第三章 網路恐怖主義威脅之爭辯
第二節 網路恐怖主義確為嚴重威脅之主張
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
70
要人們日常生活對網路科技的依賴程度持續與日俱增,固然會存在某些潛在威 脅,但是倘若人們習於使用或濫用「網路恐怖主義」這一詞彙,來指稱在網際網 路上那些零星且情節輕微的青少年駭客行為,將很可能對於未來真正的網路恐怖 主義攻擊毫無反應,或是反應過慢,最終印證「狼來了」的寓言故事。40
此外,尚有學者以為,美國政府過於重視威脅程度尚且模糊不清的網路安全 議題,其真正的代價可能是縱容國家安全局等政府單位更加全面地掌控網際網 路,危害人民自由。41由於當前更迫切的恐怖份子威脅仍然是實體的形式,因此,
針對網路恐怖主義的熱烈討論,不但會使人們轉移焦點,還可能適得其反,促使 恐怖份子更加了解網路恐怖主義的潛力何在。42
以上針對網路恐怖主義之威脅抱持保守立場或否定其真實存在的主張,進行 敘述及統整。由這些論點來看,網路恐怖主義除了因未曾發生實際案例而引發懷 疑,加上人類對於未知事物的恐懼心理,以及對網路恐怖主義之誤解所造成不必 要的危機意識之外,目前網路恐怖攻擊的效果仍不及傳統恐怖攻擊,無法成為恐 怖份子的優先選擇方案,況且他們也尚未擁有發動網路恐怖攻擊的能力。如果美 國國內關鍵基礎設施確實足以抵禦網路恐怖攻擊,則美國政府不僅不應理會部分 人士的刻意炒作,還應該調整政策方向,正視其他更迫切的潛在威脅,例如「網 路策劃」等等。
第二節 網路恐怖主義確為嚴重威脅 之主張
為與上一節之懷疑或否定觀點相互對照,本節整理主張網路恐怖主義已構成 嚴重威脅或即將成為嚴重威脅之主張,觀察它們針對同一項議題有何不同之看
40 Andrew Jones, op. cit., pp. 5-7.
41 Glenn Greenwald, op. cit.
42 Mark Trevelyan, “Security Experts Split on ‘Cyberterrorism’ Threat,” <http://www.reuters.com/
article/2008/04/16/us-security-cyberspace-idUSL1692021220080416>(Retrieved on June 1, 2012).
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
71
法,以及所持論據為何。除此之外,一旦發生針對關鍵基礎設施的網路攻擊,專 家學者預測可能出現的災情為何,本節也將進行綜整。
壹、 主要論據
相對於各種反面意見,主張重視網路恐怖主義威脅之專家學者,也提出各自 的論據,以為佐證。主要包括:
1. 網路攻擊造成停電的影響非比尋常;
2. 恐怖份子可能與駭客合作;
3. 關鍵基礎設施無法抵禦網路恐怖攻擊;
4. 恐怖主義不適用於一般風險評估。
由此觀之,這些論點不僅強調網路恐怖攻擊之嚴重後果,恐怖份子亦可能透 過駭客獲得發動網路恐怖攻擊的知識,而關鍵基礎設施抵禦網路恐怖攻擊的能力 也不足。尤有甚者,由於恐怖份子不一定是理性行為者,恐怖主義可能不應以一 般的成本效益比來衡量其發生機率。
一、網路攻擊造成停電的影響非比尋常
有學者指出,即使大多數的美國人都曾經歷過短暫的區域性停電,電力大約 在一至兩個小時之內便會恢復供應,然而當針對電力供應網進行破壞的網路攻擊 事件發生時,情況卻將大不相同。由於美國發電設施的大部分零件皆需仰賴中國 或印度供應,當這些零件因過度負載等原因導致損毀時,美國將缺乏迅速修復的 能力。倘若攻擊行為是經中國政府授意發動,中國更沒有在短時間之內將新零件 運送至美國的動機。43對絕大多數的人們來說,電力長期中斷將是難以忍受的,
情況可能會如同Richard A. Clarke 的描述:「數以百萬計的民眾被迫在黑暗和寒
43 Ron Rhodes, op. cit., p. 75.
‧
Dorothy E. Denning 認為,即使大多數的電腦駭客並不願意訴諸真實的暴力 行為,仍不免有少數人會與恐怖份子保持聯繫。此外,新一代的恐怖份子自幼即
Susan W. Brenner 及 Marc D. Goodman 在探討「網路恐怖主義為何尚未證實 自身的存在?」(why has cyberterrorism not yet manifested itself?)此一問題時提 到,有些人對此問題的結論是:國際恐怖份子尚未擁有足夠的技術背景知識和電 腦專業能力。不過兩位專家學者指出,如此的結論忽略了兩個問題:
1. 恐怖份子本身可能沒有發動攻擊所需要的技術和能力,但是國家卻不 然,恐怖份子可能透過若干恐怖主義活動頻繁的國家,例如巴基斯坦
(Pakistan)或斯里蘭卡(Sri Lanka)等,取得相關技術或能力。
44 Richard A. Clarke, “War from Cyberspace,” The National Interest, Vol. 104 (November/December 2009), p. 32, cited from Ron Rhodes, op. cit., p. 75.
45 Grant Gross, “U.S. Cyber War Policy Needs New Focus, Experts Say,” <http://www.pcworld.com/
article/174711/us_cyber_war_policy_needs_new_focus_experts_say.html > (Retrieved on June 14, 2012).
46 Dorothy E. Denning, “Is Cyber Terror Next?” op. cit.
‧
2. 恐怖份子可能雇用「駭客傭兵」(hacker mercenaries)為其效力,只要 他們支付酬勞,這些駭客傭兵便同時擁有發動網路攻擊的專業知識和攻 擊誘因。
回到「為何至今尚未出現網路恐怖主義實際攻擊案例」之問題,Brenner 和 Goodman 提出另一個可能原因:目前大多數恐怖組織的領導人都是出生於上個 世代的人物,他們可能還沒見識到此種可做為替代方案的攻擊類型。47由Brenner 客數量亦不斷增加,形成國家安全的重大疑慮,倘若這個人才庫(pool of talent)
為恐怖份子、外國政府或犯罪組織所用,以網路攻擊侵襲美國關鍵基礎設施的成
47 Susan W. Brenner & Marc D. Goodman, “In Defense of Cyberterrorism: An Argument for Anticipating Cyber-Attacks,” University of Illinois Journal of Law, Technology & Policy, Vol. 2002, Iss. 1 (Spring 2002), pp. 46-48, cited from Süleyman Özeren, op. cit., p. 71.
48 Robert S. Mueller, III, “Global Threats to the U.S. and the FBI’s Response,” testimony before the Senate Committee on Intelligence of the United States Senate, February 16, 2005, <http://www.fbi.
gov/news/testimony/global-threats-to-the-u.s.-and-the-fbis-response-1>(Retrieved on June 4, 2012).
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
74
標電腦的數量等等選項,提供使用者選擇。49明確的交易價格與多樣化的服務方 案,顯示出這個市場在供需機制之下運作已久,恐怖份子確實可能以金錢換取駭 客的服務。
三、關鍵基礎設施無法抵禦網路恐怖攻擊
針對美國國防體系之網路系統是否安全,Richard A. Clarke 和 Robert K.
Knake 以 2008 年 11 月,一個發源於俄國的間諜程式(spyware)襲擊美國國防 部的「非加密IP 路由器網絡」(Non-classified IP Router Network, NIPRNET)50為 案例說明,當時這個間諜程式在成功滲透進入NIPRNET 之後,便開始搜尋並自 我複製到每一個連接到NIPRNET 的隨身碟(thumb drives)內。在這些受到感染 的隨身碟之中,有一部分隨後又被使用者連接到國防部的「加密IP 路由器網絡」
(Secret Internet Protocol Router Network, SIPRNET)51,兩位專家因而認為,所 謂「國防部外部網絡和內部網絡之間完全分離」的說法,只是虛有其表。更嚴重 的是,由於SIPRNET 並未連接到網際網路,理應不會遭到電腦病毒攻擊,因此 大部分連接到SIPRNET 的電腦均未安裝防毒軟體或防火牆(firewall)程式。換 言之,國防部最重要之內部網絡上的電腦,它們所擁有的保護機制,可能還不如 一般人的家用電腦。52
除了國防部的機密網絡安全並不可靠之外,美國國家安全最主要的弱點,可 能正是關鍵基礎設施的SCADA 系統,其面臨的安全威脅主要來自兩者,一為網 際網路,一為內部人員,分述如下:
49 Ron Rhodes, op. cit., p. 54.
50 美國國防部提供內部人員傳遞敏感但非加密資料的網絡,並且以之連接到網際網路。
51 美國國防部提供內部人員傳遞加密資料的網絡,該網絡實體隔離在網際網路之外。
52 Richard A. Clarke & Robert K. Knake, op. cit., pp. 171-172.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
75
(一)來自網際網路之威脅
就如同網際網路原本的開發理念是「公開」、「共享」一樣,這些依靠網際網 路運作的SCADA 系統在當初設計之時,也並未著重安全機制,因此許多資料時 常被直接上傳到公開網路,任何人皆可下載取得。再者,出於經濟考量及自由市 場等因素,SCADA 系統越來越仰賴開架式販售(off-the-shelf)的軟體充作安全 修補程式(security patch)。然而,根據加州大學柏克萊分校(University of California, Berkeley)及卡內基美隆大學(Carnegie Mellon University)所進行的 一項研究顯示,SCADA 系統在更新程式之前,可能需要幾個月的籌備工作,在 更新時也必須停止系統運作,因此,頻繁地更新程式和修補安全漏洞的做法,可 能並不適用於某些SCADA 系統,這導致負責營運的公司在經濟因素或市場對其 供應之需求孔急的情況下,取消這些程式更新作業。但是對於有心人士而言,這 將使得SCADA 系統成為十分具吸引力的目標。53
在網路時代來臨之前,大部分的關鍵基礎設施都是各自獨立的系統,相互之 間不論在實體或虛擬連結的程度都不高,互賴程度也低,但是這種情況正在快速 轉變當中。由於電腦和通訊科技的迅速進步,關鍵基礎設施管理人員原本以紙本 進行的籌劃、設計、建造及營運等等,正逐漸被電子化作業取代,而關鍵基礎設 施之間也因連結到網際網路,進而產生緊密關係。資訊科技的革新使得許多關鍵 基礎設施之間的相互連結性(interconnectedness)和互賴程度(interdependencies)
大幅提升,卻也同時提高對恐怖攻擊的脆弱性。54
隨著人類日常活動逐漸依賴自動化及遠端電腦遙控,工業界及關鍵基礎設施 也捨棄專用的內部網路,轉而依靠透過網際網路連結的 SCADA 系統運作。然 而,一旦國家未能在依賴網際網路和注重網路安全之間取得良好平衡,提高執法
53 引用自:Jack Jarmon, “Cyber-terrorism,” Journal on Terrorism and Security Analysis, Vol. 6 (April 2011), p. 114.
54 請參見:Yacov Y. Haimes, op. cit., p. 232.
‧
2011 年 4 月,美國聯邦調查局網路部助理部長(Assistant Director, Cyber Division, FBI)Gordon M. Snow 向美國參議院司法委員會犯罪及恐怖主義小組
(Senate Judiciary Committee, Subcommittee on Crime and Terrorism)表示,由於 惡意程式之取得性與複雜性的提升,加上新科技的應用同時也引發新的安全問題 等情形,美國的關鍵基礎設施正面臨日益嚴重的網路威脅。隨著眾多關鍵基礎設 施逐漸採用自動化作業,雖然使得營運管理程序更加便利,卻也導致更多可供他 人利用的網路存取點(cyber access points)出現。56這些網路存取點若未經適當 管制,便很可能成為安全漏洞。
(二)來自內部人員之威脅
另一方面,來自內部人員的潛在威脅亦不容忽視。Dorothy E. Denning 指出,
由於關鍵基礎設施的系統十分複雜,眾多系統弱點很難完全消除,同時新的弱點
由於關鍵基礎設施的系統十分複雜,眾多系統弱點很難完全消除,同時新的弱點