對抗混合戰愛沙尼亞如何挺過史上第一場國家級網路戰反制俄羅斯資訊攻擊

發佈時間1/4/2023, 5:24:33 AM
最後更新1/4/2023, 9:00:44 AM

作者/莊逸心

從心理系轉哲學系,專長是精神醫學、現象學、以及故作鎮定地搞砸自己的人生。偶爾也聊詩和電影

愛沙尼亞是波羅的海三國中人口最少的國家,不過其在網路科技應用卻是領先歐盟各國,不只是第一個發行數位身分證的歐洲國家,更從 2005 開始全國大選就能線上投票。但愛沙尼亞也因為在 2007 年移除首都塔林的蘇聯戰爭紀念碑,引發俄羅斯強烈不滿並發動資訊攻擊,遭受軍事專家眼中「史上第一場國家層級的網路戰爭」。不過,這場不見煙硝的衝突並沒有讓愛沙尼亞放慢數位化的腳步,更從中學習經驗,積極從公民意識、資安技術等層面強化對抗俄羅斯資訊攻擊的能力。究竟,愛沙尼亞如何應對來自俄羅斯「混合戰」的威脅?其中又有何值得臺灣借鏡之處呢?

高科技力「波羅的海之虎」 領先全歐發行數位身分證

愛沙尼亞是波羅的海三國之中人口最少的國家,僅有 132 萬,只比彰化縣人口再多一點點。雖然人口為波羅的海三國之中最少的,愛沙尼亞的經濟與科技實力卻不容小覷,不但人均 GDP 在三國之中位居榜首,科技發展的速度更是令人瞠目結舌。早在 2000 年開始,愛沙尼亞就已經要求公務員改用電子公文和電子簽章;2002 年就發行了第一代的數位身分證(eID card),是全歐洲第一個推行的國家。這張電子身分證不但能讓國民快速連上所有政府機關的線上服務,甚至買車租房、小孩的學校註冊或施打疫苗等等都能從此省去紙本文件,只要帶身分證就行。2005 愛沙尼亞更開展另一項創舉,成為世界上第一個能夠在全國大選時線上投票的國家。2014 年該國啟動了「數位公民計畫(e-Residency)」,只要繳納一百歐元就能申請成為愛沙尼亞的數位公民——當然,所有申請手續也都是可以線上完成的。在全力推動數位化的同時,愛沙尼亞也在極短的時間內迅速修改及擬定周延的法規,以確保人民的資訊安全。該國的國家網路安全指數(NCSI)的排名高居全球第四,更被〈WIRED〉雜誌評為「世界上最先進的數位社會」。

很難想像這頭「波羅的海之虎」至今才從蘇聯獨立三十年,就能打造如此驚人的成績。但愛沙尼亞似乎有一種勇於跳脫傳統窠臼、努力創新的創造力與勇氣。綜觀該國歷任總統或總理,有歷史學家、哲學家、心理學家、生物學家,人民不但有勇氣選出非政治圈出身的素人,似乎也相當願意相信年輕的領導者:愛沙尼亞現任女總理 Kaja Kallas 就任時就只有 45 歲。

遭遇「史上第一場國家級網路戰」 愛沙尼亞積極強化資訊安全

然而,這個緊鄰俄羅斯聖彼得堡的小國,在全力發展數位治理的同時也是最先面臨俄羅斯資訊攻擊的國家之一。2007 年愛沙尼亞決定移除首都塔林的一座蘇聯戰爭紀念碑,引發俄羅斯強烈不滿,其後該國便遭受了數日網路癱瘓攻擊,從國會、銀行到各大媒體的網站無一倖免。多數政府機關跟銀行被迫關閉網站,導致銀行交易與各項數位服務大當機。這場網路攻擊被軍事專家稱為「史上第一場國家層級的網路戰爭」,卻也促使愛沙尼亞能夠更深刻地反省自身的網路漏洞與數位防治法的不足。隔年,愛沙尼亞政府宣布在塔林設立由北約主導的網路防禦中心(Cooperative Cyber Defence Centre of Excellence)。 2009 年,愛沙尼亞成立了網絡安全委員會,隸屬於政府安全委員會之下,目標是促進各機構之間的順利合作,並對網路安全的實施情況進行監督。國家並且三年頒布一次國家資訊安全策略書,詳細規劃未來的數位教育,以及政府、企業、國際組織如何更有效地完成資安訓練。2018 年,愛沙尼亞正式在國防軍內成立網路司令部。

<strong>2008 年成立於愛沙尼亞首都塔林的北約「卓越網路防禦中心」(CCDCOE)</strong>

2008 年成立於愛沙尼亞首都塔林的北約「卓越網路防禦中心」(CCDCOE)

從 2007 年的資訊戰回頭去看愛沙尼亞推廣的數位身分證,可以說是非常勇敢的一步。但愛沙尼亞並不是不知道推行數位身分的顧慮,一旦駭客駭進國家網站,全國國民的所有個資都可能被取走。該國制定的法規是,同樣的資料所有政府機關只能向人民索取一次;所有資料採用去中心化的儲存方式;而且每一次取用皆公開透明。例如:如果我今天在戶政事務所填了我的地址,那麼未來我到其他政府機關辦事時,他們就不能再叫我花時間填地址,而要透過特殊的資料交換系統 X-road 從戶政事務所的資料庫中索取該資料的使用權限。而每一次的索取,都會留下數位紀錄可供當事人查詢,讓我知道到底是哪些政府機關用了我的個資。索取的機關使用完畢後,也須依法將這筆資料消除。

由於各項個資並沒有一個中央儲存系統,而是分別儲存在不同的政府資料庫中,全部透過 X-road 的系統來連通,所以駭客如果想拿到所有國民的個資,必須要有辦法駭進上百個甚至上千個資料庫,這讓數位身分證的安全性大大獲得了保障。

然而,百密仍有一疏,2017 年數位身分證的晶片加密被爆出部分有資安漏洞,該國政府也迅速做出回應,回收所有可能有問題的晶片,並第一時間向國民公開說明,其後也定期公開調查報告。由於該漏洞在沒有遭駭客入侵前就被發現,最終沒有任何公民個資遭竊,可以算是極其完美的「超前部署」。

對應「混合戰」威脅 愛沙尼亞全方位準備值得臺灣借鏡

要能夠全國上下一心,在短短的三十年內轉型成數位化國家,除了要能夠將最先進的技術以最快的速度運用在實務之上,人民對政府和社會之間彼此的信賴其實也相當重要。大多數的愛沙尼亞人都認為,自己國家的網路安全意識是極高的,也相當滿意政府對於資安相關的制度研擬。愛沙尼亞的學界對於數位安全的學術研究成果也是有目共睹,該國更是歐盟數位化跟網路安全的主要推動者。早在華為 5G 風波之前,愛沙尼亞就有意識到資安危機可能不光來自俄羅斯,也來自中國。2020 年 3 月,愛沙尼亞議會批准了《電子通信法》的修正案,根據該修正案,國家戰略通信網絡需要拒絕使用某些類型的產品或技術,如果該產品的來源或製造商有安全疑慮。所有國家的安全系統都是採用歐盟或美國的硬體和加密標準,避免有任何地方經手俄羅斯或中國。

<strong>為了抵抗俄羅斯「混合戰」,愛沙尼亞政府在 2018 年發行民防手冊,讓民眾瞭解如何應對危機及戰爭</strong>

為了抵抗俄羅斯「混合戰」,愛沙尼亞政府在 2018 年發行民防手冊,讓民眾瞭解如何應對危機及戰爭

除此之外,該國對數位教育極其重視。除了基本的在中小學廣設網路設備、開發全境 Wi-Fi、在社區提供免費的電腦課程之外,愛沙尼亞更有一套完善的科技教育方針,讓數位教育能夠融入到其他科目當中。中小學裡有「媒體識讀週」教導孩童如何認識及提防假訊息;到了高中國防課程也會納入資訊安全教育,並告訴學生愛沙尼亞國防軍如何面對資訊戰。

當然,在全球化的時代不可能做到盡善盡美。首先,愛沙尼亞對俄羅斯仍然有一定程度的能源依賴(主要是石油與天然氣),這個狀況還在努力改善當中。第二,愛沙尼亞境內仍有 25% 的俄羅斯裔,這些俄語族群長期接受俄羅斯的媒體灌輸洗腦觀念,宣稱愛沙尼亞早在 18 世紀就是俄羅斯的一部份,並且誇大檢視政府的各項錯誤或抹黑民主政治,這些較為脆弱的社會結構使得俄羅斯得以將其他問題——階級差異、資源分配不均、城鄉差距等等——轉化成自身的政治論述,藉此浪漫化俄羅斯的帝國主義思想。第三,國際化使得抵抗特定國家勢力變得更加困難,比如身為歐盟國成員國之一,歐盟對中國的貿易依賴也可能會影響愛沙尼亞。或是大型社交平台如 TikTok,就算有不實資訊在該平台上流通,也無法受愛沙尼亞的法律所管轄。加上 COVID-19 所造成的旅遊業大蕭條,以及烏俄戰爭之後的嚴重通膨,都可能造成國內的動盪,進而讓假訊息有機可趁。

但不論用各個尺度來衡量,愛沙尼亞在推動數位化的同時得以嚴密保障資訊安全,在經歷了 2007 年的重大資安打擊後能快速站穩,推動更多法規與更嚴密的部署,其快速精準的反應力絕對值得嘉許。要打擊資訊戰,公民意識與法律制度缺一不可,在兩方面都取得國民極大肯定的愛沙尼亞,或有更多值得臺灣借鏡之處。

註解

  1. 本文取材自愛沙尼亞「國際國防安全中心」(International Centre for Defence and Security)今年發表的一份詳細研究,說明波羅的海三國如何看待、評估並應對來自俄國的假訊息攻擊,並由此探討國家對資訊掌控的脆弱性和風險。此研究挑選了 20 位來自媒體、民間社會組織 (CSO)、國家機構(包括國防、安全和情報機構)、學術界和智庫的各方專家,前後進行了 60 次訪談,詢問他們對於國家暴露在假訊息威脅之下的看法、他們自身的經驗如何應對和防堵這些假訊息,以及目前的應對有哪些漏洞並該如何改善這些缺點。本篇將著重在愛沙尼亞的研究上。