最近美国对中国技术公司的禁令(通过将其加入美国出口管理局的实体名单)并不是新的,而是对中国政府缺陷的持续关注的延续。这就是那个要求中国组织 "支持、配合和协作国家情报工作"的中国政府,通过侵占其他公司和政府的商业秘密和技术来加速中国的技术大跃进。美国政府和美国公司的担忧是正确的,几十年来一直如此。一些中国公司(一般在航空航天业)和俄罗斯公司(核工业)自1997年成立以来一直在实体名单上,当时我们许多人在28.8Kbps或33.6Kbps的调制解调器上使用Netscape Navigator,并且只能在当地大学访问宽带互联网(和我们最喜欢的搜索引擎Lycos)。1997年是中国加入世贸组织的四年前。
二十年前,窃取机密要难得多。快进到2008年,专家们对中国的网络入侵正变得 "更频繁、更有针对性和更复杂"表示担忧。今天,有了宽带互联网,像华为这样的电信公司有可能在几乎每个互联网节点和几乎每个物联网设备中嵌入带有恶意软件的软件和硬件。美国不想 "仅仅因为 "美国是一个经济霸主而削弱中国的技术进步,尽管这是中国政府的内部口号。美国贸易代表署的301条款申诉的重点是中国的不公平贸易行为和公开行动,这些行为为中国公司获取、强制转让或窃取商业秘密,包括知识产权、客户的个人数据和宝贵的技术数据奠定了基础。正如我们在之前关于中国自己的网络安全法的博文中所讨论的,中国认识到其数据的价值,要求所有CII(关键信息基础设施)运营商将所有个人信息和在中国大陆收集和产生的重要数据保存在中国大陆。在没有通过安全审查之前,他们不允许将这些数据传输到海外。
受网络犯罪影响的美国公司,其中中国被安全专家认定为 "世界上最活跃和最持久的经济间谍活动的实施者",没有很多途径来应对这些先进的持续威胁。根据系统漏洞导致的信息被访问和窃取,公司一般会关注以下问题:(1) 损害控制(安抚他们宝贵的客户群,说没有任何敏感信息被泄露,或者说 "这种情况不会再发生"),(2) 如何防止再次被黑(加强他们的网络和安全防御),以及(3) 如何减轻公司在市场上因被盗的商业秘密被崛起的中国竞争对手使用而造成的损失(维护公司未来的价值,这对股东是非常重要的)。中国黑客寻求高价值的技术信息,这意味着无论什么信息对美国公司有价值,对同一行业的类似中国公司也有价值。
美国并没有袖手旁观,而是在最近将五家中国超级计算机公司列入实体名单,这些公司加入了2015年列入的另外四家中国超级计算机公司的行列。美国政府也在加大对伊朗、中国和其他国家的进攻性网络战,而中国的黑客,至少是在反击,而且是持续性的。面对这么多无情的侵略,有时是每天都在发生的,美国公司有什么办法?他们可以向美国各州和联邦执法机构报告入侵和盗窃行为,这些机构可能没有时间、资源或倾向于追究黑客行为(2017年司法部只追究了165起计算机欺诈案件,2018年只有160起)。或者他们可以接受战场上的委托,加入全球网络冲突中的被授权者行列。
最近,乔治亚州的美国众议员格雷夫斯提出了H.R.3270号法案,即《主动网络防御确定性法案》,旨在为从事的欺诈和相关活动提供辩护,以防止对公司信息网络的非法入侵的防御措施。简而言之,该法案将保护防御性黑客在美国不被起诉,只要他们遵循某些准则。首先,他们必须向执法部门,特别是联邦调查局国家网络调查联合工作组报告犯罪情况,并获得推进防御措施的绿灯(获得预期批准或被黑客攻击后批准部署防御措施)。联邦调查局可能会提供关于改进这些防御措施的额外指导。第二,他们应改善其系统的防御措施,包括接受强化培训,利用强密码,并定期更新和修补计算机系统。第三,防御者被告诫不要违反攻击者的计算机可能所在的任何其他国家的法律。这严重限制了防御者可以做的事情,但拟议立法中的关键词是 "防御",而不是 "进攻"。第四,网络防御技术只能由合格的防御者在对归属有高度信心的情况下采用,并应采取极端谨慎的态度,不影响中间计算机(这是所有复杂的网络攻击的基础),不使网络活动升级,或造成附带损害(如身体伤害,财务损失,或威胁公共健康或安全,包括影响美国政府计算机)。允许使用归属技术来帮助识别攻击者,但不允许采取允许防御者以攻击性方式回击以削弱攻击者整个系统的措施(但防御者可以破坏影响其自身系统的持续攻击性黑客行为)。
如果防御者采用这些防御措施,他们仍将能够寻求民事补救措施(补偿性赔偿和禁止性救济)。积极的网络防御措施将不需要仅仅通过内部网络安全专家来进行,而是可以 "在 "授权的防御者的指导下进行。这意味着,网络安全公司的队伍在未来可能会涌现出想防御的黑客,而我们其他人可能会想投资于可信赖和可信的美国网络安全公司的股票。这些来自中国、朝鲜、伊朗、俄罗斯和其他地方的威胁将继续增加,而不是减少。
也许,有一线希望。几十年来,中国一直在窃取商业机密,损害了美国企业的利益。但是,尽管中国做出了种种努力,它还没有在这些被盗技术的基础上发展出许多强大的国内产业。这是因为手中有计划并不等同于拥有创造计划的深厚专业知识(见中国的山寨空军)。中国什么时候能有能力(和意志力)完全复制美国的研发实力?
同时,评估和加强你的网络安全并培训(和再培训)任何能访问你的网络的人仍然是至关重要的。
