文 | 对外经济贸易大学国际关系学院/国家安全计算实验室研究助理 戴雯静

2022 年,由于新冠肺炎疫情和俄乌冲突的影响,国际局势日趋紧张,针对性网络攻击愈演愈烈,网络空间作为“第五边疆”遂成为新的地缘政治竞争领域。在快速发展变化的全球网络空间治理框架中,亚洲地区正扮演越来越重要的角色,特别是韩国、日本、印度、新加坡等国家,不断提升自身网络治理能力,积极参与大国网络空间博弈进程。面对层出不穷的网络安全挑战,不断升级各自的网络安全政策与行动,努力提高自身网络空间安全治理能力,增强网络空间治理国际对话与协调能力,已经成为亚洲国家寻求网络安全的普遍举措,亚洲网络空间安全新秩序呼之欲出。

一、亚洲部分国家面临的主要网络安全挑战

在新冠肺炎疫情期间,远程办公市场规模不断扩大,大量数据被暴露在公共互联网上,网络安全威胁日益凸显。网络攻击手段和规模持续升级且隐蔽性、危害性、破坏性大大提升,韩国、日本、印度、新加坡等亚洲国家成为黑客攻击的重要目标。频发的网络安全事件导致巨大经济利益和社会利益损失,亚洲面临的网络安全形势日益严峻。

第一,数据泄露事件频发。由于恶意或疏忽行为,大量信息被暴露在互联互通的网络空间,导致了更大的网络犯罪攻击面。美国通信公司威瑞森(Verizon)发布的《2022 年数据泄露调查报告》(The Verizon 2022 Data Breach Investigations Report)指出,在亚太地区,社会工程和黑客攻击的案件数量很多,包括钓鱼攻击和电话窃听攻击等。其中,勒索攻击是造成数据泄露的一大元凶。例如,2022 年 3 月,韩国三星电子公司 150GB 的机密数据和核心源代码被勒索组织 Lapsus$ 公开。

第二,勒索攻击层出叠现。在 5G、云计算、大数据等技术迅速发展的同时,勒索病毒不断变种升级,攻击方式愈发复杂多变。软件公司捷邦(Check Point)2022 年 8 月 4 日发布的《2022 年年中网络攻击趋势报告》(2022 Cyber Attack Trends Mid Year Report)指出,2022 年网络攻击类别的最大变化来自勒索软件,各个地区遭受的此类攻击都有所增加,其中,亚太地区首当其冲(组织占比为 12%,而 2021 年上半年为 4%)。勒索攻击往往受巨大经济利益的驱动,高额的收益让网络犯罪分子趋之若鹜。由标普全球市场情报公司(S&P Global Market Intelligence)旗下机构 451 研究(451 Research)于 2022 年 5 月编制的《2022 年泰雷兹数据威胁报告》,对来自印度、日本、新西兰、新加坡、韩国等的 876 名受访者进行调查的结果显示,45% 的亚太地区(APAC)受访者报告网络攻击次数增加,其中,58% 的人认为,勒索软件攻击增加;24% 的 APAC 受访者称,遭受了勒索软件攻击。瞄准制造业的勒索软件攻击,可能会导致数据泄露、业务系统瘫痪、供应链中断等后果。2022 年 3 月,日本丰田汽车公司(Toyota Motor Corporation)因零部件供应商受到勒索软件攻击而导致系统瘫痪;2022 年 5 月,日经集团(Nikkei Group)位于新加坡的亚洲分公司遭到勒索软件攻击;2022 年 5 月,印度香料航空公司(Spicejet)遭勒索软件攻击,导致数百名乘客滞留在该国多个机场。

第三,针对基础设施的威胁增多。随着信息基础设施的数字化、自动化、智能化,企业与工业互联网间的联系不断加强,亚洲地区关键基础设施受到的网络攻击数量越来越多,尤其是在能源、水利、通信、金融等关系国计民生的重要领域,网络攻击更具针对性和目的性。2022 年 6 月,印度果阿邦(Goa)的洪水监测系统遭到勒索软件攻击,水文数据全部被加密;2022 年 10 月,印度最大的综合电力公司塔塔电力(TataPower)遭遇勒索软件组织蜂巢(Hive)攻击,导致数据泄露;2022 年 11 月,印度证券业关键机构中央证券存管机构(CDSL)遭到恶意软件入侵。

二、亚洲部分国家的网络安全政策与行动

俄乌冲突加剧国际紧张局势,也带来网络攻防新变局,攻防博弈下的网络攻击手段持续升级,攻击目标更具针对性。面对来势汹汹、复杂多变的网络攻击,日本、韩国、新加坡、印度等国多管齐下,不断建立健全网络空间治理机制,致力构建亚洲网络治理伙伴关系网络,应对全球网络安全威胁。

第一,强化网络安全顶层设计,突出网络安全重要战略地位。日本历来重视网络安全战略与规划,致力于构建“自由、公平、安全的网络空间”,把网络安全领域威胁视为国家安全威胁。日本在 2022 年新版《网络安全战略》中提出了三大推进方向:在数字化改革的基础上同步推广数字化转型与网络安全;纵观整个网络空间,确保公共空间的互联互通和链条化;强化安全防护能力。

第二,完善组织机构设置,提升网络安全威胁监测预警、应急响应、协调指挥能力。2022 年 3 月,日本通过修改《警察法》成立了网络警察局和网络特别调查队,强化打击网络犯罪的力度。2022 年 4 月,新加坡网络安全局(CSA)为网络安全服务提供者制定许可证框架,并成立了网络安全服务监管办公室(CSRO)管理该框架,促进与行业和公众在所有许可证相关事宜方面的联系。2022 年 10 月,韩国发布了有关设立网络安全工作组的首席秘书会议的结果。该工作组由韩国国防部、国家情报院、大检察厅、警察厅和军事安全支援司令部等部门高层人士参与,并将在国家安保室长的主持下定期召开网络安全状况检查会议。2022 年 10 月,新加坡成立反勒索病毒工作组(CRTF),特别关注保护关键信息基础设施运营商供应商,帮助企业、研究和教育机构抵御勒索软件攻击。

第三,通过立法促进数字产业发展,配套个人信息保护、关键网络信息技术、关键基础设施等方面标准规范。于 2022 年 4 月 20 日全面实施的韩国《数据产业振兴和利用促进基本法》,旨在促进数据产业发展和振兴数据经济。于 2022 年4 月 1 日正式生效的日本《个人信息保护法修正案》(APPI),通过扩大日本数据主体的权利范围、强制数据泄露通知以及限制可以提供给第三方的个人信息范围,使 APPI 与欧盟《通用数据保护条例》(GDPR)更加一致。2022 年 4 月 28 日,印度计算机应急响应小组(CERT-In)发布《关于<2000年信息技术法>第 70B 条第(6)款,可信网络的信息安全实践、程序、预防、响应和网络安全事件报告指令》(Directions under sub-section(6)of section 70B of the Information Technology Act,2000relating to information security practices, procedure,prevention, response and reporting of cyber incidents for Safe & Trusted Internet)。该指令中的措施和规定将被纳入《2000 年信息技术法》(Information Technology Act 2000)第 70B 条,构成印度立法的一部分。5 月,印度发布的《国家数据治理框架政策》(NDGFP)草案,要求设定数据管理框架,建设大型数据集存储库,设立印度数据管理办公室(IDMO),负责制定数据收集、存储规则和管理数据集平台。2022 年 11 月 18 日,印度电子和信息技术部发布《2022 年数字个人数据保护法案》(Digital Personal Data Protection Bill2022)。这是自 2018 年 7 月该法案首次提出以来,印度政府进行的第四次修改,旨在确保个人数据安全,表明在用户同意的情况下收集信息的目的,并进行明确分类。

第四,不断推动双边和多边合作,推动国际网络安全通用标准制定,共建亚洲网络空间治理秩序。韩日两国互动增多,展现出改善双边关系的积极意向;印日双边关系不断升温,逐步走向“特殊全球战略伙伴关系”。2022 年 10 月,日本外务大臣林芳正首次以日本外务大臣身份到访新加坡,双方一致同意加强两国安全保障领域的合作。这些都表明,亚洲地区国家间的合作不断深入发展。印度、韩国、日本、新加坡等国还注重与西方国家的合作,尤其是与美国、欧盟、北约等国家和大体量的政治实体结成同盟关系。2022 年 3 月,美日印澳“四方安全对话”(QUAD)召开会议,讨论成员、合作伙伴和行业关于“扩大网络安全合作,提升地区的网络韧性和关键基础设施保护”议题。韩国和日本在 2022 年 5 月和 11 月相继加入北约网络防御中心,这意味着这两个亚洲国家将在各自同盟的基础上获得北约的网络力量支持甚至保护承诺。2022 年 10 月 7 日,欧盟与日本发布消息称,双方已同意就将数据跨境流动规则纳入《经济伙伴关系协定》(EPA)进行谈判。以上行动表明,这些亚洲国家正积极寻求国际力量,努力提高自身网络防御能力,不断增强自身在全球网络空间治理领域的全球影响力。

三、亚洲部分国家网络空间治理的特点

从 2022 年亚洲部分国家在网络安全领域的政策与具体行动可以看出,亚洲地区网络风险日益增多,涉及的利益主体更加多元,虽然各国网络安全治理体系均有一定程度的发展,却并未形成整体性的安全架构。

第一,推进网络安全政企协作机制。为更好释放数据价值,亚洲国家通过政策引导、资金支持、法律保障和政企合作等方式,大力扶植本土产业发展。韩国《产业数字转型促进法》规定,选定产业带动效果较好的项目,并为其提供技术及财政支持,促进金融、税制及规则限制等方面情况的改善,同时,还将组建产业数字转型委员会,构建部门间综合规划与合作体系。亚洲国家不断完善相关法律法规,为政府、企业、社会组织和公民个人的网络安全提供法制保障。印度《国家数据治理框架政策》(NDGFP)涉及与非个人、匿名数据集以及研究人员和初创企业可访问的平台有关的方法和规则。为发展网络技术,提高网络安全防御能力,亚洲部分国家政府还通过政企合作打造安全防护研发高地,推动科研成果迅速转化。印度官方研发机构信息通信发展中心(C-DOT)和民营企业格洛尔网络公司(Galore Networks)签署合作协议,将携手开发以开放式无线接入网络为基础的 5G 无线电网络解决方案。日本政府打造管理行政数据的国产云,携手日本国内企业启动研发,开发防止信息泄露和病毒感染的技术,并通过官民磋商,逐步敲定所需的技术和数据共享标准。

第二,重视网络情报能力建设。俄乌在网络空间的对抗表明,全球化的网络技术越来越成为间谍活动和外国干涉的手段,尤其是针对关键基础设施的网络攻击。威胁情报是影响网络安全态势感知与防御能力的重要差异化因素。日本、印度等国持续开展针对某些行业的威胁情报共享工作,不断增加网络防御能力建设的投入。日本正积极地寻求成为“五眼联盟”的新成员,加强在亚太地区的情报采集能力,扩大自身的海外战略利益。4 月 24 日,印度国家安全顾问阿吉特·库马尔·多瓦尔(Ajit Kumar Doval)在新德里主持召开了一场由多个国家情报机构参加的交流会,试图与西方国家建立稳固的情报合作关系。

第三,关注数据跨境流动和数据安全。在亚太经合组织(APEC)框架下,数字经济的快速发展加深了各国的相互依赖程度,数据跨境流动必然成为亚洲各国的核心安全议题。印度、日本等国相继出台数据保护相关的网络安全法案。在本国法律框架下,亚洲各国还积极通过国际合作应对数据跨境流动的规则挑战,希望进一步在流动中更有效地维护数据安全。日本、韩国、新加坡等国共同推进成立全球跨境隐私规则论坛,在共同的数据隐私价值观基础上,承认国内保护数据隐私方法的差异,促进数据自由流通与有效的隐私保护。

四、未来亚洲部分国家网络安全政策发展趋势

从印度、新加坡、日本、韩国当前的网络安全战略可以看出,亚洲国家渴望维护自身数字主权与争夺国际网络空间主导权。为此,亚洲地区国家与时俱进,不断加强自身网络安全体系建设,争相抢占网络信息安全战略制高点。

第一,更加重视数据安全与数据治理,促进数据价值释放。亚洲国家间存在地区发展不平衡的问题,整体上看,在数据治理领域起步较晚,仍存在立法不完善、防御基础薄弱、治理乏力等问题,因此,重视加强自身和区域数据安全治理能力是亚洲各国的必然选择。特别是在隐私保护和跨境数据流动方面,亚洲国家将多力并举,从自身政治诉求、数据使用目的、网络基础等方面出发,构建适合本国国情的网络安全生态系统。

第二,更加注重网络安全专业人才培养,促进网络安全人员储备实现可持续发展。国际信息系统安全认证联盟(ISC)2公布的《2022 年网络安全劳动力研究》((ISC)2 Cybersecurity Workforce Study,2022)显示,全球共有约 470 万名网络安全专业人员,而亚太地区仅仅共有 859,027 人,依然有接近 220 万名专业人员空缺,比去年同期激增 52.4%。对此,面对数字化转型加快的现状,亚洲国家将越来越重视网络安全人才培育,不断加大网络安全教育投入,弥补网络空间安全治理人才缺口。

第三,加大投入网络安全产业建设,建立政企间数据共享的协作式网络安全平台。新加坡、日本等国将继续为各个责任主体落实网络安全保护责任提供法律依据,也将加大对网络安全初创公司的投资和支持,完善网络基础设施建设,强化跨领域网络安全信息共享和工作协同,提高网络安全综合治理能力。

第四,持续深化网络安全领域国际合作,推动区域网络治理共同标准的制定。近年来,美国频频插手亚太地区网络安全事务,表现出争夺网络治理领域霸权地位的野心。在这一背景下,亚洲网络空间越来越受到地缘政治的影响。一方面,日本、印度、韩国等国将继续推进与美国的网络安全合作,借助与美国的同盟关系构建自身网络安全防御体系,实现海外情报共享,增强自身网络安全攻防能力。另一方面,这些亚洲国家也会加强区域合作和国际合作,维护多边主义,通过签订贸易协定和制定共同非约束性规则,实现亚洲地区各国在网络空间的共存共赢。

(本文刊登于《中国信息安全》杂志2023年第1期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。