文 中国信息安全测评中心 穆琳
2021 年 11 月,美国生物经济信息共享和分析中心(BIO-ISAC)披露,2021 年春季发现有黑客利用极其复杂的恶意软件 Tardigrade 攻击生物制造基础设施,2021 年 10 月在另一处生物制造基础设施网络中再次发现该恶意软件,成为人们发现的首例针对生物制造基础设施的复杂 APT 攻击。近年来,网络安全与生物安全问题不断交织,针对生物数据、生物关键基础设施的安全威胁引发学界和多国政府广泛关注,发展形成网络生物安全这一新兴交叉学科,被认为是影响国际战略稳定的新兴变量。随着工程生物学的发展和网络技术的进步,加之新冠肺炎疫情催化了网络生物安全问题的加速曝光,相关威胁不断升级。在各国网络生物安全问题应对尚处于理论研究阶段、安全实践不足的背景下,美国网络生物“灰色地带”威胁亟需引发关注。
一、网络生物安全现实威胁加剧
近年来,基因组学、大数据、机器学习技术呈爆炸式发展,生命科学和信息科学不断融合,重要生物数据库,生物数据分析软硬件平台,以及生物实验、生物制造相关信息系统等一系列生物关键基础设施的网络化、自动化程度不断提升,同时产生非法访问、远程操控、恶意利用以及失窃密等诸多现实威胁,新冠肺炎疫情则催化这一情况不断恶化。
(一)新型网络生物攻击可能引发生物战
已有研究表明,人工合成基因可用于制备病毒等致病微生物。美国、欧洲的研究人员已在实验室成功合成了引发小儿麻痹症的脊髓灰质炎病毒、新冠病毒等。随着越来越多的致病微生物基因组测序结果被公开发布,加之合成生物学自动化程度不断提高,使不法分子利用网络攻击控制生物合成系统、制备活体致病微生物成为可能,引发人们广泛担忧。2020 年 12 月,以色列内盖夫本古里安大学的研究人员发现,通过一种新型网络生物攻击手段——DNA 注入攻击,可以实现这种可能:在生物学家准备下单合成用于制备活体蛋白质的基因时,网络攻击者通过恶意软件感染生物学家的计算机,用致病微生物基因序列替换原基因合成订单中的部分或全部基因序列,并利用 DNA 混淆技术(启发于网络黑客恶意代码混淆技术)成功绕开了基因合成供应商的有害基因合成筛查软件的安全检测,使这个包含致病微生物基因合成的订单获得生产许可。这种情况将导致受攻击的生物学家在不知情的情况下制备出致病微生物,造成疾病传播风险,甚至成为生物恐怖袭击的参与者。研究人员在相关基因即将合成时取消了该订单。这项成果发表在国际顶级学术期刊《自然生物技术》,引发业内广泛关注。研究人员讨论认为,DNA 注入攻击是一种端对端的网络生物攻击,通过恶意代码改变生物过程已成为一种重大的新型威胁,犯罪分子无需接触危险物质即可诱骗他人合成病毒等,由此可能引发生物战。
(二)生物医疗行业成为网络攻击重要目标
2020 年 3 月,位于捷克共和国第二大城市布尔诺的一家大医院遭到网络攻击,导致该医院负责的全市新冠病毒检测工作推迟数日。2021 年 2月,英国牛津大学结构生物学部进行新冠病毒等致病病毒研究的实验室遭网络攻击,黑客对外出售该实验室用于制备蛋白质生物样本的机器访问权限。网络安全业界发现,新冠肺炎疫情出现以来,此类事件层出不穷。世界卫生组织、欧洲药品管理局以及中国、美国、英国、瑞士、德国、荷兰、意大利、法国、西班牙、泰国等多个国家的生命科学和医疗保健机构成为网络攻击目标,有的黑客利用勒索软件导致医疗服务供应中断,有的则通过蓄意散布虚假信息,干扰、破坏新冠病毒检测及疫苗研究等抗疫工作。网络安全公司 Black Kite、SonicWall 发布的研究报告显示,2020 年针对医疗行业的勒索软件攻击次数增长了123%,全球 10% 的大型制药公司面临着网络攻击的高风险。业内认为,新冠肺炎疫情促进生物医疗行业迎来数字化转型发展风口,未来将有越来越多的黑客团体、敌对势力或主权国家以获取经济利益、危害他国政治安全为目的,针对生物医药行业的生物关键基础设施实施网络攻击,窃取敏感生物数据、瘫痪医疗设备等,对各国网络生物安全造成严重威胁。
(三)生物制造基础设施首现复杂 APT 攻击
在美国生物经济信息共享和分析中心(BIOISAC)2021 年 11 月曝光的 Tardigrade 恶意软件攻击生物制造基础设施事件中,美国生物医学和网络安全公司 BioBright 的研究人员在深入研究后发现,Tardigrade 是恶意软件 Smoke Loader 的新变种,只有在特定环境中才会运行,能够适应环境并隐藏自己,有选择地识别要修改的文件,在与命令和控制服务器断开连接后可以自主运行,难以被检测和清除,或为生物制造基础设施量身定制,是迄今为止在生物制造领域发现的最复杂、极具针对性的恶意软件。该恶意软件正在生物制造领域广泛传播,攻击活动所涉及的部署勒索软件可能仅用于掩盖攻击者进行的其他活动,攻击行为复杂性极高,操纵者很可能是一个 APT 组织。美国生物经济信息共享和分析中心(BIO-ISAC)成立于 2021 年 8 月,是包括BioBright 公司在内的一些网络生物安全业界机构联合成立的一家非营利组织。近期,该中心与美国国土安全部就将生物制造基础设施纳入国家关键基础设施进行沟通。
二、网络生物安全威胁应对存在从理论到实践的鸿沟
网络生物安全概念的出现,源于 2014 年至2016 年间美国政府机构联合学术界、网络安全与生物安全业界对生物大数据安全、网络时代的生物经济安全等问题的研究。近年来,美国通过政府引导、公私合作,不断推动科研院所、智库与产业界深入探索网络生物安全的覆盖范围、战略价值与风险隐患,为网络生物安全新学科的发展建立理论基础。在美国的领跑下,荷兰、英国、澳大利亚、意大利、加拿大等国纷纷加入针对网络生物安全的理论研究,重点针对医学、农学、化学、放射和核等领域存在的网络生物安全威胁与应对策略展开讨论。2020 年 11 月,我国国家计算机网络应急技术处理协调中心(CNCERT)发布《2020 年中国网络生物安全发展报告》,对我国网络生物安全的发展提出建设性意见。总体而言,当前各国对网络生物安全这一国家安全新领域的认识尚处于从“是什么”“为什么”到“怎么办”的过渡期,理论探讨多、实践操作少,威胁应对能力尚在建设之中。2020 年 10 月,在弗吉尼亚理工大学主办的“利用网络生物安全保障农业和食品经济安全”研讨会中,来自美国联邦调查局、农业部、国家标准与技术研究所等政府部门,以及两党生物防御委员会、国防大学、弗吉尼亚理工大学、泰森食品公司等学界、产业界机构的 170 余名与会者讨论认为,目前社会各界尚无可用的网络生物安全培训和资源,未来与网络生物安全相关的培训、实践和推广途径尚不明确,下一步应创立网络生物安全培训和教育,继续开展跨学科合作,提高政府参与度,加快更好的网络生物安全相关安全实践。
三、警惕网络生物能力成为美“灰色地带”战术新手段
2021 年 5 月,澳大利亚研究人员提出,网络生物安全问题具有学科交叉属性,边界较为模糊,具有发现难、溯源难、应对成本高的特点,新颖的网络生物能力可赋能技术先进国家开发出“灰色地带”作战新方法,用于部署武器化的生物或网络物理系统,或以连接生物和非生物系统的信息传输和存储机制为攻击目标,成为现有军控制度上的管理盲点。“灰色地带”源于 2010 年美国出台的《四年防务评估报告》。2015 年,美军特种作战司令部在《灰色地带》白皮书中定义,“灰色地带挑战”是指国家之间、国家与非国家行为体之间以及非国家行为体之间的竞争性互动,这些互动介于传统战争与和平之间,具有冲突性质模糊、参与者不明以及相关政策和法律框架不确定的特点。此后,“灰色地带”一词频繁出现在美国政府、军队和智库的研究报告中,作为美国抨击中国南海战略、俄罗斯东欧行为、伊朗追求核武器和扩展地区影响力等情况的重要话语。实际上,美国才是“灰色地带”战术的主使者,不断通过网络战和信息战、向恐怖组织提供后勤、发动代理人战争等手段维持自身霸权地位,是“灰色地带”大国战略竞争战场的主战方。随着网络生物安全学科不断发展成熟、“灰色地带”属性不断凸显,美国全球领先的网络生物能力将成为其发展“灰色地带”战术新手段的重要抓手。值得注意的是,2021 年 10 月,美国在支援乌克兰网络空间安全建设的规划中,融入了关于开发乌克兰国家网络生物安全系统的内容。2022 年 3 月,俄罗斯曝光了美国在乌克兰生物实验室开展生物军事研究的情况,包括关于冠状病毒及其他致命疾病样本的实验。美不断扩大的“生物军事帝国”版图,为其将在网络生物安全领域的部署扩展至他国奠定基础,成为其“防御前置”战略的重要实践,为发动网络生物“灰色地带行动”埋下重大隐患。
四、结 语
2021 年 1 月,国务院学位委员会、教育部正式将“交叉学科”设立为我国第 14 个学科门类,其中“国家安全学”成为该门类下的一级学科。网络生物安全作为网络安全与生物安全发展融合的产物,是新兴交叉学科的典型代表。新冠肺炎疫情凸显各国在网络生物安全领域面临的一些共性问题,威胁程度与各国信息技术与生物技术水平,以及在网络安全与生物安全领域的综合能力高度相关。我国应尽快建立符合国情的网络生物安全审查制度,建立具有针对性的等级保护、风险评估与安全测评体系,加强我国网络生物安全威胁防御、检测和响应能力,为未来引导形成网络生物安全国际共识、推动全球网络生物安全治理贡献中国力量。
(本文刊登于《中国信息安全》杂志2022年第3期)
