養老金資訊洩露與網路安全戰略

政治外交

日本養老金機構系統因接收病毒郵件而遭到網路攻擊,導致大量個人資訊洩露的事件甚至影響到了政府的網路安全戰略。筆者將為我們分析政府吸取該事件教訓後制定的新戰略的特點。

養老金機構資訊洩露屬於「廣義上的網路攻擊」

2015年5月,日本養老金機構的125萬份養老金領取人和參保人資訊洩露,成為重大問題。據說這是由所謂的網路攻擊造成的。「狹義上的網路攻擊」指的是伴有人身傷害和物理破壞的攻擊,而只是資訊遭竊的事件則不屬於此類,或許可謂是「廣義上的網路攻擊」。

如果只是養老金編號、姓名、住址、電話號碼這4項資訊被盜,那麼並不容易產生直接損失。如果有人將這些資訊與信用卡號等其他號碼結合起來,就有可能從中竊取錢財,但攻擊者的真正目的恐怕不在於此。

其真正目的恐怕是侵入日本養老金機構的系統,利用該系統內部資訊,並順藤摸瓜式地侵入其他政府部門的系統。中央政府部門的網路安全系統已經固若金湯,無法輕易侵入。攻擊者的目標是與政府有關的周邊機構和智庫、與政府保持著業務往來的民間企業、大學等。由於養老金資訊遭竊是一個非常具有社會衝擊力的事件,所以社會的關注全都被吸引到這一個事件上來了,但這種網路攻擊行為的全貌可能更廣、更深。

廣泛展開的網路攻擊

同期在美國出現的情況更加嚴重。美國政府人事管理局曝出2,210萬份資訊遭竊事件。美國有超過500萬人擁有保密工作權(Security Clearance),但這些人的個人資訊也遭到了竊取。

要獲得保密工作權,需要提供家庭構成、出生後居住過的所有地址、每個住址的電話號碼、曾經去過的所有外國城市、朋友關係、是否有債務、是否有疾病、是否為同性戀、是否有過婚外戀等許多不願意被人知曉的私密資訊。問題並不在於是否有過婚外情,展開廣泛調查主要是為了判斷本人是否誠實。

這些資訊或許有可能被人惡意用於各種脅迫。除了謀取錢財外,甚至可能會被用作政治目的。比如,某亞裔美籍的保密工作權持有者在美國政府部門工作,如果別人知道其父母還住在原籍國,就有可能要挾其從事間諜行動。

網路安全戰略的特點是「共享」與「合作」

日本的網路安全對策現狀如何?

2014年11月,國會通過了網路安全基本法,今年5月25日,網路安全戰略本部公布了新的網路安全戰略方案。然而,由於不久後發生了日本養老金機構資訊洩露問題,擔任網路安全戰略本部長的內閣官房長官下令調整戰略方案。網路安全戰略本部於8月20日商定了修改後的戰略方案,9月4日在內閣會議上獲得了通過。內閣會議決定雖然不是法律,但具有相當於法律的約束力,不僅反映了政府的頂層意志,也將成為中央政府部門和其他政府機構今後實施網路安全對策的基軸。

閱讀公布的戰略方案會發現,在40頁的文件中,「共享」一詞出現了51次(包括標題),「合作」一詞出現了80次(包括目錄和標題)。2013年6月確定的上一版網路安全戰略共計43頁,「共享」出現了48次,「合作」出現了62次(包括網路安全基本法的標題),也就是說「合作」的出現頻率增多尤為明顯。總而言之,或許我們可以說日本網路安全戰略的特點在於強調安全事件資訊的共享和組織間的合作。

新網路安全戰略的關注點

在此之上,還有幾點值得關注。第一,加強政府機構資訊安全跨部門監控與應急響應小組(GSOC)的職能。GSOC隸屬於內閣網路安全中心(NISC),過去的主要職能是監控中央政府部門的系統和網路。日本養老金機構遭到網路攻擊時,GSOC也在第一時間發現了異常,並通知了養老金機構,但該機構並未及時採取措施。於是,政府這次將一部分獨立行政法人和特殊法人(日本養老金機構也屬於特殊法人)也納入了GSOC的監控範圍。為了發揮指揮部一般的作用,想必NISC和GSOC的預算和人員配置都將得到加強。

第二,除了事後應對外,還將致力於採取預防措施。新戰略提及「小規模的故障資訊和預兆資訊對抵禦網路攻擊威脅具有一定效果,基於這一認識,作為相關人員的共識,我們一直在收集資訊」,「將會加強政府部門整體的資訊共享及政府部門內外合作機制」。遭受網路攻擊後迅速實施應對與恢復工作無疑具有重要意義,但如果能共享其他國家和其他地方出現的網路攻擊相關資訊,對網路和電腦系統進行監控,或許就能做到防患於未然。

日本對國際社會的貢獻

第三,新戰略提出「國家不可能全面接手維護網路空間秩序的事務,而且也不適宜這樣做」。如今在圍繞網路安全問題的國際談判中,中國和俄國都主張應該由國家負責管理網路空間的違法行為。而日本和歐美各國對此持反對意見,認為應該確保言論自由和資訊流通自由。如果政府全權負責網路安全,那就很可能變成中俄那樣的資訊監管社會。日本明確表示不會那樣做。「強烈反對專制體制對資訊的壟斷、管制、審查、竊取、破壞及恐怖分子等非國家主體惡意利用網路空間等行為,我們將堅持基於國際協調主義的『積極和平主義』,通過實現國際社會的和平與穩定,在為維持國際秩序做出積極貢獻的同時,確保我國安全保障工作順利實施」——這一表述也明確反映了日本的態度。

沒有「完美」

打造一堵高大、厚實的屏障,然後躲在裏面,這不是網路安全對策應該採取的方式。只有實現開放、自由的資訊往來,網路社會才能發揮真正的價值。應該預想到我們無法打造出一堵可以完全避免網路攻擊的屏障。只要被打開一個小缺口,敵人就會入侵,實施操控和盜竊。

正如戰略要求的那樣,首先必須培養人才。將這些優秀的人才調配到政府和民間,跨越組織屏障,「共享」資訊,通過人與人、組織與組織的「合作」來展開網路安全對策,這或將成為一種日本式的解決辦法。

(原文日文版9月3日刊出,翻譯版9月4日更新)

安全保障 網際網路 網路安全