罗伯特·肯拿基(Robert Knake)于2011年到2015年,在白宫国家安全委员会担任网络安全主任,因此他亲身经历过了中国黑客入侵美国人事管理局的网络攻击事件。他接受美国之音专访,谈论在奥巴马政府任内的挑战,川普政府面临的网络威胁,中国与俄罗斯的黑客攻击,以及美国应该如准备网络战。
美国之音黄耀毅:罗伯特谢谢你接受专访,到这来谈论网络安全议题。
前白宫国安会网络安全主任肯拿基:很高兴来到这。
黄耀毅:我们知道,在过去几年,有许多起高调的网络事件,有人事管理局被黑事件,有俄罗斯黑客影响美国大选。你曾经是奥巴马总统的白宫网络安全政策主任,请说说你面对过的挑战,以及哪件事最具挑战性?
肯拿基:当然。我在白宫任职期间,其实只有一个主要任务,就是该拿中国怎么办。这包括两个方面,一个如何改变中国的行为,以及如何帮助美国公司保护他们自己,不受到中国网络攻击。这是奥巴马政府头6到7年主要的焦点。
黄耀毅:有一起特殊事件,就是人事管理局被黑事件。你当时是否感到措手不及?回头来看,你认为是否该有些不同的做法,或是在这方面需要做得更多?
肯拿基:在这方面永远都需要做得更多,这是一个新兴的议题,美国政府,就如世界上许多国家的政府,都才开始摸索。我要说的是,如果你回头看,整件事的重点在于中国偷窃我们的知识产权,这是滥用他们的间谍能力、滥用特务能力,来协助中国公司。这是奥巴马政府的焦点,而我认为在当时,这也是正确的焦点。如果看看奥巴马任内大部分时间的俄罗斯动作,我想大多数的网络安全专家会说,俄罗斯所作的,是在国际法范畴之内的,他们依照可称之为“莫斯科网络规则”的规则在进行。这些攻击都很具有目标性,目标明确,并非窃取知识产权,而是从国务院、白宫、美国参谋长联席会议当中,窃取国家机密。他们这样做是在搜集情报,这样的目的,这样的间谍行为,是可以接受的。我想很多人没料到的是,从搜集情报,到利用这些情报来进行信息战,来干预美国国内政治,来干预美国政府。这是个很大的改变,这也是川普总统必须要严正面对的。
黄耀毅:你提到俄罗斯在进行的信息战,以及他们所掌握的情报,许多人也认为说,人事管理局被黑事件所造成的影响,可能几十年都估算不出来。对于中国将如何利用从人事管理局黑走的资料,建立对付美国的力量,你怎么看?
肯拿基:好几年来对于人事管理局被黑事件,一直有这样的担忧。我的看法有些不同,我要说的是,如果我们没发现中国的确拥有了这些资料,这对于美国情报系统是具有毁灭性的,这对于保护美国国家机密也是具有毁灭性的。但正因为我们发现了,正因为我们知道中国有了我的个人资料,也有了所有跟我共事过的人的资料,我们就可以针对中国将如何利用这些资料,作出准备。所以即使那很具毁灭性,即使已经造成许多问题,而且弥补的代价巨大,但至少不会在20年后,我们才感到奇怪,怎么中国老是能压制我们,怎么老是知道该针对谁,怎么他们老是能先我们一步。正是因为我们发现了,所以我们限制了他们窃取的资料的价值。
黄耀毅:在人事管理局被黑事件之后,当习近平国家主席造访华盛顿的时候,我们跟中国签署了网络条约。那是与中国协商当中的外交努力,除了外交手段,我们是否也透过其他途径跟方式,让中国停止黑我们?
肯拿基:我想如果你看看那份协议;那其实尚未到达条约的程度,只是美中两国、两位总统之间的一个协议,协议中双方同意不为私人企业进行黑客行为。美国从来没这样做过,也是我们掌握具体证据,中国有作的事情。这份协议是花了五年推动之后的成果,在这个方面约束中国。这包括与私人企业合作,跟它们分享资讯;它们或许成为攻击目标,或许已经是受害者,从跟它们分享如何避免被黑的最佳作法,到采取外交步骤,来约束中国的行为。所以这份协议,事实上是由好几件事组合而成的。这是美国公司,如曼迪昂特(Mandiant,发现中国解放军黑客61398部队),这家网络安全公司发表报告,在把中国黑回去方面,作出贡献,也将中国黑客攻击的证据公诸于世,让中国知道它们已经被人赃俱获,而且还让全世界都知道。接着是联邦调查局,起诉五名中国解放军军官,而且起诉书当中清楚的指出他们的姓名、官阶、军籍号码,还有他们的网络上使用的黑客化名,以及在西方常见的“通缉犯海报”上,公布他们的照片。这让中国了解,美国是来真的,而且他们的否认也越来越薄弱。而我认为,到达了一个让中国重新考量的程度,因为美国现在在说这是双方外交关系第一优先的议题,我们甚至愿意实施制裁,伤害双方的商业关系。到了这一点上,中国才停手。从去年看来,中国黑客行动大幅度减少,所以我想这份协议成功了,而且持续有效。还有更多改进空间,而我想川普政府的挑战是,如何在面对中国时坚守这条线,同时还能约束俄罗斯。
黄耀毅:谈到俄罗斯,你方才提到信息战,我们要如何对抗这种黑客行动?像黑客攻击某一个主要政党的资料库,然后透露给媒体,或是维基揭秘之类的。你建议美国政府未来应该如何应对?
肯拿基:坏消息是,这花了奥巴马政府五年的时间,才在这个议题上控制住中国,但我们面对俄罗斯时的施力点更少。比起中国,俄罗斯跟我们的经贸关系更小,更少的领域以及国际议题上需要我们的合作,所以更难以约束俄罗斯。我想网络安全界试图传达给川普总统的信息是:“你必须要找到一个办法,让俄罗斯了解他们不可以这样做”。为什么呢?因为下一次,可能就不是俄罗斯。没有证据显示中国介入本次大选,但中国可能从俄罗斯方面得到灵感,当想要重新谈判某项贸易协定,或其他美中相关政策的时候,中国也可以对美国进行信息战。所以在民主过程当中,让外国政府干预选举,大家都会是输家。因此我希望川普总统必须要将约束俄罗斯,以及惩罚他们干预大选,作为他网络安全政策的优先考虑。
黄耀毅:即使是众议院议长瑞安也说过类似的话,如今天是民主党被黑,明天可能是共和党。所以他也了解这件事的严重性。你从两党方面是否都听到,这是个跨党派的议题,两党都认同这件事的严重性?
肯拿基:这是肯定的。我想在华盛顿所有的议题当中,网络安全是个跨党派的议题。在网络安全上有很强大的跨党派共识。当我在奥巴马内阁任职的时候,我们在国会山上有很强力的盟友,在私人企业当中也有很强力的盟友,即使他们是不同党派的人。我看到这个跨党派的共识在下一届政府当中持续下去,从目前当选总统川普所说的话,我看不出来他的作法将会与奥巴马政府有巨大分歧,或是之前的布什政府,以及之前的克林顿政府。我想这是件好事,因为我们还在建立网络安全的周期当中,还有许多需要作的,还有许多需要完成的事情,不必要转到新的方向。
黄耀毅:说到川普可能将延续之前总统的政策,我们也看到他提名了多位军方将领担任内阁阁员。有人认为这可能代表未来他的政府将抱持更加鹰派的态度。在网络威胁方面,更加鹰派是件好事吗?还是可能会让事态变严重,导致如网络战等后果,我们需要很谨慎?
肯拿基:我想现在来说还太早。川普目前任命了三位将军,可能还有第四位,但还不知道这是否将让川普政府更加鹰派,或是更温和,两者都有可能。这些将军们拥有十年以上的实战经验,他们见过战争的代价,他们也了解战争的代价。他们从中汲取教训,他们的看法,与其说是鹰派,不如用个他们可能不喜欢的字眼,可称为“残忍激进的”。许多时候,比起这些武将,当文人担任这些职位时,有时反而更加鹰派。我想现在说还太早。而在网络安全方面,我认为在保护美国公司方面,美国军方能作的很少。基本上,这不是个军方单位或文官部门的议题,这是私人企业的议题。互联网是一个庞大的、持续成长的现象,100%由私人部门建造、拥有,并且运作。不管是军方单位或文官部门,在进入那互联网之后,都一定会造成他们原本想要避免的伤害。任何军方作的事,都可能让系统变的不稳定,让公司亏钱而非省钱。从这个角度出发,我想川普政府目前发出的信号,就是私人公司要为自己的安全负责,而政府,无论是文官或军方体系,都要协助私人企业保护他们自己,而不是由政府直接保护他们。
黄耀毅:说到私人企业与政府之间的关系,奥巴马总统在今年4月下达行政命令,组建了“加强国家网络安全总统委员会”(President's Commission on Enhancing National Cybersecurity)。他们在12月1号刚发表了报告,在这份100页的报告当中,建议成立一个让私人企业与政府部们能够分享资讯的平台。你在白宫的这几年,公私部门分享资讯的做法进行的如何?而展望未来,你是否认为下届政府会实施这份报告当中的建议?
肯拿基:我想这份报告所说的是,这些是已经发生过的事情,而这些是你必须要作的,这些是你要改善的地方。有很多成功,也有很多失败,但整体而言我们朝着正确的方向进行。这份100页的报告,提出一些非常精细的建议,新的计划,或是既有计划的改革,让它们能够更成功,而不是要重新走向一个截然不同的方向。我想这是件好事。从我的角度出发,在奥巴马政府内,我们很专注在将信息传递给私人企业,让它们了解美国政府,无论是执法单位、情报部门、文官机构,都拥有私人企业能够保护它们自己的资讯。无论这些私人企业是攻击的目标,或早就是受害者,奥巴马政府誓言要知会那些公司或个人。我想这些做法,塑造了网络安全的模式。所以一家公司能够发现它们受到黑客入侵的头号理由,就是为联邦政府以及执法单位通知了它,我认为这是很大的改变。下届政府的挑战是,如何让这样的资讯分享变成双向的,如何让信息从私人企业,流向有需求的联邦政府单位,透过加工,再分享给其它的公司。
黄耀毅:我们谈过了私人企业,谈过了中国与俄罗斯因素,那么恐怖份子呢?许多恐怖组织都使用高科技,利用社交媒体,它们的网络能力也很强。我们要如何对抗恐怖主义,以及受到网络能力加持过的恐怖主义?
肯拿基:我们大部分看到的,恐怖组织利用互联网的方式,跟财富500大公司利用互联网的方式,是一样的。它们想要利用互联网来招募、来宣传、来训练。它们对于网络攻击比较不感兴趣。为什么?因为即使是最具毁灭性的网络攻击,其破坏程度也比不上他们在实体世界所进行的,物质上的、军事性质的行动。伊斯兰国在网络上播放砍头的视频,比起他们攻击某家银行并且关闭其网站,效果要来的大。后者的冲击就是比较小。所以我想,恐怖份子利用互联网,是每个人都在担忧的,而这担忧也是应该的。但进行一个即使算是比较小的攻击,从恐怖组织的角度来说,它们宁愿将这些资源,花在冲击比较大的行动上头。
黄耀毅:关于下届政府,前美国众议院情报委员会主席迈克罗杰斯(Mike Rogers)说,在未来四年,川普政府任内将会有重大网络事件发生,而且是不可避免的。你会给当选总统川普什么样的建议,来应对这样的重大网络事件?而我们可能看到什么样的重大网络事件?
肯拿基:我所担忧的,同时也是许多人关切的,是针对电力网络的攻击。在美国,我们鉴定出16个对我们经济来说至为关键的行业,这当中每一个行业都依赖电力供应,我们的日常生活也要依赖电力。所以从这出发,我们电力网络当中已知的弱点,或是我们看到外国的案例,如俄罗斯对乌克兰电力网络的攻击,都彰显这应该是最优先的。确保我们能够察觉、阻止,并且反击对于电力网络的攻击。这会是我的头号关注目标。至于要如何避免,当然要做好保护电力网络的工作,当然要在信息分享上作的更好,但我想川普政府最优先要作的是,要在这方面有非常明确的吓阻政策。我们必须要让敌人清楚明白,任何试图阻断我们电力网络的攻击,我们将如何会严正以对,也将会有什么样严重的后果。所以要让他们了解,如果他们只是对美国有所不满,阻断我们的电力网络不会是最佳作法,如果他们这样做,将会让事态越来越严重,并且将导致他们不会喜欢的后果。
黄耀毅:顺着这话题,来到我的最后一个问题。红线在哪里?举例来说,攻击我们的电力网络,或什至更大范围的攻击,是否等同于网络战争?
肯拿基:我想这是一个很难回答的问题。在奥巴马政府内部,针对这个议题我们有许多争论。我会认为针对电力网络的攻击,等同于武装攻击。我会说在处理上面,用相同程度的方式处理。我们不会说这是网络破坏行为(Cyber vandalism),也不会说这是微不足道的行为,我们会说这是一个具有敌意的武装攻击行动,而我们将以同等级的手段回应,不一定是在网络空间,我们可能向海外派兵,我们可能调动航空母舰,对于造成那样的损失,造成那样破坏的网络攻击,你可能会看到实体战争的回应。这是任何美国的敌人必须要了解的,美国对这样的事情十分看重,这不是污损网站(website defacement),也不是阻断服务攻击(DDos attack),如果有人作了跟在实体世界,等同于美国境内炸掉变压器,要瘫痪美国军队这样等级的事情,我们就需要这样反击。
黄耀毅:谢谢你。
肯拿基:谢谢你。
