[黑帽大會] 美：網軍作戰應先訂遊戲規則

2則回應

前美國中情局（CIA）和國安局（NSA）高階官員29日在黑帽電腦安全會議上表示，美國政府應在真正的網路戰爭爆發前，就攻擊他國的網路訂下規則，包括簽署不可癱瘓銀行與供電網路等國際協議。

去年退休的國家情報首席副主任Michael Hayden表示，雖然美國國防部已在去年春天成立了網站司令部（ U.S. Cyber Command）， 電子戰場的交戰守則依然太過含糊。這個新單位能下令美國軍方執行「全面的軍事網路作業，以促成所有領域的行動」，包括徹底摧毀電子基礎設施。

目前擔任Chertoff Group社長的Hayden認為，正式的網路戰爭應有不同於傳統戰爭的規則。如G8或G20國家可宣示，「對任何（金融）網路的滲透，都會造成國際金融體系的重大傷害，其程度可比化學武器：任何國家都不應使用」。或者，各國政府可宣示絕對禁止發動阻絕服務式攻擊，「不發動，也絕不允許這類攻擊發生在他們的領土內」。

2008年，喬治亞指控俄羅斯對境內的網站發動阻絕服務攻擊，當時兩國正好因為南奧賽提亞地區的分裂爆發軍事衝突。問題是，網路入侵和阻絕服務攻擊很難追溯其實際源頭。如今年初Google公司遭到中國駭客攻擊，即無法證實中國政府在其中的角色。

美國政府的政策依然模糊。今年初，國會委員會質詢現任NSA局長兼網站司令Keith Alexander中將，何時才能主動、片面地發動攻擊、使用攻擊武力是否可由總統以下層級「預先授權」，和是否該針對盟邦的網路，訂立「禁止領域」層級。Alexander拒絕回答上述問題，表示相關資訊是機密。

電網是另一個需要改變的觀念。Hayden表示，電力網路在傳統軍事攻擊中，是合法的目標。但透過網路徹底癱瘓一個國家的供電網路，需要長期的滲透，如果有數十個國家早在互相侵犯彼此的供電系統，電力供應可能相當不穩。因此在這一點上，我們或許應該同意互不侵犯。

美國政府對於討論網路戰爭的手段，一直非常謹慎和含糊。Hayden認為，這種態度應該改變。美國應該主動宣示，除非有總統下令，絕不主動滲透任何國家的供電網路。

至於哪個單位該掌管對抗外國網路攻擊的防禦武力，在美國政府間也發生不小的權鬥。畢竟這涉及數百億的預算和重要的職位。去年曾傳出NSA試圖接掌相關事務，但本月稍早，白宮宣布美國民間的網路防禦由國土安全部主管，軍方的網站司令部將負責聯邦機構的防禦。

Hayden說：「我聽說新的網站司令部有90%的思維都是攻擊。」但至少90%的預算都是花在防禦。

Hayden也藉此機會，呼籲與會的程式設計師、分析師和安全研究員，想辦法重整網路安全的架構。他說：「你們把網路世界搞得像北德平原一樣（容易進攻），然後再抱怨、痛批自己被入侵。我們自己敞開大門，讓別人有便宜可佔。這個領域固有的地理條件有利於進攻，卻幾乎沒有任何利於防守的條件。」（陳智文/譯）