更好认识太空网络安全

2022年2月24日，在俄罗斯入侵乌克兰几小时前，“被乌克兰武装部队使用”的Viasat的KA-SAT卫星网络遭遇“多方面”攻击。此次网络攻击的目的是阻止乌克兰利用太空领域应对入侵，但它也在整个欧洲造成了连锁反应，影响了整个欧洲大陆的数千名民用客户，包括关键基础设施。这次攻击揭示了太空系统在网络威胁面前的脆弱性。

卫星和任何数字物体一样，都可能被黑客入侵。然而，由于它们远离大多数人的日常生活，使得人们很容易忽视社会对它们的依赖程度。如果GPS无法使用，仅在美国就会造成每天10亿美元的经济损失。对卫星的网络攻击可能会同时严重扰乱金融市场、公路运输、天气预报、互联网连接、电网、空中控制和军事行动等。

太空空间固有的不利特性（例如，与地球的长距离、宇宙射线、极端温度、辐射）为长期忽视网络威胁的太空行业带来了一系列独特的政策、法律、技术和商业挑战。此外，太空系统的网络安全不仅限于在轨卫星的安全，还包括供应链、用户、地面和空间部分在其整个生命周期中的安全，这无疑增加了网络安全的复杂性。

当前，卫星越来越多地融入地面通信，包括5G和6G移动网络。除地球外，卫星在互联网基础设施中的作用可能会继续增加，例如，美国国家航空航天局和欧空局正在为LunaNet（月球网）制定标准，以实现在月球上的网络连接。

太空领域的网络威胁也发生了巨大变化。在太空时代萌芽时期，网络威胁专注于苏联和美国系统之间的电子威胁。从20世纪80年代开始，网络威胁主要集中在电子威胁、海盗和业余黑客拦截卫星数据，以及在冷战背景下干扰卫星广播（例如，非法宣传广播）。从20世纪90年代开始，卫星广播的兴起导致了卫星电视盗版的激增。2000年以后，非国家行为体的“欺骗”和国家支持的网络攻击增多，主要针对地面部分。自2010年以来，网络攻击的数量和复杂性持续增加，攻击目标转移到整个攻击面的商业和国有系统，并且具有众多的威胁实施者参与。

今天，太空领域网络威胁形势依旧严重，公众对“社会和军事对太空领域的依赖”有了深层次的认识和了解，使卫星成为网络威胁行为者的攻击目标。与此同时，黑客主义也在“抬头”，许多组织在武装冲突中偏袒一方（例如，Killnet将Starlink作为乌克兰战争的一部分）。犯罪集团现在经常以太空公司为目标（例如，Lockbit以SpaceX和波音为目标）。到目前为止，网络攻击通常会产生暂时的、可逆的影响，大多数攻击事件不是针对在轨卫星，而是针对地面站或用户终端。

最近，针对太空系统的网络攻击数量激增。然而，详细数字很难提供。这是因为大多数太空公司过去都是国防公司，它们依赖于通过隐藏手段来实现自身网络安全。他们避免共享信息、报告攻击或披露有关他们公司或系统的数据，以防止被任何组织和个人恶意利用。此外，他们也没有法律义务向当局或客户报告网络攻击事件及其后果。

3.1　政策问题

一直以来，全世界的太空领域公共政策在很大程度上忽视了对太空系统的网络威胁。直到2019年，学者们注意到这一盲点，认为太空系统的网络风险被过于简化、误解，网络和太空领域政策彼此不兼容。从那时起，各国逐渐在其公共政策中认识到太空领域的网络威胁。

除了常规的太空政策，主要航天国家开始采取太空防御战略，以应对不断变化的威胁格局。2019年，法国发布了《太空防御战略》，承认太空系统存在网络威胁，并将其视为最有可能面临的威胁之一。2019年，意大利通过了《太空国家安全战略》，以应对无意和有意威胁，包括网络威胁。2022年，英国实施了《太空防御战略》，该战略强调了网络威胁对英国军事行动能力的破坏性潜力，还强调了潜在对手可能针对英国太空资产的网络能力发展态势。然而，全球大多数国家除了采取反攻姿态（如法国、意大利）、将空间整合到网络演习（如英国）、强化或保持在退化环境中作战的能力（如法国），大多数政策文件几乎没有提出应对网络威胁的具体措施。

2020年，美国通过了《太空政策指令5》，这是一项专门聚焦太空领域网络安全的政策，为太空系统提供了总体网络安全原则。同时，太空部队的太空力量学说强调，太空中的网络行动是军事太空行动的一个重要方面，为了保持太空优势，美军在太空部队的防御和进攻行动的理论文件中加以描述。

新兴航天国家，如爱沙尼亚或以色列，在网络领域比在太空领域拥有更多的技术能力。这些国家已决定将网络安全作为其太空政策的重要支柱，并将其作为发展其太空项目的跳板。

在俄乌冲突爆发之前，针对Viasat卫星的网络攻击给欧盟国家敲响了警钟。欧盟的战略指南、网络防御政策及太空安全和防御战略都认为太空系统的网络威胁具有重大性、有害性和最有可能性。随后，欧盟相关国家建议实施基于设计的安全方针、网络安全标准的系统集成、商业实体之间的最佳实践交流、对所有欧盟太空项目进行一致的安全监测，以及在新的太空领域立法中整合网络安全措施。 

3.2　监管问题

在欧洲，太空领域的网络安全监管框架仍然很有限。虽然有11个欧洲国家通过了太空立法，但没有一个国家将具有法律约束力的网络安全措施纳入其中。

在欧盟层面，2022年，《网络弹性法案（NIS2 指令）》承认太空是一个高度关键的领域，并要求对“由成员国或私人拥有、管理和运营的支持提供天基服务的地面基础设施运营商”实施更严格的网络安全措施和报告机制。然而，作为一项指令，它必须通过国家法律来实施，迄今为止几乎没有一个欧盟国家这样做。此外，在其执行范围方面仍有解释的余地。例如，“地面基础设施”是否也包括用户和空间部分。NIS2指令的一般性措施，不一定适应太空系统的特殊性。

当前，欧盟也在制定太空立法，预计将整合网络安全措施。与此同时，一些欧盟成员国开始更新本国的太空法，将网络安全措施纳入其中，但要先等待欧盟的立法。欧盟最初计划在2024年3月提出该法案，但后来推迟到2024年夏季。

值得注意的是，为太空系统制定专用的网络安全标准一直是一项相当缓慢和烦琐的工作。传统的网络安全标准往往是不够的，而且没有考虑到太空系统和轨道环境的具体性质。一些实体（例如，太空数据系统咨询委员会）最近才制定了专门针对太空系统的标准，但这些标准尚未被整个行业采用。

3.3　技术问题 

太空领域中的网络安全与地球上的网络安全不同。在太空领域，从航天器发射的那一刻起，一旦出现漏洞或故障，就无法进入航天器，也无法拆卸和更换组件。虽然在轨服务为进行此类操作提供了希望，但目前市场尚未成熟，毕竟卫星不能像地球上的电脑一样拔掉电源，快速进行制止。此外，航天器上的计算能力有限，这意味着使用长密码密钥可能会成为一种限制，因为它可能会耗尽卫星有限的电源。

太空系统的数字化提高了其对传统网络威胁的敏感性，需要实施传统的网络安全协议。然而，太空系统的鲜明特征也暴露出传统网络安全措施的不足。例如，在地球上的计算机上非常常见的端到端VPN加密，由于卫星距离地球较远，因此该方法不适合卫星，会导致数据包丢失。

3.4　商业问题 

在太空行业中，网络安全长期被忽视，运营商（和客户）更喜欢效率，而不是安全性。如今，主要的航天公司似乎已经对网络威胁有了更深层次的认识。而困难在于初创企业，它们往往更喜欢专注于企业任务的具体细节，或者没有整合网络安全的资源。

我们看到，公众对太空网络安全的需求正在上升，创造了一个新兴市场，包括新的、专门的太空网络安全公司。传统的互联网公司试图进入太空市场，以及主要太空公司致力于太空网络安全服务商业化。该行业预计在未来十年产生332亿美元的产值，为瑞士等创新型国家提供了较大的商业机会。 

与许多其他欧洲国家类似，瑞士没有主权卫星。尽管如此，瑞士仍在从事太空活动，如2024年3月，从瑞士武装部队发射了3颗携带信号情报载荷的比利时卫星。当前，大约有160家瑞士公司参与了太空供应链活动，瑞士仍然容易受到网络威胁，瑞士许多核心部门依靠外国卫星服务来运作（例如包括银行、交通、后勤和武装部队）。因此，这些重要行业的顺利运作最终取决于外国参与者实施的网络安全措施。

在政策层面，《2023年瑞士太空政策》简要讨论了对卫星网络攻击的可能性。然而，它不包括任何确保瑞士太空相关部门网络安全的措施，其他公共政策也没有解决太空网络安全问题。在法律层面，瑞士尚未有一项太空法，但正在起草一项太空法，而网络安全是否会被包括在内还有待观察。