C-59法案,即加拿大2017國家安全法案,描繪了加拿大國家安全新愿景。從該“反恐”法案的字里行間,可以清晰感受到加拿大意圖徹底重塑決策機制,強化對反恐、監視和網絡空間行動的監督與部長級控制。
雖然新措施明白展示了加政府反恐工作走向,法案本身卻揭示了其他一些更為有趣的東西。
對網蟲而言,特魯多政府決定澄清和修訂其在網絡行動方面的政策展望,才是最本質和重要的。該決策對加拿大和北約網絡空間行動戰略和力量部署,有著深遠而持久的影響。該提案的細節可能仍需修訂,但大方針上轉向更為公開的網絡防御計劃與考慮,則與其他五眼聯盟(英國、美國、澳大利亞和新西蘭)的類似部署相一致。
由于這重要的相似性,導致這些同盟伙伴面對網絡行動爭議的相同問題與因素,同樣會影響到加拿大的新政策方針。最重要的是,C-59囊括了我們這個時代最相關的網絡爭論和問題。因此,該法案不應僅僅被認為是協調加拿大網絡政策的開始。
C-59到底對網絡規定了什么?
C-59提案中定義的網絡行動,包含了計算機網絡漏洞利用(CNE)、計算機網絡攻擊(CNA)和防御性網絡空間行動(DCO)。說白了,這些不同類型的行動,可被認為是偵察、破壞或防御各自的網絡空間。C-59中最值得注意的,不是包含了這些能力,而是另一種能力領域的缺失——防御性網絡空間行動-應對措施(DCO-RA)。
作為美國網絡行動學說中濃墨重彩的一筆,DCO-RA相當于對主權網絡或目標基礎設施采取的攻擊行動,目的是對抗敵手的持續訪問、動作或破壞性行為。雖然紙面上看起來相當簡單,實際操作中的DCO-RA卻是頗具爭議的——因為可能會對民間第三方產生影響。
在國家或聯合網絡行動中,DCO-RA也需要在外國領土行動以支持非網絡活動。此類活動很可能給現有或新的政府計劃及監督策略,構成復雜的監管問題。在過去,參與還是不參與聯合行動,是有明確定義的界限的;將來的網絡行動,則可能令加拿大牽涉進其想要避免的海外行動中(比如,避免承諾兵員或物資支持)。
盡管有規范和交戰規則設定網絡行動可行的動作界限,附帶效應也會使控制非預期影響變得很難。防御性網絡空間行動也有意外升級的風險——如果對手錯誤理解了其影響,或出現其他任何預料之外的后果和影響。
進攻,統治,網絡防御
專家常斷言,網絡空間是個攻擊比防御更容易的領域。C-59為網絡攻擊和漏洞利用配置的新能量,就是必須密切配合對民用數據、網絡及提供關鍵服務的公共事業的防御。
網絡風險管理和漏洞緩解優先事項,必須與國防和情報計劃相協調。關鍵基礎設施網絡安全,目前是加拿大公共安全部、各省級機關和私營企業主的責任。統合這兩項職能,會給加拿大政府現有的網絡風險及附帶效應管理機制帶來壓力。C-59提案中并未很好地闡述出該如何達到這一點。
或許,該法案提出的新審查機構——NSIRA,可以提供公開討論渠道,探討關于現行規劃和協調方法的有效性。但從法案模糊的語言中,難以看出NSIRA的工作范圍。
已有機構——加拿大安全情報局(CSIS)、 加拿大皇家騎警隊(RCMP)、加拿大國防部(DND)和加拿大通信安全局(CSE),在任務部署時可能參與機構間討論與規劃過程。NSIRA和新生的議會監管委員會,將有機會審查這些機制,監督立法與政策指導合規。
謹慎行事
C-59分配責任的方式不是特別有爭議——雖然也不總是那么清楚。國防責任落在國防部頭上,通信安全局執行信號情報行動,支持加拿大和盟國重要行動。
C-59澄清并擴展了這些任務領域,引入2種新角色:主動防御-國外防御性網絡行動(對外國基礎設施進行數字攻擊響應),以及國外主動網絡行動(主動破壞對加拿大或其盟國有潛在威脅的外國基礎設施)。新增角色,觸發了可被解讀為攻擊性質的防御性行動問題。
不確定性,風險,監管
即便計劃良好的網絡行動,也會給第三方帶來風險。風險可控,但絕不會被完全清除。網絡是個非對稱空間,能力弱小的實體也可以挑戰明顯強大的對手。這對早期威脅檢測意味著什么呢?
盡管五眼聯盟之類網絡聯盟的參與,提供了有關常見威脅的情報,但國家層面上對這些威脅的禁止,也必須在國家法律范圍內執行。隱私和公民權利的顧慮,與網絡行動的風險管理需求相重疊——無論國內還是國外。
該明顯的重疊,可導致在響應網絡威脅時反應過度。增強網絡監視以檢測威脅,必然意味著對個人隱私造成更大風險。
C-59提出的聯合國防部——網絡行動外交部長級合作,是監管網絡行動未來發展的一個重要門檻。在這里,議會對CSE和DND制定出的戰略政策和計劃的監督,才會產生其最重要的影響。向議員們提供明確的信息,使他們能更深入地了解通常不會向議會成員分享的問題,是十分關鍵的。
加拿大設計的這套機制,緊跟其他五眼聯盟采納的監管委員會模式。立法監督機構間的聯絡,可提供另外的途徑來深化合作框架,跳出普通的行政對行政和軍事對軍事渠道。
啟示
加拿大對其網絡能力和任務要求更為透明的政策,是該法案中特魯多政府取得的最顯要成就。同樣重要的,是遵循相同途徑達成制度化網絡空間能力的其他西方國家的經驗,這些國家的制度化網絡空間能力以國家戰略、專門任務機構和領導層監管機制的形式呈現。國家和聯盟網絡計劃的相互作用,需要先進的機制來確保互操作性和行動沖突的消解。
另外,國家層面的監管,將受到五眼聯盟國防和情報機構之間長期親密關系的挑戰,這些機構不常成為細粒度議會審查的對象。C-59法案,可能只是更長期的制定和修訂過程的開端,最終是要加強政府對網絡行動和相關情報活動的監督。
京公網安備 11010502049343號