2022年7月6日,美国联邦调查局(FBI)与英国军情五处(MI5)两大执法机构负责人发表史无前例的联合声明,警示来自中国的间谍活动及其他经济威胁。 在面向企业高管和高校高官的听众发表讲话时,FBI局长克里斯托弗·雷称中国共产党构成的经济和国家安全威胁"极其巨大"且"令人震惊",军情五处负责人肯·麦卡勒姆则称其为"改变游戏规则的"威胁。 雷局长指出,中国政府"对西方企业构成的威胁甚至比许多精明的商界人士所认识到的更为严重",并称中国已干预政治领域,包括近期选举活动。 美国国家反间谍与安全中心在另一份声明中证实了这一观点,指出中国正通过公开与隐蔽手段加速影响美国政策制定,手段涵盖公开游说至收集州及地方社区领导人的个人信息,并利用经济激励手段奖惩官员。 军情五处处长麦卡勒姆进一步阐明,该机构过去三年针对中国活动的反制措施已增加一倍以上,预计不久后将再次翻倍。
网络安全威胁
雷局长向与会者表示,中国政府"决心窃取你们的科技——无论是什么推动你们行业发展的核心技术——并利用这些技术削弱你们的企业竞争力,掌控你们的市场"。他进一步指出,中国正动用多种手段,通过网络间谍活动实施"大规模欺诈",其黑客活动规模堪比其他所有主要国家总和。 军情五处处长麦卡勒姆补充道,中国共产党构成的最大威胁在于"危及在座诸位及同类人士所掌握的世界领先专业知识、技术、研究成果与商业优势",并强调中国政府带来的风险包括秘密窃取、技术转移及研究成果滥用。
作为迫在眉睫威胁的进一步证据,军情五处处长麦卡勒姆透露该机构已挫败针对航空航天组织的精密威胁,并描述了伪装成工作面试的复杂"招募"活动——此类活动旨在诱使技术专家向中国情报官员透露工作中的技术信息。麦卡勒姆表示,关于网络安全威胁的情报信息已与另外37个国家共享。
尽管该联合声明并未直接提及此类网络安全攻击对关键基础设施可能造成的影响,但其中许多关切同样适用于涉及关键基础设施的组织。这些组织应当同样严肃对待来自中国共产党及其他类似国家威胁行为体的威胁。
声明的重要性
这份联合声明是两位局长首次共同公开露面,也是西方世界两大国家级执法机构罕见的联合声明。这份史无前例的声明突显了若干常被忽视的网络安全核心问题:
- 网络安全威胁跨越了传统的国际边界。雷局长详细阐述了中国构成的威胁所具有的国际范围,并指出中国政府对我们的经济和国家安全构成了"最大的长期威胁——这里的'我们'指的是我们两国,以及我们在欧洲和其他地区的盟友"。
- 尽管企业通常将网络安全工作重点放在个人信息威胁上,但许多组织持有的知识产权对众多国家级的威胁行为者而言可能更为珍贵——这些行为者正竭力谋求经济优势。
- 应对此类威胁可能需要采取协调一致的国际应对措施,包括各国之间共享威胁情报信息。
中国的回应
中国否认参与了联邦调查局局长克里斯托弗·雷和军情五处处长麦卡勒姆所指控的活动,并通过驻华盛顿大使馆发言人声明,北京方面的立场是:中国是网络安全的捍卫者,政府绝不会纵容此类活动,且中国本身是网络攻击的受害者。 该发言人批评雷局长和麦卡勒姆的言论是"美国政客通过虚假指控抹黑中国形象、将中国描绘成威胁",并指责美国发动大规模网络监控行动,要求美国"在网络空间成为真正负责任的行为体"。
企业应当做什么
来自中国(及其他国家威胁行为体)的攻击可能随时发生。事实上,攻击很可能已经正在发生——前联邦调查局局长罗伯特·穆勒曾指出:"我确信企业只有两类:已被黑客攻击的,以及即将被攻击的。而这两类正逐渐合二为一:即那些既被攻击过又将再次遭受攻击的企业。" 为抵御此类攻击,各类企业应采取以下措施保护其知识产权和关键基础设施活动:
- 审查补丁策略与流程。国家行为体能够迅速且轻易地利用那些未能修复已知漏洞的系统。
- 防范内部威胁。尽管 雷局长谨慎地明确指出威胁来自中国政府和中国共产党,而非中国民众或中国移民,但企业仍需警惕所有员工可能对网络安全构成的内部威胁。
- 安全审计与渗透测试。聘请 独立安全公司开展渗透测试及网络安全审计,以验证企业网络安全防御体系的强度。
- 在网络中隔离关键资产。考虑 将最高价值的技术及其他商业机密迁移至与公共互联网物理隔离的独立计算系统。虽然对于仍在远程办公的某些组织而言这可能不切实际,但在业务允许的情况下,“便携式存储器传输”仍是最佳安全措施之一。
- 审慎评估在华经营风险。 在中国开展业务时务必谨慎行事。雷伊局长同时指出,中国现行法律法规对在华经营的外资企业构成风险,并敦促企业领袖评估与中国合作伙伴开展商业往来的风险。他表示:"保持技术领先优势,可能比与中国企业合作进入庞大的中国市场更能提升企业价值——否则最终可能遭遇中国政府和合作伙伴窃取、复制创新成果的局面。"
- 审查供应链中的技术风险。 鉴于对中国设备可能含有恶意软件及其他有害组件的担忧,美英两国政府均已 着手限制或排除中国设备参与下一代5G电信网络建设。 企业应全面审查供应链中恶意软件的潜在引入风险——不仅限于物理部件,还包括软件及其他网络组件,例如防火墙、路由器、无线接入点、笔记本电脑、电信系统、防病毒软件以及其他可能接触或访问数据的类似网络设备。 企业应仅从可靠渠道采购此类产品与服务,避免选用可能关联特定国家威胁实体的供应商——尤其需警惕那些对西方经济利益持侵略态度的国家(如中国、俄罗斯、朝鲜)相关组织的产品。企业可参考NIST SP800-161及NIST《软件供应链安全指南》,获取供应链风险评估与管控的指导方案。
- 制定应对地缘政治供应链中断的计划。除 恶意软件及其他恶意代码带来的供应链风险外, 企业还 应考虑地缘政治力量可能对其供应链造成的影响。 联邦调查局局长克里斯托弗·雷指出,中国正借鉴俄罗斯入侵乌克兰的经验,试图抵御西方可能实施的经济制裁影响。他特别强调,中国可能通过破坏供应链来挟持西方组织,而中国若入侵台湾或采取其他经济报复手段,所造成的供应链中断程度将远超今年因乌克兰事件引发的冲击。
- 审查灾难恢复计划。虽然 中国的攻击重点与传统勒索软件略有不同,但其可能通过采用双重勒索勒索软件的类似战术——即窃取信息并剥夺企业对信息的访问权限——来获取对大型企业的经济优势。 除上述措施外,企业还应确保制定完善的灾难恢复政策与流程(包括测试备份及恢复能力),以保障业务能恢复先前进展并维持竞争优势。
- 审查其他网络安全政策和程序。 针对知识产权挪用和关键系统瘫痪问题开展 桌面演练,并根据需要审查和更新其他网络安全政策及程序,以进一步保护这一重要资产。
结论
或许警告中最鼓舞人心的表态来自雷局长,他坦言:"我明白这一切听起来令人不安。但尽管威胁巨大,这并不意味着损害不可避免。"企业应采取上述措施,全面审查并更新其网络安全实践。如需获取有关贵公司网络安全态势的更多信息与协助,请联系本文作者或福里律师事务所网络安全与隐私业务部的任何合伙人或高级顾问。
