为应对俄罗斯针对乌克兰的特别军事行动,美国对俄罗斯技术部门的出口管制迅速升级,但在过去十年中,美国一直在逐渐限制技术流向俄罗斯。具体而言,美国在2016年莫斯科干预选举后对俄罗斯网络安全公司实施出口管制,并在2022年初大幅限制网络安全产品流向俄罗斯。最终目标是在技术上孤立俄罗斯并降低其进攻性网络能力。
美国此举是俄罗斯长期积极利用网络能力维护其在东欧的势力范围并对美国政府进行大规模网络攻击的结果。最近,在2月24日发动军事行动之前,俄罗斯使用数据擦除软件攻击了乌克兰的计算机。一年前,美国政府发现俄罗斯人进行了大规模的SolarWinds供应链黑客攻击,这使他们能够在几个月内监视国土安全部和财政部以及其他高层机构。
对高端半导体的出口管制可能是实现这一目标的最有效方法,这主要是由于美国及其盟国几乎垄断了芯片生产过程。然而,控制入侵软件等网络安全产品的出口影响将较小,因为许多其他外国公司都有能力制造这些产品并将其出售给俄罗斯。
3月25日,美国联邦通信委员会 (FCC )将俄罗斯知名网络安全企业卡巴斯基、中国电信和中国移动等列入 “对美国国家安全构成威胁的通信设备和服务 ”的清单。该清单上目前已有八家企业,包括中国的华为、中兴、海能达、海康威视和大华股份(编者注)。
什么是网络安全出口管制?
美国商务部工业与安全局(BIS)最近修订了商务控制清单(CCL),将入侵软件和互联网协议 (IP) 网络通信监控等网络安全项目包括在内。通过在CCL中添加网络安全项目,商务部要求美国实体在出口之前获得许可证。值得注意的是,这些网络安全项目已经包含在瓦森纳安排中,这是一个自愿出口管制制度,作为其42个成员国之间的信息交换平台。网络安全出口管制的目标是削弱俄罗斯对其他国家发动破坏性网络攻击或监视其反对派成员的能力。
除了将网络安全项目添加到CCL之外,BIS还将一些俄罗斯科技公司添加到其实体清单中,这意味着美国公司在向上市实体出口项目之前必须获得许可证。目前,BIS实体名单中有大约90家俄罗斯科技公司,从计算机和微处理器制造商到商业自动化软件。值得注意的是,上市公司生产或运营两用技术(民用和军用),并直接或间接为俄罗斯军事能力的提升做出贡献。通过阻止上市组织收购美国生产的半导体等先进技术,美国正试图减缓俄罗斯军方的技术进步。下图是目前俄罗斯被出口控制限制的科技企业分布,其中电子元件/通信技术类最多,为61家;IT服务业有10家;计算机制造有4家;网络安全企业有3家;半导体制造厂商有3家。(数据源于BIS,最后更新于2022年3月3日。公司类型的确定是基于对公司简介的开源研究。)
出口管制将如何影响俄罗斯的网络能力和技术部门?
控制对俄罗斯的技术出口并将俄罗斯科技公司纳入BIS实体清单会影响俄罗斯的网络攻击能力,首先,削弱科技公司的运营及其协助俄罗斯政府进行网络攻击的能力,其次,减缓计算机的生产过程和电子元件,导致俄罗斯科技行业的整体劣势。
被列入出口管制名单后倒闭的公司之一是俄罗斯网络安全公司Esage Lab,该公司被指控在 2016年美国总统大选期间协助俄罗斯政府发动网络攻击。具体来说,Esage Lab为攻击民主党服务器的GRU(俄罗斯主要情报局)提供了技术研究援助。被列入实体名单后,该公司倒闭。
另一个例子是Positive Technologies,这家网络安全公司于2021年被添加到实体名单中,因为它贩卖用于未经授权访问信息系统的网络工具。早些时候,该公司因支持GRU和FSB(联邦安全局)情报机构而受到制裁。尽管该公司声称其大部分收入来自俄罗斯,并且没有受到出口管制的影响,但它将无法筹集资金或向西方市场的客户出售,从而降低了其进一步增长的潜力。因此,出口管制可能会对俄罗斯科技公司的运营产生负面影响,要么完全关闭它们的业务,要么限制它们进入西方资本市场。
此外,俄罗斯公司将不再能够从西方供应商处购买旨在开发、指挥和控制或交付入侵软件的硬件或软件。入侵软件包括专门设计用于在从计算机提取数据时避开监控工具的软件。同样,俄罗斯科技公司将无法从美国公司获得IP网络通信监控系统,这些系统可用于捕获和分析应用程序数据。因此,在CCL中添加这些网络安全项目的目的是确保源自美国的软件和硬件不会有助于推进俄罗斯的进攻性网络能力和监视工具。
同样重要的是,出口管制已经在减缓俄罗斯科技公司的制造过程。如分布图所示,受出口管制的大部分俄罗斯科技公司专门从事电子元件的制造或销售。然而,他们依赖进口半导体来生产电子产品。例如,与美国一起控制对俄罗斯出口的台积电(TSMC)的最新Elbrus微处理器,这个微处理器本应由SPARC技术莫斯科中心设计制造。除台积电外,三星等其他领先芯片制造商也暂停出口到俄罗斯,扼杀俄罗斯公司制造电子元件和计算机所需的材料。从长远来看,这些出口管制可能会导致俄罗斯科技行业的整体劣势。
技术和网络安全出口管制会有效吗?
鉴于已加入美国对俄罗斯出口管制的韩国和台湾几乎垄断了高端半导体生产,因此对半导体的出口管制可能是最有效的。即使俄罗斯公司设法找到替代芯片供应商,例如俄罗斯和中国的生产商,也需要数年时间达到台湾或西方半导体的精密程度。因此,俄罗斯电子和计算机制造商可能会使用落后于西方/台湾半导体的芯片,从而威胁到他们在未来处于技术创新前沿的能力。此外,正如Esage Lab和Positive Technologies的案例所证明的那样,将俄罗斯科技公司添加到BIS实体名单中可能会成功地完全关闭入单公司或限制其增长潜力。
同时,鉴于没有一个国家垄断其生产,对IP网络监控系统和入侵软件的出口管制可能不太有效。例如,以色列的NSO集团曾经向威权政府出售恶意软件。同样重要的是,俄罗斯在国内发展进攻性网络能力方面拥有相当大的能力。例如,据报道,一家代号为ENFER的俄罗斯网络安全公司开发了恶意软件,用于FSB的攻击性用途。因此,对网络安全项目的出口管制将为从美国供应商购买技术的俄罗斯公司带来不便,但寻找这些网络安全项目的替代供应商的挑战将不那么大。
总而言之,如果美国及其盟国对一种产品的生产过程拥有近乎垄断的控制权,美国对俄罗斯的网络安全出口管制就有可能取得成功。鉴于入侵软件和IP网络通信监控在国内外更容易获得,美国的出口管制在阻止俄罗斯建立攻击性网络能力方面可能不太成功。然而,美国及其盟国协调一致的出口控制政策,可能会使俄罗斯企业无法获得最新的半导体和其他关键技术,并从长远来看阻碍俄罗斯科技行业的发展。
作者简介
Maia Nikoladze是地缘经济中心经济治国计划的项目助理。
原文链接
https://nationalinterest.org/blog/techland-when-great-power-competition-meets-digital-world/will-cybersecurity-export-controls
声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。