美國的國家級網路安全戰略 Part 1

Sep 19, 2024

開頭就說數位時代的來臨帶給了美國人在生活以及工作、創業的莫大便利性。雖然方便，但也相對有危險。所以需要應對的策略與方法。

然後開始嘴說，網路安全很重要。總統要保護大家在享受網路便利性的同時，也要保護大家遠離網路壞人，並將壞人繩之於法。所以總統指定了很厲害的人，並簽署總統令來做這件事。

所以這一個網路安全策略需要公部門與私人企業通力合作，才能保障我們的網路空間的安全。網路安全這件事對一般個人跟小型企業負擔很重，總統覺得這不公平，所以他會重新分配網路安全的責任給相對應的人。棍子跟蘿蔔都準備好了，而且是要管到海邊，也就是不只在美國境內管網路安全(長臂管轄又要出現了)。另外也要叫國會給錢，不然怎麼玩下去。

總統接著說，網路是一個"開放、自由、全球性、可互通、可靠和安全"，因為講人權。那些不講人權的地方，在網路上也是處處管制，是用來鎮壓和脅迫的工具。我們應該聯合朋友們一起反對這種事情發生。

以上是總統一開始的開場白。以下是節錄該篇文章部分並加上筆者個人見解。

簡介(Introduction)

數位時代的來臨帶給人類莫大的便利性，不管是AI或是IoT其他相關產業。都有人可能因為數位時代的來臨變成某種產業的主導者或創新者。但因為整個數位生態系越來越蓬勃，越來越多人在數位世界進行協同作業。所以惡意者濫用其數位能力與技能的狀況也越來越多。(更多數位轉型的文章可參閱本部落格"企業的數位轉型"系列文章)

但過去傳統的Cybersecurity的防衛方式已經不在符合現今不斷變動的數位世界，我們必須做出根本性的變革，才有辦法保護我們動態的數位生態系。目標是將數位生態系變成是"可防禦且有韌性的"。在該生態系統中，攻擊的成本比防禦系統的成本更高，敏感或私人資訊得到安全和保護，並且攻擊事件或錯誤都不會導致災難性的系統性後果。方便性與脆弱性成正比。

現在的美國的現況

在網路上的攻擊行為(惡意行為者)都是會威脅美國所要保護的"包容、公平、促進繁榮並符合美國的民主價值觀的數位生態系統的進程"。

世界正進入一個高度"數位相依(digital dependencies)"的新階段。這些都是因為有新興科技與從未有過複雜的且相依的系統所組成，這些帶來的高度的方便性，但同時是從未見過的系統組成。所以很多系統性的風險本身就在這些不安全的系統當中。

軟體和系統之間的交互變得越來越複雜，為人類提供了價值，但也增加了人類的集體不安全感。我們常常將新功能和技術分層(特別是將系統解偶)到已經複雜且脆弱的系統上，而犧牲了安全性和韌性(因為要又快又便宜)。目前AI的高度使用（其行為方式甚至連其創造者都意想不到）正在加劇與我們許多最重要的技術系統相關的複雜性和風險。

網際網路(這一個共享平台)繼續連接個人、企業、社區和國家，從而實現規模化的業務解決方案和跨國協作。但全球互聯互通的加速也帶來了風險。對一個組織、部門或國家的攻擊可能會迅速蔓延到其他地方，2017年俄羅斯對烏克蘭發起的「NotPetya」網路攻擊一樣，該攻擊隨後蔓延到歐洲、亞洲和美洲，造成了數十億美元的損失。隨著互依性的增加，此類攻擊的潛在成本只會增加。

數位科技越來越多地觸及我們生活中各個面向，雖然提供了便利，但也帶來了新的且無法預見的風險。 COVID-19讓我我們更深入地生活在數位世界中。隨著我們的生活與影音串流、穿戴式裝置和生物辨識技術交織在一起，個人資料收集的數量和隱私性正在呈指數級增長。這些數據的偷竊行為也在迅速增長，並為惡意行為者監視、操縱和勒索個人提供了新的載體。

下一代網際網路(可能是Web3)互聯性正在打破數位世界和物理世界之間的界限，並使我們一些最重要的系統面臨破壞。一些重要基礎設施(例如電網和水處理設施)正在逐漸擺脫舊的類比控制系統，並迅速引入線上數位OT(operational technology)。先進的無線技術、物聯網和衛星資產將加速這一趨勢，推動許多領域的發展。現在的網路攻擊本質上會對我們的日常生活更具破壞性和影響力。

惡意攻擊者

惡意網路活動已經從篡改演變為間諜活動和智慧財產權偷竊，再到針對關鍵基礎設施的破壞性攻擊，再到勒索軟體攻擊和旨在破壞一般大眾對民主基礎信任的網路影響力活動(例如深偽技術這一類的假訊息)。具攻擊性駭客工具和服務以前只有國家等級的資源才有辦法做，但現在這已經變成一種商業服務而且可以廣泛使用。這些工具和服務使以前缺乏能力能夠損害美國在數位世界的話語權的國家變得更加強大，並使有組織犯罪集團的威脅日益增加。

邪惡軸心國(中國、俄羅斯、伊朗、北韓)和其他會威脅美國的專制國家政府正在積極利用先進的網路能力來對抗以美國為首的西方國家的國際準則背道而馳的目標。這些國家對網路空間的"法治和人權"的行為正在威脅美國的國家安全和經濟繁榮(所以要打這些國家的屁屁)。以下開始細數每個邪惡軸心國的罪狀。

中國

中國現在對美國政府和營部門網路構成最廣泛、最活躍和最持久的威脅，並且是唯一一個有意重塑國際秩序以及日益重塑經濟、外交、經濟和社會秩序的國家。在過去的十年裡，它的網路行動已超出了智慧財產權盜竊的範圍，成為美國最先進的戰略競爭對手，有能力威脅美國的利益並主導對全球發展至關重要的新興技術(所以要卡它)。在成功利用網際網路作為其監視國家和影響能力的支柱後，中國正在輸出其數位威權主義的願景(例如抖音)，努力按照其形象塑造全球網際網路，並危及境外的人權。這一段說白了就是要挑戰美國的世界霸權。

俄羅斯

二十多年來，俄羅斯政府利用其網路能力破壞鄰國穩定並干涉世界各地民主國家的國內政治。俄羅斯仍然是一個持續的網路威脅，因為它不斷完善其網路間諜、攻擊、影響力和虛假資訊能力，以脅迫主權國家，窩藏跨國犯罪行為者，削弱美國的聯盟和夥伴關係，並顛覆基於規則的國際體系。與 2017 年的「NotPetya」攻擊一樣，俄羅斯為支持 2022 年對烏克蘭的殘酷無端入侵而發起的網路攻擊，對其他歐洲國家的民用關鍵基礎設施造成了不負責任的外溢影響(說的是其他國家有可能有樣學樣)。

伊朗與北韓

伊朗和北韓政府在網路空間進行惡意活動的複雜性和意願也同樣日益增強。伊朗利用網路能力威脅美國在中東和其他地區的盟友，而北韓則開展網路活動，透過犯罪企業（例如透過竊取加密貨幣、勒索軟體和部署秘密IT人員）創造收入。這些能力的進一步成熟可能會對美國、盟國和合作夥伴的利益產生重大影響。

上面的網路行動現在對美國及其盟國和合作夥伴的國家安全、公共安全和經濟繁榮構成威脅。這些攻擊事件讓美國的損失很大，每年可能達到數十億美元。犯罪集團通常在跟美國不對盤有敵意的國家活動，這些國家經常鼓勵、窩藏或容忍此類活動。這些和其他惡意網路活動繼續威脅整個美國與美國人，包括對那些沒有必要資源來保護自己或求償的美國人造成不成比例的影響。

美國的反制之道:網路空間的韌性之路

美國的數位生態系統中的利害關係人(也就是美國的盟友們)之間深入而持久的合作將成為我們使其更具內在防禦性、彈性並與美國價值觀保持一致的基礎(非友即敵)。此策略旨在圍繞五個支柱建立和加強合作：

保衛關鍵基礎設施（DEFEND CRITICAL INFRASTRUCTURE）
破壞和瓦解威脅行為者(DISRUPT AND DISMANTLE THREAT ACTORS)
塑造市場力量以推動安全和韌性(SHAPE MARKET FORCES TO DRIVE SECURITY AND RESILIENCE)
投資具韌性的未來(INVEST IN A RESILIENT FUTURE)
建立國際夥伴關係以追求共同目標(FORGE INTERNATIONAL PARTNERSHIPS TO PURSUE SHARED GOALS)

每一項努力都需要其各自的利害關係人群體（包括美國的公與私部門還有國際盟友）進行前合作。組織該策略的支柱闡明了這些社群的共同目標和優先事項的願景，強調了他們在實現這一願景時面臨的挑戰，並確定了組織其努力的策略目標。

為了實現這些支柱所闡述的願景，美國爸爸會分配網路空間的角色、責任和資源方面做出兩項根本性轉變。在實現這些轉變的過程中，美國會改善其防禦，而且會很用力地改變那些目前違背美國利益的潛在態勢(美國爸爸可能動用長臂管轄)。

讓一些賺太兇的業者負起一些責任

網路空間中最有能力、最有利的參與者必須成為數位生態系統的更好管理者(也就是要叫一些大型平台負責，不要只想著賺錢)。因為一般大眾在降低網路風險方面承受著太大的負擔。小型企業、州和地方政府以及基礎設施營運商的資源預算有限要做的事卻太多，但這些組織的選擇可能對美國的國家網路安全產生重大影響。一個人的短暫判斷失誤、使用過時的密碼或錯誤點擊可疑連結不應影響國家安全。美國的集體網路韌性不能依賴我們最小的組織和一般大眾的持續警覺。

相反，在公和私部門，美國政府會讓賺最兇的業者來確保美國的數位生態系統安全和有韌性。在一個自由和互聯的社會中，保護數據並確保關鍵系統的可靠性必須是保存美國人的數據並使美國的社會發揮著作用的系統的所有者和運營商的責任，以及構建和服務這些系統的技術提供者的責任。政府沒錢管哪麼多，政府光保護自己的系統就沒錢了；確保一般私人企業，特別是關鍵基礎設施，保護其系統；美國政府光搞自己的事務，例如參與外交、收集情報、施加經濟成本、執行法律以及採取破壞性行動應對網路威脅這一些就忙不過來了。產業和政府必須共同推動有效和公平的合作，以糾正市場失靈，最大限度地減少網路事件對社會最弱勢群體的危害，並捍衛美國共享的數位生態系統。

剛剛把棍子拿出來揮，現在要給大家一點蘿蔔

美國的經濟和社會必須激勵決策，使網路空間從長遠來看更具韌性和防禦力。平衡短期任務(賺錢)與長期願景(花錢)並非易事。美國必須捍衛現有的體系，同時投資和建立一個本質上更具防禦性和韌性的未來數位生態系統。

該戰略概述了聯邦政府將如何利用所有可用工具來喬一個可以大家都滿意的激勵措施。美國政府會市場力量和公共計劃都獎勵安全性和韌性，建立一支強大而多樣化的網路人力，透過設計擁抱安全性和韌性，策略性地喬出一個網路安全的研究和開發投資，並促進數位生態系統的協作管理。為了實現這些目標，聯邦政府將重點關注支點，在這些支點上，微創行動(invasive actions)將在防禦性和系統韌性方面產生最大效益。看美國爸爸覺得誰是重要的支點。

美國政府要來跟基礎設施、能源系統的數位化和碳排放、半導體供應鏈的安全、加密技術以及外交和國內政策優先事項的振興的大翻新，甚麼都來一些投資。美國有機會重新平衡必要的激勵措施，為建構數位生態系統的未來奠定更強大、更有韌性的基礎。

開始細數美國過去的功績(make america great again)

美國的這個戰略在為美國的網路安全提出新方法的同時，是建立在已經塑造美國的戰略環境和數位生態系統的好棒棒的基礎上。在上任的第一天，拜登-政府就說要站出來主持公道，特別針對俄羅斯對 SolarWinds Orion 平台的攻擊和中國對微軟 Exchange的攻擊。總統提升了白宮在網路安全方面的領導力，找大神來擔任NSC(National Security Council) 和ONCD(Office of National Cyber Director)的坑。

為了搞定這一個很厲害的戰略，美國政府找了一堆人來喬，而且橋了好幾個月。並且一起搞定了National Security Strategy與National Defense Strategy。這還參考了第14028 號行政命令（EO）「改善國家網路安全」、國家安全備忘錄（NSM）5「改善關鍵基礎設施控制系統的網路安全」、NSM 8「改善國家安全的網路安全」這一類之前的總統命令。

這個很厲害的戰略將網路安全(Cybersecurity)納入了跨黨基礎設施法、通膨減少法(Inflation Reduction Act)、協助美國半導體生產法 (CHIPS) 和科學法案以及 EO 14017「美國供應鏈」。這麼多法都有份，就是講美國政府要大撒幣了。肯配合的就有糖吃。

再來讚揚一下前幾屆政府的功績，說做得很好。但是我現任端出來的菜更好，所以要取代之前的政策。例如2018 年國家網路戰略（包括數位生態系統的協作防禦）、太空系統的安全與韌性（實施太空政策指令 5「太空系統的網路安全原則」）、國家AI和5G計畫，還有其他覺得不順眼的。反正就是＂一朝天子一朝臣＂。

接下來在其他系列文章開始講重點：