上報 Up Media

切多夫

●前美國國土安全部部長

瑞狄

●印度前副國家安全顧問

克林柏

●網路空間穩定全球委員會主任

近來發現Sunburst駭客集團針對美國與全球目標的攻擊，再度挑戰國際社會對於網路攻擊的反應能力。過去一年中，世界各地的重要基礎設施紛紛成為駭客的標靶，包含因應新冠肺炎所成立的機構也逃不過駭客手中。各國政府雖公開譴責駭客的不法行為，顯然需大家集體對抗採取行動才行。

目前並沒有規範網路犯罪的國際條約，而聯合國大會認可的11條網路行為規範不具約束力，也有些模糊地帶。現在有許多國家提出相對應的規定，雖然是件好事，但畢竟規範不是條約，因此我們更應該重視規範背後傳遞的精神，而非死板板的文字。最近期的駭客行動更清楚的顯示網路相關的國際條約很有可能會失敗。

美國IT公司SolarWinds的平台可讓IT人員遠端進入安裝該產品的設備，最近，安裝SolarWinds產品的客戶淪為供應鏈駭客的目標，趁著產品更新時植入Sunburst木馬程式。科技期刊The Register指出，超過425家美國500強企業都是SolarWinds的客戶，像是美國主要的電信公司及美國政府（許多發展中國家也是其客戶）。安全軟體公司FireEye表示，即便美國政府可能是駭客的重點目標，全世界的企業都可能遭入侵，而FireEye近日也疑似遭攻擊，導致測試工具外洩。

美國政府懷疑俄羅斯情報單位正為駭客攻擊的幕後黑手。資安專家傑夫·莫斯(Jeff Moss)則認為，越是想揭開駭客行為的謎團，越可能使得情況更加惡化。

儘管一切滿是不確定，我們可以肯定SolarWinds的攻擊事件持續了數個月，且恰逢各國政府針對網路規範的談判活動。全球網路穩定委員會（Global Commission on the Stability of Cyberspace）提出的八項規範中，駭客至少違背了一項：「國家與非國家行為者不得竄改開發及生產中的產品與服務。」另外，也違反了許多規範，如由超過1000個政府、企業和民間組織共同簽署的巴黎網路空間信任與安全倡議（Paris Call for Trust and Security in Cyberspace）中的保護全球網路的「公共核心」（關鍵基礎設施）原則。

更重要的是，11條規範中至少有3條已經受到聯合國大會的支持可能在這次攻擊中被違反，包括那些旨在保護供應鏈的資訊跟通訊科技，關鍵基礎建設以及網路防衛本身。

有些反對者可能會認為這些規範過於模糊，以至於無法有效拘束駭客。但是，儘管網路攻擊往往位居合法與不合法間的灰色地帶，這並非是合理化攻擊的理由。2015年，聯合國調解的保護關鍵基礎設施規範實施不到一個月，至少有三起看似挑戰規範的攻擊事件發生。

舉例來說，駭客幾乎摧毀德國鋼鐵廠、攻擊烏克蘭的電力公司造成大規模停電以及中斷法國大型電視台的節目播放，不過該電視台沒有正式被認為是關鍵國家設施。

國際社會對駭客行為的漠視只會促使駭客變得更加猖狂大膽，進行更具爭議性的攻擊，如滲透2016美國總統大選。當時的駭客攻擊也走在模糊地帶，因為選舉並不屬於「關鍵基礎設施」的範疇。

我們不能只因這些攻擊沒有明顯違反規範便否認駭客的不正當性。儘管規範不具法律約束力，如何解釋規範的內容具有彈性，十分有利於打擊網路犯罪。由於國際法往往難以應用於網路世界，多數民主國家也傾向避免受限於不明確的法條中，因此，規範顯得格外重要。

SolarWinds攻擊事件凸顯了網路世界的模糊性與多變性。也讓我們明白規範的重要性，即便只是補充性的規範，都能幫助國際社會釐清大家遵守的價值。規範可有效打擊阻止更多惡意的網路攻擊事件。但是政治的介入是必須的，才可徹底落實規範且懲罰不法人士。

勸阻不法人士最好的方法就是採取集體行動，讓攻擊者承擔後果，進而建立習慣國際法。若要避免網路攻擊事件激增，勢必要盡快採取國際行動遏止為所欲為的駭客。

（翻譯： 蔣維珊，責任編輯：張育軒）

© Project Syndicate

（原標題為《The SolarWinds Wake-Up Call》文章未經授權，請勿任意轉載）