孫維德觀點：全新資安戰略可助美國解決中等強國資訊攻防戰

資訊界是一個易攻難守，還是易守難攻的領域？

軍事界一開始把數位空間當成等同於陸、海、空、太空領域來思考時，想到的都是「生化人」或機器人大軍。這種機器跟現在的無人機有個差異：它們除了投射力量以外，還可以控制領土，是進攻領地的工具。

但後來，我們發現位元與原子是完全不同的東西，數位世界沒有任何穩固的牆壁。自從像Napster這種P2P平台開始流傳盜版音樂之後，資安和智慧財產權兩個概念就一直糾纏在一起。

根據這種角度，資訊之所以有價值，是因為它與「現實世界」之間具有某些連結。但網路最近傳輸的東西除了資料以外，也開始包括價值，資訊的內在特徵已經變得與外部連結一樣重要。下載程式可能無須成本，但如果你下載的是未受信任的程式，而且在執行前沒有花大錢進行驗證，可能會引來災禍。

雖然官僚的思維總是慢科技專家好幾步，但隨著資安概念不斷推移，美國的資安戰略也跟著改變，基本上已經轉為在攻擊與防禦之間做平衡。其中最重要的是，美國目前認為要能有效維護資安，就得和盟友與合作夥伴共同協調努力。

網路已經不是上一代的模樣

關鍵線索是來自「嚇阻」（Deterrence）一詞的使用頻率。2018年「嚇阻」才出現在美國網路戰略之中，助理國務卿福特（Christopher Ashley Ford）在2020年的演講中表示，「有一段時間，美國似乎希望只要跟中俄等國的惡意網路行為者好好溝通，就能說服他們減少惡行。」

「但如今我們吸取了教訓，更明確地將嚇阻列為資安外交手段之一。過去幾年的發展清楚證實，光是制定出一套框架來規範國家的資訊行為必須負起哪些責任，不足以阻止國家繼續違規。我們必須讓大家知道違規將付出哪些代價。」

今年3月，期待已久的《國家網路安全戰略書》（National Cybersecurity Strategy）更新了美國原則，但是「嚇阻」一詞又再次消失。

這樣的翻轉，與幾項彼此關聯的變化有關。資安界守護資訊的方式已經改為縱深防禦（Defense in Depth），因為沒有任何方法可以完全保證與網路連結的資產安全。與此同時，過去5年的地緣政治變化，已經讓非技術性的嚇阻變得更加不管用，尤其更難應對俄羅斯與中國的作為。美國在最新版的《戰略書》中，將這兩國列為跟北韓、伊朗等級，是最重要的威脅。

另外，由於駭客手法更加老練，區塊鏈生態系更加成熟，這段時間的勒索軟體攻擊也有所增加。因此新版《戰略書》更重視金融面的防禦，包括防制洗錢與反恐，同時特別關注非法加密貨幣交易。必須守住整體資安環境，才能擴大落實既有數位資產監理，真正控制相關犯罪。 （相關報導： 人物》民進黨「人選之人」疑吃案性騷擾　賴清德拔掉的「小甜甜」許嘉恬 ｜ 更多文章 ）

比較兩版《戰略書》，新版最有趣的一點，是外交。2018年版本四大目標的最後一項是「提升美國影響力」，大量提及了自由、治理、市場等等概念；當時人們普遍認為網際網路必然會促進開放，可以加速中國民主化，但現實的「牆內花園」（Walled Gardens，主要由無法互通的社群媒體構成的封閉生態系）讓這個樂觀願景的實現困難重重。

今年的《戰略書》已經不再強調美國的影響力，轉而主張形成國際聯盟、強化國際夥伴（包括台灣）關係。這某種意義上反映了黨派對美國實力的不同看法，但同時也相當務實地因應了全球性資安威脅。報告中也特別提到哥斯大黎加、阿爾巴尼亞、蒙特內哥羅受到攻擊之後，美國給予的協助。

不是只有超級大國才需要在意網路安全

這種觀點不只適用於網路安全。如今美國越來越常使用金融制裁與半導體供應鏈來掌控局勢，最近禁用TikTok的決定，也讓人更覺得美國主要仰賴懲罰措施來對抗中國。在這種狀況下要確實與中等強權維持關係，就得找到一些「胡蘿蔔」來軟硬兼施。

傳統的開發募資（Development Financing）工具，最多只能達到中國「一帶一路」的效果。某位肯亞官員的感嘆，成了推特上諷刺「債務外交」的名言：「每次中國來訪都會蓋一棟醫院，每次英國來訪都只會對我們演講。」

資安其實不僅僅是菁英在關注的事，真要說起來，只要其他比較窮的國家有技術將它們的金融體系連上網路，那麼他們會更在意資安問題。亞太銀行學院協會一直關注這個議題，台灣金融研訓院正是該協會的秘書處。

協助維護整體資安，給了美國一個很好的管道，以合法、道德、但主動出擊的姿態影響數位空間。美國應該，而且很可能會逐漸加重這方面的力道。但由於人力有限，美國司法機關只能處理最嚴重的威脅。FBI局長雷伊（Christopher Wray）最近才在國會表示，中國駭客的數量超過了FBI的50倍，FBI需要經費增聘192名網路相關專家。

但即便目前的科技業裁員釋出了一批人力，政府的薪水也不可能拚得過私人企業。更麻煩的是，傳統人才與數位人才之間有很大的文化鴻溝，就連金融界也有類似問題。與守護國安相關的機構，目前都無法提供科技專家想要的工作彈性。

此外，大家都知道審查程序會扼殺言論自由、破壞國際關係。遊戲聊天平台Discord最近的洩密事件，讓相關兩難再次搬上檯面。21歲的空軍國民警衛隊飛官泰謝拉（Jack Teixeira）在平台上對年輕粉絲公開大量機密文件。雖然他因種族歧視與暴力言論，以及在學校擁槍的言論而無法獲得槍枝執照，但後來還是進入了政府單位獲得最高權限。這顯示光是維持言論平台的政治正確，以及將相關機密鎖在專家會議室，根本不足以解決資安問題。

聊天機器人？還是駭客機器人？

未來的重要問題會是，大型語言模型（Large Language Models, LLM）能不能緩解相關困境。雖說人類至今為止的相關預測都錯得離譜，所以應該盡量謹慎，但仍然可以得出一些初步結論。

大型語言模型無法發明新的攻擊類型，反而其他更專門的演算法，比較可能製造出這種威脅。但大型語言模型能為各種攻擊提供經濟引擎，將某些比較簡單的攻擊方式，例如社交工程詐騙的成本，降到數十或數百分之一。

新版《戰略書》發表後的短短幾個月內，網路安全的相關環境又產生許多改變，這次的改版可能不會大幅影響攻防之間的配置權重。眾所周知，網路的維護必須與實體的治理同時存在，才能發揮效果。所以目前真正的問題是，世界級的相關人才極為稀少，到底該如何培育擴增。 （相關報導： 人物》民進黨「人選之人」疑吃案性騷擾　賴清德拔掉的「小甜甜」許嘉恬 ｜ 更多文章 ）

＊作者為台灣金融研訓院特聘外籍研究員；譯者為廖珮杏，本文選自162期台灣銀行家雜誌，授權轉載。