技经观察丨浅析美国网络生物安全风险报告及对我启示

一、美国加强网络生物安全应对的现实背景

随着生物技术与信息技术的快速发展和融合，生物领域的研究和实践持续向数字化和网络化发展，使得网络安全与生物安全风险相互叠加、渗透，逐渐演变为机理复杂、范围广泛且具有跨生物性的网络生物安全风险。2023年6月，美国网络安全公司Recorded Future基于定量分析指出，对美的网络攻击的目标及所属行业已开始涉及医疗保健领域。同时，美指出俄罗斯和朝鲜等国家存在攻击关键生物基础设施、生物技术企业和医学研究机构的行动，表现出了其实施恶意网络活动的意愿和能力。因此，美积极寻求布局预防措施、提升监测能力、加强对技术型恶意行为者的国家级应对机制，并将其等列为当前迫切需求。

鉴于这些日益增长的威胁，CSR发布的《网络生物安全关系：美国面临的主要风险和建议》报告指出，美国必须加强国内生物安全资产的安全，并促进国际合作，围湖美国国家利益，同时获得对全球网络生物威胁演变的一致见解，从而加强准备和战略响应能力。具体建议如下：

一是规范和加强生物数据网络风险治理。首先，需要纠正美国关于人类和工业基因组数据相关网络风险治理框架薄弱的问题。由于美国现行法律不承认人类基因组数据为个人身份信息，因此知识产权保护发对工业基因组数据的保障能力有限，无法解决基因组数据需要严格的隐私法和强大的安全支持措施的问题。2023年，美国生物伦理学家和卫生政策学者Mark Rothstein建议，国会应通过一项全面的健康隐私法，通过赋予个人被遗忘权、对个人数据采取去标识化等保密措施、禁止基于基因数据的保险歧视等措施，扩大对健康数据披露的隐私保护，制定类似于《通用数据保护条例》（GDPR）的全面联邦隐私法，并扩展1996年《健康保险可携带性和责任法案》（HIPAA）的保护措施。

其次，美政府还应考虑将生物经济和生物技术部门指定为关键基础设施，增加这些实体获得额外安全资金和保护的机会。将数字农业等纳入关键基础设施保护有助于帮助农民获得可利用的精密设备和畜牧设施的遥控器的指南，并避免灾难性中断等意外事件，进而保障美国的粮食供应。

最后，加强网络安全和基础设施安全局（CISA）与美国卫生与公众服务部（HHS）间的协调合作。例如加强通过行业分析和劳动力培训来加强医疗保健网络安全的立法修复，并确保CISA和HHS能够提供适当的资源来预防、检测和响应医疗保健部门的网络事件。

二是提高高风险等级研究标准。当前，美国实验室生物风险管理的指导框架尚未考虑到网络风险，需进一步补充。生物实验室及其监管机构应与生物风险管理框架共同收紧网络风险控制，以减小网络攻击的可能性和影响。例如，提前部署快速应对协议、进行稳健的数据备份可以减轻攻击的影响。

此外，加强对功能获得性研究的监督有助于减轻对生物安全的严重网络攻击风险。美政府应实施美国国家生物安全科学咨询委员会（NSABB）报告的两用研究建议，特别是通过制定一个能够定义生物科学研究的综合框架来评估网络脆弱性。

三是保护从数字到物理的前沿。一方面，明确生物技术领域的软件供应商有保障网络安全、防范网络攻击的责任。这种责任强调了对生物技术领域软硬件实施实施严格标准的必要性，尤其是具有特殊脆弱性的脑机接口相关硬件。网络安全责任的向供应商的转移有助于鼓励推行更加注重安全性的设计方法，并分散相关行政责任压力。另一方面，HHS应评估基因合成产品的监管效果，并要求基因合成供应商实施筛查协议。监管内容需包括对DNA合成设备的网络安全保护措施的筛查，如检查入侵检测系统（IDS）、缩短筛查的时间窗口、复查已完成订单、增加分布式订单中的数据共享。此外，扩大类似于《美国生物技术领导力国家行动计划》提出的DNA安保（SecureDNA）等自愿倡议，旨在降低生物武器可获得性、防范新的潜在的生物武器以及避免拖延合法研究，同时为基因测序仪设置可信任的代工模型，建立端到端的生物安全标准，确保基因科学在整个供应链中保持对潜在威胁的抵抗力。

四是加强对威胁的认识。建立公众信任以及通过准确传播消息来打击虚假消息是有效应对生物威胁的重要组成部分。美国土安全部的网络安全和基础设施安全局应制定协调一致的宣传活动，以提升公众对自然、有意或意外生物风险的理解和意识。此外，在安全宣传活动中注重加大与科学家和传播专家的合作，以增强公众的信服力和扩散力。

该报告展示了日益增长和复杂化的网络生物安全威胁。我需对网络生物关系中的风险予以动态关注并施以强有力的政策应对，尤其是立法和监管工作应侧重于加强医疗保健、生物技术和基础设施等关键部门的网络安全。此外，加强对生物安全实验室的控制和监督，促进信息共享，实施基因组数据的有效治理，并在安全措施与创新、负责任的数据共享需求之间取得平衡。