编者按:北约合作网络防御卓越中心3月底发布题为《乌克兰网络防御的演变:非国家行为体和公私合作的作用》的政策简报。该政策简报综合了全面的文献综述、对乌克兰国内立法和学术资料的分析,以及北约合作网络防御卓越中心对来自21个乌克兰机构的39名受访者的调查和访谈结果,系统分析了俄乌战争爆发以来乌克兰网络防御四大支柱以及衍生的结构性脆弱性,并在此基础上提出针对北约的三项关键建议。
该简报从三个方面分析了乌克兰法律和实践中的网络安全合作:一是在国家立法方面,乌克兰的立法体系支离破碎,《乌克兰网络安全基本原则法》和《乌克兰国家网络安全战略》等框架性文件缺乏实施细则,战前颁布的《公私合作法》并未将网络安全列为公私合作协议的适用领域,阻碍了国家和地区层面正式合作合同的签订;虽然战后修订的《公私合作法》将网络安全纳入适用领域,但传统的公私合作模式仍然不适用,因为上述框架是为基础设施密集型、长期投资而设计的,而战时网络防御需要灵活的机制来实现快速动员和资源共享。二是在制度保障方面,乌克兰“信息与网络安全理事会”制度化程度有限,限制了其作为网络安全生态系统更广泛协调的可靠支柱的能力,导致私营部门和民间社会行为体主要以志愿或临时的方式参与网络防御,依赖于个人主动性而非系统性程序。三是在民间力量发动方面,乌克兰数字转型部在战争爆发后发起组建的“乌克兰IT军队”展现了乌克兰信息技术界的自发性组织能力,在打击虚假信息、共享攻击数据和开展防御行动方面发挥了关键作用,但其法律地位仍然模糊不清且并未被纳入国防框架的正式机制,这对维护法律秩序和国家整体网络安全都构成了风险。
该简报揭示了乌克兰网络安全与跨国科技公司之间错综复杂的联系、公共部门和私营部门之间正式协调的不足、立法方面的漏洞以及国际伙伴关系的关键作用。一是对跨国科技公司的依赖引发重大战略漏洞。乌克兰的网络防御基础设施已与跨国科技公司深度融合,例如在云基础设施、终端保护、网络安全和威胁情报等方面严重依赖美国供应商,这带来了重大的战略漏洞,例如供应商锁定、财务可持续性等问题。二是非正式协调带来结构性脆弱性。俄乌战争迫使各方迅速采取临时应对措施,私营企业、志愿者团体和国际组织通过官方和非官方渠道机制参与网络安全协调机制中,其中非正式机制既能实现官方流程无法企及的高效沟通以及快速响应,又构成一种结构性脆弱性,因为该渠道随时可能因人员变动或非正式关系恶化而崩溃。三是法律和监管框架执行困难。虽然乌克兰的网络安全法规较为有效,并承认监管文件和技术标准体现了国际最佳实践,但在缺乏执行的资源、人员或政治意愿情况下会失效。四是国际伙伴关系面对可持续发展挑战。虽然国际合作显著提升了乌克兰网络防御能力,但大部分援助都来自临时性的紧急援助渠道或企业人道主义项目,在项目结束后可能带来能力缺口。
该简报向北约提出三项建议:一是建立危机前伙伴关系框架。为在危机前建立技术伙伴关系以确保在紧急情况下能够做出最优安排,北约盟国应与主要技术供应商协商达成长期协议,以提供危机支持、预置设备、许可证和数据迁移能力;提前建立安全的通信渠道和协调协议,并通过定期联合演习进行测试;解决框架内公私利益间的潜在紧张关系;制定危机采购程序,以便在危机发生时能够快速获取技术、许可证和服务,并预先商定价格和交付条款;将民事能力明确纳入北约《全面行动计划指令》规划流程,开展军民合作演习,确保从一开始就纳入民事行为体,而不是在危机开始后才进行咨询。二是明确非国家行为体在网络防御中的作用。为将私营企业、志愿者组织和个人专家纳入现代网络防御,北约应制定成员国可以借鉴的示范框架,包括:建立明确的法律授权,准许私营部门参与网络防御活动,并界定其任务或职责;建立责任保护措施,既能鼓励参与,又不会使参与者面临不必要的法律风险;建立确保私营部门共享的敏感专有数据免受未经授权的政府披露或竞争性滥用的框架;建立实现适当信息共享的安全审查程序;建立在危机情况下发挥作用的协调机制。三是共同应对数字主权的影响。为应对在数据管辖权、服务连续性和战略自主性等方面面临的挑战,北约盟国不应仅寻求国家层面的解决方案,还应制定集体应对措施,包括:与主要技术供应商就数据处理、持续性义务以及敏感政府数据的法律管辖权达成协议;投资于欧洲和盟国的技术能力,提供替代主导平台的方案,降低集中风险;制订确保关键服务即使在地缘政治紧张时期也能维持运行的监管框架。
展望未来,该简报总结称,乌克兰在战争爆发后的网络防御转型提供了宝贵的经验教训,既展现了通过国际合作可以调动的卓越能力,也揭示了国防过度依赖外国科技公司和捐助资金所构成的结构性脆弱性;危机前的网络防御准备工作体现于四个支柱,包括公私合作、立法框架、协调渠道和国际支持安排;网络防御领域公私合作背后存在三大结构性主题,即公私部门利益间的固有张力、信任与信息共享方面的挑战以及国家日益增强的作用;对于北约及其盟国而言,最根本的洞见在于,有效的现代网络防御需要政府、军队、私营部门和民间社会打破传统组织界限,实现跨领域的整合;为遭受攻击的盟友提供有效的网络支持,不仅需要政府间的援助,还需要促进私营部门参与、志愿者动员以及快速技术转移,并且需要在危机前构建实现上述目标的框架;数字主权问题是是远超当前俄乌冲突的长期战略挑战,北约需要继续观察乌克兰的调整动态并从中汲取经验。
奇安网情局编译有关情况,供读者参考。
乌克兰网络防御的演变:
非国家行为体和公私合作的作用
1►
执行摘要
自2022年2月俄乌战争爆发以来,乌克兰的网络防御体系发生了重大变革,这为理解长期冲突中的现代网络防御提供了一个重要的案例。北约合作网络防御卓越中心与其合作伙伴共同开展了访谈和调查,采访了来自乌克兰21个机构的39位受访者,这些机构涵盖政府、军队、私营部门和民间社会机构。本简报探讨了乌克兰如何调整其网络防御架构,并为北约及其盟国未来的发展总结了一些关键经验教训。
乌克兰的网络韧性建立在四大相互关联的支柱之上:政府的创新举措、私营部门参与者扩大的作用、密集的国际合作以及与跨国科技公司的融合。这些安排虽然对生存至关重要,但也造成了战略依赖,可能影响主权决策,并引发人们对其长期可持续性的质疑。超过85%的受访乌克兰机构严重依赖美国的技术供应商,这使得运营连续性可能取决于外国实体的政治和经济立场,从而造成脆弱性。此外,在危机期间,非正式的个人关系网往往比正式的协调渠道更为有效,能够提供僵化结构所缺乏的灵活性。乌克兰2021年的网络安全战略承认缺乏有效的公私合作模式,而冲突迫使各方迅速采取临时措施来弥补这一缺口,最终形成了一个韧性十足但却支离破碎的生态系统。
因此,可以得出三项关键建议:一是制定危机前伙伴关系框架;二是式确立非国家行为体在网络防御中的作用;三是共同应对对外国技术公司深度依赖所带来的数字主权影响。
2►
介绍
2022年2月24日,俄罗斯对乌克兰开展全面军事行动,对现代网络防御构成了前所未有的考验。与以往网络行动大多不为人知的冲突不同,乌克兰被迫在遭受动能轰炸的情况下维持服务连续性并应对数字基础设施被实际接管的局面,同时抵御复杂的国家支持的攻击。赫尔松的情况就鲜明地体现了这一点:俄罗斯军队抢占了当地的数据中心和网络设备,将对领土的实际控制直接转化为对数字基础设施的控制。
数据中心的物理损毁与抢占,加速了乌克兰政府数据及关键服务向云平台的紧急迁移。对于北约及其盟国而言,乌克兰的遭遇引发了关于危机应对准备的根本性问题:国际网络伙伴关系能够以多快的速度动员起来?过度依赖外国科技公司履行主权职能会带来哪些后果?如何在不损害行动安全的前提下有效整合志愿者和私营部门力量?在战时条件下,哪些法律和制度框架能够确保网络防御的协调一致?
本简报综合了全面的文献综述、对乌克兰国内立法和学术资料的分析,以及北约合作网络防御卓越中心的调查和访谈结果。该调查和访谈涵盖了来自21个不同乌克兰机构的39名受访者,代表了生态系统的各个方面,包括政府、军队、私营部门和民间社会机构。
3►
乌克兰法律和实践中的公私合作
乌克兰2021年网络安全战略明确承认缺乏“有效的公私合作模式”,指出现状仅限于政治宣言层面,支持合作,但尚未建立制度性机制。2022年,乌克兰在正式制度框架落后的情况下卷入全面冲突,网络社群内部强大的纵向和横向信任弥补了监管的缺失。当全面战争需要立即应对时,这种非正式基础使得私营部门的专业知识得以迅速融入。
1、立法漏洞
乌克兰的立法体系支离破碎。《乌克兰网络安全基本原则法》和《乌克兰国家网络安全战略》作为框架性文件,缺乏实施细则。关键在于,在2025年修订之前,2010年颁布的《公私合作法》并未将网络安全列为公私合作协议的适用领域,这实际上阻碍了国家和地区层面正式合作合同的签订。2025年10月提交议会的第14150号法律草案《网络安全领域公私合作法》旨在弥补这一空白,但其必要性本身就表明,现有框架仍然不足。虽然2025年对《公私合作法》的修订已将网络安全纳入适用领域,但传统的公私合作模式仍然不适用。这些框架是为基础设施密集型、长期投资而设计的,而战时网络防御需要灵活的机制来实现快速动员和资源共享。
2、制度碎片化
2020年“信息与网络安全理事会”(ICSC)被设计为一个多方利益相关者平台,公共部门成员占比不超过40%。然而,由于制度化程度有限,其财政和沟通能力受到制约,该机构独立性的代价是资源基础有限,从长远来看,这可能会降低该机制的可持续性。这进一步限制了“信息与网络安全理事会”作为网络安全生态系统更广泛协调的可靠支柱的能力。由于缺乏稳定的协调平台,私营部门和民间社会行为体主要以志愿或临时的方式参与网络防御,依赖于个人主动性而非系统性程序。
3、“IT军队”和志愿者整合
乌克兰数字转型部在2022年2月战争爆发后发起组建的“乌克兰IT军队”展现了乌克兰信息技术界的自发性组织能力。这些组织在打击虚假信息、共享攻击数据和开展防御行动方面发挥了关键作用。然而,它们的法律地位仍然模糊不清。缺乏将此类志愿者团体纳入国防框架的正式机制,对维护法律秩序和国家整体网络安全都构成了风险。显然,我们需要从自发动员转向结构化、以法律为基础的私人和志愿者参与模式。因此,乌克兰的经验凸显了盟国面临的一个更广泛的挑战:如何在不使非国家行为体和国家因缺乏明确的法律框架而处于弱势的情况下,利用其速度和技术能力。而这正是更多制度化的国际机制开始着手解决的问题。
根据《欧盟网络团结法案》的设想,欧盟网络储备(EU Cyber Reserve)机制正在形成,并由欧盟网络安全局(ENISA)负责运营管理。该机制展现了如何将乌克兰的战时经验转化为制度化的危机应对机制——在国家资源不足时,可部署由值得信赖的私营供应商提供的预先签约服务。乌克兰已启动加入欧盟网络储备机制的进程,这将为在关键基础设施遭受危机时调动私营部门的应急响应专业知识提供一条结构化的途径。
4►
调查和访谈的主要发现
2025年8月至10月,北约合作网络防御卓越中心与乌克兰合作伙伴共同开展了一项针对乌克兰网络安全利益相关者的调查和访谈。共收到来自21个不同军事组织、政府机构、私营企业和民间社会机构的39份回复。受访者涵盖技术专家、顾问、政策制定者和高级决策者。出于安全考虑,个人回复和机构身份信息未予披露。研究揭示了乌克兰网络安全与跨国科技公司之间错综复杂的联系、公共部门和私营部门之间正式协调的不足、立法方面的漏洞以及国际伙伴关系的关键作用。
1、对跨国科技公司的依赖
乌克兰的网络防御基础设施已与跨国科技公司深度融合,特别是美国供应商。超过85%的受访机构表示,他们在云基础设施、终端保护、网络安全和威胁情报等方面严重依赖微软、亚马逊网络服务(AWS)、Cloudflare、思科和Palo Alto Networks等公司。
国际援助的规模非同寻常,它体现了安全援助与战略市场扩张的交汇点,乌克兰已成为各种技术的试验场,其部署规模和强度在以往任何冲突环境中都前所未有。多家公司为乌克兰做出了重大贡献:亚马逊AWS将关键政府数据迁移到欧洲数据中心。微软与乌克兰政府建立了全天候加密通道,并提供了价值超过5亿美元的技术支持。谷歌扩展了网络安全服务,使其能够在遭受严重网络攻击的情况下继续运营。
然而,这种依赖性也带来了重大的战略漏洞。最常被提及的担忧是供应商锁定,即在紧急情况下做出的架构决策造成了路径依赖,而这些依赖性极难逆转。截至2025年第三季度,AWS、微软Azure和谷歌云合计占据了全球云市场62%的份额(分别为29%、20%和13%)。多位技术专家解释说,更换供应商需要重建整个技术栈,这实际上会将组织困在现有的安排中,而不管未来的地缘政治因素如何变化。为此,乌克兰内阁于2024年批准了旨在防止国家IT系统出现供应商锁定的新规。
财务可持续性是另一个令人担忧的问题。调查中,一些组织承认,最初的国际援助是通过人道主义援助或补贴渠道提供的,但这些援助能否在冲突结束后继续提供仍不确定。这造成了可持续性缺口,从紧急援助过渡到长期商业合同可能会成为国家目前尚无法完全承担的财政负担,并可能导致网络能力下降。大多数受访者权衡了数据主权问题与国内基础设施面临的风险:俄罗斯的军事和网络攻击风险远大于外国司法管辖风险。正如一位政府决策者所指出的,“敌对行动造成的数据丢失风险远远大于将数据存储在国外的风险,因此,尽管存在主权方面的担忧,但使用外国云服务仍然是务实的必要之举。”欧盟也面临着类似的风险:四分之三的欧洲上市公司依赖美国云服务,一些国家的依赖程度甚至超过90%。乌克兰的经验表明,大型科技公司的能力至关重要,同时也表明,当国家安全严重依赖少数几家私营公司时,会造成战略上的脆弱性。
案例:对“星链”的依赖
乌克兰前数字化转型部部长米哈伊洛·费多罗夫曾将“星链”(Starlink)形容为“我们整个通信基础设施的命脉”。然而,这项服务却受控于特定个人;其所作的商业及政治决策,直接影响着乌克兰的军事与民用能力。
2022年10月,埃隆·马斯克宣布SpaceX公司将不再免费提供该项服务;随后,他又拒绝为乌克兰军方针对俄罗斯黑海舰队展开的一项军事行动开启“星链”覆盖服务。这一案例揭示了一个根本性的挑战:大型科技企业的支持往往是自愿性质的,且可能因政治、经济或个人因素而迅速生变,其服务的持续性毫无保障。鉴于此,乌克兰不得不着手调整策略,转而寻求卫星服务提供商的多元化,以确保没有任何个人能够对国家防务行动行使“一票否决权”。
2、协调中的挑战:从非正式网络到制度框架
在2022年2月之前,政府机构与私营网络安全组织之间的正式协调仍然有限。俄罗斯网络行动的强度迫使各方迅速采取临时应对措施,私营企业、志愿者团体和国际组织纷纷介入,填补关键能力缺口。
受访者描述了一种协调机制,该机制同时通过官方渠道运作:正式信函、工作组、谅解备忘录——以及非正式的信任人脉网,其中个人联系往往被证明在快速响应方面更为有效。正如一位技术专家所指出的,“个人联系在有效协调中发挥着最重要的作用。”
沟通主要依赖于Signal、WhatsApp和直接的私人联系,而非安全的机构渠道。这种非正式性既是其优势所在,因为它能实现官方流程无法企及的高效沟通,同时也构成了一种结构性脆弱性。一旦人员变动或非正式关系恶化,协调机制就可能崩溃。由于缺乏制度化的渠道,有效的信息共享依赖于人际关系。
3、法律和监管框架
受访者普遍将乌克兰的网络安全法规评定为“较为有效至有效”,并承认监管文件和技术标准体现了国际最佳实践。然而,受访者始终强调立法质量与实际执行之间的区别:即使是设计精良的法规,如果机构缺乏资源、人员或政治意愿来执行,也会失效。
针对非国家行为体的框架受到了尤为严厉的批评。除关键基础设施法规外,乌克兰并未对志愿网络防御活动或私营部门的事件响应行动进行有效监管,这造成了法律灰色地带,使得长期融入国际法和遵守国际法变得更加复杂。尽管第4336-IX号法律加强了对关键信息系统官员和运营者的问责制,但由于公私协调方面更广泛的挑战仍未得到解决,相关实施细则仍不完善。
多位受访者呼吁建立相关框架,以便在网络攻击发生期间实现决策加速并暂时中止特定要求,同时辅以针对严重违规行为的更严厉制裁,从而实现两者之间的平衡。他们特别指出,应优先建立正式的快速交流机制,将行之有效的非正式沟通渠道制度化。这些法律上的不确定性(尤为值得注意的是,国际学术文献中鲜有涉及)进一步凸显了开展比较研究的必要性,即对各国立法框架及其在危机情势下的适用性进行深入探究。
4、国际伙伴关系:应对可持续发展挑战的关键推动因素
绝大多数受访者证实,国际合作显著提升了网络防御能力。美国是其中的主导伙伴。欧洲伙伴,特别是爱沙尼亚、德国、波兰、英国和丹麦,作为重要的技术供应国和技术援助来源国,也经常被提及。其主要优势在于能够获取技术和知识、培养训练有素的人才队伍,以及通过国际威胁情报共享网络了解敌方策略。
然而,自2022年2月以来,大部分援助都来自紧急援助渠道或企业人道主义项目,而这些项目都明确规定为临时性项目。对捐助方的依赖成为一个反复出现的问题:一些组织围绕捐助方项目提供的设备、软件和服务构建了关键能力,而这些项目结束后,组织可能会面临自身无力承担的能力缺口。
乌克兰的战争经验表明,公私合作不仅关乎紧急捐赠或非正式协调,还关乎通过减少单点故障、限制供应商锁定以及确保关键服务即使在前线延伸到软件、云基础设施和外包数字服务时仍能得到保护来增强供应链安全。
乌克兰的经验表明,有效的网络防御需要持续的民间参与,而不仅仅是在危机发生后才进行磋商。虽然北约的《全面行动计划指令》(COPD)已部分涉及危机计划中的军民协调,但其在网络防御领域的应用仍不完善。北约应明确将非国家行为体的网络能力纳入COPD的规划流程,确保从一开始就将私营部门和志愿者纳入行动计划。
5►
建议
建议1:建立危机前伙伴关系框架
乌克兰的经验表明,等到危机爆发才建立技术伙伴关系会导致严重的延误,并最终只能在紧急情况下做出次优安排。盟国应该:
与主要技术供应商协商达成长期协议,以提供危机支持、预置设备、许可证和数据迁移能力;
在需要之前建立安全的通信渠道和协调协议,并通过定期联合演习进行测试;
解决这些框架内私营部门和公共部门利益之间的潜在紧张关系,在经受考验之前建立信任;
制定危机采购程序,以便在危机发生时能够快速获取技术、许可证和服务,并预先商定价格和交付条款,而无需完整的和平时期采购周期;
将民事能力明确纳入北约《全面行动计划指令》(COPD)规划流程,开展军民合作演习,确保从一开始就纳入民事行动者,而不是在危机开始后才进行咨询。
建议2:明确非国家行为体在网络防御中的作用
现代网络防御不能仅仅依赖政府和军事能力。私营企业、志愿者组织和个人专家提供的关键能力是政府机构无法以所需速度和规模匹敌的。北约应制定成员国可以借鉴的示范框架,并建立:
明确的法律授权,准许私营部门参与网络防御活动,并界定其任务或职责;
责任保护措施,既能鼓励参与,又不会使参与者面临不必要的法律风险;
确保私营部门共享的敏感专有数据免受未经授权的政府披露或竞争性滥用的框架;
实现适当信息共享的安全审查程序;
在危机情况下发挥作用的协调机制。
志愿组织不应处于法律上的灰色地带,其职责、地位和任务不应模糊不清。北约成员国应开展国家法律审计,评估其现有框架是否能在武装冲突期间为私营部门和志愿行动者提供足够的确定性。这包括评估现行劳动法和动员框架是否允许私人专家在不失去主要工作或面临利益冲突指控的情况下为国家网络防御做出贡献。
建议3:共同应对数字主权的影响
乌克兰在战时对美国云服务的必要依赖凸显了所有盟国在数据管辖权、服务连续性和战略自主性方面面临的挑战。盟国不应仅仅寻求国家层面的解决方案,而应制定集体应对措施:
与主要技术供应商就数据处理、持续性义务以及敏感政府数据的法律管辖权达成协议;
投资于欧洲和盟国的技术能力,提供替代主导平台的方案,降低集中风险,正如乌克兰的经验所表明的那样;
制订确保关键服务即使在地缘政治紧张时期也能维持运行的监管框架。
正如英国皇家三军研究所对欧洲采用云计算进行国家安全工作的分析所总结的那样,“因此,战略问题不在于各国政府是否应该采用云计算技术,而在于它们应该如何权衡利弊,以最大限度地提高国家安全和国防效益。”
6►
展望未来
持续冲突下的网络防御转型提供了宝贵的经验教训。乌克兰的经验既展现了通过国际合作可以调动的卓越能力,也揭示了当国防过度依赖外国科技公司和捐助资金时所出现的结构性脆弱性。准备工作的价值体现在所有四个支柱方面:公私合作、立法框架、协调渠道和国际支持安排。
无论是国际学术文献还是乌克兰国内资料,均证实了网络防御领域公私合作背后的三大结构性主题:即私营部门与公共部门利益之间固有的张力;信任与信息共享方面的挑战;国家日益增强的作用(尽管仍不完善)。在武装冲突激烈的背景下,乌克兰被迫同时应对这三大主题,且在很大程度上缺乏危机爆发前的充分准备。
对于北约及其盟国而言,最根本的洞见在于,有效的现代网络防御需要政府、军队、私营部门和民间社会打破传统组织界限,实现跨领域的整合。为遭受攻击的盟友提供有效的网络支持,不仅需要政府间的援助,还需要促进私营部门参与、志愿者动员以及快速技术转移。而实现这些目标的框架必须在需要之前就已构建完成。
数字主权问题或许是最具战略意义的长期挑战。对美国技术平台的依赖对乌克兰的生存至关重要,但这也造成了数据控制、服务连续性和战略自主性方面的脆弱性,其影响远远超出当前的冲突范围。乌克兰的持续调整无疑将在未来数年继续影响联盟的思考。
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
