2016年12月14日

羅伯特.肯拿基（Robert Knake）於2011年到2015年，在白宮國家安全委員會擔任網路安全主任，因此他親身經歷過中國駭客入侵美國人事管理局的網路攻擊事件。他接受美國之音專訪，談論在歐巴馬政府任內的挑戰、川普政府面臨的網路威脅、中國與俄羅斯的駭客攻擊，以及美國應該如準備網路戰。

美國之音黃耀毅:
羅伯特，謝謝你接受專訪，到這來談論網路安全議題。
前白宮國安會網路安全主任肯拿基：
很高興來到這。

美國之音黃耀毅:
我們知道，在過去幾年，有許多起高調的網路事件，有人事管理局被黑事件，有俄羅斯駭客影響美國大選。你曾經是歐巴馬總統的白宮網路安全政策主任，請說說你面對過的挑戰，以及那件事最具挑戰性？
前白宮國安會網路安全主任肯拿基：
當然。我在白宮任職期間，其實只有一個主要任務，就是該拿中國怎麼辦。這包括兩個方面，一個是如何改變中國的行為，以及如何幫助美國公司保護他們自己，不受到中國網路攻擊。這是歐巴馬政府第6到7年主要的焦點。

美國之音黃耀毅:
有一起特殊事件，就是人事管理局被黑事件。你當時是否感到措手不及？回頭來看，你認為是否該有些不同的做法，或是在這方面需要做得更多?
前白宮國安會網路安全主任肯拿基：
在這方面永遠都需要做得更多，這是一個新興的議題，美國政府，就如世界上許多國家的政府，都才開始摸索。我要說的是，如果你回頭看，整件事的重點在於中國偷竊我們的智慧財產權，來協助中國公司。這是濫用他們的間諜能力、濫用特務能力。這是歐巴馬政府的焦點，而我認為在當時，這也是正確的焦點。如果看看歐巴馬任內大部分時間的俄羅斯動作，我想大多數的網路安全專家會說，俄羅斯所做的，是在國際法範疇之內，他們依照可稱之為“莫斯科網路規則”的規定在進行。這些攻擊都很具有目標性，目標明確，並非竊取智慧財產權，而是從國務院、白宮、美國參謀長聯席會議中，竊取國家機密。他們這樣做是在搜集情報，這樣的目的，這樣的間諜行為，是可以接受的。我想很多人沒料到的是，從情報搜集，到利用這些情報來進行資訊戰，來干預美國國內政治，來干預美國政府。這是個很大的改變，這也是川普總統必須要嚴正面對的。

美國之音黃耀毅:
你提到俄羅斯在進行的資訊戰，以及他們所掌握的情報。許多人也認為說，人事管理局被黑事件所造成的影響，可能幾十年都估算不出來。對於中國將如何利用從人事管理局黑走的資料，建立對付美國的力量，你怎麼看？
前白宮國安會網路安全主任肯拿基：
好幾年來，人們對於人事管理局被黑事件，一直有這樣的擔憂。我的看法有些不同。我要說的是，如果我們沒發現中國的確擁有了這些資料，這對於美國情報系統是具有毀滅性的，這對於保護美國國家機密也是具有毀滅性的。但正因為我們發現了，正因為我們知道中國有了我們的個人資料，也有了所有跟我們共事過的人的資料，我們就可以針對中國將如何利用這些資料做出準備。所以，即使那很具毀滅性，即使已經造成許多問題，而且彌補的代價巨大，但至少不會在20年後我們才感到奇怪，怎麼中國老是能壓制我們，怎麼老是知道該針對誰，怎麼他們老是能先我們一步。正是因為我們發現了，所以我們限制了他們竊取的資料的價值。

美國之音黃耀毅:
人事管理局被黑事件後，當習近平國家主席造訪華盛頓時，我們跟中國簽署了網路條約。那是與中國協商的外交努力。除了外交手段，我們是否也透過其他途徑跟方式，讓中國停止黑我們？
前白宮國安會網路安全主任肯拿基：
我想如果你看看那份協議，那其實尚未到達條約的程度。那只是美中兩國、兩位總統之間的一個協定。協定中，雙方同意不為私人企業進行駭客行為。美國從來沒這樣做過，也是我們掌握具體證據，中國有做的事情。這份協議是花了五年推動之後的成果，在這個方面約束中國。這包括與私人企業合作，跟它們分享資訊；它們或許成為攻擊目標，或許已經是受害者。從跟它們分享如何避免被黑的最佳作法，到採取外交步驟，來約束中國的行為。所以這份協議，事實上是由好幾件事組合而成的。這是美國公司，如曼迪昂特（Mandiant），發現中國解放軍駭客61398部隊。這家網路安全公司發表報告，在把中國黑回去方面做出貢獻，也將中國駭客攻擊的證據公諸於世，讓中國知道它們已經被人贓俱獲，而且還讓全世界都知道。接著是聯邦調查局起訴五名中國解放軍軍官。起訴書當中清楚指出他們的姓名、官階、軍籍號碼，還有他們在網路上使用的駭客化名，以及在西方常見的“通緝犯海報”上公佈他們的照片。這讓中國瞭解，美國是來真的，而且他們的否認也越來越薄弱。而我認為，已經到達一個讓中國重新考量的程度，因為美國現在說，這是雙方外交關係第一優先的議題。我們甚至願意實施制裁，傷害雙方的商業關係。到這一點上，中國才停手。從去年看來，中國駭客行動大幅度減少，所以我想這份協議成功了，而且持續有效。還有更多改進空間，而我想川普政府的挑戰是，如何在面對中國時堅守這條線，同時還能約束俄羅斯。

美國之音黃耀毅:
談到俄羅斯，你方才提到資訊戰，我們要如何對抗這種駭客行動？像駭客攻擊某一個主要政黨的資料庫，然後透露給媒體，或是維基揭秘之類的。你建議美國政府未來應該如何應對？
前白宮國安會網路安全主任肯拿基：
壞消息是，歐巴馬政府花了五年的時間，才在那個議題上控制住中國，而我們面對俄羅斯時的施力點更少。比起中國，俄羅斯跟我們的經貿關係更小，更少領域以及國際議題上需要我們的合作，所以更難以約束俄羅斯。我想網路安全界試圖傳達給川普總統的資訊是：“你必須找到一個辦法，讓俄羅斯瞭解他們不可以這樣做”。為什麼呢？因為下一次，可能就不是俄羅斯。沒有證據顯示中國介入本次大選，但中國可能從俄羅斯方面得到靈感。當想要重新談判某項貿易協定，或其他美中相關政策的時候，中國也可以對美國進行資訊戰。所以在民主過程當中，讓外國政府干預選舉，大家都會是輸家。因此我希望川普總統必須將約束俄羅斯、以及懲罰他們干預大選，作為他網路安全政策的優先考慮。

美國之音黃耀毅:
即使是眾議院議長李安也說過類似的話，如果今天是民主黨被黑，明天可能是共和黨。所以他也瞭解這件事的嚴重性。你從兩黨方面是否都聽到，這是個跨黨派的議題，兩黨都認同這件事的嚴重性?
前白宮國安會網路安全主任肯拿基：
這是肯定的。我想在華盛頓所有的議題當中，網路安全是個跨黨派的議題。在網路安全上有很強大的跨黨派共識。當我在歐巴馬內閣任職的時候，我們在國會山上有很強力的盟友，在私人企業當中也有很強力的盟友，即使他們是不同黨派的人。我看到這個跨黨派的共識會在下一屆政府當中持續下去。從目前當選總統川普所說的話，我看不出來他的作法將會與歐巴馬政府有巨大分歧，或是之前的布希政府，以及之前的克林頓政府。我想這是件好事，因為我們還在建立網路安全期間，還有許多需要作的，還有許多需要完成的事情，沒必要轉到新的方向。

美國之音黃耀毅:
說到川普可能會延續之前總統的政策，我們也看到他提名多位軍方將領擔任內閣閣員。有人認為，這可能代表未來他的政府將抱持更加鷹派的態度。在網路威脅方面，更加鷹派是件好事嗎?還是可能會讓事態變嚴重，導致如網路戰等後果，我們需要很謹慎？
前白宮國安會網路安全主任肯拿基：
我想現在來說還太早。川普目前任命了三位將軍，可能還有第四位，但還不知道這是否將讓川普政府更加鷹派，或是更溫和，兩者都有可能。這些將軍們擁有十年以上的實戰經驗，他們見過戰爭的代價，他們也瞭解戰爭的代價。他們從中汲取教訓。他們的看法，與其說是鷹派，不如用個他們可能不喜歡的字眼，可稱為“殘忍激進的”。許多時候，比起這些武將，文人擔任這些職位時，有時反而更加鷹派。我想現在說還太早。而在網路安全方面，我認為在保護美國公司方面，美國軍方能做的很少。基本上，這不是個軍方單位或文官部門的議題，這是私人企業的議題。互聯網是一個龐大的、持續成長的現象，100%由私人部門建造、擁有與運作。不管是軍方單位或文官部門，在進入那互聯網之後，都一定會造成他們原本想要避免的傷害。任何軍方做的事，都可能讓系統變得不穩定，讓公司虧錢而非省錢。從這個角度出發，我想川普政府目前發出的信號，就是私人公司要為自己的安全負責，而政府，無論是文官或軍方體系，都要協助私人企業保護他們自己，而不是由政府直接保護他們。

美國之音黃耀毅:
說到私人企業與政府之間的關係，歐巴馬總統在今年4月下達行政命令，組建了“加強國家網路安全總統委員會”（President’s Commission on Enhancing National Cybersecurity）。他們在12月1日剛發表了報告。在這份100頁的報告中，建議成立一個讓私人企業與政府部們能夠分享資訊的平臺。你在白宮的這幾年，公私部門分享資訊的做法進行的如何？而展望未來，你是否認為下屆政府會實施這份報告當中的建議？
前白宮國安會網路安全主任肯拿基：
我想這份報告所說的是，這些是已經發生過的事情，而這些是你必須要做的，這些是你要改善的地方。有很多成功，也有很多失敗，但整體而言，我們朝著正確的方向進行。這份100頁的報告，提出一些非常精細的建議，新的計畫，或是既有計劃的改革，讓它們能夠更成功，而不是要重新走向一個截然不同的方向。我想這是件好事。從我的角度出發，在歐巴馬政府內，我們很專注在將資訊傳遞給私人企業，讓它們瞭解美國政府，無論是執法單位、情報部門、文官機構，都擁有私人企業能夠保護它們自己的資訊。無論這些私人企業是攻擊的目標、或早就是受害者，歐巴馬政府誓言要知會那些公司或個人。我想這些做法，塑造了網路安全的模式。所以一家公司能夠發現它們受到駭客入侵的頭號理由，就是因為聯邦政府以及執法單位通知了它，我認為這是很大的改變。下屆政府的挑戰是，如何讓這樣的資訊分享變成雙向的，如何讓資訊從私人企業，流向有需求的聯邦政府單位，透過加工，再分享給其它的公司。

美國之音黃耀毅:
我們談過了私人企業，談過了中國與俄羅斯因素，那麼恐怖份子呢？許多恐怖組織都使用高科技，利用社交媒體，它們的網路能力也很強。我們要如何對抗恐怖主義，以及受到網路能力加持過的恐怖主義?
前白宮國安會網路安全主任肯拿基：
我們大部分看到的，恐怖組織利用互聯網的方式，跟財富500大公司利用互聯網的方式，是一樣的。它們想要利用互聯網來招募、來宣傳、來訓練。它們對於網路攻擊比較不感興趣。為什麼？因為即使是最具毀滅性的網路攻擊，其破壞程度也比不上他們在實體世界所進行的，物質上的、軍事性質的行動。伊斯蘭國在網路上播放砍頭的視頻，比起他們攻擊某家銀行並且關閉其網站，效果要來的大。後者的衝擊就是比較小。所以我想，恐怖份子利用互聯網，是每個人都在擔憂的，而這擔憂也是應該的。但進行一個即使算是比較小的攻擊，從恐怖組織的角度來說，它們寧願將這些資源，花在衝擊比較大的行動上頭。

美國之音黃耀毅:
關於下屆政府，前美國眾議院情報委員會主席邁克羅傑斯（Mike Rogers）說，在未來四年，川普政府任內將會有重大網路事件發生，而且是不可避免的。你會給當選總統川普什麼樣的建議，來應對這樣的重大網路事件？而我們可能看到什麼樣的重大網路事件？
前白宮國安會網路安全主任肯拿基：
我所擔憂的，同時也是許多人關切的，是針對電力網絡的攻擊。在美國，我們鑒定出16個對我們經濟來說至為關鍵的行業。這當中，每一個行業都依賴電力供應，我們的日常生活也要依賴電力。所以從這出發，我們電力網絡當中已知的弱點，或是我們看到外國的案例，如俄羅斯對烏克蘭電力網絡的攻擊，都彰顯這應該是最優先的。確保我們能夠查覺，阻止，並且反擊對於電力網絡的攻擊。這會是我的頭號關注目標。至於要如何避免，當然要做好保護電力網絡的工作，當然要在資訊分享上做的更好。但我想，川普政府最優先要做的是，要在這方面有非常明確的嚇阻政策。我們必須要讓敵人清楚明白，任何試圖阻斷我們電力網絡的攻擊，我們將會如何嚴正以對，也將會有什麼樣嚴重的後果。所以要讓他們瞭解，如果他們只是對美國有所不滿，阻斷我們的電力網絡不會是最佳作法，如果他們這樣做，將會讓事態越來越嚴重，並且將導致他們不會喜歡的後果。

美國之音黃耀毅:
順著這話題，來到我的最後一個問題。紅線在哪裡？舉例來說，攻擊我們的電力網絡，或甚至更大範圍的攻擊，是否等同於網路戰爭?
前白宮國安會網路安全主任肯拿基：
我想這是一個很難回答的問題。在歐巴馬政府內部，針對這個議題我們有許多爭論。我會認為針對電力網絡的攻擊，等同於武裝攻擊。我會說，在處理上用相同程度的方式處理。我們不會說這是網路破壞行為（Cyber vandalism），也不會說這是微不足道的行為，我們會說這是一個具有敵意的武裝攻擊行動，而我們將以同等級的手段回應。不一定是在網路空間，我們可能向海外派兵，我們可能調動航空母艦。對於造成那樣的損失，造成那樣破壞的網路攻擊，你可能會看到實體戰爭的回應。這是任何美國的敵人必須要瞭解的，美國對這樣的事情十分看重，這不是汙損網站（website defacement），也不是阻斷服務攻擊（DDos attack），如果有人做了，等同於在實體世界美國境內炸掉變壓器、要癱瘓美國軍隊這樣等級的事情，我們就需要這樣反擊。

美國之音黃耀毅:
謝謝你
前白宮國安會網路安全主任肯拿基：
謝謝你