欧盟网络安全态势评估：挑战、政策与行动

文│ 上海政法学院上合基地文献信息部副主任 孙频捷

2021年，欧盟网络安全环境变得更加不稳定。新冠肺炎疫情使欧盟国家、社会和经济体加快转型，社会各领域高速的数字化进程，突显了网络安全的重要地位。同时，欧盟的网络威胁环境也发生了巨大改变，针对网络的大规模攻击行动数量大幅增加，勒索软件攻击变得更具有针对性，对网上银行、支付媒介、关键基础设施和新兴智能设备目标的攻击也日益增多。为此，欧盟委员会于 2020 年 12 月 16日发布了《欧盟网络安全战略》（EUCSS），试图通过不断加强欧盟网络安全战略顶层设计，完善快速反击机制等途径，以回应这些新的挑战。

一、欧盟面对的主要网络安全挑战

欧盟网络安全局（ENISA）在 2021 年 10 月公布的网络威胁形势报告（ENISA THREAT LANDSCAPE2021），将勒索软件、恶意软件、加密劫持、电子邮件相关威胁、对数据的威胁、对可用性和完整性的威胁、虚假信息/错误信息、非恶意威胁和供应链攻击列为欧盟在 2021 年面对的主要网络安全威胁。在 ENISA 的这份报告中，勒索软件取代了恶意软件（2020 年报告中排首位），成为欧盟的首要网络安全威胁。因此，2021 年的欧盟网络安全政策在很大程度上受到了这一判断的影响，集中精力应对以网络勒索为代表的大规模网络攻击事件的威胁。

2020 年至 2021 年间发生的多起网络攻击表明，发生在欧盟的网络勒索攻击和网络间谍活动越来越普遍，并且它们给整个经济和社会的所有部门都带来了越来越大的风险。这些网络安全事件的规模与过去不同，且造成的影响和损失都是空前的。例如，美国主要信息技术公司太阳风（SolarWinds）于 2020年成为被网络攻击的对象。该攻击造成的危害随后被其产品传播到全球客户，并且持续数月都没有被发现。这使得黑客可以任意访问使用 SolarWinds “猎户座”（Orion）系统的数千家公司和政府机构，其中，包括六个欧盟机构。2021 年 1 月，微软邮件服务（Microsoft Exchange Server）系统被发现了许多影响全球电子邮件系统的零日漏洞。5 月，爱尔兰共和国卫生服务执行机构的数据库遭受了连续性的网络攻击，导致数百患者的大量敏感数据被盗，同时，勒索软件也攻击并破坏了该国的医疗服务系统，造成严重经济损失。同样，也是在 5 月，挪威信息技术公司“沃伦”（Volue）的服务器遭遇勒索软件攻击，导致挪威国内 200 座城市的供水与水处理设施的应用程序被迫关闭，影响范围覆盖挪威约 85% 的居民。

虽然这些攻击造成的损害程度尚不完全明确，但是每起事件都突显了恶意利用信息和通信技术的情况存在，而且针对现有信息产品、服务、系统和网络中的漏洞发动的攻击可能产生严重的后果及深远影响。根据欧盟基金会（EuroFound）在 2020 年的调查数据，整个欧盟在新冠肺炎疫情期间进行远程工作的员工人数介于 25% 至 65% 之间。根据欧盟刑警组织的一项研究，这大大增加了犯罪分子通过使用勒索软件、恶意软件和恶意应用程序从此类网络犯罪中获利的比率。此外，根据欧盟委员会发布的《数字时代的网络安全战略》（The EU"s CybersecurityStrategy for the Digital Decade），五分之三的欧盟用户在使用在线服务时感到无法保护自己免受网络威胁，其中三分之一收到了欺诈性电子邮件或电话和八分之一的企业已成为网络攻击的受害者。对在线服务的网络安全缺乏信任是用户使用此类服务的主要障碍，网络攻击的威胁在经济和社会中引发“连锁反应”，降低了公众的信任度。

因此，欧盟委员会预计，随着新冠肺炎疫情促进社会数字化进程的不断推进，未来，网络攻击的频率会不断增加，造成的影响也会越来越大，欧盟网络安全的形势将日趋复杂。

二、欧盟网络安全政策与行动

面对上述网络安全威胁，欧盟采取了积极的应对措施。在 2020 年 EUCSS 的基础上，2021 年 3 月，欧盟委员会发布《关于欧盟数字十年网络安全战略的结论》（Council Conclusions on the EU"s CybersecurityStrategy for the Digital Decade）文件，全面推动欧盟新网络安全战略的实施。10 月 7 日，欧盟议会表决通过“欧盟网络防御能力状况报告案”（EuropeanParliament Resolution on the State of EU Cyber DefenceCapabilities），呼吁欧盟及其成员国进一步制订全面网络安全措施与防御政策，以强化韧性及相互协调。在这一背景下，2021 年欧盟在加强关键基础设施韧性、构建网络技术主权与领导力、构建网络联合行动能力和发展全球开放网络空间四个领域推动了一系列政策的实施，为欧盟未来网络安全政策的重大调整拉开了序幕。

第一，通过更新网络安全措施指令增强基础设施安全与韧性。从近两年发生的大规模针对网络基础设施的攻击和网络勒索事件中，欧盟认识到，全球供应链和关键基础设施在面对网络攻击时非常脆弱。欧盟委员会的相关报告特别指出，那些与新冠肺炎疫情大流行作斗争的医院正面临持续性的网络攻击风险。因此，20201 年，欧盟委员会联合欧盟议会加快立法进程，确保迅速通过新的“欧盟范围内高度共同的网络安全措施指令”（Directive on Measuresfor a High Common Level of Cybersecurity across theUnion）提议（该指令非正式地被称为 NIS 2.0）。该指令最大的特点是扩大了网络安全责任实体的覆盖范围，并增强了行政部门对网络安全管理的权限。除了传统网络安全实体外，新指令还将包括废水、公共管理和航天公司等部门纳入关键基础设施范围。更为重要的是，它还引入了“重要”实体的概念，将邮政和快递服务、废物管理、制造、化学品生产和分销、食品生产、加工和分销、制造和数字提供商归入“重要”实体，与“基本”实体相区分，让行政部门可以酌情采取更为灵活的监管政策。新的指令拟定了一份基本网络安全风险管理措施清单，并要求成员国确保基本和重要实体的运营商向计算机安全事件响应小组报告重大网络事件，而 2016 年的指令对这一问题的要求仅仅是“建议”。新的指令在监督和执行方面更为严格，赋予主管当局更多权力。例如，主管当局可以制定对基本和重要实体施加措施的清单，并将行政罚款的最高门槛提高到一千万欧元或相应重要实体全球年总营业额的百分之二。欧盟理事会希望通过促成这一更加严格的网络安全措施指令，加强对欧盟各关键基础设施的监管，降低他们遭到大规模网络攻击的风险。目前，这一新的指令被普遍认为是加强欧盟网络安全的重要步骤。目前，欧盟议会的立法者们正在修改这一指令的相关文本，预计将在 2022 年下半年定稿并进入表决程序。

第二，大幅增加技术投入实现网络技术主权。新的 EUCSS 特别关注欧盟技术主权的重要性。欧盟国家希望能够在网络技术领域形成一套独立自主且可控的技术研发与应用路线，以保障欧盟国家拥有自身网络安全的主导权。这些措施主要聚集于以下几个领域：首先，在网络安全投资领域，欧盟在“欧盟地平线”（Horizon Europe）和“数字欧盟计划”（Digital Europe Program）中制定了新的财务工作机制，即通过欧盟网络安全工业、技术和研究能力中心（European Cybersecurity Industrial, Technology andResearch Competence Centre ）和欧盟能力中心网络（European network of competence center）两个机构对这项财务计划实施管理。预计，在 2021 年至 2027年间，每年将有 45 亿欧元的公共和私人投资被引入欧盟网络安全产业。其次，在网络安全技术开发领域，欧盟支持人工智能安全运营中心网络——即欧盟“网络盾”的建设，并且继续推动欧盟量子通信基础设施（European Quantum Communication Infrastructure，EuroQCI）倡议被欧盟各国认可。目前，第一个被“数字欧盟计划”支持的国家量子通信基础设施（QCI）网络和欧盟量子通信基础设施所需关键技术的开发将很快启动，为欧盟国家掌握量子安全通信技术迈出了重要的一步。最后，在关键网络基础设施建设过程中，欧盟国家努力发展自有技术方案实现基础设施的完全可控。欧盟网络安全战略要求欧盟拥有自己的域名解析服务（DNS），作为欧盟公民、企业和公共管理机构访问互联网的安全开放替代方案，即欧洲域名解析系统（European Domain NameSystem）。在 5G 网络领域，在欧盟委员会和欧盟网络安全局的支持下，欧盟在实施 5G 工具箱方面取得了进一步进展，特别是在针对高风险供应商的限制方面，形成了较为统一的政策，并在积极筹备欧盟5G 网络候选供应商认证计划。

第三，建立联合网络单位（ Joint Cyber Unit），以改善欧盟应对大规模安全事件的响应能力，协调欧盟网络安全行动。2021 年 6 月 23 日，欧盟委员会正式提出建立联合网络单位的计划，以应对越来越多的严重网络安全事件。这项建议的内容涉及联合网络单位建设的重要节点、过程方案和具体时间安排等。建议指出，联合网络单位是一个平台，可以确保在欧盟范围内对大规模网络安全事件和危机做出协调一致的响应，并且为网络危机造成的后果提供支持。这一联合单位的建立将协调欧盟内部各单位的行动，实现信息共享，并及时提供预警。在这一平台上，欧盟可以提出统一的网络安全事件和危机计划，建立快速的欧盟网络安全响应团队，实行欧盟国家内部和跨境监视和检测能力等重要网络安全举措。

第四，推动网络安全领域外交合作，扩大欧盟网络安全议题的全球影响力。欧盟委员会认为，当前的网络威胁环境正通过开放的互联网向全球传导。恶意网络活动的增加已经严重影响信息和通信技术产品及其相关服务的安全性和完整性，并对全球开放的网络空间以及法治、人权、基本自由和民主价值观构成直接的威胁。一方面，在网络安全治理领域，欧盟努力推进网络空间负责任的国家行为，通过与其他 53 个共同发起方一起制定联合国层面的推进负责任国家行为行动计划（PoA）。2021 年，欧盟非常重视开展网络外交活动，通过网络安全领域的对话，加强和扩大与第三国、国际和区域组织以及其他利益攸关方的关系。2021 年 10 月，欧盟委员会开始积极推动欧盟自身机构以及欧盟国家的团体和机构能够更好地协调欧盟外部网络安全能力建设工作，推动落实欧盟网络安全战略中“建立全球开放网络”的目标。另一方面，在共同打击网络犯罪领域，特别是针对愈演愈烈的网络勒索事件，欧盟对外事务部（EEAS）正在审查《欧盟联合外交应对恶意网络活动框架实施指南草案》（The Framework for a JointEU Diplomatic Response to Malicious Cyber ActivitiesIndicates），以帮助开发网络外交工具箱。2021 年 4月 16 日，欧盟针对恶意网络活动的影响，特别就“太阳风”（SolarWinds）网络攻击事件声援美国，展示了欧盟与美国在共同打击网络犯罪问题上坚定的同盟关系。这一系列网络外交活动进一步扩大了欧盟在全球网络安全治理领域的影响力。

三、欧盟网络安全政策的特点

从 2021 年欧盟在网络安全领域的政策与具体行动中可以发现，经历了新冠肺炎疫情期间多起严重网络安全事件的后，欧盟国家对网络安全问题的态度发生了重大转变，大规模网络安全事件成为迫在眉睫的严重风险因素。无论在政策制定、技术投资还是国际合领域，与以往欧盟网络安全政策相比，当前的欧盟网络安全政策都发生了显著的改变。

第一，欧盟网络安全政策焦点由个体层面转向国家层面，网络安全政策向更具强制力方向发展。从传统看，欧盟更注重社会层面的网络安全问题，在隐私保护、数据安全、打击大型互联网企业垄断方面都投入了巨大的资源与经历。可以说，从传统意义上看，欧盟的网络安全政策侧重于保护个体。但是，新的欧盟网络安全战略改变了这一取向。面对新的网络安全威胁环境，欧盟国家将主要精力转向保护关键基础设施和重要实体。也正是由于这一转向，欧盟制定的网络规范变得更为严格，更加具有约束力，体现了欧盟加强网络管理力度的决心。

第二，欧盟在网络安全领域更加强调独立性。欧盟新网络安全战略强调欧盟的技术主权，并在网络基础设施建设、技术研发和投资领域积极贯彻这一目标。在新冠肺炎疫情期间，数字化办公让欧盟看到了欧盟数字化转型的现实需求，也进一步增加了欧盟对缺乏网络核心技术而导致安全风险的担忧。因此，2021 年，欧盟开启推动网络技术和基础设施独立性进程，这一趋势也与当前欧盟试图在各领域摆脱对美国依赖的趋势相契合。

第三，欧盟网络安全战略具有明确的意识形态特征和价值取向。欧盟网络安全战略附带很强的意识形态色彩，欧盟对开放网络空间的定义，强调了法治、人权、基本自由和民主价值观，同时，欧盟也强调要和具有共同价值观的合作伙伴一起推动国际网络空间治理。同样，在欧盟的网络安全定义中，维护网络空间各项所谓人权标准也被纳入网络安全整体框架。在对网络安全威胁的阐释中，欧盟特别强调了对“民主机构进行攻击”的威胁，进一步将网络威胁政治化和意识形态化。

欧盟在 2021 年的网络安全政策调整是明显且卓有成效的，除了维护欧盟所面对的网络安全现实威胁以外，更反映出欧盟试图成为未来全球网络空间治理重要参与者，乃至成为全球网络安全和数字空间领导者的雄心。

四、未来欧盟网络安全政策发展趋势

从当前欧盟网络安全战略的调整分析，欧盟对新兴网络威胁的积极回应，反映出欧盟在数字化转型背景下对数字主权和网络安全领导权的渴望。在这一背景下，欧盟未来的网络安全政策可能会沿着以下两条路径发展。

一方面，建立更加具有独立性的网络安全体系。未来，数字经济发展更加涉及欧盟的核心利益，遭受新冠肺炎疫情严重冲击的欧盟更加倚重数字转型引领经济的复苏。因此，在网络安全领域，欧盟未来必然将着重以“数字主权”为抓手，降低对全球网络技术供应链的依赖，同时，通过推进欧盟网络治理规则、价值观念的输出与传统网络强国开展竞争，争夺网络空间治理的领导权。在这一趋势下，欧盟必然需要摆脱在网络安全治理领域对美国在技术、体制上的各种依赖，形成一套独立自主的网络安全规范和技术体系。虽然欧盟依然强调网络安全领域的美欧同盟，但是，从过去以数据主权、隐私保护和反垄断为由打击美国网络巨头，到计划在未来实现网络基础设施建设、技术规范的独立自主，都折射出欧盟的这一政策取向。这预示着，未来网络安全领域的美欧同盟将不会再是一种单向的依赖关系。

另一方面，制定日趋严格和集权化的网络安全政策。在新冠肺炎疫情背景下，针对关键基础设施的网络攻击变得越来越频繁，造成的损失也更为严重。欧盟制定新的“网络安全措施指令”，更为严格地约束其成员国行为。很多过去的网络安全建议转变为硬性规定，显示出欧盟委员会统一网络安全治理政策的坚定决心。虽然这一新指令依然还在等待欧盟议会的审批中，但是，欧盟提高自身在网络安全领域的行政权威，统一成员国网络安全规范的趋势已经显现。未来，欧盟会改革原有松散的管理体制，统一各成员国行动，在网络安全领域采取更为积极的态度。

欧盟正不断强化网络技术主权和网络安全的领导能力。在数字化转型时代，构建网络安全领域领导力已经成为欧盟委员会及其他欧盟主要机构的重要目标。在数字化时代的全球网络安全治理体系中，欧盟将扮演重要的角色。

（本文刊登于《中国信息安全》杂志2021年第12期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。