美國的國家級網路安全戰略Part 6
支柱5: 建立國際夥伴關係以追求共同目標(PS:由美國說了算的)
美國想要一個這樣的世界:網路空間中聽美國的國家行為受到期待和獎勵,而不聽美國的行為則被孤立且代價高昂。為了實現這一目標,美國將繼續與美國不對盤的國家繼續喬,同時建立一個大的國家聯盟,致力於維護一個開放、自由、全球、可互通、可靠和安全的網際網路。
幾十年來,美國一直透過國際機構來定義和推進網路空間中負責任的國家行為。美國利用聯合國政府專家小組等多邊進程製定了一個框架,所有聯合國成員國都被美國喬好了。美國支持擴大《布達佩斯網路犯罪公約》以及其他旨在使網路空間更加安全的全球努力。美國將繼續這些努力,同時認知到需要與合作夥伴合作,阻止邪惡軸心國的網路未來的黑暗願景。為此,美國將向經濟和社會展示開放的價值,並對不聽話的國家打屁屁。
為了應對共同威脅(其實是美國的威脅),維護和加強全球網路自由,防止跨國數位壓制,並建立一個更具內在韌性和防禦性的共享數位生態系統,美國將用不一樣的方式來喬國家網路安全利害關係人,以與國際社會合作。美國將擴大聯盟,共同打擊跨國犯罪分子和其他壞蛋,建立美國的國際盟友和合作夥伴的能力,加強現有國際法對網路空間國家行為的適用性,維護和平時期聽話國家行為的全球公認和自願規範,並對那些從事破壞性或破壞穩定的壞蛋打屁屁。
戰略目標5.1: 建立聯盟來應對數位生態系統面臨的威脅
2022 年4 月,美國和60 個國家發布了《網路未來宣言》(DFI-Declaration for the Future of the Internet)。透過 DFI、自由線上聯盟和其他夥伴關係和機制,美國正在收攏小弟們,以推進美國對網際網路未來的願景,促進安全和可信的數據流,尊重隱私,促進人權,並在應對更廣泛的挑戰方面取得進展。
透過Quad(美國、印度、日本和澳洲)之間的四邊安全對話等機制,美國及其國際盟友和夥伴正在推動這些網路空間的共同目標。其中包括改善電腦緊急應變團隊(computer emergency response teams)之間的資訊共享以及基於共享價值觀的數位生態系統的開發。IPEF(印度-太平洋繁榮經濟框架)和APEP(美洲經濟繁榮夥伴關係)為美國和區域政府創造了合作制定數位經濟道路規則的機會,包括促進技術標準的製定、實現跨境資料流動的機制,保護隱私,同時避免嚴格的資料本地化要求(就是資料要分享給美國),以及促進供應鏈安全和韌性的行動。透過美國-歐盟TTC(Trade and Technology Council),美國正在歐洲國家喬,以應對共同的威脅,並展示數位貿易、技術和創新的市場方法如何改善公民的生活並成為更大繁榮的力量。美國也透過AUKUS(Australia and the United Kingdom through the trilateral security and technology pact)與澳洲和英國密切合作,以確保關鍵技術、改善網路協調並共享先進能力。
透過美國政府這樣喬,美國和盟友可以透過共享網路威脅資訊、交換網路安全實踐模型、比較特定產業的專業知識、推動設計安全原則以及協調政策和事故回應活動來促進共同的網路安全利益。此外,還包括私人單位和民間社會組織在內的多利益攸關方夥伴關係和聯盟。美國將利用這些合作夥伴關係來實現有效的營運協作,以捍衛美國想要的數位生態系統。美國還將根據需要支持和幫助建立新的創新夥伴關係(例如國際反勒索軟體倡議),將獨特的利害關係人聚集在一起,以應對新出現的網路安全挑戰。
由於大多數針對美國的壞蛋是由外國人或使用外國運算基礎設施進行的,因此美國要把手伸出去,使任何壞蛋都無法逃避法治。美國將與其盟友和夥伴合作,為數位時代製定新的協作執法機制。
戰略目標5.2 :加強國際合作夥伴能力
美國會搞一個聯盟來推進網路安全與數位生態系,並且將加強同一陣線的國家也有能力來做這些事。美國必須使盟友和合作夥伴能夠確保關鍵基礎設施網路的安全,建立有效的事故偵測和回應能力,共享網絡威脅訊息,尋求外交合作,通過業務合作建立執法能力和有效性,並通過堅持以下原則來支持美國跟盟友在網路空間的共同利益:
- 國際法
- 加強負責任的國家行為規範
為了實現這一目標,美國將會動員可以叫來的各單位小弟或國家,來喬一個有效的國際網路能力建設和營運合作努力。
- 執法部分,司法部將繼續長臂管轄,並提供國際和區域領導力,以加強網路犯罪法律、政策和行動。
- 國防部將繼續加強軍事關係,利用盟友和合作夥伴的獨特技能和觀點,同時增強他們的能力,為美國的集體網路安全態勢做出貢獻。
- 國務院將繼續跟國內外相關人員與單位來喬。
戰略目標5.3: 九合諸侯,一框天下
遭受重大網路攻擊的盟友和合作夥伴可能會尋求美國及其盟友的支援,藉以調查、回應此類事故並恢復原狀。提供這種支援不僅有助於合作夥伴的恢復和回應,而且還將推進美國的外交政策和網路安全目標。與受影響的盟友的密切合作表明了面對壞蛋時的團結,並可以加快揭露不聽話的國家行為,並打他們的屁屁。
美國政府會制定政策,確定何時提供此類支援是符合美國利益,制定機制,以確定和部署相關部門和機構資源用於此類作業,並在需要時,迅速尋求灑幣和程序障礙,以提供此類支援。舉個例子,美國正在領導NATO努力建立虛擬網路事件支援能力,使盟國能夠更有效和有效率地相互支持,以應對大壞蛋。
戰略目標5.4: 建立一個由美國了算的全球規範
聯合國每個會員國都做出了政治承諾,支持和平時期網路空間中負責任的國家行為準則,其中包括避免進行故意破壞關鍵基礎設施的網路行動。儘管壞蛋國家知道這個沒有強制力,但該框架日益增長的影響力已導致各國譴責那些違反該框架的人。國際社會越來越合作制定協調一致的聲明,同時得到許多盟友的外交譴責,並加強致力於穩定網路空間的聯盟。
作為其新的積極外交的核心部分,美國將追究壞蛋國家的責任。為了有效限制壞蛋並打擊武裝衝突一定程度以下的惡意活動,美國及其朋友,將譴責聲明與打屁屁行動結合起來。這些作業需要協作使用所有治國手段,包括外交孤立、經濟成本、反網路和執法行動或法律制裁等。
戰略目標5.5: 資訊、通訊和OT產品與服務的全球供應鏈安全
極度專業分工的供應鏈生產為美國這個世最終消費國提供了關於資通訊的所有產品與服務。從原材料和基本組件到成品和服務(虛擬的和實體的),美國是依賴不斷成長的外國供應商網路。這種來自不知道下包到第幾層的關鍵外國產品和服務的依賴為美國的數位生態系統帶來了多種系統性風險來源,因為搞不清楚中間有沒有壞東西在裡面。減輕此風險需要美國國內外公部門和私人單位之間進行長期策略合作,以重新平衡全球供應鏈,使其更加透明、安全、有韌性和值得信賴(可能要查到祖宗八代)。
關鍵性性的進口、組件和系統必須要”美國製造”,或讓盟友和合作夥伴強迫中獎,這些盟友和合作夥伴與美國有著一堆有的沒的願景。就是要搞屬於美國的標準。在確保5G 安全的國家戰略的基礎上,美國正在與合作夥伴合作,為5G 和下一代無線網路開發安全、可靠和值得信賴的供應鏈,包括透過Open RAN(Open Radio Access Networks)和合作規劃來實現供應商多元化。這些作業包括國防部在多個基地對Open RAN 實施進行的測試,以及智慧倉庫和物流專案,以及NTIA(National Telecommunications and Information Administration)的標準網路的開發和採用。將這種模式要延伸到其他關鍵技術並且由美國主導,以重新平衡全球供應鏈,使其更加安全、有韌性和值得信賴。跨黨基礎設施法(Bipartisan Infrastructure Law)要求聯邦政府資助的計畫“建設美國,購買美國(Build America, Buy America)”,包括數位基礎設施。透過EO 14017、「美國供應鏈」、《晶片和科學法案》以及《降低通膨法案》,聯邦政府會搞新的產業和創新戰略工具,以幫助美國及其盟友讓關鍵商品的生產是Made In America,同時確保美國的資訊技術和先進製造供應鏈是自己的。
美國將與盟友和夥伴合作,包括透過 IPEF、四方關鍵和新興技術工作小組和 TTC 等區域夥伴關係,確定和實施跨境供應鏈風險管理和轉移供鏈方面的最佳實踐鏈會流經夥伴國家和值得信賴的供應商(有就是整條產品的不管第幾個下包都要符合規定)。美國國務院將透過新的國際技術安全和創新基金進一步加速這些努力,以支持為半導體和電信創建安全且多樣化的供應鏈。最後,透過實施EO 13873“Securing the Information and Communications Technology and Services Supply Chain”以及EO 14034“Protecting Americans’ Sensitive Data From Foreign Adversaries”,美國會對讓美國國家安全有影響的壞蛋國家不能製造要給美國的產品。
