全球網絡攻防戰近年愈趨白熱,民主國家逐漸意識到完全自由放任的市場,根本無法保護其公民與企業安全,但對網絡活動草木皆兵,又恐怕扼殺網絡開放自由,淪為監控網絡的極權國家。究竟要如何避免顧此失彼?智庫組織 New America 網絡安全政策研究員 Justin Sherman 撰寫評論文章,建議大家向英國取經。
美國情報部門曾經指控,俄羅斯在 2016 年美國總統大選期間發動黑客攻擊;2017 年勒索軟件 WannaCry 與 NotPetya 肆虐全球,烏克蘭切爾諾貝爾核電廠的輻射監察站亦受波及;台灣官員又向路透社證實,政府電腦每年被成功攻擊數百次,其中過半數由中國網軍發動。
為保障網絡安全,多國互聯網政策與自由開放原則愈益背道而馳。2018 年 11 月,俄羅斯在聯合國提出打擊網絡犯罪決議,強調網絡管控方針,雖然遭歐美多國否決,但在中國、越南、津巴布韋等國護航下,加上印度、巴西、尼日利亞等民主國家亦投贊成票,最終決議得到聯合國大會採納。
在國家層面上,多國政府先後以網絡安全之名加強監控。單單是過去 6 個月,全球已經有多條打擊網絡罪行的嚴苛法例通過,包括越南、泰國、坦桑尼亞、阿聯酋和埃及。即使是號稱全球最大民主國度的印度,最近通過的科技政策同樣引發爭議。
英式網絡防衛戰術
在網絡安全的兩難下,英國正嘗試另闢蹊徑。英國相信網絡安全的首要責任,不在公民與小企業,反而在政府。一旦發現網絡威脅,所有政府行動都建基民主法律與程序,以避免政府濫權監控。
政府主動承擔網絡安全責任絕非必然,美國就被指反其道而行。前美國國家網際安全中心總監兼「全球網絡聯盟(Global Cyber Alliance)」主席 Philip Reitinger,去年就呼籲美國改變方針,讓政府有更大承擔:「我們不要再教導人如何在網絡保安上默默耕耘,我們要把食物直接分配給他們。」
在具體措施上,英國國家網絡安全中心(NCSC)採納一系列全新網絡防禦工事,譬如最近實施的政府電郵保安協議,以及域名系統(DNS)過濾機制,能夠在數據發送至英國公民之前,及早封鎖惡意網域與 IP 位址。由於系統能夠自動檢測,緩減公共網絡的小型威脅,公共資源可以集中在更大的網絡風險上,而不會為小事疲於奔命。
英國政府同時增強「邊界閘道協定(Border Gateway Protocol,BGP)」與「七號信令系統(SS7)」,令惡意攻擊導致的數據流量改向更難發生。中國、俄羅斯及其他專制國家,都曾經被指控改變其他國家的數據流向,以便截取當中的敏感資訊,包括金融交易到政府文件不等。
上述具體措施,均屬於「2016 至 21 年國家網絡安全策略」一部分,策略已經初步收效。2018 年最新資料顯示,政府清除寄存國內的釣魚攻擊網站(phishing sites)與受感染網站,所耗費的時間中位數明顯減少;2016 年中期至今,全球網絡釣魚攻擊總量上升近 50%,但來自英國國內的攻擊不增反減,跌近 50%。英國公民面對的網絡風險明顯緩解。
中式網絡審查監控
同樣是以「網絡保安」為名,究竟中國、俄羅斯、伊朗等專制國家的保安措施,與英國模式有甚麼不同?Sherman 在文章指出,中俄是以保安為名打壓異見、過濾外國網站內容、監控數據實際存儲地點、審查網民發佈的內容。與此相反,英國模式不是針對內容,而是過濾數據,為兩者帶來根本分別。
數據以「1」與「0」的單元傳送,要電腦解碼方可得知實際內容,英國系統只會檢測未解碼前的原始數據,攔截釣魚攻擊的惡意數據碼,以防止數據系統受損及未經授權資料外洩;中國卻直接審查已解碼的內容,把不符合主旋律的資訊定性為網絡安全威脅。即使英國有查封個別網上內容,充其量都是針對兒童色情及知識產權等問題,背後有清楚的法律條文規範。
當然,英國模式未必可以全面移植國外,還要視乎國家的網絡基建、官僚架構及現存法制。譬如美國國內通常有較多特殊 IP 位址,以致 IP 位址空間較為鬆散,未必有利英式數據過濾機制,因此所有措施必須因地制宜。
在網絡保安大勢所趨下,如今仍有多達 50 個國家未有明確網絡保安方針,包括新加坡、印尼、墨西哥、南非等。如何防止中俄以此為名,對外輸出箝制網絡自由的保安模式?文章指出,秉持自由開放原則的國家,需要示範如何平衡保安與網絡自由,而英國正向全球樹立榜樣。
