自去年12月以來,美國遭受多起網路攻擊,多家政府機構和數十家公司受到嚴重影響。美國總統拜登表示,駭客攻擊構成了“對美國國家安全的嚴重威脅”。在此背景下,當地時間5月12日,拜登簽署行政令,要求聯邦政府加強美國網路安全能力,解決美國當前易受駭客攻擊的問題。
5月10日,美國總統拜登在華盛頓白宮發表講話
1
5月7日,美國最大燃油運輸管道商科洛尼爾公司遭網路攻擊,5500英里長的輸油管道被迫暫停輸送業務。美國聯邦調查局(FBI)5月10日釋出宣告,稱“黑暗面”(Darkside)駭客組織對這一事件負責。11日,“黑暗面”在其官網釋出一則訊息:“我們的目的是要錢,而不是為社會製造麻煩”,並強調該組織“不涉及政治”。
網路安全專家介紹,“黑暗面”成立於2020年8月,透過開發軟體工具,幫助其他“附屬機構”實施攻擊。被攻擊者資料被盜、計算機被鎖定時,必須付費才能重新訪問網路並阻止敏感資訊釋出。“黑暗面”透過這樣的行動以獲利。在本次科洛尼爾公司事件中,尚不清楚攻擊是來自“黑暗面”還是其附屬機構。
作為美國東海岸供油“大動脈”,科洛尼爾公司輸油管道負責東海岸45%的燃料供應,斷網使美國南部和東部14個州受到嚴重影響。隨後,相關政府部門宣佈美國17個州和華盛頓特區進入緊急狀態。這是美國首次因網路攻擊導致多州進入國家緊急狀態。該事件也引發市場對燃料供應短缺的擔憂,美國汽油期貨價格5月10日一度躍升至2.217美元/加侖,創2018年5月以來新高,擾亂了能源市場,引起市場恐慌。
這是近半年時間裡類似事件中的一例。2020年12月17日,美國國土安全部網路安全與基礎設施安全域性稱,美國政府機構和企業遭受網路攻擊已有一週,風險已達“危重”級別;今年1月,美國多家政府部門和企業因SolarWinds軟體漏洞遭駭客攻擊,美國財政部、國土安全域性、國家衛生院甚至國務院都受到影響;2月,佛羅里達州一小鎮的水處理系統遭到攻擊,供水中的化學物質含量被改變,當地飲用水變得十分危險;4月,北美地區1500家公用事業公司中有四分之一都遭到SolarWinds軟體攻擊,公司執行受到影響。
2
輸油管道事件後,拜登於5月12日簽署了公眾期待已久的行政令,提出多項行動加強美國網路安全防禦能力。
一是消除政府與私營部門間的資訊共享障礙。行政令提到“IT服務提供商對網路威脅事件和資訊有獨特的訪問許可權和洞察力”,要求與政府有業務往來的IT服務提供商必須公開其有關安全資料,報告是否受到了駭客入侵。拜登政府表示,消除資訊共享障礙可以增強事件威懾、預防和響應能力,能更有效地保護各機構系統和聯邦政府的資訊。
二是推動聯邦政府網路安全現代化。拜登政府表示,隨著人工智慧、數字經濟不斷髮展,美國需要跟上科技發展的腳步,應對不斷演變的新風險。行政令提到,各機構負責人應更新本機構現有計劃,優先考慮使用雲技術,使網路安全手段現代化。行政令要求國內推進使用“零信任”架構,即透過多因素認證提升網路安全。
三是確保軟體供應鏈安全。聯邦政府使用軟體的安全性至關重要。商業軟體的開發通常缺乏透明度、對軟體抵抗攻擊關注不夠、對惡意攻擊行為缺乏足夠控制。行政令要求聯邦政府必須採取行動,迅速提高軟體供應鏈的安全性和完整性,並優先解決關鍵軟體問題。聯邦政府使用的所有軟體需在9個月內達到新的安全標準。
四是成立網路安全審查委員會。行政令提出效仿美國國家運輸安全委員會設立網路安全審查委員會,由政府和私營部門的代表共同主持,以分析網路攻擊事件並提出建議。行政令要求制定一套標準行動手冊,規範聯邦政府對網路安全事件的響應。
模擬圖
3
美國政府對國家網路安全日趨重視。2012年美國網路安全方面投入34億美元,2013年飆升至103億美元。2013年到2020年間,該數額一直居高不下。
特朗普政府堅持“美國優先”,推行與前任相比較為激進的國家網路安全戰略。就任初期,特朗普將網路司令部升級為一級聯合作戰司令部。2018年5月,美軍網路司令部完成升級,升級後的網路司令部與太平洋司令部和歐洲司令部同級。任職總統期間,特朗普多次對國家網路安全團隊進行人事調整。對網路作戰體系的不斷完善,展現出特朗普政府對網路部隊軍事作戰能力的重視。
在特朗普時期網路安全戰略基礎上,拜登政府不斷完善網路安全機構設定,並新設負責網路和新興技術的國家安全副顧問一職。根據美國2021財年《國防授權法案》,美國將新設國家網路總監一職及國家網路總監辦公室。4月12日,拜登宣佈任命前國家安全域性副局長克里斯·英格利斯為第一任總統行政辦公室國家網路總監。5月12日,拜登在行政令中提出效仿美國國家運輸安全委員會設立網路安全審查委員會,以分析網路攻擊事件並提出建議。
拜登重視網路安全人才,其政府內多人具有網路安全領域背景。國土安全部長亞歷杭德羅·馬約卡斯任國土安全部副部長時,曾負責網路威脅資訊共享等工作;國家情報總監埃夫麗爾·海恩斯曾負責白宮的國家安全事務,後又出任美中情局副局長。
美國正用優越條件大量招募網路安全人才。據路透社報道,在上任之初拜登就開始僱用一批具有深厚網路專業知識的國家安全領域老手,幫助美國應對駭客攻擊。5月5日,美國國土安全部宣佈,計劃在兩個月內招聘200名網路安全專業人員,以遏制影響美國企業的勒索軟體攻擊以及外國間諜活動。馬約卡斯稱這次招聘為國土安全部18年曆史上“最重要的招聘行動”。
4
1月25日,美國國務院發言人曾表示,拜登總統致力於確保中國公司不能濫用和盜用美國資料,並將確保美國技術不會最終支援中國的“惡意活動”。4月9日,拜登政府公佈了2022財年聯邦政府預算案提案大綱,提出向國防部撥款7150億美元,並特別提到這一撥款將優先應對來自所謂“中國的威脅”。
為此,拜登政府主張與盟友合作,共同制定科技等領域的規則與標準,以應對來自中國等國的“威脅”。有專家表示,拜登會延續科技戰並拉攏盟友,透過科技限制、技術轉讓、網路安全等傳統手段對中國實施打壓。
哈佛大學肯尼迪學院某學者指出,拜登政府將透過建立可信賴的專有技術聯盟來增強“民主”,對抗中俄等國勢力。拜登政府可能會推出“技術民主聯盟”,如正在探討的T-12聯盟,並致力於將華為排除在美國所結聯盟的5G網路之外,以最終建立一批受信任的供應商。
從維基解密事件到斯諾登事件,近年來美方在網路安全問題上的虛偽和雙重標準早已大白於天下。美國將網路安全問題政治化,既損害中美在網路安全領域的信任與合作,也不利於全球網路安全治理。
正如美中關係全國委員會會長斯蒂芬·歐倫斯所說:“美中作為世界上兩個最大的數字強國,兩國之間的信任與合作至關重要。” 中方已提出全球資料安全倡議,希望與國際社會一道共同努力,攜手營造一個開放安全合作的網路空間。(作者單位:中國國際問題研究院)
欄目主編:張武 文字編輯:董思韻 題圖來源:新華社 圖片編輯:曹立媛
來源:作者:環球 尹西子