第一资讯站
编者按:本文来自微信公众号志象网,作者张瀚丹,创业邦经授权转载。
一个多月前,印度库丹库拉姆核电站( Kudankulam)的一台管理电脑突然遭到恶意攻击。10月29日,各大新闻媒体公开披露该事件,印度安全人员对历史情况进行一些解释和说明,并且披露攻击来源已经获取核电厂内部域控级别的访问权限。
在轩然大波尚未平息之际,如今,印度正考虑建立一个全新的伞状组织,统一指挥各大网络防御机构,采取防范措施,应对实时网络威胁。
12月1日,负责为总理办公室(PMO)提供国家安全咨询的政府执行机构发布了一份文件,征求利益相关方对印度首个五年国家网络安全战略(National Cyber Security Strategy,2020)的意见。
高层消息人士告诉印度《经济时报》,印度计划建立一个类似于英国国家网络安全中心(National Cyber Security Centre,NCSC)的机构,为公共和私人部门提供建议和支持,来防范计算机安全威胁。
印度最高的网络安全办公室――国家安全委员会秘书处(the National Security Council Secretariat,NSCS)在11月底发布的一页文件中强调,在有组织的网络犯罪集团、技术冷战和日益增多的国家支持的网络攻击的威胁下,对现有框架进行修订刻不容缓。
考虑到印度政府正在向“数字印度计划”(Digital India initiative)转型,以及其他一些因素,NSCS表示,新的挑战会包括数据保护和隐私、执法、获取存储在海外的数据、滥用社交媒体平台,以及在网络犯罪和网络恐怖主义方面的国际合作。
这份文件没有透露细节,但是NSCS成立的一个特别工作组的政府高层消息人士指出,包括美国、英国、日本、新加坡和澳大利亚在内的主要国家,已全部将他们的网络安全机构并入到PMO或国家安全顾问(NSA)机构,而印度很可能会效仿这种做法。NSCS目前直接向印度国家安全顾问Ajit Doval汇报工作。
消息人士补充道,印度网络主管办公室正在考虑设立一个类似英国NCSC的机构。NCSC于2016年开始运营。据称,印度这个新的国家网络中心会纳入并取代CESG(政府通信总部的信息安全部门,该电子间谍机构类似于印度国家技术研究组织NTRO)。
据知情人士透露,印度如今也在寻找同步网络防御“协调”应对战略的方法。这份最新的文件出台之际,印度正雄心勃勃地希望成为一个价值上万亿美元的数字经济体。
网络安全的三大支柱
11月20日,印度外长苏杰生(Jaishankar,前印度驻华大使)在巴黎和平论坛上表示,印度对“数字印度”带来的机遇感到兴奋,但同时也担心来自网络空间的威胁。就在库丹库拉姆核电站遭到恶意软件攻击的几天后,部长的干预至关重要。
他表示,国家和非国家的参与者都在网络攻击中以关键基础设施为目标,这显然对国家、地区和全球安全构成了威胁。
9月份库丹库拉姆核电站的袭击敲响了警钟。敌人就在门口――这个信息非常明确。这个国家非常容易受到攻击,因为它缺乏强大而有效的网络防御机制。根据最新的NCSC文件,“现有的结构可能需要修改或更新”,以建立一个防御系统,阻止各民族国家对印度关键基础设施的网络攻击行为。
消息人士称,库丹库拉姆事件发生后,印度网络最高负责人潘特(Pant,中将,今年4月上任)接到指示,建立一个伞型组织,协调十多个网络机构的工作,来进行威胁评估、态势感知等工作,并计划预防行动和应对机制。潘特也是工作组的负责人。
知情人士补充道,他们的目标是把千头万绪整理好,作为2020和五年网络(安全)战略文件的一部分。预计该文件将于2020年1月发布,他们或许还会发起一个独立的网络防御机构。
一个英国高级委员会的发言人表示:“在2016年国家网络安全战略中,英国做出了一个重大战略决定,试图通过积极的网络防御计划来解决一些结构性问题。我们是世界上第一个尝试这样做的(国家),它减少了基本的、也是大规模的网络攻击造成的伤害。”
结果令人鼓舞。英国国家安全委员会发言人告诉《经济时报》,通过集中化,英国获益良多。“我们欢迎所有国家关注我们的项目,并与我们合作,以减少商业网络攻击的发生率。印度和其他投资于数字基础设施更新的大型经济体,尤其如此。”他补充道:“打击恶意攻击是民族国家的责任,志同道合的国家之间的合作伙伴关系,对于确保全球网络空间未来的完整和安全至关重要。”
据悉,该文件强调了网络安全的三大支柱:确保国家网络空间的安全,加强结构、人才、流程和能力,以及各种资源与合作的协同。
印度数据安全委员会的首席执行官Rama Vedashree表示:“政府正在进行极其广泛的磋商,这是值得欢迎的一大步。”
与那些在网络防御方面领先于印度的国家不同,目前,印度不同部门的安全机构独立工作,不受国家安全委员会的日常监督。在美国,几十年来,美国国家安全局的信息安全保障理事会(IAD)一直致力于保护政府的机密和敏感网络,甚至包括私营部门。美国最近还宣布成立一个网络防御理事会,将IAD纳入其中,以防止针对政府和国防工业基础设施的网络攻击,同时着眼于保护关键的私营部门系统。
与此同时,专家们认为,印度迫切需要一个“积极主动的安全和威胁智能”机构,因为在当今高度互联的人工智能和物联网世界,2013年的国家网络安全政策形同虚设,简直是多余的。In前总干事卡姆莱什?巴贾吉(Kamlesh Bajaj)在接受《经济时报》采访时表示:“这是行不通的。”
计算机应急响应小组(In)迄今未能识别主动威胁。专家指出,In所记录的事故,只是第三方检测到的漏洞的翻版。此外,他们补充道,尽管In与其他几个国家有合作关系,但它在提供可靠的网络攻击信息方面仍然做得不够。
文件说了什么?
大多数周五的下午,印度网络安全负责人的办公室都熙熙攘攘人满为患,挤满了行业和政府的利益相关者,他们涌入这个枢纽中心,集思广益,来制定印度首份国家安全战略文件。
熟悉该战略的消息人士表示,该文件一旦发布,会在征求利益相关方的意见后提交内阁审批。
以下是《网络安全战略2020草案》的要点:
-
记录网络防御机构在不同部门的工作,包括内政、外交、财务、电子和信息产业部。
-
加强邦政府在网络应变方面的作用。
-
网络空间的职能建设。
-
网络安全产品本地化。
-
制定可量化的参数来检查印度的网络安全。
-
加强首席信息安全官在机构内的角色,使公司更负责任。
-
加强网络审计。
在联合国国际电信联盟(ITU)的全球网络安全排名中,印度排在第47位。据国际电信联盟称,超过一半的国家没有正式的网络安全战略。
“在这个数字时代,信任就是一切。对于确保普遍、可信和公平的连接来说,网络安全是至关重要的。”ITU的企业通信部门负责人Monika Gehner称。
ASPI国际网络政策中心的分析师BartHogeveen表示,“制定国家网络安全战略已成为全球惯例和国际公认的准则。我想说的是,考虑到印度在该地区的角色,以及它是一个强大的网络强国,人们肯定会对印度有所期待。”
那么,新的网络安全战略是否会让即将修订的《信息技术法案(2000)》和2013年的《国家网络安全政策》变得多余?
最新的文件表明,网络安全战略将采取自上至下、积极主动的方式应对跨境和国内网络威胁。这份一页纸的文件提出,除了确认当前安全机构的漏洞外,还应加强公共部门和私营部门之间的合作。
随着政策的形成,该行业也有自己的担忧,并希望在拟议的战略中得到解决。根据美印商务委员会(USIBC)会长Nisha Biswal的说法,新战略必须确保网络政策不会成为贸易壁垒,同时促进部署一致的网络安全解决方案。美印商务委员会(USIBC)是美国商会所属的游说团体,已与超过50个政府接触,这些政府都与私营部门合作,调整了其网络政策。
IT风险评估和数字安全提供商LucideusTech的首席执行官和联合创始人Saket Modi表示,随着黑客技术日益成熟,高效的安全工具应该引起人们的注意,过去这些工具的缺乏曾经造成了巨大的商业损失。
底线
专家们表示,在印度公众强烈抗议政府监控的时候,新的战略文件应该尽量避免监控。
In前总干事卡姆莱什?巴贾吉(Kamlesh Bajaj)表示,印度应该像英国那样,建立一个无所不包的网络安全中心,开展主动协调和网络安全情报工作。他补充道,印度不应将“监控”作为其职能的一部分。在英国,当《调查权规范法案》(Regulation of investigation Powers Act, RIPA)出台时,它赋予了某些群体进行数字监控和获取个人或组织的数字通信信息的合法权利。
印度还没有一部个人数据保护法,在法案提交议会之前,即使是为了国家安全,对公民进行监控的激进立场也会是一个棘手的问题。尽管如此,该战略应以政府、行业和公众之间成功的安全伙伴关系为目标,以确保一个积极主动的网络事故响应机制。
另一方面,一个没有实施的失败战略,将使这个国度在网络防御方面倒退10年。在印度迅速成为国家和非国家支持的攻击者的温床之际,网络安全方面出现的任何失误,都将是它不能承受之重。
