本APNIC文摘原標題為Tech community has role to play in improving efficiency of cybernorms,是由倫敦大學學院全球政治與網路安全系教授Madeline Carr撰文。聯合國治理專家小組(UN Group of Governmental Experts,UNGGE)在2015年提出11條網路規範,希望藉此約束國家的網路行為;規範內容包括分享資訊、防治惡意攻擊、積極通報弱點等。與其說此規範是為了讓網路從此運行無阻,不如說是為了防範網路安全事件發生時因誤解、溝通不良,甚至欺瞞而導致危險加劇或國家衝突。
過去網路規範的討論常侷限於政治面。事實上,技術社群,尤其是網路世界中身先士卒、首當其衝的電腦網路安全事件、危機處理團隊(各國CSIRT與CERT)等的意見也非常重要。
也因此,今年柏林IGF中,技術社群邀請來自CSIRT的領銜人物,分享自身經歷的全球性網路安全事件,以及UNGGE訂定的網路規範,究竟在面對這些事件中發揮了什麼實質效用。
Merike Kaeo分享2007年愛沙尼亞事件,這起事件讓全世界第一次了解網路安全事件與國際政治的密不可分。他認為網路規範中「回應合理求助需求」一條的確協助加速解決本事件,但也質疑所謂「合理需求」仍缺乏通用的共識定義與判斷標準。
另一位講者Maarten van Horenbeeck則分享2017轟動全球的NotPetya勒索軟體,以及全球網路安全威脅衍生的跨司法管轄問題。他認為,在處理全球事件時納入國家級CSIRT或許並非最佳解方,甚至有進一步拖緩解決速度的可能。
最後,Sumon Ahmed Sabir以網路營運方的角度,解析2016年孟加拉史上最大網路銀行竊案。他依親身經驗指出,在複雜程度與時間壓力都超高的情況下,還要求符合網路規範並不切實際。他也強調,多數實際上處理事件的技術人員根本對網路規範毫無概念,也不覺得網路規範有何好處。
工作坊中眾人一致同意,技術社群應該從頭參與網路規範討論。少了技術社群的洞見與建議,極可能導致規範不符合現實經驗、實際上難以執行。最重要的是,處理網路安全事件就是與時間賽跑;任何政治外交的繁文縟節不僅無益於解決事件,更可能拖垮或惡化整體情況。
*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為Tech community has role to play in improving efficiency of cybernorms。
Image by Wilfried Pohnke from Pixabay
