《中东问题研究简报》第283期—沙特阿拉伯的网络能力与国家实力
发布时间: 2023-09-26 浏览次数: 10

沙特阿拉伯的网络能力与国家实力

 

原文信息

【标题】Cyber Capabilities and National Power Volume 2

【日期】September 7, 2023

【机构】伦敦国际战略研究所(IISS

【链接】查看原文 pp.95-108)

 

编译信息

【译者】吴毅宏(新华社世界问题研究中心)

【期数】第283

【日期】2023926

 

沙特阿拉伯正在推行一项全面的网络空间安全战略,同时将其政治优先事项集中在国内稳定、经济连续性和抵御敌对国家方面。虽然沙特在过去五年中为加强其网络架构做出了巨大努力,但政府内部的协调问题仍是其面临的治理挑战。利雅得拥有相当有效的网络情报能力,但主要依靠外国技术和外国援助来加强这些能力。通过强烈的政治意愿和大量的投资,沙特实现了重大的数字化转型。然而,其数字经济仍然高度依赖于外国材料、专业知识和尖端技能的人力资源。在来自地缘政治和犯罪分子的数字威胁不断增加的背景下,利雅得制定了强有力的网络安全法规,并投入巨资提高网络弹性。在国际上,沙特主张保留对网络领域的主权,并倾向于在联合国相关问题上与俄罗斯和中国一起投票,尽管它试图通过主办国际网络安全会议来树立积极的形象。有关沙特发展进攻性网络能力的信息则非常有限。

一、战略和原则

沙特阿拉伯不仅从民用部门网络安全的角度来看待网络空间安全问题,而且还通过情报系统的棱镜来审视政权安全问题,该系统优先考虑国内监控和相关法律。利雅得的国家网络安全政策也深受地区动态的影响。沙特尚未公开发布任何专门针对军事或情报部门的网络相关战略,尽管这些战略几乎肯定存在。沙特的网络空间安全战略源于其2007年颁布的《反网络犯罪法》。虽然该法涉及与网络犯罪有关的常见问题,包括数据安全和知识产权保护,但可以说它更侧重于内容安全,以保护“公共利益、道德和共同价值观”,而不是非法访问信息系统。20111月,通信和信息技术部发布了《国家信息安全战略》(NISS)。2012815日,沙特阿美的计算机网络遭受大规模网络攻击,该战略因此变得更加重要。

NISS可被视为创建国家网络安全、风险缓解和弹性框架的首次尝试。该战略主要由非沙特籍的国际顾问起草,确定了五个主要目标:1.安全、可靠和有弹性的信息基础设施;2.建立一支专业的网络安全队伍;3.值得信赖的信息安全环境;4.符合王国安全目标的电子政务服务和基础设施;5.通过研究和开发实现经济增长。认识到沙特阿拉伯自身存在不足,NISS建议起草两项独立但相关的补充战略:一项侧重于一般网络安全,另一项专门侧重于关键基础设施保护。

NISS发布近十年后,利雅得于202012月发布了《国家网络安全战略》。该文件由国家网络安全管理局(NCA)编写,其首要目标是实现沙特经济的深远数字化。该战略设想了一个包含六个目标的综合政策框架:1.统一:全国网络安全治理,整合安全监管的所有方面;2.管理:确定关键基础设施,并根据风险程度确定保护措施;3.保证:承诺保护国家网络生态系统;4.防御:发展国家网络能力,抵御威胁;5.合作:建立适当的信息共享机制,加强伙伴关系;6.建设:投资于产业、研究、教育和培训。

在努力改善网络安全治理以促进国家经济和技术安全的同时,沙特在网络空间推进国内政治安全方面的投资也在继续快速发展。The Line是该国正在开发的智能城市之一,其设计由人工智能驱动,从智能手机、家庭和面部识别摄像头等各种传感器获取数据。表面上看,这种智慧城市提高了公共服务的效率,但同时也能实现政府的国内监控目标。有证据表明,网络监控工具在2018年追踪持不同政见的记者贾迈勒·卡舒吉(Jamal Khashoggi)的过程中发挥了重要作用。中国是沙特王国日益重要的经济和技术合作伙伴,与沙特开展了多个数字基础设施和视频监控项目。

二、治理、指挥和控制

2011NISS发布之前,沙特各部委和政府部门已经开始制定自己的网络标准以及政策和程序。由于各部委和其他当局之间沟通不足,沙特网络环境的特点是风险、威胁评估和响应协议各自为政,多年来网络安全一直缺少一个中央协调实体。20177月,萨勒曼国王宣布成立国家安全主席团(PSS),由情报大臣领导,负责反恐和国家情报工作,包括网络问题。PSS秘书处吸收了内政部中包括与调查、特别安全、应急部队、安全航空和技术事务有关的部门。国王还下令成立NCA,其相应建立了国家网络安全中心(NCSC),以内政部前属的组织为基础,并向PSS报告工作。

成立NCA的目的是集中开展与网络安全有关的活动,并制定国家网络安全、风险缓解和弹性框架。NCA理事会由PSS负责人、情报总局局长、内政部副部长和国防部副部长组成。NCSC负责落实NCA的技术和业务要求,其职能类似于大多数其他国家政府的计算机应急响应小组(CERT),提供全天候的防御系统、技术和指导,以保护各国家实体和关键国家基础设施运营商的相关系统。NCSC的正式职责超出了大多数CERT的正常事件响应职能,还包括制定标准和法规、风险识别和威胁分析,以及协调相关实体应对国家级网络攻击并从中恢复。然而,由于人力资源限制和缺乏与其他实体的合作,该中心似乎仍远不能有效履行这些职责。沙特也设有CERT,成立于2006年,提供的服务包括事件响应,但其主要任务是通过发布漏洞警告和与其他响应小组合作,提高沙特的网络安全意识。沙特负责网络安全的另一个实体是通信、空间和技术委员会(CSTC),负责监管沙特的信息和通信技术基础设施。该委员会还通过20228月成立的ICT-CSIRT提供CERT服务。后者监测ICT和邮政部门的网络威胁和漏洞,帮助预防和抵御网络安全风险和事件。自2017年以来,积极的机构改革议程帮助沙特加强了政府网络能力的指挥和控制,但涉及私营部门和民间社会的全社会网络安全响应的协调问题仍有待全面解决。

三、核心网络情报能力

沙特阿拉伯的国内和对外情报部门隶属于PSS,主要侧重于反恐、确保政权安全和收集地区情报。调查总局(GDI)是王国主要的国内情报机构,负责内部情报、反情报和刑事调查。GDI可能从沙特的主要信号情报(SIGINT)机构——技术事务总局(GATA)获得网络情报。情报总局(GIP)是沙特的主要对外情报机构。除了关注外国威胁和反恐之外,该机构还负责协调国防部(MoD)和国民警卫队等其他机构的情报发布工作。GIP直接向国王报告工作,它在沙特情报界的重要性体现在它为王储发挥的关键咨询作用及其与外国情报机构的关系上。通过与“先进系统”的合作,它很可能拥有网络情报能力。20233月,政府下令对GIP进行紧急重组和现代化改造。

国防部也拥有网络情报能力,但公开的细节很少。作为国防部的信号情报单位,无线电侦察部负责收集和分析电子信号以及语音和文本通信。斯诺登泄密文件披露了该部门与美国国家安全局的合作,后者提供了信号分析设备和解密能力,以换取前者允其进入阿拉伯湾偏远地区,并独享双方感兴趣的目标的通信。此外,国防部与沙特数据和人工智能管理局(SDAIA)于202211月签署了一份谅解备忘录,根据该备忘录,SDAIA将为国防部提供数据管理和人工智能方面的技术咨询服务,双方共享技术能力很可能会增强国防部的网络情报能力。

沙特统治者,特别是国王和王储,负责监督情报部门的能力建设。他们的预算和资源分配并不公开,但据推测,他们一直在大力投资发展网络能力,既从国外采购,也发展国内能力。为了回应国际社会对利雅得间谍工具和机构做法的愤怒,201810月成立了沙特情报重组特设委员会,以加强对GIP的监督,但此举在一定程度上被上述 2023年对GIP的审查所取代。

四、网络赋能和依赖

数字化是沙特阿拉伯经济多元化战略的一个重要方面。根据《2030年愿景》长期经济发展计划,利雅得正在实施一项国家转型战略,旨在将王国从石油驱动型转变为数字驱动型。沙特凭借其雄厚的财力和自上而下的决策能力,在跨越传统IT系统以实现数字化转型方面可能占有优势。与此同时,这种自上而下的方式也因缺乏对人力资本、私营部门、透明度和法治的重视而饱受诟病。截至2020年,数字经济占沙特全国GDP的比重为17.7%1190亿美元),预计到2025年将达到19%以上。

沙特90%以上的人都能上网,是该地区移动电话拥有率最高的国家之一,每100名居民中固定宽带用户的数量也高于全球平均水平。沙特阿拉伯的5G普及率也是该地区最高的国家之一。在数字化准备方面,沙特的2022年网络准备指数(Network Readiness Index 2022)在131个国家中排名第35位,在阿拉伯国家中排名第二,仅次于阿联酋(第28位)。但沙特在电信基础设施方面高度依赖外国供应商。该国最大的电信运营商STC已与诺基亚、爱立信和华为合作提供4G服务。对于5GSTC正计划进行多样化部署,将华为和思科作为其核心基础设施供应商,将诺基亚和爱立信作为5G无线网络供应商。沙特领先的移动通信运营商Zain KSA与华为合作,推出了该地区首个5G本地接入网,这对于将5G应用于垂直行业至关重要。Zain还与思科和诺基亚合作提供电信网络和其他5G服务。

沙特阿拉伯所有经济部门,尤其是技术部门的一个重要问题仍然是缺乏合格的国民。信息和通信技术行业的高级技能岗位主要由外国人担任。利雅得意识到了这种严重的依赖性,因此开始大力投资数字教育。例如,政府与沙特阿美石油公司合作成立了国家信息技术学院(National Information Technology Academy),以培训和培养本土人才。20219月,沙特政府还制定了一项40亿沙特里亚尔(约合12亿美元)的计划,以提高沙特年轻人的数字技能。

在外层空间领域,自2000年代初以来,沙特已发射了17颗卫星。但在先进的卫星通信方面,沙特阿拉伯仍然依赖外国援助。例如,用于先进通信的军用卫星是2017年时任美国总统特朗普访问利雅得期间达成的1100亿美元军火交易的一部分。

在人工智能发展方面,沙特一直在增加对研究和应用的投资。在2022年的人工智能研究排名中,沙特位列第 18 位,在阿拉伯地区名列前茅,实力最强。中国在沙特的人工智能发展中扮演着越来越重要的角色。华为已与沙特国家计算机科学研究所(NCAI)和沙特数字学院(Saudi Digital Academy)合作,培训当地的人工智能人才,而中国科技公司阿里巴巴也将为利雅得的智慧城市雄心提供支持。阿里巴巴在沙特的云计算领域也占有重要地位,沙特主权公共投资基金旗下的沙特人工智能公司也与中国人工智能软件供应商商汤科技(SenseTime)成立合资企业,以建立一个先进的人工智能实验室。

五、网络安全和弹性

202212月,NCA推出了《2023年国家评估网络计划》,将开展七项网络安全评估,改进网络安全控制措施。沙特在网络安全方面投资巨大,2021年的支出估计为30亿沙特里亚尔(8亿美元),其网络安全支出的年均增长率预计为137%,高于全球10.9%的年均增长率。由于这一原因,沙特政府2022年的网络安全和弹性在联合国国际电信联盟(ITU)的排名上升至第二位。

沙特是中东地区最大的经济体,同时也是网络攻击最频繁和最严重的国家之一。为了应对不断升级的威胁,利雅得颁布了各种有关网络安全的法律、法规和条例,但也面临着缺乏合格的、训练有素的执法人员和司法官员的挑战。20215月,CSTC宣布实施网络安全监管框架,以提高通信、信息技术和邮政部门服务提供商的网络安全成熟度。

外国公司在向沙特提供网络安全培训和专业知识方面发挥了重要作用。除了提供网络安全服务,这些外国公司还可以通过建立本地化的国防生态系统来促进本土网络能力的发展。例如,雷神公司(Raytheon)成立了雷神阿拉伯(Raytheon Arabia)法律实体,旨在通过建立本地防务生态系统,帮助沙特打造“世界一流的防务和网络能力”。

近年来,沙特扩大了与美国在打击恐怖主义和伊朗影响方面的网络安全合作。网络防御也是与美国军方合作的核心领域。展望未来,沙特阿拉伯计划扩大与包括新加坡和印度在内的其他国家的网络安全合作。

沙特阿拉伯一直在积极发展本土网络安全公司。其中著名的公司包括国有的Taqnia Cyber和沙特信息技术公司(均为公共投资基金的全资子公司)、技术控制公司和Versatile Solutions。这些公司与美国的Cybereason和俄罗斯的卡巴斯基等老牌网络安全公司以及密码学和网络情报领域的专业公司合作。除了本地的网络安全部门,利雅得还投资于国外的初创公司,以增强其网络能力。

为培养国内网络安全人才,NCA20228月启动了CyberIC计划,旨在协助建立60多家网络安全初创企业,并为10000多名沙特人提供网络安全培训。教育部和NCA20213月签署了一项协议,以启动联合网络安全培训和研究计划。沙特还通过各种国有实体投资网络安全培训。

六、网络空间事务的全球领导地位

沙特在制定网络规范和法规方面并非全球领先者。不过,它是全球网络安全市场上最新产品的热心客户。沙特王国没有加入任何全球打击网络犯罪协议。虽然它是阿拉伯国家联盟起草的《阿拉伯打击信息技术犯罪公约》(2010年)的签署国,但利雅得和其他国家并没有在自己的网络犯罪法律中提及该公约,阿拉伯国家之间在这一领域的协调仍然不力。沙特还是伊斯兰合作组织计算机应急小组的成员。

沙特主要致力于制定自己的标准。与其他海合会国家一样,它倾向于在网络空间治理方面保持完全的国家主权,而不是倡导多方利益相关者的方法。在联合国大会上,沙特倾向于投票支持俄罗斯支持的相关决议,这些决议通常主要涉及控制互联网。例如,沙特投票赞成俄罗斯在2018年提出的两项联合国大会决议,一项是关于网络治理,另一项是关于网络犯罪。

利雅得试图通过主办和组织区域及全球会议来提高其在网络安全领域的全球形象。例如,在沙特担任20国集团主席国期间,NCA在利雅得组织了2020年全球网络安全论坛启动仪式。202211月,沙特又主办了第二届论坛。

利雅得与华盛顿的关系错综复杂,中美围绕科技问题的竞争日益激烈,这使得沙特与世界其他国家一样,需要在中美紧张局势中扮演平衡角色。与参与制定全球网络空间规则相比,沙特对制定国内网络空间规则更感兴趣,但它喜欢通过主办会议和作为国内及国际网络安全公司的主要投资者来宣传自己。

七、攻击性网络能力

关于沙特发展进攻性网络能力以通过网络空间产生效果的公开信息非常有限,尽管沙特军方可能拥有这种能力。有证据表明,沙特针对卡塔尔等外部敌人以及内部持不同政见者开展了社交媒体信息行动。除了部署虚假账户来影响网络叙事外,,沙特还利用本地数字营销公司Smaat和巨魔农场(troll farm,指专门在网络上散播不实言论或发表煽动性评论的网络组织)来骚扰其政治批评者,并否认王储与卡舒吉之死有关。沙特政府在20233月下令对情报行动进行审查,这很可能会使沙特的进攻性网络能力更加制度化。

(本简报仅提供参考译文,以作交流之用,文中陈述和观点不代表编译者和编译机构的立场。如需引用,请注明原文出处。)