卡内基国际和平基金会于2019 年10 月发布报告《ICT 供应链完整性:政府和企业政策的原则》。该报告是世界各地的政府官员,企业高级管理者以及政策、法律和技术专家进行深入研究和对话的结果,旨在满足合法的国家安全要求与保护数字经济和企业股权之间达成平衡。

报告认为,网络空间的健康状况、国际数字经济和贸易系统的开放性以及主要国家关系的稳定性取决于人们对 ICT/OT 供应链完整性的信心。为提高供应链完整性,目前政府和企业正从技术、运营、商业、法律四个方面积极采取措施,但对于有意干预供应链的行为缺乏对策。

为有效起见,相关的规则或义务应当以增强信任度、问责制、透明性和接受性为目标,以现有的国家和国际协约为基础,以确保采购安全、奖励合规和增强实施信心等措施为辅助。

更广泛地讲,保护供应链的完整性不应仅仅被视为网络安全问题, 还需要注重质量保证、产品和服务安全、防伪策略、技术许可和出口控制合规性以及客户信任度。

供应链威胁

日益数字化的世界中,信息和通信技术(ICT),尤其是运营技术(OT)俨然对全球政府、企业和广大公众产生至关重要的影响。

然而,由于供应链中的漏洞以及国家和企业设置后门的干预行为,人们逐渐丧失对产品和服务完整性的信任。从原料收集和组件开发(包括硬件、软件、数据和算法)到个性化修改和产品升级, 供应链威胁贯穿产品和服务的整个生命周期。

针对供应链中早期环节的操纵可能产生乘数效应或多米诺骨牌效应。ICT/OT 生命周期的较长运营阶段对维持供应链的完整性提出挑战。

图1 ICT 固件和软件的供应链生命周期

注:图为译者对报告原图的直接翻译

ICT 供应链完整性的严重威胁来自:受损的软件供应商;预安装的未公开功能;被劫持的更新机制;系统漏洞;关键服务提供商被黑客入侵;系统原生的漏洞以及国家 / 非国家主体干预所导致的后果。对于供应链干预的不稳定后果包括:

(1)失去信心:人们对支持政府和商业系统及应用的 ICT/OT 产品和服务的信任已大大受损。这可能会加速 ICT/OT 市场的割据,并破坏对数字生态系统本身的信心。

(2)意外 / 附带影响:对全球使用的标准产品和服务(尤其是军事和民用控制系统)进行干预可能会产生不同的级联效应,包括为其他行为主体采取类似行动创造合法性;通过自我传播和/ 或复制功能传播直接影响,例如病毒; 以及恶意功能的扩散,其中某些功能可能会被反向工程并被其他行为主体滥用。

(3)竞争升级:故意干预导致主要国家竞相寻求新的工具和技术来破坏彼此的供应链。这些工具和技术倘若获得更广泛的使用(包括犯罪分子),可能会放大前述两个后果。

(4)声誉成本:公开曝光的政府干预会损害商业品牌和利益。这可能会损害一国 ICT/OT产品更广泛的“品牌”价值,并可能相较于另一国或全球 ICT 企业,加速某国产品所获得的青睐。

(5)巴尔干化:对供应链中的干预和系统性中断(尤其是针对全球产品和服务)的担忧, 导致政府依赖本地供应商和服务提供商。信息通信技术市场和供应链在国家或联盟范围内变得越来越分裂。这可能会对全球经济的创新、竞争和开放产生重大负面影响。

(6)政治化:广泛怀疑或已被发现的干预可能成为重大政治事件,进一步破坏了贸易并阻碍解决争端和恢复信任的合作进程。

此外,出于政治和商业原因,部分安全问题可能被夸大,进一步加剧竞争,割裂市场, 扼杀创新。多个国家 / 地区的明确立法为各国采取此类行动提供了法律依据。

俄罗斯 2017 年的反恐法要求企业向联邦安全局提供解密密钥, 以使他们能够进行通信。澳大利亚对 2018 年电信法的修正案被广泛解释为赋予政府权力,迫使企业提供对加密通信的后门访问。

政府义务

2.1实质性政府义务

在进行任何干预时,国家对于尽量减少ICT/OT 供应链损害负有主要责任。减少 ICT/OT供应链损害的途径包括:规避在供应链中进行系统性干预或通过缩小干预范围并在其中建立保障措施以使干预的负面影响最小化。

此类政策和行动将与各国增强自身采购流程安全性或激励他国遵循相关要求的政策构成补充。

2.1.1避免系统性干预

离散干预和系统干预之间存在关键区别。离散干预(例如将植入程序置于用于特定目标的单个工业控制软件中)可以满足重大的国家安全需求,并且效果相对有限且可预测。然而, 系统性干预会影响某一类硬件或软件,或者整个系列、版本、模型、生产线,产生更严重且广泛的影响。

国家安全可以通过离散干预来实现。许多政府已经制定了信息共享的法律协议,使其获得类似情报而不必入侵产品,可以完善协议以满足政府的情报需求和企业的透明度需求。

2.1.2引入保障措施

保障措施包括避免干预针对敏感行业或应用而设计的产品(例如,用于医疗应用的软件或硬件)。各国还可以放弃或至少严格限制干预关键基础设施(例如核电厂和供水系统)运营的支持性技术,或破坏金融交易。

最好不要将干预措施设计为具备自我复制、自我传播或深度持久等功能,这可能产生意想不到的后果,包括有助于对手进行逆向工程。

另一个保障措施是干预效果的内置“有效期”。例如,Stuxnet 的程序设置为在2012 年6 月24 日之后停止复制。

其他可行的安全措施包括:终止开关(立即终止其不利影响)以及并行开发“准备就绪”的修复程序,可以快速消除被利用的漏洞。

2.2程序性政府义务

减少对 ICT/OT 供应链损害的第二种方法可能是程序性的,并且适用于系统干预和离散干预。

2.2.1评估风险并需要批准

为了增强信任度和问责制,供应链干预措施需要高层批准。在获得批准之前,主管将需要评估可能的安全和经济后果以及潜在的附带损害,并确保在行动中已建立保障措施。需要重点评估的内容包括:

(1)犯罪者对干预措施的损害与所寻求目标成比例的置信度;

(2)干预措施的持续时间和范围(无论是暂时的和 / 或可逆的和局部的);

(3)暴露、反向工程或重新使用工具和技术的风险。

此外,政府应进行跟踪和定期评估,以评估维持该行动的效益、风险和其他后果。任何干预措施的扩展都应获得明确批准。

最后,如果干预措施严重损害企业、国家和 / 或国际利益,则应制订全面计划以减轻干预措施的不利影响。

2.2.2区分情报收集和秘密(和军事)行动

一般而言,仅侵犯系统的机密性或可用性可能不会触发实质性操纵所产生的直接焦虑和报复。

相比之下,操纵系统的性能(例如产生作战效果,例如导致武器故障)与出于情报目的提取数据相比,可能引发不受控制和意外后果的风险要大得多。

同样,损害数据完整性以及各系统使用的算法与拒绝访问系统所存在的固有潜在不利影响之间也有显著差异。批准过程应认识到供应链中不同类型的干预措施之间的区别。

2.2.3向企业咨询

批准一项干预措施还可能需要与供应商进行私下协商,以确保他们非正式同意或至少接受对其 ICT/OT 产品和服务的入侵。在企业的协助下,可以通过更精确可靠的针对性来降低干预措施的风险和意外后果。

政府通常还可以使用多种工具来激励和奖励企业合作。一些政府可能有合法的方式要求合作,并直接或间接地惩罚不合作的行为。

上市企业可能难以就其自身产品和服务采取干预措施的正式谈判方式,在这些情况下,非正式程序可能被证明是更可行的做法。审慎性要求尽可能限制合作范围并事先同意具体的目标参数。

2.3小结

下文总结了潜在的实质性和程序性政府义务,并根据实现信任度、问责制、透明性和接受性等更为广泛的目标进行了分类。

前两类涉及政府的实质性承诺,采取行动减少供应链干预措施;后两类作为前两种的补充,增加了旨在告知所有利益相关者的措施。

2.3.1信任

·禁止系统性的供应链干预。

·限制政府供应链干预措施的范围、规模和负面影响。

·禁止在某些敏感领域(例如医疗部门) 进行干预。

·在干预措施中引入操作和技术保障措施, 以限制其复制、传播和持续性,并最大限度地减少工具逆向工程的可能。

2.3.2问责制

·建立内部流程和协商机制,以对潜在和持续的供应链干预措施以及漏洞的处理做出基于风险的明智决策。

·制定明确的内部风险框架和干预标准。

·评估供应链干预措施的安全和经济风险, 包括对供应商和品牌、消费者信心和商业竞争力的潜在影响。

·建立高级别的权威和流程批准旨在造成秘密或军事行动影响的供应链干预措施。

·长期干预措施需要进行定期评估和批准。

·创建一个用户友好机制,使决策者可以对检测到的风险做出明智的判断。

·制订全面计划以减轻干预措施的不利影响。

·考虑与可能受干预影响的企业进行非正式磋商。

·避免严重损害企业支持现有客户并为其提供更新和升级的能力。

2.3.3透明度

·发布用于处理供应链安全和漏洞问题的策略或程序。

·公开与供应链安全有关的法律法规摘要以及政府为增强供应链完整性所遵循的程序。

·建立有效的流程,将发现的漏洞通知受影响的企业。

·为 ICT / OT 供应商资格认证及其产品和服务认证制定清晰透明的标准,包括相互认证的相关规定。

2.3.4接受度

·与企业和利益相关者(包括其他政府) 建立渠道,讨论与供应链完整性有关的问题。

·建立清晰的对话流程和渠道,并公开指定联系人。

企业义务

企业的补充义务也可以保护和增强 ICT/OT供应链的完整性。企业承担义务的原因包括:

(1)ICT/OT 产品和相关服务的供应商的业务前景在一定程度上取决于市场对这些产品和服务的信任,故而所有利益相关者在鼓励企业采用更高的安全标准方面承担着责任。

(2)扩大私营部门的承诺也将有助于缩小政府通过企业及其雇员对供应链进行有意干预的空间。

(3)私营部门的承诺可以帮助限制供应链中意外漏洞的危害。故而有必要通过鼓励企业采用更全面、面向全球的原则来加强其现有工作。

3.1不支持系统性干预

为了建立客户和政府的信任,可以合理地期望所有企业都同样遵守不作恶的基本准则, 并在四个互补领域中实现这一承诺:

·信任产品 / 服务生命周期(研发、生产、服务)。

·问责制。

·透明度。

·接受性(对合法合理的执法和国家安全问题)。

为了保持对供应链的信任,企业应明确拒绝在其产品和服务中创建开发系统性漏洞。此外,他们应确保其员工和分包商承担相同的义务,故而整个供应链都受到保护。

3.2保护产品和服务的全生命周期

企业应采取某些措施以安全开发其产品和服务,并在其整个生命周期中主动管理和减少漏洞。

这些做法可以建立在现有和不断发展的标准和框架的基础上,包括国际标准化组织(ISO)和国际电工委员会(IEC)ISO 27001 的标准和框架;工业控制系统(ICS)网络安全的全球标准 IEC 62443;以及安全开发原则(ISO/ IEC27034 标准中已确定)。

适用于所有类型系统的最新版本的 ISO/IEC15288 系统工程标准则是更为严苛的标准。

更重要的是,企业应防止滥用诸如远程访问和更新机制这样的功能,这些功能构成了主要的攻击媒介。企业(以及提供组件、产品和服务的分包商)需要在设计和管理此类功能时坚持高标准的安全性。

3.3快速处理发现的漏洞

当企业发现产品或服务中的漏洞或被告知漏洞时,需要迅速通知客户,解决问题,进行根本原因分析并找出来源。

企业可以制定漏洞披露政策,并采取其他措施以重视其产品和服务中发现的漏洞,并提出如何披露和解决这些漏洞的建议,从发现的漏洞中获取的经验应运用于产品和服务持续改进中。

此外,与业内其他人士分享经验见解将有助于提高所有 ICT/OT产品和服务的安全标准。

3.4保护客户信息

ICT/OT 供应商需要尊重和保护其收集和使用的客户信息。公司应遵守关于允许收集的有关客户及其产品和服务使用信息的明确、透明和严格的规定。信息公司收集的信息应:

(1)符合客户最终用户许可协议中定义的范围和目的(非常清晰的表述);

(2)通过加密进行安全传输;

(3)尽可能匿名存储和匿名分发,并且在无法实现时采取等效的保障措施。

3.5满足合理合法的信息获取请求

公司还应该接受关于协助和信息获取的合法合理请求,必须在合法的国家安全需要与国家和国际社会更广泛的利益,包括经济福祉之间建立平衡。

3.6小结

下文汇总了前述的拟议公司义务。像政府义务一样,这些义务也根据建立信任、问责制、透明性和接受性进行了分类。

3.6.1信任

·不作恶,即避免创建、插入或帮助开发系统漏洞。

·拒绝与任何政府合作来系统性削弱产品和服务的安全性。

·在产品和服务的整个生命周期中应用最高水平的安全性和完整性,防止滥用和不当利用。

·在整个生命周期中以相适应的最高安全级别开发、构建、操作和维护产品和服务。

·防止滥用提供远程访问和系统更新的功能。

·采取积极措施保护 ICT/OT 供应商使用的通信网络,并保护该通信网络中信息的安全性、完整性、机密性和可用性。

·保护供应链的安全性和完整性。

3.6.2问责制

·快速解决发现的漏洞以及产品、功能、数据和通信滥用。

·迅速解决产品和服务在整个生命周期中被发现的关键漏洞。

·创建一个有效的流程,将检测到的漏洞通知所有受影响实体。

·产品和服务中内置的远程访问和更新机制需获得客户明确同意。

·使客户能够关闭所有供应商安装的远程访问机制。

·对于已发现的漏洞进行根本原因分析, 并吸取经验教训持续改进。

·尊重和保护私人和机密的客户信息,收集和使用此类信息需获得客户的明确许可。

3.6.3透明度

·公开实现产品和服务安全的核心原则和实践。

·建立透明度和信任的广泛措施,向政府和客户保证产品和服务的完整性。

·为全球各方提供对漏洞信息同等同时的访问。

·及时将安全漏洞通知到受影响各方。

·为客户记录可实现远程访问的现有功能, 以便其充分了解功能的目的和用途。

·产品和服务能够接受潜在 / 实际客户以及政府主管部门的合理审查。

·与客户分享产品和服务功能的详细规格及其预期行为,以使客户能够独立检测异常行为。

·向客户提供相关机会和途径,使其可与内部或外部专家确认产品和服务完全符合预期。

·公开执法部门和国家安全机构对客户数据的要求。

·向当前和潜在的外国客户告知:供应商本国政府与其政府相冲突,或是可能破坏供应商履行其合同义务,或是违反客户所在国法律的任何指令。

3.6.4接受度

·快速响应出于执法目的和国家安全问题且合法合理的信息提供要求。

·快速响应政府关于协助和信息获取的合法合理请求,消除政府采取供应链干预措施的需要。

·尽力与政府和其他企业合作,共同加强ICT/OT 供应链完整性,重建人们对产品和服务的信任。

规范义务并激励坚持

存在许多切实可行的方法可将上述全部或至少部分义务转化为具有约束力的规范框架并激励合规性。理想情况下,将这些义务规范在正式协议或至少是政策声明中,同时应采取其他措施鼓励对政策声明的遵守。

(1)国家可以将义务规范在国际协议中

这些义务可以以非正式的国际文件为基础,例如七国集团或二十国集团首脑会议的公报,经济合作与发展组织发布的文件,联合国政府专家组的全球报告等。相关的国际机构可以将禁止干预另一国 ICT/OT 产品或服务完整性的规范纳入现有的知识产权贸易规则中。

(2)各国采取行动履行义务

那些不进行系统干预的国家可以合法地将拒绝承诺或遵守此义务的国家和 / 或企业排除在其国家市场、产品和服务之外。他们还可以在贸易规则中援引国家安全规定,以阻止他国被认为是不安全或被操纵的 ICT/OT 产品和服务。此方法的狭义版本是,如果政府和其他国家不遵守核心义务, 则他国政府可以拒绝其产品和服务。

(3)供应商、产品和服务之间进行相互认可和认证

此举可提供可观的经济利益,并且从长远来看,仅对那些遵守了先前阐明的义务的国家和供应商而言是成立的。但在短期内, 这种方法具有固有的局限性,因为各国不太可能将认证视为允许某些外国供应商、产品和服务有资格在最敏感的部门中获得合同的充分标准。

(4)强调声誉风险和利益

避免或违反最关键义务的国家和企业可能会受到公开侮辱。相反,遵守义务的国家和企业可以被公开承认。公众能从中受益,其购买的产品和服务从表面上看不太容易受到系统篡改的影响,受到更高安全标准的约束。

(5)发展可信、广泛和开放的企业社会责任(CSR)流程或围绕拟议义务的环境、社会和企业治理(ESG)流程

此流程可以与技术验证过程结合(或与之分开)。无论如何, 根据技术发展和从现实事件经验,CSR 流程将讨论维护和完善企业义务以增强对供应链信任。反过来,企业可以要求其分包商和服务提供商遵守所有义务,并未通过测试将无法获得合同。

(6)利用已建立的私营部门机制鼓励遵守义务

这涉及将这些原则嵌入杰出投资者(例如主权财富基金和大型控股企业)和银行、风险评估实体(例如信用评级企业)以及承保网络风险的保险企业所采用的尽职调查程序中。可以鼓励他们制定清单和审核机制,以评估对拟议义务的遵守情况,并将其反映在业务决策中。

核查和阻止不合规

人们普遍呼吁为保护 ICT/OT 供应链的完整性而制定清晰透明的原则和规范。但是,达成共识,确保广泛的认同并确保其实施存在挑战。义务的吸引力和效用最终取决于具有可靠的机制来验证合规和不合规行为,并对前者进行奖励和 / 或对后者进行惩罚。

倘若缺乏核查机制, 规范将毫无意义并且可能适得其反。如何区分无辜错误 / 缺陷和故意干预存在巨大障碍,虽然透明度和问责制措施不是万能药,但肯定会增强威慑作用。

5.1利用质量保证最佳实践

在技术方面,由于建立监管链并将“可追溯性”功能嵌入硬件和软件供应链的最佳实践越来越普遍,发现干预措施的来源可能变得更加容易。

这种做法源于质量保证目的,但是现在可以作为对未履行拟议义务的一种威慑。可以部分依靠分布式分类账,即区块链技术来实现实时跟踪。

因此,可追溯性可以极大提高针对故意干预的规范性限制的可行性。

5.2征求政府投入

世界各地的情报、执法、国土和网络安全机构拥有相关的专业知识和信息,帮助确定发现的漏洞是源于故意的供应链干预还是无意的缺陷,可以利用资源来确定所发现的异常是孤立的案例还是影响了所有的产品或服务。

调动政府资源来帮助应对认证的挑战并不在于政府的能力,而在于其意愿。政府在政治上可能不愿对其他政府提出指控,其次,政府会担心相关举措会影响情报来源和情报方法。不过,情报机构一直在寻求创新的共享情报方式。

5.3建立一个独立的评估机构

评估机构将成立以识别、诊断和参与对重大供应链缺陷和漏洞的根本原因分析。该机构可以是商业服务,也可以作为自愿的全球或区域公共服务运行。该机构还可以证明产品符合法规或其他网络安全要求,从而有资格获得某些类型的公共和 / 或私人合同。

另一种是建立一个独立的技术机构,以评估对现成的 ICT/OT 产品和服务的网络安全的操纵等。它可以使用合理性的标准而不是确定性的评估来确定检测到的异常是否应该归因于无心的错误。

未来之路

即使合规性难以验证,但拥有规范比没有规范要好得多。政府和企业的补充规范对于在国家安全和执法利益与数字经济利益之间取得适当平衡是必要的。

广义上讲,政府在执行供应链干预措施时必须非常谨慎。各国政府应避免进行系统性干预,只有在彻底分析并权衡所涉及的风险之后, 才使用离散干预。如果他们确实采取了这种干预措施,则政府必须采取相当大的保障措施,以确保其行动高度本地化,仅限于商定的参数并受时间等限制。

同样,提供 ICT / OT 产品和服务的企业必须尽其所能来增强其供应链的完整性——不仅要满足其多样化的商业利益,而且要满足数字经济的巨大利益。

此外,他们必须致力于提高其安全做法的透明度,并允许外部专家进行一定程度的审查。同样,提供 ICT/OT 产品和服务的企业必须尽其所能来增强其供应链的完整性——不仅要满足其多样化的商业利益,而且要满足数字经济的巨大利益。应该采取精心的措施来设计,开发、生产和购买高度安全的产品,并在其整个生命周期中以同等的精力支持它们。

此外, 他们必须致力于提高其安全做法的透明度,并允许外部专家进行一定程度的审查。

图2 确保供应链完整性的整体方法

注:图为译者对报告原图的直接翻译

进一步发展的可选步骤

·向各政府和企业宣传核心原则以期获得认可,同时鼓励各方承诺兑现这些原则——政府单边和多边层面,例如七国和二十国集团、联合国信息安全政府专家组等;由企业主导层面,例如技术协议、《信任宪章》;多方利益相关方层面,例如经合组织全球论坛。

·与私营部门利益相关者(金融行业、保险等) 合作,以制定进一步的激励措施,包括在尽职调查过程中促进网络风险评估和管理考虑。

·发展用于验证和实施标准的机制和技术, 包括通过与制定标准的国内外组织合作。

·探索启动企业社会责任 / 环境、社会和企业治理计划,以进一步落实这些承诺,并建立有效实施这些承诺的机制。

第一步是让所有有关各方发表统一的声明, 例如加入巴黎呼吁,并宣布“系统或广泛地破坏对 ICT/OT 供应链的行为是不可接受的”。签署者承诺避免采取此类行动,并单独和集体采取具体的积极行动,以进一步增强对产品和服务的信任,并对所有未能遵守和遵守这一承诺的有关方施加后果。

理想情况下,该声明应该具有普遍性,并应得到所有国家和企业的认可, 也可以将其纳入双边或多边贸易协定中。随后, 正式同意上述承诺的所有各方可以聚集在一起, 确认并实施相关议程。各国和企业可以分别和 / 或共同建立 ICT/OT 领域的行为准则。

下一步可以包括国际对话;进一步审核、完善和优先级排序;扩大范围以包括数据和算法;与其他举措建立协同效应,以保护 ICT 供应链的完整性。

(1)进行国际对话,以确认拟议义务所依据的逻辑足以促使各国和企业遵守这些义务。每个参与的政府和企业都必须仔细权衡履行义务的利弊以及条件。

(2)在各项义务之间确定优先顺序。有些义务似乎比其他义务更为重要,或者至少对时间更敏感,例如, 承诺避免对 ICT/OT 供应链进行系统或广泛的后门干预,以及承诺增加透明度和问责制。

(3)扩大义务范围,使其囊括数据和算法。数据和算法对于 ICT/OT 产品和服务而言正变得越来越重要,并且可能同样受到相应的操纵。硬件、软件、数据和算法之间的界限越来越模糊。在机器学习、图形和神经网络中对数据进行训练, 这使得必须将数据也视为供应链的一部分。

(4) 应在考虑其他倡议的情况下考虑拟议的高级别义务。最终,它们必须与已经在进行的其他重要举措相结合,并保持一致,以增强人们对 ICT供应链完整性的信心。

最后,建议从长远角度进行总结。建立健康的数字经济不仅取决于增强单个供应链,还取决于建立安全的供应链网络,实际上这是一个完全全球化和可信赖的数字经济生态系统。可以肯定,这是一项真正雄心勃勃的目标,将需要艰苦的努力和更长的时间才能实现。


作者简介:阿里尔,卡内基国际和平研究院非驻所高级研究员,康奈尔大学博士。加入卡内基之前,列维特曾担任以色列国防部国际安全与军备控制局局长以及国防政策国家安全副顾问,其研究方向主要为网络政策倡议和核政策。

译者简介:贺佳瀛,上海赛博网络安全产业创新研究院研究员,主要研究方向为网络空间战略、政策、前沿技术和网络安全治理。

选自《信息安全与通信保密》2019年第十一期

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。