美中衝突正在持續,拜登政府的有別於過去川普政府的「覆蓋式攻擊」,川普著重在實體貨物的關稅制裁,但這種做法由於範圍太大而不好使力,導致美國對中國仍然產生大量貿易逆差,企業用各種方式持續對中國提供科技產品與零組件。相較之下,拜登政府則採用「科技鎖喉」的精準攻擊,從晶片、關鍵設備、人工智慧、軟體等四大面向進行封鎖。例如美國自2020年初便開始阻止荷蘭艾司摩爾(ASML)向中國出口EUV曝光機設備,而2022年中開始則禁止美國公司向中國出售高階晶片和晶片製造軟體。另外,美國近期也禁止美國人為中國晶片公司工作,迫使晶片從業人員放棄美國護照,或放棄在中國的職業生涯,半導體大廠如科磊(KLA Corporation)、科林研發(Lam Research)和東京威力(Tokyo Electron)等企業已經開始撤離在中國的美國從業人員。
此外,新一輪的制裁措施也在2022年10月推出,除了原有的邏輯IC領域限制外,新一版禁令還延伸至記憶體範疇。此舉主要目的在於限制中國取得先進運算晶片、研發超級電腦及建立製造先進半導體製程的能力,限制的對象除了中資企業外,還包含外資位於中國境內的生產據點也需要透過「逐案申請許可」方式,方能持續取得製造相關設備,而與資料中心、人工智慧、超級電腦相關高效能運算(High Performance Computing, HPC)領域的CPU、GPU也須經過嚴格審查才可出口中國,影響業者包含台積電、長江存儲、SK海力士等企業,分別在訂單、設備取得、生產許可、生產基地升級等項目受衝擊。
《2022年國家安全戰略》全面打擊
除了執行潔淨網路、設立網路空間和數位政策局、發布《2022年國家安全戰略》等新措施外,拜登政府也在2022年10月11日公布強化美國資安競爭力之策略,闡明美國未來資安發展重點。有別於過去資安多半由CISA與FBI宣布,近年來資安議題多由白宮直接傳遞。此聲明宣示美國在資安領域將由被動防禦轉為主動出擊,除了透過數位科技嚴守國家的「數位大門」,還需要從基礎建設、政府資通訊設備採購、反勒索軟體、強化制裁能力、建立國際資安標準、建立設備通用標準、培養資安人才,以及發展量子電腦等八大面向提升美國資安競爭力,通識包含防禦與攻擊手段,以下列舉數項說明。
新興基礎建設的資安布局
拜登自從上任後即積極推動基礎建設,從《美國基礎建設法案》到《降低通膨法案》,後者包含潔淨能源與電動車/相關基礎建設的投入。長久以來,美國因製造業外移、發展金融服務產業之下,對於實體基礎建設的修繕維護與興建較為不足,同時在數位基礎建設也面臨相同困境,加上當前綠色經濟當道,需要更多數位科技加實體基礎建設的整合,這也是拜登政府大力推動基建政策的主因。由於美國基礎建設多數由私人企業承包,因此若產生資安風險則後果相當嚴重,因此拜登政府將在水資源、金融、運輸、醫療等領域制定資安風險與準則,同時強化基礎設施軟體控制系統的資安功能,透過向各產業基礎建設延伸,以建立資安韌性。
除了傳統基礎建設外,如電動車相關的「新興基建」也是資安的重點,目前的汽車產業已經發展成車聯網模式,車與車之間、車與各類路側設施透過網路資料傳輸已經稀鬆平常,但這也衍生出資安問題。過去車子由於使用封閉網路,資訊並不流通,但聯網以後車內資訊上雲或進行軟體更新時就相當容易受到駭客攻擊,而被攻擊的不是僅有車輛本身,也包含協力廠商與研發單位。例如駭客可能將病毒置入原始碼內,待汽車上路後挑選時機啟動,透過導航或遠端入侵的方式,可能對國家交通造成嚴重傷害。而業者是否能建立資安偵測與回應機制,達到入侵偵測、惡意行為監控,同時整合第三方驗證單位進行聯防,都是拜登政府的關注焦點。
強化政府與企業的資安意識
美國資安主管機關「網路安全暨基礎設施安全局」(Cybersecurity and Infrastructure Security Agency, CISA)針對各地方政府之已知遭攻擊漏洞清單(Known Exploited Vulnerabilities, KEV)進行漏洞修補,例如CVE-2022-3075、CVE-2022-27593、CVE-2022-28958、CVE-2022-26258等。除了這些被動措施外,美國政府也要求所有聯邦機構的網路安全策略都應轉移到零信任架構(Zero Trust Architecture),並在2024年9月30日前符合特定資安標準,這項由美國行政管理和預算局(Office of Management and Budget, OMB)在2022年1月提出的策略指出當前政府不能依賴傳統邊界防禦做法,而是要遷移到零信任的架構下,執行身分辨識與多因素認證,避免駭客取得使用者帳號後展開攻擊。
產業專家John Kindervag在2010年創造出「零信任」及「零信任架構」兩個概念,指的是一個組織不應自動信任任何人事物,所有連接至組織系統的人員都須先經驗證,才能獲得存取權。在政府投入數位轉型,開始採用雲端、軟體即服務(SaaS)、機器人流程自動化(RPA),造成目前系統生態變得更為複雜,隨著攻擊範疇擴大,過去以防堵為導向的方式正逐漸失去效用。取而代之的是整合多種技術的零信任策略,如多重要素身分驗證(MFA)、身分與存取管理(IAM)、特權存取管理(PAM)及網路分區隔離等,使得在零信任的框架下,由軟體定義的疆界讓人類與非人類存取資料,各聯邦政府機構系統相互隔離、應用程式同時經內外部測試後再出貨給使用者,這也成為美國政府提倡資安措施的主流做法。
同時,美國政府也開始要求各產業開始重視資安防護能力,有別於過去企業自行處理資安問題,這次規模不同以往,是由白宮直接呼籲企業執行,並給出八大建議,包含多重要素身分驗證、部署現代資安工具、漏洞修補與密碼變更、資料妥善備份、資安事件演練、強化資料加密、培養資安意識文化、與執法當局密切合作等。看似容易,但可看到多重要素身分驗證已經被列為國安級措施,可看出白宮強調「事前預防」勝於「事後處理」。此外,白宮也呼籲科技業者在設計軟體產品之前應好做好資安規畫,例如程式碼撰寫與軟體開發流程都須納入資安因素,同時也需要掌握自動化安全測試與程式碼來源,最後更透過「EO 14028行政命令」要求聯邦政府採購的軟體與系統皆必須在其設計和部署方式上滿足安全標準,促使資安的供給與需求方協力配合,一個由國家推動的資安網逐漸成形。
發展抗量子加密通訊提升資安防禦力
量子電腦的快速發展對資安而言可能帶來威脅,雖然美國國家安全局(National Security Agency, NSA)目前尚未知道何時量子電腦可以破解現有的加密演算法,由於雜湊演算法(Hashing Algorithms)與密碼學使用特定數學公式運算,破解需耗費大量時間,但一種稱為Shor演算法因為能處理大量質因數。Shor演算法若搭配量子電腦,則可能有一天對現有加密演算法帶來巨大威脅。因此,美國國家標準與技術研究院在2022年公布四種新型加密演算法,這些演算算法將成為NIST後量子加密標準的一部分,預期在大約兩年內開發完成。其原理是第一組旨在抵禦未來量子電腦攻擊的加密工具,避免人民隱私安全性,例如數位帳戶和電子郵件受到威脅。
從技術面來看,由於現階段公開金鑰加密(Public-Key Encryption)系統保護數10億位元資料的交換,雖然目前並無巨大外部威脅,但未來若量子電腦發展成熟,則可能用相較於現在電腦百萬倍的速度攻擊公開金鑰加密系統,屆時可能造成嚴重破壞。對於美國而言,任何一點的關鍵基礎建設遭受攻擊都非常有可能癱瘓經濟發展,甚至讓社會陷入恐慌。而製造業供應鏈系統一但遭受入侵或破壞,也會帶來嚴重國安問題。有鑑於此,若能透過硬體與特殊加密演算法來防範未來可能的量子電腦攻擊,實際投入試驗的技術分別為量子密鑰分發(Quantum Key Distribution)與後量子密碼學(Post-Quantum Cryptography),前者為量子透過安裝硬體裝置來接收量子訊號,後者則為能抵禦量子電腦攻擊的新型演算法。
有鑑於此,在「國家安全備忘錄10」(NSM-10)的文件中,揭露美國政府對量子技術的研發(R&D)投資增加了一倍以上,並在國內建立新型研究中心和人力發展計畫。NSM-10透過投入量子技術研發、強化關鍵合作夥伴關係、擴大勞動力和投資關鍵基礎設施,發展抗量子密碼學,以因應量子電腦對公共金鑰加密系統。屆時資料、數位簽章和各種裝置的新威脅。而舉合作夥伴為例,美國國家標準暨技術研究院開始使用由恩智浦(NXP)提供的資安演算法,作為量子電腦對產業帶來資安威脅的應對措施之一,由於目前量子技術尚未發展成熟,因此欲提早透過後量子密碼學來保護企業的加密數據與聯網裝置,目前以Crystals-Kyber與Classic McEliece兩種演算法為主體,發展共同資安標準。
供應鏈成為產業資安的重要議題
美國政府作為已顯示地緣局勢下,資安議題更顯重要。不只政府,產業界對資安需求也越來越高,從製造業觀點來看,受到美中衝突,導致供應鏈的價值鏈重組依舊困擾業者。例如2022年俄烏戰爭造成石油和天然氣價格飆漲,促使許多國家重新考慮其能源發展策略,以降低對俄羅斯石化燃料的依賴。同時,中東歐國家的肥料化學品供給也開始出現缺口,小麥糧食庫存受影響,全球晶片短缺問題持續待解、汽車零組件部分供應鏈中斷。這些事件皆說明全球價值鏈已經逐漸離散化,也形成未來三大企業策略主軸:數位轉型、綠色轉型,以及建立韌性供應鏈。
建立韌性供應鏈已經是全球業者管理階層積極開展的策略,希望企業在面對重大突發事件衝擊時,能夠藉由快速資源整合、供應鏈上中下游夥伴協作而彈性應對衝擊,促使企業能在短時間內迅速轉向其它替代方案,如移轉生產基地或尋找替代市場,將突發事件造成之風險降至最低,甚至快速恢復原先的營運狀態(表1)。在建立韌性供應鏈的過程中,備援能力更顯重要。所謂備援能力指企業透過即時反應機制,在遭遇衝擊時能夠自主分散生產、部署倉儲據點或預先尋找其他替代料源,同時能夠快速計畫第二、第三個替代生產基地。透過智慧系統來整合物流、人流、資訊流、金流等項目,提升預測與反應能力。在備援能力的條件下,企業面對風險的回應速度應越快越好,例如建立供應鏈資訊串連機制,一旦風險發生,即可透過資訊共享在最短時間掌握風險,同時啟動相關避險措施。
企業要進行如此龐大的布局,除了需要精準的資訊與市場評估外,尚需要前瞻技術與數位平台輔助,協助企業在遷移產能時維持敏捷行動能力,由於產能遷移需要數年時間,因此當中若發生其他黑天鵝或灰犀牛事件時,企業相當需要數位科技進行營運協調。而無論是建立韌性供應鏈、推動數位轉型,或是打造淨零碳排生態系,都需要使用大量的資料。以製造業為例,業者在快速擴張市場時面臨短時間內資料海量增加,因此如何整合跨製程、跨產品線、跨地域客戶群的資料,以達到數據洞察及改善品管,便涉及資料標準和資料溯源,這些龐大的數據基礎建設,與衍生出來的資安挑戰,便成為企業下個關鍵競爭力主戰場。