在內部平衡方面,川普政府的作為可大致劃分為兩項,第一是從根 本上鞏固美國的網路科技實力與資安防護水準,第二是試圖發展強大 攻防能力及採用更具攻勢(Offensive)意涵的防務思維。
(一)鞏固基礎實力
過往數十年間引領全球資訊革命浪潮的美國,憑藉著突出的技術 優勢和產業格局,在國際網路政治及數位經濟中長期占據主導地位。
面對部分強權國家近年急起直追的態勢,川普政府認為美國必須穩固 自身的基礎實力,例如提升行政效率和研發創新能量,以及加速完善 國內網路系統的硬體建置和資安防護等。
對此,川普政府首先著眼於聯邦政府部門間的職掌調整,透過縱 向與橫向的事權統合改進治理效能。從近年發表的政策文件及〈2019 財年預算案〉(Fiscal Year 2019 Budget Proposal)中涉及網路事務的 資源配置來看,國土安全部及其下設的網路安全與基礎安全署(Cyber-security and Infrastructure Security Agency,CISA)將在國內網路治 理方面扮演重要角色,和國防部分別主導資安監管及戰力建設工作。50
Phil Goldstein, “Cybersecurity Funding Would Jump in Trump’s 2019 Budget,” February 15, 2018, FedTech, <https://fedtechmagazine.com/ar-ticle/2018/02/cybersecurity-funding-would-jump-trumps-2019-budget>; U.S.
Office of Management and Budget, “Budget of the United States, Fiscal
由國土安全部負責的「持續診斷與緩和計畫」(Continuous Diagnostics and Mitigation, CDM),更已成為改善政府網路系統防護能力的重點施 政項目。51而各部門設置的首席資訊官(Chief Informational Officer, CIO)將被賦予更多權責,在行政管理與預算局和聯邦首席資訊官辦公 室(Office of Chief Information Officer, OCIO)協調下,制訂跨單位 的資訊產品採購標準、危機應變流程及資安風險問責制度。52
為促進技術交流並提升創新能量,川普政府試圖擴大與民間部門 合作,規畫以政策手段引導企業投入具戰略前瞻性的事業領域如資安 技術、雲端運算、人工智慧(Artificial Intelligence, AI)及量子計算(Quan-tum Computation)等,利用專案採購及策略性投資等方式支持民間研發 工作並優先收穫創新成果。53聯邦政府也將自基礎教育階段起,配合
「科學、科技、工程和數學教育計畫」(Science, Technology, Engin-eering, and Math, STEM)推展,逐步加強資訊教學以培育人力資源,
並在產官學界間建立暢通的人事流動渠道,使高階人才的價值得到充 分運用。54
Year 2019: Efficient, Effective, Accountable - An American Budget,”
February 1, 2018, The White House, <https://www.whitehouse.gov/wp-content/uploads/2018/02/budget-fy2019.pdf>.
有關該計畫的詳細內容,請見 Cybersecurity and Infrastructure Security Agency, “Continuous Diagnostics and Mitigation,” December 25, 2019 (Accessed), U.S. Department of Homeland Security, <https://www.us-cert.
gov/cdm/home>。
U.S. Office of Management and Budget, Federal Cybersecurity Risk Determination Report and Action Plan, pp. 6-18.
Executive Office of the President of the United States, Science & Technology Highlights in the Second Year of the Trump Administration (Washington, D.C.: Executive Office of the President of the United States, 2019), pp. 2-18.
The White House, “Presidential Memorandum for the Secretary of Education,”
September 25, 2017, The White House,
<https://www.whitehouse.gov/presidential-在硬體建設部分,川普政府認為美國的資訊基礎設施布建受到地 理位置和區域產業結構差異等因素影響而存在顯著落差,導致網路科 技在國內社會的應用潛力未能充分發揮。為此,川普總統於 2018 年 1 月簽發的〈第 13821 號行政命令〉(Executive Order 13821)中要求有 關部門簡化行政流程,全面加速農業地區寬頻網路鋪設,在國內建立 綿密、穩定且價格合宜的網路服務環境,以支持經濟發展並滿足民生 需求。55
另一方面,川普總統在〈第 13800 號行政命令〉(Executive Order 13800)中責成聯邦政府部門盡速汰換過時資訊產品,依據 2013 年公布 的〈第 21 號總統政策指令〉(Presidential Policy Directive 21, PPD21),
逐一評估關鍵設施的資安風險並加以修補。56考量到政府機構與民間企 業互動密切,相關政策文件同時指示各部門重新審視資訊供應鏈和承 包商的資安水準,篩選出存在安全漏洞的企業及產品並排除在未來合 作範圍之外。57各部門也應加強與資安企業合作,持續導入先進技術以
actions/presidential-memorandum-secretary-education/>; U.S. Department of Commerce & U.S. Department of Homeland Security, A Report to the President on Supporting the Growth and Sustainment of the Nation’s Cybersecurity Workforce, pp. 35-47.
The White House, “Presidential Executive Order on Streamlining and Expediting Requests to Locate Broadband Facilities in Rural America,”
January 8, 2018, The White House, <https://www.whitehouse.gov/presidential- actions/presidential-executive-order-streamlining-expediting-requests-locate-broadband-facilities-rural-america/>.
The White House, “Presidential Executive Order on Strengthening the Cy-bersecurity of Federal Networks and Critical Infrastructure,” May 11, 2017, The White House, <https://www.whitehouse.gov/presidential-actions/presidential- executive-order-strengthening-cybersecurity-federal-networks-critical-infra-structure/>.
U.S. Department of Commerce & U.S. Department of Homeland Security,
確保網路系統的防護力,並運用黑客松(Hackathon)及漏洞回報獎勵機 制(Bug Bounty),藉助民間力量即時掌握並修復隱藏的系統缺陷。58 (二)發展安全能力
鑑於當前美國政經體系與社會大眾對網路科技的高度依賴,以及 外部網路威脅持續增生等情勢,川普政府認為網路安全已不僅是資訊 技術領域的專業課題,更是國家安全的核心組成部分,美國應全面強 化網路防務體系,建構充足的安全能力並善加運用。
川普政府就任後將網路司令部(Cyber Command)升格為聯合作戰 司令部(Unified Combatant Command, UCC),輔以持續改良的戰力部 署設計與動態任務編組精進網路部隊作戰技能。59美國國防部則規畫在 開發網路武器的過程中擴大導入商用現貨軟體(Commercial Off-The-Shelf, COTS)以加速軍備更新速度。60而自 2006 年起每兩年舉行一次 的「網路風暴」演習(Cyber Storm Exercise)規模亦有所擴增,2018 年 4 月啟動的第六屆演習邀請了關鍵基礎設施的生產營運廠商,以及參與 投票系統監管作業的七個州加入,61與聯邦政府共同模擬網路系統遭受
A Report to the President on Enhancing the Resilience of the Internet and Communications Ecosystem Against Botnets and Other Automated, Distributed Threats, pp. 39-49.
Ben Haseltine, “Pentagon’s Bug Bounty Program Identifies Defense Travel System Vulnerabilities,” June 5, 2018, GovernmentCIO Media & Research,
<https://www.governmentciomedia.com/pentagons-bug-bounty-program-iden-tifies-defense-travel-system-vulnerabilities-0>.
U.S. Cyber Command, Achieve and Maintain Cyberspace Superiority (Fort Meade: U.S. Cyber Command, 2018), pp. 6-10; Katie Lange, “Cybercom Becomes DoD’s 10th Unified Combatant Command,” May 3, 2018, DoD Live, <http://www.dodlive.mil/2018/05/03/cybercom-to-become-dods-10th-unified-combatant-command/>.
U.S. Department of Defense, Summary of the 2018 Department of Defense Cyber Strategy, p. 4.
攻擊時的跨單位應變流程,以加強關鍵基礎設施和國內選務工作的資 安防護。62
在防務建設工作外,川普政府的高階官員如時任國家安全顧問波 頓(John R. Bolton)、國家安全局長兼網路司令部司令官中曾根(Paul M. Nakasone)等人,皆批評美國過去的網路防務思維過於保守,導致 競爭對手認為對美國發起網路攻擊不會招致嚴重後果。63為改變這一情 形,川普總統於 2018 年 8 月時簽署命令,正式推翻歐巴馬政府頒布的
〈第 20 號總統政策指令〉(Presidential Policy Directive 20, PPD20)。
該指令對網路戰力的使用施以嚴格限制,要求防務部門發起網路軍事 行動前,須通過跨部門審核並獲總統批准。64川普政府認為其對網路防 務構成不必要的束縛,故以〈第 13 號國家安全總統備忘錄〉(National Security Presidential Memorandum 13, NSPM 13)替代,大幅簡化採
分別為:德州、科羅拉多州、德拉瓦州、愛荷華州、維吉尼亞州、華盛頓州 及蒙大拿州,請見 Sean Lyngaas, “DHS ‘Cyber Storm’ Exercise Tests Manu-facturing and Transportation Sectors,” Cyberscoop, April 10, 2018, <https://
www.cyberscoop.com/dhs-cyber-storm-jeanette-manfra-critical-infrastructure/>.
關於演習活動詳細資訊,請見 U.S. Department of Homeland Security, “Cyber Storm VI: National Cyber Exercise,” December 25, 2019(Accessed), U.S.
Department of Homeland Security, <https://www.dhs.gov/cisa/cyber-storm-vi>.
U.S. Senate Committee on Armed Services, “Nominations – Nakasone-Park-White,” U.S. Senate Committee on Armed Services, March 1, 2018,
<https://www.armed-services.senate.gov/hearings/18-03-01-nominations_--na-kasone---park---white>; Jeff Seldin, “US Prepared to Strike in Cyberspace,”
Voice of America, September 20, 2018, <https://www.voanews.com/usa/us-politics/us-prepared-strike-cyberspace>.
Sean Lyngaas, “PPD-20 Elimination Opens Arguments over How U.S.
Should Conduct Offensive Hacking Operations,” August 16, 2018, Cyberscoop,
<https://www.cyberscoop.com/ppd-20-eliminated-cyber-war-donald-trump-mike-rounds/>.
取網路行動的行政程序,賦予國防部更多自主空間。65美國新任國防部 長艾思博(Mark T. Esper)論及此事時指出,授權流程的精簡將使美國 的網路戰力得以充分發揮,有效嚇阻並反制外部威脅。66
伴隨行政管制放寬,美國國防部在 2011 年版網路戰略報告中提出 的「積極性網路防禦」(Active Cyber Defense)概念似乎也被 2018 年 版報告中的「防禦推進」概念取代。67和著重察覺並消除威脅的前者相 比,「防禦推進」更強調在危害成形前主動出擊以預先解除風險。68由 近期時事動向來看,這一概念可能已得到具體落實。例如在 2019 年 6 月時,美國媒體《紐約時報》(The New York Times)報導美國已在俄 羅斯的電力網路系統中植入惡意程式,作為必要時進行網路攻防的籌 碼。69同月下旬,多家美國媒體引述政府消息來源,指出川普總統已批 准對多次向美國發起網路惡意活動並擊落美軍無人機的伊朗採取網路 攻擊,並一度癱瘓該國計畫用於油輪攻擊行動的電腦系統。70
Sydney J. Freedberg Jr., “Trump Eases Cyber Ops, But Safeguards Remain:
Joint Staff,” Breaking Defense, September 17, 2018, <https://breakingdefense.
com/2018/09/trump-eases-cyber-ops-but-safeguards-remain-joint-staff/>.
Mark Pomerleau, “What Good are ‘Exceptional’ Cyber Capabilities without Authority?” Fifth Domain, July 16, 2019, <https://www.fifthdomain.com/
dod/2019/07/16/what-good-are-exceptional-cyber-capabilities-without-authority/>.
U.S. Department of Defense, Department of Defense Cyberspace Policy Report (Washington, D.C.: U.S. Department of Defense, 2011), p. 1.
U.S. Department of Defense, Summary of the 2018 Department of Defense Cyber Strategy, p. 4.
David E. Sanger & Nicole Perlroth, “U.S. Escalates Online Attacks on Russia’s Power Grid,” The New York Times, June 15, 2019, <https://www.
nytimes.com/2019/06/15/us/politics/trump-cyber-russia-grid.html>.
Ellen Nakashima, “Trump Approved Cyber-Strikes Against Iranian Computer Database Used to Plan Attacks on Oil Tankers,” The Washington Post, June 23, 2019,
<https://www.washingtonpost.com/world/national-security/with-另一方面,川普政府認為有必要在網路防務體系外進一步運用其 他政策領域資源,發展更廣泛的嚇阻戰略(Broader Deterrence Strat-egy),諸如經濟制裁、行政管制或司法控訴等手段都可應用,藉以形塑 周延的嚇阻效力。71循此,川普政府近年在完善國家網路戰略,強化網 路防務建設之外,針對網路犯罪案件的司法偵辦步調亦越趨積極:第 一,美國司法部在 2017 年後,陸續偵辦並起訴多起涉及網路間諜及非 法數位入侵的案件,其中部分案件起訴人數甚眾且對象包含了中國與 俄羅斯等國家的現任情報官員;第二,美國國務卿蓬佩奧(Michael R.
Pompeo)與聯邦調查局局長瑞伊(Christopher A. Wray)等高階首長,在 部分司法案件中親自站上第一線,發表聲明譴責外國勢力對美國網路 安全造成的嚴重危害;第三,縱使將對美中關係造成衝擊,川普政府 仍透過司法途徑查辦起訴了華為公司這一頗具代表性的中國資訊企 業。相關跡象顯示,司法部門在美國目前的國家網路戰略架構中,扮 演著頗具重要性的角色,兼有嚇阻與反制網路威脅的功能(相關事例 請見表 3)。
trumps-approval-pentagon-launched-cyber-strikes-against-iran/2019/06/22/
250d3740-950d-11e9-b570-6416efdc0803_story.html>.
The White House, National Cyber Strategy, pp. 8-11.
表3 美國近期起訴網路犯罪活動事例一覽
時 間 說 明
2017 年 3 月
美國司法部以涉嫌非法入侵雅虎公司(Yahoo! Inc.)網路系統為由,起訴四名俄羅
美國司法部以涉嫌非法入侵雅虎公司(Yahoo! Inc.)網路系統為由,起訴四名俄羅