第四章 美國防治網路恐怖主義政策
第一節 911 事件之前的防治政策
第二章曾經提到,諸多專家學者皆認為「Cyberterrorism」一詞是由 Barry Collin 在 1980 年代率先提出,用以指涉網路空間與恐怖主義之結合。2而在大眾 文化方面,1983 年,一部名為「WarGames」的好萊塢電影,描述一名年輕駭客 入侵美國國防體系,幾乎引發第三次世界大戰的過程。3這部電影不僅讓美國民
奧克拉荷馬市聯邦大樓(Alfred P. Murrah Federal Building, Oklahoma City)亦發 生爆炸案。這兩起重大事件,不但粉碎了美國人民對於本土從未爆發重大恐怖攻 擊事件的充分安全感,亦迫使美國政府開始注意國內的恐怖主義問題。6
此後,美國政府對於防治網路恐怖主義及保護關鍵基礎設施,共有以下四項 重要政策:
1. 第 39 號總統決策指令(President Decision Directives 39, PDD-39, 1995); 2. 第 13010 號行政命令(Executive Order 13010, EO 13010, 1996);
2 例如:Dorothy E. Denning, “Activism, Hacktivism, and Cyberterrorism: The Internet as a Tool for Influencing Foreign Policy,” op. cit., p. 281; Niranjan Dass, op. cit., p. 159; Maura Conway,
“Cyberterrorism and Terrorist ‘Use’ of the Internet,” op. cit.
3 關於電影之介紹,可參考:“WarGames,” <http://www.imdb.com/title/tt0086567/>(Retrieved on June 17, 2012).
4 Chad Parks, “Cyber Terrorism: Hype or Reality?” The Journal of Corporate Accounting & Finance, Vol. 14, No. 5 (July/August 2003), p. 9.
5 例如:美國駐黎巴嫩(Lebanon)大使館遭汽車炸彈攻擊(1983 年 4 月 18 日);美國駐黎巴嫩
軍事基地遭卡車炸彈攻擊(1983 年 10 月 23 日)等。
6 李明峻,「美國國土安全部的設置與功能」,收於邱稔壤主編,《國際反恐與亞太情勢》(臺北:
國立政治大學國際關係研究中心,2004),頁 252。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
89
3. 第 62 號總統決策指令(President Decision Directives 62, PDD-62, 1998); 4. 第 63 號總統決策指令(President Decision Directives 63, PDD-63, 1998)。 以下依序對於這幾項重要政策進行整理及分析,觀察美國政府在防治網路恐 怖主義政策初期階段之發展脈絡。
壹、第 39 號總統決策指令(PDD-39)
1995 年 6 月,柯林頓政府簽署並頒布「第 39 號總統決策指令」(以下簡稱 PDD-39),宣示美國將竭力消除國內外的恐怖主義威脅,阻止恐怖主義活動。
PDD-39 不僅正式將美國本土納入反恐政策的範圍,同時亦重視境內恐怖主義之 活動。7
將1993 年及 1995 年發生的兩起恐怖攻擊事件,與 PDD-39 之內容相互對照 可知,這兩起爆炸案所造成的嚴重傷亡和損失,不僅讓美國政府開始重視本土的 恐怖主義威脅,也由於這兩起事件皆以炸彈做為攻擊手段,加上當時美國國內關 鍵基礎設施尚未高度依賴網路科技,因此PDD-39 在針對恐怖主義的相關描述之 中,並未提及「電腦系統」或「網路攻擊威脅」等概念,其重點仍偏向於降低傳 統恐怖主義之威脅。換言之,美國政府在當時較著重於降低關鍵基礎設施面對實 體攻擊的脆弱性,在針對關鍵基礎設施之保護措施方面,僅要求司法部長組成內 閣委員會(Cabinet Committee),評估政府機關與關鍵基礎設施面對傳統恐怖主 義攻擊的脆弱性,並向總統、內閣成員與相關的聯邦部門首長提供政策建議。8
貮、第 13010 號行政命令(EO 13010)
1996 年 7 月,「第 13010 號行政命令」(以下簡稱EO 13010)正式頒布。EO 13010 說明,關鍵基礎設施包括通訊、電力系統、石油和天然氣的儲存與運輸、
7 “President Decision Directives 39: U.S. Policy on Counterterrorism,” <http://www.fas.org/irp/
offdocs/pdd39.htm>(Retrieved on June 17, 2012).
8 Ibid.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
90
銀行與金融業、交通運輸、供水系統、緊急救護部門,以及政府部門的持續運作 等。關鍵基礎設施面對的威脅來自兩個領域:實體威脅(physical threats)與網 路威脅(cyber threats)。由於許多關鍵基礎設施是由民間企業負責管理及營運,
美國政府有必要與這些私部門合作,發展出保護關鍵基礎設施的戰略,以保證它 們的持續運作。因此,柯林頓總統下令組成「總統關鍵基礎設施保護委員會」
(President's Commission on Critical Infrastructure Protection, PCCIP),其成員來自 財政部、司法部、國防部、商務部、運輸部、能源部、聯邦緊急事務管理部(Federal Emergency Management Agency, FEMA)、中央情報局、聯邦調查局及國家安全局 等聯邦機構,專責研擬國內關鍵基礎設施保護計劃,並且評估關鍵基礎設施所面 臨之威脅與範圍,提出相關政策建議等等。9
相較於 PDD-39 較偏重防範針對關鍵基礎設施之實體攻擊,EO 13010 則進 一步對於「關鍵基礎設施」所涵蓋的範圍提出明確的界定,同時提出,關鍵基礎 設施所面臨的威脅不僅可能來自實體攻擊,亦可能來自虛擬的網路世界。由此可 見,當時的關鍵基礎設施已逐漸運用網路科技進行營運及管理,亦使得美國政府 開始注意到網路攻擊對於關鍵基礎設施造成威脅的可能性。不僅如此,由於大部 分的關鍵基礎設施皆為民營,美國政府也開始重視公私部門之間的協調與合作,
要求政府官員與民間企業共同研究及發展相關策略,以積極提供關鍵基礎設施周 全的保護。
參、第 62 號總統決策指令(PDD-62)
1998 年 5 月,柯林頓總統再頒布「第 62 及 63 號總統決策指令」(以下簡稱 PDD-62 及 PDD-63)。其中 PDD-62 顯示出,美國政府已意識到國內關鍵基礎設 施對於電腦設備的高度依賴性,並且認為,科技知識的傳播使得恐怖份子所能擁 有的破壞力量已非昔日可比擬,他們可能會以先進的電腦科技攻擊關鍵基礎設
9 “Executive Order 13010, EO 13010: Critical Infrastructure Protection, July 15, 1996,” <http://
www.fas.org/irp/offdocs/eo13010.htm>(Retrieved on June 17, 2012).
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
91
施。因此,白宮(White House)在其「國家安全會議」(National Security Council, NSC)之下,成立「國家安全、基礎設施保護暨反恐協調辦公室」(Office of the National Coordinator for Security, Infrastructure Protection and Counter-Terrorism),以負責協調與督導各項反恐政策,並且向總統呈交年度安全 防務報告。10
另一方面,在「總統關鍵基礎設施保護員會」(PCCIP)的建議之下,柯林 頓總統隨後亦簽署並頒布「第63 號總統決策指令」。
肆、第 63 號總統決策指令(PDD-63)
隨著關鍵基礎設施逐漸依賴網際網路的趨勢,PDD-63 將關鍵基礎設施的定 義修正為「維持經濟及政府最低限度運作所必須之各種實體與『基於網路的系統』
(cyber-based systems)」,並且將針對關鍵基礎設施的各種非傳統攻擊方式,包 括來自網際網路的攻擊等,列為必須消除之重大威脅。同時,PDD-63 擴大聯邦 調查局內部「國家關鍵基礎設施保護中心」(National Infrastructure Protection Center, NIPC)之職權,指定該中心負責對於關鍵基礎設施所面對之各種威脅,
進行評估、預警、執法及調查等相關工作,並且扮演協調機制的核心角色,維持 與公私部門之間相關資訊的流通和共享。11
檢視PDD-62 與 PDD-63 之內容,美國政府此時更加強調關鍵基礎設施逐漸 依賴電腦設備及網路科技之趨勢,以及恐怖份子可能會以先進技術發動網路攻擊 的潛在威脅,並且將各種「基於網路的系統」納入關鍵基礎設施的範疇之內,以 防範各種形式的「非傳統攻擊」。針對各類型關鍵基礎設施保護工作的權責範圍,
PDD-63 指派數個聯邦單位做為領導部門,各自統籌相關的保護工作,參閱表 4-1:
10 “President Decision Directives 62: Combating Terrorism,” <http://www.fas.org/irp/offdocs/
pdd-62.htm>(Retrieved on June 17, 2012).
11 “President Decision Directives 63: Critical Infrastructure Protection,” <http://www.fas.org/irp/
offdocs/pdd/pdd-63.htm>(Retrieved on June 17, 2012).
‧
資 料 來 源 :“President Decision Directives 63: Critical Infrastructure Protection,” <http://www.fas.org/irp/offdocs/pdd/pdd-63.htm>(Retrieved on June 17, 2012).
12 “President Decision Directives 63: Critical Infrastructure Protection,” <http://www.fas.org/irp/
offdocs/pdd/pdd-63.htm>(Retrieved on June 17, 2012).
‧
毀滅性武器(weapons of mass destruction, WMD)發動恐怖攻擊之情況,進行相 應的組織改造工作,將其「行政管理處」(Directorate of Administration)重新規 劃,並且分為:資訊科技(information technology)、財務(finance)、安全(security)、 全球支援(global support)及人力資源(human resources)等五個單位,以強化 其對於情報分析、情報運用及科技研發等情蒐與支援能力。13此外,為了有效保護國內關鍵基礎設施,PDD-63 延續 EO 13010 強調「必 須加強公私部門之間的緊密合作關係」之政策思維,計劃組成一個由各級政府官 員與關鍵基礎設施營運公司代表組成的「國家基礎設施保護會議」(National Infrastructure Assurance Council, NIAC),不僅定期召開會議,並要求該會議在 2003 年以前制訂出全面性的「國家基礎設施保障計劃」(National Infrastructure Assurance Plan, NIAP)。14不久之後,此計劃之名稱重新修正為「國家基礎設施 保護計劃」(National Infrastructure Protection Plan, NIPP)。15
除了「國家基礎設施保護計劃」以外,為達成防範網路攻擊的政策目標,
PDD-63 也催生了數個相關計劃與報告。例如 2000 年 1 月由白宮提出的「保衛美 國網路空間:保護資訊系統之國家計劃」(Defending America's Cyberspace:
National Plan for Information Systems Protection),不僅分析國內關鍵基礎設施所 面臨之威脅,確立計劃之目標與範圍,也調整或制訂民間及國防部門之關鍵基礎 設施保護計劃;16又如在邁入新世紀之際,2001 年 1 月,柯林頓總統於卸任之前 發表「聯邦關鍵基礎設施保護活動情形之報告」(Report of the President of the United States on the Status of Federal Critical Infrastructure Protection Activities),概 括描述美國政府當時保護關鍵基礎設施的政策執行、人員教育訓練和相關科技研
13 李明峻,頁 258。
14 “President Decision Directives 63: Critical Infrastructure Protection,” <http://www.fas.org/irp/
offdocs/pdd/pdd-63.htm>(Retrieved on June 17, 2012).
15 Shawn Vandiver, “Critical Infrastructure is Society's Glue,” <http://www.abchs.com/ihs/
WINTER2010/ihs_articles_column.php>(Retrieved on June 20, 2012).
16 請參見:“Defending America's Cyberspace: National Plan for Information Systems Protection, Version 1.0,” <http://www.fas.org/irp/offdocs/pdd/CIP-plan.pdf>(Retrieved on June 19, 2012).
‧
「cyber-terrorism」在內,以「cyber」為字首的詞彙出現頻率已逐漸上升。18如此 的轉變過程,顯示出網路科技在短短數年之間的快速發展,以及關鍵基礎設施對
17 請參見:“Report of the President of the United States on the Status of Federal Critical Infrastructure Protection Activities,” <http://www.fas.org/irp/offdocs/pdd/CIP_2001_CongRept.pdf>(Retrieved on June 19, 2012).
18 例如在「保衛美國網路空間:保護資訊系統之國家計劃」中,計劃名稱便使用「Cyberspace」
一詞,其內容亦多次使用「cyber」與「cyberspace」等詞彙;又如「聯邦關鍵基礎設施保護活動 情形之報告」,在這份報告當中,則可看到「hacker」、「cyber-terrorist groups」及「cyber-terrorism」
等字眼,請參見:“Defending America's Cyberspace: National Plan for Information Systems Protection, Version 1.0,” < http://www.fas.org/irp/offdocs/pdd/CIP-plan.pdf > (Retrieved on June 19, 2012);
“Report of the President of the United States on the Status of Federal Critical Infrastructure Protection Activities,” <http://www.fas.org/irp/offdocs/pdd/CIP_2001_CongRept.pdf>(Retrieved on June 19, 2012).
19 Eliot E. Schmidt, “The Evolution of U.S. Policies against Terrorism,” p. 5, <http://www.
thepresidency.org/storage/documents/Fellows2008/Schmidt.pdf>(Retrieved on June 20, 2012).