近一年来,美国为应对愈加频繁和复杂的网络生物攻击,以及与俄罗斯、朝鲜间日趋紧张的网络空间对抗局面,将加强“网络生物安全”风险应对能力视为国家的重点关切之一。美国战略风险委员会(CSR)发布《网络生物安全关系:美国面临的主要风险和建议》报告,概述了网络安全与生物安全交叉领域的趋势和关键风险,并提出应对这些风险的高层级建议。本文基于美应对网络生物安全风险的现实背景,对上述报告进行全面解读并梳理相关风险的演变脉络,以供研究及决策参考。

一、 美国加强网络生物安全应对的现实背景

随着生物技术与信息技术的快速发展和融合,生物领域的研究和实践持续向数字化和网络化发展,使得网络安全与生物安全风险相互叠加、渗透,逐渐演变为机理复杂、范围广泛且具有跨生物性的网络生物安全风险。2023年6月,美国网络安全公司Recorded Future基于定量分析指出,对美的网络攻击的目标及所属行业已开始涉及医疗保健领域。同时,美指出俄罗斯和朝鲜等国家存在攻击关键生物基础设施、生物技术企业和医学研究机构的行动,表现出了其实施恶意网络活动的意愿和能力。因此,美积极寻求布局预防措施、提升监测能力、加强对技术型恶意行为者的国家级应对机制,并将其等列为当前迫切需求。

二、 网络生物安全威胁因素

当前,网络生物安全风险日益增长,主要原因包括:自动化方法的快速发展、合成生物学可及性增强、全球高生物安全等级设施的扩增分布、攻击途径的多样化以及生物目标的广泛性。

自动化的快速发展。机器人技术、机器学习、云计算和合成生物学的融合发展推动了生物学自动化方法的进步,同时也带来了新的网络生物安全漏洞。同时,分布式制造也进一步增加了未经授权即实现远程访问敏感生物数据和产品的风险。

合成生物学可及性的增强。生命科学和生物技术领域的创新使得通过合成生物学制造为危险病原体更加容易。这一方面是因为近十年来DNA测序和合成成本持续下降,使越来越多的人可以较低的成本进行此类高风险的生物研究;另一方面是因为远程实验等技术的进步降低了进行复杂研究所需的知识门槛,也帮助恶意行为者绕过了专业、严谨的生物安全专业教育和道德伦理约束。

全球高生物安全等级设施的扩增。过去三十年里,全球高生物安全等级设施的数量显著增加,目前约有60个此类设施正在运营,其中75%位于城市中心。此类研究的安全程序和监督要求较高,然而根据核威胁倡议组织的全球卫生安全指数显示,只有1/4的P4生物实验室在安全实践指标上得分较高。对于评分较低的国家地区,实验室的快速扩增可能出现许多安全薄弱环节,导致更多被盗取、操纵或误用的风险。

攻击途径的多样化。近年公共记录的事件表明,网络生物安全攻击途径越来越多样化,尤其是针对关键基础设施的网络攻击已被证明是影响公共卫生的方式。例如,2017年西雅图华盛顿大学的科学家通过将恶意软件嵌入到DNA,入侵并控制了一台处理分析遗传数据的计算机;2021年美国一名网络犯罪分子入侵了佛罗里达州一家水处理厂的运营技术系统,并将水中的氢氧化钠含量增至具有毒性的11100%。此外,实验室机器人、气候控制系统等联网设备的广泛使用也带来了极大的风险,不仅极易令医疗服务系统发生网络入侵、盗窃和无授权访问等安全事件,还可能模糊政府判断自然事件和蓄意事件,阻碍公共生事件正确、有效的处理。

生物目标的广泛性。随着食品、农业等领域高度自动化和数字化的发展,网络安全漏洞也扩展至更多样化的目标上。农民使用远程传感器、自动化技术、边缘计算以及大量计算机设备提高效率的同时,也增加了农业系统面临的网络安全风险,如精准农业涉及的可控制禽类生存环境温度和湿度的计算机系统、引导化肥料喷洒的GPS传感器等均存在可被黑客利用的漏洞。2019年至2020年间,针对农业生产的网络攻击增长了607%,供应链中断、知识产权盗窃和勒索软件事件频现。如2021年,全球最大的肉类供应商JBS遭到黑客攻击并被勒索1100万美元,最终导致工厂关闭、牛肉价格上涨,疫情冲击下的全球食品供应链再遭新创。此外,明尼苏达大学食品保护与防御研究所专家指出,网络攻击事件还可能导致食品污染、工厂停产、人员伤亡等。

三、 美国网络生物安全的主要漏洞

生命科学和生物技术行业由于其高度敏感的研发计划流程、分布式制造系统,极易受到网络的攻击。据统计,医疗保健网络威胁占黑客攻击的24.5%,每次漏洞平均损失500万美元。尤其是在新冠大流行期间,许多生物制药公司和生物技术公司因远程、封锁性工作更多地使用不安全的VPN,勒索软件攻击概率激增至485%,影响了大量生物疫苗、抗体和诊断的专有研发。其中,美认为其疫情产品相关关键供应链受到了俄罗斯的严重攻击和扰乱。例如2020年,美生物技术公司 Miltenyi Biotec 在对新冠样本进行测序时因遭遇俄罗斯的攻击而被迫中断;同月,美国最大的冷藏运营商 Americold的IT基础设施由于遭到网络攻击导致订单和运营流程出现客户数据泄露等问题;俄罗斯恶意软件NotPetya感染了美国生命科学公司默克的中央计算机网络,导致该公司约3000台计算机瘫痪、人乳头状瘤病毒和乙型肝炎疫苗生产的计算机被控制、供应短缺并最终损失超10亿美元。

上述示例中展示了相对简单的攻击类型如勒索软件、知识产权盗取、分布式拒绝服务,然而目前美国已出现了其他几种更加典型和技术型的安全漏洞。

一是恶意基因组工程。合成DNA测序中的已知漏洞仍未解决。2020 年11月,以色列研究人员发现,生物工程师可能在不知情的情况下误用被恶意软件篡改过的计算机合成和制造出携有毒肽的DNA和蛋白质。此外,黑客还能够执行包括操纵电子基因组序列等方式来增强微生物的传染性、耐药性,或扩大宿主范围导致更多人畜共患病的发生。

二是滥用生物数据。公民生命健康数据被滥用的风险越来越大。据调查,美黑市中患者病历的每条医疗数据记录价值约1美元,远高于其他公民信用卡等数据的价格。丰厚的黑色利润使医疗身份信息成为数据盗窃、金融欺诈和勒索的主要目标。

此外,由于个性化医疗的发展,基因组数据被捕获和操纵的风险也日趋增长。CRISPR等基因编辑技术使得修改、创建更致命或更具针对性、耐药性的病原体更加容易。因此,大量私人基因数据可能被用于生物战或其他邪恶目的。

三是医疗器械入侵。医疗设备和器械在抵御网络攻击方面具有滞后性。胰岛素泵、起搏器和无线植入式心律转复除颤器的电压和药剂量受控于医疗计算机系统,因此可能会被黑客入侵,给患者带来巨大的安全隐患。

四、 启示与建议

鉴于这些日益增长的威胁,CSR发布的《网络生物安全关系:美国面临的主要风险和建议》报告指出,美国必须加强国内生物安全资产的安全,并促进国际合作,围湖美国国家利益,同时获得对全球网络生物威胁演变的一致见解,从而加强准备和战略响应能力。具体建议如下:

一是规范和加强生物数据网络风险治理。首先,需要纠正美国关于人类和工业基因组数据相关网络风险治理框架薄弱的问题。由于美国现行法律不承认人类基因组数据为个人身份信息,因此知识产权保护发对工业基因组数据的保障能力有限,无法解决基因组数据需要严格的隐私法和强大的安全支持措施的问题。2023年,美国生物伦理学家和卫生政策学者Mark Rothstein建议,国会应通过一项全面的健康隐私法,通过赋予个人被遗忘权、对个人数据采取去标识化等保密措施、禁止基于基因数据的保险歧视等措施,扩大对健康数据披露的隐私保护,制定类似于《通用数据保护条例》(GDPR)的全面联邦隐私法,并扩展1996年《健康保险可携带性和责任法案》(HIPAA)的保护措施。

其次,美政府还应考虑将生物经济和生物技术部门指定为关键基础设施,增加这些实体获得额外安全资金和保护的机会。将数字农业等纳入关键基础设施保护有助于帮助农民获得可利用的精密设备和畜牧设施的遥控器的指南,并避免灾难性中断等意外事件,进而保障美国的粮食供应。

最后,加强网络安全和基础设施安全局(CISA)与美国卫生与公众服务部(HHS)间的协调合作。例如加强通过行业分析和劳动力培训来加强医疗保健网络安全的立法修复,并确保CISA和HHS能够提供适当的资源来预防、检测和响应医疗保健部门的网络事件。

二是提高高风险等级研究标准。当前,美国实验室生物风险管理的指导框架尚未考虑到网络风险,需进一步补充。生物实验室及其监管机构应与生物风险管理框架共同收紧网络风险控制,以减小网络攻击的可能性和影响。例如,提前部署快速应对协议、进行稳健的数据备份可以减轻攻击的影响。

此外,加强对功能获得性研究的监督有助于减轻对生物安全的严重网络攻击风险。美政府应实施美国国家生物安全科学咨询委员会(NSABB)报告的两用研究建议,特别是通过制定一个能够定义生物科学研究的综合框架来评估网络脆弱性。

三是保护从数字到物理的前沿。一方面,明确生物技术领域的软件供应商有保障网络安全、防范网络攻击的责任。这种责任强调了对生物技术领域软硬件实施实施严格标准的必要性,尤其是具有特殊脆弱性的脑机接口相关硬件。网络安全责任的向供应商的转移有助于鼓励推行更加注重安全性的设计方法,并分散相关行政责任压力。另一方面,HHS应评估基因合成产品的监管效果,并要求基因合成供应商实施筛查协议。监管内容需包括对DNA合成设备的网络安全保护措施的筛查,如检查入侵检测系统(IDS)、缩短筛查的时间窗口、复查已完成订单、增加分布式订单中的数据共享。此外,扩大类似于《美国生物技术领导力国家行动计划》提出的DNA安保(SecureDNA)等自愿倡议,旨在降低生物武器可获得性、防范新的潜在的生物武器以及避免拖延合法研究,同时为基因测序仪设置可信任的代工模型,建立端到端的生物安全标准,确保基因科学在整个供应链中保持对潜在威胁的抵抗力。

四是加强对威胁的认识。建立公众信任以及通过准确传播消息来打击虚假消息是有效应对生物威胁的重要组成部分。美国土安全部的网络安全和基础设施安全局应制定协调一致的宣传活动,以提升公众对自然、有意或意外生物风险的理解和意识。此外,在安全宣传活动中注重加大与科学家和传播专家的合作,以增强公众的信服力和扩散力。

该报告展示了日益增长和复杂化的网络生物安全威胁。我需对网络生物关系中的风险予以动态关注并施以强有力的政策应对,尤其是立法和监管工作应侧重于加强医疗保健、生物技术和基础设施等关键部门的网络安全。此外,加强对生物安全实验室的控制和监督,促进信息共享,实施基因组数据的有效治理,并在安全措施与创新、负责任的数据共享需求之间取得平衡。

作者简介

戴吉 国务院发展研究中心国际技术经济研究所研究三室

研究方向:生物领域形势跟踪及关键核心技术、前沿技术研究

联系方式:daiji_35@163.com

声明:本文来自全球技术地图,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。