2022年度亞洲部分國家網絡安全態勢綜述
2022 年,由于新冠肺炎疫情和俄烏沖突的影響,國際局勢日趨緊張,針對性網絡攻擊愈演愈烈,網絡空間作為“第五邊疆”遂成為新的地緣政治競爭領域。在快速發展變化的全球網絡空間治理框架中,亞洲地區正扮演越來越重要的角色,特別是韓國、日本、印度、新加坡等國家,不斷提升自身網絡治理能力,積極參與大國網絡空間博弈進程。面對層出不窮的網絡安全挑戰,不斷升級各自的網絡安全政策與行動,努力提高自身網絡空間安全治理能力,增強網絡空間治理國際對話與協調能力,已經成為亞洲國家尋求網絡安全的普遍舉措,亞洲網絡空間安全新秩序呼之欲出。
一、亞洲部分國家面臨的主要網絡安全挑戰
在新冠肺炎疫情期間,遠程辦公市場規模不斷擴大,大量數據被暴露在公共互聯網上,網絡安全威脅日益凸顯。網絡攻擊手段和規模持續升級且隱蔽性、危害性、破壞性大大提升,韓國、日本、印度、新加坡等亞洲國家成為黑客攻擊的重要目標。頻發的網絡安全事件導致巨大經濟利益和社會利益損失,亞洲面臨的網絡安全形勢日益嚴峻。
第一,數據泄露事件頻發。由于惡意或疏忽行為,大量信息被暴露在互聯互通的網絡空間,導致了更大的網絡犯罪攻擊面。美國通信公司威瑞森(Verizon)發布的《2022 年數據泄露調查報告》(The Verizon 2022 Data Breach Investigations Report)指出,在亞太地區,社會工程和黑客攻擊的案件數量很多,包括釣魚攻擊和電話竊聽攻擊等。其中,勒索攻擊是造成數據泄露的一大元兇。例如,2022 年 3 月,韓國三星電子公司 150GB 的機密數據和核心源代碼被勒索組織 Lapsus$ 公開。
第二,勒索攻擊層出疊現。在 5G、云計算、大數據等技術迅速發展的同時,勒索病毒不斷變種升級,攻擊方式愈發復雜多變。軟件公司捷邦(Check Point)2022 年 8 月 4 日發布的《2022 年年中網絡攻擊趨勢報告》(2022 Cyber Attack Trends Mid Year Report)指出,2022 年網絡攻擊類別的最大變化來自勒索軟件,各個地區遭受的此類攻擊都有所增加,其中,亞太地區首當其沖(組織占比為 12%,而 2021 年上半年為 4%)。勒索攻擊往往受巨大經濟利益的驅動,高額的收益讓網絡犯罪分子趨之若鶩。由標普全球市場情報公司(S&P Global Market Intelligence)旗下機構 451 研究(451 Research)于 2022 年 5 月編制的《2022 年泰雷茲數據威脅報告》,對來自印度、日本、新西蘭、新加坡、韓國等的 876 名受訪者進行調查的結果顯示,45% 的亞太地區(APAC)受訪者報告網絡攻擊次數增加,其中,58% 的人認為,勒索軟件攻擊增加;24% 的 APAC 受訪者稱,遭受了勒索軟件攻擊。瞄準制造業的勒索軟件攻擊,可能會導致數據泄露、業務系統癱瘓、供應鏈中斷等后果。2022 年 3 月,日本豐田汽車公司(Toyota Motor Corporation)因零部件供應商受到勒索軟件攻擊而導致系統癱瘓;2022 年 5 月,日經集團(Nikkei Group)位于新加坡的亞洲分公司遭到勒索軟件攻擊;2022 年 5 月,印度香料航空公司(Spicejet)遭勒索軟件攻擊,導致數百名乘客滯留在該國多個機場。
第三,針對基礎設施的威脅增多。隨著信息基礎設施的數字化、自動化、智能化,企業與工業互聯網間的聯系不斷加強,亞洲地區關鍵基礎設施受到的網絡攻擊數量越來越多,尤其是在能源、水利、通信、金融等關系國計民生的重要領域,網絡攻擊更具針對性和目的性。2022 年 6 月,印度果阿邦(Goa)的洪水監測系統遭到勒索軟件攻擊,水文數據全部被加密;2022 年 10 月,印度最大的綜合電力公司塔塔電力(TataPower)遭遇勒索軟件組織蜂巢(Hive)攻擊,導致數據泄露;2022 年 11 月,印度證券業關鍵機構中央證券存管機構(CDSL)遭到惡意軟件入侵。
二、亞洲部分國家的網絡安全政策與行動
俄烏沖突加劇國際緊張局勢,也帶來網絡攻防新變局,攻防博弈下的網絡攻擊手段持續升級,攻擊目標更具針對性。面對來勢洶洶、復雜多變的網絡攻擊,日本、韓國、新加坡、印度等國多管齊下,不斷建立健全網絡空間治理機制,致力構建亞洲網絡治理伙伴關系網絡,應對全球網絡安全威脅。
第一,強化網絡安全頂層設計,突出網絡安全重要戰略地位。日本歷來重視網絡安全戰略與規劃,致力于構建“自由、公平、安全的網絡空間”,把網絡安全領域威脅視為國家安全威脅。日本在 2022 年新版《網絡安全戰略》中提出了三大推進方向:在數字化改革的基礎上同步推廣數字化轉型與網絡安全;縱觀整個網絡空間,確保公共空間的互聯互通和鏈條化;強化安全防護能力。
第二,完善組織機構設置,提升網絡安全威脅監測預警、應急響應、協調指揮能力。2022 年 3 月,日本通過修改《警察法》成立了網絡警察局和網絡特別調查隊,強化打擊網絡犯罪的力度。2022 年 4 月,新加坡網絡安全局(CSA)為網絡安全服務提供者制定許可證框架,并成立了網絡安全服務監管辦公室(CSRO)管理該框架,促進與行業和公眾在所有許可證相關事宜方面的聯系。2022 年 10 月,韓國發布了有關設立網絡安全工作組的首席秘書會議的結果。該工作組由韓國國防部、國家情報院、大檢察廳、警察廳和軍事安全支援司令部等部門高層人士參與,并將在國家安保室長的主持下定期召開網絡安全狀況檢查會議。2022 年 10 月,新加坡成立反勒索病毒工作組(CRTF),特別關注保護關鍵信息基礎設施運營商供應商,幫助企業、研究和教育機構抵御勒索軟件攻擊。
第三,通過立法促進數字產業發展,配套個人信息保護、關鍵網絡信息技術、關鍵基礎設施等方面標準規范。于 2022 年 4 月 20 日全面實施的韓國《數據產業振興和利用促進基本法》,旨在促進數據產業發展和振興數據經濟。于 2022 年4 月 1 日正式生效的日本《個人信息保護法修正案》(APPI),通過擴大日本數據主體的權利范圍、強制數據泄露通知以及限制可以提供給第三方的個人信息范圍,使 APPI 與歐盟《通用數據保護條例》(GDPR)更加一致。2022 年 4 月 28 日,印度計算機應急響應小組(CERT-In)發布《關于<2000年信息技術法>第 70B 條第(6)款,可信網絡的信息安全實踐、程序、預防、響應和網絡安全事件報告指令》(Directions under sub-section(6)of section 70B of the Information Technology Act,2000relating to information security practices, procedure,prevention, response and reporting of cyber incidents for Safe & Trusted Internet)。該指令中的措施和規定將被納入《2000 年信息技術法》(Information Technology Act 2000)第 70B 條,構成印度立法的一部分。5 月,印度發布的《國家數據治理框架政策》(NDGFP)草案,要求設定數據管理框架,建設大型數據集存儲庫,設立印度數據管理辦公室(IDMO),負責制定數據收集、存儲規則和管理數據集平臺。2022 年 11 月 18 日,印度電子和信息技術部發布《2022 年數字個人數據保護法案》(Digital Personal Data Protection Bill2022)。這是自 2018 年 7 月該法案首次提出以來,印度政府進行的第四次修改,旨在確保個人數據安全,表明在用戶同意的情況下收集信息的目的,并進行明確分類。
第四,不斷推動雙邊和多邊合作,推動國際網絡安全通用標準制定,共建亞洲網絡空間治理秩序。韓日兩國互動增多,展現出改善雙邊關系的積極意向;印日雙邊關系不斷升溫,逐步走向“特殊全球戰略伙伴關系”。2022 年 10 月,日本外務大臣林芳正首次以日本外務大臣身份到訪新加坡,雙方一致同意加強兩國安全保障領域的合作。這些都表明,亞洲地區國家間的合作不斷深入發展。印度、韓國、日本、新加坡等國還注重與西方國家的合作,尤其是與美國、歐盟、北約等國家和大體量的政治實體結成同盟關系。2022 年 3 月,美日印澳“四方安全對話”(QUAD)召開會議,討論成員、合作伙伴和行業關于“擴大網絡安全合作,提升地區的網絡韌性和關鍵基礎設施保護”議題。韓國和日本在 2022 年 5 月和 11 月相繼加入北約網絡防御中心,這意味著這兩個亞洲國家將在各自同盟的基礎上獲得北約的網絡力量支持甚至保護承諾。2022 年 10 月 7 日,歐盟與日本發布消息稱,雙方已同意就將數據跨境流動規則納入《經濟伙伴關系協定》(EPA)進行談判。以上行動表明,這些亞洲國家正積極尋求國際力量,努力提高自身網絡防御能力,不斷增強自身在全球網絡空間治理領域的全球影響力。
三、亞洲部分國家網絡空間治理的特點
從 2022 年亞洲部分國家在網絡安全領域的政策與具體行動可以看出,亞洲地區網絡風險日益增多,涉及的利益主體更加多元,雖然各國網絡安全治理體系均有一定程度的發展,卻并未形成整體性的安全架構。
第一,推進網絡安全政企協作機制。為更好釋放數據價值,亞洲國家通過政策引導、資金支持、法律保障和政企合作等方式,大力扶植本土產業發展。韓國《產業數字轉型促進法》規定,選定產業帶動效果較好的項目,并為其提供技術及財政支持,促進金融、稅制及規則限制等方面情況的改善,同時,還將組建產業數字轉型委員會,構建部門間綜合規劃與合作體系。亞洲國家不斷完善相關法律法規,為政府、企業、社會組織和公民個人的網絡安全提供法制保障。印度《國家數據治理框架政策》(NDGFP)涉及與非個人、匿名數據集以及研究人員和初創企業可訪問的平臺有關的方法和規則。為發展網絡技術,提高網絡安全防御能力,亞洲部分國家政府還通過政企合作打造安全防護研發高地,推動科研成果迅速轉化。印度官方研發機構信息通信發展中心(C-DOT)和民營企業格洛爾網絡公司(Galore Networks)簽署合作協議,將攜手開發以開放式無線接入網絡為基礎的 5G 無線電網絡解決方案。日本政府打造管理行政數據的國產云,攜手日本國內企業啟動研發,開發防止信息泄露和病毒感染的技術,并通過官民磋商,逐步敲定所需的技術和數據共享標準。
第二,重視網絡情報能力建設。俄烏在網絡空間的對抗表明,全球化的網絡技術越來越成為間諜活動和外國干涉的手段,尤其是針對關鍵基礎設施的網絡攻擊。威脅情報是影響網絡安全態勢感知與防御能力的重要差異化因素。日本、印度等國持續開展針對某些行業的威脅情報共享工作,不斷增加網絡防御能力建設的投入。日本正積極地尋求成為“五眼聯盟”的新成員,加強在亞太地區的情報采集能力,擴大自身的海外戰略利益。4 月 24 日,印度國家安全顧問阿吉特·庫馬爾·多瓦爾(Ajit Kumar Doval)在新德里主持召開了一場由多個國家情報機構參加的交流會,試圖與西方國家建立穩固的情報合作關系。
第三,關注數據跨境流動和數據安全。在亞太經合組織(APEC)框架下,數字經濟的快速發展加深了各國的相互依賴程度,數據跨境流動必然成為亞洲各國的核心安全議題。印度、日本等國相繼出臺數據保護相關的網絡安全法案。在本國法律框架下,亞洲各國還積極通過國際合作應對數據跨境流動的規則挑戰,希望進一步在流動中更有效地維護數據安全。日本、韓國、新加坡等國共同推進成立全球跨境隱私規則論壇,在共同的數據隱私價值觀基礎上,承認國內保護數據隱私方法的差異,促進數據自由流通與有效的隱私保護。
四、未來亞洲部分國家網絡安全政策發展趨勢
從印度、新加坡、日本、韓國當前的網絡安全戰略可以看出,亞洲國家渴望維護自身數字主權與爭奪國際網絡空間主導權。為此,亞洲地區國家與時俱進,不斷加強自身網絡安全體系建設,爭相搶占網絡信息安全戰略制高點。
第一,更加重視數據安全與數據治理,促進數據價值釋放。亞洲國家間存在地區發展不平衡的問題,整體上看,在數據治理領域起步較晚,仍存在立法不完善、防御基礎薄弱、治理乏力等問題,因此,重視加強自身和區域數據安全治理能力是亞洲各國的必然選擇。特別是在隱私保護和跨境數據流動方面,亞洲國家將多力并舉,從自身政治訴求、數據使用目的、網絡基礎等方面出發,構建適合本國國情的網絡安全生態系統。
第二,更加注重網絡安全專業人才培養,促進網絡安全人員儲備實現可持續發展。國際信息系統安全認證聯盟(ISC)2公布的《2022 年網絡安全勞動力研究》((ISC)2 Cybersecurity Workforce Study,2022)顯示,全球共有約 470 萬名網絡安全專業人員,而亞太地區僅僅共有 859,027 人,依然有接近 220 萬名專業人員空缺,比去年同期激增 52.4%。對此,面對數字化轉型加快的現狀,亞洲國家將越來越重視網絡安全人才培育,不斷加大網絡安全教育投入,彌補網絡空間安全治理人才缺口。
第三,加大投入網絡安全產業建設,建立政企間數據共享的協作式網絡安全平臺。新加坡、日本等國將繼續為各個責任主體落實網絡安全保護責任提供法律依據,也將加大對網絡安全初創公司的投資和支持,完善網絡基礎設施建設,強化跨領域網絡安全信息共享和工作協同,提高網絡安全綜合治理能力。
第四,持續深化網絡安全領域國際合作,推動區域網絡治理共同標準的制定。近年來,美國頻頻插手亞太地區網絡安全事務,表現出爭奪網絡治理領域霸權地位的野心。在這一背景下,亞洲網絡空間越來越受到地緣政治的影響。一方面,日本、印度、韓國等國將繼續推進與美國的網絡安全合作,借助與美國的同盟關系構建自身網絡安全防御體系,實現海外情報共享,增強自身網絡安全攻防能力。另一方面,這些亞洲國家也會加強區域合作和國際合作,維護多邊主義,通過簽訂貿易協定和制定共同非約束性規則,實現亞洲地區各國在網絡空間的共存共贏。
