第二章 網路恐怖主義之界定
第三節 愛沙尼亞遭受網路攻擊案例(2007 年 4 月)
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
49
此外,一旦發生網路恐怖主義攻擊,可能導致的災情為何?由於全球尚未出 現網路恐怖主義攻擊之真實案例可供參考,下一節將以2007 年 4 月愛沙尼亞境 內發生之大規模網路攻擊事件,做為類似案例。經由整理該事件的來龍去脈及後 續效應,評估網路恐怖主義攻擊對於國家及社會大眾的衝擊層面和影響範圍,以 及政府應如何以之為借鏡,徹底防範網路恐怖主義攻擊。
第三節 愛沙尼亞遭受網路攻擊案例
(2007 年 4 月)
不論是由於恐怖份子的能力或意願尚且不足,或者是世界各國政府在反制網 路恐怖主義工作上的成果相當顯著等因素使然,到目前為止,國際社會尚未傳出 過重大的網路恐怖主義攻擊事件。然而,近似於網路恐怖主義攻擊的案例,即使 嚴重程度不一,卻始終層出不窮。許多文獻資料皆以2007 年 4 月愛沙尼亞遭受 大規模網路攻擊事件,以及2008 年 8 月俄羅斯與喬治亞共和國之間的衝突所引 發之網路戰爭,作為相關案例研究之背景。由於俄喬衝突屬於網路戰爭之範疇,
本論文選擇愛沙尼亞爆發大規模網路攻擊事件做為個案研究對象,討論該事件是 否屬於網路恐怖主義,以及對於國家處理網路攻擊之威脅有何啟發。
壹、事件背景
愛沙尼亞為波羅的海(Baltic Sea)三小國之一,由於其地理位置,該地區在 歷史上始終受到鄰近強國勢力之影響,歷經丹麥、日耳曼人、波蘭及俄國等列強 統治,於1918 年首次獨立。1939 年《德蘇互不侵犯條約》簽訂,愛沙尼亞被劃 入蘇聯勢力範圍,不久之後被迫成為其加盟國。自1991 年 8 月正式脫離蘇聯獨 立之後,成立民主體制之共和國,改採自由市場經濟,以電子科技及資訊工業為 國家發展重點。據美國國務院(Department of State)之統計,2010 年愛沙尼亞
‧
易組織(World Trade Organization, WTO),2004 年 5 月加入歐盟(European Union, EU),2000 年至 2007 年間,該國年平均經濟成長率為 8%。59自1991 年獨立之後,愛沙尼亞跳過有線傳輸技術,直接朝向無線通訊領域 迅速發展,其國內通訊科技發達之程度,使得該國甚至享有「E-stonia」之暱稱。
Richard Stiennon 指出,由於國內大多數民眾都不只擁有一支手機,截至 2010 年 為止,愛沙尼亞每人擁有手機之比率已超過100%;超過八成的銀行透過網際網 路相互連結;八成的投票是以線上方式完成;首都塔林(Tallinn)市內提供 1200 個Wi-Fi 熱點;民眾可利用簡訊傳送密碼繳交停車費等等。60上述之現象,在在 3 月正式加入北大西洋公約組織(North Atlantic Treaty Organization, NATO),此 舉對於俄羅斯拉攏該國之政策而言,不啻為一次重大失利。
59 “Background Note: Estonia,” < http://www.state.gov/r/pa/ei/bgn/5377.htm > (Retrieved on February 29, 2012).
60 Richard Stiennon, op. cit., p. 86.
61 “Background Note: Estonia,” < http://www.state.gov/r/pa/ei/bgn/5377.htm > (Retrieved on February 29, 2012); “The World Factbook,” <https://www.cia.gov/library/publications/
the-world-factbook/geos/en.html>(Retrieved on February 29, 2012).
‧
Europe 報導,愛沙尼亞總統 Toomas Hendrik Ilves 因此向俄國公開呼籲:「試著保 持文明!」(try to remain civilized!)64並且暗示,該國已掌握可證實某些網路攻 擊來自克里姆林宮(Kremlin)的相關證據,即使若要將攻擊行為歸責於俄國政「內容管理系統」(Content Management System, CMS)之中,這些系統可提供更
62 Clay Wilson, “Botnets, Cybercrime, and Cyberterrorism: Vulnerabilities and Policy Issues for Congress,” CRS Report for Congress, p. 7, < http://www.fas.org/sgp/crs/terror/RL32114.pdf > (Retrieved on February 19, 2012).
63 Richard Stiennon, op. cit., p. 88.
64 “Newsline - May 3, 2007,” <http://www.rferl.org/content/article/1143864.html>(Retrieved on March 1, 2012).
65 Richard Stiennon, op. cit., p. 88.
‧
愛沙尼亞「電腦緊急應變小組」(Computer Emergency Response Team, CERT)
首席安全官Hillar Aarelaid 指出,北約在事發後已派出專家協助該國進行調查。67 一開始,愛沙尼亞官員指責俄國政府發動網路攻擊,甚至有網路戰爭的指控,但 朗(Estonian Krooni),約為 1,641 美元,這個金額等於該國一年的基本工資。70 由於愛沙尼亞是北約會員國,該事件使得北約重新思考,一場網路攻擊轉變 為網路戰爭的臨界點為何,這關係到其他會員國何時必須依照條約履行支援受侵
66 Richard Stiennon, op. cit., pp. 89-90.
67 Jeremy Kirk, “Estonia Recovers from Massive DDoS Attack,” <http://www.computerworld.com/
s/article/9019725/Estonia_recovers_from_massive_DDoS_attack>(Retrieved on March 3, 2012).
68 Clay Wilson, “Botnets, Cybercrime, and Cyberterrorism: Vulnerabilities and Policy Issues for Congress,” CRS Report for Congress, p. 8, < http://www.fas.org/sgp/crs/terror/RL32114.pdf > (Retrieved on February 19, 2012).
69 “Estonian DDoS - A Final Analysis,” <http://www.h-online.com/security/news/item/
Estonian-DDoS-a-final-analysis-732971.html>(Retrieved on March 1, 2012).
70 John Leyden, “Estonia Fines Man for DDoS Attacks: Local Pest rather than International Conspiracy,” <http://www.theregister.co.uk/2008/01/24/estonian_ddos_fine/>(Retrieved on June 18, 2012).
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
53
略國的義務,以及如何適度回應發生在網路空間的戰爭等問題。712008 年 5 月,
北約正式成立「卓越合作網路防衛中心」(NATO Cooperative Cyber Defence Centre of Excellence, CCDCOE),做為該組織有關網路安全及網路衝突領域的研究基 地,以加強網路防衛能力為宗旨,其所在位置便設在塔林。愛沙尼亞自此成為歐 盟相關議題之領導者,CCDCOE 每年皆舉辦國際會議。72
以下首先以網路恐怖主義之五大判別標準,說明這起網路攻擊事件不應被視 為網路恐怖主義的原因,接著討論對於國家制訂防治網路恐怖主義及災害應變措 施相關政策而言,這起事件有何參考價值。
一、該事件是否屬於網路恐怖主義?
以「攻擊者之身分」、「行為動機」、「攻擊目標」、「行為目的」及「影響所及 範圍」等五大面向,觀察這場網路攻擊事件,判斷其是否屬於網路恐怖主義:
1. 攻擊者之身分:在此次事件中,無法確認攻擊者之身分的問題一直存 在,從而亦難以追查攻擊者是否得到國家資助或授權、攻擊係由若干個 人所為,或是由有組織的政治團體所發起等等。
2. 行為動機:遷移前蘇聯士兵紀念銅像事件,不僅激起愛沙尼亞國內俄羅 斯民族主義情緒,亦引發俄國民眾強烈不滿,隨之而來的大規模網路攻 擊,依據攻擊開始的時間點推斷,可謂因政治動機而起。
3. 攻擊目標:網路系統以外的關鍵基礎設施沒有遭到網路攻擊,除了網路 傳輸受阻和網站系統停機,導致銀行線上作業被迫暫停之外,其他關鍵 基礎設施的運作未受到任何影響。
71 Richard Stiennon, op. cit., p. 90.
72 “Past Events,” <http://www.ccdcoe.org/126.html>(Retrieved on March 1, 2012). 關於愛沙尼亞 遭受大規模網路攻擊事件之背景、事件經過及後續發展等,亦可參見:Eneken Tikk & Reet Oorn,
“Legal and Policy Evaluation: International Coordination of Prosecution and Prevention of Cyber Terrorism,” in Centre of Excellence Defence Against Terrorism, Ankara, Turkey, ed., Responses to Cyber Terrorism (Washington, DC: IOS Press, 2008), pp. 93-102.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
54
4. 行為目的:攻擊事件沒有導致人員傷亡,或造成大規模財產損失,遑論 引發大眾恐懼;除了若干俄國國會議員要求愛沙尼亞政府總辭之外,沒 有個人或團體出面向該國政府提出任何恐嚇或脅迫。
5. 影響所及範圍:雖然愛沙尼亞許多公私部門受到網路攻擊之影響,但是 絕大部分的民生必需之關鍵基礎設施皆維持正常運作,該國政府也未動 用軍事力量回應攻擊。
即使這場網路攻擊事件是出於政治動機,與網路恐怖主義之動機相符,但是 除了攻擊者之身分難以確認,因而無法歸類之外,包括「攻擊目標」、「行為目的」
及「影響所及範圍」等三個面向皆不合乎網路恐怖主義或網路戰爭之定義,因此,
這場網路攻擊事件應當歸類為「具有網路恐怖主義部分特徵之網路犯罪」。
二、該事件對於各國防治網路恐怖主義之啟發
愛沙尼亞國內通訊科技發達,相關產業佔GDP 比例過半,並且高度依賴網 際網路,雖然民眾日常生活十分便利,卻也使得社會對於網路攻擊存在高脆弱 性。一旦爆發大規模網路攻擊,極可能迅速對社會各層面造成重大災害。以此對 照美國目前的情況,雖然對於網際網路的依賴可能不若愛沙尼亞,但是美國的幅 員及人口皆數百倍於愛沙尼亞,其對於世界經濟的重要性而言,亦遠非愛沙尼亞 所能相比。隨著科技逐漸普及,公私部門架設之網站數量與日俱增,民眾生活與 網際網路息息相關,各種網際網路活動頻繁熱絡,倘若網路恐怖份子發動攻擊,
癱瘓重要網站,並入侵關鍵基礎設施之SCADA 系統,肆意引發重大災害,則愛 沙尼亞在2007 年 4 月網路攻擊事件所受到衝擊和影響的程度,恐怕將遠遠不及 美國社會遭遇到的混亂和恐慌。
愛沙尼亞政府在危機之中的快速反應,包括產官學界的通力合作與密切聯 繫,迅速且確實地掌握社會各層面受到攻擊影響的情況,並且找出網站癱瘓的原 因,在短短幾天之內便恢復正常運作,其危機處理之效率值得各國學習。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
55
此外,在事後追究責任方面,由於攻擊者之身分十分難以確認,時常導致受 害國無從報復或要求賠償。網路犯罪屬於國內執法問題,網路恐怖主義是由政治 或宗教等動機驅使,而網路戰爭則屬於國家權威之行為,73但是三者皆與個人行 為者密切相關。在不確定攻擊行為是網路犯罪、網路恐怖主義抑或網路戰爭的情 況下,亦無法決定應由司法機制、反恐單位或軍事武力來回應攻擊,或是譴責其 他國家等等,這也顯示出,明確區分網路犯罪、網路恐怖主義和網路戰爭之間的 差異,對國家而言確實有其必要。除非未來網路追蹤定位相關科技有所突破,否 則這將一直會是國家遭受網路攻擊之後,決策者必然面對的一大難題。
小結
本章針對網路恐怖主義之眾多定義進行統整,首先探討網路恐怖主義和傳統 恐怖主義之間的主要差異與共同特徵,以及網路恐怖主義缺乏明確定義之原因;
接著討論重要學者對於各種網際網路使用行為之分類,其中亦包括「網路策劃」
與網路恐怖主義之間的分野,並且主張針對網路恐怖主義採用較嚴格之認定,從 而將「網路策劃」排除於網路恐怖主義的定義範疇之外。再者,本章參考重要學 者之見解,提出網路恐怖主義之「攻擊者之身分」、「行為動機」、「攻擊目標」、「行 為目的」及「影響所及範圍」等五大重要判別標準,據以檢視網際網路使用行為 與網路恐怖主義之關係,並且以之建立本論文對於網路恐怖主義的界定。即使網 路恐怖主義、網路犯罪及網路戰爭皆透過網際網路進行攻擊,具有一定程度之重
與網路恐怖主義之間的分野,並且主張針對網路恐怖主義採用較嚴格之認定,從 而將「網路策劃」排除於網路恐怖主義的定義範疇之外。再者,本章參考重要學 者之見解,提出網路恐怖主義之「攻擊者之身分」、「行為動機」、「攻擊目標」、「行 為目的」及「影響所及範圍」等五大重要判別標準,據以檢視網際網路使用行為 與網路恐怖主義之關係,並且以之建立本論文對於網路恐怖主義的界定。即使網 路恐怖主義、網路犯罪及網路戰爭皆透過網際網路進行攻擊,具有一定程度之重