文│中国信息安全测评中心 桂畅旎

2022 年,网络空间与现实地缘政治融汇交织,俄乌冲突、中美博弈、重大网络安全事件持续塑造网络空间。各国网络安全保障走向深入,关基保护、数据立法、平台治理以及技术规制逐步推进。与此同时,网空军事化加剧,国际网络治理曲折不断。本文选取九个方面观察 2022 年国际网络空间主要特点,以期把握趋势,把脉网空未来发展。

一、俄乌冲突线上线下同步展开,网络空间成为重要战场

俄乌冲突爆发 300 余天,线上线下战场仍持续胶着,网络行动贯穿军事对抗的酝酿、爆发、发展全过程,为全球实景展现了网络攻击在现代军事战争中的角色和作用。

网络行动成为现代军事战争重要支撑。网络空间是俄乌冲突中的重要战场,双方政府机构、军事部门甚至民生设施均遭到高级持续性攻击(APT)、数据擦除软件、僵尸网络、分布式拒绝服务(DDoS)攻击等物理破坏。在认知操作层面,虚假信息、算法操控、深度伪造等轮番上演,干扰战争进程,搅动全球舆论生态,通过互联网控制话语权的信息战成为战争重要组成。在参与主体上,除国家行为体外,全球黑客组织、跨国网络安全企业、科技巨头甚至是个人通过网络参与到冲突中来,实施网络攻击、封锁制裁等,俄乌冲突所呈现的混合战规模和形式前所未有。

网攻效力“低于预期”。虽然许多西方政府机构、网络安全企业推波助澜营造网络战迫在眉睫的声势,但至今俄乌战场并未发生网络战级别的行动,俄罗斯网络攻击效果“不佳”成为西方学界主流观点。英国《经济学人》报道称,“俄罗斯未通过网络战制造足够厚的战争迷雾”。美国国家安全委员会前俄罗斯政策主任加文·王尔德认为,俄罗斯在网络间谍方面有几十年的经验,但与西方对手相比,该国的网络军事力量还处于起步阶段。也有观点认为这是俄罗斯出于不愿造成网络攻击外溢而有意限制攻击烈度的结果。乌克兰的网络防御则被一致认为发挥了突出作用,主要原因包括乌克兰在与俄罗斯长期的攻防对抗中建立了针对性很强的防御举措;西方政府和企业提供的能力支持、技术装备抵消了俄罗斯常规军事优势;微软、ESET、思科等网络安全企业深度参与到网络对抗中,为乌克兰提供了重要参谋等。

“网络珍珠港”设定受质疑。一直以来,在震网病毒等重大网络攻击事件影响下,网络空间将发生针对关键基础设施致命攻击的“网络珍珠港”预言一直塑造着网络战叙事,成为各国网络布防的基础。但俄乌冲突中并未发生“网络珍珠港”量级的网络攻击,反倒是干扰认知的信息行动、情报窃取等一系列“武装冲突阈值之下”的网络行动展现出较大破坏力。较多观点认为“靴子没落地”并不是偶然,而是反映了网络战已拓展为涉及各烈度网络攻击的新常态。

二、中美“脱钩”持续演进,“小院高墙”垒台高筑

中美战略竞争仍然是主导网络力量分化组合的重要因素。美国 2022 年《国家安全战略》报告将中国视为唯一既有意愿又有能力重塑国际秩序的竞争对手,并强调将迎来与中国在新兴技术竞争等方面的决定性十年。基于该定调,拜登政府不仅延续了特朗普政府对于中国的技术遏制打压,同时在范围和方式上更为聚焦和“精明”,意图实现限制中国长远发展的战略“脱钩”。

加快“脱钩”步伐。美国国家安全顾问杰克·沙利文在阐释美国《国家安全战略》报告时明确表示美国正在实施“小院高墙”战略,即将特定技术和研究领域的核心技术保留在“院子”里,高筑保护“围栏”。美国并未具体划定“院子”范围多大,但在“国家安全忧虑”下不断拓展范围。在此叙事下,拜登政府“闯关”国会顺利颁布多部法律,其中《芯片和科学法案》是展现美国开展技术竞争的“集大成者”,规划了从先进芯片、超级计算机到制导武器等关键技术的限制举措,针对中国芯片产业明确实施排他政策,施压芯片企业“选边站队”。

加码政策工具。美国升级各项国内政策工具以加固“小院”的“围栏”。在投资限制上,拜登 9 月颁布行政令要求美国外国投资委员会(CFIUS)确保美国对国家安全风险开展强有力的审查,详细阐述了涉及国家安全风险的因素清单,包括微电子、人工智能、量子计算等威胁美国领导地位的关键技术以及涉及网络安全风险的交易。这也是该机构 1975 年成立以来,美国总统围绕外国投资事项签署的首个总统指令。在出口管控上,美国商务部产业安全局(BIS)10 月发布半导体出口管制新规,不仅禁止美国企业和美国人向中国提供尖端芯片技术和服务,同时也限制非美国企业向中国出售使用美国技术产品的能力,新措施的广泛和严厉让许多分析人士称其为美中科技战的“分水岭”时刻。除此之外,美还通过经营限制、税收等政策限制特定对象在美投资。

加强阵营壁垒。拜登政府将说服盟友配合视为关键技术出口管制措施能否取得预期效果的关键因素,因此积极拉拢盟友建立多边监管框架,构建阵营化壁垒。目前美国已推动北约、G7 等组织公开声明将协调技术出口管制措施,拉拢日本、荷兰、英国、德国等以国家安全为由限制与中国的半导体合作。美国还积极干预大型跨国企业的全球布局,包括施压台积电在美设厂,胁迫苹果将工厂搬离中国等。

三、勒索攻击势头不减,政治属性逐渐凸显

近年来,勒索软件频繁占据新闻头条,成为全球“公害”。根据网络安全风险投资公司(Cybersecurity Ventures)评估,全球勒索软件组织正以每 10 秒 1 次攻击的速度进行。“今天你被勒索了吗?”成为网络安全界的新流行语。高关注的背后既有勒索攻击战技术的升级,同时也潜藏着个别国家的政治叙事塑造。

勒索战技法升级。勒索攻击呈指数级增加,勒索变种不断演变,攻击目标从过往的广撒网蠕虫式攻击升级为针对政府、关键基础设施的定向攻击,这与勒索组织更具专业化、职业化分不开。从勒索方式来看,现代勒索攻击已经从传统的支付赎金恢复数据的勒索方式,演化为同时开展双重勒索、三重勒索甚至是四重勒索。在利用凭借上,勒索更多转向零日漏洞进行攻击。此外,勒索攻击组织层级分明、分工明确,日益专业化,已经发展成为“产业链”。

勒索“独狼”兴起。发起勒索攻击的主体正在从成熟的黑客团体延伸到非专业的网络犯罪组织甚至个人,这主要源于“勒索软件即服务”(RaaS)逐渐普及。RaaS 是勒索组织专业化的典型体现,它允许运营商将勒索软件租给机构或个人,这就使得勒索软件演变成为一种商品,降低了实施勒索攻击的门槛。此外,加密货币越来越多地被用于勒索支付则直接加大了追踪难度。在经济利益的刺激下,打击勒索组织俨然成为“打地鼠”游戏,难以有效清除。

勒索应对政治叙事显现。美欧国家将打击勒索攻击上升为促进跨部门和跨国合作的有力抓手,特别是拜登政府将解决勒索威胁列为其网络安全的主要绩效目标,动用司法、外交、经济和军事等“全政府”方法,盘活职能部门,强制私营企业提交勒索数据。同时,拜登政府正在塑造一场打击勒索的叙事行动,以勒索软件的跨国性为由,加强与国际伙伴的合作和信息共享,推动北约、G7 等国际组织发布打击勒索的报告,积极扩展国际勒索软件倡议(CRI),CrowdStrike、曼迪昂特(Mandiant)等 13 家私营公司,成为美国吹嘘其“多利益攸关方”治理模式的重要案例,也有观点认为打击勒索比较容易出成绩,对于拜登政府来说是“相对容易摘的网络安全果实”。

四、关基保护走向深入,政企合作取得突破

在重大网络安全事件倒逼下,多国政府在关键基础设施保护举措上更加精细化,新措频出推动网络安全威胁“看得见”“管得了”“防得着”“扛得住”。

实施强制事件报告,让安全威胁“看得见”。为解决政府难以及时掌握威胁信息的问题,强制企业在规定时间内报告网络安全事件的机制正在成为趋势。美国 3 月通过的《关键基础设施网络事件报告法案》(CIRCIA)要求关键基础设施实体在遭遇网络事件 72 小时内、被勒索付款的 24 小时内必须向网络安全与基础设施安全局(CISA)上报。该法案对美国关键基础设施保护具有里程碑意义,改变了私营企业对于关键基础设施保护的自愿原则,使得政府事实上介入企业的网络安全态势。报告机制得到其他国家的效仿,欧盟在新修订的《关于在欧盟全境实现高度统一网络安全措施的指令》(“NIS 2.0 指令”)中要求企业在网络安全事件发生 24 小时内向有关部门报告,澳大利亚《2022 年安全立法修正案(关键基础设施保护)法》要求对关键基础设施资产产生“重大影响”的事件应在 12 小时内,俄罗斯在《联邦个人数据法》修订中也做出数据处理者必须在 24 小时内报告的要求,印度的时间限制最为严格,要求在 6 小时内报告。

圈定核心设备,确保重大威胁“管得了”。为集中优势资源保护核心基础设施,多国开始依据重要性圈定核心设施并进行优先级保护。CISA 力推的“具有系统性重要的关键基础设施”标定(SICI)就是该努力的典型例证,被贴上 SICI 标签的实体将与政府共享威胁信息,同时可在遭受攻击后获得联邦优先援助。虽 SICI 最终未被纳入美国 2023 年国防授权法案,但是 CISA 明确表示将以部门之力持续推动该基础设施分类。澳大利亚《2022 年安全立法修正案(关键基础设施保护)法》中同样要求建立“具有国家意义的系统(SoNS)”制度;欧盟也在酝酿出台法案明确“欧洲具有特定重要性的关键实体”。

推动“零信任”落地实施,拓宽防护边界力争“防得着”。“零信任”提出数年有余,美国政府作为该理念的主推者,已经实现从概念论证到落地实施的转换。2022 年初,美国政府部门连发两份政策文件,分别是《关于改善国家安全、国防部和情报界系统网络安全的备忘录》和《推动美国政府走向零信任网络安全原则备忘录》,规划各部门实施零信任的时间表和路线图;年底,美国防部发布《国防部零信任战略》及《国防部零信任能力实施路线图》,正式进入部署实施阶段;包括雷神、博思艾伦等企业已针对不同场景推出零信任解决方案,直接服务于美政府和军方部门。

设定最低安全基准,确保安全韧性“扛得住”。为落实拜登政府《关于改善关键基础设施控制系统网络安全的国家安全备忘录》,CISA 制定了关键基础设施网络安全绩效目标(CPG),帮助关键基础设施部门建立共同的网络安全基线能力实践;美国多个关键基础设施领域陆续引入绩效目标,确保实现最低网络安全标准。欧盟 NIS 2.0 指令也提出了协调成员国网络安全基线安全的要求。此外,利用“打标签”的方式引入市场压力推动企业强化网络安全的举措正在得到全面推广。欧盟正在推动的《网络弹性法案》要求所有在欧盟市场上销售的数字产品在整个生命周期都必须满足强制性网络安全标准,由欧盟颁发“CE”标志后才可上市销售。拜登政府也将物联网产品的网络安全标签计划列为其网络安全优先项。划定基准以及“打标签”的做法有利于关键基础设施运营商衡量并提高自身网络安全成熟度和韧性。

五、数据安全密集立法,跨境数据传输波折不断

2022 年重大数据泄露事件依旧高企,各国不断诉诸立法与执法,以适应数据时代的新安全态势。

数据安全立法“重拳出击”。大规模数据泄露事件推进立法改革,澳大利亚、印尼、印度、泰国等国均针对重大数据安全事件进行了立法回应,特别是澳大利亚第二大电信公司 Optus 和保险巨头 Medibank 接连遭遇重大数据泄露事件,澳大利亚政府在短时间内即通过《2022 年隐私法修订案(执行和其他措施)》,要求发生数据泄露的公司与银行分享可能受到影响的用户信息,同时还要求企业对于数据泄漏负直接责任,罚款将从目前的 222 万澳元(约合人民币 1076 万元)提高至 5000 万澳元(约合人民币 2.42 亿元)。印度尼西亚在 2022 年通过了《个人数据保护法案》,作为该国第一部针对个人数据隐私安全与保护的一般性法律,参考了欧盟“通用数据保护条例”(GDPR),系统搭建了个人数据保护体系,为印尼个人数据合规提供了更清晰的法律依据和更明确的监管方向。印度也在积极推动《个人数据保护法案》,强调公平、合法和透明、数据最小化、存储限制和问责制等原则。

数据保护适度回归平衡。全球数据保护新规不断,但囿于数据确权问题,“牛栏关猫”问题依然严峻,如何平衡创新发展和安全保障是关键。欧盟“通用数据保护条例”(GDPR)提出的严格数据保护要求在促进欧盟甚至全球数据保护上均发挥了引领性作用,但是高昂的合规成本以及繁琐的合规程序在一定程度上也打击了数字经济活力。2022 年 5 月,欧盟理事会批准《数据治理法》(DGA),提出了“数据利他主义”“数据中介”等新概念,意在平衡企业数据利用和个人数据保护之间的利益诉求,奠定欧盟国家数据使用的基本原则。

跨境数据传输曲折中推进。拜登政府极力推动双边、多边层面的跨境数据传输,不仅联合加拿大、日本、韩国等发布《全球跨境隐私规则宣言》,在 APEC 力推“全球跨境隐私规则论坛”,同时弥合多次破裂的跨大西洋数据传输,为获得欧盟委员会的“充分性认定”,拜登政府不仅签署了《关于加强美国信号情报活动保障措施的行政命令》,对美国情报机构获取数据活动施加严格的限制,同时在美欧网络安全对话、美欧贸易和技术委员会(TTC)等多平台中展现恢复跨大西洋数据传输的决心。美国的积极“示好”使得美欧就《跨大西洋数据隐私框架》达成一致,也推动了欧盟委员会启动《欧盟-美国数据隐私框架充分性决定草案》的进程。可以看出,美架空中国在 APEC 另设一套跨境传输新规则,欧盟在俄乌冲突后取消对于俄罗斯的“充分性认定”,均凸显出跨境数据传输规则背后的政治因素。

六、平台治理“高歌挺进”,企业问责成趋势

2022 年,数字平台治理立法频出,无论是反垄断还是内容治理,平台企业迎来强监管。

“守门人”制度出台。欧盟《数字市场法》(DMA)11 月 1 日正式生效,为规制网络平台创造性地提出了“守门人”制度,并为满足标准的“守门人”企业设置了不得利用数据投放定向广告、限制“猎杀式并购”(killer acquisitions)、允许侧载应用(sideloading)、实现互操作性等举措。法案首次针对大型互联网平台在欧洲市场的竞争模式做出详细规定,违规企业将被最高处以其全球年销售额 6% 的罚款。严格的法规、明显的域外效应以及高额的罚款使“守门人”规定成为欧盟引以为傲的“布鲁塞尔效应”又一加持。

内容审核把关。欧盟 11 月 16 日生效的《数字服务法》(DSA)为在线平台提供了确保内容安全的新义务,如规制非法内容传播、保护网络环境中的未成年人数据、限制个人敏感数据用于定向广告和展示等,法案提出了一种被称为超大型在线平台(VLOP)的新分类,即拥有月平均活跃用户达到或超过 4500 万的平台,规定在定向广告方面将受到限制,这也是欧盟对于企业内容审核的明确要求。在趋紧的内容管理法律下,脸书、推特等平台均大力开展虚假信息的审核把关。

高额处罚加持。为使立法更为有效地落地,各国监管机构开出了高额的罚单。爱尔兰数据保护委员会分别针对 Instagram 和 Meta 处以 4.05 亿和 2.65 亿欧元的罚款,是迄今为止第二大和第三大 GDPR 罚款。在美国,Epic Games 则支付 2.75 亿美元罚款就侵犯儿童隐私的行为与美国联邦贸易委员会(FTC)达成和解。FTC 还对 Twitter 因违法将账户安全数据用于定向广告处以 1.5 亿美元的罚款。

七、关键技术风险管控是重点,标准竞争先行

新技术新应用既是国家竞争的新前沿,同时也是国家安全治理的新领域。谁能平衡好技术应用的创新与安全问题,谁就能在技术竞争中拔得头筹。各国在推动技术发展与安全风险管控中竞相布局。

抢占关键技术先发优势。人工智能、量子计算等关键两用技术关乎国家安全,成为各国治理和争夺重点。在人工智能方面,美国政府发布《人工智能权利法案蓝图》,在“保护人工智能时代美国民众的权利”的愿景下提出应对算法操纵、保护数据隐私等措施;欧盟正在推行的《人工智能法案》则基于风险预防的理念为人工智能制定了一套覆盖全过程的风险规制体系。美欧还联合成立人工智能小组,制定联合路线图,评估“可信赖的人工智能和风险管理”工具。在量子计算方面,拜登政府签署涉量子的行政令和国家安全备忘录,一方面确保美国在量子信息科学领域的领先地位,另一方面布局应对量子通信带来的网络安全威胁。在实践层面,美国安局正在推动后量子密码(PQC)的发展,美政府通过《量子计算网络安全防范法》,为信息技术系统向后量子密码迁移保驾护航。欧盟也发布了《欧洲量子计算和量子模拟基础设施》白皮书,在实现高性能计算机(HPC)与量子计算的融合发展上达成了共识。

技术标准成为竞争热点。标准竞争原是企业占据主场,在地缘政治因素影响下,该领域正涌入越来越多的政府主体与政治因素。诚如美国国会协商委员会指出,未来新技术标准关乎美国核心利益,影响美国在全球的话语权。拜登政府上台后将技术标准建设作为抵消中国发展的基本举措之一,加大对美国国家标准技术研究院(NIST)的投入,专门成立网络空间和数字政策局,支持美国参与国际标准制定,鼓励在国际标准化组织中采用美国制定的技术标准,同时加强在新技术领域对中国制定标准的打压。欧盟委员会也在 2022 年 2 月发布《欧盟标准化战略》,要求在全球标准制定中确保欧盟在关键技术领域先行者的领导地位和促进欧盟核心价值观。美欧贸易和技术委员会(TTC)第二次会议还建立了“美欧战略标准化信息(SSI)机制”,加强美欧技术相关国际标准制定的信息共享。

前沿新兴技术布局。除争夺业已成熟的关键与基础技术,各国政府也将目光聚焦到加密行业、数字资产、Web3.0 等前沿技术上,试图引领监管创新前沿。据不完全统计,自 2022 年 3 月以来,拜登政府共发布 9 份加密技术相关报告,基于这些报告,美国发布首个加密货币综合监管框架,意图引导美国加密货币技术的发展。日本首相岸田文雄提出将 Web 3.0 作为经济改革的支柱,成立专门负责 Web 3.0 政策的办公室。新加坡则通过各项政策推动自身成为全球 Web3.0 企业创新创业的聚集地。

八、网空军事化加剧,“前置”行动成常态

俄乌冲突成为各国突破国内立法限制,公开网络军事力量建设,在国际上拉帮结派寻求集体行动庇护的“万能牌”,网空军事行动被摆上“台面”。

网络援乌“成果”机制化。美西方国家借助俄乌冲突试验网络武器,培训网络军事力量,甚至是演练网络集体行动。北约向乌克兰开放网络武器库,将网络安全技术装备作为援乌重要事项,并推动在网络空间激活《北大西洋公约》第 5 条集体防御条款,相继吸纳韩国、日本加入北约合作网络防御卓越中心(CCDCOE),强化跨区域网络行动协同。欧盟启用“网络快速反应专家小组”援乌,并发布《网络防御政策文件》进一步加固援乌的网络安全东方项目(Cybersecurity East Project)。美更是将乌克兰在网络空间的“有效抵抗”包装为推销其“前出狩猎”的广告,为在更多国家部署作铺垫。

网络军事能力建设提速。美西方国家或是在国家战略中明确发展网络军事能力,或是施压国内立法、预算机构支持网络军事力量建设。拜登政府《国家安全战略》《国防战略》均提出强化网络威慑能力建设,在 2023 财年《国防授权法案》中专门拨款 4400 万美元用以加强“前出狩猎”行动。北约在《2022 年战略概念》文件中明确调整北约指挥结构以适应“信息时代”,加强其网络防御、网络和基础设施。日本则利用俄乌冲突恶意渲染“邻国威胁论”,不仅在 3 月建立“网络防卫队”,并在短短一年内完成队伍扩编。连一向保持中立的新加坡也成立了数字和情报军(DIS),实质是行使网军部队的职责。

网络用武不断松绑。拜登政府将实施“前出狩猎”的主责部门网络任务部队(CNMF)提升为二级联合司令部,并在审议修订的《第 13 号国家安全总统备忘录(NSPM-13)》中倾向于扩大国防部发动网络行动的授权。美进攻性行动理念正在被更多的国家接受并践行。日本正在计划建立“积极防御网络”体系,授予日本政府在非战争状态下实施先发制人的网络行动。澳大利亚信号局(ASD)启动的“红辣椒”(REDSPICE)计划实质就是扩大进攻性网络能力。网络行动普遍“前置”背景下,以往关键基础设施、民用部门等“红线”内的设施成为攻击目标,伊朗大型钢铁厂遭受网络攻击被迫停产就是例证,攻击无差别化加剧网络空间乱象。

九、国际网络治理在“十字路口”徘徊,国际法与网络空间适配成焦点

2022 年以来,西方学界关于“互联网碎片化”的讨论越来越多,甚至抛出“全球互联网时代已经结束”“互联网陷入两种模式之争”等言论,虽有夸大之嫌,但一定程度上也反映出国际网络治理面临的困境。

单边主义冲击下多边裂痕加剧。“互联网碎片化”是美国政府在网络空间强化单边主义的直接结果,无论是联手 60 个国家和地区签署《互联网未来宣言》,以意识形态为线煽动网络空间分裂和对抗;还是撮合盟友发布网络安全溯源报告,针对对手国家实施所谓的“点名羞辱”和综合威慑,正是这种集团性的“家法”“帮规”破坏了全球互联互通。单边主义行径也影响到国际多边合作层面。2022 年 11 月,联合国大会第一委员会通过“从国际安全角度使用信通技术的国家负责任行为的行动纲领”(PoA),PoA 由法国和埃及于 2020 年首次提出,得到美国、欧盟、日本等大力支持,实质是将部分国家的意志凌驾在多边协商的基础上,对冲了联合国信息安全开放式工作组(OEWG)等联合国网络安全既有协商机制的效力。

地缘政治裹挟下多方合力降低。随着地缘政治因素进入网络空间,非国家行为体在全球网络治理中的声音逐渐式微,一些曾经活跃的非政府组织也“偃旗息鼓”。例如,微软发起的数字日内瓦公约关于“各国政府承诺不对民用目标或关键基础设施使用网络攻击”,“防止各国囤积软件漏洞”的倡议在当前的国家网络对抗中已“飘零在风中”;包括微软、思科、甲骨文在内的“网络安全技术协议”组织也在控诉 OEWG 因俄乌两国的否决将该组织排除在工作组会议之外。有评论认为,此举反映了政府主体在国际网络治理中对于非政府主体的不信任,是多利益攸关方之间“信任的又一次恶化”。

国际法入网任重道远。俄乌冲突再次引发国际法与网络空间适配性的讨论,战争中大量的第三方力量广泛参与,使得平民和军方行为者间的界限更加模糊,对国际人道法、武装冲突法等现有国际法适用于网络空间构成了挑战。除此之外,网络空间大量所谓的“治安维持者”兴起,以行使“公义”的角度大行其道,无论是“匿名者”黑客组织(Anonymous)助乌克兰攻击俄罗斯,还是“杀戮网”(Killnet)声称代表俄罗斯在全球实施网络攻击报复行动,个体组织的黑客行动正在变得越来越具有破坏性,尚未存在规制此类行为的国际法,也更加凸显国际法入网之路漫漫。

(本文刊登于《中国信息安全》杂志2023年第1期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。