iThome

只要戰爭存在一天,我們的社會就會設法減輕戰爭的效應,包括限制戰鬥的頻率、範圍和方式。綜觀歷史,無論宗教法典、道德規範或騎士行為準則,都對戰爭設下限制。上一個世紀發展出國際法的概念,限制各國相互攻擊。社會也試圖在交戰國和非交戰國、戰場和大後方、正義與非正義的戰爭之間,劃出明顯界線。

從冷戰到碼戰

網路戰則完全是二十一世紀的新衝突形式。過去數百年發展出來的規範和法律已不適用。自從核子武器問世以來,電腦編碼變身武器,網路戰快速興起形成新的衝突領域,完全沒有通行的標準或規則可循。有些國家設法為國際社會創造足以遵循的法則,但是利害相關的各方想法南轅北轍,因此即使是最簡單的協議都難以達成。

談到應該如何抑制網路武器擴散,外交政策老手大都喜歡拿過去防止核武擴散的做法來類比:也就是制訂軍備控制的協定、條約,達成聯合國協議和國際監督計畫,以管理核子武器的擴散和使用。

但網路戰爭的干擾因子在於,網路世界的進入障礙比較低。任何國家,或甚至任何個人或流氓團體,只要花一點點時間和心力,都能發展出惡劣的網路攻擊能力。事實上,這和核武的發展幾乎背道而馳。通常需投入數十億美元,進行多年研發,還需擁有最稀有的科學人才,掌握到超釉元素,才能發展核武。

然而任何人只需架設一台電腦,能夠連結上網,並擁有一些程式設計能力,就有可能發展網路武器,而且很難追蹤。在網路世界裡,國界不具任何意義,駭客幾乎可以把目標對準寶貴資產長驅直入。愈來愈多國家針對企業發動網路攻擊,或企業對國家發動攻擊。

在我任職美國國務院期間,最著名的網路攻擊案例之一是,中國政府以美國34家公司為網路攻擊目標,其中包括谷歌公司和美國最大的幾家國防公司。後來,這些公司的主管到華府對歐巴馬政府施壓,要求把網路攻擊視為嚴重的外交議題,因此催生一系列行政命令和後續行動。網路原本在外交政策中居於邊緣位置,如今躍升為台前要角。

但這不見得能代表企業界的普遍反應。遲早會有一些厲害的工程師在察覺遭網路攻擊後設法阻止,但他們沒有尋求執法單位或政府部門的協助,而是直接反制攻擊者。我很好奇,假如谷歌找出網路攻擊的來源後,予以反擊,設法癱瘓攻擊者的網路及電腦,可能會如何。谷歌工程師可說是世界頂尖人才。中國會把這樣的行動視為攻擊,或某種形式的入侵嗎?

更複雜的是,網際網路的整體設計打破了傳統概念,主權國家和戰爭不再囿於實際地理位置。某家公司可能總部設在某個國家,但在其他國家設有伺服器和網路。假如他們的伺服器和網路遭受攻擊,誰應該負責回應呢?是總部所在的國家,還是伺服器和網路所在的國家?假如沒有任何政府出面扛起責任,這家公司自行發動網路攻擊,捍衛自家網路,那麼又該由誰來解開這團糾結與混亂呢?如果無法在國際間建立規範,制訂協約,為網路衝突設下清楚的定義和界線,那麼就和兩國交戰一樣,國家和企業之間也不無可能開戰。

數百年來,銀行搶匪作案方式通常都是拿著槍走進銀行,然後帶著別人的錢離去。接下來就是政府執法單位的責任了。他們必須找到搶匪,然後逮捕並懲罰他。今天,美國官員在白宮戰情室中討論的是,如果有人對位於美國領土的美國銀行發動網路攻擊,掏光帳戶裡的錢,美國政府應該視之為對美國政府發動攻擊,還是只把它當一般搶案,抑或這屬於其他完全不同的情況?

冷戰雖然造成政治和軍事上的緊張情勢,但冷戰期間明顯形成共產集團和西方國家聯盟二元對立的局面。在碼戰中,我們看不到如此簡單的組織架構,因為傳統的聯盟已然瓦解。在史諾登揭密後,歐洲政府和人民都譴責美國的網路監控做法。美國電訊公司和科技公司由於失去歐洲客戶的信任,損失了數十億美元的生意。有一項研究估計,單單美國的雲端運算產業,過去三年來的損失可能在220億到250億美元之間。

不過,短期而言,不太可能透過國際法、條約或其他架構,建立網路活動的規則。美國不會同意歐洲的要求,限制情蒐活動。中國不會承認任何與工業間諜相關的指控。俄國早已發動攻擊。在網路世界引發諸多衝突的非政府團體,絕對不會同意政府提出的種種協議細節。

面對不愉快的現實狀況,美國政府愈來愈傾向與私人企業合作。2015年2月,歐巴馬總統簽署一項行政命令,促使政府與企業分享網路攻擊的相關資訊,並合作推動反制措施。美國陸軍更在軟體合作平台GitHub上,公布數位鑑識分析程式Dshell的編碼。美國陸軍研究實驗室的網路安全部主管高勒克(William Golek)說明:「外界有各式各樣的網路威脅,和我們在這裡碰到的威脅十分相似。在學界和企業界面臨相同問題時,Dshell可以促進知識的傳播和理解。」

Dshell方案令人激賞,但要建立網路活動的規範,必須倚賴國際法、條約或相關架構上有所改變,單靠Dshell顯然不夠。可能必須等到發生重大網路攻擊,造成大規模傷亡或嚴重衝擊各交戰國的經濟發展時,美國、中國和俄羅斯才會達成有意義的協議。在此之前,網路空間仍是西部蠻荒地區。

自由與安全

無論網路安全產業如何壯大,我都不曾聽過任何人反駁以下觀點:網路安全產業一定會以極快的速度變得很大。

美國勞工統計局很不喜歡誇大其詞,但他們在報告中指出,對網路安全技術專才的需求將出現「巨幅躍升」。紐約一家投資網路業的成功避險基金主管告訴我,「有一小群非常厲害的高手,他們真的很懂這些事情,可以實際設計出硬體、軟體解決方案,來因應這些問題。」他解釋,網路安全的特性是,這不單單是某個產業或某家供應商面對的問題,任何與網路相連的公司或個人遲早都需要解決相同的問題:「裡面牽涉到龐大的賭注,而且對每個人的影響愈來愈大,所以問題愈來愈大,機會也愈來愈大,端看你站在什麼角度來看。」

千萬別忘了,政府和大企業付出昂貴成本來取得網路安全防護,一般市井小民或小公司根本負擔不起。為了對抗編碼武器而誕生的網路安全產業,一直以來都是以產業的姿態出現。但原本人民的安全應該是政府出面維護的公共利益,而不是在市場上購買的私人商品。

政府應該與私人企業密切合作,網羅頂尖人才,發展網路防衛能力。除此之外,政府還有一個尚未履行的義務:好好釐清在這個新衝突領域中,政府對人民應負起的責任。我們都希望能在網路上自由遨遊,但沒有安全的自由其實非常脆弱,沒有自由的安全則帶來壓迫感。未來我們必須在兩者之間求取前所未有的平衡。(摘錄整理自第4章)

 

未來產業(The Industries of the Future)

亞歷克.羅斯(Alec Ross)/著;齊若蘭/譯

天下文化出版

售價:420元

 

作者簡介

亞歷克.羅斯

美國著名創新領域專家。擔任國務卿希拉蕊.柯林頓(Hillary Clinton)的創新顧問四年期間,榮獲國務院傑出榮譽獎。目前為約翰霍普金斯大學訪問學者、美國哥倫比亞大學國際和公共事務資深研究員。


熱門新聞

Advertisement