如果国家卫星系统被入侵
There is always this myth that a cyber incident is between two groups of hackers who wear old-fashioned hoddies doing crazy stuff. Come on people... it is never like this. NEVER!
Disclaimer: All contents are under the Chatham House Rule1! All rights are RESERVED! All opinions are MINE!
前一阵子参加了Cyber 9/12 Strategy Challenge 2022,这个比赛一共就两天,结束之后睡了三天才活过来。虽然挺累的,但是真的挺好玩的,推荐对cyber policy&strategy感兴趣的朋友参加。这两天帮忙写(贼正经的)参赛总结2,回顾了一下整个过程还有挺多有意思的小事儿。今天先写一下关于这个比赛大概的情况,参赛的经历,最后写点儿有意思的事儿。You know, there are so many interesting stories to tell. Have fun reading ;)
A Cyber Incident in a Fictional World
We must let the right people do the right thing at the right time without knowing exactly what is “right”.
Cyber9/12这个比赛我之前就知道。2020年末刚开始接触security research的时候,参加一个ETH Cyber Group组织的workshop的时候听人说起这个比赛,ETHZ每年都组队参加。当时只知道这是个cyber policy&strategy比赛,具体怎么比也不知道,不过还是挺感兴趣的。但是2020年和2021年的比赛都因为各种各样的不可抗力奇奇怪怪就错过了,就这么着就腾着,一直到今年。本来都觉得肯定没戏了,因为没想到最后一个学期会来洛桑交换做thesis,ETHZ的赛前培训什么的肯定还是在苏黎世,EPFL又从来没听说过有派队参赛。不过幸亏不死心又问了一下,正好今年有三个EPFL的学生也想参加,三缺一!这么好的last-minute chance不安排上简直天理难容,of course, I am in. Let’s go ;)
Cyber9/12有一个赛前初选,之后的正式比赛一共有三轮,简单点说这个比赛就是一个cyber incident response演习。比赛一开始它会给一个事件描述,哪个国家在哪个时候出现了一个cyber incident(今年是一个国家的卫星通信系统出现了故障,原因未知,影响了整个国家北部地区的communication、digital payment、mining industry)。为了保证事件尽量接近真实,这个文件也会描述这个国家在历史上跟周围国家的地缘政治关系(刚刚从另一个国家独立出来,并依然存在领土、主权纷争),整个国家的经济情况(发展状况良好,digital payment十分发达,mining industry非常活跃)。
参赛队伍扮演的是cyber policy experts(responsible for cyber incident responses)的角色,每支队伍要根据每一轮的事件描述制定策略,然后在评委面前做一个10分钟presentation,紧接着一个10分钟Q&A。To add more flavor into the game, 每一轮都会有incident escalation(A国家发动了经济制裁,B国家在边境部署了军队,C国家公开指责这次cyber incident的幕后推手是XXX),参赛队伍需要根据新的情况调整策略,而且每一轮的准备时间越来越短(two weeks for round 1, 12 hours for round 2, 15 minutes for round 3)。
评委们扮演的是真正的decision maker的角色(feel free to imagine some big names like president, minister, deputy head),也就是说它们会根据presentation对参赛队伍进行提问,要求参赛者解释为什么这个时候做这个事情,有多大把握,有什么风险。评委都是真正在cyber incident response方面干过(this year there are judges from NATO, ANSSI, Swiss Armed Forces, Scottish Government, National Cyber Security Center CH, Europol, etc. you can check the full list here),所以它们提出的问题基本就是真实情况下在汇报的时候会被问到的。这个比赛的组织方partner有:Atlantic Council,United States Department of State,Swiss Federal Department of Foreign Affairs,so you can have a feeling on who might be interested in such competitions ;)
The Game is ON
大实话真的,老年人作息的话还是不要搞cyber incident response。
这个比赛的workload还是挺大的,主观感觉备赛期差不多是4 ECTS credits,参赛那一个礼拜基本full-time。参加比赛以前我们四个参加了ETH Cyber Group组织的、为期两个月的培训。虽然我们都算是学cybersecurity的,但是都是做技术的security engineers。Cyber incident response is never only about technology. 所以我们四个在两个月里要速成international law,cybersecurity regulation,political science,economics… 因为要学的东西太多了,只能是一个人负责一部分,这次我主要负责欧盟(European Union)方面的东西:搞清各个部门的职责分工,权力关系,能力范围,反应时间;安全事务要找谁,经济制裁要找谁,外交沟通要找谁,军事协调要找谁,技术合作要找谁;什么情况下可以把事态控制在某个国家内部,什么情况下要通报EU,什么情况下要寻求NATO的协助。
Cyber9/12这个比赛每年都在evolve。从初选就能看出来,今年ETHZ和EPFL一共出了四个队,结果初选就不知道为什么刷掉了两个,这个情况在往年是从没有出现过的(2021年ETHZ出了四个队全部通过初选)。初选之后的正赛一共三轮:第一轮32进16,第二轮16进4,最后决赛轮前四的队伍会再次排名。第一轮的赛题发下来的时候所有人都惊了,因为明显能看出来事件描述的精细程度远超往年。有意思的是,虽然它描述了一个半虚拟的世界(捏造了虚拟国家),但是明显能看出来各个方面都在影射真实情况。第一轮近30页的事件描述中夹带的私货有:俄乌战争,中美贸易战,非洲数字支付系统和采矿业发展,中非贸易合作,欧盟内部分歧等等。
这比赛打的挺过瘾的,强度也很大。如果进入到final list,那就做好两天睡三个小时的准备。我们四个本来觉得have fun得了,因为我们的背景实在是太technical了,这种比赛没有优势,但是初选被选上了之后压力就一下上来了,觉得还是得好好比不能太浪,但是心里肯定还是没底。这个比赛绝对是看teamwork,因为最后一轮只有15分钟准备时间,根本没有机会互相沟通,只能是明确分工,快速确定方向,然后就是,相信队友不会搞砸。赛前我们演练过两次,根据各自的特点:一个人负责串联,一个人做immediate policy,一个人做long-term measure,我负责总结和Q&A。之所以是我来做最后这一块,是因为practice run的时候,I somehow can answer all the questions from judges without actually answering any of them, and leave the impression that I have answered them very well. In short, I am good at bullshitting our way out. 真正比赛的时候超时会被扣分,所以最后总结要根据队友留的时间快速调整,保证结尾要能强调所提出的策略,并且结束在规定时间内。在之后的Q&A环节,there can always be mean questions from the judges that are real specialists, 我们四个确定的方法是,如果3秒之内没有人回答这个问题,I will always take it and do my magic ;) 这种分工真的是要看每个人的性格,因为在三轮比赛的压力下,nobody can hide its personality, so we must choose the role we are comfortable with.
个人感觉这个比赛运气成分是有的,赛前准备和临场发挥都很重要。我们三轮比赛算是低开高走。第一轮中规中矩,勉强晋级;第二轮发挥得挺好的,但是其他队也都做的非常非常好,出结果的时候是以第四名压线进的finalist;四个工程师能进决赛我们自己也是没想到,所以没什么压力,最后放手一搏反杀了两个队拿到第二。We are so proud of ourselves!
Some Random Things
Do not ask me why or how I know these things, I just know ;)
- 如果各位想知道情报部门的工作真正是什么样的: Mission Impossible is a "no", 007 is a "no-no-no". 有个法国电视剧叫Le Bureau des légendes, that will be the one you would like to watch.
- 虽然瑞士和欧盟之间的肥皂剧还在扯皮,但是ETHZ的Center for Security Studies(CSS)却是世界上研究欧盟安全策略最好的研究中心(可能没有)之一,它们的研究真的是直接对EU regulation产生影响。If you are interested in security policy research, CSS at ETHZ is a good place to go.
- A cyber incident is not necessarily equal to a cyber crime. 一般来讲每个国家有自己的Computer Emergency Response Team (CERT)专门来处理cyber incident。Cybercop也确实是有的,但是它们只管cyber crime,不帮你修复系统漏洞。
- 确实存在所谓“黑客国家队”,it is actually called Advanced Persistent Threat (APT). But things are complicated in this field. 有些人直接受政府雇佣,有些人平时单独行动政府只是“客户”,有些人既是政府雇员也自己接私活。出了个事儿以后很难讲这是政府行动还是个人行动,because they are the kind of people that are not necessarily under anyone's control. They do stuff because they want to.
- Cyber incident is never only in the cyber space. 军事、政治、经济方方面面都会受影响,“social unrest”往往是最先出现、也最难搞的问题。Re-building the trust is a fine art. When people are panic, we do silly things, and the whole country will suck.
- International law is almost a joke. I am sorry for such a bold opinion, but... jaaaa, more or less a joke. There is nothing "binding" in this field. As always, money rules the world, it sounds familiar, right? ;) “违反国际法”这件事本身其实没什么实质后果,因为没有机构有能力强制实施国际法。但是做的太出格把大家搞生气了一起开始经济制裁就非常难办了,毕竟没钱是会死人的。
- 基本上每个国家都在cyber space耍流氓。美国的cyber capacity依然是毋庸置疑、难以撼动的,所以美国的cyber strategy改变会影响整个世界。2018年US Department of Defense出了一个报告,明确写下了两个原则:一是Defend Forward,二是Persistent Engagement。也就是说对于潜在威胁国家长期的cyber space渗透、潜伏是明确公开的cyber defense战略。虽然这个已经是很久以来各个国家心照不宣的策略,但是这是第一次有政府正式文件公开这个事实。So you can see how this world goes crazy, especially in cyber domain...简单来讲,就等于说你还没做坏事,但是我看出来你要做坏事了,那我就先发制人把你干掉。魔幻不?反正我是觉得很魔幻…
- “性格不合”不仅是谈恋爱时分手的好理由,也可能是瑞士情报部门挂你面试的理由。俄罗斯情报部门确实会给莫斯科国立大学的一些学生打电话,如果真的去这种情报部门工作,出外勤之前要先结婚。搞笑不?反正我第一次听到的时候是大笑了整整一分钟。