编者按
在乌克兰遭受大规模网络攻击、俄罗斯和乌克兰再次处于战争的边缘之际,欧盟于1月14日启动为期六周的“欧盟网络危机联系团结演习”(EU CyCLES),旨在对欧洲的应变能力进行压力测试,加强成员国间的准备与合作,并提高联合应对的有效性。
演习的主要目标是在技术、操作和政治三个层面上测试欧盟应对重网络事件的合作机制。在内部维度,演习场景主要关注欧盟危机管理机制;在外部维度,演习场景主要关注欧盟可以对攻击和攻击者做出的政治反应,特别是运用网络外交手段。技术层面,由计算机安全事件响应小组(CSIRT)网络负责协调;业务层面,由“网络危机联络组织网络”(CyCLONe)负责协调;战略和政治层面,由网络问题横向工作组(HWPCI)/政治与安全委员会(PSC)和欧盟成员国常驻代表委员会(COREPER)负责协调;外交层面,由成员国外交部长负责协调。
演习以具有跨境影响的大规模供应链网络攻击为场景,两个成员国及关键基础设施运营商将遭受直接影响,其他成员国将遭受间接潜在影响。场景中,遭攻击目标是一家虚构的工业系统提供商IMCO;威胁行为者包括虚构的民族国家“蓝地”、网络威胁行为者“蓝色黎明”以及网络犯罪团队OT-Powner。该演习首次突破了武装攻击的门槛,最后阶段会出现根据《联合国宪章》可被定性为武装侵略的攻击,使得欧盟成员国有机会援引《欧洲联盟条约》共同防御条款。
奇安网情局编译有关情况,供读者参考。
欧盟成员国希望通过“欧盟网络危机联系团结演习”(EU CyCLES)来为导致重大灾难的黑客攻击做准备。演习假设起点是具有“重大动能效应和伤亡”的攻击。然后,欧盟启动其技术、操作和政治网络安全架构,其他成员国也将提供互助。该为期六周的演习旨在对欧洲的应变能力进行压力测试,加强成员国间的准备与合作,并提高联合应对的有效性。
演习介绍
参演者在演习场景将面对具有跨境影响的大规模供应链网络攻击。从演习一开始,两个成员国将直接受到影响,关键基础设施运营商也将受到影响。许多其他成员国不会成为直接攻击目标,但会遭受相关影响,包括:社会经济影响;巨大的社会政治压力;各国基础设施中大量存在易受攻击的模块;自身关键基础设施因此而可能发生的迫在眉睫事件。
袭击的强度和影响将逐渐增加,并逐渐导致一些成员国的反应能力饱和,从而引发互助和制定全面协调响应的要求。
演习的主要目的是测试技术、操作和政治层面之间的合作,以防发生重大网络事件。因此,该场景将主要关注欧盟危机管理机制(内部维度)和欧盟可以对攻击和攻击者提供的政治反应(外部维度,特别是网络外交工具箱的激活)。实际上,该场景基于现实生活中已经发生或人们担心在不久的将来可能发生的情况,以应对欧盟面对大规模供应链网络攻击所需处理的挑战。攻击将涉及场景不同阶段的技术、操作以及战略/政治协商。计算机安全事件响应小组(CSIRT)网络(模拟)将确保技术层面的贡献,“网络危机联络组织网络”(CyCLONe)确保业务层面的协调,网络问题横向工作组(HWPCI)/政治与安全委员会(PSC)和欧盟成员国常驻代表委员会(COREPER)确保在战略/政治层面的协调,最后外交部长层面也将开展协调。
归因问题将被讨论,但不会是演习的核心。在最后阶段,虚构危机将升级到可以将攻击视为武装侵略的程度,其中包括让成员国有机会援引《欧洲联盟条约》第42.7条(共同防御条款)的机会。由于危机的严重性,将在网络外交工具箱的框架内以及其他范围内寻求制定适当的危机应对措施。
场景元素
EU CyCLES 演习的情景将呈现逐步升级为重大网络危机的局面,在最后阶段会出现根据《联合国宪章》可被定性为武装侵略的攻击。
从2022年1月起,参演人员将面临供应链网络攻击,逐渐导致两个成员国的事件响应能力饱和。
在此场景中,危机还将对其他几个会员国产生社会经济影响。然而,数字领域之外的影响将保持相对有限,直到场景的最后阶段。目标之一是在此紧迫时刻强调欧盟合作的重要性,包括可能通过操作层面的网络互助。虽然危机仍然是一场网络危机,但如果不解决漏洞可能会产生更严重的影响。
演习的第二阶段将更侧重于对已识别的恶意网络活动的外交响应。主要目标将是加强欧盟使用外交工具应对重大网络危机的能力和准备。
为尽可能真实,演习情景将基于已经发生或可能在不久的将来发生的事件,以考虑到欧盟应该能够应对的挑战。
遭攻击目标
工业制造商IMCO是一家提供工业系统的公司。该公司提供的系统适用于广泛行业,支持将原材料转化为成品。IMCO在欧盟市场拥有稳固的立足点。其系统广泛用于能源、工业和运输部门,同时还用于卫生和海军系统。其主要产品线是监控和数据采集(SCADA)系统所涉及的软硬件组件的组合。SCADA系统有助于监控和控制工厂中工业系统的生产或能源系统中的输出。
威胁行为者
OT-Powner:一个专注于搜索工业系统漏洞和非法访问工业系统的犯罪集团。其主要收入来源是向威胁行为者(包括国家支持的行为者)出售对工业系统的非法访问权。该团伙按地理区域销售访问权限。销售仅限于具有工业系统攻击知识的威胁行为者群体,以最大限度地降低暴露风险。OT-Powner仅出售访问权限,不出售任何零日漏洞或漏洞利用。
蓝地(Blueland):欧盟附近的一个国家。
在政治层面,欧盟和“蓝地”的观点存在分歧。在1960年革命和民主政权建立后,“蓝地”的政治制度最近开始向专制国家转变。在过去的8年里,“蓝地”一直由一名独裁领导人主导。2019年11月,该领导人延长了其政治任期,现在可以不受任何任期限制地治理国家。与此同时,对民主反对派的政治镇压一直在增加,并导致几位反对派领导人(和前议会议员)离开“蓝地”并在欧盟成员国寻求庇护。几位主要领导人已在欧盟成员国寻求庇护(反对派运动的两位主要领导人自2016年以来已在芬兰和捷克共和国定居)。欧盟已经做出各种声明,在政治上支持民主反对派运动。作为回应,“蓝地”经常通过政治宣言来挑战欧洲的价值观和原则,因此在过去两年中关系恶化。
在过去的几个月里,芬兰和捷克共和国的两位领导人通过公开谴责威权领导人缺乏可信度(民粹主义、虚假信息)而赢得了声誉。他们通过在窗户上贴上绿丝带来鼓励人们和平地表达不满。民主反对派运动越来越严重,“蓝地”担心这是更大规模不满情绪的开始。
在经济层面,“蓝地”与欧盟具有相对的经济依存度,尤其是在电子元器件出口欧盟方面。自2011年以来,“蓝地”一直与欧盟就一项深入而全面的自由贸易协定(DCFTA)进行谈判,但尚未完成。尽管最近的经济危机削弱了该国的经济,尤其是其金融体系,但“蓝地”仍将自己定位为一个旨在加强其全球影响力的全球大国;由于“蓝地”与欧盟间的紧张局势升级,关键部件的出口将在2月初被阻止。
“蓝色黎明”(BlueDawn):一个以危害跨行业的各种公司而闻名的威胁行为者。“蓝色黎明”是一个犯罪集团,其与“蓝地”的关系在过去多个场合(在一些网络活动中被用作代理人,旨在破坏“蓝地”一些政治反对者的稳定)得到显现。
欧盟理事会的实施阶段
演习将于2022年1月14日至2月21日在欧盟理事会举行。演习将涉及网络问题横向工作组(HWPCI)、与其工作相关的政治与安全委员会(PSC)和欧盟成员国常驻代表委员会(COREPER)。一些会议将开展,而另一些会议将仅模拟并包含在场景注入中。
在第一部分,重点将放在欧盟对此类危机的内部反应,特别是确定在改善成员国之间的合作框架方面取得的进展,以及欧盟机构可以发挥的作用。
同意扮演受攻击会员国角色的会员国将于2022年1月14日在COREPER提出该问题。2022年1月12日,欧洲联盟理事会主席国将介绍对COREPER和将参与第一阶段的其他机构的期望。其目的还将是在COREPER(2月4日)上发起讨论,以确保在发生重大事件时,在政治层面对一个或多个成员国面临的网络危机的严重性和影响进行详细和客观的分析。在此方面,演习将突出2020年成立的网络危机管理战略合作网络CyCLONe可以发挥的作用。
在第二部分中,将提供有关造成危机袭击的起源信息。然后,该演习将涉及启动各个相关机构以准备外交响应,包括对攻击责任的公开归属以及可以启动的互助机制,以应对具有重大动能效应和人员伤亡的最终网络攻击。
演习的最后阶段将由各国外交部长在2022年2月21日的外交事务委员会会议间隙进行。
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
