摘 要:作为美国的重要盟友、“五眼联盟”成员和北约成员,加拿大的网络防御却面临重重困境,其中最为突出的一点是缺乏职责明确的网络防御政策。这种状况不但将影响加拿大的网络安全,还可能间接损害加拿大与美国之间的关系。鉴于此,首先从几个方面探讨了加拿大政府在网络防御方面的问题,接着梳理了加拿大网络防御能力的发展概况和未来趋势,其次介绍了加拿大网络防御政策的近期走向,最后就如何改善加拿大的网络防御提出了一些政策性建议。
内容目录:
2022年3月8日,加拿大总理贾斯汀·特鲁多(Justin Trudeau)承诺加拿大不仅将在俄乌冲突中对抗俄罗斯,还将对抗俄罗斯随之发动的网络攻击。除加拿大自身外,七国集团领导人也承诺加强各国在网络防御和网络威胁情报共享等方面的协调,以追究“网络空间内的破坏性、损害性和干扰性活动”。除此之外,北约各国的元首和政府首脑也共同承诺改善网络能力和网络防御,以及“让危害我方网络空间的人付出代价”。在这些声明中,特鲁多均承诺加拿大将以其网络能力来支持北约及其盟国,但加拿大实际上又能做到何种程度?
1 加拿大政府的网络防御困境
自新冠肺炎疫情暴发以来,网络攻击的次数与日俱增,加拿大联邦政府和省级政府披露的网络事件也随之增多。令人侧目的是勒索软件攻击次数增长迅猛,而私营机构的受害程度尤其严重。加拿大互联网注册管理局(Canadian Internet Registration Authority,CIRA)在2021年的一项调查中发现,约有69%的加拿大组织向勒索软件组织支付了赎金;信安局则在关于勒索软件的《2021年网络威胁公告》中指出,遭受勒索软件攻击的加拿大组织中约有三分之二是中小型企业。在信安局看来,勒索软件既会造成毁灭性的破坏,也会在财务上产生深远影响。在此背景下,加拿大的信息安全行业自然而然地开始形成一种看法:他们不但有权进行自卫,还可以在“网络私掠许可证”的授权下自行开展主动防御。换而言之,就是对网络罪犯和受外国政府支持的黑客组织发动网络攻击。尽管此类看法和行为会使网络空间变得更加动荡不安,但同样也是加拿大政府的一种警示。
本报告无意批判“主动防御”的支持者,毕竟这些人之所以主张在法律上允许私营企业实施主动防御或网络攻击,只是想保护其自身和所在组织免受网络攻击的影响,同时他们也不相信加拿大政府能够解决网络攻击问题。这些人要求政府对己方遭受的数据窃取或网络勒索提供法律保护,此类诉求显然不合情理。对政府来说,根本的解决方案并不是依靠各种能力和威胁态势来阻止网络攻击,而是改变“对网络安全问题置之不理”的安全文化。
1.2 缺乏连贯的网络防御政策
除上述安全文化外,一段时间以来,加拿大政府一直在努力参与国际网络活动,不过各部门的参与程度、具体需求和愿景各不相同。举例来说,加拿大国防部/加拿大军队(以下简称“加军”)的目标就与GAC或信安局相去甚远,这意味着它们在网络领域的事务也各自有别。从网络领域的外交、国防和情报政策工具来看,加拿大联邦政府似乎总是缺乏连贯的组织架构和目标,甚至没有公开文件来澄清联邦政府关于网络冲突的种种政策。
1.3 国际网络规范举步维艰
加拿大的网络外交活动侧重于能力建设和规范制定方面,其中能力建设意味着通过转让技术或知识来增强网络安全,进而更好地促进经济流动和经济自由;规范制定则注重制定网络冲突规范。为推动信息和电信领域的发展,GAC积极参与了“联合国政府专家组”(United Nations Groups of Governmental Experts,UN GGE)及其前身“不限额工作组”(Open-Ended Working Group,OEWG)。
20多年来,OEWG和UN GGE一直是制定网络空间规范的主要国际组织,虽然它们希望通过此类规范来维护各国网络安全,但在缓解或减少网络攻击方面,OEWG和UN GGE起到的作用始终微乎其微。并且,当前关于武装冲突的法律立足于人类上千年的战争史,而网络冲突不过是近30年间才出现的事物,尚未形成相应的规范也不足为奇。
此外,如果各国从一开始就拒绝讨论各自在网络空间的所作所为,那么就很难探讨和建立相应的规范。建立关于网络冲突的规范确实极其重要,但此类规范的面世尚需时日,当前加拿大政府和人民只能自己保护自己的网络。
1.4 军方的网络防御职责不明
2 加拿大网络防御能力的发展
加军在发展“主动式网络行动”(即“通过网络削弱、破坏、影响、回应或干扰对手的能力、意图或活动”)和建立网络基础设施主干方面进展缓慢。目前加军一定程度上要依靠信安局的培训来获得此类能力,而信安局不仅在发展主动式网络能力上占据先机,种种迹象也表明其非常擅长进攻性网络行动。加军主要从内部机构、信安局和盟友(以美国为主)处学习网络行动的方式和战术,不过有时也会接受Reticle Ventures和Sapper Labs等私营公司的训练。加拿大最亲密的盟友(尤其是“五眼联盟”国家)皆采取了类似的方式来发展各自的网络能力,这种方式的好处在于能从已掌握攻击性网络行动技巧的人那里获得此类行动的工具和方法,从而扩大各项行动之间的合作范围。这种合作之所以重要,是因为信安局与加军的任务和宗旨各不相同,如果由信安局全权主导网络行动,就可能出现“信安局希望采取军事行动,但加军无力实现前者的预期目标”的情形。
自2020年以来,加军在培训和发展网络能力方面取得了长足的进步,只是公开的信息有限,难以量化其具体成果。不过加军在网络领域面临的问题并不只有进攻性网络行动,大量网络基础设施(包括基于云技术的现代保密网络和数据库)的采购和发展也是一大难题。与加拿大政府的许多系统一样,加拿大国防部的许多系统和流程可以追溯到20世纪50年代,而即使经过升级,许多系统也仅能达到2010年左右的技术水平。
美国国防部正在发展“联合全域指挥与控制”(Joint All-Domain Command and Control,JADC2)理念,该理念要求广泛运用云基网络和存储能力来实现全军范围内的情报与数据共享,同时JADC2也是北美防空司令部 (North American Aerospace Defense Command,NORAD)现代化工作中的核心理念。尽管如此,加军目前却完全不具备实现JADC2的能力,可见,缺乏现代化的安全网络基础设施已成为加军达成现代化目标的最大障碍之一。
詹姆斯·兰伯特(James Lambert)准将即将卸任加军信息行动主官一职,他曾表示已获得了必要的行动资金,但缺乏相应的人手。此话表明加军难以找到合适的人员去从事与网络防御相关的工作,其国防采办系统也难以满足加军迫切的网络采办需求。有关方面正在探讨如何在信安局与加军之间分配网络任务,但鉴于加军缺乏这方面的明确政策或组织职能,此类讨论迟迟没有定论。需要指出的是,政策上的问题不可能仅靠投钱来解决,而加拿大甚至尚未明确这些问题的轻重缓急,结果就是其不得不在网络防御的发展进程中付出更大代价。
2.2 发展趋势
虽然发展网络能力比采购F-35战斗机或“加拿大水面战斗舰”(Canadian Surface Combatant,CSC)更便宜,但仍需要数十亿加元的投资和必要的人力资源。鉴于联邦政府和加拿大银行尚在采取行动恢复经济和控制通货膨胀,加拿大必须更加务实地使用网络经费。加拿大政府的2022年预算包含了一系列有的放矢的国防投资,其中8.752亿加元将专门用于改善加拿大的网络安全和网络防御。这笔资金将主要用于提高信安局的能力(比如发动进攻性网络行动的能力)、改善关键基础设施的安全性和为政府提供协助。
3 加拿大网络防御政策的走向
2021年12月,4名部长受命共同制定加拿大的下一版《国家网络安全战略》。尚不确定该战略何时能够出台,但这一战略恐将很难在外交、国防和情报领域充分发挥潜力。现行的网络安全战略预计将于2024年到期,但除向加拿大情报界提供资金外,该战略既没能充分促进网络防御领域的交流,也没有详细指出加拿大将如何应对网络威胁。
今年的联邦预算表明,加拿大政府正优先向信安局提供资金,希望以此加强整个政府的网络防御。政府很可能尚未制定出实现这一目标的总体政策,而只要信安局在牵头这方面的工作,政府就很难公布相关细节。
加拿大政府似乎正在开展一些初步的规划和投资,比如“网络安全创新网络”计划就旨在改善加拿大国内信息技术安全人才的发展环境。然而,如果政府想通过引入更多企业或增加公私合作的方式来加强加拿大的网络防御,那么就应该明确各方的责任。为了能够引入更多的私营部门,政府必须在责任保障方面做好准备。当政府收集或获得有关加拿大公民或外国情报机构的数据和信息时,它有义务负责任地使用这些数据,并避免其遭到越权访问和使用。
2022年2月,NSICOP发布了一份关于“加拿大保护其系统和网络免受网络攻击的框架和活动”的报告,其中详细讨论了加拿大网络防御的历史,特别是关于政策和治理的详细信息。该报告表明,加拿大的网络防御政策并不是由特定的组织或个人牵头制定的,而是由“在政府部门负责牵头、发展和协调网络防御事宜”的若干委员会组成的群体制定的。这些委员会的存在表明加拿大政府需要在网络防御上进行协调与合作,但因缺乏具体领导的现状也招致各方对加拿大网络安全政策的批评。当前加拿大政府似乎正在通力审查和澄清加拿大的网络防御问题,但能落实到哪一步仍然值得怀疑。
近期“发布”的《加军数字活动计划》就很好地反映了加拿大在网络防御上的轻率态度。加军于2022年6月17日宣布将发布该计划,并承诺将在计划中概述加军的数字化转型和现代化发展计划,加拿大网络防御领域的许多人也一直在等待该文件的出台。然而在过去一个多月后,加军仍未对外发布该计划。
此外值得注意的是,加拿大国防部长安妮塔·阿南德(Anita Anand)于2022年6月20日宣布了加拿大将推动NORAD现代化工作的核心计划。该计划将围绕JADC2展开,而JADC2的一大重点是将传统的非数字数据迁移到云端,其本质上并不是一种云基通信网络,而是“能够连接全部传感器,收集这些传感器的一切数据,再交由人工智能进行数据处理,然后将处理结果告知指挥官,以便人们作出明智决策”的通信网络。
然而加拿大并未准确理解JADC2的性质,有关人员将JADC2视作一种独特的能力,而不是推动军队数字基础设施现代化的战略理念。加拿大的决策者必须明白,网络空间就像陆地、空气或海洋一样,有着自己的物理结构、重心和风险模型。各种网络能力在提供大量网络行动方案的同时,也扩大了网络威胁面。对于每一项网络技术,人们都必须考虑对手通过网络空间破坏该技术的风险,这意味着推进网络防御现代化工作时需要开展成本—收益分析。如果没有充分考虑这些风险,并给予足够的重视和提供足够的资金,就会令加拿大处于危险之中。
4 结 语
(1) 设立一名分管网络防御的助理副部长,该官员应负责牵头制定和监督加拿大的网络防御政策,同时也监督信安局与加军之间的政策一致性。为此可以组建一个助理副部长级别的网络防御委员会,由该委员会向副部长级别的网络安全委员会汇报情况。同时还应在加拿大国防部内设立一名L2级协调员,以支持上述助理副部长的工作,并共同领导网络防御委员会。
(2) 在整个政府范围内提供额外支持。枢密院秘书应考虑任命一名主管网络安全的副部长,这将有助于从更宽泛的安全文化角度来解决整个政府的网络安全问题。
(3) 为《加军数字活动计划》制定相应的战略和透明的路线图,以便优先阐明联邦政府和加军将如何发展网络行动能力,以及联邦政府将如何管制信安局和加军的主动式网络行动和进攻性网络行动。
(4) 在开展NORAD现代化工作的过程中,确保加军的数字现代化工作与美国最核心的数字与网络战略理念(尤其是JADC2理念和持续交战理念)保持一致,从而使加军的战略政策向美方看齐。
(5) 加拿大的新版《国家网络安全战略》中应将网络防御作为优先事项,并概述联邦政府将如何扭转漠视网络安全和网络防御的有害文化。不论加军是否做好准备,其都即将经历一次深刻的变革。不论是2022年的预算,还是NORAD现代化工作,抑或是即将出台的国防政策和新版《国家网络安全战略》,都将对加拿大的网络防御产生巨大影响。在此背景下,自由党政府绝不能重蹈过去“制定了政策却无法落实”的覆辙,迫切需要采取必要的手段来贯彻其网络防御政策。
作者简介 >>>
亚历山大 ·鲁道夫(Alexander Rudolph):加拿大全球事务研究所研究员,加拿大卡尔顿 大学政治系博士生,主要研究方向为网络空间 的重大战略、冲突和竞争。
此报告翻译方式为摘译,原 文链接:https://www.cgai.ca/when_empty_promises_are_ literally_empty_canadian_cyber_defence_policy_by_ad_ho
选自《信息安全与通信保密》2022年第9期(为便于排版,已省去原文参考文献)
商务合作 | 开白转载 | 媒体交流 | 理事服务
请联系:15710013727(微信同号)
《信息安全与通信保密》杂志投稿
联系电话:13391516229(微信同号)
《通信技术》杂志投稿
联系电话:15198220331(微信同号)
原文始发于微信公众号(信息安全与通信保密杂志社):译文 | 加拿大的网络防御政策
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论