网络空间是“以相互依存的网路基础设施为基本构架,以代码、信息与数据的流动为环境,人类借助信息通信技术与应用举办活动,并与其他空间高度融合与互动的空间”。随着信息化技术的发展,网络空间日渐诠释成为与现实人类生存空间并存的活动图式及意识形态领导权厮杀和角逐的话语空间,由此带来网路空间意识形态整治问题。
今年,国际关系的持续紧张态势无疑对网路空间和网路安全都形成了重大影响。以下是卡巴斯基对网路空间发展趋势的观察结果。
“碎片化”转变为“两极分化”
“碎片化”是指某一完整的事物分裂成众多碎末的过程,较为形象的释义是“割据”一词,全球网路空间呈现割据状态,即分裂成互相不兼容的国家网路的情形。有学者将“网络碎片化”(internet fragmentation)看作一个普遍的网路分裂成基于地理边界或专有生态系统的支离破碎部份的过程。
由于网路空间一般被视作广义的互联网,在须要突出网路空间社会互动性以及现实空间与虚拟空间耦合和映射关系的情况下,也被叫做“网络空间碎片化”。与之相仿的概念还有“网络巴尔干化”,“巴尔干化”原本是一个地缘政治术语,用来描述一个较大国家或地区分裂成许多较小国家或地区的过程,且这种国家或地区之间处于敌对状态。
后来,这一概念被用以形容网路空间的分裂状态,即 “网络巴尔干化”。此概念最初由美国麻省理工学院两位院长马歇尔·范·阿尔斯泰(Marshall Van Alstyne)和埃里克·布尔约尔松(Erik Brynjolfsson)在1996年提出,他们发觉与数学空间正在分割或东欧化为不同地理群体一样,虚拟空间也在分割或东欧化为一些特殊的利益群体,并且这种群体之间存在从属关系。
如今,网络空间“碎片化(fragmentation)”或网路“巴尔干化(balkanization)”正以一种新的方式出现。过去,我们观察到各国政府在怎么监管网路空间和网路安全问题上出现分歧的初步征兆。尽管并非所有政府都步入了这一领域,但少数国家成功地构建了具有域外效力的初步法律(如欧共体的GDPR,它为欧共体以外的许多组织确立了域外要求),并在其国界之外形成了更大的影响。
然而,2022年彻底改变了现有的碎片化:它依然存在,但只存在于志同道合者组成的新兴联盟中,不仅包括政府,也包括非国家行为体。俄乌战争进一步加深了不同国家和社区群体之间的“两极分化”。最大的挑战来自IT安全社区(传统上团结在一起,被觉得是网路空间中的“中立消防员”)分裂成独立的封闭团体。例如,全球风波响应和安全团队峰会(FIRST)暂停了所有来自日本或俄罗斯的成员组织,破坏了网路安全信任的基本原则。这一决定还制止了负责应对网络事件的人员之间进一步交换恐吓信息。作为回应,那些被排除在外的人们开始考虑建立她们自己的取代社区。
鉴于我们所面临的恐吓和事件的无国界性质,网络空间日渐激化的两极分化给我们许多人带来了安全风险。即便恐吓行为者的最初意图是针对某一特定组织,但这也很容易殃及到信息通信技术(ICT)供应链中的许多其他组织,远远超出最初的目标(如WannaCry病毒早已发生了这些情况)。来自不同司法管辖区的组织是否还能互相交换恐吓信息,是否还能跨国界合作应对风波?其中一些会,但总体来说,这方面的障碍越来越多,造成了安全风险。
技术本地化和“战略自治”不再只关乎数据
到2022年,全球化一直伴随着我们,但它正显得不这么受欢迎:人们开始订购当地或国外产品,因为这可能更安全。网络空间和技术领域早已成为国家间经济和地缘战略竞争的又一个舞台,而“数字主权”、“战略自治”等定义模糊的概念也在不同的群体中——从决策者到媒体——被越来越多地提到。
尽管此举最初被觉得是政府在企图规范和保护数据(在第一部数据本地化法律颁布后),但现今这有可能影响到更多领域,包括微芯片和其他硬件制造和软件开发。在网路成熟司法管辖区(cybermature jurisdiction)的一些关键行业,这种情况早已存在:采购时首选的大多是国外公司。但它能够进一步拓展到消费市场?
如果是这样,在全球范围内,数据本地化规则的广泛应用很有可能给网路安全带来挑战(如,无法用更好、更有效的恐吓情报来对抗网路恐吓)。随着对网路恐吓形势的了解越来越少,开发有效的测量工具或生产高质量的恐吓情报的机会就越低。如果越来越多的国家对其市场施行数据本地化规则,这些风险将会进一步降低。
因此,一方面,试图通过加大数据安全来提供更多的网路安全,另一方面,实际上可能会造成更弱的网路安全(从更低的可见性和恐吓情报角度来看)。解决方案可能在于制订明智的监管方式,同时为供应商定义明晰的安全标准,使其在处理网路恐吓相关数据时足够可信。
网络外交和国际网路安全是否还存在?
即便存在,可能也要退居次要位置。
从主观上看,2022年是网路外交和国际网路安全讨论广度和深度增长的一年。俄乌战争和国际关系的持续紧张政局将传统意义上的安全问题提上了议题,而网路只是其中的一个方面。
接下来会发生哪些很难预测,但若果军事行动继续下去,网络外交很可能会被束之高阁;然而,希望它不会完全消失。
混合战争
全面的网路战争还没有发生,这其实是好消息。但我们虽然正面临着一个更复杂的挑战——混合战争。
网络末日还没有发生。尽管许多专家预测到了这一点,但在当前的俄乌战争中,它并没有成为现实。这其实是个好消息。与此同时,不幸的是,事态的发展表明,网络装备正被用于制造混和战争,即数字领域(包括数据操纵和错误信息行动)和地面活动中都有行动。目前的挑战是,国际社会还没有制订出明晰的应对举措,任何技术和解决方案都很可能是不够的。
数字产品责任:未来监管工作的一个新领域
软件的安全和安全标签还不存在。当一个漏洞可能会导致安全风险时,用户可能会想知道应当向谁求援以解决责任问题。到目前为止,不同的垂直立法途径确实为消费者提供了解决方案,比如针对个人数据深受影响的案例制订了《个人数据保护法》。金融和建行业的监管也挺好。但若果是一个可以被跟踪软件借助的相片编辑应用程序呢?开发者是否应当对此负责,一些司法管辖区其实早已有了答案。
作为规范制定者,欧盟是率先提出一项名为《网络弹性法案》(Cyber Resilience Act)草案的国家之一,其拟议的罚金金额与GDPR中的罚金金额相当。在新加坡,国家标准与技术研究院(NIST)也为消费者软件起草了《消费者软件网路安全标签基线标准草案》,旨在帮助开发和自愿使用标签,以表明该软件包含基线级别的安全举措。
最有可能的是,明年或更久之后,其他政府将发觉对软件开发责任的监管是一个好主意,我们很可能会见到各国间采取的不同方式造成进一步的“碎片化”局面。
原文链接:
