2022年度欧盟网络安全态势综述|全球视点

文 | 上海政法学院、中国—上合基地文献信息部副主任 孙频捷

2022 年，俄乌冲突的爆发使地缘政治因素对网络安全产生巨大的影响。最显著的问题是，网络空间非法活动与现实军事行动交织在一起，一些发生在欧盟的网络破坏活动都具有国家资助背景，各种网络安全问题都可能被利用，为冲突中的某一方提供帮助。在欧盟，黑客活动与网络犯罪行为数量显著增加，网络攻击的对象更具有政治意义，网络威胁造成的影响也更加广阔。针对网络安全领域的一系列新挑战，欧盟理事会在 2022 年 5 月 23 日公布了《（欧盟）理事会关于欧盟网络态势发展的结论》（Council Conclusions on the Development of the European Union"s Cyber Posture），表达了欧盟对恶意网络威胁及其幕后操纵者进行反击的决心；9 月15 日，公布了《网络弹性法案》（Cyber Resilience Act）提案，试图对欧盟境内的数字产品实现全过程监管；11 月 10 日，公布了《欧盟网络防御政策》（EU Policy on Cyber Defence），表明欧盟试图以一种更积极的姿态面对未来的网络安全威胁。

一、欧盟面临网络安全问题的主要特征

(资料图片)

2022 年 11 月 3 日，欧盟网络安全局（ENISA）公布的《欧盟网络安全局 2022 年网络威慑态势报告》（ENISA Threat Landscape 2022）指出，欧盟在2022年面临的网络威胁具有明显地缘政治特征。俄乌冲突诱发了网络空间的对抗，而这种对抗对战争的影响前所未有，代表了新的网络安全时代的到来。俄乌冲突在网络空间的延伸严重冲击了现有的网络空间国际规范，例如针对关键民用基础设施的网络攻击等都将改变未来的网络安全形势。欧盟网络安全局估计，未来由地缘政治因素诱发的网络安全问题将变得越来越多，造成的损失也将更为严重。正是基于此，2022 年，欧盟面临的网络安全问题呈现出以下五个重要特征。

第一，地缘政治对网络安全威胁的影响增大，针对或者利用网络发动的破坏活动数量显著增加。2022 年，俄乌冲突重新塑造了欧盟网络安全格局。现实空间的军事行动与网络攻击互相协同与配合，使欧盟内部的黑客活动数量显著增加。黑客、网络犯罪集团以及国家资助的黑客组织都广泛参与网络攻击活动，地缘政治继续对网络运营产生更强的影响，破坏性攻击是国家行动者行动的重要组成部分。在俄乌冲突期间，发生了大量的网络攻击活动。微软公司的《特别报告：乌克兰》（Special Report：Ukraine）显示，从 2 月 23 日到 4 月 8 日，发生了近 40 起独立的破坏性网络攻击事件，这些攻击永久地破坏了乌克兰数十个组织的数百个系统的数据。其中，超过 40% 的破坏性网络攻击针对的是关键基础设施部门，可能会对政府、军事、经济和个人产生间接的负面影响。32% 的破坏性网络攻击事件影响了乌克兰的国家、地区和城市层面的政府机构。2022 年 6 月，微软公司发布的《保卫乌克兰：网络战争的早期教训》（Defending Ukraine：Early Lessons from the Cyber War）报告指出，欧盟、美国及其他国家（主要是北约成员国）的 128 个政府组织，以及俄罗斯的 111 个实体均遭到了各种形式的网络攻击，几乎所有的国际行为体都受到了或多或少的影响。

第二，针对关键基础设施和工业控制系统的网络攻击数量迅速增加，战略性破坏成为网络攻击的主要目标之一。过去几年，传统的理想主义黑客正在消亡，取而代之的是高度组织化的网络犯罪集团，而网络攻击的目的更多的是为了攫取经济利益。ENISA 的报告指出，随着俄乌冲突的爆发，具有国家背景的网络攻击行为大量出现，迅速改变了网络空间安全格局。与传统的黑客与网络犯罪集团的行为模式存在本质差异，具有国家背景的网络攻击行为体的主要目标是针对关键基础设施与控制其运行的运营技术网络（Operational Technology network）发动破坏性攻击。战略性的网络攻击行动不会关注经济收益，但是行为更加隐蔽，攻击更为猛烈，造成的破坏更严重，影响范围更广。欧盟官方认为，这些恶意软件和操纵其运行的黑客组织拥有国家背景，而发起网络攻击是这些国家战略行动的一部分。ENISA 的报告指出，2022 年，欧盟发现了以针碲金铜矿（KOSTOVITE）、亚硫酸钠钙铜矿（PETROVITE）和钴华矿（ERYTHRITE）三种矿物为代号的具有攻击工业控制网络能力的黑客小组（目前一共发现了 18 个）。工业网络安全公司德格拉斯（Dragos）官方网站消息宣称，“针碲金铜矿”小组和“钴华矿”小组已经能够侵入现有工业控制系统网络，实施破坏行动。同时，欧盟也发现了“工业破坏者 2 号”（Industroyer 2）和“工业控制者”（INCONTROLLER）两个针对工业控制系统的恶意软件。“工业破坏者 2 号”被发现攻击了乌克兰能源公司，并试图切断乌克兰地区的电力；“工业控制者”则是一种潜伏在系统中收集信息为其他破坏活动提供支援的软件。这些软件能够像震网（Stuxnet）蠕虫那样瘫痪电力和能源系统的关键基础设施，危害性极大。除此以外，针对数据系统的恶意攻击也在俄乌冲突期间呈现出增长趋势。欧盟发现了 9 个大类活跃的数据擦除软件（wiper malware），其中，一款名为“酸雨”（AcidRain）的数据删除软件攻击了商业卫星通信公司卫讯（Viasat），波及整个中欧地区卫星通信。

第三，勒索软件攻击与拒绝服务（DDoS）攻击依然是 2022 年最普遍的网络威胁形式。根据 2022年 ENISA 的报告，勒索软件被视为当前最流行的网络犯罪形式。操纵勒索软件的犯罪集团在无法获得赎金时就会将盗取的数据公布在暗网，逼迫受害者支付赎金。这种运作模式也导致了 2022 年数据泄露事件的增多，对公共安全构成了严重的挑战。2022 年，分布式拒绝服务攻击的规模越来越大、运作越来越复杂，其主要目标正转向移动网络和物联网，并在网络战中被普遍使用。根据美国“网侦”（Netscout）公司的报告，发动拒绝服务攻击的攻击者不断创新和调整新技术，包括使用服务器级僵尸网络，租用分布式拒绝服务攻击服务，以及更多地使用直接路径攻击。分布式拒绝服务攻击成为一种持续性威胁，所造成的危害仅次于网络勒索。

第四，针对软件供应链的攻击日益增加，网络攻击的手法更加隐蔽，更加难以防范。除了传统的拒绝服务攻击、钓鱼攻击和社会工程攻击之外，恶意行为转向软件供应链目标的网络攻击，通过攻击上游软件生产商控制下游软件应用者。例如，黑客开始攻击机器学习模型，影响人工智能软件的发展方向，通过攻击开源软件的框架，在开源软件中植入恶意代码，控制依赖这些开源资源的下游应用者。普华永道在 2021 年 10 月发起的“2022 全球数字信任见解调查”（2022 Global Digital Trust Insights）发现，只有 40% 的受访者表示他们了解第三方软件的网络和隐私风险。蓝航公司（BlueVoyant）2021年 10 月进行的“年度全球第三方网络风险管理调查”（Annual Global Survey Into Third-Party Cyber Risk Management）显示，38% 的受访者表示他们无法知道第三方供应商的问题，更无法确定是否会出现网络安全问题。因此，针对软件供应链的攻击很容易造成大规模的网络安全事件。

第五，网络攻击者拥有更多的资源，零日漏洞等攻击工具的迭代速度正在加快。拥有充足运作资金和雄厚技术力量支持的网络攻击者在2022年出现。这些攻击者善于利用零日漏洞发动网络攻击并实现其战略目标。在网络安全领域，防御方通过提高防御水平，建立更为成熟的网络安全计划，并试图增加对手的攻击成本，遏制其网络攻击行动。网络攻击者动用大量的资源发现甚至直接购买零日漏洞。获得可以使用的零日漏洞成本越来越高，因为深度防御战略降低了漏洞的可用性，但是这些攻击者依然不计成本地试图获得这些漏洞。此外，为了逃避打击，勒索软件组织也不断“淘汰”和修改勒索软件，通过快速迭代的方式提高行动的成功率。

二、欧盟面临网络攻击的发展演变

2022 年，欧盟的网络安全环境发生了重大的变化，地缘政治危机、网络技术进步、网络攻击手段更新等，都预示着欧盟未来将要面临更为严峻的网络威胁挑战。

第一，在网络攻击目标层面，网络安全攻击目标逐步现实化、实体化。欧盟理事会的《（欧盟）理事会关于欧盟网络态势发展的结论》指出，欧盟面临的网络空间恶意行为近年来愈演愈烈，包括针对欧盟及其成员国关键基础设施、供应链和知识产权的恶意活动数量持续激增。传统的网络攻击影响更多集中在网络空间，妨碍网络行为主体“安全与开放”地访问互联网，或者通过网络攻击造成网络行为体的财产与声望损失。但是，2022 年发生的大量针对关键基础设施、工业控制系统的攻击行动和攻击企图，都预示未来网络安全威胁将对现实社会生活造成更直接的影响，普通人都能非常真切感受到网络攻击造成的损害。例如，2022 年 2 月，比利时和荷兰的主要炼油中心遭到网络攻击，整个地区的精炼石化产品贸易被中断，正是这一特征的典型案例。

第二，在网络攻击性质层面，网络攻击将带有更多的政治与军事目的。欧盟网络安全问题逐渐转变为国家安全和军事安全议题，网络空间成为国家冲突的重要场所。这使传统的网络空间国际秩序发生重大转变，欧盟理事会的《（欧盟）理事会关于欧盟网络态势发展的结论》认为，网络空间（已经）与公海、空中和外层空间一起成为大国竞争的场所。2022 年发生的造成系统性影响的大规模网络攻击入侵、破坏或破坏网络和信息系统的行为，已经变得更加普遍。俄乌冲突中出现的进攻性网络活动，被视为军事行动的一部分，成为结合恐吓、破坏稳定和经济破坏的混合战略的组成部分。目前，拥有国家背景的黑客组织数量不断增加。2022 年 4 月，推特的网络态势感知分析账号“赛博知道”（Cyberknow）列出了 74 个参与俄乌冲突的黑客组织。卷入国家间冲突使这些黑客组织放弃了原有的行动准则，纷纷将袭击目标定位到更容易攻击、造成影响更大的民用基础设施上。大量的原先被用来实施网络犯罪的工具，也被改造成为发动网络破坏行动的工具。例如，一个名为网络游击队（Cyber Partisans）的黑客组织利用改造过的勒索软件，袭击了俄罗斯的铁路系统。由此可见，网络安全问题的军事化是未来欧盟必须面对的棘手的安全问题。

第三，在网络攻击手段层面，网络威胁手段将变得更加老练与隐蔽，造成损失也将更加严重。2022 年，针对欧盟的网络攻击手段变得更加成熟、更加难以防范。很多新出现的黑客组织掌握的资源更为丰富，在获取漏洞、更新与迭代软件工具等方面变得更为积极；传统的分布式拒绝服务攻击的技术含量迅速提升；社会工程攻击出现了使用自动化软件的趋势。这些现象都反映出，在网络防御能力不断提升的欧盟，网络攻击的门槛变得更高，同时，攻击者的能力也不断提高。针对欧盟的网络攻击出现了跨域威胁的特征，通过网络攻击影响其他行业的运作。例如，部分网络攻击行为通过制造干扰数据的方式破坏人工智能的训练模型，迫使系统做出错误的决策，甚至直接盗取算法与模型，最终影响社交媒体，操弄舆情。针对软件供应链的攻击也变得更为普遍。黑客通过入侵与改造上游软件模块的方式侵害下游使用者的权益，这种思路使网络攻击变得更为隐蔽，更加难以防范。针对软件产业链的攻击实质上将造就一条针对各种软件的黑色产业链，黑客组织将从软件产业上游入手，侵入各种软件组件，并贩卖这些入侵获得的成果；具有恶意目的的个人或者组织通过获得对上游组件的控制就能够入侵下游软件，并影响最终用户。未来，随着技术的不断进步，发动网络攻击所需的经济、社会与政治成本会更高，网络攻击也将不断趋向专业化、产业化、集团化。在这一趋势下，仅仅依靠技术手段侦测、识别与打击网络攻击难以有所收获，这对维护欧盟网络安全的技术能力是一个巨大挑战。

三、欧盟应对网络安全挑战的回应

针对网络空间出现的各种新的挑战，欧盟做出了坚定的回应。欧盟委员会除了继续坚持原有的网络安全战略，进一步健全欧盟内部的网络管理体系，颁布新的内部指令、法律，巩固网络安全能力外，欧盟还迅速提出了欧盟的网络防御政策《欧盟网络防御政策和军事机动行动计划 2.0》（EU Cyber Defence Policy and an Action Plan on Military Mobility2.0）,通过加强网络军事能力建设，应对越来越严重的网络攻击。

第一，健全源头管理，杜绝不安全的网络应用在欧盟内部流通。增加网络空间的韧性是欧盟应对网络安全风险的核心思想。长期以来，欧盟通过完善构成其网络安全框架的《网络和信息系统安全指令》（Directive on the Security of Network and Information Systems）、《欧盟高通用网络安全措施指令》（Directive on Measures for a High Common Level of Cybersecurity Across the Union）和《欧盟网络安全法》（EU Cybersecurity Act）等，强化欧盟的网络安全能力。2022 年 9 月，欧盟提出的《网络弹性法案》试图将所有具有数字元素产品的制造商和开发企业纳入通用的网络安全规则管理规范中，保证制造商对产品整个生命周期的网络安全负责；客户则能够明确了解其所购买和使用产品的网络安全状态，知晓潜在风险。未来，欧盟将进一步提出并通过关于金融部门数字运营弹性法规草案（DORA）和关于关键实体弹性（CER）指令的草案等法规，通过不断利用强制网络安全标准，规范其境内的网络安全环境，筛选出可以信赖的网络安全服务提供商，减少安全漏洞，增加网络攻击的成本。

第二，提升网络安全能力，通过增强技术自主权的方式实现网络安全。欧盟委员会不断重申，创新投资和更好地利用民用技术是增强欧盟技术自主权的重要手段。欧盟委员会将启动欧洲网络安全能力中心，发展欧洲网络技术研发能力，培育网络技术生态系统。同时，欧盟委员会强调加大对民用和国防领域的投资，加强欧盟的国防技术和工业基地（EDTIB）建设，并发展欧盟及其成员国的网络能力；强调使用量子计算、人工智能和大数据等新技术获得比较优势的重要性，最终提升包括战略支持能力、网络安全响应能力等欧盟网络安全综合能力。

第三，加强内部网络安全合作，形成一致的内部协调与互动机制，共同应对网络安全挑战。欧盟理事会强调，需要进一步测试和加强成员国之间的运营合作和共享态势感知能力。例如，欧盟通过已建立的合作机制快速协调行动，包括国家计算机安全事件反应小组网络（CSIRTs）和网络危机联络组织网络（CyCLONe），促使欧盟准备好面对大规模网络攻击事件。欧盟理事会还强调，成员国之间，成员国与欧盟的机构、实体和部门之间，形成一套专为政治层面讨论而设计共同的话语体系。在这一套话语体系中，各国与欧盟的机构能够对网络事件的严重性、未来影响和发展趋势进行综合评估。在社会层面，欧盟理事会、立法机构高级代表和与欧盟网络安全系统合作者，与相关民用和军事实体及相关机构建立联系网络。这一网络与现有的网络安全联系网络，例如欧盟的网络危机联络组织网络，建立联系并做出风险评估，在发生针对欧盟实体和成员国的攻击时做出预警。总之，欧盟理事会认为，需要就欧盟对大规模网络事件的响应进行适当和协调的公共沟通，通过加强内部合作应对网络威胁。

第四，强调网络防御能力建设，通过增强网络军事能力抵御网络攻击。欧盟理事会在 2022 年多次强调，欧盟意识到网络空间已成为地缘政治竞争的舞台，因此，不断重申欧盟必须能够迅速而有力地应对网络攻击。欧盟理事会在 2022 年 11 月 10 日在其官网发布了加强网络防御的声明，强调欧盟将凭借其新的网络防御政策，加强网络防御方面的合作和投资，更好地保护、检测、阻止和防御越来越多的网络攻击。欧盟网络防御政策旨在提升欧盟网络防御能力，加强军民网络社区（民用、执法、外交和国防）之间的协调与合作；将加强欧盟内部有效的网络危机管理，帮助减少欧盟在关键网络技术上的战略依赖，同时建设欧洲国防技术工业基地；还将促进培训、吸引和留住网络人才，并加强在网络防御领域与合作伙伴的合作。未来，欧盟网络防御政策将围绕共同行动，加强欧盟网络防御、保护欧盟国防生态系统、投资网络防御能力和合作应对共同挑战四大支柱开展。这四大支柱都引入了国防与军事合作机制，正如欧盟外交和安全政策高级代表何塞普·博雷利（Josep Borrell）所说，“网络是战争的新领域。为了迎接欧盟面临的挑战和威胁，欧盟将发展最新网络防御能力的现代化且可互操作的欧洲武装部队”。可见，军事行动已经成为欧盟回应网络安全威胁的重要手段。

四、欧盟网络安全态势的启示

俄乌冲突改变了欧洲的地缘政治环境，同时也极大改变了欧盟的网络安全态势。传统的行动主义黑客卷土重来，超越了实施网络犯罪的黑客，诱发了更广泛的威胁。大量国家资助的黑客团体开始介入网络行动，通过网络行动配合现实的作战行动。这些新的网络安全问题对欧盟网络安全环境构成了巨大的冲击，一方面，很多原先被认为较为安全的民用基础设施成了重要的攻击目标；另一方面，随着时间的推移，围绕俄乌冲突开发的大量网络攻击软件难免流向全球其他区域，甚至流入暗网的黑市被贩卖，这使欧盟的网络安全问题不断溢出而扩散到全球网络空间。针对这一现象，欧盟除了进一步加强自身网络安全能力建设外，开始将军事行动引入网络安全领域，构建欧盟网络防御战略。这预示网络安全这一非传统安全问题在欧盟正在演变为传统安全问题，网络空间将成为新的战场。

第一，针对关键基础设施的网络攻击越来越频繁，网络武器具有成为大规模杀伤性武器的可能。欧盟网络安全新态势再一次证明，网络技术的迅速发展使全球关键基础设施难以避免遭受严重的网络攻击。从 2020 年开始的一系列严重的网络劫持事件，到 2022 年针对能源与电力设施的恶意破坏行动，关键基础设施都是网络攻击的重点目标，针对这些设施的网络攻击造成了大规模的恐慌与混乱，甚至导致严重的平民伤亡事件，这使网络武器具有大规模杀伤武器的特征。因此，这种形式的攻击可能会触发严重的战略报复行动，对全球的战略稳定构成严峻的挑战。国际社会有必要建立相应的规则，控制其野蛮发展。

第二，国家资助的网络攻击行为将成为网络空间的主要威胁。2022 年，俄乌冲突中出现了大量的国家支持的网络攻击行为。这些网络攻击活动往往目标明确、不计成本、长期存在，对国家安全构成持续性的威胁。相对于网络犯罪组织，这些国家资助的网络攻击行为者由于不寻求将网络攻击成果变现，而更难以被发现，加之其拥有国家行为体的背书，技术能力与资金供应都大大超越了传统独立黑客组织。2022 年 ENISA 的报告指出，这种攻击往往由被雇佣的黑客组织发动，这些黑客组织很有可能转型为一支重要的网络行动力量，威胁网络空间的稳定。对于这种雇佣黑客，国际社会难以溯源其幕后主使，更难以对其行为予以有效制裁，导致了这种网络攻击“外包”模式的日益盛行，如果任其无序发展，将对未来网络空间的稳定与发展构成严峻的挑战。

第三，网络空间已经成为重要的地缘政治博弈场。被国际社会一直视为独立空间的网络空间，已经成为重要的地缘政治博弈场。无论在宣传与舆论领域，还是在现实对抗领域，网络空间深深卷入俄乌冲突中。欧盟的网络防御政策正是基于对网络空间是作战空间的这一判断而制定的。从全球范围看，网络空间确实已经成为重要的战场，技术优势决定了这一空间各行为体的地位与权力。因此，各国发展相应网络能力的努力不会停止，网络安全困境与网络军备竞赛，将在不远的未来成为严重的国际安全问题。

总之，俄乌冲突对整个网络空间发展带来了巨大影响，最先感受到这种影响是欧盟地区。未来，这种影响将不断外溢到全球，应观察欧盟的网络安全态势，解析其应对政策，总结其应对经验，为应对这种变局可能带来的网络安全冲击做好准备。

（本文刊登于《中国信息安全》杂志2023年第1期）

标签： 网络安全 网络攻击 基础设施