美國官方和民間如何因應網絡攻擊

  • 黃耀毅

幾位美國前政府官員在一個智庫的座談會上,商討美國官方和民間應該如何因應日漸複雜的網絡攻擊。其中幾位認為,企業若要去中國投資,本身就要做好被黑的準備,提高安全防護措施。

戰略暨國際研究中心(CSIS)在6月8號舉辦了“2011年全球安全論壇”,其中一個座談會邀請了幾位美國前國防、國安、情報官員,針對網絡安全作出分析與展望。會中討論了五個近年來主要的網絡安全事件,包括谷歌被黑、國防公司洛克希德.馬丁被黑等等。

與會人士認為,網絡安全可分成兩種,一種事關國家安全,一種事關商業利益。在國家安全方面,國防部、國土安全部等應當有一套完整方案因應,但在商業方面,與會人士有不同意見。

*商業利益是否國安問題*

前國防部總法律顧問朱蒂斯.米勒(Judith Miller)認為,知識產權已經是美國賴以生存的重要部份,所以像谷歌被黑這樣的事情,國家應該出面處理。

不過前國防部長辦公室資訊行動與戰略研究主任蓋斯勒(Robert Giesler)卻認為,谷歌被黑案,雖然因涉及中國異議人士電郵信箱比較敏感,但不應隨便將事情拉高到國安層級,尤其黑客身分到底是中國政府,還是個別的愛國憤青,都不一定。

蓋斯勒說:“這不是國家安全問題。谷歌,這是你自己的問題。你進入中國投資,你明知那是個充滿敵意的環境,你明知道那是個缺乏管理的地區,那你早該準備的更周全。你的電子設備、知識產權、企業運作技術等,明知你的對手虎視眈眈,在網上利用釣魚誘騙,你還中招,你該感到羞恥才對。”

*網絡安全是公司自己的責任*

此前在美中安全經濟審議委員會於參議院的聽證當中,傑弗里‧菲德勒(Jeffery Fiedler)委員亦曾質疑過美國科技公司捧著大筆金錢與技術﹐為中國開創百萬工作機會,結果被侵權或被盜竊,其實是養虎為患。

曾在2001年擔任布殊前總統特別顧問,以及國家安全委員會資深主任的弗蘭克林.米勒(Franklin Miller)在評論最近發生的國防企業洛克希德馬丁公司被黑事件時也如此認為。

米勒說﹕“這是一定會發生的。那些公司應該感到羞恥,允許將敏感資料列為非機密,並且存放在大家都能獲取的地方。”

與會人士認為,雖然洛克希德.馬丁公司的確設下安全防護,但在網絡安全的概念當中,有些電腦或儀器,本來就不該接上網路,因為網絡攻擊成本很低,即使有防護都有著風險。

前國防部長辦公室資訊行動與戰略研究主任蓋斯勒在接受美國之音採訪時指出,要分辨黑客是政府或愛國憤青,十分不易。

蓋勒斯說:“在了解這些攻擊方面,仍是十分模糊,即使是那些精密設計的攻擊,也不能假設政府就是幕後黑手。我就看過16歲的少年發動非常精密的攻擊,並且故意讓它看起來像是國家所發動的攻擊。所以政府在對私人企業扮演侵入式的角色之前,必須要謹慎考慮,就算是在網絡安全方面。”

*政府對黑客個人行為不該置之不理*

前國防部總法律顧問朱蒂斯.米勒認為,各國應該要訂出規則,例如若本國的民間黑客攻擊其他國家的政府或企業,應該如何規範,而不是說那是個人行為,就置之不理。

戰略暨國際研究中心科技與公共政策項目主任路易斯(Jim Lewis)呼籲中國政府應該與各國進行對話,制定網絡安全的規則,不然最後自己也將受害。他用“石頭打破盤”來作比喻。

路易斯說:“美國在網絡空間,一手拿著一顆大石頭,但一手拿著片大盤子。中國現在要了解,你手上有大石頭,但手上同樣也有片大盤子,所以雙方同樣都有脆弱的地方。”

與會人士皆認為,無論在美國國內法規,或是國際條約上,都沒有對於國防以及商業的網絡安全方面作出足夠的規範,需要各國以及各部門進一步的溝通。