2018年9月20日,特朗普《国家网络战略》正式出台,诚如特朗普执政风格评价褒贬不一,新版国家网络战略因提出在网络空间进行“威慑”,采取“进攻性行动”等强硬举措也引发了较大的争议,美国内政界、产业界、学界和媒体对此展开激烈的讨论。
政界
来自两党的许多议员对特朗普的新国家网络战略表示普遍赞赏,但是在主要细节的评述上呈现出明显的党派分野。
1、共和党议员普遍支持战略。不少媒体评论认为,此次出台的国家网络战略与前几日发布的国防部网络战略表明,特朗普的网络战略正在成型,一些重量级的共和党议员普遍支持特朗普采取更为主动的举措。共和党参议员詹姆斯·兰克福德(James Lankford)表示,美国终于有了一个全国性的网络战略,这对美国来说是件好事。该政策将帮助美国有效威慑并回击坏的行为者。共和党众议员约翰·拉特克利夫(John Ratcliffe)表示,该战略显示了政府提高国家网络状况的决心。共和党参议员迈克·朗兹(Mike Rounds)表示,我很高兴政府重视国家网络安全,并意识到采取强硬威慑举措的必要性,“采取更主动的方法应对网络攻击将会使我们更为迅速和前置地解决一些眼前的攻击”。美国众议院国土安全委员会主席、共和党众议员迈克•麦考尔(Mike McCaul)表示,这一战略将有助于更好地打击来自俄罗斯、中国、伊朗和朝鲜等外国对手的恶意网络行为。参议院情报委员会副主席、共和党参议员约翰·华纳(John Warner)则表示期待更多,白宫的战略文件概述了一些重要的的网络优先事项。我们需要把重点放在增加网络劳动力、促进产品生命周期中更安全的开发和安全、建立负责任的国家行为规范、利用联邦采购权力来推动更好的安全、以及公开指责和惩罚违反这些标准的对手。行政当局现在必须超越模糊的政策建议,采取具体行动,以实现这些目标。
2、 民主党议员持谨慎态度。总体来说,民主党议员乐见特朗普终于针对网络安全提出了一份正式的战略,但是针对战略的内容仍持谨慎态度。一方面,虽然战略体现了民主党一贯主张的“互联网自由”、“国际合作”等理念,但是战略的基调仍是强调“进攻”和“威慑”,因此部分民主党议员担忧进攻性行动将招致报复。民主党众议员同时也是国会网络安全委员会联席主席的吉姆·朗格文(Jim Langevin)表示,鉴于美国对于互联网的依赖重于对手国,因此报复将给美国带来更大的影响。虽然有必要让敌人明白我们将会回击,但美国还肩负着维持网络空间稳定的责任。另一方面,战略过于笼统,部分议员对于战略的落地性与可操作性提出质疑。民主党参议员马克·沃纳(Mark Warner)表示,白宫战略概述了一系列重要的网络优先项,但是政府必须采取更为具体的行动来完成目标。吉姆·朗格文表示,他很赞赏战略与两党过去20年里在网络安全上的取得的进展一致,但是在加快改革上的力度还不够。他认为,网络安全是21世纪国家与经济安全的挑战,需要集政府之力进行应对。不幸的是,该战略基本上是对过去几届政府提出建议的重述。他还提到白宫最近撤除了网络安全协调员一职,认为该职务是统领该战略部分目标的最佳职位。他担忧在没有行政官员的领导下,战略中的优先项很难在当前情况下转变为决定性的国家政策。
3、 前奥巴马政府官员普遍认为应理性运用“威慑”,相比于奥巴马政府的网络战略,新战略既传承又革新,特别是在网络威慑的规定上,特朗普政府改变了奥巴马政府时期较为谨慎和克制的风格,更偏向于一种“先发制人”的“向前威慑”,引发部分前奥巴马政府官员的关注。奥巴马政府时任网络安全协调员迈克尔·丹尼尔(Michael Daniel)认为,该战略反映了政府很大的政策进步,平衡了防守行动与向恶意行为者施加影响,保护终端用户。他同时提出,只要不单独使用威慑行动,美国在网络空间进攻并没问题。但如果政府的确想大幅度提高进攻行动,就必须谨慎并将威慑使用置于更大的战略中,辅以大量其他的国家力量。丹尼尔还表示,“联邦政府应该考虑其行为的先例性”,“考虑到网络空间中发动攻击易于防守”,“贸然采取行动将带来混乱”,届时将带来“两败俱伤”的结果。奥巴马政府时任国家安全委员会网络安全高级副主任阿里·施瓦茨(Ari Schwartz)表示,他并不认为采取更主动的举措会脱离于现在进行的威慑举措,美国当前需要的不是一项网络行动,而是行动起来,美国已经有许多强项可以以不同的方式回击,我们必须利用起来这些工具。他还表示,并不是威慑政策阻碍了回击,而是各部门的不作为。他透露,特朗普的方法主要是基于“一事一议”从联邦机构征集对于潜在网络行动的反馈,而不是在每次决策中都涉及到专门的机构。美国国务院前网络问题协调员佩恩特(Christopher Painter)则认为,战略是对既有政策的总结,并赞赏对恶意行为者施加影响,但是“说起来容易,做起来难”,呼吁更理性看待政府的行动。可以看出,前奥巴马政府官员仍然希望特朗普参考奥巴马政府时期综合利用外交、军事、政治等手段进行的威慑战略。
产业界
1、部分网络安全企业高管对战略表示赞赏。网络安全咨询公司Scythe的创始人兼首席执行官布赖森·博尔特(Bryson Bort)表示,这是有史以来发布的最全面的网络安全战略文件,坚定地阐述了美国通过合作或武力确保互联网安全的愿景。“这听起来像是对美国国家安全局前局长迈克•罗杰斯(Mike Rogers)今年2月在国会作证时表示目前美国在应对网络空间威胁方面存在限制的回应”。Cyxtera联邦集团总裁、前联邦CISO主席格雷格·陶希尔(Gregory Touhill)对国家网络战略表示赞赏。陶希尔表示,新的国家网络战略是向前迈出的一大步,展示了一种深思熟虑的跨部门方法,它建立在前几届政府吸取的教训的基础上,提出了管理网络风险的可靠方法。位于加州圣何塞的云安全供应商CipherCloud首席执行官普拉文•科塔里(Pravin Kothari)表示,该战略“向前迈出了一大步”,但他补充说,“细节很重要”,“网络防御就是选择特定的技术,并以正确的人力资本迅速实施。目前政策层面以下并没有多少工作要做。” 科塔里表示,另一个重要的变化是,在国家层面采取行动以保护我们的政府和企业实体。进攻可能是对付总部设在遥远的海外地点的高级网络攻击者的最佳方式。政府需要加快步伐,我们很高兴看到这一切发生。但是所有进攻性举措必须依法实施,并在我们与盟友的合作和结盟下进行。
2、产业联盟担忧进攻性行动将损害私营企业利益。软件联盟高级政策主管汤米•罗斯(Tommy Ross)表示,“攻击性行动通常取决于政府能否利用私营部门产品的漏洞和缺陷。”但“当客户看到这些产品受到干扰或被利用时,就会破坏他们对私营部门的信任”。
学界
学界大部分关注点集中在特朗普政府将取代“总统政策指令20”,给予国防部与情报部门更大的灵活度与授权采取进攻性网络行动,对此主要观点有:
1、担忧进攻性行动具有连带影响。英国格拉斯哥大学高级讲师布兰登•瓦勒里安诺(Brandon Valeriano)表示,美国的网络行动很容易招致报复,这将会带来混乱与网络空间的军备竞赛。哥伦比亚大学资深学者杰森·希利(Jason Healey)认为,他虽然倾向于采取更具攻击性的行动,但是要警惕其他国家为与美国竞争建立自己的网络“军火库”。
2、新授权将使各部门协调应对网络威胁更难。阿斯彭研究所网络安全负责人马修·罗德(Matthew Rhoads)表示,给予军方更多的权力决定是否发动进攻性行动,将会损害联邦政府内部其他部门的利益。比如说,情报部门与外交部门在决策中将被边缘化。新美国安全中心高级研究员彼得路辛格(Peter Singer)表示,采取主动、进攻性举措听起来不错,但是贸然行动也会丢掉更多有价值的情报监控与感知。
3、美国网络安全机制建设已经落后。美国外交关系委员会数字和网络空间政策项目主任亚当·西格尔(Adam Segal)表示,虽然美国政府正在带头推行国家网络战略,但不得不说美国在机制建设方面已经落后。例如,以色列和英国已经建立了专门的网络机构。
媒体
大部分媒体最关注的仍然是战略中的进攻性举措,特别是博尔顿在战略新闻发布会上的讲话更是引起广泛解读。
1、新战略或给美国带来新“漏洞”。“国会山”(The Hill)网站称,特朗普最新网络战略引发关于美国在进攻性网络攻击中的角色质疑。美国将在网络空间采取更激进的行动,此举既能遏制网络攻击,又能让美国暴露在新的漏洞面前。“外交政策”(Foreign Policy)网站表示,特朗普拥有了一项新武器来引发网络混乱,新网络战略具有将美国置于风险中的“后坐力”,互联网也可能变成黑客行动的“西部世界”。除此之外,美国缺乏有用的网络武器回击对手,这并不仅仅是松绑政策就可以解决的。消费者新闻与商业频道“CNBC”称,战略将国防部相关机构,如国安局与军事部门在网路空间采取进攻性行动合法化,这意味着这些部门将会更加积极地调查海外攻击源,这类行动具有很高的风险,因为网络犯罪往往选择在第三国发起网络攻击,而且回击的网络攻击也会带来关键基础设施的受损。
2、新战略展示了特朗普回击网络攻击的决心。《华盛顿邮报》称,战略是特朗普政府在网络空间采取强硬立场的最重要一步。40页的战略包含极少新的倡议,更多是对以前工作的总结,但是特朗普却借此向国会议员和网络安全专家展示了其应对俄罗斯及外国敌对者的决心。“福布斯”新闻网认为,迟做总比不做好,在网络空间我们正在打一场多方面的战争,俄罗斯“干涉”仅是一小部分,美国必须采取行动。
3、新战略将使跨国企业陷入“两难境地”。CNBC表示,战略在几乎每个章节都强调联邦政府网络安全的努力需要大量依赖于私营企业,包括威胁信息共享、执法配合、发展新兴技术等。但是这却给这些企业带来了问题,因为企业必须遵从其业务所在国的隐私与安全法,而不仅仅是美国的法律。特别是一些大型跨国企业并不愿意与美国政府分享信息,因为这将招致其业务扩展地所在政府的反对与反制。
总的来说,美国内舆论普遍认为特朗普国家网络战略代表着美国治网向着更“主动”的方向转变,也回应了业界一直以来对于特朗普治网政策的担忧,总体评价积极。但是对于主动性举措的影响,各部门之间网络责任的协调,甚至是威慑的具体操作,如是否存在“红线”的具体规定等,都未有明确的说明。“事实胜于雄辩”,对于特朗普网络战略的走向,我们仍需密切关注,高度警惕。
相关链接:
1、Trump’s new cyber approach: The best defense is a good offense
2、Trump has a new weapon to cause the cyber mayhem
https://foreignpolicy.com/2018/09/21/trump-has-a-new-weapon-to-cause-the-cyber-mayhem/
3、Trump’s national cyber strategy praised by experts
4、A National Cybersecurity Strategy: Better Late Than Never
5、 Trump cyber strategy drops
6、What They’re Saying: Trump’s Cyber Strategy Met With Applause and Reservations
https://www.countable.us/articles/10362-re-saying-trump-s-cyber-strategy-met-applause-reservations
7、Trump administration seeks to project tougher stance in cyberspace with new strategy
8、Lawmakers Weigh in on the White House Cyber Policy
https://www.nextgov.com/cio-briefing/2018/09/lawmakers-weigh-white-house-cyber-policy/151483/
9、Trump’s new cyber strategy seeks global dominion over internet
https://www.rt.com/usa/438989-national-cyber-strategy-dominion/
10、White House announces federal cyber strategy, vows to go on offensive
https://www.cyberscoop.com/white-house-cyber-strategy-john-bolton-announcement/
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。