2019年12月,爱尔兰针对目前的全球形势,以及全球在互联网发展和使用过程中遭受到的风险和威胁,发布了《2019-2024年国家网络安全战略》,针对即将采取的措施进行了明确规定。

一、背景

在对数字技术的吸收和使用方面,爱尔兰在欧盟成员国中名列前茅,与其他发达国家一样,这些技术在支持和促进爱尔兰经济和社会生活发展方面发挥了核心作用,爱尔兰也从全球数据生态系统的发展中获益良多。然而,随着互联网信息技术的发展和各种联网设备的部署,爱尔兰对这些系统的依赖也越来越大,这种依赖性造成了一些复杂的、不断发展的风险,其中一些来自于系统设计或操作中的缺陷所导致的服务意外损失,还有一些是有组织的团体或国家蓄意采取行动的后果,这些活动可能会以盗窃或破坏数据、物理破坏或破坏服务或基础设施的形式出现。这些风险对国家产生了一系列复杂而相互关联的后果,促使爱尔兰从保护公民数据到保护关键基础设施和服务等各方面展开行动。

爱尔兰的第一个国家网络安全战略是由政府批准并于2015年7月公布的。它为国家网络安全中心(NCSC)的发展制定了路线图,并采取了一系列措施来更好地保护政府数据和网络,以及关键的国家基础设施。从那时起,NCSC的规模和能力显著增长,同时,欧盟网络和信息安全指令2016/1148 (NIS指令)的出台,也规定了一套重要的措施来支持政府部门和机构管理他们的系统。

二、面临的风险

该战略中总结了爱尔兰互联网所面临的主要风险:

1、战略风险

从一个非常高的层面看,网络安全问题的发展给爱尔兰带来了两个根本性的挑战:一是,互联网的空间性质使得爱尔兰暴露于新的和快速发展的全球威胁中,包括那些由拥有大量资源和专业知识的威胁主体来进行开发和部署网络。这些威胁在国家一级以各种形式出现,使得发现和减轻相关风险非常困难。全球安全环境目前也正处于特别动态的阶段,大国政治在国际关系中的明显回归,以及围绕贸易和技术供应商的紧张局势,给爱尔兰等小型开放经济体带来了特别的挑战。二是,近年来爱尔兰的经济技术基础有了长足的发展,爱尔兰现在是欧洲大部分数据(根据一些行业评估超过30%)的所在地,也是世界上一些大型科技公司的欧洲总部所在地。同时,云计算概念的演变也对爱尔兰有着深远的影响,影响其中一个设施的故障或事件可能会立即对整个欧盟或全球的基础设施或业务产生破坏性影响。

2、混合风险

近年来出现的更具挑战性的问题之一是积极使用和更新混合性威胁。最近在许多欧盟国家都出现了这种威胁,欧盟对这些威胁的定义是多方面的,包括胁迫性和颠覆性措施、使用常规和非常规手段和战术(外交、军事、经济和技术)来破坏对手的稳定。其中最常见的是利用网络工具窃取信息,然后用于在竞选等活动中进行虚假信息宣传(即所谓的“黑客和泄密”)。竞选活动的性质决定了这些威胁很难被察觉,而且由于其明确的政治目标,政府机构很难对付。

3、针对关键国家基础设施和公共部门的系统和数据的风险

尽管网络空间的发展给社会带来了普遍风险,但在某些特定领域,这些危险的潜在影响可能要大得多。广义而言,这些包括对社会和经济功能至关重要的基础设施部门,通常称为关键的国家基础设施(CNI)、以及公共部门的系统和数据。CNI的传统概念包括能源和运输部门、金融服务部门、医疗保健和电信系统本身。政府的信息技术系统反过来又对履行许多职能至关重要,这些职能是现代社会得以运作的关键,包括社会服务和支付系统、税收和民主的运作。近几十年来,犯罪分子不断开发和使用各种工具,以破坏、甚至摧毁这些系统。这些威胁来自各方行动者,其在获得资源和具有的能力方面各不相同。这些攻击的范围从单独行动的个人或从事妨害性攻击(如破坏网站和小规模拒绝服务攻击)的小团体,到黑客活动分子、恐怖主义国家。在较高级别的威胁中,有组织的犯罪团伙往往与国家难以区分,因为它们有时使用先进技术来感染和破坏网络和数据。

4、针对公民与企业的风险

对于各个年龄段的普通公民来说,许多与网络安全相关的问题都与网络安全和预防网络犯罪密切相关。这些事项通常指个人的在线行为,或他们维护或使用个人或家庭设备的方式。这些风险包括加密攻击可能导致数据丢失,或个人信息(包括凭据或银行信息)丢失或被盗。

对于企业而言,恶意网络活动的增多带来的更常见、更具破坏性的后果之一与为获取经济利益而对企业发起的攻击有关。尽管人们对网络犯罪的认识有所提高,但爱尔兰的网络犯罪事件仍在增加,据报道,61%的爱尔兰组织在过去两年中遭受了网络犯罪(如欺诈),估计平均损失为310万欧元。

三、战略愿景

爱尔兰制定该战略的愿景是,爱尔兰社会能够继续安全地享受数字技术带来的好处,并在塑造互联网的未来方面发挥充分的作用。为此目的,爱尔兰将采取以下举措:

第一,以动态和灵活的方式保护国家、人民和关键的国家基础设施不受网络安全领域的威胁,并充分尊重个人权利,适当平衡风险和成本。

第二,发展国家、研究机构、企业、公共部门的能力,促使人们更好地理解和管理所面临的挑战在这个空间的性质,并确保企业和个人可以继续受益于信息技术、经济和就业机会。

第三,以战略方式参与国家和国际事务,支持自由、开放、和平与安全的网络空间,并确保网络安全是爱尔兰全方位外交姿态的关键组成部分。

四、战略目标

该战略试图达到的目标主要包括:

第一,继续提高国家应对和管理网络安全事件的能力,包括涉及国家安全的事件;

第二,识别和保护关键的国家基础设施,提高其对网络攻击的弹性,并确保基本服务运营商拥有适当的事件响应机制,以减少和管理服务中的任何中断意外;

第三,提高公共部门IT系统的弹性和安全性,更好地保护数据和服务;

第四,提高企业对保护其网络、设备和信息的责任的认识,推动爱尔兰网络安全方面的研究和发展,包括促进对新技术的投资;

第五,继续与国际伙伴和国际组织合作,确保网络空间保持开放、安全、统一、自由,并能够促进经济和社会发展;

第六,提高个人对基本网络安全习惯的一般技能和认识,并通过信息和培训提供支持。

五、计划采取的措施

在2019年至2024年期间,爱尔兰政府将实施以下系统性措施来保护国家:

发展网络安全部门,深化对互联网未来的国际参与,主要包括:

  • 国家网络安全中心将进一步发展,特别是在扩大其监测和应对国家网络安全事件威胁的能力方面;

  • 国家网络安全中心编制的威胁情报和分析将纳入国家安全分析中心的工作;

  • 将继续部署和发展现有的国家基础设施关键保护系统,并将特别侧重于正在进行的合规和审计方案,以减少对关键服务的风险;

  • NCSC在国防部队和加尔达·西奥查纳的协助下,将对当前所有关键的国家基础设施和服务遭受网络攻击的脆弱性进行更新详细的风险评估;

  • 现有的关键国家基础设施保护体系将在战略实施期间得到扩展和深化,以覆盖更广泛的关键国家基础设施,包括选举制度的各个方面;

  • 由国家网络安全中心运营的现有信息共享机制将进一步发展,现有的信息共享机制将扩大到更广泛的关键国家基础设施;

  • 政府将进一步引入一套合规标准,以支持该地电信基础设施的网络安全;

  • 非公务员合约中心会制订一套基本安全标准,供所有六个政府部门和主要机构采用;

  • 现时的“传感器”项目将会扩展至所有政府部门,并会就将“传感器”项目扩展至所有政府网络的可行性进行评估;

  • 促进有关网络安全的最佳实践资讯共享;

  • 就使用特定软硬件的事宜,提出建议;

  • 政府将继续确保开发和部署计算机科学和网络安全的第二级和第三级培训;

  • 爱尔兰科学基金会(SFI)将通过他们的智能未来项目,促进网络安全作为中小学和大学的职业选择;

  • 爱尔兰科学基金会连同DBEI和DCCAE,将探索通过SFI研究中心项目的可行性;

  • 政府将继续支持和充分参与爱尔兰IDA资助网络计划和探索新的机制来支持工业/学术/政府网络安全合作;

  • 爱尔兰企业将制定一项网络安全方案,以促进企业和研究机构之间的合作联系,从而将研究成果实际应用于商业;

  • 将加强爱尔兰在网络安全方面的外交承诺,包括在重要外交使团派驻网络官,以及在第三国开展可持续的能力建设;

  • 将创建一个互联网治理和国际网络政策部门间的小组(IDG),协调各部门之间的国家立场;

  • 将深化在国际组织中的现有参与,包括加入爱沙尼亚塔林的卓越网络安全中心(CCD-COE);

  • 政府将开展一项国家网络安全信息运动,该运动将使用国家网络犯罪中心和加尔达国家网络犯罪局提供的信息,以及直接从事信息提供的实体提供的信息。

作者简介:刘耀华,中国信息通信研究院互联网法律研究中心研究员

声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。