大国网络安全之加拿大:背靠美国“好乘凉”
作为“五眼”情报联盟的一员,加拿大的网络安全实力不容小觑,但在中文网络世界难觅加拿大的国家网络安全战略、架构及实力等信息。
不久前,加拿大在网络安全领域有一重大举措。6月14日,加拿大宣布了加强网络安全的一系列措施,向议会提交了C-26法案《网络安全法案》,该法案包括对现行的《电信法》进行修订以及实施《关键网络系统保护法》(CCSPA),旨在保护加拿大公民,加强金融、电信、能源和交通部门的网络安全。
至此,加拿大在网络安全领域已经形成了系统性立法,在该领域的资金投入也日益增多。据加拿大联邦政府数据,自2018年新版国家网络安全战略(NCSS)实施以来,该国在网络安全领域的投入已超48亿美元。
英国智库国际战略研究所(IISS)指出,加拿大的网络安全体系建设以防御为主,其防御实力可在全球跻身第二梯队。但由于自身缺乏科技创新实力,加拿大会借助美国国家安全局(NSA)的力量来建设自身力量,所谓“背靠大树好乘凉”。
网络安全防御框架演变
加拿大的网络安全建设是防御型,围绕威胁响应和防御建设。自2001年起,加拿大开始建设国家网络安全防御体系,其演变过程以2010年为分界点。2010年以前是初始阶段,政府发布了两项网络防御领域的政策:政府安全政策(2002)和国家安全政策(2004),界定基本安全要求和规范各部门安全义务。
但2010年以后,加拿大在网络安全领域加大投入,发布国家网络安全战略(NCSS),建立了管理网络防御的机制,明确网络防御框架中各参与者的角色和责任,对组织结构进行了重大调整,创建了加拿大网络安全中心等重要部门。
2015年,加拿大对国家网络安全战略进行了修订并于2018年正式实施。新版的国家网络安全战略是建立在数字时代安全和繁荣的愿景上,提出了网络安全领域的“五年行动计划”(2019-2024),以实现以下三个目标:安全和有弹性的加拿大系统。创新和适应性强的网络生态系统。有效的领导、治理和协作。
根据目标一,加拿大设立两个重要部门:加拿大网络安全中心(CCCS)和国家网络犯罪协调小组(NC3)。前者隶属于通信安全机构,后者隶属于国家警察局。网络安全中心是为政府、关键基础设施部门、私营部门和加拿大公众提供专家建议、指导、服务和支持的唯一统一来源。国家网络犯罪协调小组可以更全面地调查国家和非国家行为者对加拿大国家安全构成的网络威胁,包括网络间谍活动、盗窃知识产权、外部的影响和破坏活动。
根据目标二,加拿大为中小企业制定了网络安全的国家标准和认证程序,加拿大政府预计到2024年,这一举措将增加具有网络安全弹性的中小企业数量。政府还在网络安全领域创建了1000多个学生实习岗位,帮助学生培养就业准备技能。
根据目标三,加拿大政府加强了国际合作,包括与美国在关键能源基础设施保护方面的双边合作;推动和促进加拿大能源部门网络安全方面的全部门合作,确保加拿大人能够获得可持续、安全和有弹性的能源供应。
据加拿大联邦政府消息,为了实现上述目标,政府预计在五年中投入5亿美元资金,并在五年后逐年增加1.08亿美元。
面临的网络威胁
到2022年,“五年行动计划”面临中期检查,在完成上述行动之外,加拿大的防御框架仍面临着不少挑战。
在2018年国家网络安全战略实施过程中,国家面临的网络风险和威胁日益复杂,外部威胁态势的变化叠加内部网络风险的升高,使加拿大在网络安全领域面临的挑战越来越多,具体体现在以下三个方面:
国家网络安全战略的实施对数字系统和基础设施的依赖有所增加,COVID-19更是加速了这一趋势。此外,加拿大人每天依赖的关键系统越来越数字化和互联。
网络威胁参与者的数量和复杂程度显著增加。情报、安全和警察部门在应对网络威胁方面面临着越来越大的挑战,因为调查、缓解和应对网络威胁活动(包括网络犯罪)是资源密集型的复杂执法行为,且通常需要跨司法管辖区执法。
日益严重的网络安全劳动力短缺仍然是加拿大和全世界政府面临的紧迫挑战。
以下若干组数据能够更直观地体现加拿大所面临的网络威胁。CyberEdge Group的《2020年网络威胁防御报告》(CDR)显示,78%的加拿大组织在12个月内至少经历过一次网络攻击。2021年,这一数字则上升到85.7%。
【:2021年85.7%的加拿大组织至少遭受过一次网络攻击】
Kon Briefing数据显示,2021年7月至12月期间,加拿大发生了18起重大网络攻击事件,其中医疗保健行业受攻击最多。
【图:2021年下半年加拿大发生的重大网络安全事件】
安全分析团队Blakes分析了加拿大2020年至2022年最常见的威胁类型,其中最常见的是勒索软件攻击,达到67%;接下来是商业电子邮件泄露(18%),其次是电汇欺诈(10%)。81%的安全事件发生后都不会向联邦或省级隐私部门报告,而低报告率会阻碍加拿大政府对网络安全事件的反应能力和应急响应能力。
加拿大政府也意识到了上述问题,在接下来的计划中,它将通过以下方式继续推进国家网络安全:保护数字基础设施;加强对网络犯罪分子的打击力度,通过执法行动追捕和捣毁网络犯罪分子;增加网络安全从业者;投资网络安全创新关键领域;与各级政府、私营部门和学术界合作,提高公众网络卫生和对网络威胁的认识。
与美国互惠互利
在五眼联盟中,五个国家不可避免地在技术、资源上存在能力差距。而加拿大开发尖端技术的能力较为有限,加拿大会借助美国国家安全局(NSA)的力量来建设自身实力。在网络安全领域,两国共享的资源包括硬件、软件和技术人员;这也意味着,美国国家安全局和加拿大国家安全局的整合程度相对较高。
五眼联盟的存在意味着资源共享,其使命之一是在网络空间保护政府系统并提供情报以支持政府决策,它相当于为加拿大提供了一个价值数十亿美元的情报机构。在情报上,加拿大很大程度上依赖美国的能力。No pains no gains,加拿大也需为此付出相应的代价,美国反过来可以影响加拿大情报工作的优先次序,加拿大需要为盟友提供本国情报和隐私数据或者满足监听需求。
例如,加拿大广播公司报道,曾揭秘“棱镜门”的爱德华·斯诺登提供的机密文件显示,2010年G8峰会和G20峰会期间,加拿大允许美国国家安全局对峰会进行监听。当时,美国的驻渥太华使馆成了情报指挥部,在峰会期间与加拿大情报部门紧密合作进行监听。
由于网络空间的威胁态势不断变化,应对的成本也随之升高,一个国家越来越难以独自解决问题,加拿大从两国全方面的密切合作中获得了明显的收益。加拿大公共安全部与美国国土安全部共同制定并实施《加拿大—美国网络安全行动计划》,旨在加强两国在网络事件管理和增强网络安全公共意识方面的合作,同时联合两国私营部门分享安全信息。
在关键基础设施方面,加拿大南部与美国接壤,这意味着加拿大可以与美国共享陆地通讯资产和通讯基础设施。不过,两国间紧密的合作也意味着“一荣俱荣,一损俱损”,一方遭受网络攻击,另一方因共用公共基础设施的关系也会被波及。
除了依靠盟友美国,加拿大的网络空间国际战略框架中,还包括启动国际网络参与工作组、在加拿大全球事务部创建网络部门等。加拿大还积极参与制定国际网络战略,举办相关网络安全会议,在国际论坛和谈判上为加拿大争取更多利益。
培养本国网安人才是关键
虽然依靠美国可以共享一些情报和基础设施,但本国的网络安全发展离不开人才培养。目前加拿大网络安全行业人才发展面临四大挑战:
如何培养和留住网络安全运营人才;
如何确保为技术和非技术人士提供所需的知识、技能和能力;
如何应对不断变化的技术环境;如何保证加拿大工作场所的网络安全工作和活动正常化
为了应对上述挑战,加拿大在高校设立网络安全专业,全国共计一百余所院校开设了网络安全专业和课程。温尼伯大学、阿萨巴斯卡大学、康考迪亚大学和安大略理工学院等学院还提供网络安全硕士学位课程。
此外,加拿大还有网络安全教育门户网站,它集合了全国各地100多所学院的500多门课程,帮助学生提高专业技能,并辅助学生顺利完成从学校到职场的过渡。
【图:加拿大网络安全教育门户网站】
加拿大官方发起的网络安全学习中心(Learning Hub)和COMSEC(通信安全)学习活动计划也积极培养网安人才。
学习中心提供基础、进阶专业课程和研讨会,如社会工程学、身份验证、威胁检测及缓解等课程;还与学术界和私营部门教育工作者合作开展学术外展等活动,以帮助加拿大建立网络安全人才和能力。
COMSEC计划主要针对加拿大政府内工作并接触关键基础设施的人员及组织,涉及通讯设备的安全技术和相关安全措施培训。
经过以上努力,加拿大培养了不少网络安全人才。据ISC2 官网信息,加拿大共计有6842人持有CISSP证书。但随着2020年新冠疫情以来,线上办公需求激增,网络环境面临的威胁和风险增多,网络安全人才需求也变多,人口缺口随之拉大。在可预见的将来,如何保质保量地培养网络安全人才是加拿大的发展关键。
