美國兩大駭侵案及其重大傷害
美國政府於2020年12月發現的軟體供應商SolarWinds遭駭事件,是有史以來針對美國政府機構及其他大型企業最大的網路攻擊,該事件由俄國策動,包括電信營運商、美國財政部(Department of the Treasury)、國土安全部(Department of Homeland Security,DHS)、商務部(Department of Commerce)及國防部(Department of Defense,DOD)皆受影響[1],多達數百間企業遭受損失,且俄國已透過此行動竊取政府機密,未來可能透過這些機密資訊影響美國對俄政策。早在2020年2月,俄國駭客便已開始行動,然而直到2020年11月,該案才在美國東窗事發,且時至今日攻擊規模與個資外洩情況仍未確認完成。
由中國駭客發動的Microsoft Exchange伺服器駭侵案也近似SolarWinds事件,駭客利用廣泛分布於Amazon、GoDaddy與其他小型國內供應商伺服器中的漏洞,不僅逃過國安單位的預警系統[2],也能從中發現更多漏洞以利於未來的網路攻擊行動。在經歷兩起重大駭侵案後,檢討既有美國網路安全政策及制度問題的聲浪不絕於耳,包括國會議員、政府官員與私營企業已開始共同討論立法,以在未來有效因應及防堵這類案件。
美國既有結構性議題與公私部門情報共享
這兩起事件的共同點是外國駭客潛伏於美國境內進行攻擊,然而,根據目前美國政府組織職能,美國國家安全局(National Security Agency,NSA)僅能監視美國境外網路訊務而無法處理於美國境內發生的駭客攻擊。有權監管境內訊務的單位是聯邦調查局(Federal Bureau of Investigation,FBI)與國土安全部,但即使偵測到駭客,上述兩單位仍須申請拘捕令才能將駭客繩之以法,其中行政程序的耗時性使駭客得以脫身[3]。美國網路司令部將軍兼國家安全局局長 Nakasone 就曾力促國會議員立法,以提升網路司令部(United States Cyber Command,USCYBERCOM)的能力,以追蹤在美國境內並以國內關鍵基礎設施為目標的外國駭客[4]。
美國立國精神強調對公民隱私與自由權利的保障,因此根據美國憲法第四修正案[5],美國公民有免於不合理搜查之權利,這也是為何許多執法單位權力受限的主因。在以憲法為尊的原則下,包括Nakasone與美國對外關係委員會(Council on Foreign Relations)的高級研究員Robert Knake,都認為應對網路威脅的最佳方案是整合公私部門的既有網路威脅情報,而大量私人企業、國會議員、情報官員與政府機構也都認同此看法,可能的方案是建立一個中央資料庫存放重要情報,並由國土安全部負責資料庫安全,目前美國國會議員已積極推動相關法案要求企業主動承擔共享情報之責任[6]。
增進政府部門協作能力與深化國際合作
除公私部門協作外,強化政府部門間協作能力亦是當務之急,Lawfare的分析文章[7]便指出這一點。根據目前美國政府權責架構,國防資訊網路的保護責任歸屬於國防部,而國土安全部則負責保護其他聯邦機構系統,因此部門間有必要協作以應對這種針對多部門的大規模網路攻擊,美國政府須建立整體網路安全戰略並擴大部門協作機制,此外,美國也應考量與盟國建立有效的網路情報共享機制。
近年來,歐洲各國都飽受俄國駭客侵擾,美國在拜登政府上臺後也一改過去川普總統的「美國優先」模式,積極倡議恢復與大西洋盟友之關係。與盟友建構共同網路防禦陣線可說是一石二鳥之計,不僅修復強化美國與大西洋盟友之關係,亦能共享共同敵國的駭客威脅情報。
強化第三方供應商責任
據Compliance Week的報導[8],要應對此種大型駭客攻擊,私部門也須有所作為並對企業內的資安漏洞負起責任,特別是每家企業幾乎都有使用由第三方供應商提供的軟體,因此確認軟體供應鏈的網路安全至關重要。美國安全顧問公司Bishop Fox的首席研究員Dan Petro建議政府應為企業增設網路安全諮詢服務,並強化針對第三方供應商的審查機制。第三方供應商的責任包括:蒐集駭侵資訊、更新網路衛生情況以及藉AI之力擴大監控規模。
在SolarWinds事件發生後,包括FireEye、Microsoft、SolarWinds與網路安全及基礎設施安全局(Cybersecurity and Infrastructure Security Agency,CISA),已共享威脅資訊並將其提供給資安從業人員,企業必須將資料分類並確認存放位置。
美國政府在制度上的作為:《國防授權法》對CISA的賦權與CSET的設立
去(2020)年通過的《國防授權法》(National Defense Authorization Act,NDAA)授予CISA主動偵測網路漏洞的權力,未來CISA可對網路服務供應商發送傳票,迫使供應商發布有關關鍵基礎設施中網路漏洞之相關資訊[9]。此外,CISA代理局長Brandon Wales指出[10],美國政府應增加CISA的預算及人力資源,並將其設為獨立機構。CISA必須掌握代理商內部網路及雲端的網路安全部署,才能及早發現並處理相關漏洞。
前美國國務卿Mike Pompeo於2021年1月7日批准成立網路安全與新興技術局(Cyberspace Security and Emerging Technologies,CSET)[11],該單位為國務院轄下的外交機構,其職能在於透過外交手段防止美國與中國、俄國、伊朗及北韓等主要網路敵國的衝突[12],並降低對手運用網路攻擊對付美國之動機。其未來能否發揮作用尚須觀察,持悲觀看法者包括前眾議院外交事務委員會主席Eliot Engel,以及前網路安全協調官Christopher Painter,Engel認為該機構將關注焦點囿限於網路安全過於狹隘;Painter則指出,該機構的設置過於倉促而缺乏長期考量。
結語
網路安全已是美國國家安全領域的重中之重,在經歷大型國家駭客攻擊後,美國已開始深思如何加強作為以應對這類大型駭侵案,目前尚有許多相關制度處於擬議階段,例如:立法強化私部門的網路威脅通報責任、CISA擴權議題與深化國際合作的具體制度等,未來可持續觀察美國如何透過國際上的合縱連橫與建立國內制度,以抵禦大型的惡意網路行動。
[1] Shruti Dhapola. Explained: A massive cyberattack in the US, using a novel set of tools. The Indian Express. 2020/12/29
[2] David E. Sanger, Julian E. Barnes and Nicole Perlroth. White House Weighs New Cybersecurity Approach After Failure to Detect Hacks. The New York Times. 2021/03/14
[3] Tonya Riley. NSA director says intelligence has a big blind spot: domestic Internet activity. The Washington Post. 2021/03/26
[4] Maggie Miller. Cyber Command chief says dozens of cyber operations carried out to defend 2020 elections. The Hill News 2021/03/25
[6] Tonya Riley. Congress mulls legislation to require companies to report major cyberattacks. The Washington Post. 2021/03/16
[7] Richard J.Harknett. SolarWinds: The Need for Persistent Engagement. Lawfare 2020/12/23
[8] Jaclyn Jaeger. Cyber-security lessons from the SolarWinds hack. Compliance Week. 2020/12/18
[9] Maggie Miller. Senate approves defense bill establishing cyber czar position, subpoena power for cyber agency. The Hill News 2020/12/11
[10] Sean Lyngaas. More federal victims of SolarWinds hacking likely to come forward, CISA chief says. Cyberscoop 2021/01/11
[11] Maggie Miller. State Department sets up new bureau for cybersecurity and emerging technologies. The Hill News 2021/01/07
[12] U.S. Department of State. Secretary Pompeo Approves New Cyberspace Security and Emerging Technologies Bureau. 2021/01/07
