【TechOrange 编辑部导读】今年 8 月裴洛西访台,从小 7 到台铁,甚至到外交部、总统府官网都被骇或遭到攻击,显示台湾对基础设施的资安管理有待加强。
放眼国际,我们可以看到欧盟批准实施了 NIS 2.0 新政策,欧盟从乌俄战争中看见了怎样的资安启示?同时,这也相当值得台湾政府与企业主共同思索:当台湾可能面临新形态战争,我们需要如何加强防护关键基础设施?
今年 11 月底,欧盟议会和欧盟高峰会(European Council)批准实施一项名为Network and Information Security Directive 2(网路和讯息安全指令 2,下称 NIS 2.0)的新政策。该政策将取代自 2016 年、作为欧盟第一个网路安全法规的初代 NIS 指令。
据世界经济论坛指出, NIS 2.0 旨在扩大初代 NIS 所涵盖的范围,以及提升欧盟成员国对网路安全的标准门槛、强化其应变措施与防御能力。值得注意的是,此次升级所扩大涵盖的对象大多为能源系统、医疗网络以及运输服务等关键基础设施。
欧盟 NIS 2.0:扩大规范 11 类对象,成立反应指挥中心抵御网路攻击
藉由《Lexology》汇整的资讯,来细看 NIS 2.0 与初代 NIS 的不同之处。旧的NIS 指令,以基本服务营运商(Operator of essential services)的名称,来概括受规范对象,新版则以高度关键部门(Sectors of high criticality)称呼,同时新增 11 项纳管机构。
像是在能源类别,旧版 NIS 仅囊括电力、石油和天然气等机构,新版则扩大到所有区域性供热、冷却设施,以及氢能源相关机构。而在数位基础设施类别中,则扩大包含数据中心服务供应商、内容传递网路(CDN)服务供应商,以及电网、电讯通信营运单位。其他类别还包含水利设施、政府行政部门,都在纳管范围。
♦ TO 延伸阅读:【战争将满周年】乌克兰总统谈话从未断线!他们如何打造世界最有效的资安防御
除了扩大范围,NIS 2.0 还成立一个名为欧盟网路危机联系网络 EU-CyCLONe(Cyber Crises Liaison Organisation Network )的反应中心,作为协助成员国戮力合作,提升网路安全计画的一部分,该中心目的是协助欧盟各国监督、反应所遭遇的重大网路攻击。
「如果我们受到工业规模的网路攻击,我们也需要以同等规模联手合作、抵御。」欧盟议会议员 Bart Groothuis 指出。
且据 NIS 2.0 指令,欧盟还会与美国等国家一起强制执行更严格的网路安全汇报规定。例如该法规将要求所有受规范组织,在察觉遭受网路攻击的24小时内提出报告,不这样做的公司恐面临巨额罚款。
中国骇客入侵、乌俄战争威胁基础设施,新版 NIS 势在必行
然而为何选在这个时间点批准实施 NIS 2.0 ?事实上有关 NIS 2.0 已经进行数年,且 2020 年就已经有相关提案。而监於近年欧盟成员国及国际社会遭受到资安威胁更胜以往,也是欧盟决议更新它的主因。
像是今年 2 月,比利时和荷兰的几间大型炼油厂遭到网路攻击,骇客主要瘫痪了油库的自动装卸流程,导致码头边等着装卸原油产品的船无法顺利操作,几乎中断了整个地区的石油产品交易。
♦ TO 延伸阅读:网路防御力才是 21 世纪战争决胜点,乌俄之战带给台湾什麽新启示?
又或是中国针对全球电信服务的攻击。根据美国国安机构在今年中发布的调查报告指出,由中国政府雇佣的骇客,在过去两年陆续入侵全球多家大型电信业者。据《MIT Technology Review》报导,中国骇客多半利用 Cisco、Citrix 和 Netgear 等常见网路设备供应商的产品漏洞,访问目标网路。
更不用提乌俄战争挑动欧洲各国对网路安全的敏感神经。当今年 2 月俄罗斯初入侵乌克兰时,俄罗斯政府的骇客将攻击目标对准了美国卫星公司 Viasat。该行动立刻导致乌克兰军队在战争初期失去通讯工具,因为乌克兰军队依靠 Viasat 的卫星服务来指挥部队。
这次袭击证明了俄国军方有能力采用网路攻击、发动军队,两者同步的混合战略,不但向世人昭示了网路在现代战争中的角色,同时也威胁着 Viasat 在全球的合作夥伴:其他西欧国家、美国军方等。
NIS 2.0 在 12 月正式生效後,未来欧盟成员国将有 21 个月的时间,将新规定纳入该国立法。然而与此通时,EU-CyCLONe 成员已着手进行大规模网路攻击模拟,以提高欧盟整体的战备水准。
♦ TO 延伸阅读:若战争真的发生,台湾存活的关键:保持 3 天内「不断网」能力
*本文开放合作夥伴转载,参考资料:世界经济论坛、欧盟理事会、Lexology、MIT Technology Review1、2、S&P Global,首图来源:Wikipedia。
(责任编辑:蓝立晴)
