圖、文/上報
美媒《連線》報導一場美國保險業的閉門兵推,模擬台海危機爆發前夕,中國駭客癱瘓全美5000家供水設施,進而引發大規模斷水等民生災難。在資源極度匱乏的殘酷現實下,究竟該優先恢復醫院供水「救人」,還是優先支援軍方去應對中國可能侵略台灣的行動?
美國媒體Wired News於8日報導,該媒體的資深撰稿人格林伯格(Andy Greenberg)參與一場閉門兵推,這場活動由一個名為CyberAcuView的保險業網路安全組織召集,邀請了大約30名保險業高階主管參加。
而格林伯格之所以受邀旁觀這場兵推的原因,其一:很少人了解保險公司在網路安全緊急事件中扮演的核心角色,但現實中,駭客攻擊受害者打的第一通電話,通常就是打給保險公司,接下來幾個小時內,再由保險公司批准並啟動律師事務所和網路安全事故應變服務業者的支援。其二:保險公司是很能讓人看清問題的遊戲參與者,他們有很強的財務誘因,必須正面評估風險,既不會誇大風險,也不會淡化風險。
中國駭美國數千水廠兵推開局 要先救那些客戶成難題
背景時間為2027年的美國獨立日前夕的7月1日為第1天。《紐約時報》當天早上刊登一則報導,內容是外界越來越擔心中國侵略台灣,而一個駭客組織持續發動大規模攻擊,已經占用了美國約3分之1的網路安全事故應變能力;同時,網路安全業界也發出警告,防火牆和VPN等網路邊緣設備存在3個漏洞,正遭到身分不明的駭客利用。
緊接著,美國聯邦政府發布一份限制傳閱的警告,指出數千家供水設施已遭入侵,控制系統沒有反應,而且一些零星通報顯示,已經出現實體損壞。
那麼問題來了,保險公司是否該告知廣大企業客戶這項危機?桌上大多數人都想把消息告訴所有客戶,但一名參與者持反對意見,他認為一般的保險模式,應該是由客戶先向保險公司通報事故並提出理賠,而非反過來由保險公司通知客戶。最後這名反對者被多數人否決,最後決定通知所有客戶。
而在資源短缺的狀況下,該優先幫助哪些客戶也是棘手問題。最終,部分參與者決定按照客戶規模排定優先順序,以營收來判定規模,最大的客戶優先;部份決定按照先到先服務的方式決定客戶優先順序;或者依照政府所定義、但內容相當模糊的「國家安全」概念來決定,不過目前並不清楚,政府裡究竟會由誰來做出這個定義;也有人提議,向學術界的網路安全專家或國民兵尋求協助。
中國駭美國水廠掀停水逼出殘酷選擇題 保醫院vs.保軍方援台
到了第2天,全美各地有許多自來水主管線破裂,而大規模停水所帶來的連鎖效應已經開始浮現:冷藏倉庫裡的食品冷藏系統正在失效;仰賴用水的藥品和化學品製造陷入瓶頸,導致胰島素短缺;資料中心的冷卻系統也開始故障,造成雲端服務中斷;最嚴重的是,有2000家醫院沒有水,病患照護受到影響,有些醫院甚至因暖通空調系統停擺而被迫疏散。
此時,兵推情境中的一名軍官發聲明,呼籲保險公司協助應對中國帶來的地緣政治威脅。這也是整場遊戲進行到目前為止,第一次有人說出中國的名字。這名官員告訴業者,「我最擔心的,是我們能不能保護軍事機動能力,這是國家安全的關鍵要素。」
隨著災情不斷擴大,先前業者決定「最大客戶優先」、「先到先服務」的答案已被推翻,而是要決定,哪些供水設施應該優先獲得資源?他們會把重點,放在恢復那些能夠拯救最多人命地區的供水,像是醫院嗎?或是設法先把經濟損失降到最低?抑或是,他們會聽從軍方要求,把國安列為重點,優先支援軍方應對中國可能侵略台灣的行動?
最終,在場所有參與者大多都決定:首要任務是救人。然而,問題也隨之接踵而來。
一位參與者表示,「簡單的答案是公共安全、人命。更難的情況是,當監管機關或某個人打電話來,股東也開始提出問題。」並補充,「如果財政部打電話來問數字,而我們卻說自己正專注於人命,我不知道實際上能不能真的這樣說。」他說,如果有官員告訴公司,必須把重點放在電信或「軍民兩用」基礎設施上,那麼這件事可能就會變成「第一優先」。
也就是說,在一場災難性的網路攻擊中,選擇救人,可能就必須違反合約,即不理會軍方要求,甚至直接違背美國政府在一場逐步爆發的戰爭初期所採取的整體戰略。
災難性網攻恐「無法承保」!專家籲保險業主動促使客戶預防
主持這場戰爭遊戲的CyberAcuView執行長卡米洛(Mark Camillo)表示,結果顯示,一場災難性的網路攻擊很可能是「無法承保的」。如果保險公司不援引戰爭行為除外條款來免除賠償責任,這類事件的成本肯定會讓整個保險業破產;但如果真的援引這項條款,又會嚴重破壞美國社會對保險制度的信任。
卡米洛認為,這場兵推帶來的一個教訓是,保險公司可能需要一個像《恐怖主義風險保險法》(TRIA)這樣、專門因應恐怖主義風險的政府基金,來協助負擔相關成本,並在網路災難發生後的幾年裡,再由保戶繳納的款項重新補充基金。
共同主持這場兵推的美國網路安全暨基礎設施安全局前策略師科曼(Joshua Corman)表示,更大的教訓是,保險業或許比美國政府更擁有一種獨特的力量,可以改變這一切。方法不是學習如何在駭客攻擊災難發生時應對,而是把重點放在如何防止災難發生。例如,保險公司可以透過保單要求客戶加強自我保護,迫使客戶檢查自己的網路,找出那些沒有安裝修補程式、存在漏洞的網路設備;或是要求客戶加入網路安全資訊共享組織。
科曼表示,目前全美15萬1000家供水設施中,只有0.3%加入這類組織。與金融業或電力公用事業等產業的類似組織相比,這個參與比例低得令人震驚。
AI恐加劇網攻 中國埋伏美國民生設施等台海危機出手
曾任美國網路安全暨基礎設施安全局(CISA)局長的伊斯特利(Jen Easterly)警告,人工智慧可能讓這種大規模破壞的假設情境變得更加可能,尤其是在未來幾年,人工智慧被用於攻擊性駭客行動的速度,可能會超過防禦方使用人工智慧的速度。
他說,中國準備工作的規模究竟有多大,目前仍不得而知,但其意圖非常明確,「我是否認為中國有任何改變,改變他們刻意在我們最重要的民生基礎設施中建立存取點,以便在台灣海峽發生危機時發動破壞性攻擊的戰略?不,我不相信。」