网安国际化 | 巴基斯坦的网络安全机会 - 新鲜讯息

1.巴基斯坦的数字化与网络安全

根据巴基斯坦电信管理局（Pakistan Telecommunication Authority，PTA）的数据（1），到2021-2022年，巴基斯坦的宽带用户数量从2014年的低谷770万（占3.4%）增至1.24亿（占56.0%渗透率）。绝大多数互联网渗透是通过手机实现的，占总渗透率的54.6%。

可预见的是，网络安全意识较低。根据2020年全球网络安全指数（2），由于其容易受到网络攻击的脆弱性，巴基斯坦在194个国家中排名第79。在2023年的世界互联网发展报告中，巴基斯坦在52个国家中排名第45（3）。

随着巴基斯坦特别是关键基础设施的数字化，网络威胁格局不断扩大。伊斯兰堡在其供水基础设施中引入了监控与数据采集（SCADA）系统，使用了最近被俄罗斯黑客攻击的人工智能（AI）系统。巴基斯坦还推出了基于AI的医疗诊断，如Nayya Jee，并通过应用程序（如Marham和Sehat Kahani）实现了卫生部门的数字化。（4，5，6）

这种数字化是不平衡的，并且在安全方面的发展远远超过了安全。私营部门对网络安全和技术的投资基本上没有受到监管。该国依赖于进口的技能、硬件和软件。曾发生过多次数据泄露和黑客事件，针对的是政府机构（如国家数据库和注册局）以及银行、电信和能源等关键部门。（7，8）

为了确保国家数字资产的安全，巴基斯坦的网络安全战略逐渐从特定领域的方法转向更全面的“整个社会”方法。这个新框架包括四个支柱：准备、预防、监管和刑事化。

2.监管与隐私

巴基斯坦于2002年颁布了第一部互联网法，即电子交易条例，旨在保护金融交易。随着时间的推移，巴基斯坦实施了各种法规、法律和结构以加强网络安全。其中，2016年颁布的电子犯罪防治法（PECA）是一项根本性但有缺陷的法律（伊斯兰堡高等法院宣布其中的部分为违宪），该法律刑事化了对网络空间和数字设备的非法使用，但没有涵盖网络空间的战略维度。2021年发布的国家网络安全政策（NCSP）是第一个涵盖网络安全各个方面的国家战略。（9）

2021年的NCSP是一个雄心勃勃的政策，其重点是通过以下方式加强数字治理：

网络安全审计；

网络安全犯罪的特别法院；以及

提高关于网络空间的意识，包括在教育中纳入与网络相关的课程。

除了NCSP 2021之外，还有两个最近的法案：2023年的E-Safety法案和个人数据保护法案，因为保护个人的数字权利、电子商务和数字经济而受到官方赞扬。然而，它们也因在数据存储方面的模糊性以及个人数据保护委员会的独立程度而受到批评。

3.“全社会”的方法

除了法规，巴基斯坦网络安全立场的准备和预防支柱的关键特征还包括审计、安全的运营技术和公私合作伙伴关系（PPP）。

2023年，巴基斯坦电信管理局推出了一项全面的审计制度，允许电信公司进行第三方网络安全审计。此外，2022年，巴基斯坦颁布了运营技术/信息技术（OT/IT）网络安全法规，以帮助确保国家电力监管机构的安全。这些审计和OT/IT法规需要在其他领域进行扩展，以确保国家的关键基础设施和产业的安全。（10，11）

巴基斯坦的NCSP 2021支持PPP在促进网络安全文化方面发挥作用，类似于英国2022年国家网络战略的“全社会”方法。例如，巴基斯坦在促进卫生部门的PPP方面走在前列。然而，卫生是在省级管理的，这妨碍了省级卫生部门与联邦信息技术部之间的合作。PPP项目有着复杂的历史，因此修改后的2021年公私合作伙伴关系法和NCSP 2021的实施可以帮助将PPP纳入网络空间的格局中。（12，13）

2023年，巴基斯坦成立了其有史以来第一个国家计算机应急响应团队（CERT），效仿欧洲计算机应急响应团队（CERT-EU）。这将在联邦和省级层面加强网络防御，并促进不同层次政府之间的协调。（14）

4.前进的道路

总体而言，巴基斯坦已经制定了一套强大的网络安全框架，包括政策、法规、法律和结构。然而，在能力建设、法律的有效实施以及在所有领域推行法规和结构方面存在挑战，这妨碍了网络安全框架的充分实施。

此外，国内安全机构的重要影响力表明，巴基斯坦将在网络安全需求和公民隐私之间寻找平衡的过程中面临困境。

参考资料：

1.https://www.pta.gov.pk/en/data-&-research/publications/annual-reports

2.https://www.itu.int/epublications/publication/D-STR-GCI.01-2021-HTM-E/

3.https://www.nation.com.pk/09-Nov-2023/pakistan-ranks-45th-in-world-internet-development-index-report

4.https://www.thenews.com.pk/print/1051522-scada-to-be-installed-at-all-tube-wells-in-city

5.https://iips.com.pk/healthcare-technology-advancements-in-pakistan-innovations-and-impact/

6.https://www.ncbi.nlm.nih.gov/pmc/articles/PMC6058414/

7.https://www.dawn.com/news/1660199

8.https://tribune.com.pk/story/2406692/power-firms-asked-to-adopt-cyber-security-rules

9.https://moitt.gov.pk/SiteImage/Misc/files/National%20Cyber%20Security%20Policy%202021%20Final.pdf

10.https://tribune.com.pk/story/2427196/mandatory-cybersecurity-audits-for-telecom-power-sector

11.https://www.brecorder.com/news/40232308

12.https://www.ncbi.nlm.nih.gov/pmc/articles/PMC10332330/

13.https://www.adb.org/publications/public-private-partnership-monitor-pakistan

14.https://humnews.pk/technology/pakistans-first-national-cybersecurity-team-established/#:~:text=Pakistan's%20first%20national%20'Computer%20Emergency%20Response%20Team'%20established,-Web%20Desk&text=ISLAMABAD%3A%20In%20a%20bid%20towards,Emergency%20Response%20Team%20(CERT).