大國網絡安全之加拿大:背靠美國“好乘涼”
作為“五眼”情報聯盟的一員,加拿大的網絡安全實力不容小覷,但在中文網絡世界難覓加拿大的國家網絡安全戰略、架構及實力等信息。
不久前,加拿大在網絡安全領域有一重大舉措。6月14日,加拿大宣布了加強網絡安全的一系列措施,向議會提交了C-26法案《網絡安全法案》,該法案包括對現行的《電信法》進行修訂以及實施《關鍵網絡系統保護法》(CCSPA),旨在保護加拿大公民,加強金融、電信、能源和交通部門的網絡安全。
至此,加拿大在網絡安全領域已經形成了系統性立法,在該領域的資金投入也日益增多。據加拿大聯邦政府數據,自2018年新版國家網絡安全戰略(NCSS)實施以來,該國在網絡安全領域的投入已超48億美元。
英國智庫國際戰略研究所(IISS)指出,加拿大的網絡安全體系建設以防御為主,其防御實力可在全球躋身第二梯隊。但由于自身缺乏科技創新實力,加拿大會借助美國國家安全局(NSA)的力量來建設自身力量,所謂“背靠大樹好乘涼”。
網絡安全防御框架演變
?加拿大的網絡安全建設是防御型,圍繞威脅響應和防御建設。自2001年起,加拿大開始建設國家網絡安全防御體系,其演變過程以2010年為分界點。2010年以前是初始階段,政府發布了兩項網絡防御領域的政策:政府安全政策(2002)和國家安全政策(2004),界定基本安全要求和規范各部門安全義務。
但2010年以后,加拿大在網絡安全領域加大投入,發布國家網絡安全戰略(NCSS),建立了管理網絡防御的機制,明確網絡防御框架中各參與者的角色和責任,對組織結構進行了重大調整,創建了加拿大網絡安全中心等重要部門。
2015年,加拿大對國家網絡安全戰略進行了修訂并于2018年正式實施。新版的國家網絡安全戰略是建立在數字時代安全和繁榮的愿景上,提出了網絡安全領域的“五年行動計劃”(2019-2024),以實現以下三個目標:安全和有彈性的加拿大系統。創新和適應性強的網絡生態系統。有效的領導、治理和協作。
根據目標一,加拿大設立兩個重要部門:加拿大網絡安全中心(CCCS)和國家網絡犯罪協調小組(NC3)。前者隸屬于通信安全機構,后者隸屬于國家警察局。網絡安全中心是為政府、關鍵基礎設施部門、私營部門和加拿大公眾提供專家建議、指導、服務和支持的唯一統一來源。國家網絡犯罪協調小組可以更全面地調查國家和非國家行為者對加拿大國家安全構成的網絡威脅,包括網絡間諜活動、盜竊知識產權、外部的影響和破壞活動。
根據目標二,加拿大為中小企業制定了網絡安全的國家標準和認證程序,加拿大政府預計到2024年,這一舉措將增加具有網絡安全彈性的中小企業數量。政府還在網絡安全領域創建了1000多個學生實習崗位,幫助學生培養就業準備技能。
根據目標三,加拿大政府加強了國際合作,包括與美國在關鍵能源基礎設施保護方面的雙邊合作;推動和促進加拿大能源部門網絡安全方面的全部門合作,確保加拿大人能夠獲得可持續、安全和有彈性的能源供應。
據加拿大聯邦政府消息,為了實現上述目標,政府預計在五年中投入5億美元資金,并在五年后逐年增加1.08億美元。
面臨的網絡威脅
到2022年,“五年行動計劃”面臨中期檢查,在完成上述行動之外,加拿大的防御框架仍面臨著不少挑戰。
在2018年國家網絡安全戰略實施過程中,國家面臨的網絡風險和威脅日益復雜,外部威脅態勢的變化疊加內部網絡風險的升高,使加拿大在網絡安全領域面臨的挑戰越來越多,具體體現在以下三個方面:
國家網絡安全戰略的實施對數字系統和基礎設施的依賴有所增加,COVID-19更是加速了這一趨勢。此外,加拿大人每天依賴的關鍵系統越來越數字化和互聯。
網絡威脅參與者的數量和復雜程度顯著增加。情報、安全和警察部門在應對網絡威脅方面面臨著越來越大的挑戰,因為調查、緩解和應對網絡威脅活動(包括網絡犯罪)是資源密集型的復雜執法行為,且通常需要跨司法管轄區執法。
日益嚴重的網絡安全勞動力短缺仍然是加拿大和全世界政府面臨的緊迫挑戰。
以下若干組數據能夠更直觀地體現加拿大所面臨的網絡威脅。CyberEdge Group的《2020年網絡威脅防御報告》(CDR)顯示,78%的加拿大組織在12個月內至少經歷過一次網絡攻擊。2021年,這一數字則上升到85.7%。
【:2021年85.7%的加拿大組織至少遭受過一次網絡攻擊】
Kon Briefing數據顯示,2021年7月至12月期間,加拿大發生了18起重大網絡攻擊事件,其中醫療保健行業受攻擊最多。
【圖:2021年下半年加拿大發生的重大網絡安全事件】
安全分析團隊Blakes分析了加拿大2020年至2022年最常見的威脅類型,其中最常見的是勒索軟件攻擊,達到67%;接下來是商業電子郵件泄露(18%),其次是電匯欺詐(10%)。81%的安全事件發生后都不會向聯邦或省級隱私部門報告,而低報告率會阻礙加拿大政府對網絡安全事件的反應能力和應急響應能力。
加拿大政府也意識到了上述問題,在接下來的計劃中,它將通過以下方式繼續推進國家網絡安全:保護數字基礎設施;加強對網絡犯罪分子的打擊力度,通過執法行動追捕和搗毀網絡犯罪分子;增加網絡安全從業者;投資網絡安全創新關鍵領域;與各級政府、私營部門和學術界合作,提高公眾網絡衛生和對網絡威脅的認識。
與美國互惠互利
在五眼聯盟中,五個國家不可避免地在技術、資源上存在能力差距。而加拿大開發尖端技術的能力較為有限,加拿大會借助美國國家安全局(NSA)的力量來建設自身實力。在網絡安全領域,兩國共享的資源包括硬件、軟件和技術人員;這也意味著,美國國家安全局和加拿大國家安全局的整合程度相對較高。
五眼聯盟的存在意味著資源共享,其使命之一是在網絡空間保護政府系統并提供情報以支持政府決策,它相當于為加拿大提供了一個價值數十億美元的情報機構。在情報上,加拿大很大程度上依賴美國的能力。No pains no gains,加拿大也需為此付出相應的代價,美國反過來可以影響加拿大情報工作的優先次序,加拿大需要為盟友提供本國情報和隱私數據或者滿足監聽需求。
例如,加拿大廣播公司報道,曾揭秘“棱鏡門”的愛德華·斯諾登提供的機密文件顯示,2010年G8峰會和G20峰會期間,加拿大允許美國國家安全局對峰會進行監聽。當時,美國的駐渥太華使館成了情報指揮部,在峰會期間與加拿大情報部門緊密合作進行監聽。
由于網絡空間的威脅態勢不斷變化,應對的成本也隨之升高,一個國家越來越難以獨自解決問題,加拿大從兩國全方面的密切合作中獲得了明顯的收益。加拿大公共安全部與美國國土安全部共同制定并實施《加拿大—美國網絡安全行動計劃》,旨在加強兩國在網絡事件管理和增強網絡安全公共意識方面的合作,同時聯合兩國私營部門分享安全信息。
在關鍵基礎設施方面,加拿大南部與美國接壤,這意味著加拿大可以與美國共享陸地通訊資產和通訊基礎設施。不過,兩國間緊密的合作也意味著“一榮俱榮,一損俱損”,一方遭受網絡攻擊,另一方因共用公共基礎設施的關系也會被波及。
除了依靠盟友美國,加拿大的網絡空間國際戰略框架中,還包括啟動國際網絡參與工作組、在加拿大全球事務部創建網絡部門等。加拿大還積極參與制定國際網絡戰略,舉辦相關網絡安全會議,在國際論壇和談判上為加拿大爭取更多利益。
培養本國網安人才是關鍵
雖然依靠美國可以共享一些情報和基礎設施,但本國的網絡安全發展離不開人才培養。目前加拿大網絡安全行業人才發展面臨四大挑戰:
如何培養和留住網絡安全運營人才;
如何確保為技術和非技術人士提供所需的知識、技能和能力;
如何應對不斷變化的技術環境;如何保證加拿大工作場所的網絡安全工作和活動正常化
為了應對上述挑戰,加拿大在高校設立網絡安全專業,全國共計一百余所院校開設了網絡安全專業和課程。溫尼伯大學、阿薩巴斯卡大學、康考迪亞大學和安大略理工學院等學院還提供網絡安全碩士學位課程。
此外,加拿大還有網絡安全教育門戶網站,它集合了全國各地100多所學院的500多門課程,幫助學生提高專業技能,并輔助學生順利完成從學校到職場的過渡。
【圖:加拿大網絡安全教育門戶網站】
加拿大官方發起的網絡安全學習中心(Learning Hub)和COMSEC(通信安全)學習活動計劃也積極培養網安人才。
學習中心提供基礎、進階專業課程和研討會,如社會工程學、身份驗證、威脅檢測及緩解等課程;還與學術界和私營部門教育工作者合作開展學術外展等活動,以幫助加拿大建立網絡安全人才和能力。
COMSEC計劃主要針對加拿大政府內工作并接觸關鍵基礎設施的人員及組織,涉及通訊設備的安全技術和相關安全措施培訓。
經過以上努力,加拿大培養了不少網絡安全人才。據ISC2 官網信息,加拿大共計有6842人持有CISSP證書。但隨著2020年新冠疫情以來,線上辦公需求激增,網絡環境面臨的威脅和風險增多,網絡安全人才需求也變多,人口缺口隨之拉大。在可預見的將來,如何保質保量地培養網絡安全人才是加拿大的發展關鍵。
