英国网络安全的政府主导模式探究:成就与问题
2021-04-07吴文聪
吴文聪
(中国政法大学 北京 100088)
Research on the Government-Led Model of UK Cybersecurity: Achievements and Problems
Wu Wencong
(China University of Political Science and Law, Beijing 100088)
Abstract:[Purpose/Significance]Since Brexit, the UK has faced international and domestic cybersecurity challenges. Therefore, it has constructed a new cybersecurity mechanism, the government-led model. The exploration of this model will help to further understand the relevant issue. [Method/Process] Starting from the elements of the government-led model, it mainly includes three aspects: leading the world, national cyber security centers, and active cyber defense systems. [Result/Conclusion] According to the research, it is found that the achievements of this model mainly include the effective integration of resources from all parties, the improvement of government network security, the enhancement of the ability to respond to cyber incidents, and the improvement of the efficiency of combating cyber crimes. The shortcomings and deficiencies include the government's ineffective response to corporate network security, as well as the lack of performance evaluation framework and supervision mechanism. Therefore, the development of the future network security mechanism in the UK needs to continue to carry forward the advantages of the government-led model while further improving its shortcomings.
Keywords:cyber security;British;government-led model;cyber intelligence;network governance;information security
2020年伊始,新冠肺炎(Covid-19)肆虐全球,对英国而言,疫情扩大了其网络安全的漏洞。根据一项统计表明,英国的中小企业每天面临65000次网络安全攻击的风险,其中大约4500起袭击成功,而自新冠肺炎疫情爆发以来,这一数字可能更高[1]。近年来,除企业外,英国政府也不时遭受来自敌对组织的网络袭击,个人的网络数据也面临着泄露的风险。为此,英国政府在脱欧公投之后发布了《国家网络安全战略(2016-2021)》(National Cyber Security Strategy 2016-2021),试图构建全新的网络安全模式。目前,针对英国网络安全的研究存在一定分歧。在政府层面,有学者认为英国的网络安全战略已经从依赖市场演变为国家驱动为主,并取得一定效果[2]。与此同时,有学者认为,英国目前的网络安全战略难以满足其目标,也无法应对相关挑战[3]。在企业方面,有学者认为英国在企业网络安全方面处于全球领先地位[4]。而有成果认为,英国社会企业(SE)网络安全技术保护水平不高,中小企业的网络风险也越来越高[5]。面对这些分歧与争议,本文试图对英国目前的网络安全模式进行总结,并对其取得的成就与存在问题进行系统分析。
1 英国网络安全体系构建的新环境
根据英国国家网络安全中心(NCSC)的界定,网络安全是为了减少个人和组织遭受网络犯罪风险的几率,其核心功能是保护相关设备在线访问服务免遭破坏,包括智能手机、笔记本电脑、平板电脑和计算机等。尤其是防止未经授权访问个人或组织在网络上存储的大量信息,因为网上购物、电子邮件、社交媒体等已经成为英国民众日常生活最重要的方式,数据和设备比以往任何时候都更为重要[6]。近年来,尤其是英国启动脱欧公投以来,新的国内外环境使网络安全面临着更严峻的挑战。
1.1后脱欧时代的国际环境自脱欧公投之后,英国政府于2017年3月正式宣布退出欧盟,开启了脱欧之旅。经过反复磋商与争论,英国议会决定在2020年1月31日正式脱离欧盟,过渡期于2020年12月31日结束。英国脱欧将极大地改变英国的国际环境,英国将不再属于欧盟成员国,其与欧盟的关系将被重新定位。与此同时,英国与其他国家的关系也随之发生改变,尤其是在国家安全方面,英国可能将面临更多的挑战,在网络情报方面也将重新洗牌。欧盟建立了较为完善的网络安全保护机制,脱欧后,英国不得不退出欧盟多个情报共享组织,其与欧盟的情报网络安全合作也将中断,这对英国的网络安全造成了一定威胁。英国脱欧之后,不仅与欧盟的关系发生变化,与其他国家的关系也相应改变,尤其是在网络安全方面,英国视俄罗斯为其最大的威胁。英国国家网络安全中心(NCSC)2018年度的审查报告指出,自2016年10月成立以来,NCSC处理的最严重的网络安全威胁都与国家行为者有关[7]。俄罗斯不可避免地成为许多媒体在报道网络攻击时的“祸首”,英国政府也数次将部分攻击归因于俄罗斯。然而,NCSC也承认其他国家对英国网络攻击的威胁并不少于俄罗斯,例如朝鲜和伊朗等。因此,英国在脱欧之后,网络安全方面面临着新的国际挑战。
1.2数字时代英国国内安全威胁随着英国互联网产业的发展,网络攻击的风险正在上升。在脱欧之后,英国认为其作为联合国常任理事国以及北约成员国,对国际社会肩负重任。英国政府于2017年3月和11月分别发布了《英国数字战略》和《工业战略》,在这两个战略中,英国政府致力于在数字时代发挥其世界领导者的作用[8]。英国是全球互联网支持程度最高的经济体之一:2016年,英国国内生产总值的1/8来自数字经济,是20国集团中最高的。这使英国更容易受到来自敌对国家、犯罪团伙和个人的威胁,随着网络攻击变得更加容易和廉价,该威胁还会继续增加。这些攻击不仅针对政府,更威胁着每个公民的人身安全。在2017年6月发布的一份“网络欺诈报告”中指出,英国82%的成年人几乎每天都在使用互联网,而有超过一半的欺诈行为都是线上进行的[9]。2018年的一份调查发现,英格兰地区超过1/3的国家医疗服务体系(NHS)受到了攻击,根据“NHS England”估计,由于这次袭击,取消了超过19000人次的预约就诊,这一规模尚属首次,而当地卫生部门并未对网络攻击做好应对准备[10]。英国网络安全影响公共和私营部门,并涉及国家安全的方方面面,包括恐怖主义、网络犯罪、企业间谍等。网络恐怖主义对未来提出了严重挑战,政府乃至个人都必须做好相关准备,互联网为恐怖分子提供了可趁之机;网络犯罪包括网络盗窃、黑客入侵等,成为当前较为流行的犯罪方式;企业间谍对企业安全造成严重伤害,可能导致企业的核心机密造竞争对手窃取,从而引发严重损失。
2 网络安全新机制:政府主导模式
脱欧公投之后,为适应新的网络安全环境,英国构建了新的网络安全机制。英国发布的《国家网络安全战略(2016-2021)》认为,英国需要“推动变革,扩大政府职责”。具体而言,“我们的首要责任是维护国家安全,成为一个合格的政府,这一战略就是对政府职责的概括。”“管理和减轻网络威胁是我们的共同任务,但是政府肩负特殊的责任来主导整个国家为此努力的方向。”“政府对本国公民、在英国运营的公司和机构、国际盟友和合作伙伴也负有特殊责任。”“政府必须在国家网络安全中起带头作用,因为只有政府可以为了国家安全而排除其他负面干扰,也有能力推动公私部门的合作,从而确保相关情报共享。与此同时,政府可以通过强制手段推行网络安全的相关措施。”[11]因此,本文将英国新的网络安全治理机制称为政府主导模式。
该模式主要包括三方面要素:在定位方面,英国致力于建立由政府主导的领先全球的网络安全体系;在机制方面,英国成立了国家网络安全中心(NCSC),并以此作为政府主导的核心机制;在重要举措方面,英国构建了主动网络防御(ACD)体系,来强化政府对网络安全的管理。
2.1定位:领先全球新网络安全战略认识到网络攻击是对英国经济和国家安全的最大威胁,当前英国需要建立一个蓬勃发展的数字社会,保证其既具备网络弹性,又拥有所需的安全防护能力,以最大程度管控网络风险。该战略明确提出,英国网络安全的愿景是“将英国建设成为一个安全、能有效应对网络威胁的国家,在数字世界中繁荣而自信”[11]为了支持这些目标,英国努力发展与其网络安全密切相关的国家和国际组织的关系,加强彼此之间的经济和安全利益。英国还不断扩展与新合作伙伴的关系,以提升彼此的网络安全水平,并通过欧盟、北约和联合国等组织开展双边和多边行动来加强对英国海外利益的保护。为了实现网络安全的目标,英国政府希望更加积极地支持市场私营力量以提高全英国的网络安全标准。在与苏格兰、威尔士和北爱尔兰地方政府的合作中,英国政府与公私部门一道,努力确保个人、企业和组织采取措施保障自身的网络安全,不断加强关键国家基础设施的网络安全。由此可知,英国政府的定位清晰且明确,即构建领先全球的网络安全体系。
2.2机制:国家网络安全中心(NCSC)主导国家网络安全中心(NCSC)于2016年10月1日成立,其致力于帮助政府、行业和公众之间打造有效的网络安全合作关系,以确保英国网络更加安全。该机构通过分享网络安全知识,修补系统性漏洞,为英国网络安全关键问题提供指导。NCSC是政府网络安全情报和信息的主要来源,是政府打击网络威胁行动的重要工具,旨在联合行业、学术界和国际合作伙伴,以保护英国防范网络攻击。NCSC将综合英国通信电子安全小组(CESG)、国家基础设施保护中心(CPNI)、国家计算机应急反应小组(CERT-UK)和网络评估中心(CCA),提高相关网络安全部门之间的合作效率。其目标是:了解网络安全环境,共享信息并利用该专业信息来识别和解决系统漏洞;通过与公私部门合作以改善其网络安全;应对网络安全事件,以减少它们对英国造成的伤害;增强英国网络安全能力,并在重要国家网络安全问题上提供指导。
2.3重要举措:主动网络防御(ACD)政府主导模式的防御要素旨在确保英国在网络、数据和公私营领域具有抵御和防范网络攻击的能力。英国政府认识到,其难以绝对遏制犯罪,亦不可能制止每一次的网络攻击。然而,通过联合公民、教育机构、学术界、企业和其他政府机构,英国可以建立层层防御,大大减少网络安全漏洞,保护最宝贵的资产。因此,英国政府试图构建政府主导的主动网络防御(ACD)体系。主动网络防御(ACD)是实施安全措施以增强对网络攻击的抵御能力。在商业语境中,ACD通常是指网络安全分析人员了解各自网络的威胁,然后制定和实施主动对抗这些威胁的措施。政府所试图捍卫的“网络”是整个英国的网络空间。具体而言,ACD体系包括:1、与行业、特别是通信服务提供商(CSP)展开合作,大大降低英国可能的网络风险;2、扩大和增强英国政府通信总部、国防部和国家打击犯罪局的规模和发展能力,以防范英国最严重的网络威胁,包括复杂的网络犯罪分子和外国敌对分子;3、更好地保护政府系统和网络,为国家关键性基础设施供应链打造更强大的安全保障,使英国的软件生态系统更加安全,为公民提供政府在线服务的自动保护机制。
3 政府主导模式推进的成就
针对存在的网络安全问题,英国构建了政府主导模式,试图加强政府在网络安全方面的功能和管理,希望通过国家网络安全中心(NCSC)来协调政府、企业和个人在网络安全方面的机能,建立主动网络防御(ACD)体系,全方位防护英国的网络安全。自政府主导模式建立以来,英国在网络安全方面取得了较大成就,包括各方资源有效整合、政府网络安全提升、应对网络事件能力加强和打击网络犯罪效率提高等。
3.1各方资源得到有效整合政府主导模式致力于简化英国政府的政策、组织和结构,以最大程度地提高其对网络威胁响应的连贯性和有效性。英国政府此前的网络安全机制缺乏政府协调性,为此,2016年政府主导模式的重点是转变政府的组织方式,以更有效地应对不断演变的威胁。最大的结构性变化是将一系列功能部门合并为一个国家技术授权机构,即国家网络安全中心(NCSC),其主要职能是推动政府和行业之间的合作。除此之外,还需要督促关键部门对实现战略目标负责,并在中央政府以及更广泛的公私部门中开展工作。这一宏大目标的实现需要打破传统界限,对政府职责进行有效分配,具体参见图1。
根据图1可知,国家网络安全中心(NCSC)主要协调整个英国的网络安全事务,具体而言,包括对网络威胁进行评估,对网络安全事件进行管理,构建主动网络防御体系等;内政部则具体负责国内网络犯罪事务;数字文化媒体运动部门负责事项较多,包括通过设计使网络更安全、广泛的经济和社会网络安全、网络安全的增长与技巧、科学与技术事务,以及相关研究和创新等;外交联邦办公室主要负责国际网络安全事务;内阁办公室负责网络弹性治理、广泛的经济和社会网络安全,以及政府的相关责任等。总的来说,英国构建的政府主导模式,以国家网络安全中心(NCSC)为主导,对其他各部门进行资源整合和共享。自2016年成立以来,NCSC便越来越多地开始指导相关事务,2017年,其用户数量比2016年10月增加了169%,网站的访问次数也增加了44%。2017年5月,“WannaCry病毒”攻击影响了英国的47个国家医疗服务体系(NHS)信托基金。这是英国公共机构第一次遭受如此大规模的网络攻击。NCSC与卫生部、“NHS Digital”和国家犯罪局(NCA)合作,形成了国家层面的应对措施。NCSC能够利用政府通信总部(GCHQ)的机密资源,并与行业进行公开互动,在攻击后的24小时内发布关键的技术缓解指南来应对相应攻击[12]。此次事件的成功处理充分展示了政府主导模式对资源的整合优势。
图1 网络安全的政府机构分配
3.2政府网络安全性提升政府主导模式是保证政府网络和服务的安全性,公众能够放心地使用政府数字服务。通过“转变政府安全计划”整合现有资源,将43个独立的部门安全办公室汇总为4个安全部门,旨在为政府提供更一致的专业建议和服务。除此之外,政府制定了新的最低网络安全标准,以保障各部门及相关领域的网络安全。国家网络安全中心(NCSC)的主动网络防御(ACD)体系,大大提高了政府的网络弹性。为了测试这些措施的有效性,英国启动了针对政府模拟网络攻击的“GBEST计划”,该计划可以模拟各种对手的真实威胁。英国还详细研究了国家医疗服务体系(NHS)的网络安全程序,建立了对风险的权威解读并提高了最低安全标准,以保护医疗服务体系。为了维护公众的信心并确保选举安全,英国开展了一项重要的跨政府工作计划,这包括在地方政府层面与负责选举、投票计数和结果交付的人员合作,保证各层级的选举顺利进行。
3.3应对网络安全事件的能力加强政府主导模式的目标是确保英国有能力管理和有效应对网络事件,减少对英国造成的伤害并应对网络对手。有效的事件管理是保护英国在网络空间中的重要部分,这也是国家网络安全中心(NCSC)的核心职能。自2016年以来,NCSC已处理了1 100多次网络事件。这包括对全球“WannaCry病毒”的回应,该事件在2017年对国家医疗服务体系(NHS)造成了严重破坏。英国政府认为,此类网络事件是由少数国家支持的黑客团体所为,网络攻击数量巨大、手段丰富、防范难度较大。为此,英国政府打破了组织间合作的传统障碍。NCSC和国家犯罪局(NCA)拥有联合团队,致力于推动政府、行业以及国际层面专业知识和协调能力的提高。政府加大投资力度以开发新的自动化管理事件功能,这极大地缩短了响应时间。英国还设计了一个新的事件分类框架,从而确保对各种攻击做出适当响应。虽然英国的事件管理能力是世界领先的,但其相关效率依然需要进一步加快,英国正在进一步努力简化流程,并在NCSC和执法部门之间创建一个共享平台,以便所有受害者只需举报一次事件即可快速、持续地获得精准的帮助。
3.4对网络犯罪的打击效率提高政府主导模式大大减少了网络犯罪对英国的影响,并有效阻止英国成为犯罪分子的目标。英国执法界的首要任务是在国家和地区匹配相应的能力和专业知识。国家犯罪局(NCA)的国家网络犯罪部门拥有专门的小组,负责调查最复杂的网络攻击。随着越来越多的刑事调查涉及数字证据,NCA工作人员的专业知识和技能得到有效提高。当前,英格兰和威尔士的地方警察部队都有一个网络犯罪部门,以保护公民和企业的网络安全。建立可信赖的伙伴关系始终是政府主导模式的关键部分,英国为北爱尔兰和苏格兰提供支持,以增强其应对网络犯罪的能力。英国执法界继续发展国际伙伴关系,以更好地应对这一全球威胁。NCA引导、支持和协助与合作伙伴机构展开了400多项国际调查,这些机构主要包括美国联邦调查局、“五眼联盟”、欧洲刑警组织、国际刑警组织和其他国际合作伙伴。在2017和2018年,英国已进行了665次网络安全行动。英国通过分析服务供应商的信息,将150万份受害信息与之共享,以确保这些隐私不会被罪犯进一步利用。英国的网络反犯罪能力还支持其开展更广泛的任务来破坏其他严重和有组织的犯罪,例如追踪非法资金和防止对儿童的性剥削等[12]。
4 政府主导模式的缺陷与不足
虽然政府主导的网络安全模式取得了较大的成就,但是由于其自身固有的特征,不可避免地存在一些缺陷与不足。政府主导模式过分强调政府在网络安全中的作用,从而忽视了企业和个人因素,使得网络安全问题不能得到充分解决。不仅如此,由于政府作为相关政策的执行者,其在监督方面可能陷入“自我监督”的窠臼。除此之外,绩效评估框架也存在相关难题。
4.1政府并未有效改善企业网络安全环境根据统计数据,自2016年宣布脱欧以来,英国53%的企业提高了网络安全性。该数据还表明,一旦英国离开欧盟,恶意软件、网络钓鱼和勒索软件攻击将成为最大的网络安全威胁,与其他任何国家相比,英国企业的网络安全预算最少,远远低于全球平均水平[13]。英国构建了网络安全的政府主导模式,但是政府在企业网络安全治理方面存在缺陷和漏洞,企业网络安全环境不仅未改善,甚至更加严重。实际上,根据“2020年网络安全违规调查”表明,网络攻击依然频繁。46%的企业和26%的慈善机构表示在过去12个月中存在网络安全漏洞或攻击。与往年一样,大型企业(75%)、中型企业(68%)和高收入慈善机构(57%)的这一比例更高。慈善机构的调查结果显示,这种情况的发生率正在上升,从2018年的19%升至2020年的26%。在这46%的被攻击企业中,32%在2020年至少每周遇到一次这些问题(而2017年为22%)。自2017年以来,网络攻击的性质也发生了变化。在此期间,遭受网络钓鱼攻击的企业数量从从72%增至86%[14]。
到2023年,预计将有超过200亿台设备连接到互联网,即“物联网”。这些设备原始系统上并没有启用互联网功能(例如家用电器和车辆),如果在没有设立通用安全标准的情况下就连接到互联网,网络安全性可能比专用数字系统更脆弱。政府建议采取一些直接措施,包括保护边界防火墙、实施密码保护和用户访问控制等来提高网络安全性。然而,大多数企业或组织并未采取基本的网络安全措施,只有27%的公司制定了正式的网络安全政策,并且只有36%的公司在报告网络攻击后采取了新的措施来预防或防范之后的风险隐患。而这些问题的出现,与政府对于企业增强其网络安全措施的激励不足息息相关。企业身处网络安全实战的前沿阵地,对于应对网络安全问题也有着非常丰富的实战经验。政府主导模式过于强调政府在其中的角色,对企业和其他组织的激励和规范作用有限,未能充分发挥企业及其他组织在网络安全方面的应对能力,从而导致其网络风险问题依旧严峻。
4.2尚未建立健全的绩效框架2013年的“英国网络安全战略”指出,衡量网络安全工作的绩效非常困难,因为无法通过假设来评估工作是否有效。但是事实上,政府必须了解其工作的影响,以保证资源的有效分配。英国已经于2018年制定了新的绩效衡量框架,但是依然不成熟。第一,该绩效框架未涵盖政府所有的网络安全活动。该框架提供的绩效评估并不包括计划外的网络支出,而这些支出是能为整个战略做出贡献的,比如教育部针对科学技术的投资、国家计算机教育中心的投资等。第二,部分战略成果的评估基础薄弱。由图2可知,根据“国家审计署绩效数据分析”(National Audit Office analysis of performance data),英国网络安全计划使用326个指标来衡量整个战略的绩效,然而有42%的指标是无法衡量的,而23%的指标是无法评估的。其中无法衡量的原因是多种多样的,但是绩效评估框架的评估基础薄弱是最主要的因素之一。然而,尽管当前的绩效评估框架存在问题,英国却并未重新制定计划来完善绩效评估。
图2 政府目前缺乏有关其网络安全工作影响的定量数据
4.3缺乏网络安全机制的监管英国网络安全的政府主导模式缺乏监管,这可能会阻碍相关战略的执行,并进而影响整体战略的实施。如果英国不对此进行改善,这种缺陷引发的风险可能会持续至2021年之后。监管的缺失主要表现在三方面:第一,监督不足。相关部门于2015年12月成立了网络监督小组,以监督此类战略和计划。成立之初,每三周开会一次,但到2016年7月只开会五次,平均大约每六周开会一次。在2016年7月之后,网络监督小组同意每两个月开会一次,但是直到2017年7月的最终会议为止,它举行了四次会议,平均每三个月开会一次[15]。网络监督小组的监督力持续下降。第二,财务管理薄弱。尽管主管部门在有问题时会根据目标调查财务状况,但在常规基础上,财务报告仅限于高额支出。它不会像业务案例那样按子目标分解支出,因此很难准确地衡量支出事项。第三,议会的透明度仍存在问题。政府承诺对该战略进行年度进程更新。但是,主管部门尚未公布该计划头两年的最新情况,并且不愿公布该领域的支出明细。国家安全战略联合委员会建议政府恢复其已发布的报告,以提高透明度并帮助进行外部审查。
5 结论:未来与启示
综上所述,英国网络安全的政府主导模式具有明显的优点和缺点。就中国而言,随着互联网产业和数字经济的飞速发展,网络威胁也成为中国经济安全和繁荣的主要风险,而且随着新技术的发展和互联设备的激增,网络威胁将继续存在,因此,中国网络安全空间治理将是一个长期的过程。针对英国网络安全政府主导模式的成就,中国可以从中学习一定的成功经验,与此同时,中国也可以针对其缺陷进一步审视自身的网络安全治理模式。具体而言:首先,坚持政府在网络安全方面的领导作用。由于网络安全治理的特殊性,政府具有强大的资源调配能力,且本身更具公益性,因此,坚持政府的主导作用至关重要。事实上,中国已经认识到政府统一引导的重要性,中国共产党中央网络安全和信息化委员会的成立正是为了从中央的角度协调各方资源,以维护信息和网络安全。其次,积极拓展非政府主体在网络安全方面的作用。网络安全的问题繁琐且复杂,涉及到政府、企业和个人等方方面面,过去的实践证明,仅仅依靠政府并不能完全解决相关问题。在未来,中国应最大限度鼓励非政府部门的网络安全技术创新,实现政府机构和非政府机构需求与成果的双向有效流动,激发新思维,创造新技术。这需要政府与其他公私部门和个人建立更成熟的合作关系,充分发挥其他主体的主观能动性,培养全民安全意识。第三,加强与其他国家在网络安全方面的交流与合作。网络安全威胁是超越国界的,数字世界中没有人可以独善其身。因此,通过经验的交流,中国可以向其他国家学习先进技术和管理理念,进一步完善本国的网络安全治理。同时,加强与其他国家的合作,有助于各方联合打击跨国网络犯罪。总而言之,英国网络安全的政府主导模式对中国具有一定的启发意义,网络安全治理具有全球性和普遍性,包括中国在内的各国应该携手并进,共创网络安全的“命运共同体”。