的重點資安指引〉,《iThome》,2022年4月3日,https://www.ithome.com.tw/news/150239。
[4]〈美國主辦反勒索軟體會議 37國13企業參與〉,《中央社》,2022年10月31日,https://www.cna.com.tw/news/aopl/202210310289.aspx。
[5]〈美國搗毀Hive勒索軟體集團,查封其服務器〉,《華爾街日報》,2023年1月27日,https://reurl.cc/WDqvOL。