2017年6月3日
自從WannaCry直捲台灣及香港後,本地媒體開始重啟網絡安全(Cybersecurity)的討論,但西方社會一直視網絡安全為下一個世代的挑戰及機遇。根據美國司法部的數字,2016年每日平均有多於4000宗有關勒索軟件的攻擊,是2015年的3倍以上。早年亦有不少報道指出,不同的核設施將會成為黑客攻擊的目標,不少國際關係學者更揚言,下一個大棋局不只停留於現實層面,更是涵蓋虛擬世界及現實世界與虛擬世界之間的互動。
事實上,歐洲執委會主席容克(Jean-Claude Juncker)更視建立單一數碼市場(Digital Single Market)為他任內其中一個優先政策,早前通過的歐盟內部免漫遊(Free-Roaming in Europe)政策就是其中一項成果。討論歐洲執委會兩年30多項的提案難免過於瑣碎,因此本文的重點在於討論歐盟在數碼世界的基本立場,以及一些特別的國家個案。
投資1600億提升技術
早於2013年,歐洲執委會及歐盟外交及安全事務外長共同發表有關網絡安全的政策文件,勾劃了歐盟對於虛擬世界管理的5項原則。
第一,歐盟的核心價值及法規原則在處理虛擬世界的管理上同樣適用。
第二,即使規管本身的目的在於保護個人不受網上世界攻擊所影響,但相關的法律必須以保障個人基本自由及權利為考量,不得與《歐盟基本權利憲章》(Charter of Fundamental Rights of the European Union)相違背。
第三,歐盟網絡管治的基礎在於讓所有歐洲人可輕易接觸及使用網絡資源,掃除數碼文盲(Digital Illiteracy)。
第四,歐盟網絡管治為一個民主及高效的體制,既有持份者的參與是歐盟網絡管治不可或缺的一環。
第五,歐盟網絡安全的責任是共有的,不論是公共機構、私人企業及個體均有責任及義務維持網絡世界安全。
在這些原則的基礎上,歐盟在2016年通過有關網絡安全的指引(NIS Directive),規範了歐盟當局及成員國的相關責任,包括要求成員國按照國家的實際情況,成立有關網絡事務應變部門(CSIRT)及相關的管理機構;在歐盟層面則建立一個跨國家的協調及資訊交流網絡,讓成員國可交流不同網絡情報及資訊;在企業層面,成員國要考慮不同商業機構對網絡安全風險的影響,以及提供網絡服務的企業須符合歐盟的相關法規。而為建立在網絡安全的公私營合作體制,歐盟在2020年前會投資180億歐羅(近1600億港元),推動企業及政府提升有關網絡安全的技術及管治水平。事實上,歐盟本年9月會就歐盟網絡安全進行中期檢討,包括討論相關歐盟網絡部門在新法規下的角色,以及歐盟如何訂立不同的準則及技術認證,回應新網絡安全的挑戰。
儘管不少人認為在歐洲的網絡安全問題上,作為數碼科技龍頭的德國應是這個領域的領袖,而單以生產總值計,德國企業的單季業績已比一些歐盟成員國在數碼經濟的年度生產總值為高,但在北約及歐盟討論相關議題時,愛沙尼亞卻是這項議題的倡議者。事實上,愛沙尼亞是少數歐盟國家曾面對大型網絡攻擊的國家。
愛沙尼亞充當大旗手
2007年4月,時任愛沙尼亞總理安西普(Andrus Ansip)提出將首都塔林與蘇俄時代的軍事紀念像移走,引來國內俄羅斯人不滿,及後政府多個網站受到黑客攻擊,包括換上俄國宣傳口號及道歉聲明,部分網站亦被DDos的形式攻擊而癱瘓。愛沙尼亞政府於2008年公布了相關網絡安全戰略,將國家安全及外交政策與網絡安全扯上關係,而當中的愛沙尼亞網絡防衞聯盟(Estonian Cyber Defence League)最為引人注目。愛沙尼亞網絡防衞聯盟雖為一個以志願者組成的網絡防衞組織,但同時受到國家法律規範及國防部監察,主要負責愛沙尼亞日常網絡防衞及危機處理,以及模擬攻擊測試及網絡安全的顧問工作。成員的要求並不複雜,只要是年滿18歲以及願意保護及捍衞愛沙尼亞憲法及政治秩序即可入伍──當然相關的知識必不可少。
事實上,北約及歐盟已就愛沙尼亞模式進行相關的研究,希望成為西方社會回應網絡安全問題的參考。但正如該國網絡安全專家Liina Areng指出,愛沙尼亞有相應足夠人才去保障相對小規模的網絡基建,才能成就愛沙尼亞在網絡安全的成功。套用在歐盟層面,這樣的大規模防衞如何處理,似乎要等到9月檢討後才有定案。回望香港,其實香港有一定條件打造愛沙尼亞模式,單是高登討論區已人才輩出,問題的關鍵,似乎是香港政府會否回到「官少民多」的管理方式,放手讓志願者負責第一道防線。
放大圖片 / 顯示原圖訂戶登入
下一篇: | 俄網戰不費一兵 西方團團轉 |
上一篇: | 網絡攻擊Q&A |