大西洋理事会(Atlantic Council)11月8日发布题为《监视技术博览会:网络能力在国际武器市场的扩散》的研究报告。报告显示欧洲和中东的间谍软件和监控技术公司正在向美国及其情报盟友和北约(NATO)的对手销售入侵软件。11月3日,美国商务部将总部位于以色列的NSO集团和间谍软件公司Candiru列入对美国国家安全构成威胁的公司名单,此举被视为美国打击间谍软件的重要措施。此后,有三名众议院民主党人呼吁拜登政府采取进一步行动,限制民主国家的投资者向黑客雇佣的公司投资。
研究报告称,国家网络能力越来越遵循“付费游戏”模式——美国/北约盟国和对手都可以从私人公司购买拦截和入侵技术,用于情报和监视目的。虽然NSO集团在2021年以政府机关为目标,多次登上新闻头条,但销售同样有害产品的企业越来越多。这些供应商越来越多地指望外国政府来购买他们的商品,而政策制定者还没有充分认识到这一新兴问题,也没有有效的应对措施。出售给外国政府的任何网络能力都存在巨大风险:这些能力可能被用来对付盟国的个人和组织,甚至本国的个人和组织。
由于监控技术的买卖大部分都是在暗处运作,所以对整个行业的研究很少。报告分析了在过去20年里,在国际监视市场中积极提供拦截/入侵能力的供应商,被研究的公司参加了ISSWorld(即Wiretapper’s Ball)和国际武器展览会,这个数据集主要集中在西方公司,很少涉及中国公司,因为在ISSWorld上中国公司的参与人数一直很少。然而,这项研究工作的成果将有助于决策者更好地了解整个市场,以及这些参与者所经营的主要武器及交易情况。报告明确识别了在军售会上营销拦截/入侵技术的公司,并回答了一系列问题,包括:哪些公司在总部区域外营销拦截/入侵能力;哪些武器交易会和国家吸引了大多数这类公司;哪些公司向美国和北约对手出售拦截/入侵能力?
结果数据显示,作者高度自信地评估了总部位于欧洲和中东的多家公司,它们正在向美国/北约的对手推销网络拦截/入侵能力。他们认为,提供拦截/入侵能力的公司构成了最大的风险,因为它们支持了暴虐政权,也增强了这些国家战略能力。许多这样的公司聚集在法国的milpol,英国的Security & Policing,以及英国,德国,新加坡,以色列和卡塔尔的其他武器展览会。
研究发现,75%可能出售拦截/入侵技术的公司已经向其本土以外的政府推销了这些能力。五家不负责任的扩散者——BTT、Cellebrite、Micro Systemation AB、Verint和vastech——在过去十年中向美国/北约的对手输出了他们的能力。
报告将这些公司归类为潜在的不负责任的核扩散者,因为它们愿意在自己的本土以外向美国和北约的非盟国政府——特别是俄罗斯和中国——销售产品。这些公司表明,他们愿意接受或忽视这样的风险,即他们的产品将增强客户政府的能力,可能会威胁美国/北约国家安全或伤害边缘化人口。当附属国政府是美国或北约的直接对手时,情况尤其如此。
这种全球化的转变之所以重要,有两个原因。首先,这表明网络能力在全球范围内扩散的趋势正在扩大。其次,在监控和攻击性网络能力市场上,许多这类公司长期以来一直通过指出其客户感知到的合法性来论证其商业模式的合法性。然而,他们的营销策略却与这种说法相矛盾。正如最近对几名前美国情报人员为阿联酋工作的指控所证实的那样,最初专注于一个目标的能力可能会扩展到其他情报用途。当这些公司开始向北约成员国和及其对手出售产品时,应该会引起所有客户的国家安全担忧。
报告最后建议美国和北约采取四项措施以缓解当前这种不利局面,一是与该领域的公司建立了解客户(KYC)政策;二是与武器展览会合作,限制不负责任的扩散者参加这些活动;三是加强出口管控的漏洞;四是让不负责任的供应商和客户蒙羞。
调查结果出炉之际,正值参加国际武器贸易展的监控设备供应商数量激增,其中包括出席人数众多的法国警政署和总部位于英国的安全与警务内政部。
这些风险并非假设。研究人员收集的武器博览会参展数据包括美国承包商CyberPoint。CyberPoint是DarkMatter(暗物质)的前身,在为阿拉伯联合酋长国设计网络能力并导致对美国公民进行间谍活动后,它成为了美国执法部门的目标。
该报告提供了迄今为止对入侵和监控行业最全面的总结梳理,但研究人员指出,可能存在更多的公司。因为他们用英语搜索,“数据集严重低估了中国公司在这一领域的存在。”报告建议政策制定者集中力量,控制那些直接向对手出售这些能力的公司,或那些愿意忽视其能力可能被滥用风险的公司。
网络和监视能力的扩散是一个棘手的政策问题。防止该行业造成的危害是一项重要的政策目标,应予以重视。然而,迄今为止,通过出口管制和全球机制来监管该行业的努力收效甚微。最重要的是,研究报告表明,有一大批私营企业愿意不负责任地自行其事:它们的营销能力有可能成为某些政府的压迫工具,或成为非北约盟国的战略工具。美国、北约及其盟友仍有政策工具可以用来防止私人开发的攻击性网络能力不负责任地扩散。
参考资源
1、https://www.cyberscoop.com/spyware-nato-arms-fairs-atlantic-council/
2、https://www.atlanticcouncil.org/in-depth-research-reports/issue-brief/surveillance-technology-at-the-fair/
声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。