源文件: 《信息安全与通信保密》
引言
信息通信技术(ICT)供应链作为所有其他供应链的基础,被称为“供应链的供应链”[1]。ICT供应链涵盖设计、研发、生产、集成、销售、分发、部署、使用和维护等全生命周期的各个环节,涉及分布在全球相互关联的多类行为体,如制造方、采供方、系统集成方、终端用户和外部服务提供商等。这决定了其所面临的安全风险也更为复杂多元,至少包括:妨害、篡改、伪造、盗版、偷盗、摧毁、毁坏、泄露、渗透、破坏、转移、出口管制违规、腐化、社会工程、内部人员威胁、伪内部人员威胁以及外部所有权[2]。这一体系的安全态势不仅是业界关注热点,还与国家安全高度相关。埃森哲咨询公司在2019年发布的《网络威胁图景》报告中,将供应链安全与虚假信息、网络犯罪、勒索软件、云风险并列列为五大主要威胁之一。该报告提出,供应链风险正在将过去的朋友转变为“友敌”(frenemy)[3]。
近年来,包括各国政府、国际组织和私营机构在内的各类行为体为应对ICT供应链风险采取的举措层出不穷,其成效却如一把双刃剑,特别是有些国家政府的强势介入在部分缓解了技术领域风险的同时又赋予其过多的地缘政治考量,负面效应突显。有效管控其安全风险,需要多种行为体相互协调,更需要构建充分的信任关系,建设合理有效的国际治理制度体系。
ICT供应链安全国际治理的主要做法
为应对相关风险,包括各国政府、跨国机构、行业与学术界在内的各类行为体出台了大量报告和规范,在不同层面为构建ICT供应链安全国际治理体系奠定基础。
政府层面
在ICT采购全球化的态势下,ICT供应链安全与国家安全之间的关系愈发密切,各国先后将ICT供应链安全置于国家安全战略层面来考虑,提升了ICT供应链安全管理的地位。其中,美国政府的做法最为全面和具有代表性。
美国政府在2008年颁布的《国家网络安全综合倡议》(CNCI)中,将“开发全球供应链风险管理的多维手段”作为12项倡议之一,要求在产品、系统和服务的整个生命周期内综合应对国内和全球供应链风险。次年奥巴马政府发布的《美国网络空间安全政策评估报告》将ICT供应链安全纳入国家安全范畴。2012年,美国国土安全部发布首个国家层级的战略报告《全球供应链安全国家战略》,提出安全和高效两大目标。此后,各相关机构出台了一系列文件,如国家标准和技术研究院(NIST)的《联邦信息系统与机构供应链风险管理实践》(2013)、国家网络安全促进委员会的《加强国家网络安全—促进数字经济的安全与发展》(2016)、国土安全部的《供应链风险管理计划》(2017)、白宫的《联邦信息技术供应链风险管理改进法案》(2018),等等。这些文件涉及机制建设、标准制定、产品认证等各领域,形成了比较成熟的ICT供应链风险管理制度体系,在监管国内相关领域的同时也起到了引领国际治理制度建设的作用。
2019年5月,特朗普签署《确保信息通信技术与服务供应链安全》行政令,禁止交易、使用可能对美国的国家安全、外交政策和经济构成特殊威胁的外国信息技术和服务。在此前后美各界发布的一系列报告与此相呼应,在进一步提升了重视程度的同时,也将国际社会的供应链安全管理引入了另一个方向。
跨国层面
除单个国家外,有些国家还联合采取行动,就ICT供应链安全制定政策、标准或提出倡议。
欧盟网络和信息安全局(ENISA)于2012年发布《供应链完整性—ICT供应链风险和挑战概览,以及未来的愿景》报告,并于2015年更新。除提供可供ICT供应链相关参与者借鉴的实践做法外,还建议公私合作设立国际评估框架,以有效评估ICT供应链风险管理。报告认为,该框架应具备以下特点:一是基于风险和威胁模型;二是透明;三是可持续;四是灵活;五是基于标准;六是基于对国际贸易关系互惠特性的共同认知。为促进各类行为体的有效协作,报告还提出多项建议措施,包括促进形成一致的看法和通用的衡量指标;开展具有独立性的评估与认证;建立行之有效的立法措施;等等[4]。
中、俄等国在2011年和2015年两度向联合国提交的《信息安全国际行为准则》中,也就确保ICT供应链安全提出了具体倡议,强调应“努力确保信息技术产品和服务供应链的安全,防止他国利用自身资源、关键设施、核心技术、信息通讯技术产品和服务、信息通讯网络及其他优势,削弱接受上述行为准则国家对信息通讯技术产品和服务的自主控制权,或威胁其政治、经济和社会安全”[5]。
行业界层面
作为长期从事具体实践的相关行业,除贯彻完善政府规范、细化相关指标之外,一些大型企业如微软、华为等还就治理体系建设提出了自己的主张。
微软早在2011年就发布了《网络供应链风险管理:实现透明和信任的全球共享》报告,强调要在战略层面有效管理供应链风险,需要通过公私合作创建通用的框架。该框架应具备四个特点:一是协作,即合作开展基于风险的基础研究,开发可衡量风险的更好指标;二是透明,如生产、操作产品与服务的各方可加大有关其业务流程的透明度;三是灵活,即基于所提供的技术与产品、所在的地区、所面对的威胁灵活采取措施;四是互惠,防止因安全顾虑而关闭市场进而导致互联网分裂[6]。
华为于2016年6月发布《全球网络安全挑战——解决供应链风险,正当其时》白皮书,建议政府召集和推动私营企业、大型机构、智库和学术界共同行动,协作建立合理的供应链安全风险应对体系。具体举措可以包括:一是借鉴NIST或其他类似框架,提升风险意识,有效管理风险;二是充分利用已有工具,如开放可信技术供应商TM标准(O-TTPS)等[7],进行最好是独立的验证;三是促进更安全的ICT产品和服务在全球范围内的应用;四是鼓励购买商采购更为安全的产品与服务,并建立恰当的问责机制。
学术界层面
与政府和行业界相比,学术研究机构的研究起步相对较晚,权威成果数量有限,其中以美国东西方研究所(EWI)和卡内基国际和平研究院(CEIP)的方案较具代表性。
2016年9月,美国东西方研究所发布《购买安全的ICT产品与服务:购买方指南》报告,建议为ICT技术产品与服务的购买方与供应方提供对话框架,以有效应对网络风险,并为政府相关评估提供辅助。其内容包括三个部分:一是企业安全监管,要求供应商建立全机构范围内的监管框架,持续管理风险;二是产品与服务生命周期,从设计与研发、建造、分发、维护与响应四个环节,判定供应商是否能够在整个生命周期有效管理风险;三是保障承诺,要求供应商提供充分的信息与证据,表明他们确实遵循了前两项内容,以增加购买方对其的信任度[8]。
卡内基于2019年10月发布《ICT供应链完整性:政府与企业政策原则》报告,认为要提升ICT供应链的可靠度和完整性,应基于四项原则建立一套适用于政府与企业的规范:一是信任,即政府不应以系统性方式干预供应链,企业不应有意识地开发、嵌入或协助研发系统漏洞;二是责任,即政府建立有效的内部程序与磋商机制以确保其政策的科学性,企业应及时应对所发现的漏洞和产品滥用问题;三是透明,即政府应及时公布其认证标准和风险应对措施,企业也应公布其确保产品与服务安全性的基本原则和主要措施,接受合理的外部监察;四是理解,即政府建立相应的对话渠道确保与所有相关方的沟通,企业应有效回应合理合法的国家安全与执法诉求[9]。
构建国际治理制度体系面临的主要难题
虽然应对ICT供应链安全早已被提上议事日程,各类行为体也均强调了其国际合作治理的属性,但截至目前为止,构建相关国际治理制度体系的举措仍多处于倡议阶段,落实举步维艰。究其原因,主要有以下几个方面。
供应链系统天然具有风险,第三方安全未受到重视
如前所述,供应链涉及多种行为体、生命周期的各个环节、且呈全球分布态势。一方面,由于信息通信技术固有的低门槛、难防御特性,要求每个部件都处于绝对安全状态是不可能的;另一方面,任何一个部件遭受感染,都会对整个供应链构成威胁,可以说ICT供应链的安全程度取决于其中最薄弱环节的安全水平。更重要的是,随着供应链的日益全球化,各企业越来越多地依赖于第三方。奥普斯与波耐蒙研究所合作开展的研究发现,大型公司平均会与538个第三方分享敏感与机密信息,59%的公司曾因第三方或代理商而导致数据泄露。与此同时,只有18%的企业表示知道这些第三方是否在与其他供应商分享信息,37%的企业表示他们有足够的资源管理与第三方的关系,35%认为他们的第三方风险管理项目是有效的[10]。
企业安全措施无法与网络攻击发展同步,现有的商业化趋势进一步加剧风险
总体上看,各企业虽然会尽最大努力确保自身所提供产品与服务的安全性,但仍然缺乏足够的措施来评估和管理整个供应链中的安全漏洞。网络安全公司CrowdStrike经过调查后称,90%的受访者表示他们面临供应链风险但仍难以快速探查和应对此类威胁,2/3的受访者表示曾经受软件供应链攻击[11]。杀毒软件公司Sophos在《网络安全的无解谜题》报告中表示,网络犯罪分子将攻击供应链作为入侵企业的首要路径之一,但只有16%的计算机技术管理人员会将供应链作为顶层安全风险[12]。随着第五代移动网络技术(5G)和物联网(IoT)等技术的发展,网络攻击可利用的渠道更多、所需要的时间更少,而探查攻击所需的时间与资源则在增加。特别是,信息通信技术产品与服务发展的一个重要趋势是,少数企业巨头正在不断产生并占据整个市场,不同产品与服务正在逐渐被融合到少数几个平台。一旦遭受网络攻击,受到影响的用户就不计其数。英国政府2019年7月发布的《英国电信供应链评估报告》也强调,电信供应链缺乏多样性导致国家依赖单一供应商,给英国电信网络的安全带来了一系列风险[13]。
政府基于地缘政治考量干扰ICT供应链,负面因素突显
政府在网络安全领域发挥着重要的作用,在ICT供应链安全领域也不例外。但除积极方面之外,以美国为代表的部分国家政府显然在其中注入了过多地缘政治因素的考量,甚至将其制定相关法规的权力作为国际竞争的工具。2018年4月,美中经济与安全评估委员会发布《美国联邦信息和通信技术中源自中国的供应链漏洞》报告,建议制定国家战略以应对联邦信息通信技术中的商业供应链漏洞,包括与中国有关的采购。该委员会同年11月向国会提交的报告又建议国会要求相关机构提交报告,评估中美两国产业链紧密结合可能带来的风险。同年发布的2019年财年国防授权法案,则明令禁止美国政府使用与采购部分中国企业的设备。美国还不断向欧洲盟国施压,以中止情报共享等相关威胁,要求他们全面停止使用华为的电信设备。这种做法人为割裂了原本可以共享和互利的全球ICT供应链,使其风险从通常意义上的安全风险上升为断裂风险。
关于构建完善国际治理制度体系的初步思考
与一般意义上的网络安全风险一样,对于供应链安全,从意识到风险,到逐渐认为需要应对,再到采取措施降低风险的过程,是缓慢而漫长的。前述可见,ICT供应链安全所面临的风险虽已受到高度重视,但通过国际协作达成有效治理的制度建设进展仍举步维艰,有些措施还起到了阻碍发展、导致风险升级的负面作用。在全球范围内达成共识,构建包括政府与政府、政府与企业、企业与企业三个层面的ICT供应链国际治理制度体系,势在必行。
在政府与政府之间,核心在于防止将技术问题政治化。当前,美国在5G领域对中国的打压,充分表明ICT领域的矛盾与其说是技术问题,不如说是被政治因素所主导。延伸到ICT供应链领域,政府所关注的问题,归根结底是其是否能够充分信任某一产品与服务的“来源地”。破解这一僵局,需要各国政府遵循以下原则:一是防止以国家安全考量为主导甚至是唯一因素;二是企业的“国籍”属性不应成为衡量其可信任度的主要指标;三是尽量在具有较大覆盖面的多边平台如联合国及其下属机构中开展对话,防止基于“共同价值观念”将全球供应链割裂为两个互不往来的体系。
在政府与企业层面,核心是确立行之有效的规范并相互赋权。形成顺畅的公私合作,充分发挥政府与企业各自的优势,是开展有效治理的关键。政府的主要职责是出台战略文件和指导性文件,其优势在于高效和有权威性,但也存在两方面的不足,一是无法在足够详尽以确保安全性和为创新留出空间之间达到合理的平衡,二是无法跟上技术发展的步伐。与之相比,行业界一方面对于前沿技术有精准的把握,另一方面具有足够的灵活性,其与政府之间的密切合作,成为ICT供应链安全治理的基本路径。与政府之间的关系一样,政府与企业的协作同样需要将建立信任作为基本前提之下。政府对企业应有足够的信任度,允许企业在标准制定、行业实践等方面发挥主导作用;企业也有必要接受政府的合理监督,从而在短期商业利益与长远企业发展之间形成有效平衡。
在企业与企业层面,核心在于重点加强对中小型企业的协助与监管。从各类业界安全调查来看,大型企业之间的合作关系虽然涉及面广,但带来的风险相对有限,关键在于大型供应商与采购商都已采取相对详尽有效的网络安全措施。与之相比,中小型企业同样是庞大的ICT供应链中不可或缺的环节,但它们的网络安全措施通常存在明显不足。具体措施可以包括:协助提供第三方认证,通过合理使用资格认定共享防御技术,确保中小型企业能够获得足够的资源,共享有效的实践措施,扩大优秀人才储备,等等。
结论
ICT供应链安全管理是一个复杂、多维度的问题,需要多种行为体的相互协调。而其全球互联的特性,又决定了相关治理制度体系的建立必然是全球各个国家、各类行为体共同努力的结果。破除当前ICT供应链国际治理面临的种种障碍,核心是破除固有的僵化思维,以互信为基本前提,以互利为主要目标,以互让为必要手段,强调互联互通而非人为割裂,提升安全可信度而防止敌视和焦虑情绪主导,形成有利于全球共享的利益共同体。
本文最初发表于《信息安全与通信保密》2020年4月刊。
参考文献
[1] 倪光南,陈晓桦,尚燕敏等.国外ICT供应链安全管理研究及建议[J].中国工程科学,2016,18(06):104-109.
[2] IATAC.Risk Management for the Off-the-Shelf (OTS) Information Communications Technology (ICT) Supply Chain[EB/OL].(2010-02-23)[2020-02-10].https://www.csiac.org/csiac-report/risk-management-for-the-off-the-shelf-ots-information-communications-technology-ict-supply-chain/.
[3] Accenture Security,2019 Cyber Threatscape Report, August 8, 2019, https://www.accenture.com/us-en/insights/security/cyber-threatscape-report.
[4] ENISA, Supply Chain Integrity, August 2015, https://www.enisa.europa.eu/publications/sci-2015.
[5] 外交部.信息安全国际行为准则[EB/OL].)(2015-03-15)[2020-02-10].http://infogate.fmprc.gov.cn/web/ziliao_674904/tytj_674911/zcwj_674915/t858317.shtml.
[6] Scott Charney, Eric T. Werner. Cyber Supply Chain Risk Management: Toward a Global Vision of Transparency and Trust[EB/OL].(2011-07-26)[2020-02-10].https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/REXXtT.
[7] ISO. ISO/IEC 20243:2015 Information Technology — Open Trusted Technology ProviderTM Standard (O-TTPS) — Mitigating maliciously tainted and counterfeit products[EB/OL].(2015-09)[2020-02-10].http://www.iso.org/iso/catalogue_detail.htm?csnumber=67394.
[8] EastWest Institute.Purchasing Secure ICT Products and Services: A Buyers Guide[EB/OL].(2016-09-13)[2020-02-10].https://www.eastwest.ngo/sites/default/files/EWI_BuyersGuide.pdf.
[9] LEVITE A E.ICT Supply Chain Integrity: Principles for Governmental and Corporate Policies[EB/OL].(2019-10-04)[2020-02-10].https://carnegieendowment.org/2019/10/04/ict-supply-chain-integrity-principles-for-governmental-and-corporate-policies-pub-79974.
[10] Help Net Security.Third parties: Fast-growing risk to an organization’s sensitive data[EB/OL].(2018-09-20)[2020-02-10].https://www.helpnetsecurity.com/2018/11/20/third-party-risks/.
[11] Dan Larson.Global Survey Reveals Supply Chain as a Rising and Critical New Threat Vector[EB/OL].(2018-07-23)[2020-02-10].https://www.crowdstrike.com/blog/global-survey-reveals-supply-chain-as-a-rising-and-critical-new-threat-vector/.
[12] Sophos.The Impossible Puzzle of Cybersecurity, Sophos Whitepaper[EB/OL].(2019-06)[2020-02-10].https://secure2.sophos.com/en-us/medialibrary/Gated-Assets/white-papers/sophos-impossible-puzzle-of-cybersecurity-wp.pdf.
[13] Department for Digital, Culture, Media & Sport. UK Telecoms Supply Chain Review Report[EB/OL].(2019-07)[2020-02-10].https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/819469/CCS001_CCS0719559014-001_Telecoms_Security_and_Resilience_Accessible.pdf.