2016-2017年度欧盟网络空间安全综述

来源:信息与网络安全部   作者:国信安全研究院   时间:2017-11-28

2016-2017年度,欧盟的关键基础设施遭受严峻的网络安全威胁。在欧盟委员会发布的2017年安全事务进展报告中,将网络犯罪、网络攻击列为欧盟面临的主要安全挑战之一。为应对复杂的局势,欧盟及各成员国在顶层设计上,加强战略指引、完善法规体系,在网络治理中,注重联合协作,加大惩治力度,在保护个人信息与隐私、净化网络空间等诸多方面做出了有力的改善。

一、 加强战略部署,推动网络空间安全发展

1.欧盟出台首部网络与信息安全指导性法律

2016年7月6日,欧洲议会全体会议通过《欧盟网络与信息系统安全指令》,这是欧盟出台的第一个关于网络与信息安全的指导性法规,主要内容包括:要求欧盟各成员国加强跨境管理与合作;制定本国的网络信息安全战略;建立事故应急机制,对能源、金融、交通和饮水、医疗等公共服务重点领域的基础服务运营者进行梳理,强制这些企业加强其网络信息系统的安全,增强防范风险和处理事故的能力。在线市场、搜索引擎和云计算服务等数字服务提供商必须采取确保其设施安全的必要措施,在发现和发生重大事故后,及时向本国相关管理机构汇报。

这项法令将加强欧盟各成员国之间在网络与信息安全方面的合作,提高欧盟应对处理网络信息技术故障的能力,提升欧盟打击黑客恶意攻击特别是跨国网络犯罪的力度。根据欧盟有关方面的统计,网络信息故障和网络犯罪每年给欧盟企业及个人造成的损失高达2600亿至3400亿欧元。

2.发布国家战略,加强顶层设计

2016年11月,英国发布新版《国家网络安全战略(2016-2021)》,重新勾勒英国未来网络安全发展路线图,意在打造一个繁荣、可靠、安全和具有弹性的网络空间,确保在网络空间的优势地位。2016年12月,英国发布《国家安全战略实施2016年度报告》,提出加强网络安全建设,并将网络安全、国家威胁及恐怖主义一起列为重中之重的威胁问题。该报告指出:英国面临的网络威胁已显著增长,既有来自国家支持的网络攻击、也有非国家支持的网络犯罪活动。2017年3月,英国正式出台《2017英国数字化战略》,提出七大战略任务:(1)连接性:为英国建立世界一流的数字基础设施;(2)技能与包容性:让每个人都能获取所需的数字化技能;(3)数字领域:让英国成为建立并发展数字化业务的最佳场所;(4)宏观经济:帮助每一家英国企业成为数字化企业;(5)网络空间:使英国成为提供在线生活与工作环境的全球最安全场所;(6)数字政府:确保英国政府在线民众服务处于全球领先地位;(7)数据经济:释放数据在英国经济中的重要力量,并提高公众对使用数据的信心。

德国也相继出台系列规划。2016年8月,德国联邦参议院通过一项新信息安全法案,要求关键基础设施机构和服务商必须执行新的信息安全规定,否则将被处以最高10万欧元的罚款。同时,还要执行一个最低的网络安全标准,并及时向德国联邦信息安全局报告所有针对其系统的网络攻击情况。2016年9月,德国联邦经济部发布了《数字化行动纲要》,制定了12项针对未来数字化发展的措施,以吸引更多风投资金并促进中型企业数字化转型,最终目的是在德国建设“大型数字化枢纽网络”。2016年11月,德国发布一项新的网络安全战略计划,以应对越来越多针对政府机构、关键基础设施、企业以及公民的网络威胁。新战略要求在联邦信息安全办公室建立一支快速反应部队,类似于联邦警署、国内情报机构以及政府部门内设的快速反应小组。

二、 加强一体化的网络治理举措

1.各国求同存异,推进个人信息与隐私保护

欧盟及各成员国在保护个人信息与隐私方面,采取了多方面的举措。2016年9月,欧洲法院要求公共Wi-Fi提供者采取措施保护用户个人隐私和确认其身份信息。2016年10月,瑞典最高法院通过全面禁止无人机搭载摄像头的裁决,明示所有无人机摄像头都被视为监视设备,只能用于预防犯罪或事故。2017年1月,欧盟委员会提议制定一项新法案《隐私与电子通信条例》,该条例是《一般数据保护条例》的补充,将取代现有的《电子隐私指令》。新法案首次将即时通讯、VoIP 等OTT 服务商纳入与传统电信服务商一样的隐私监管范围,对通信内容及标记通信内容的元数据一并纳入电子通信数据的保护范畴。2017年4月,欧盟通过全球数据保护法规(GDPR),于2018年5月25日正式生效。新法规将直接或间接识别个人身份的数据全部纳入管理范畴,对数据收集、存储、处理、跨境传输等各环节进行了规范,任何违反GDPR的行为都将面临1000万到2000万欧元或企业全球年营业额的2%到4%的行政处罚。

在个人信息与隐私保护的法规建设上,欧盟各成员国的意见并不总是一致。2016年11月,英国通过《2016调查权力法案》,刚过一个月就被欧盟法院裁定为违反欧盟法律。该法案要求电信和网络运营商要存储上网者12个月的浏览记录;允许安全机构和警察攻击电脑和手机,大量收集通信数据;要求法官同意警察提出的查看记者通话和网络记录的请求。欧盟法院认为,通讯数据只能在打击重大犯罪时才可以进行储存。欧洲议会随后支持对所有通信进行端对端加密,以保护欧盟公民的基本隐私权。

在相关法律法规指引下,欧盟及各成员国针对商业企业采取了规范措施。欧盟要求美国澄清有关雅虎通过扫描大量电子邮件寻找恐怖活动线索的秘密法定裁定,要求微软就操作系统收集个人数据的目的进行解释。2016年9月,德国数据保护及信息自由委员会责令Facebook停止收集和储存旗下WhatsApp获得的用户信息,并删除其此前获得的用户所有相关记录。2017年5月,法国数据保护监督机构因Facebook不能保护用户个人信息而对其处以15万欧元罚款。

2.联合惩治恶意言论、网络暴力和虚假新闻

网络充斥虚假信息和言语暴力越来越得到西方各国的重视,打击恶意言论、网络暴力和虚假新闻成为欧盟及各成员国的统一认识。2016年12月,欧盟委员会表示,Facebook、Twitter、YouTube以及微软等科技巨头必须加快打击网络仇恨言论,否则将借助法律强制其执行。2017年4月,欧盟委员会发布一份政策文件草案,拟提出措施解决“网络平台就删除非法内容的法律不一致和不确定性”,旨在加强社交媒体网站的监控和治理。

欧盟成员国也加强了惩治措施。德国要求社交媒体平台及时清除假新闻和恶意言论,警告Facebook如果不履行义务将面临高额罚款。德国司法部在2017年3月提出一项法律草案,提出没有及时履行义务的社交媒体公司将面临5000万欧元罚款。德国警方突击搜查了36名被指控在社交媒体发布仇恨言论的用户住所,以打击网络恐怖主义意识的传播。英国于2016年10月出台新法规,规定网络暴力、人肉搜索属于违法行为。2017年6月,英国首相进一步呼吁国际社会达成调控网络空间的国际协议,以阻止极端主义、恐怖主义信息通过互联网扩散和传播。奥利地政府加强对即时通讯应用程序的监控力度,打击恐怖分子袭击活动,计划于2017年10月国会选举结束后取消匿名移动设备SIM卡的使用。

3.制定安全规范,应对安全威胁

欧盟在应对网络安全威胁中,积极通过制定标准性文件,规范网络防护工作。2016年10月,欧盟委员会宣布将制定新的物联网设备安全规范。新规是欧盟电信法改革计划的一部分,计划通过更严厉的监管规范解决安全问题。欧盟立法机构希望通过制定法规,强制企业遵守安全标准,通过多管齐下的认证流程确保物联网隐私安全,消除安全威胁。2017年2月,欧盟网络和信息安全机构发布数字服务安全措施指南报告,该报告是关于数字服务提供商实施最低安全措施的技术指南,以帮助成员国和数字服务提供商制定切实可靠的信息安全措施。2017年6月,欧盟理事会推出“网络外交工具箱”联合框架,以指导成员国统一应对恶意网络活动,并对恶意攻击者采取惩罚措施。

4.加强多种协作,打击网络犯罪

欧盟现有28个成员国,在网络治理和打击网络犯罪中,比较注重内部成员之间及与外部各国际组织、国家的协作。2016年7月,欧洲刑警组织联合荷兰警方、反病毒机构卡巴斯基实验室和英特尔计算机安全公司创建一家门户网站,打击数量激增的勒索软件。12月,该组织还与法国、英国、澳大利亚和美国等13个国家的执法部门合作,联合开展了一项打击网络黑客攻击的国际行动,34名涉嫌发起恶意网络攻击的嫌疑人在行动中被捕。2016年8月,欧盟委员会与业界建立第一个欧洲网络安全公私合作伙伴关系,预计至2020年将投入18亿欧元,以更好地应对网络攻击,并加强其网络安全部门的竞争力。伙伴关系包括来自欧盟和各成员国、各地区以及当地的公共管理机构、研究中心以及学术界的成员,旨在促进研究和创新过程早期阶段的合作,并为能源、卫生、交通和金融等多个行业制定网络安全解决方案。2016年10月,欧盟网络和信息安全局组织了一场大规模网络战演习,来自30个国家和地区的超过700名网络安全人员参加。演习内容包括模拟入侵联网基础设施、遭遇全国断网等一系列网络攻击场景,以此演练欧洲国家网络防御和应对黑客攻击的能力。2017年4月,部分欧盟成员国和北约成员国签署了《谅解备忘录》,将在赫尔辛基建立一个应对网络攻击、政治宣传和虚假信息等问题的安全研究中心。

三、 一体框架之外各自强化网络安全举措

1.建立专门机构应对网络安全威胁

欧盟部分成员国在应对网络安全威胁中,不断调整组织机构,加强组织领导。2016年8月,德国政府宣布成立名为安全领域信息中央办公室(ZITiS)的新网络安全部门,以在线应对网络恐怖分子。ZITiS由约400名公务员组成,不仅通过开发方法、产品和战略以协助德国安全机构应对网络犯罪和恐怖主义,还将监控暗网中的非法活动。2017年2月,英国国家网络安全中心(NCSC)正式启动,以应对越来越频繁和复杂的网络攻击。该中心将邀请各界专家参与合作,研究网络安全威胁和漏洞,并对如何应对网络攻击提出建议。

2.积极防备网络攻击影响选举

2017年是欧盟一些重要成员国的选举年,英国大选、法国立法选举、德国总理大选都在2017年举行。由于美国总统大选遭受网络攻击影响的原因,欧盟各国加强防范在选举中遭受网络攻击。法国与德国为2017年的选举建立了网络防御系统,以便应对假新闻和潜在的网络攻击威胁。2017年3月,英国情报机构政府通信总部专门召集各政党举行了一场紧急首脑会议,会议的主题是俄罗斯很可能通过网络攻击干扰下届英国大选,要求各政党加强信息安全防范。欧盟和北约也设立了专门的“新闻”鉴别中心,同时强化基础设施抵御可能发生的网络袭击。

3.加强网络防恐反恐措施力度

近年来,欧洲遭受恐怖袭击的次数增多,恐怖分子越来越多的利用互联网进行信息传递和发布,威胁社会安全,欧盟各国加强了网络防恐反恐的举措。2016年8月,法国和德国内政部长发布联合提案,呼吁欧盟委员会立法,迫使WhatsApp、Telegram等加密即时通讯APP应用程序运营商删除违法内容,并在恐怖调查过程中解密嫌疑人之间的对话内容,以打击网络恐怖主义。2017年3月,英国内政大臣表示,科技公司必须配合执法部门的工作,不能向恐怖分子提供互联网“秘密地点”,避免他们通过加密信息进行沟通。2017年6月,英法两国发布联合反恐声明称,两国正对不配合移除恐怖宣传信息的社交网站进行罚款强制措施,旨在保证互联网不会成为恐怖分子和罪犯逍遥法外之地。

4.英国加强关键基础设施保护和国家整体防控体系建设

2016年9月,英国着手建立基于DNS的国家防火墙,目的是对抗网络犯罪,更高效地屏蔽已知恶意程序,阻止钓鱼邮件使用恶意域名进行网络犯罪。2016年10月,英国禁止部长级官员在政府会议期间佩戴Apple“智能手表”,原因是黑客能将Apple Watch用作窃听设备。2016年11月,英国交通系统技术发展中心称,随着信息技术的快速发展,英国交通运输业面临越来越大的网络安全威胁,将投入更多资源加强网络安全防范。2016年12月,英国议会督促情报机构政府通信总部,加大力度帮助金融业加强网络安全,应对不断升级的网络犯罪。英国议会表示,政府通信总部更侧重于恐怖主义和相关国家发起的网络攻击,而忽视了针对金融业的网络攻击。系列举措表明,英国希望在关键基础设施领域和国家整体构建一个安全防控网。

5.德国成立欧盟首支网络作战独立部队

2017年4月1日,德国军方宣布正式成立网络与信息空间司令部,将与陆军、海军、空军并列,共同构成德国联邦国防军体系,主要任务为运营并保护军方自有的各类IT基础设施和计算机辅助武器系统,同时亦负责网络威胁监测活动,国家与政府IT系统的安全保障工作仍然由负责监督国内各反间谍活动安全机构的内政部进行管理。网络与信息空间司令部设在德国波恩,起步由260名信息技术专家组成,将着力发展网络攻击能力。预计到2021年,人员规模将扩充至14500人,具备全面作战能力。

德国网络与信息空间司令部是欧盟成员国中第一个网络司令部,其总司令希望凭借着这支全新数字化部队,在北约联盟中发挥主导作用。德国网络与信息空间司令部的成立可能触发其他成员国加快组建独立网络部队的进程,以加强网络作战能力和区域主导力量。



主办单位:国家信息中心 京ICP备05063309号 技术支持:中国经济信息网

地址:北京市西城区三里河路58号 邮政编码:100045 电话:010-68557000 传真:010-68533919