第三章 網路恐怖主義威脅之爭辯
第三節 網路恐怖主義威脅之爭議與評價
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
80
第三節 網路恐怖主義威脅之爭議與評價
本章前兩節已對於網路恐怖主義之威脅程度的各種不同觀點進行綜整,本節 則聚焦在主要的爭議點,嘗試尋找比較貼近實情的看法,同時提出筆者之意見,
以期能夠正確評估網路恐怖主義的威脅程度。
經過相互對照之後可以發現,關於網路恐怖主義威脅程度之問題,主要爭議 有三:
1. 網路恐怖攻擊之效果;
2. 恐怖份子是否有能力發動網路恐怖攻擊?
3. 關鍵基礎設施能否抵禦網路恐怖攻擊?
其中前兩項主要著重在攻擊方的「攻擊效果」與「攻擊能力」,第三項則聚 焦於防禦方的「抵抗能力」。本節將依序針對三項主要爭議進行對照與思索,權 衡攻擊方與防禦方之間的對抗情況,試圖對於網路恐怖主義之真實威脅性形成更 加精確的評估。
壹、 網路恐怖攻擊之效果
在分析各種主張網路恐怖攻擊之效果不若傳統恐怖攻擊的觀點之後,可以發 現,這些觀點主要圍繞在「成本-效益」概念之上。對於恐怖份子而言,考慮到 發動網際網路發動恐怖攻擊之前,必須滿足攻擊行動所需之大量資金、專業知識 和長時間滲透及搜尋目標弱點等等先決條件,加上對於視聽大眾面臨突發災變的 心理反應和行為模式有所掌握之後,恐怖份子若認定攻擊效果將不如預期,按照 邏輯推論,理應不會選擇此一攻擊方式。
觀察目前人類的日常生活模式,電力仍然可說是極為重要的資源,舉凡生活 起居、商業行為、交通運輸、通訊科技和緊急救護等等,充沛且穩定的電力供應 可說是維持眾多社會機制持續運轉所不可或缺的關鍵能源,同時也是國家安全的
‧
估」(worst case estimation, WCE)而非案例分析,暫且不論。不過,雖然短時間 的停電對於社會許多層面將造成立即的衝擊,但是對於廣大民眾的影響卻可能只66 請參見:Andrew Jones, op. cit., pp. 4-5; Michael Stohl, op. cit., pp. 234-235; Sean Lawson, op. cit., pp. 16-21.
67 請參見:Richard A. Clarke & Robert K. Knake, op. cit., pp. 64-68; Dana A. Shea, op. cit., pp. 8-9.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
82
不明顯,甚至變成劣勢。例如網路攻擊所伴隨的高度匿蹤性,在短時間之內固然 難以追蹤,但是若對於關鍵基礎設施的攻擊行為長期持續不斷,卻可能使得政府 反恐單位擁有充裕時間進行分析,追查攻擊的確切來源,並且實行各種反制措 施,造成網路恐怖攻擊難以持續下去。
由此觀之,除非停電能在短時間之內造成災難性或無法迅速恢復的嚴重後 果,並且引發民眾的極大恐懼,否則長時間網路攻擊的缺點可能會抵銷原本的優 點,以致於恐怖份子因而降低發動網路恐怖攻擊的意願。
此外,Dorothy E. Denning 主張恐怖份子在攻擊手段的選擇上,較傾向保守 而非創新,重視成功率多於複雜性之觀點,68目前此一說法可能為真。不過,由 於恐怖組織屬於秘密團體,外人難以直接得知其成員的心態及想法,研究者多半 只能以既有資料加以推論。隨著新生代恐怖份子更加熟悉電腦與網路知識的趨 勢,以及近年來世界各國在反恐行動取得的成功,長此以往,難保恐怖份子不會 被迫另尋出路,轉而企圖在攻擊手段方面有所突破。
貳、 恐怖份子是否有能力發動網路恐怖攻擊?
針對這項主要爭議,首先應避免使用「鑑於未曾發生網路恐怖攻擊之事實,
可知恐怖份子的能力仍然不足」此種錯誤推論方式,這是由於如此的推論忽略了 一個重要問題:以理性選擇的角度而言,人類採取行動的前提有二,一是能力,
一是意願;不論是預期攻擊效果不佳等各種因素所致,只要缺乏意願,即使早已 擁有足夠能力,恐怖份子仍然不會發動攻擊。
再回到恐怖份子是否已經掌握足夠的電腦技術及網路知識發動網路恐怖攻 擊此一問題之上,對此,抱持保守立場的專家學者不在少數,其中大多數皆主張,
目前恐怖份子尚缺乏這種能力,遑論長時間持續性的攻擊。然而,從Dorothy E.
Denning、Susan W. Brenner 及 Marc D. Goodman 等人的研究亦可得知,恐怖份子
68 Dorothy E. Denning, “Cyberterrorism,” op. cit.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
83
也正在學習相關知識,並試圖了解各項關鍵基礎設施對國家安全的重要性。即使 恐怖份子仍未擁有網路攻擊能力,透過招募擁有相關專長的新血加入組織,假以 時日依然可能順利取得該能力。69
另一方面,恐怖份子亦可能與符合其計劃需求的駭客建立僱傭或合作關係,
此一假設的潛在威脅也相對嚴重得多。若由了解網路恐怖主義之潛力的新生代領 導人所帶領,恐怖組織不論是透過金錢交易或其他方式與駭客合流,必定是恐怖 份子得以快速獲取網路攻擊能力的極佳捷徑。
駭客本身具備的高度專業知識固然不易學習,但是在網際網路無遠弗屆之傳 播能力的助長之下,駭客的數量仍然必將與日俱增,並且四處流竄。一旦為恐怖 組織服務有利可圖,其中難免會出現貪圖個人利益的少數份子。而在「殭屍網絡」
服務已經具備明確價目與商品組合的網路空間之中,70恐怖組織能否以金錢來換 取駭客提供的服務,也可能僅僅取決於雙方是否能在談判價碼方面達成共識而 已。因此,即使目前恐怖份子可能確實尚未擁有足夠的網路攻擊能力,此一現況 仍然有機會出現重大轉變,各國反恐機構也必須持續監控及追蹤恐怖組織與駭客 之間的關係變化,以確實掌握恐怖份子的科技實力。
參、 關鍵基礎設施能否抵禦網路恐怖攻擊?
Joshua Green 以美國國防部外部網絡及內部網絡完全分離,徹底隔絕外部入 侵之可能的現象為例,說明網路恐怖攻擊無法影響美國政府的軍事指揮能力。71 然而,Richard Clarke 等人則以 2008 年的真實案例反駁此一論點,並且證實國防
69 請參見:Dorothy E. Denning, “Is Cyber Terror Next?” op. cit.; Susan W. Brenner & Marc D.
Goodman, “In Defense of Cyberterrorism: An Argument for Anticipating Cyber-Attacks,” University of Illinois Journal of Law, Technology & Policy, Vol. 2002, Iss. 1 (Spring 2002), pp. 46-48, cited from Süleyman Özeren, op. cit., p. 71.
70 請參見:Ron Rhodes, op. cit., p. 54.
71 Joshua Green, “The Problem of Cyberterrorism is Exaggerated,” op. cit., pp. 43-44.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
84
部在內外部網絡之間仍然存在安全漏洞。72不過,會產生此漏洞的原因,並非是 隔離措施出現問題,而是在於使用者無意或故意的操作失誤。
以此觀察當前關鍵基礎設施能否抵禦網路恐怖攻擊之問題,便可發現,維安 機制包括系統設計和人員操作兩個層面,應當分別討論之。但是,關於SCADA 系統本身軟體設計的安全機制,是否能夠抵禦網路恐怖攻擊的侵襲,由於涉及不 同領域的專業知識,已超出本論文之研究範圍,在此無法討論。即使如此,軟體 的複雜程度仍然不等於安全程度,73隨著越來越多關鍵基礎設施連上網際網路,
相互之間互賴程度的提高,伴隨著脆弱性增加的風險,SCADA 系統在安全設計 及軟體維護方面也必然會遭遇到更多挑戰。因此,對於「關鍵基礎設施能夠抵禦 網路恐怖攻擊」之觀點,筆者在此持保留態度。
至於人員操作的層面,關於內部人員破壞關鍵基礎設施之問題,應分為獨自 行動及協助外人破壞兩個方面進行分析。首先是內部人員獨立破壞行為,除去員 工職業操守之外,便是關鍵基礎設施內部人員管理措施是否恰當的問題,這又牽 涉到營運公司的組織制度及管理權限分配等問題,本論文在此不多做討論,而是 將焦點放在協助外人行動這一方面,其又可分為自願和非自願兩種類型。其中關 於內部人員自願協助外人破壞關鍵基礎設施之問題,由於這些員工可能掌握 SCADA 系統的專業知識及操作權限,確實需要詳加管理,防止恐怖組織的滲透 或收買。至於非自願協助方面,則需加強內部人員對於網路安全概念的訓練,避 免不經意的疏失造成系統安全的嚴重漏洞,引發難以收拾的後果。
72 Richard A. Clarke & Robert K. Knake, op. cit., pp. 171-172.
73 以美國微軟公司(Microsoft)之 MS-DOS 系統和在其之後推出的 Windows 系列產品為例,雖
然Windows 系統的複雜程度明顯高於 MS-DOS 系統,然而由於 Windows 系統的使用者數量亦大
幅超過 MS-DOS 系統,基於追求造成最大破壞力之設計理念,許多電腦病毒及惡意程式的作者
便以Windows 系統做為基礎,針對其系統安全漏洞進行病毒和程式的撰寫及開發,而這些病毒
與程式也僅對Windows 系統產生作用。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
85
小結
綜觀上述,即使網路恐怖攻擊的效果尚不如傳統恐怖攻擊,恐怖份子亦可能 仍未擁有足夠能力發動具規模的網路恐怖攻擊,然而他們正在學習相關知識,也 有與駭客進行合作的可能性,而關鍵基礎設施不論在SCADA 系統的軟體維護或 人員操作等方面,仍然具有潛在的安全隱憂。種種跡象說明,雖然目前網路恐怖 主義或許尚未構成嚴重威脅,但是這個情況也正在快速變化當中,政府必須密切 注意其動態發展趨勢,以事先做好防範措施。
儘管各方針對三大主要爭議的看法相當分歧,但是在「網路末日只是時間問 題」和「網路恐怖主義的威脅是被炒作出來的議題」的爭辯當中,真相必然存在 於兩個極端之間。由於人類對未知事物經常心生畏懼,網路恐怖主義的定義又已 遭到大眾媒體扭曲和模糊,加上某些團體及個人出於各自之目的而誇大威脅程度 等因素,導致對於網路恐怖主義威脅嚴重性的熱烈討論,一時蔚為潮流。然而,
如同Gabriel Weimann 所言,雖然網路恐怖主義的威脅可能被誇大或炒作,但仍 不應否定或忽視其存在。74即使911 事件屬於低發生機率的高破壞力事件,卻依 然千真萬確地發生在世人面前,並且強烈震撼了美國及全世界。基於恐怖攻擊行
如同Gabriel Weimann 所言,雖然網路恐怖主義的威脅可能被誇大或炒作,但仍 不應否定或忽視其存在。74即使911 事件屬於低發生機率的高破壞力事件,卻依 然千真萬確地發生在世人面前,並且強烈震撼了美國及全世界。基於恐怖攻擊行