一、前言
「九一一事件」後,各國均關心來自恐怖主義組織將會發動網路攻擊之威脅。其原因是當全球強化反恐並較能協同一致作法時,例如控制常規金融體系而使恐怖主義組織不易傳輸經費;且當恐怖分子發現使用傳統對實體攻擊之方式更趨困難且風險更高時,網際網路就可能成為新戰場,或可以當成攻擊的新工具。
而且從網路調查發現,確實已有更多恐怖分子使用眾多的網站來支持其發動心理作戰、籌募資金、甄補及協調攻擊行動。美國國務院反恐官員亦指出,對於國土的另一個關心的攻擊情節,就是恐怖分子偷偷的潛入國內而單獨行動,且是經由網路空間的運用與攻擊去指引方向。 並擔憂一些恐怖分子嫌犯所利用的網站,是由美國國內的網路業者所提供之網站服務(Internet Service Providers)。 此外,「九一一事件」之後,亦有證據顯示,網路犯罪已成為促進恐怖分子取得財源的方法,例如2005年10月荅里島恐怖攻擊就說明了網路攻擊已成為國際恐怖主義組織的一個選項。 且恐怖分子亦常經由網站去宣傳、訓練、甄補人員等。
從恐怖分子在網路上的不斷宣稱顯示,他們已明白展現欲規劃與發動針對所有實體與網路空間容易進入與有許多弱點目標的傳統式攻擊。且網際網路與電腦的弱點是持續存在的且眾所週知,加諸科技亦不斷的進步,而電腦系統的互賴本質,實存有受到更快速與複雜之網路攻擊工具可以利用的弱點。恐怖分子當然有可能發展與網路罪犯的連接,而能獲得先進的電腦技巧。 進而超出單純的宣傳等作為,卻從事對於重大關鍵基礎設施攻擊,而迫政府屈服以達成其政治等目標。
二、威脅情勢
(一)從事網路犯罪與網路攻擊的行為者
在網路空間上進行犯罪或是攻擊電腦可以產生三種後果,第一、摧毀設備與硬體的可靠性;第二、改變處理的邏輯;第三、竊取或破壞資料。 而透過已經發生過的案例調查顯示,從事網路犯罪或是進行網路攻擊的行為者,大概可以分類成七種類型,亦即駭客(Hackers)、駭入行動主義者(Hactivists)、電腦罪犯(Computer Criminals)、企業間諜(Industrial Espionage)、內鬼(Insiders)、契約商(Consultants/contractors)、及恐怖分子(Terrorists)。
(二)網路攻擊之步驟與使用之工具
網路空間的犯罪者欲進行網路攻擊時,一般會採取偵察(Reconnaissance)、掃描(Scanning)、取得存取(Gaining Access)、維護存取(Maintaining access)、覆蓋磁軌(Covering Tracks)等五種步驟,並配合自動入侵的網路工具來發動,且案例顯示,這些步驟也已經被欲發動網路恐怖主義攻擊的恐怖分子所採用。
根據曾經發生過的案例統計,已顯示出在前述五種脈絡下進行網路攻擊所採用之工具,大概可以分為12種不同的類別,分別是後門(Backdoor)、阻斷服務攻擊(Denial of Service, DoS)、電子郵件欺騙(E-mail Spoofing)、IP位址欺騙(IP Address Spoofing)、鍵盤側錄器(Keylogger)、邏輯炸彈(Logic bomb)、實體攻擊(Physical Attack)、嗅探(Sniffer)、特洛伊木馬(Trojan Horse)、病毒(Viruse)、蠕蟲(Worm)、殭屍(Zombie)等。
三、面臨問題
(一)網路恐怖主義之定義問題
「網路恐怖主義」(Cyberterrorism )一詞最早出現於1980年代,然學者與專家們對於此名詞不斷的重新定義與詮釋,而均沒有一致意見。且認為要明確的定義「網路恐怖主義」是有困難的。因為攻擊前或是發生時,均無法明確決定電腦攻擊者之企圖、身份或是政治動機,而一直要到事件發生後。 但至少可區分兩種途徑來定義「網路恐怖主義」:一種是從「基於效果」(Effects-based:)之途徑來進行定義;另一種是從「基於企圖」(Intent-based)之途徑來進行定義。
美國國土安全部之「全國關鍵基礎設施保護中心」(National Infrastructure Protection Center, NIPC)則將其定義為:「經由電腦之犯罪行為,而導致的暴力、死亡及/或摧毀,且創造了恐怖,而旨在脅迫政府以改變其政策之目的。」
而網路恐怖主義所以是選項的原因有六:第一、匿名性;第二、可以鎖定多樣化的目標;第三、被偵察的風險較低;第四、個人受到傷害的程度較低;第五、投資較低;第六、可以就近從任何地點進行操作;第七、需要的資源較少。
(二)網路恐怖主義與其他網路空間犯罪不易區隔
網路恐怖主義是一個相對新且含糊不清的概念,其爭議包括:是否是一個單獨的現象,或僅是恐怖分子實施「資訊戰」(information warfare)的一個面向而已。而既使承認它是一個單獨的現象,但界限也經常與資訊戰、電腦犯罪、線上社會行動主義者(online social activism)等無法明確區隔。 且現實上,若不能與已有定見之網路犯罪、網路戰、資訊戰區隔,則處理網路恐怖主義會有難度。且由以往發生過的案例顯示,恐怖主義組織又常與網路犯罪結合,也可能會與網路駭客結合,然證據又常不夠清晰完整。亦即要去檢證網路犯罪與恐怖分子存有多少比例之直接或間接關聯較難判斷,而影響處理方案的設計與增加執法難度。
(三)民主國家存有無法避免攻擊之結構性因素
網路安全專家認為,任何民主國家可能亦未完全對於認識與回應恐怖分子的網路攻擊作好準備,其原因有三:第一、缺乏一個可以在潛在攻擊或摧毀網路緊急事件前之鑑定機制,亦即沒有建立可以顯示網路攻擊已在進行中的指標;第二、對於那個機構應該負責提供重建的支援不夠清楚且缺乏問責,亦即無法找出誰可以負責去恢復受到影響的關鍵基礎設施;第三、一般機構缺乏必須重建網路關鍵基礎設施之資源,亦即缺乏可以協助恢復網路攻擊之前情況的專用資源。
且網路攻擊之所以逐漸變成一種普遍性現象,主要有五個原因:第一、運作不斷增加連接性、可被襲擊的網路、系統與應用上的弱點;第二、網路罪犯透過成功的攻擊,有能力獲得顯著的財務上好處;第三、各式不同程度的網路罪犯與惡意的軟體開發者結合成全球性的聯邦;第四、非國家行為者、恐怖分子與政治趨力,支持了有針對性的網路犯罪活動;第五、全球缺乏一致性的網路執法。
四、政策建議
若要有效應對,則在反制措施設計前,必須先要評估網路威脅的相關重點。而一般概可綜整出四個重點:第一、應將網路戰與網路恐怖主義置於針對關鍵基礎設施攻擊的歷史脈絡,但此等攻擊的討論早已談過且警告了好多年;第二、必須檢視網路攻擊是在關鍵基礎設施的常態性失敗的背景之下,例如停電、飛機誤點與通訊中斷是經常的發生,而此種常態性的失敗結果,就可以被使用來衡量網路恐怖主義的效果;第三、必須測量關鍵基礎設施對於電腦網路的依賴,且過多的依賴就是更大被攻擊的弱點;第四、針對網路恐怖主義,必須思考恐怖分子在政治目標與動機的脈絡下所使用的網路武器,且是否這些武器可以達成目標。
前述的這些已經鑑定出來的必須努力之方向,均是各個國家在短期的未來若想要反制網路恐怖主義所必須持續努力之重點,且應該挹入更多的資源與建立公私部門夥伴關係、全民共同參與才可能逐步的完善。以下謹就網路安全專法、專責單位、優先工作事項、私營部門能力、及國際合作等項目,概述仍須努力之處。
(一)應該有一個保護網路空間安全的專法
此全面性的網路安全立法,且其內容應該包括如下幾項:
第一、規定政府應與私營部門分享有關網路空間威脅與弱點的重要資訊;
第二、鼓勵所有政府部門與相關企業,應針對所有全國性的關鍵基礎設施,採取最佳的實踐與標準化;
第三、應該有一個嚇阻恐怖分子與敵對國家進行可能造成重大關鍵基礎設施潛在傷害的網路攻擊戰略;
第四、建立可以引導政府採購之標準化與功能性指標,因而可以鼓勵製造商必須更佳的安全標準併入到其產品之中,並可以同時有利於政府與私營部門維護網路安全。
(二)網路安全專責單位應落實推動網路安全之維護
由於網路空間的範圍廣泛,且運用網路的政府部門眾多,又必須與私營部門進行有效互動等,此等相關事宜繁雜且必須協調,因此,應建立一個負責網路安全的專責單位,例如在美國是由國土安全部來負責。而其應負的責任包括了確保網路安全的一切努力,及發展一個網路空間安全的戰略。
(三)推動網路空間安全之優先工作事項
網路空間是重大關鍵基礎設施的神經系統,因此維持一個健康的網路空間攸關國家安全與經濟發展。而為了確保網路空間的安全,有五項優先事項必須投入更多資源去處理。第一、改善全國性網路空間安全回應系統;第二、全國性網路空間安全威脅與弱點減少計劃;第三、全國性網路空間安全警示與訓練計劃;第四、保護政府的網路空間安全;第五、全國性與國際網路空間安全合作。而此等工作若能夠完善,應該可以達成預防對於重大關鍵基礎設施的網路攻擊;減少網路攻擊全國性弱點;假如網路攻擊發生則要極小化損傷與復原時間之三項目標。
(四)強化企業控制系統安全之應有作為
由於重大關鍵基礎設施常是由企業來運作,因此企業的網路控制系統亦常是恐怖分子思考之攻擊目標,且相較政府目標而較易攻擊。但是政府有關部門想要找出攻擊的來源,可能會因為被攻擊的企業由於潛在責任的問題、或是自身能力沒有辦法鑑定出是否是攻擊、或是不願意向公眾公布被攻擊而影響企業信譽,而不願意報告被攻擊情事,因此估計至少有80%的被攻擊事件沒有被公佈出來。
加諸一些私營的網路安全公司並沒有立即通知政府有關部門或是其客戶,其所發現潛在嚴重的網路安全弱點。因此,一旦恐怖分子、駭客或是網路罪犯發現了這些弱點,就容易進行各種非法網路行為或是進行攻擊。所以一些問題必須提出且解決,才能修補弱點。例如電腦產品的販賣者必須立即快速報告所有嚴重的與新發現的電腦產品弱點?電腦服務的提供者或是企業,應接受政府有關部門要求報告任何已被網路罪犯所利用之重大安全弱點?又假如一個組織沒有一個完善的安全政策而可能導致敏感資訊的大量遺失,則是否應該遭受到應有懲罰。
(五)國際上必須持續之共同合作努力
網路犯罪是國際性的挑戰,但是對於構成電腦不當行為的犯罪法律,各國均不相同。例如歐盟已設立了「重大資訊關鍵基礎設施研究協調辦公室」(Critical Information Infrastructure Research Coordination Office, CI2RCO),以檢視其成員國是如何保護其關鍵基礎設施而免於被網路攻擊。且在2004年又執行了《網路犯罪公約》(Convention on Cybercrime),是第一個也是唯一的一個國際性條約,雖簽約的國家並不多,但卻是未來可以努力的一個方向。 又各國對於網路執法應有一個共同標準,有合作的對口單位,並要強化情資分享,凡此均應持續努力。
五、結論
雖然迄今仍有電腦安全專家可能並不同意,由恐怖分子所執行的廣範圍與協同式的網路攻擊在短期可能會發生。然而亦有許多監視網際網路的安全專家則指出,由於全球強化反恐之努力,因此回教極端主義分子已更願意朝向網路發動攻擊,所以網路恐怖主義已是必須防範的重點,且此等觀點亦為政府官員所認同。
「網路恐怖主義」雖是一種對於網路空間發起之攻擊,但卻與一般的網路犯罪不同,亦與恐怖主義組織已經常態的使用網站與透過網際網路去從事日常性的通訊、訓練、募款、甄補、宣傳、警告等作為有所區隔。其內涵包括了以重大關鍵基礎設施為攻擊目標,會造成毀滅性與破壞性後果,民眾會產生持續恐懼,且是帶有政治、社會、宗教等動機,或是同時支援其他實體攻擊等之特徵。此種類型恐怖主義雖未有明確的證據,但並不表示未來不會發生。更何況已有多項間接的文件證據或是直接的來自恐怖分子的威脅聲明,均指出此等攻擊之可能發生。
預防性「安全工作」之本質與聚焦於當下因應的一般「行政工作」本質之最大差別,就是必須有不能萬一發生再去處理之心態,而必須盡一切可能的努力使其不發生。賓拉登早在1996年就公開宣示要攻擊美國,但是當時沒有一個美國政府的官員相信,而直到「九.一一事件」的真實發生。「網路恐怖主義」絕不止是恐怖分子的想像,抑或是其攻擊後果不如實體攻擊,因此自我揣測不是恐怖分子的優先選項。而必須認請,隨著國家安全與經濟發展已與關鍵基礎設施更加的連接在一起,則對其運作之網路空間發動攻擊的可能性已大幅提高;加諸科技不斷進步所帶來網路工具之連帶效果之殺傷力更為提高,波及層面之幅度與深度也必然擴大,則如何會比不上實體攻擊之效果呢。此亦反映政府官員的不斷提醒與要求強化防範作為。但由於網路安全是一種分享的責任,且不會是某一個國家才會面臨的威脅,因此,不是政府部門可以單獨的處理,每一個人均有可扮演的角色。亦即對浮現中之網路恐怖主義威脅,需要整個社會的參與,從政府到執法單位到私營部門及全體國民均要投入,且國際間要擴大合作才可能有效的防範。
參考書目
聽證會證詞
Collins, Susan M. Opening Statement in the “Cyber Attacks: Protecting Industry Against Growing Threats”, Committee on Homeland Security and Governmental Affairs. Sept. 14, 2009.
Kellermann, Tom. Testimony in the “Cyber Security: Developing a National Strategy “, Senate of Homeland Security and Government Affairs Committee. April 28, 2009.
政府政策報告、出版品
Government Accountability Office. “Information Security: Further Efforts Needed to Fully Implement Statutory Requirements in DOD”, GAO-03-1037T. July 24, 2003.
US Army Training and Doctrine Command. Cyber Operations and Cyber Terrorism. DCSINT Handbook No. 1.02. August 15, 2005.
研究報告
Lewis, James A. “Assessing Risks of Cyber Terrorism, Cyber War and Other Cyber Threats”, Center For Strategic & International Studies. Dec. 2012.
Rollins, John and Clay Wilson. “Terrorist Capabilities for Cyberattack: Overview and Policy Issues”, CRS Report for Congress. Jan. 22, 2007.
Wilson, Clay. “Information Operations and Cyberwar: Capabilities and Related Policy Issues”, CRS Report for Congress. Sept. 14, 2006.
Wilson, Clay. “Computer Attack and Cyber Terrorism: Vulnerabilities and Policy Issues for Congress”, CRS Report for Congress. Oct. 17, 2003.
條約
EU. Convention on Cybercrime. Convention Committee on Cybercrime (T-CY) website.
雜誌與媒體報導
Business Roundtable. Essential Steps to Strengthen America’s Cyber Terrorism Preparedness. June 2006.
Isikoff, Michael. “Terror: We’re Going to Get Hit”, Newsweek. January 22, 2007.
Kohlman, Evan. “Al. Qaeda on the Internet”, Washington Post online interview. August 8, 2005.
【本文出處;更多精采報導,請上《民報:www.peoplenews.tw》;《民報粉絲團 www.facebook.com/taiwanpeoplenews 》。】
