2022年10月12日,美國白宮公布《2022年國家安全戰略》,發布時間在中國大陸二十大召開前,內容提及未來十年中國是「美國地緣政治最大挑戰」,而對應的作為是美國將採取「投資、聯合、競爭」三大策略並行,保衛自身與盟友在經濟、科技、政治、軍事、情報分享及全球治理領域與中國大陸抗衡。值得一提的是,科技與製造業者成為報告重點之一,美國政府現在已經在科技與軍事發展、國安議題連成一體,所有技術與產品未來都可能被嚴格審視,必要是實施技術禁運,搭配資安標準作為後盾,也便於技術控管,避免前瞻科技落入競爭國家手上。《2022年國家安全戰略》具備兩大要素值得關注從基礎建設到產業,未來將可能由美國政府強力主導。
資安為美國政府重要政策(資料來源:Business Insights Cybersecurity)
(一) 強化基礎建設資安能力
過去美國一直以市場導向、政府放任的經濟模式運行,然而當前白宮的立場是企業面臨數位技術快速變革、全球供應中斷、中國大陸紛擾與氣候危機時,政府需要投入更多角色。以基礎建設而言,美國開始規劃提升所有基礎建設的資安功能,並與民間企業合作以改善技術與產品的安全性,因此從水利設施、智慧城市、電動車充電樁、衛星科技、潔淨能源等,產業資安與能源資安將是重中之重。而機場資安防禦也成為交通基礎建設的一環,2022年10月10日,駭客組織 Killnet對美國機場網站執行的一系列分散式阻斷服務(DDoS) 攻擊,導致美國洛杉磯國際機場 (LAX)、芝加哥奧黑爾 (ORD)等國際機場的網站癱瘓。
雖然沒有造成重大影響,但這並非Killnet首次攻擊,該駭客組織也曾攻擊科羅拉多州、肯塔基州和密西西比州政府網站,美國資安與基礎設施安全局 (CISA)指出,特定國家駭客組織正在提升對美國基礎關鍵設施的攻擊頻率與能力,雖然分散式阻斷服務不至於造成重大傷亡,但由於許多開源碼容易被駭客運用,可能對不同基礎設施展開攻擊,而相關單位可能只能被動防禦,並造成民眾不便。故此,進行滲透測試、擬定新國土安全計畫、整合防護策略是國家戰略重要一環。不過,挑戰依然存在,近期資安機構發現一種名為TCP Middlebox Reflection 得新式DDoS 攻擊手法竄出,這種攻擊能將原本普通流量的攻擊封包放大 6500%,該手法最令人畏懼的地方為降低 DDoS 攻擊的流量門檻,對基礎設施威脅更甚。
(二) 提升產業資安防護能力
在產業資安議題上,《2022年國家安全戰略》最重視的是供應鏈安全問題,根據美國身份竊盜資源中心的調查指出,2021年針對供應鏈源碼的攻擊次數增加41%,因此提升產業資安,特別是電子製造業的資安勢在必行,做法有二。第一為針對關鍵產業設立資安措施,例如電腦作業系統規範(如作業系統長期支援)、網路安全(如網路傳輸安全)、端點保護(如弱點掃描、惡意程式掃描、端點防禦機制、存取控制)、資訊安全監控;同時也強化工業控制漏洞,例如軟體、控制器、工業交換器、人機介面設備,這些設備一但癱瘓就容易造成嚴重損失。
2022年資安十大趨勢(資料來源:Gartner)
第二為提昇供應鏈可視性與資安,傳統產業供應鏈中所運用的企業資源規劃(ERP)與供應鏈管理(SCM)解決方案多用於內部資訊流通,而企業在供應鏈風險下須建立上中下游廠商間的資訊互通,以防止供需失衡問題。其中,提升各環節的可視性為部署重點,在數位技術基礎上,如物聯網、人工智慧、5G、雲端的支援下,有效協調、各供應商間的合作,降低各種不必要的延遲,同時企業必須建立各種數據傳輸的標準,使供應鏈上下游廠商可以進行可信任與透明化的資訊交換,而這樣浩大的工程需物聯網設備的參與,而這些都是資安可以強化之處。
未來,美國可能如同實施潔淨網路政策一般,建立關鍵戰略產業的資安生態系,這類生態系可能是「同盟立場+特定產業」的組合,在技術、人才、標準、產品服務、企業立場等五大面向整合盟國供應鏈,乍聽之下似乎違反商業邏輯,但將高度拉到地緣政治來看,美國、歐盟、加拿大、英國、日本、韓國、新加坡、澳洲及以色列皆相當重視資安議題,因此可能透過聯盟建立主動防禦機制,例如當攻擊發生時,藉由發展主動式防禦技術,與深化資訊協作平台,阻絕攻擊於邊境。同時建立如IoT 設備的資安檢測指引與產業標準、資安治理成熟度衡量機制等措施,強化盟國關鍵戰略產業與政府資安的競爭力。確實,沒有一次的資安議題會像現在這樣如此受重視,但在二時代結束,政局可能更不穩定的狀況下,美國這樣的作法,也未嘗不是件好事。