關鍵基礎設施(Critical Infrastructure)一詞最早可回溯至1996年由美國白宮發布的第13010號行政命令。該命令對於關鍵基礎設施給予定義-「某些國家的基礎設施至關重要,以至於它們的失效與破壞,將對於國家國防或經濟安全產生削弱性的影響,這些關鍵基礎設施包括電信、電力系統、油氣儲運、銀行與金融、交通、供水系統、緊急服務以及政府行政的連續性」。
美國正式將關鍵基礎設施納入政治議程,是美國歷經911事件後,在2002年成立國土安全部,2003年2月提出《國家關鍵基礎設施與重要資產實體防護策略》。
歐盟也在2006年提出《歐洲關鍵基礎設施保護計劃》。同樣定義出數十項關鍵基礎設施的項目,並擬定防護方案,值得一提是,歐盟還進一步指出不同的關鍵基礎設施之間,有著日益增強的相互依存性,而這樣的相互依循性本身也是風險來源。
如在2022年烏俄戰爭、2023年土耳其與敘利亞發生強震後,歐盟內部引起許多如「戰爭發生時,如何確保網路與通訊運行?如何確保天然氣等能源短缺不至於造成電力中斷」的辯論。藉由相關的經驗來觀察,我們除須關注基礎建設的「相互依存性」,也須針對不同的時空、全球與在地情境,建立能夠滾動修正的機制。
日本也在2000年提出《打擊關鍵基礎設施網路恐怖攻擊的特別行動計畫》,然而,比較特別的是,日本在2013年提出《關鍵基礎設施的資訊安全措施》,該措施特別聚焦在電信、網路通訊部門,並指出資通訊設施在各個層面普及使用,若資通訊設施受到破壞,那麼以資通訊為操作基礎的電信、電力、金融服務等部門的運作,也將連帶造成衝擊,甚至造成難以恢復的損害。
對此,日本內閣府網絡安全中心特別指出-「資訊科技(IT)與控制等操作科技(OT)融合,並傳播到社會經濟系統,除已實現的系統外,也可能成為網路攻擊目標的物聯網系統,也變得愈來愈普遍」。
藉由日本的案例可以發現,外界可從兩個層面思考。首先是通訊、資訊廣義層面的「數位基礎設施」的維護與穩定性,其次則是其他以數位科技為連結、操作基礎的設施,這部分可稱為「數位化的關鍵基礎設施」。前者必須思考如何面對突如其來的損害,或者提供其他足夠的替代與備援能力。
而後者涉及的問題更複雜,背後原因有二:第一,不同關鍵基礎設施與部門的「領域知識」差異甚大,究竟什麼是此部門的關鍵組成、數據政策、操作流程,並非是傳統資訊安全人員能短期進入的。第二,其他關鍵基礎設施的數位操作人員、利害關係人,是否有足夠安全培訓與認知,以降低人員操作所可能延伸的風險,本身也是必須面對的問題。
而建構未來關鍵基礎設施則是前瞻未來數位生活、服務的要件。2022年11月美國發布《遷移到後量子密碼學》備忘錄,要求相關機構盤點可能受未來量子電腦破解的資訊系統清單之外,也倡議投入後量子密碼學(PQC)的相關研究,以提前思考未來可能的風險。
有關為何要談論數位關鍵基礎設施,可歸結於兩項重要思考:首先,當資訊與數位科技成為關鍵基礎設施的操作與控制基礎,在此同時,數位科技是否會發生系統漏洞、攻擊,這是電力、金融、運輸等關鍵基礎設施所面對的新興風險。其次,部分關鍵基礎設施的資訊與操作系統更新、替代的速度相對為慢,然而,在數位科技演化速度不斷加快的情境下,如何面對更高效的運算能力、運算方法,也須針對可能的「風險情境」,提前擘劃應對之道。
(本文刊登於2023/3/12 經濟日報A11版)