ASPI 亞太網路安全成熟度趨勢報告

澳洲 ASPI 智庫的國際網路政策中心最新報告《2017年亞太地區的網路安全成熟度》反應了一年來網路安全事件的主要趨勢，並探討亞太地區各國如何衡量網路所帶來的機遇和挑戰。越來越多的資通訊基礎設施網路化後所面臨的網路安全問題，是亞太區域的最大挑戰。

雖然網路安全成熟度在過去一年普遍獲得更多的關注，但隨者網路攻擊的惡化，網路犯罪勢力不斷的投資更先進和創新型態的詐騙活動。今年初在各國之間發起相當「有感」的大規模破壞攻擊造成巨大的損害，就屬記憶猶新的 WannaCry 勒索軟體。由於此勒索軟體可以在 Windows 環境中迅速傳播，在本區域各級單位和學校也造成不等傷害。美國國家安全局和英國國家網路安全中心把這次襲擊歸因於北韓，雖然我們無從確切得知攻擊的動機和發源地是否有國家所資助的力量在背後，但這些事件很清楚地顯現一些國家正在積極使用破壞性的網路武器來獲取利益。

聯合國也曾經試圖通過談判，限制網路空間大規模的攻擊行為，不過在今年初並沒有達成一致的共識。澳大利亞 “International Cyber Engagement Strategy” 的出爐，是在聯合國網路保安機制「不彰」的情況下，具體發展出根植於自身國家利益的全方位網路國際發展政策說帖。這份說帖的出爐，我們認為非常值得各界實務和研究者琢磨。

亞太地區的一些國家，已經開始更為公開地談論以軍事為基礎的網路打擊和防衛能力。美國計劃將其軍事網路部隊「網路司令部 (Cyber Command)」提升為一個統一的作戰司令部，賦予其獨立性和權威性。澳大利亞也建立了一個資訊戰爭單位 (Information Warfare Division)，並宣稱它具有網路進攻能力。日本也提出擴大軍事網路投資，儘管基礎仍然很小。傳統軍事領域習慣將其網路防衛能力秘密化，不過更多透明度和分享原則是值得鼓勵的。加強開放，協作和其他建立信任措施將有助於確定國家行為的期望，例如澄清國際法是如何適用於網路空間，並減少網路事件導致意外升級為武裝衝突的風險。

網路犯罪也是該地區的一個大問題。網路技術的取得成本比以往任何時候都要低，網路犯罪的「獎勵」高，被逮捕的機會也很低。隨著本地區國家與網路普及度進一步加強，網路犯罪水平的不斷上升正威脅著網路所帶來的社會和經濟發展過程。東加王國是一個明顯的例子，它成為加入《布達佩斯公約》的第一個太平洋島嶼，該公約是一個能夠跨邊界解決網路犯罪的條約。整體來說，亞太地區所有國家的網路成熟度都有所提高：在網路治理，執法和國際參與度都顯示了更為強化的趨勢。

不過在報告裡也指明，令人擔憂的趨勢包含許多國家使用「網路安全法」來強化或加強資訊控制和推動比例不相符的監視和審查作為。雖然這不是本報告的研究主題，國際上另外有其它更為詳細的報告和討論平台。在今年的烏鎮物聯網大會之後，我們看到了驚奇的技術發展如何被高度快速運用到國家的監視和保安領域，這方面的成熟度提升，是否會讓「個人」和「人格」在網路安全成熟發展下第一個被犧牲的對象，在亞太地區的未來發展，我們目前是保持悲觀的。