網路空間規範與美俄角力

日益熾烈的美俄網路空間衝突

美俄網路空間衝突早已非新鮮事,早在2016年,俄國便已試圖介入美國大選[1],近年來美俄網路空間衝突更為劇烈,情節重大者包括駭人聽聞的SolarWinds與Colonial Pipeline駭侵案。SolarWinds駭侵案於去(2020)年底被揭發,是有史以來美國所遭受最重大的網路攻擊事件,駭客目的是竊取美國機密情報,透過這些情報,甚至可左右美國對俄外交決策。

駭客的目標是由SolarWinds企業推出,名為Orion的IT管理軟體,該軟體為SolarWinds的主要軟體產品,其客戶多達33,000多間企業及美國重要政府機構,因此,該案影響遍及包括美國財政部(Department of the Treasury)、國土安全部(Department of Homeland Security,DHS)、商務部(Department of Commerce)及國防部( Department of Defense,DOD)等重要部門及多達18,000間企業[2]

今年5月7日發生的Colonial Pipeline駭侵案則與SolarWinds性質迥異,駭侵對象是美國燃油管線業者Colonial企業,目標是破壞美國關鍵資訊基礎設施並使燃油供應中斷。其幕後主使為DarkSide勒索軟體集團,該集團竊取近100GB資料並提出勒索,因擔心駭侵範圍變大,Colonial Pipeline關閉整個系統,導致由德州延伸至紐澤西州長達8,850公里的重要燃油管線暫停運作,拜登政府於兩日後宣布進入緊急狀態[3]。雖然目前並無證據認定DarkSide勒索軟體集團為俄國政府支持的駭客團體,但其使用俄語且可能來自俄國,因此不排除此案與俄國相關。

由於這些事件已對美國構成嚴重威脅,美國政府也開始轉守為攻,除要求國內企業增強網路安全機制與強化國家網路安全戰略外,亦透過外交手段威懾及制衡俄國,並提出增加俄國網路攻擊成本之法案。

美國對俄制裁與外交談判

今年4月,拜登總統正式下令,針對SolarWinds駭侵案對俄進行經濟制裁[4],拜登表示其目的並非要加劇兩國衝突,而是威懾俄國不輕易遂行網路攻擊,並使兩國衝突不致擴大。制裁內容包括:1.針對涉入干擾2018年大選的30間俄國企業及個人究責;2.驅逐10名俄國外交團的官員;3.制裁6間為俄國情治單位提供情報的俄國企業;4.自今年6月14日起,禁止美國金融機構參與由俄國政府使用的債券交易。若俄國持續其行徑,美國不排除在未來對俄國進行更嚴厲的制裁措施。

在制裁過後,北大西洋公約組織(North Atlantic Treaty Organization,NATO,簡稱:北約)發布聲明[5],表示支持並聲援美國對俄制裁。由此可見,對拜登政府而言,對俄施壓不僅能提高俄國遂行網路攻擊之成本,亦能拉近與歐洲盟友的關係。美國主動對俄國制裁的措施,也象徵美國認定SolarWinds駭侵案明顯超出傳統網路諜報行動之範疇[6],並對網路攻擊畫出新紅線:網路行動應適可而止,不應涉及大量公私部門

拜登於今年6月16日在瑞士日內瓦與普丁進行的磋商中,美國政府也明列16項包括能源部門及水利系統的關鍵資訊基礎設施[7],明確告知俄國不得對其遂行駭侵。此外,美國參議院也已推出《國際網路犯罪預防法案》(International Cybercrime Prevention Act)[8],參議員Lindsey Graham為該法案起草者之一,他表示法案精神在於增加網路罪犯的犯罪成本,並認為該法案將有助於追捕執行Colonial Pipeline 及JBS駭侵案而被俄國藏匿的網路罪犯。此外,即使拜登目前已就網路安全議題與普丁磋商,但Graham認為要制止俄國的不當行徑,唯一方法是增加其駭侵或窩藏網路罪犯之成本。

顯而易見,美國已為俄國訂定網路行動之紅線,但制裁與威懾並非遏止網路攻擊的最佳解方。長期以來,美俄雙方之所以於網路空間敵對,除歷史宿怨外,兩者對於網路空間規範的迥異想像亦是重大原因。因此,若要簽訂雙邊協議,雙方須建構互信基礎,並就該議題達成共識。

網路空間價值觀:基本差異

過去認為美俄之間無法達成網路協議的原因,在於美國無法採取更具體的威懾政策,逼迫俄國與其達成談判,且俄國絲毫不理會美國的警告,也未承認或證實美國對其發出的指控,展現出一種漠不關心的態度。然而,美國的威嚇僅能短期改變俄國行為,並非長治久安之道,若美俄不就相互觀點差異進行磋商,未來俄國仍不會放棄任何可能的駭侵機會。

哈佛大學貝爾佛中心(Belfer Center)便就此發表論文,論文中分別納入美俄雙方網路空間觀點差異[9]。貝爾佛中心網路安全專案主任Lauren Zabierek認為,雙方無法達成協議的原因包括資訊不對等網路觀念的根本差異。首先,美國對自己的網路軍事實力開誠布公,但俄國卻從未如此,資訊不對等造成雙方無法溝通。此外,俄國認為國家政府有權控制網路,對俄國而言,在網路上散布反政府言論的異議分子視同罪犯,甚至要求網路平臺移除相關言論[10]。但美國看待網路的基本價值觀是自由主義與人權觀念,兩者對於網路犯罪之觀點因此產生極大差異,若欲達成協議,雙方須彌平此認知鴻溝並找出共同利害核心。

近年來,美國已將推廣網路空間中的適切國家行為與民主價值納入國家戰略中 ,並頻頻指控俄國違反民主侵害人權的種種行徑,而俄國則展現出依然故我不予理睬之態度,因此未來雙方要磨合彼此觀點並達成妥協實屬不易,Zabierek認為雙方的共同憂懼是針對國內關鍵基礎設施的攻擊,隨著網路攻擊影響力與日俱增,這或許是展開協商的契機。

結語

目前美國與俄國顯然尚未針對網路空間達成任何共識或協議,雙方觀念鴻溝也非一時半刻可解,但隨著網路和平日漸重要,身為世界首強的美國將更加無法容忍俄國的駭侵行動。預計美國將持續透過外交手段與增設法規對俄國施壓,但美國也開始與俄國就網路安全議題進行磋商,未來可持續觀察兩國是否能保持溝通,進而產出具國際規範效力的協議。

[1]John Walcott (2018). Russia intervened to help Trump win election: intelligence officials. 檢自:https://www.reuters.com/article/us-usa-election-cyber-russia-idUSKBN13Z05B (Jun. 16, 2021)

[2] Shruti Dhapola (2020). Explained: A massive cyberattack in the US, using a novel set of tools. 檢自:https://indianexpress.com/article/explained/us-solarwinds-hack-cybersecurity-fireeye-russia-7110550/ (Jun. 15, 2021)

[3]Christopher Bing & Stephanie Kelly (2021). Cyber attack shuts down U.S. fuel pipeline ‘jugular,’ Biden briefed. 檢自: https://www.reuters.com/technology/colonial-pipeline-halts-all-pipeline-operations-after-cybersecurity-attack-2021-05-08/ (Jun. 18, 2021)

[4]Lucian Kim (2021). U.S. Slaps New Sanctions On Russia Over Cyberattack, Election Meddling. 檢自:

https://www.npr.org/2021/04/15/987585796/u-s-slaps-new-sanctions-on-russia-over-cyber-attack-election-meddling (Jun. 18, 2021)

[5] NATO (2021). North Atlantic Council Statement following the announcement by the United States of actions with regard to Russia. 檢自:https://www.nato.int/cps/en/natohq/official_texts_183168.htm (Jun. 21, 2021)

[6]Morrison Forester (2021). U.S. Government Responds to SolarWinds Hack, Seeks to Establish New Norms for Cyber Espionage. 檢自:

https://www.mofo.com/resources/insights/210419-us-government-responds-solarwinds-hack.html (Jun. 18, 2021)

[7] Phil Muncaster (2021). US Warns Russia of Cyber-Attack No-Go List. 檢自:

https://www.infosecurity-magazine.com/news/us-warns-russia-of-cyberattack/ (Jun. 21, 2021)

[8]  Maggie Miller(2021). Senators unveil legislation to crack down on cyber criminals. 檢自:https://thehill.com/policy/cybersecurity/558982-senators-unveil-legislation-to-crack-down-on-cyber-criminals?rl=1 (Jun. 18, 2021)

[9] Joe Uchill (2021).How far apart are the US and Russia from agreeing to cyber rules?SC Media.

檢自:

https://www.scmagazine.com/home/security-news/apts-cyberespionage/how-far-apart-are-the-us-and-russia-from-agreeing-to-cyber-rules/ (Jun. 17, 2021)

[10] BBC News(2021). Russia threatens to slow down Google over ‘banned content’. 檢自:https://www.bbc.com/news/technology-57241779 (Jun. 21, 2021)

回到頂端