2017加拿大C-59号国家安全法案之“网络安全”
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全7月6日文 加拿大2017年国家安全法案——C-59号法案,其概述了加拿大在国家安全层面勾勒出的发展愿景。在这项“反恐怖主义”法案当中,加拿大政府明确希望全面改造决策机制,从而加强对反恐怖主义、监控与网络空间内相关事务的监督与部长级控制能力。
虽然这项全新举措表明加拿大当局有意引导反恐行动迎来更为清晰的发展方向,但文件中的其它内容还揭示了更多值得关注的重要信息。
对于军方网络作战人员而言,加拿大政府投入巨大决心以明确决策流程并调整网络作战行动的政策性规划。这一决定对于加拿大乃至整个北约联盟的网络空间战略以及部队发展可能具有深远影响以及长期意义。尽管具体的立法内容可能还将视具体情况而有所修订,但其采取的广泛政策转向已经表达出明确的网络防务计划与审议要求,而且其它五眼联盟成员国(包括英国、美国、澳大利亚与新西兰)政府对此抱有类似的态度。
考虑到这一重要的共通之处,其它合作伙伴所面临的大量与网络行动相关的问题与争议性因素也可能对加拿大政府的这项全新政策方针造成影响。最重要的是,C-59号法案囊括了最为核心的网络安全辩论与极具时代特征的问题。因此,此项法案草案不应仅仅被视为加拿大一国在网络政策层面的起点,而是拥有着更加深远的战略意义。
C-59号法案到底就网络空间作出了怎样的指导?
这份拟议法案(C-59号法案)所规定的重点网络行动包括计算机网络漏洞利用(简称CNE)、计算机网络攻击(简称CAN)以及防御性网络空间行动(简称DCO)。简要概括来讲,这些不同类别可以被归纳为对网络空间的间谍、破坏或者对自身网络空间的捍卫。需要强调的是,C-59法案的内容不仅包含这些条款,同时还对原本缺乏的另一大能力范畴作出了约定,即防御性网络空间行动领域的响应行动(简称DCO-RA)。
与美国的网络行动原则非常相似,DCO-RA还提到可针对大量主权网络或者任务基础设施实施攻击行动,从而破坏敌对方的持续访问、恶意活动或者破坏行为。尽管这样的表述从概念上看非常简单,但DCO-RA在实践当中仍存在严重争议,特别是考虑到其可能给第三方平民所带来的负面影响。
在国家或者联盟组织的网络行动当中,DCO-RA可能需要采取其它行动以配合并支持非网络作战。这些作战行动可能会对现有或者新发布的政府计划与监督手段构成复杂的审计挑战。着眼于过去,是否参与联合行动之间存在着明确的界定标准,但未来的网络行动则可能意味着加拿大也许需要采取其本希望避免的各类海外行动(例如避免承诺提供部队或者物资)。
虽然规范与参与规则(简称ROE)已经规定了网络行动当中对于获准行为的具体限制,但其附带效应仍然可能造成难于控制且意想不到的后续影响。具体来讲,防御性网络空间行为有可能面临敌对方因误解而造成其它影响或者意外后果的风险,也有可能在无意中造成紧张局势升级。
专家们经常强调称,网络空间属于一类攻击(进攻)难度低于防御难度的环境。
C-59号法案所赋予的新型网络攻击与漏洞利用权限必须同民众数据、网络与公共事业防御工作紧密协调。
网络风险管理与安全漏洞缓解优先级排序必须与各国防及情报机构进行联合规划及协调。关键信息基础设施网络安全目前由加拿大公共安全部、各省级政府当局以及私营企业主负责实现。如果能够将这两类角色联系起来,则应该能够显著强化加拿大政府对于网络风险管理以及附带效应的管理能力。但在C-59法案当中并没有就这一目标的具体实现途径作出明确描述。
也许法案建议的,建立新型审查机构NSIRA的方式能够提供一种公开对现有规划及协调方法进行讨论的可行渠道。然而,法案当中对此仅通过模糊的语言进行了描述,且几乎没有阐明NSIRA职权的具体起始作用范畴。
各职能实体——包括CSIS、RCMP、DND以及CSE——可能会参与到机构间开发任务的讨论与规划流程当中。NSIRA与新成立的议会监督委员将审查这些机制,同时敦促各方遵守立法要求及政策指导。
C-59法案这种不够明确的责任分配方式实际上并未引发明显争议。事实上,防备责任主要由加拿大国防部承担,CSE(即加拿大通讯安全机构)负责执行信号情报行动,从而支持各联盟成员国及加拿大自身的高优先级任务。
C-59号法案澄清并扩展了上述任务领域,并新增了两大职能角色:
主动防御-国外防御性网络行动(针对国外基础设施以应对数字化攻击);
国外主动网络行动(针对国外基础设施,旨在主动破坏各类指向加拿大或者其盟国的潜在威胁)。
然而,这项补充性条款也带来了新的难题,即如何解释具有冒犯性的防御性网络行动。
即使是经过精心策划的网络行动也会给各第三方带来风险。尽管能够在一定程度上对此类风险进行管理,但却无法完全消除。网络属于一类不对称领域,那些传统能力较为有限的势力方也有机会在网络空间挑战明显更为强大的对手。那么,对于一切威胁的早期发现意味着什么?
尽管参与五眼联盟等网络合作集团的各成员国彼此提供共通的威胁情报,但国家层面的威胁拦截行动仍然需要立足各国具体法律范围之内去执行。这意味着破坏隐私及公民自由的担忧需要被纳入到对国内外网络行动的风险管理要求中来。
而这种要求的存在意味着各国在应对网络威胁时往往承受着巨大压力。事实上,加强对网络活动的监控本身,也意味着给个人隐私带来更大风险。
提出建立网络行动协调体系
C-59号法案提出建立联合DND,即外交部长级网络行动协调体系,并将其视为未来网络行动管理工作的重要起点。立足于此,CSE与DND所制定的战略性政策与规划将交由议会进行监督,旨在分析其可能产生的各类最为严重的后续影响。法案要求各方向议会提供清算资料,帮助其以更为深入的方式了解各项其作为议会议员通常不会接触到的问题与信息。
加拿大设计的这一机制与其它五眼联盟成员国的监督委员会模式保持一致。各国立法监督机构之间的联络则有望建立起另一种额外的手段,用以加深各国在首脑与军方层面之外的合作框架。
C-59号法案的影响
加拿大对于网络能力以及任务要求采取更为透明的政策限制,这也正是该国政府在本项法案当中取得的最为显著的成就。其它西方国家在网络空间能力制度化方面的经验同样非常重要,包括制定国家战略、机构目标设计以及首脑级别监督机制等实施形式。各国与联盟成员间网络计划的相互作用则需要配合新的机制,从而确保不同行动间的交互能力与冲突解决能力。
另外,国家级监督工作也面临着五眼联盟各成员国间长久以来存在的防备与情报机构密切关联所带来的挑战。而这种联系往往不会成为议会审议工作中的主题。
C-59号法案只是这一冗长的制定与修订流程中的开场白,未来各国还需要投入更多时间与精力以加强对于网络行动以及相关情报活动的监督。
E安全推荐文章
官网:www.easyaq.com
2017年7月