第16期
壹、新聞重點
美國國防部在2018年9月18日公布〈2018國防部網路戰略摘要〉(Summary of the 2018 Department of Defense Cyber Strategy),兩天後,白宮發表《美國國家網路戰略》(National Cyber Strategy of the United States of America)。美國國防部在2009年成立網路司令部(United States Cyber Command),並於2011年開始提出網路戰略。在2018年的這兩份報告中,美國展現出不同以往的網路戰略思維,整體而言,2018年的網路戰略在基調上遠比過去主動積極,值得吾人加以關注,本文將闡述美國在2018年網路戰略的重要轉變。
貳、安全意涵
美國國防部在2011年的網路戰略目標是「降低風險」(mitigate risk);2015年除了「降低風險」以外,再加入「控制升高情勢」(control escalation);在2018年則認為美國的風險並非來自於在網路上採取行動,而是由於在網路上的不作為(inaction)。因此,最新的網路戰略採取接受風險(risk-acceptant)的觀點,並使用「先發制人」(preempt)以及「獲勝」(win)這樣主動性很強的字眼,這些詞彙不曾在過去的網路戰略中出現過。[1]
一、從全面性嚇阻轉變為針對特定對象的持續競爭稱
在2018年新戰略提出以前,美國的網路戰略是要為所有網路攻擊事件做好回應的準備,這些攻擊可能來自於敵對國家,也可能來自於非國家行為者(non-state actor),例如恐怖組織或個別駭客。簡言之,要保護美國不受全世界任何地方的任何人所進行的個別網路攻擊,因此是全面性的嚇阻(comprehensive deterrence)。
近年來中國網軍不斷竊取美國公、私部門機敏資訊,俄羅斯則是藉由網路散佈不實消息以影響美國民意及干擾民主程序,為了因應這些新的威脅,美國在2018年9月公布的網路戰略。其口徑與2017年12月公布的《美國國家安全戰略》以及2018年1月公布的《美國國防戰略》一致,在開頭就點名中國與俄羅斯對美國及其盟友的繁榮與安全造成戰略威脅,故要與這兩個國家進行長期的戰略競爭(strategic competition)。由於網路攻擊隨時隨地、不間斷發生的特性,網路上的競爭是持續性地每天在進行,因此,美國最新的網路戰略是從全面性嚇阻轉變為針對中國與俄羅斯的持續競爭。
二、由守勢作為轉變為攻勢作為
「前進防禦」(defend forward)的概念出現在2018年4月《美國網路司令部願景》(Command Vision for US Cyber Command)以及〈2018國防部網路戰略摘要〉,這或許是新網路戰略的最大亮點。美國過去的網路戰略強調防護美國政府部門和軍方的網路、以及國內的關鍵基礎建設,而「前進防禦」則是要從源頭去破壞(disrupt)或是制止(halt)惡意的網路活動,甚至包括「未達武裝衝突程度」(below the level of armed conflict)的惡意網路活動,其顯示出來的意義有二:
一是網路防禦的範圍擴大,從2011年以來,防禦的範圍是政府及軍方的網域,但是在「前進防禦」的概念下,美國網路司令部行動(operate)的範圍會進入民間網域,甚至是進入其他國家的網域,才能從源頭制止網路攻擊。二是「前進防禦」要在惡意網路活動抵達美國網路之前就予以破壞,而不是等到被攻擊造成傷害之後再還擊,也就是說,新的網路戰略是當發現惡意網路活動將要進行時,以「先發制人」取代事後被動回應。〈2018國防部網路戰略摘要〉甚至使用「攻擊性的網路能力」(offensive cyber capabilities)這樣的字眼,由此可知,在面臨網路攻擊的威脅時,美國將由原本的守勢作為轉變為攻勢作為。
三、為戰爭做準備
〈2018國防部網路戰略摘要〉結論提到,美國國防部在網路空間除了持續每日競爭、前進防禦外,還要為戰爭做準備(prepare for war),這是過去的網路戰略未曾出現過的說法。發生戰爭是美國國防部對持續與戰略對手競爭結果的預判,其正視並面對這樣的風險,這份戰略摘要即是引導美國國防部將如何準備以在網路領域中競爭、嚇阻、並取得勝利。
參、趨勢研判
一、美國將繼續主導資安聯防之國際建制
在美國過去的網路戰略中,透過國際合作來反制惡意網路活動一直有被提及,但至今並未有具體措施。在最新的網路戰略中,國際合作也再次被強調,不同的是,《美國國家網路戰略》明確指出美國將發起一個「國際網路嚇阻倡議」(International Cyber Deterrence Initiative),與具有相同想法的國家協調合作組織同盟(coalition)。
另外,〈2018國防部網路戰略摘要〉亦提到美國國防部將與國際伙伴合作以落實網路行為規範,並發展「網路信心建立措施」(cyber confidence building measures),可以判斷在不久的將來,以美國為首反制惡意網路攻擊的國際同盟將會成立。由於台灣也面臨嚴重的網路攻擊威脅,必須密切注意所有國際合作的機會並尋求加入。
二、公私部門協作機制將會增強
由於現今的網路服務以及關鍵基礎設施多由民間業者提供,美國這兩份戰略報告都提及要與私部門、企業、及公民社會加強合作並建立伙伴關係,包括人才的發掘與訓練、以及支持研究與創新。《美國國家網路戰略》提及,美國將在全球努力,以「多重利益關係人模式」(multi-stakeholder model)來進行網路治理,對抗其戰略對手以國家為中心的架構。可以預期,未來公私部門協作發展資訊安全的機制將會更進一步加強,這也是台灣發展資訊安全產業的契機。
附表、美國歷年網路安全相關戰略表
日期
|
名稱
|
內容
|
2009年
6月
|
|
成立網路司令部(United States Cyber Command)
|
2011年
7月
|
《國防部網路作戰戰略》(Department of Defense Strategy for Operating in Cyberspace)
|
1. 將網路空間視為作戰空間,以便國防部能設置訓練、組織及設備,並獲得網路空間全面性的優勢。
2. 採取新防禦概念以保護國防部網路和系統。
3. 與其他美國政府機關和民間部門合作,以實施政府整體網路安全戰略。
4. 建立強大的盟國與國際夥伴關係,以加強集體網路安全。
5. 充分運用國家的創新技術與網路人才。
|
2015年
2月
|
《國家安全戰略》
(National Security Strategy)
|
1. 制定網路安全標準,建立打擊和偵查網路威脅的國際能力。
2. 軍隊維持能隨時嚇阻及打擊威脅的能力。
3. 美國政府與民間合作,以加強美國關鍵基礎設施的安全性及恢復的能力。
4. 透過法規約束非法的網路活動,並協助其他國家制定法規,以加強對基礎設施的防護。
5. 為了促進亞太再平衡,不管是中國或其他行為者,將採取必要的措施以保護商業機密及網路安全。
|
2015年
4月
|
《國防部網路戰略》
(The DoD Cyber Strategy)
|
1. 建立及維持隨時可執行網路空間作戰的部隊及能力。
防護國防部資訊網路、資料安全及降低任務風險。
2. 在受到擾亂性及破壞性的重大網路攻擊後,隨時準備防衛美國國土及美國重點利益。
3. 建立及維護可以實施的網路行動和計畫,並運用其行動及計畫控管衝突並適應各種衝突環境。
4. 建立及維護強健的國際盟友,嚇阻共同威脅並加強國際安全和穩定。
|
2017年
12月
|
《國家安全戰略》
(National Security Strategy of the United States of America)
|
1. 確認風險及優先順序。
2. 嚇阻及打擊惡意網路行動者。
3. 加強資訊分享及檢測。
4. 分層部署防禦(美國政府會與企業在網際網路層面合作)。
5. 加強支援能力及對網路安全的責任,以便能快速反應。
6. 加強網路設備及專業知識。
7. 加強整合及靈活性。
|
2018年
4月
|
《網路司令部願景》
(Command Vision for US Cyber Command)
|
1. 達成及維持優於對手的能力。
創造網路空間優勢,以便增強在各領域的行動。
2. 創造資訊優勢以支援作戰結果,以及達到戰略影響的成效。
3. 運用網路空間以便增加靈活性及機動反應。
4. 擴張、深化及善用夥伴關係。
|
2018年
5月
|
《國土安全部網路安全戰略》(U.S. Department of Homeland Security Cybersecurity Strategy)
|
1. 風險評估
目標:評估不斷變化的網路安全風險。
2. 減少弱點
目標:保護聯邦政府資訊系統。
目標:保護關鍵基礎設施。
3. 降低威脅
目標:防止和干擾罪犯使用網路空間。
4. 降低影響
目標:有效的因應網路事件。
5. 讓網路安全有成效
目標:加強網路系統的安全及可靠性。
目標:提高國土安全部對網路安全活動的管理。
|
2018年
9月
|
〈2018國防部網路戰略摘要〉(2018 Department of Defense Cyber Strategy Summary)
|
1. 建立具有毀滅性的聯合武力:
加快發展網路能力、增進創新與靈活性、利用自動化及數據分析,有效的確認威脅及防護、採用成熟的民用網路技術能力。
2. 網路空間的競爭及嚇阻:
嚇阻惡意的網路行為、持續對抗日常的惡意網路活動、增強美國關鍵基礎設施的恢復能力。
3. 加強盟友關係及吸引新的夥伴加入:
與民間建立互信的夥伴關係、促進國際夥伴關係、加強網路空間的行為規範。
4. 改革國防部:
將網路安全意識併入部內文化、在部內加強網路安全課責、尋找價格合理、能靈活運用、以及耐用的解決方案、擴展「眾包」(crowd-source)方式以找出弱點。
5. 培育相關人力:
維持一組隨時準備好的網路人員、增強國內網路人才、將軟硬體的專業知識作為國防部的核心能力、建立網路頂尖人才的管理計畫。
|
2018年
9月
|
《國家網路戰略》
(National Cyber Strategy of the United States of America)
|
1. 保護美國人民、國土及生活
目標:保護聯邦政府網路和資訊。
目標:保護關鍵基礎設施。
目標:打擊網路犯罪和完善事件通報。
2. 促進美國繁榮
目標:扶植有活力及適應力的數位經濟。
目標:培養和保護美國的創造力。
目標:發展優秀的網路安全人才。
3. 以強大力量維護和平
目標:以制訂行為規範加強網路穩定。
目標:對網路惡意行為予以追究及嚇阻。
4. 加強美國的影響力
目標:促進開放、相互合作、可靠及安全的網際網路。
目標:建立國際網路能量。
|
資料來源:作者自行整理
[1]Nina Kollars and Jacquelyn Schneider, “Defending Forward: The 2018 Cyber Strategy Is Here,” War On The Rocks, September 20, 2018, https://warontherocks.com/2018/09/defending-forward-the-2018-cyber-strategy-is-here/