金融科技
2023年6月
全新資安戰略可助 美國解決中等強國資訊攻防戰
資訊界是一個易攻難守,還是易守難攻的領域?
軍事界一開始把數位空間當成等同於陸、海、空、太空領域來思考時,想到的都是「生化人」或機器人大軍。這種機器跟現在的無人機有個差異:它們除了投射力量以外,還可以控制領土,是進攻領地的工具。
但後來,我們發現位元與原子是完全不同的東西,數位世界沒有任何穩固的牆壁。自從像Napster這種P2P平台開始流傳盜版音樂之後,資安和智慧財產權兩個概念就一直糾纏在一起。
根據這種角度,資訊之所以有價值,是因為它與「現實世界」之間具有某些連結。但網路最近傳輸的東西除了資料以外,也開始包括價值,資訊的內在特徵已經變得與外部連結一樣重要。下載程式可能無須成本,但如果你下載的是未受信任的程式,而且在執行前沒有花大錢進行驗證,可能會引來災禍。
雖然官僚的思維總是慢科技專家好幾步,但隨著資安概念不斷推移,美國的資安戰略也跟著改變,基本上已經轉為在攻擊與防禦之間做平衡。其中最重要的是,美國目前認為要能有效維護資安,就得和盟友與合作夥伴共同協調努力。
網路已經不是上一代的模樣
關鍵線索是來自「嚇阻」(Deterrence)一詞的使用頻率。2018年「嚇阻」才出現在美國網路戰略之中,助理國務卿福特(Christopher Ashley Ford)在2020年的演講中表示,「有一段時間,美國似乎希望只要跟中俄等國的惡意網路行為者好好溝通,就能說服他們減少惡行。」
「但如今我們吸取了教訓,更明確地將嚇阻列為資安外交手段之一。過去幾年的發展清楚證實,光是制定出一套框架來規範國家的資訊行為必須負起哪些責任,不足以阻止國家繼續違規。我們必須讓大家知道違規將付出哪些代價。」
今年3月,期待已久的《國家網路安全戰略書》(National Cybersecurity Strategy)更新了美國原則,但是「嚇阻」一詞又再次消失。
這樣的翻轉,與幾項彼此關聯的變化有關。資安界守護資訊的方式已經改為縱深防禦(Defense in Depth),因為沒有任何方法可以完全保證與網路連結的資產安全。與此同時,過去5年的地緣政治變化,已經讓非技術性的嚇阻變得更加不管用,尤其更難應對俄羅斯與中國的作為。美國在最新版的《戰略書》中,將這兩國列為跟北韓、伊朗等級,是最重要的威脅。
另外,由於駭客手法更加老練,區塊鏈生態系更加成熟,這段時間的勒索軟體攻擊也有所增加。因此新版《戰略書》更重視金融面的防禦,包括防制洗錢與反恐,同時特別關注非法加密貨幣交易。必須守住整體資安環境,才能擴大落實既有數位資產監理,真正控制相關犯罪。
比較兩版《戰略書》,新版最有趣的一點,是外交。2018年版本四大目標的最後一項是「提升美國影響力」,大量提及了自由、治理、市場等等概念;當時人們普遍認為網際網路必然會促進開放,可以加速中國民主化,但現實的「牆內花園」(Walled Gardens,主要由無法互通的社群媒體構成的封閉生態系)讓這個樂觀願景的實現困難重重。
今年的《戰略書》已經不再強調美國的影響力,轉而主張形成國際聯盟、強化國際夥伴(包括台灣)關係。這某種意義上反映了黨派對美國實力的不同看法,但同時也相當務實地因應了全球性資安威脅。報告中也特別提到哥斯大黎加、阿爾巴尼亞、蒙特內哥羅受到攻擊之後,美國給予的協助。
不是只有超級大國才需要在意網路安全
這種觀點不只適用於網路安全。如今美國越來越常使用金融制裁與半導體供應鏈來掌控局勢,最近禁用TikTok的決定,也讓人更覺得美國主要仰賴懲罰措施來對抗中國。在這種狀況下要確實與中等強權維持關係,就得找到一些「胡蘿蔔」來軟硬兼施。
傳統的開發募資(Development Financing)工具,最多只能達到中國「一帶一路」的效果。某位肯亞官員的感嘆,成了推特上諷刺「債務外交」的名言:「每次中國來訪都會蓋一棟醫院,每次英國來訪都只會對我們演講。」
資安其實不僅僅是菁英在關注的事,真要說起來,只要其他比較窮的國家有技術將它們的金融體系連上網路,那麼他們會更在意資安問題。亞太銀行學院協會一直關注這個議題,台灣金融研訓院正是該協會的秘書處。
協助維護整體資安,給了美國一個很好的管道,以合法、道德、但主動出擊的姿態影響數位空間。美國應該,而且很可能會逐漸加重這方面的力道。但由於人力有限,美國司法機關只能處理最嚴重的威脅。FBI局長雷伊(Christopher Wray)最近才在國會表示,中國駭客的數量超過了FBI的50倍,FBI需要經費增聘192名網路相關專家。
但即便目前的科技業裁員釋出了一批人力,政府的薪水也不可能拚得過私人企業。更麻煩的是,傳統人才與數位人才之間有很大的文化鴻溝,就連金融界也有類似問題。與守護國安相關的機構,目前都無法提供科技專家想要的工作彈性。
此外,大家都知道審查程序會扼殺言論自由、破壞國際關係。遊戲聊天平台Discord最近的洩密事件,讓相關兩難再次搬上檯面。21歲的空軍國民警衛隊飛官泰謝拉(Jack Teixeira)在平台上對年輕粉絲公開大量機密文件。雖然他因種族歧視與暴力言論,以及在學校擁槍的言論而無法獲得槍枝執照,但後來還是進入了政府單位獲得最高權限。這顯示光是維持言論平台的政治正確,以及將相關機密鎖在專家會議室,根本不足以解決資安問題。
聊天機器人?還是駭客機器人?
未來的重要問題會是,大型語言模型(Large Language Models, LLM)能不能緩解相關困境。雖說人類至今為止的相關預測都錯得離譜,所以應該盡量謹慎,但仍然可以得出一些初步結論。
大型語言模型無法發明新的攻擊類型,反而其他更專門的演算法,比較可能製造出這種威脅。但大型語言模型能為各種攻擊提供經濟引擎,將某些比較簡單的攻擊方式,例如社交工程詐騙的成本,降到數十或數百分之一。
新版《戰略書》發表後的短短幾個月內,網路安全的相關環境又產生許多改變,這次的改版可能不會大幅影響攻防之間的配置權重。眾所周知,網路的維護必須與實體的治理同時存在,才能發揮效果。所以目前真正的問題是,世界級的相關人才極為稀少,到底該如何培育擴增。(本文作者為台灣金融研訓院特聘外籍研究員;譯者為廖珮杏)
