墨西哥的国家网络安全政策:在 AMLO下进展停滞 JoeDevanny和RussellBuchan 2024年5月 墨西哥的国家网络安全政策:在 AMLO下进展停滞 JoeDevanny和RussellBuchan ©2024卡内基国际和平基金会。保留所有权利。 卡内基在公共政策问题上不采取机构立场;本文所代表的观点是作者的观点,不一定反映卡内基,其工作人员或受托人的观点。 未经卡内基国际和平基金会的书面许可,不得以任何形式或任何方式复制或传播本出版物的任何部分。请直接查询: 卡内基国际和平基金会出版物部 1779马萨诸塞州大道西北华盛顿,DC20036 P:+12024837600 F:+12024831840 CarnegieEndowment.org 本出版物可在CarnegieEndowment.org上免费下载。 Contents Introduction 墨西哥于2017年发布了首个国家网络安全战略(ENCS)。1此后,其网络政策在第二年当选的安德烈斯·曼努埃尔·洛佩斯·奥夫拉多尔(AMLO)担任总统期间缺乏政治优先次序。他的继任者(在6月大选后于2024年10月上任)没有振兴总统的兴趣,ENCS将得到全面实施或在应对网络威胁方面取得重大进展的可能性很小。 本文研究了墨西哥网络政策的政治,法律,公共政策和外交方面,该政策在AMLO下停滞不前。该国面临着重大的网络安全挑战,被忽视的ENCS仍然为它需要做的事情提供了一个合理的起点 。由于AMLO的宪法限制为一个任期,因此将由2024年总统选举的获胜者来振兴国家的网络方法。墨西哥可以。 通过更积极的总统协调,加强网络安全的制度化,以及在教育和技能方面的更多投资以及在发展墨西哥的网络安全文化和系统方面取得进展。 AMLO下的网络政策未能跟上该国面临的威胁,这一事实尤其不幸。近年来,墨西哥遭受了其他州同样急剧上升的网络犯罪,例如勒索软件攻击。这似乎没有刺激与联邦政府的威胁相称的反应。2事实上,AMLO的支出控制包括取消资金以改善网络安全。3普遍存在的腐败和侵犯人权行为是国内安全系统中的重大问题-包括网络问题,最值得注意的是有关使用商业间谍软件监视记者和政府批评者的指控。4 11 网络犯罪的上升趋势-特别是Guacamaya黑客组织2022年对国防部的黑客攻击,并向媒体泄露敏感文件,暗示武装部队的不当行为5-显示了墨西哥问题的广度和规模。然而,在当时的总统恩里克·佩尼亚·涅托的领导下,2017年ENCS的发展表明,通过更好的协调和领导,该国仍可以提高其弹性和网络安全能力。6 与此同时,在AMLO的领导下,墨西哥的网络外交几乎没有改变。该国家继续积极和建设性地参与旨在建立自由,开放,和平和安全的互联网的多边和双边倡议,例如联合国不限成员名额工作组(OEWG)在国际安全和联合国范围内的信息和电信领域的发展。 谈判新的网络犯罪条约。这是一个积极因素,但也显示了墨西哥国内网络政策的缺陷与其网络外交的愿望之间的差距。 美国和墨西哥在应对共同安全挑战方面的相互依赖性接近,这意味着它们之间的关系可能对向墨西哥提供网络安全援助和能力建设至关重要。近年来,两国就各种相关的双边、微型和多边倡议进行了合作。美国-墨西哥-加拿大协议(USMCA)的实施是一个高点,它在数字贸易方面有一个雄心勃勃的篇章。然而,在AMLO下与华盛顿关系的困难(根据2024年6月墨西哥和2024年11月美国总统选举的结果,这种困难可能会或可能不会消退)为其他国家提供了向墨西哥提供网络能力建设援助的机会。这不一定限于联邦一级,可能包括增加与特定联邦州或部门的接触。 国家。 缺乏国家战略协调和网络专业知识是墨西哥网络安全方法的两个缺点。这是其他国家未来合作的两个可能领域。例如,美国和联合王国在加强制度化、推出教育和培训举措以及培养包括企业和非营利行为体在内的充满活力的网络安全系统方面拥有丰富的经验,这可以成为墨西哥能力建设综合方法的蓝图。7 墨西哥的网络安全 墨西哥的经济不断发展,技术日益复杂,但缺乏在网络安全方面稳步改善的能力。腐败和 政治滥用-例如涉嫌使用商业间谍软件反对 政府-是制定和实施有效的国家网络政策的主要障碍。8据估计,墨西哥是拉丁美洲网络犯罪率最高的国家。9考虑到其经济规模,这是一个合理的评估(世界上第15大10)以及该国的互联网普及率(目前 83.2%,尽管城乡之间存在着巨大的数字鸿沟,略高于15%的农村家庭在线)。112021年,网络威胁情报公司Mandiant估计,墨西哥占拉丁美洲勒索软件数据盗窃在线广告的第二高比例(17%) ,这是网络犯罪问题严重程度的一个代理指标。12 墨西哥通常位于全球网络能力排名的中间位置。例如,在国际电信联盟指数(2020)发布的最新全球网络安全指数中,墨西哥排名第五,仅美国(第一),加拿大(第八)和巴西(第十八 )在美洲排名较高。13墨西哥没有出现在贝尔福中心最新(2022年)的“前30名”网络力量指数中,巴西是拉丁美洲唯一获得排名的州。14 然而,就地区而言,墨西哥在网络能力排名中接近榜首。例如,一项2020年的研究将该国置于拉丁美洲的第二层,在整个美洲国家组织(OAS)实施国际尊重的牛津国家网络安全能力成熟度模型方面,以及“网络力量”的第一层,因为其经济规模以及它必须应对复杂的跨国有组织犯罪集团构成的重大安全威胁。15这项评估将墨西哥的政府协调水平参差不齐,在政策改革、机构能力和体制能力方面表现不佳,将墨西哥实现更大能力的潜力并列 建设,提高韧性。16 尽管对此类排名应给予多大的重视存在合理的担忧,但它们仍使人们了解墨西哥的全球地位和地区地位。尽管面临国内挑战,但与拉丁美洲其他地区相比,它还是有利的。 国家网络安全法案 墨西哥尚未通过国家网络安全法。相反,有关网络安全的法律规定分散在金融,电信,劳工,消费者保护和知识产权等不同部门的法律中。2023年4月,国会提出了期待已久的《国家网络安全法案》。17Withninety-twoarticlesandeighttimitativearticles,thisisadetailedandwide-rangingpieceoflegislationthatwouldestablishacom-commission网络安全regime.Someofitsmostimportantprovisionsinclude: •为数字权利制定具体的法律保护(例如,数字包容性、网络中立性和在线消费者保护) •要求私营公司与政府合作解决网络安全问题 •创建一个由行政控制的国家网络安全机构,以协调网络安全工作,包括监控网络,应对事件以及采取对策打击恶意网络活动 •授权网络调查和技术运营总局要求删除被认为对公众有害的互联网网站和数据 •为网络安全引入专门的检察官和法官 •建立恶意网络行为者的个人、团体和组织的数据库 该法案提议从根本上改变墨西哥网络安全系统的监管。这将赋予执法机构应对网络威胁的重要权力 。鉴于最近有关网络监视活动的启示,人们对政府在网络空间中的潜在扩张存在合理的担忧,这些担忧适用于该法案。18 总统选举的方法可能降低了快速推进该法案的政治胃口。这可能再次成为政治破坏网络安全政策进展可能性的案例。192024年3月提出了新的提案来修订该法案草案,引发了人们对其对监视立法的影响以及武装部队在国内网络行动中的作用的担忧。20如果该法案的修订版得以颁布,其后续实施可能会遇到与2017年ENCS相同的命运,ENCS的第一个实施年也是选举年。 政治与网络政策 正如一些分析师在当选之前所预期的那样,AMLO在很大程度上忽略了ENCS。21他上任时处于第一个实施阶段,基本上是对网络安全战略方法的关键参与者,目标和原则的高层次,结构化概述 。ENCS指定了五个战略优先领域:社会与权利,经济与创新,公共机构,公共安全和国家安全 。它的三个原则是:保护人权,风险管理以及在政府内部以及政府与其他机构之间实施协调一致的方法。 它还概述了八个工作流程:创建网络安全文化;能力建设;协调与协作;研究、开发和创新;技术标准;关键基础设施;法律框架;和指标。22 ENCS并不完美。批评者认为,它更侧重于保护数字权利,而不是减少网络威胁;缺乏对当代网络犯罪的深入分析;缺乏不同机构如何协调以取得进展的明确性。23但是大多数评论员都同意,该法案的采用是朝着正确方向迈出的一步,同时该地区的其他几个州也在制定其战略。 自ENCS采用以来已经过去了六年多。鉴于技术和威胁形势的快速发展,ENCS有过时的风险。行政管理即将发生的变化提供了一个很好的机会来更新它。无论下一任总统是否下令制定新战略,如果存在政治意愿,ENCS为更加结构化、协调和积极引导的方法奠定了基础,以改善网络安全的制度化,并投资于资本、教育、技能和国家网络安全系统。 然而,实施是另一回事。普遍存在的腐败,有组织犯罪的力量削弱了国家有效实施网络政策的能力 矛盾的是,为解决这两个问题而进行的定期机构改革对行政连续性的破坏。24在AMLO担任总统之前和期间,也有人担心国内安全和国防部队滥用商业间谍软件。25这给网络能力建设带来了明显的挑战,外部行为者应使其援助符合严格的条件,在提供援助之前制定保障措施,并在提供援助期间和之后建立有效的监测和监督机制。与其他能力建设领域一样,这种援助应与更广泛的结构改革保持一致。 在AMLO下缺乏动力并不意味着什么都没有取得。例如,在协调网络事件管理过程方面取得了一些进展-es26并策划了全国网络事件登记册。272021年发布了更广泛的国家数字战略2021-2022,该战略更多地关注数字技术对可持续发展的重要性,而不是制定新的网络安全政策或治理框架。28国家立法者一直致力于制定国家网络安全法。29墨西哥还于2021-2022年担任伊比利亚-美洲网络防御论坛临时秘书处。30 尽管这些持续的努力,最近对墨西哥网络安全政府的分析已经注意到一系列相应的障碍。这些包括:联邦一级的协调不力;31公众对行政部门缺乏信任;缺乏教育、技能和资源来投资于国家能力;监管和监督安排不足。32这些并不是网络安全领域所独有的,AMLO因对总统职位采取普遍专制和民粹主义的方式而受到批评,空洞化 关闭机构,减少对总统权力的检查。33也许这一点不应该太过分。两名OAS网络安全高级官员认为,该地区所有州在协调和实施有效的网络能力建设方面都面临着持续的挑战。34 墨西哥的网络外交 在墨西哥的网络外交方法中,AMLO具有更大的连续性,这是一个建设性的-但也是一个谨慎的-参与者。总统在外交政策上只表现出一些明确的利益,例如维护墨西哥主权的重要性,有条件地追求中国对基础设施的投资,以及在委内瑞拉以及俄罗斯入侵乌克兰时呼应墨西哥不干预的历史原则 。35这种外交政策方法不太可能使AMLO(或下一届政府)批准墨西哥参与任何对网络空间恶意国家行为的协调公共归属。这与他的政府在联合国在国际安全背景下促进网络空间负责任的国家行为政府专家组和OEWG中采取的多边和多利益相关者网络外交方法一致,外交事务秘书处建设性地参与了这两个过程。墨西哥一直是网络治理的多利益相关方方法的积极倡导者,欢迎来自民间社会,学术界和私营部门的国家非政府行为者参与网络外交。36在联合国一级,墨西哥在网络犯罪条约的谈判中发挥了积极作用,37建议对案文草案进行修正,并试图在冲突各方之间进行调解。38 墨西哥还是欧洲委员会《网络犯罪公约》(《布达佩斯公约》)的观察员,据报道,在将网络犯罪纳入其刑法和国家安全法时,将其用作典范。39但是,它拒绝签署《布达佩斯公约》,这一决定通常归因于对其对国家主权和执行负担的影响的担忧。这种担忧在墨西哥在联合国网络犯罪条约委员会会议上的声明中也很明显。40 取代北美自由贸易协定的USMCA于2018年12月AMLO上任前一天签署。他的政府监督了该协议的执行,该协议于2020年生效。该协议涉及网络安全,其中包括关于在北美开发和整合数字市场以及为数字贸易蓬勃发展创造