晴時多雲

自由共和國》廖宏祥、安藤正/從《塔林手冊》探討台灣應有的網路安全戰略 (二)

台灣因為一直都無有效的反制,解放軍的駭客行動完全沒有任何顧慮。因此我國長久以來都是他們的練兵場域,每月對台的網路攻擊高達三千萬次。(歐新社檔案照)

廖宏祥/戰爭學院前榮譽講座

安藤正/國際法專家

上週介紹《塔林手冊》關於國家主權、網路主權、主權侵害等觀念。本週將繼續介紹網路自衛權、網路攻擊、網路間諜等,並對台灣的政策作為提出建議。

自衛權

自衛權是指國家在遭到外來侵犯時,單獨或與其他國家共同抵抗侵略的權利。雖然《聯合國憲章》第二條四項確認,各會員國不得使用威脅或武力,或以與聯合國宗旨不符的其他方法,侵害任何會員國或國家之領土完整或政治獨立。但《聯合國憲章》第五十一條規定聯合國會員國均享有單獨或集體自衛的權利。亦即,聯合國任何會員國受武力攻擊時,在安全理事會採取必要辦法以維持國際和平及安全以前,憲章不禁止行使單獨或集體自衛之自然權利。

《塔林手冊》第七十一條認定,一國如果成為達到武裝攻擊程度的網路行動的目標,可行使應有的自衛權。藉由網路實施的攻擊,被認為屬於可行使的合法自衛權。而當攻擊迫近時,國家可進行防衛。此類行為在國際法上稱「預先自衛」。潛在受害國必須合理推斷敵對意圖已發展成事實上的攻擊;而受害國若不對此攻擊採取行動,將喪失有效的自衛能力時,可依法進行自衛。

《塔林手冊》認定國家遭受等同武力程度之網路攻擊時,可行使包含武力和網路反制措施的自衛權(第十三條)。但行使自衛權時,運用「網路武力行為」須符合比例原則(第十四條)。同時一國對迫在眉睫的網路攻擊,可使用武力預先反制(第十五條)。在武裝衝突中採取的網路行為應受到國際人道法的規範(第二十條),也就是禁止攻擊平民,禁止攻擊民用物資、醫務和宗教人員等。此外行使自衛權須考量平民傷害,不僅包括網路攻擊造成的直接傷害,還包括對民用系統產生的間接的負面影響。

值得注意的是發動攻擊行動者不易界定軍人和平民。平民若參與敵對網路攻擊行動則視同交戰團體,喪失於遭攻擊時受平民保護的資格。也就是說,受攻擊國可以對發動攻擊行動者先發制人,無論對方是軍人或平民(第二十九條)。

《塔林手冊》雖採用《日內瓦公約第一附加議定書》關於軍事物體和民用物體的區別,但卻同時認為在網路空間中,法律意義上的軍民兩用物體不存在;任何有可能用於軍事目的之網路設施都應當被認定為軍事物體。網路空間雖藉由科學技術標準建構,但在虛擬與實體世界中無法截然二分。網際網路所從事的行為,仍受現實世界規範所制約。這樣的論證讓國家主權延伸說於網路戰找到立足點。

網路攻擊

網路攻擊為可合理預見導致人員的傷害或死亡、物體設施的毀損或破壞的攻擊性網路行動。針對網路行為的結果,受害國須透過重新設定系統或資料,才能使受攻擊的網路設施重新發揮被設計的功能,這就屬於攻擊行動。即使網路攻擊未造成所期望的損害,但此只要有此意圖也可構成攻擊行為。舉例來說,只要惡意軟體被安裝,不論是否啟動,皆可視為網路攻擊。因此就算網路攻擊尚未成功,只要得以預期當惡意軟體被啟動後,就會產生可預見的損害,即可認為攻擊行為已經發生。同時即使網路攻擊被成功攔截,且沒有造成實質傷害,仍屬於武裝衝突法下的攻擊行為。

網路間諜

就像傳統間諜行為不違反國際法一般,對於較網路攻擊略低層次的網路間諜行為《塔林手冊》也不認為違反國際法。網路間諜可針對特定資料,長期大量的蒐集,但這樣的行為未必構成網路攻擊(第卅二條)。無論資料的嚴重性如何,資料洩露本身並不違反國際法。簡言之,網路間諜行為可視為是國際法所不允許的禁止侵犯主權(第四條)和國際干預(第六十六條)的例外。

但《塔林手冊》也指出,網路間諜行為的實施過程或方式,仍可能違反國際法的其他規範(如侵害主權、違背不得對他國武力攻擊、或禁止武力威脅等),因此仍要視情況而定。例如,如果在網路間諜行為中,位於第三國被入侵的關鍵基礎架構失去功能,則該間諜活動將被認為是侵犯其主權。同樣地,如果受國際法保護的隱私權受到侵犯,則該間諜活動將是非法的。

美國的網路戰略

美國於二○○六年發佈《國家網路空間作戰軍事戰略(NMS-CO)》,接著美國國防部長蓋茨於二○○九年六月成立美國網路司令部,次年的五月正式運行。二○一一年五月,美國白宮公布《網路空間國際戰略》,提出基本自由、保護隱私、和資訊自由流動的基本原則,明確宣布「網路攻擊就是戰爭」。

為落實《網路空間國際戰略》的要求,美國國防部於同年七月一日提出《國防部網路空間行動策略》,具體在國防與軍事領域進行部署。美國透過這些文件規劃網路空間的戰略,向全世界宣示網路空間規則,主張無論是和平時期還是戰爭期間,既存規範國家行為的國際準則同樣也適用於網路空間。

二○一五年四月,美國公布《國防部網路戰略》,明確提出「尋求在和平、危機和衝突時期威懾攻擊者和保衛美國利益不受侵害…推動負責任的行為規則,以促使全球穩定的戰略」,符合美國國內法和國際法。其後,美國為補足在網路戰缺乏最高統合規範,二○一八年六月美軍公開《網路戰聯戰準則三—十二》,顯示美軍基本完成因應網路戰的所有準備。同時基於新版《國家安全戰略》和《國防戰略》,更新《國防部網路戰略》,確立「前進防禦(Defend Forward)」與「前進追捕」準則,從源頭打擊惡意網路行為。

網路安全戰略的政策建議

網路戰是電子戰的延伸,本質和干擾目標國家雷達與阻斷其通訊並無不同。而攻擊是最佳的防禦,因此國際間皆透過政府力量或軍事方式因應。台灣因為一直都無有效的反制,解放軍的駭客行動完全沒有任何顧慮。因此我國長久以來都是他們的練兵場域,每月對台的網路攻擊高達三千萬次。

本文謹就台灣的網路安全戰略提出政策建議。

一、如前述美國的「前進追捕」,台灣可邀請美軍網路司令部協助從源頭打擊中國的惡意網路行為。有人可能擔心我方的網路自衛反擊可能會加劇海峽兩岸的緊張局勢。但正如美國蘭德公司的研究表明,每當美國參與「灰色地帶行動」時,因為其能力具備有效的威懾作用,可迅速緩和局勢。

二、為了使台、美間的網路聯合行動在非常時期具備法源依據,兩國可事先簽署相關合作協議,在和平時期即讓美軍網路司令部人員進駐台灣。

三、同時仿效《美國—以色列網絡安全卓越中心法案》,台灣可遊說友我的美國國會議員通過類似法案,促使兩國成立聯合資安卓越中心。

四、北約的網路防禦卓越中心已於今年開始《塔林手冊3.0》的五年計劃。台灣應培養並派遣熟悉資訊領域的國際法專家參與未來的討論。

五、建立類似歐盟網路安全局的國家能力評估框架(NCAF),評估國家網絡安全戰略目標,以在戰略和戰術層面籌建包含政府與私人企業的全面網路安全能力。

六、世界上目前已有五十六個國家發布網路安全戰略。我國防部亦應儘早制定網路安全戰略與戰術,確立可先發制人的網路戰自衛權。

七、美軍網路司令部能廣汎吸納其民間駭客,除了行之有年的安全查核機制外,更有靈活的採購制度。台灣除應盡速重整公務與非公務體系的安全查核制度外,也應修改「政府採購法」,使先進技術的駭客能透過民間公司的合約關係,直接為國安體系所用。

八、寓兵於民應是培養我國網路戰能力的重要指標。與安全查核機制配套,台灣可檢討「國家情報工作法」和相關細則與解釋,是否對我國民間公司參與網路戰工作造成不必要的限制。

不用抽 不用搶 現在用APP看新聞 保證天天中獎  點我下載APP  按我看活動辦法

《自由共和國》強力徵稿

《自由共和國》來稿請附:真實姓名、身分證字號、職業、通訊地址及戶籍地址(包括區里鄰)、夜間聯絡電話、銀行帳號(註明分行行名)及E-mail帳號。

刊出後次月,稿費將直接匯入作者銀行帳戶,並以E-mail通知。
文長1200字以內為宜,本報有刪改權,不願刪改者請註明;請自留底稿,不退稿;若不用,恕不另行通知;請勿一稿多投。

《自由共和國》所刊文章、漫畫,將於 「自由電子報」選用,不另外奉酬。
Email:republic@libertytimes.com.tw

已經加好友了,謝謝
歡迎加入【自由評論網】
按個讚 心情好
已經按讚了,謝謝。

編輯精選