重點摘要:
- 北約同意將GDP的1.5%用於關鍵基礎設施防護,因戰爭日益鎖定民用資產
- 伊朗襲擊煉油廠、資料中心及海水淡化廠,凸顯企業安全與國家安全日益重疊
- 企業與政府就私營基礎設施強化所涉數十億成本由誰負擔產生分歧
重點摘要:

現代戰爭如今將民用基礎設施列為主要目標,迫使企業安全與國家安全展開一場代價高昂的融合。
北約32個成員國去年同意將經濟產出的1.5%用於保護關鍵基礎設施,因為伊朗針對從煉油廠到亞馬遜資料中心等民用資產的戰爭,正模糊企業安全與國家安全之間的界線。
「我們長期被和平寵壞了,」Vodafone全球企業安全與韌性總監Norman Heit表示。「人們沒有意識到,企業的實體安全是一種公共財,就像國防一樣。」
在與美國和以色列的衝突中,伊朗襲擊了波斯灣沿岸的煉油廠、石化設施、海水淡化廠及亞馬遜資料中心。疑似俄羅斯駭客去年遠端操控了挪威一座水力發電水壩的閥門,而美國當局今年四月警告,伊朗駭客正鎖定美國飲用水系統。這些攻擊反映了一個更廣泛的轉變:烏克蘭的發電廠、美國的公用事業設施,以及從波羅的海到台灣的海底電纜,都已成為戰時目標。
強化私營資產的成本——用鋼筋混凝土加固資料中心、將海水淡化廠遷入地下、建立關鍵網路備援——將高達數十億美元,而企業與政府之間已經開始就由誰買單展開爭論。
新國防算計
北約的這項承諾,是其將GDP的5%用於國防與安全之更廣泛協議的一部分,資金將投入與軍事相關的需求,包括網路安全、工業產能、鐵路、橋樑及軍事後勤所需的港口。這些工作的進展將成為各國領袖週二在土耳其出席北約峰會時的關注焦點。
「我們需要一個廣泛的國防概念——國防不再僅僅是軍事,」北約最高軍事顧問、義大利海軍上將Giuseppe Cavo Dragone表示。
這項支出目標出爐之際,企業正面臨快速擴大的威脅面。駭客不僅鎖定電腦檔案,更瞄準管理建築門禁、工廠控制等關鍵功能的系統,遠端造成實體損害。「針對實體系統的數位攻擊會造成實質問題,」義大利網路安全公司Exein的執行長Gianni Cuozzo表示。
每年處理三千億美元貨物的加州長堤港執行長Noel Hacegaba,今年五月啟動了一個網路防禦作戰中心,以抵禦每天數萬次的攻擊。「五年前,港口安全主要關乎人員與貨物。如今,它同時關乎人員、貨物、軟體、硬體與空域,」他說。
誰來買單?
在德國,代表私營企業與市政公用事業的強大產業協會,已對新的實體防護標準提出反對,警告這可能導致財務崩潰。紐西蘭政府提議對違反網路安全規定的關鍵基礎設施公司及其董事處以罰款,遭遇阻力。
「私營業主可以投資於備援、監控與修復能力,但只有政府與軍隊才能真正威懾、巡邏、歸因攻擊來源或回應敵對國家的活動,」曾在美國運輸部與國土安全部從事網路安全與基礎設施安全工作三十年的Marc Glasser表示。
歐盟在俄羅斯全面入侵烏克蘭後通過了新法規,要求各國減少漏洞,儘管許多國家在應於本月提交的國家風險評估上進度落後。英國則提出新法律,加強對海底破壞行為的處罰,更新了可追溯至19世紀的法規。在美國,成立於2018年的網路安全與基礎設施安全局,近年來預算與人員規模均已縮減。
伊朗今年三月的無人機攻擊摧毀了阿拉伯聯合大公國與巴林用於銀行及其他商業用途的資料中心。這些設施至今仍處於離線狀態,是隨著人工智慧依賴度增加使資料中心變得不可或缺所帶來的系列警示之一。「現在學會這些教訓,比以後再學要好,」卡內基國際和平基金會技術與國際事務計畫研究員Sam Winter-Levy表示。
多數政府並未提供激勵措施,鼓勵企業進行超越最低法律韌性要求的投資,這意味著有能力投資的企業將把韌性視為競爭優勢。「如果企業被期望支持國家保護關鍵基礎設施,那麼它們需要被激勵去這麼做,」Heit表示。Vodafone與其他八家電信公司去年呼籲歐洲當局與北約加強對海底電纜保護的公共支持與協調。
這些最新行動讓人聯想到2001年九一一襲擊後的應對措施,當時為效率而設計的機場徹底顛覆了營運方式,將安全置於首位。美國重組了聯邦政府,並投入數千億美元用於國土安全。如今,幾乎每一類設施都是潛在目標——而帳單仍無人買單。
本文僅供參考,不構成投資建議。