2023年3月,乔·拜登总统政府发布了《国家网络安全战略》,旨在继续推进落实2018年《网络安全国家行动计划》中启动的美国优先事项,同时还制定一些降低网络安全风险、维护国家利益的附加内容,并突出重点。
2010年以来数字技术的快速发展,正在改变世界各国、地区和国际组织、企业和人民之间互动、交流和共享信息的方式,为各国政府、组织和个人在全球范围内在许多活动特别是社会管理、生产经营、国际接轨等领域开展信息交流和共享创造了有利条件。许多研究专家认为,全球化趋势在科技、贸易和投资等领域领域正在放缓,但在不久的将来将继续“加速”,通过数字互联互通实现。然而,数字互联互通也冲击到许多国家的经济、文化、社会、国防、安全以及外交政策发展政策,如:个人数据泄露、版权盗窃、知识产权、虚假信息、黑客渗透特别是国防、安全、外交等领域的基础设施。
美国面临的挑战
近年来,多位美国官员公开批评该国不得不应对许多影响国家安全的严重网络攻击,包括攻击选举计划、使用恶意代码勒索钱财(勒索软件)。为了最大限度地降低网络安全风险、保护国家利益、平衡政府和私营部门之间的作用和责任以及促进国家优先事项,2023年3月2日,美国总统乔·拜登政府宣布了《国家网络安全战略》。该战略确定了来自国家和非国家行为者对美国的网络安全威胁,强调指出俄罗斯、中国、伊朗、朝鲜等一些国家正在利用网络空间追求违背国际标准的目标,对美国安全和利益造成威胁。同时表示,俄罗斯政府利用网络能力干涉一些国家的内政,削弱美国及其盟友的关系,侵蚀“国际秩序”。朝鲜和伊朗已经发展出日益复杂的网络能力,并一直在寻找方法利用它们来避免制裁、为其核开发计划创造收入、抵消经济损失和制裁造成的经济问题。该战略还认为中国是对美国政府和企业的最大威胁,称中国在过去10年扩大了网络活动,以“窃取”知识产权和技术、高科技、损害美国利益等。
此外,美国政府认为,非国家行为者和网络犯罪团伙每年还给国家经济造成数十亿美元的损失。尤其是许多网络犯罪团伙活动在与美国没有合作机制的国家,也让美国当局难以应对。根据网络安全服务公司 Comparitech 的分析,2018 - 2023年期间,恶意软件攻击已使美国企业损失约 210 亿美元。值得一提的是,仅在2021年,美国就发生了前所未有的网络攻击,黑客渗透到美国企业殖民管道公司的关键石油管道操作系统中,导致东海岸燃料严重短缺,导致该公司花费 500 万美元恢复 100 GB 的重要数据。 到2022年,平均每家美国企业需要为反黑客力量支付约410万美元。
新调整
面对网络安全领域的挑战,乔·拜登总统政府的《国家网络安全战略》设定了目标:加强网络安全环境,确保易于保护和可持续运行、有弹性和基于价值的标准。换句话说,美国的网络基础设施系统需要进行调整,使其运行更容易、更有效、成本更低,最大限度地减少网络攻击或系统故障的影响,体现美国的核心价值观,如:自由、安全、开放等。为实现上述目标,《战略》指出了两个一致的方向:(1)将保护网络安全的责任重心从民众、小企业、地方政府转移到拥有足够资源和能力的科技大企业,承担建设、运营和维护国内网络系统的责任;(2)政府机构愿意在必要时进行投资和干预,构建易于保护、长期持久的数字生态系统。企业和公司必须遵守最低技术要求和标准,并可能对违规行为承担法律责任。可以看出,通过这一定位,美国国家网络安全的主要责任现在属于科技公司,但政府机构仍然发挥着重要的主导作用,确保政府网络系统和支持私营部门履行网络安全义务。
为了有效实施《战略》,乔·拜登总统政府优先重点关注以下五组解决方案。第一组,保护关键基础设施,特别是对重要行业和领域制定强制性安全要求和标准,促进公私合作;实现联邦网络系统现代化并更新联邦网络事件应付计划。第二组,通过使用一切措施和一切国家力量工具,如:外交、情报、新闻、军事、金融、法律等,压制对美国造成网络安全威胁的行为者(敌人)。其中,使用勒索软件的勒索病毒风险被列入美国将动用一切措施、一切工具、举国之力,结合推动国际合作防范和摧毁的国家安全威胁清单。目前,华盛顿部署了由30多个国家参与的反恶意软件倡议(CRI),以在成员国之间共享信息、协调政策和行动。第三组,政府将以激励(补贴、联邦税收优惠等)的形式对确保网络安全和网络承载能力的基础设施项目进行干预,调整市场动态。此外,对数据管理不善或提供不安全技术产品和服务的公司和企业追究法律责任。第四组,动员公共和私营部门的未来投资,增加用于新一代网络安全技术研发的联邦预算拨款;该项目专注于量子加密,制定了发展网络安全人力资源的国家战略。第五组,从两个方向推动国际合作:加强盟友和伙伴的能力,使这些国家能够防御网络空间的威胁;合作应对威胁,建立基于共同价值观的网络生态系统,并通过可用机制建立共同安全标准,例如:互联网未来联合宣言(DFI)、四方安全对话机制、印太经济框架(IPEF)、美国-欧盟技术贸易委员会(ITC)等。因此,白宫的这一新战略更加强调与“志同道合”的国家协调建立安全、可持续的全球数字生态系统、建设“清洁”的5G供应链和新一代无线网络基础设施等目标。
国际研究人员表示,乔·拜登总统政府的《国家网络安全战略》继承了上届政府的战略,例如:提升网络空间作为国防力量一部分的作用、提升网络空间的作用和私营部门的责任,投入科技、加强国际合作……但也有很多新的调整内容,特别是增加了“安全”成分,体现了政府对国家安全的高度重视,将网络攻击的风险放在与国家安全威胁相似的地位,并更加突出科技机构、企业、公司等的责任。
战略展望
事实上,巩固和建立网络安全领域新标准和法规的努力早在乔·拜登总统政府就已实施,包括关于标准的法令、美国政府机构、软件承包商的网络安全以及对联邦信息技术机构的要求提供与网络攻击相关的数据(2021 年 5 月)。两任总统的政府都在一个领域发布战略文件,这表明美国确实将网络攻击视为一项严峻挑战,并确定这是一场长期的“战争”。事实上,2023年7月,白宫就宣布了实施国家网络安全战略的计划,其中包含许多具体举措。2023年10月,美国总统乔·拜登签署了一项行政命令,要求建立人工智能(AI)技术的安全标准,这是人工智能领域的第一个行政命令。
华盛顿新的网络安全战略包括收紧科技公司的网络安全标准,保护关键基础设施免受对手和大国的攻击,本质上得到了国会和美国人民的支持。据此,科技企业也在网络安全防护方面加大投入。这是白宫实施这一战略的重要基础,具有一定的优势。然而,美国政府在世界各地区多领域的介入政策,在大国之间造成了许多对立力量和激烈竞争,造成不稳定风险,总体安全特别是美国网络安全将继续增加并变得复杂。此外,该战略的一些内容需要进行法律修改,特别是确立私营部门的法律责任,这将需要较长的时间,并且可能会面临来自企业方面的一定障碍。一些国家还公开反对美国加强网络安全的措施,并正在推动自己的“生态系统”建设。不过,不少专家认为,未来一段时间,无论是民主党还是共和党入主白宫,网络安全问题仍将受到美国重视。(完)
作者:外交部美洲司副司长阮红光博士