养老金信息泄露与网络安全战略

政治外交

日本养老金机构系统因接收病毒邮件而遭到网络攻击,导致大量个人信息泄露的事件甚至影响到了政府的网络安全战略。笔者将为我们分析政府吸取该事件教训后制定的新战略的特点。

养老金机构信息泄露属于“广义上的网络攻击”

2015年5月,日本养老金机构的125万份养老金领取人和参保人信息泄露,成为重大问题。据说这是由所谓的网络攻击造成的。“狭义上的网络攻击”指的是伴有人身伤害和物理破坏的攻击,而只是信息遭窃的事件则不属于此类,或许可谓是“广义上的网络攻击”。

如果只是养老金编号、姓名、住址、电话号码这四项信息被盗,那么并不容易产生直接损失。如果有人将这些信息与信用卡号等其他号码结合起来,就有可能从中窃取钱财,但攻击者的真正目的恐怕不在于此。

其真正目的恐怕是侵入日本养老金机构的系统,利用该系统内部信息,并顺藤摸瓜式地侵入其他政府部门的系统。中央政府部门的网络安全系统已经固若金汤,无法轻易侵入。攻击者的目标是与政府有关的周边机构和智库、与政府保持着业务往来的民间企业、大学等。由于养老金信息遭窃是一个非常具有社会冲击力的事件,所以社会的关注全都被吸引到这一个事件上来了,但这种网络攻击行为的全貌可能更广、更深。

广泛展开的网络攻击

同期在美国出现的情况更加严重。美国政府人事管理局曝出2210万份信息遭窃事件。美国有超过500万人拥有保密工作权(Security Clearance),但这些人的个人信息也遭到了窃取。

要获得保密工作权,需要提供家庭构成、出生后居住过的所有地址、每个住址的电话号码、曾经去过的所有外国城市、朋友关系、是否有债务、是否有疾病、是否为同性恋、是否有过婚外恋等许多不愿意被人知晓的私密信息。问题并不在于是否有过婚外情,展开广泛调查主要是为了判断本人是否诚实。

这些信息或许有可能被人恶意用于各种胁迫。除了谋取钱财外,甚至可能会被用作政治目的。比如,某亚裔美籍的保密工作权持有者在美国政府部门工作,如果别人知道其父母还住在原籍国,就有可能要挟其从事间谍行动。

网络安全战略的特点是“共享”与“合作”

日本的网络安全对策现状如何?

2014年11月,国会通过了网络安全基本法,今年5月25日,网络安全战略本部公布了新的网络安全战略方案。然而,由于不久后发生了日本养老金机构信息泄露问题,担任网络安全战略本部长的内阁官房长官下令调整战略方案。网络安全战略本部于8月20日敲定了修改后的战略方案,9月4日在内阁会议上获得了通过。内阁会议决定虽然不是法律,但具有相当于法律的约束力,不仅反映了政府的顶层意志,也将成为中央政府部门和其他政府机构今后实施网络安全对策的基轴。

阅读公布的战略方案会发现,在40页的文件中,“共享”一词出现了51次(包括标题),“合作”一词出现了80次(包括目录和标题)。2013年6月确定的上一版网络安全战略共计43页,“共享”出现了48次,“合作”出现了62次(包括网络安全基本法的标题),也就是说“合作”的出现频率增长尤为明显。总而言之,或许我们可以说日本网络安全战略的特点在于强调安全事件信息的共享和组织间的合作。

新网络安全战略的关注点

在此之上,还有几点值得关注。第一,加强政府机构信息安全跨部门监控与应急响应小组(GSOC)的职能。GSOC隶属于内阁网络安全中心(NISC),过去的主要职能是监控中央政府部门的系统和网络。日本养老金机构遭到网络攻击时,GSOC也在第一时间发现了异常,并通知了养老金机构,但该机构并未及时采取措施。于是,政府这次将一部分独立行政法人和特殊法人(日本养老金机构也属于特殊法人)也纳入了GSOC的监控范围。为了发挥指挥部一般的作用,想必NISC和GSOC的预算和人员配置都将得到加强。

第二,除了事后应对外,还将致力于采取预防措施。新战略提及“小规模的故障信息和预兆信息对抵御网络攻击威胁具有一定效果,基于这一认识,作为相关人员的共识,我们一直在收集信息”,“将会加强政府部门整体的信息共享及政府部门内外合作机制”。遭受网络攻击后迅速实施应对与恢复工作无疑具有重要意义,但如果能共享其他国家和其他地方出现的网络攻击相关信息,对网络和电脑系统进行监控,或许就能做到防患于未然。

日本对国际社会的贡献

第三,新战略提出“国家不可能全面接手维护网络空间秩序的事务,而且也不适宜这样做”。如今在围绕网络安全问题的国际谈判中,中国和俄罗斯都主张应该由国家负责管理网络空间的违法行为。而日本和欧美各国对此持反对意见,认为应该确保言论自由和信息流通自由。如果政府全权负责网络安全,那就很可能变成中俄那样的信息监管社会。日本明确表示不会那样做。“强烈反对专制体制对信息的垄断、管制、审查、窃取、破坏及恐怖分子等非国家主体恶意利用网络空间等行为,我们将坚持基于国际协调主义的‘积极和平主义’,通过实现国际社会的和平与稳定,在为维持国际秩序做出积极贡献的同时,确保我国安保工作顺利实施”——这一表述也明确反映了日本的态度。

没有“完美”

打造一堵高大、厚实的屏障,然后躲在里面,这不是网络安全对策应该采取的方式。只有实现开放、自由的信息往来,网络社会才能发挥真正的价值。应该预想到我们无法打造出一堵可以完全避免网络攻击的屏障。只要被打开一个小缺口,敌人就会入侵,实施操控和盗窃。

正如战略要求的那样,首先必须培养人才。将这些优秀的人才调配到政府和民间,跨越组织屏障,“共享”信息,通过人与人、组织与组织的“合作”来展开网络安全对策,这或将成为一种日本式的解决办法。

(原文日文版9月3日刊出,翻译版9月4日更新)

安全保障 互联网 网络安全