很多事情已是公开的秘密,因为每个人都或多或少地在窥视着别人。虽然媒体头条评论常常都被美国国安局窃听丑闻所占据,但那些公共或私人情报机构仍在照常营业。尽管一时有所收敛,窃听游戏终归还是会继续,而且规模会更大,以补上这段时间落下的作业。而对于那些被窃听的国家,或许之前还在犹豫要不要加入这场游戏,现在我们也可以放心,它们的疑虑已经完全被驱散。经济间谍,或者讲得好听一些,经济情报产业的前景一片光明。
经济谍战——缺少规则的游戏
直到冷战末期,间谍活动主要还是围绕东西方事务展开,目标也主要是国防与航天部门。甚至相同阵营盟友之间,小摩擦也时有发生,导火线则是很久之前的某些情报行为被捅了出来。变化主要发生在苏联解体之后,情报机构都需要找新事情来做。
一个内涵丰富的新词也在这一时期开始流行:经济战。人们不再说“敌人”,而代之以“竞争对手”——所有有志于在全球市场攻城略地的经济大国。所以,法国军方常挂在嘴上的一句话变成了“只有盟友,没有朋友”,美国情报机构则干脆把“盟友”换成了“目标”。1996年的联邦工业间谍法则进一步规定和确认了美国安全机构的职责与全新架构。
突然而至的数字处理和存储浪潮带来新技术和新玩家:著名的黑客。他们就像横行于公海上的海盗在互联网上穿梭,偶尔也会为政府提供服务。今天的间谍技术,不仅被用来破解计算机系统,还越来越多地被一些出身于政府情报机构的个人用于公开性资源。
一个生意兴隆的“经济情报”产业也由此诞生,运用经济信息为私人部门服务。商业同军事领域一样,任何一条信息经过处理和分析都是“情报”。但最为棘手的是,这是一个缺少法律规约的领域。
对此,一些问题很枯燥却必须先解决:复制一份数据文件是否构成盗窃?未经授权访问某个网络是否等同于非法进入?如果是,谁应该负首要责任?软件设计者,被黑数据单位的负责人,还是入侵者?如果是外国黑客所为,是否还要牵涉到跨国司法?到目前为止,诸如这样的问题仅仅获得一些法理反馈,裁判的公平与否全看受理案件的法院。对于互联网犯罪——利用或以信息处理设施为目标的所有刑事违法行为——的定义还非常模糊。
没有哪家公司、哪个产业(商业、金融或工业)逃得过黑客的注意。2013年7月,世界联合交易会称其调查的全球46家交易所在前一年都受到过计算机黑客的攻击。同年,在一篇《金融时报》报道中,经营大量证券交易的美国存管信托和清算公司(Depository Trust and Clearing Corporation)将计算机犯罪描述为“对全球金融市场及相关设施的顶级系统性威胁。”(相关文章)
Omid Nodoushani 与Patricia A. Nodoushani发表于2002年的那篇标杆性文章中,提出了一个经典表述:“数字时代的黑暗面”。政府部门自己其实也是参与者,在反间谍和反恐行动中,政府开发并使用了大量高效率黑客工具。如果说美国国家安全局(NSA)的部分使命是为私人企业服务,它并不是这个“市场”上唯一的情报机构。虽然说美国、英国和意大利等,在这方面常常采取主动姿态,他们也同样受到了其他国家如以色列、法国和德国的攻击。这一游戏只有一个规则——别被抓住!
每个国家都秘密地参加了这场游戏,各自遵循着一套永远不可能被公开讨论或“管理”的规则。然而,政府至少可以在一个领域合法地采取行动:保护本国企业不被入侵或监听,或者在一个更大的框架下,确保本国企业不被外国竞价收购(take-over bid)。
竞价收购与国家安全?
人们常忽略的一个事实是,获取技术秘密的首要途径是购买它们(买下控股权或整个公司)。所谓“关键技术”或“技术主权”已经成了高度敏感的话题,以往只限于国防部门,但今天,两者的内涵要广得多,包括了所有关系到一国“核心利益”的技术——国防、能源采购、信息通讯、航空航天……
“Gemplus事件”给法国人留下了沉痛的教训。1990年代末,生产智能卡、SIM卡产品的Gemplus公司还是一家运营良好、蒸蒸日上的企业。高管们计划上市融资来确保未来的发展,同时偿还政府公共补贴。这时,一家美国风投德克萨斯州太平洋投资集团(Texas Pacific Group)抛来橄榄枝,提出以5.5亿欧元收购前者1/3的股权、CEO的职位以及将总部迁至卢森堡。
随着一系列财务数据的公布,Gemplus成功登陆纳斯达克在望,美国高管开始盘算将企业总部放到美国。这在公司创业元老中引起了恐慌,法国政府也意识到这样做的后果将是大批专利被转移到美国。法国工业和财政部及时出面阻止,但裂痕已经产生。此案给了人们清醒一击。
由于此案,政府直接或间接动用公共预算、保护拥有所谓关键技术的本国企业的做法,也开始被广泛讨论。很多领域都很重要,但被保护得最多的往往是研发投入巨大的大企业。在一个遵循国际规范的开放经济体当中,政府实际上无法干预或介入企业,因为这样会影响到投资者利益,另外,干预经济所需要人力、技术和财务资源也远远超出政府所能负担的范围。
产业机密的价值
除了关键技术,从更一般的角度来看,一个国家究竟该如何保护那些能够在国际市场为其带来竞争优势的技术和流程。产业机密不仅属于国家利益,更是一系列经济主体的自身利益,从黑手党到跨国企业,更不用说打着种种高尚旗号的军事黑客。
之所以只有极少的案例被媒体曝光,是因为作案者很难被绳之以法,真实数字远远高出我们的想象。法国内阁经济情报代表Olivier Buquen在2012年发表于《世界报》(Le Monde)上的一篇文章中说,“每年,法国相关部门所登记的针对企业的黑客攻击都在1000次以上。”这些行为通常有相同的目的——窃取文件或软件代码。在最近的一次案例中,宝马(BMW)公司被发现涉嫌窃取由Bolloré设计和生产的Autolib’电动汽车电池充电系统。Bolloré公司发言人Jules Varin 承认,“Bolloré目前还不清楚对方究竟从充电桩中抽取了哪些数据,以及用何种技术抽取的。要进入充电桩的信息系统,必须使用特殊的密钥。”
经济战实际上是信息战,从前是明着争夺专利拥有权,今天则是在数字空间的暗战。信息数字化至少导致了一个严重后果:越来越多不轨之人开始尝试用非法方式获取。而且,对于商业间谍行为,最新的趋势是从简单的个人账户钓鱼行为到敲诈甚至勒索赎金。苹果、 Dominos Pizza 等公司最近都遭遇了勒索。
潜在经济损失难以估量。2013年因互联网犯罪而导致的在案经济损失高达1.9亿欧元。法国信托证券产业委员会(Trust and Security Industries Council)主席Hervé Guillou在接受巴黎高科评论采访时说,这也仅仅是“直接损失”,“索尼公司被窃150万个信用卡账户信息,账面价值1.5亿欧元。但索尼从保险公司索赔13亿美元,来弥补因非法电子交易而关停服务器、修改数据处理系统造成的损失,以及为挽回公众信任而付出的公关花费等。”
不管是信息内容本身还是支持性数据,都具有同等重要的价值。黑客不仅对产业机密感兴趣,攻击数据中心也可以帮助他们向急于恢复访问的数据所有者索要赎金。任何形式和内容的敏感数据,都应该从物理和法律角度利用相关软件进行有效保护。
法律能做什么?
然而,任何法律都有其局限性。正如 Hervé Guillou所说, “就算你想对黑客袭击定罪,也没有办法,因为目前还没有专门针对互联网行之有效的国际性法律。该领域仅有的几项国际协定之一是《布达佩斯协定》,打击互联网上的恋童癖,然而,与各种汗牛充栋的航空、航天和海洋类国际公约相比,互联网立法成果简直可以忽略不提。 互联网犯罪受害者就如同当年公海上的西班牙商船。越来越多的财富开始转移到网上,人们暴露自己的银行信息,设计者互相交换知识产权,企业利用网络和电子商务工具进行生产、联系工厂和供应商以及客户,管理人力资源。受害者在明处,甚至担心自己可见度不够而把企业网站建得非常有吸引力,而对于打家劫舍者来说,整个世界的大门正在迅速地向他们敞开。”
虽然国际司法受到很大限制,各国政府却依然可以有所作为。途径之一是对网络安全进行投资。2011年,英国政府率先行动,花费将近10亿美元加强对现有信息处理系统的保护。并在伦敦警署设立专门的计算机犯罪科以及一个信息和经验交流平台。
美国政府也将计算机犯罪作为头等大事来应对。在密切监控各级涉密设施的同时,奥巴马总统在2013年12月签署了一项总统令,号召改善关键的计算机安全设施,并鼓励相关机构就私人使用可能威胁美国国家利益的信息制定相应标准。
由法国议员Bernard Carayon推动的一项旨在保护敏感信息的法律草案在2012年差一点被通过。起初,这项草案只是一项右翼提案,但左翼内阁两次都通过了该草案,体现了双方在此问题上的共识。但上议院最终还是否决了该草案,仅仅是因为其法律复杂性。有职业律师向法国《回声报》解释,“目前对产业间谍还无定性标准,因为不管是在法国刑法典还是知识产权法典中,都没有相关界定。”
然而,对于工作于“敏感部门”的人来说,这样的一部法律实在太有必要了。“对于犯罪分子有重要的威慑作用,”法国GDF-Suez集团系统安全部负责人Régis Poincelet认为,“最重要的是,企业根据这样的法律可以知道哪些数据需要保护,以及如何保护。仅这一点,就值得让这部法律通过!”
战略性资产——信息
在能源领域,信息敏感性不言而喻。GDF-Suez 子公司CofelyIneo设计生产无线电和雷达设备,数据安全这不仅关乎到这家公司的自身利益,也关系到其客户公司甚至整个国防的安全。CofelyIneo的副首席执行官Thomas Peaucelle解释道,“身处ICT行业,信息作为一种战略资产,其价值在很大程度上取决于发送或转发到正确地址所需要的时间。这种属性不仅是军用产品的内在要求,对于一些商业应用也同样关键。”
法国航空航天企业达索也积极通过其子公司达索系统部署网络安全,并对这个问题采取了更加全面的视角。该集团负责安全措施的Jean-François Bacherot 称,“保卫计算机系统免受恶意入侵是理所当然……要保护的不仅是有形资产,还包括无形的、道德的等其他资产,以及人力资源……控制重要数据要依靠两种能力:对信息价值的评估和对网络威胁的了解。” 面临类似挑战的企业,信息保护主要针对信息处理系统和网络,也包括与“云计算”和存储有关的风险管理。就目前而言,建立强大的保护虽然会造成不便,却是值得的:只要服务器保护得当,文件盗取还是很难的。但一旦入侵者进入服务器,后果的“严重性”是可以无穷大的,除非在服务器内部也对信息采取了防火墙措施。
石油公司道达尔在并购了Elf和Petrofina之后,重建了数据处理系统。该公司数据处理与通讯系统部负责人Patrick Hereng解释道,“两个因素促使我们改变安全架构:其一,我们的工作人员四处流动,他们需要随时随地通过各种设备来进入数据库;其二,企业扩大了,数据需要在不同客户和供应商的工厂、设备之间流动和交换。这使得‘内部’和‘外部’的界限愈发模糊,我们因此不得不重新考虑整个系统的架构以及相关的安全设施和措施。”
达索航空系统安全主管很好地总结了当前的形势:“我们面临的挑战很简单;解决它需要竞争力和及时行动。”虽然我们已经花了过多的时间在充分意识事情的严重性上,但接受教训和采取行动还来得及。
作者:菲利普•理查德
在法国一所外省高校学习信息科学与工程学后,菲利普•理查德服务于一家法国情报机构担任分析员。他的工作主要是从公开资源如公告、电视和互联网媒体上收集、处理和综合信息,即所谓的“公开资源情报”(OSINT)。合同结束后,他创建了自己的战略咨询和情报收集公司,服务对象主要为中小企业。
via:sptreview.org
更多阅读:
