網(wǎng)絡(luò)生物安全風(fēng)險(xiǎn)——國家安全和生物經(jīng)濟(jì)的潛在威脅

生物技術(shù)與信息技術(shù)的日益融合使生物研發(fā)愈加依賴數(shù)字化和網(wǎng)絡(luò)系統(tǒng)，生命科學(xué)研究進(jìn)入數(shù)據(jù)密集型的第四科學(xué)范式，生物數(shù)據(jù)呈爆炸式增長。同時(shí)，技術(shù)融合還促進(jìn)生物安全與網(wǎng)絡(luò)安全更緊密地交織，產(chǎn)生了新的網(wǎng)絡(luò)生物安全。網(wǎng)絡(luò)生物攻擊給生物防御帶來諸多新挑戰(zhàn)，成為影響網(wǎng)絡(luò)安全和生物安全的新變量，極有可能成為數(shù)字世界的生物武器。因此，確保網(wǎng)絡(luò)生物安全對于世界各國的公共衛(wèi)生、經(jīng)濟(jì)安全和國家安全至關(guān)重要，各國應(yīng)加強(qiáng)對網(wǎng)絡(luò)生物安全的重視程度，及時(shí)預(yù)防生物科學(xué)和網(wǎng)絡(luò)空間融合時(shí)的關(guān)鍵信息、材料和系統(tǒng)被濫用，以此降低生物武器擴(kuò)散的威脅。

一、網(wǎng)絡(luò)生物安全概述

生物技術(shù)與大數(shù)據(jù)、人工智能、實(shí)驗(yàn)室自動(dòng)化和計(jì)算機(jī)等技術(shù)的融合發(fā)展加速了創(chuàng)新藥物、診斷技術(shù)和治療方法的產(chǎn)生，同時(shí)也降低了生物技術(shù)的應(yīng)用門檻，生物技術(shù)的兩用性問題日益凸顯。激進(jìn)的非國家組織或個(gè)人以惡意目的利用生物數(shù)據(jù)、遺傳數(shù)據(jù)和生物技術(shù)及設(shè)備實(shí)施危險(xiǎn)行為的可能性大幅增加，給生物安全帶來新的風(fēng)險(xiǎn)和挑戰(zhàn)，生物安全格局發(fā)生巨大變化，并最終催生出網(wǎng)絡(luò)生物安全的概念。

網(wǎng)絡(luò)生物安全是生物安全和網(wǎng)絡(luò)安全相結(jié)合的新領(lǐng)域，被認(rèn)為是信息科學(xué)、網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)安全，以及生命科學(xué)、生物醫(yī)學(xué)和生物安全的交叉學(xué)科，可能會(huì)影響包括醫(yī)療保健、農(nóng)業(yè)和生物制造業(yè)在內(nèi)的各種生物行業(yè)的數(shù)字化運(yùn)營。生物安全旨在減少與濫用生命科學(xué)技術(shù)和工具的相關(guān)風(fēng)險(xiǎn)，網(wǎng)絡(luò)安全側(cè)重于保護(hù)信息技術(shù)系統(tǒng)和應(yīng)用程序中有價(jià)值或敏感的信息。因此，廣義上的網(wǎng)絡(luò)生物安全旨在識(shí)別并緩解生物數(shù)字化和生物技術(shù)自動(dòng)化引發(fā)的安全風(fēng)險(xiǎn)，狹義上的網(wǎng)絡(luò)生物安全旨在解決或防止生命科學(xué)和數(shù)字領(lǐng)域中信息和數(shù)據(jù)備未經(jīng)授權(quán)訪問，以及被潛在或?qū)嶋H的惡意破壞、盜竊和濫用。從保護(hù)高價(jià)值的知識(shí)產(chǎn)權(quán)、敏感的個(gè)人健康信息和云端共享的基因組數(shù)據(jù)的完整性，到確保關(guān)鍵醫(yī)療儀器和設(shè)備不受網(wǎng)絡(luò)攻擊、防止農(nóng)業(yè)系統(tǒng)被破壞或侵占，以及先進(jìn)制造業(yè)生產(chǎn)出預(yù)期產(chǎn)品，網(wǎng)絡(luò)生物安全是保護(hù)生物經(jīng)濟(jì)的關(guān)鍵支柱，有助于提高國家安全、經(jīng)濟(jì)競爭力和社會(huì)穩(wěn)健性。網(wǎng)絡(luò)生物安全或成為生物安全領(lǐng)域的下一個(gè)前沿。

二、網(wǎng)絡(luò)生物攻擊是數(shù)字世界最重要的生物武器

傳統(tǒng)網(wǎng)絡(luò)安全與生物安全領(lǐng)域的風(fēng)險(xiǎn)相互疊加、滲透，形成新的網(wǎng)絡(luò)生物安全風(fēng)險(xiǎn)。隨著生物學(xué)數(shù)字化和生物技術(shù)自動(dòng)化程度的加深，網(wǎng)絡(luò)生物安全風(fēng)險(xiǎn)不可避免。美國學(xué)者在《網(wǎng)絡(luò)生物安全》報(bào)告中將生物經(jīng)濟(jì)范圍內(nèi)的網(wǎng)絡(luò)生物安全漏洞總結(jié)為8項(xiàng)：自動(dòng)化黑客、基因治療、患者門戶網(wǎng)站、系統(tǒng)漏洞、數(shù)字醫(yī)療、病原體追蹤、系統(tǒng)完整性和網(wǎng)絡(luò)威脅。

圖源：nih.gov

合成生物學(xué)與計(jì)算機(jī)技術(shù)相結(jié)合使生物恐怖主義可以借機(jī)制造生物武器，引發(fā)現(xiàn)實(shí)中的生物威脅。合成生物學(xué)技術(shù)的進(jìn)步使基因測序、基因編輯和基因合成的成本大幅下降。2020年12月，以色列內(nèi)蓋夫本·古里安大學(xué)報(bào)告了一種端到端的網(wǎng)絡(luò)生物攻擊，即“合成生物學(xué)中的遠(yuǎn)程DNA注入威脅”。黑客可以使用惡意軟件入侵生物學(xué)家的計(jì)算機(jī)，通過篡改部分或全部正常DNA序列，創(chuàng)建出具有致病性的DNA序列片段，并利用惡意軟件代碼常用的混淆技術(shù)成功幫助該致病DNA序列繞開有害基因合成篩查軟件的安全檢測，使其獲得生產(chǎn)許可。這種通過網(wǎng)絡(luò)攻擊實(shí)施生物威脅的新途徑能夠在生物學(xué)家毫不知情的情況下制造病毒或生物武器，且無需物理接觸危險(xiǎn)物質(zhì)，有可能引發(fā)生物戰(zhàn)，嚴(yán)重威脅國家和國際層面的生物安全以及人類的健康福祉。

人工智能與生物技術(shù)的聯(lián)動(dòng)使數(shù)字化生物信息成為網(wǎng)絡(luò)攻擊的新目標(biāo)。人類基因組研究對人工智能、深度學(xué)習(xí)算法等技術(shù)的依賴日益加深。隨著數(shù)字互聯(lián)在生命科學(xué)領(lǐng)域的滲透，以及身聯(lián)網(wǎng)設(shè)備的迅速發(fā)展和逐步普及，對生物醫(yī)學(xué)、生物工程以及生物安全領(lǐng)域研發(fā)至關(guān)重要的生物信息、數(shù)據(jù)和算法模型的完整性成為網(wǎng)絡(luò)攻擊的新目標(biāo)，惡意行為者或?qū)⑵渥鳛椤叭速|(zhì)”、或操縱數(shù)據(jù)來干擾公共衛(wèi)生和生物安全系統(tǒng)。2019年，內(nèi)蓋夫本古里安大學(xué)提出患者可能因網(wǎng)絡(luò)攻擊而被誤診。研究人員攻擊并干擾了醫(yī)院CT掃描中的癌癥數(shù)據(jù)，添加或去除惡性腫瘤，并成功騙過醫(yī)師及輔診的人工智能軟件，導(dǎo)致誤診率超90%，產(chǎn)生的后果可能涉及保險(xiǎn)欺詐、網(wǎng)絡(luò)恐怖主義甚至謀殺。

實(shí)驗(yàn)室自動(dòng)化技術(shù)的普及使生物技術(shù)設(shè)施和生物制造供應(yīng)鏈成為網(wǎng)絡(luò)攻擊的目標(biāo)。自動(dòng)化技術(shù)使生物學(xué)變?yōu)閿?shù)據(jù)驅(qū)動(dòng)性更強(qiáng)的學(xué)科，并有助于減少生物實(shí)驗(yàn)中的人為錯(cuò)誤，提高數(shù)據(jù)生成率。使用自動(dòng)化機(jī)械處理生物實(shí)驗(yàn)中涉及的危險(xiǎn)制劑還能夠減少人類與有害物質(zhì)的接觸，從而保障實(shí)驗(yàn)人員的安全。因此，生物技術(shù)實(shí)驗(yàn)室和藥物研發(fā)系統(tǒng)逐步提高自動(dòng)化程度，并配備人工智能分析工具、與云計(jì)算相連接是生物研發(fā)領(lǐng)域的大勢所趨。但是，網(wǎng)絡(luò)黑客也可以借機(jī)通過虛擬環(huán)境入侵物理世界中的基礎(chǔ)設(shè)施，從而未經(jīng)授權(quán)、遠(yuǎn)程訪問自動(dòng)化生物制造系統(tǒng)，或?qū)е乱呙?、抗生素、?xì)胞或免疫抑制癌癥治療藥物等重要供應(yīng)受到污染，或是生產(chǎn)出不符合規(guī)格標(biāo)準(zhǔn)的生物藥物，造成浪費(fèi)。此外，受惡意行為者操控的自動(dòng)化生物實(shí)驗(yàn)室可用于產(chǎn)生可改變細(xì)胞代謝的有毒化合物，以制造致命感染，或通過基因編輯提高病原體感染宿主的能力，以逃避免疫系統(tǒng)檢測，在人群中傳播擴(kuò)散。

三、網(wǎng)絡(luò)生物風(fēng)險(xiǎn)危害國家安全，阻礙生物經(jīng)濟(jì)發(fā)展

網(wǎng)絡(luò)安全依賴于網(wǎng)絡(luò)物理系統(tǒng)，如數(shù)字?jǐn)?shù)據(jù)、互聯(lián)軟件平臺(tái)、自動(dòng)化以及連接到互聯(lián)網(wǎng)的儀器、傳感器和設(shè)備。所有連接到互聯(lián)網(wǎng)上的設(shè)備和計(jì)算機(jī)等都容易受到網(wǎng)絡(luò)攻擊。當(dāng)前，數(shù)字技術(shù)和軟件極大改善了人類健康和生活方式，同時(shí)增加了生物醫(yī)藥、生物農(nóng)業(yè)、生物制造等生物經(jīng)濟(jì)領(lǐng)域的脆弱性，使其易受網(wǎng)絡(luò)攻擊、遭到惡意操縱，從而危害國家安全和生物經(jīng)濟(jì)發(fā)展。

生物醫(yī)藥方面，生物醫(yī)療行業(yè)和疫苗供應(yīng)鏈?zhǔn)蔷W(wǎng)絡(luò)攻擊的重要目標(biāo)。醫(yī)療人工智能、互聯(lián)網(wǎng)醫(yī)療、可穿戴設(shè)備等新模式、新設(shè)備和新技術(shù)的涌現(xiàn)與快速發(fā)展，尤其是新冠疫情暴發(fā)后在線醫(yī)療和遠(yuǎn)程醫(yī)療行業(yè)呈爆發(fā)式增長，加劇了網(wǎng)絡(luò)生物安全風(fēng)險(xiǎn)及復(fù)雜性，針對醫(yī)院、生物制藥公司和疫苗供應(yīng)鏈的網(wǎng)絡(luò)攻擊激增。美國太平洋西北國家實(shí)驗(yàn)室的流行病學(xué)家瑪麗·蘭卡斯特在《合成生物學(xué)和生物技術(shù)的新興威脅》一書中指出，新冠大流行凸顯了網(wǎng)絡(luò)生物安全帶來的威脅和挑戰(zhàn)。開發(fā)新冠疫苗和療法的全球競賽使患者病歷、公共衛(wèi)生數(shù)據(jù)、疫苗知識(shí)產(chǎn)權(quán)等生物信息面臨更高的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)，削弱了生物數(shù)據(jù)的機(jī)密性、完整性和可用性，破壞了關(guān)鍵的食品健康和生物安全基礎(chǔ)設(shè)施。2021年3月，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）發(fā)現(xiàn)大范圍社會(huì)工程攻擊，目標(biāo)是獲取和更改有關(guān)疫苗運(yùn)輸、儲(chǔ)存、冷藏和分發(fā)的信息。如果黑客入侵這些公司的系統(tǒng)，可能會(huì)惡意關(guān)閉制冷設(shè)備并銷毀大量疫苗，或用起搏器等植入人體的醫(yī)療設(shè)備進(jìn)行勒索。根據(jù)網(wǎng)絡(luò)安全公司Sophos《2022年醫(yī)療保健中的勒索軟件狀況》報(bào)告，2021年全球381家醫(yī)療保健行業(yè)中，有66%的醫(yī)療機(jī)構(gòu)受到勒索軟件攻擊，比2020年的34%幾乎翻了一番。這表明勒索軟件對醫(yī)療保健的攻擊率不斷上升，導(dǎo)致生物醫(yī)療行業(yè)面臨更加嚴(yán)峻、范圍更廣的威脅。2022年12月，IBM Security X-Force的報(bào)告顯示，自9月起，一個(gè)針對歐洲、北美、南美和亞洲14個(gè)國家的44家制藥、物流和信息技術(shù)公司的網(wǎng)絡(luò)釣魚攻擊，試圖獲取有關(guān)疫苗冷鏈分發(fā)系統(tǒng)的敏感信息。此外，網(wǎng)絡(luò)風(fēng)險(xiǎn)監(jiān)控公司Black Kite調(diào)查了全球200家大型制藥公司及其166家共同關(guān)聯(lián)供應(yīng)商的網(wǎng)絡(luò)安全態(tài)勢后發(fā)現(xiàn)，近年來，勒索軟件威脅行為體已將重點(diǎn)轉(zhuǎn)向制藥供應(yīng)商和供應(yīng)鏈，生物制藥供應(yīng)鏈的平均年度網(wǎng)絡(luò)安全財(cái)務(wù)風(fēng)險(xiǎn)超3100萬美元。

生物信息方面，存儲(chǔ)在云端的個(gè)人基因數(shù)據(jù)、健康數(shù)據(jù)等極具隱私性的生物信息一直以來都是黑客攻擊的重點(diǎn)，存在極高的泄露風(fēng)險(xiǎn)。黑客通過操縱臨床試驗(yàn)和研究結(jié)果數(shù)據(jù)、使用勒索軟件盜竊知識(shí)產(chǎn)權(quán)等途徑惡意攻擊生物制藥公司，給其帶來巨大的財(cái)務(wù)負(fù)擔(dān)的同時(shí)影響新藥或療法的開發(fā)進(jìn)程，從而導(dǎo)致生物行業(yè)經(jīng)濟(jì)受損、患者和公共健康受到不利影響，還可能使人類無法快速應(yīng)對新出現(xiàn)的公共健康威脅。2020年3月，黑客使用REvil/Sodinokibi勒索軟件入侵了“10X基因組學(xué)”公司（10x Genomics），該公司對新冠康復(fù)患者的細(xì)胞進(jìn)行測序來了解該疾病的潛在療法。據(jù)悉，攻擊者聲稱從該公司竊取了1 TB的數(shù)據(jù)。此外，目前病原體檢測、鑒定和追蹤正在轉(zhuǎn)向依賴全基因組的方法，加劇了基因組數(shù)據(jù)庫被侵入、惡意獲取和使用危險(xiǎn)病原體序列的風(fēng)險(xiǎn)。

生物制造方面，生物制造行業(yè)中的生產(chǎn)管線長且復(fù)雜，受網(wǎng)絡(luò)攻擊的生物設(shè)備通常面臨停止運(yùn)行甚至功能改變的威脅，將影響整個(gè)生產(chǎn)階段的一致性和完整性乃至最終產(chǎn)品的生產(chǎn)。2021年2月，英國牛津大學(xué)結(jié)構(gòu)生物學(xué)部一個(gè)涉及新冠疫苗研發(fā)的實(shí)驗(yàn)室遭到網(wǎng)絡(luò)攻擊，部分處理生化樣本的純化設(shè)備和用于制備蛋白質(zhì)生物樣本的機(jī)器訪問權(quán)限。11月，美國生物經(jīng)濟(jì)信息共享與分析中心（BIO-ISAC）對針對生物制造設(shè)施的網(wǎng)絡(luò)攻擊Tardigrade發(fā)出警報(bào)，并將這次攻擊定為“高級持續(xù)威脅”。此外，惡意行為者入侵生物制造設(shè)備后可以自動(dòng)設(shè)計(jì)具有多藥耐藥性的病原體，或復(fù)制類似于新冠病毒的菌株，再使用無人機(jī)技術(shù)在公共場所輕易傳播。

生物農(nóng)業(yè)方面，精準(zhǔn)農(nóng)業(yè)的普及使農(nóng)業(yè)和糧食供應(yīng)鏈依賴于數(shù)字系統(tǒng)網(wǎng)絡(luò)。聯(lián)網(wǎng)傳感器、衛(wèi)星圖像等現(xiàn)代信息技術(shù)可以對農(nóng)作物和牲畜進(jìn)行遠(yuǎn)程監(jiān)控，通過分析收集到的數(shù)據(jù)幫助滿足日益增長的糧食需求。除了糧食的生產(chǎn)階段，這些網(wǎng)絡(luò)系統(tǒng)對于食品測試、質(zhì)量控制和食品安全系統(tǒng)等糧食安全的各個(gè)方面至關(guān)重要，極大提高了食品生產(chǎn)的安全性，降低了生產(chǎn)成本，有助于保持糧食供應(yīng)鏈的高效運(yùn)行。與此同時(shí)，自動(dòng)化技術(shù)的廣泛應(yīng)用也加劇了農(nóng)場被網(wǎng)絡(luò)攻擊進(jìn)而破壞糧食供應(yīng)鏈的危險(xiǎn)。例如，黑客可以利用化肥施用的技術(shù)漏洞，導(dǎo)致農(nóng)民無意中對特定作物施用過多或過少的氮肥，并因此收獲低于預(yù)期的收成，又或是過度施肥，造成浪費(fèi)和長期的環(huán)境影響。精準(zhǔn)農(nóng)業(yè)的出現(xiàn)正值全球供應(yīng)鏈發(fā)生重大動(dòng)蕩之際，隨著黑客數(shù)量持續(xù)增長，農(nóng)業(yè)生物恐怖主義趁機(jī)抬頭。2021年，REvil勒索軟件攻擊迫使美國五分之一的牛肉加工廠關(guān)閉，其中一家公司向網(wǎng)絡(luò)犯罪分子支付了近1100萬美元。2022年5月，法國多個(gè)AGCO站點(diǎn)遭到網(wǎng)絡(luò)攻擊，迫使其停止生產(chǎn)。AGCO是美國主要的農(nóng)業(yè)設(shè)備供應(yīng)商，包括拖拉機(jī)和收割機(jī)。此次攻擊可能會(huì)導(dǎo)致AGCO無法為其全球農(nóng)業(yè)客戶提供服務(wù)。

數(shù)字化轉(zhuǎn)型為醫(yī)療健康、藥物研發(fā)和農(nóng)業(yè)等領(lǐng)域帶來跨越式的發(fā)展。但是，鑒于生物領(lǐng)域的特殊性，對生物醫(yī)藥、農(nóng)業(yè)生產(chǎn)等敏感行業(yè)及其基礎(chǔ)設(shè)施的破壞也能給網(wǎng)絡(luò)攻擊者帶來更高的回報(bào)，這使得全球醫(yī)藥生產(chǎn)和糧食供應(yīng)鏈更可能也更容易遭到惡意行為者的破壞，從而阻礙全球生物經(jīng)濟(jì)發(fā)展。因此，世界各國應(yīng)將網(wǎng)絡(luò)生物安全納入網(wǎng)絡(luò)安全和生物安全的監(jiān)管體系，重點(diǎn)關(guān)注患者數(shù)據(jù)隱私、公共衛(wèi)生數(shù)據(jù)庫安全、診斷測試數(shù)據(jù)和公共生物數(shù)據(jù)庫的完整性，自動(dòng)化實(shí)驗(yàn)室系統(tǒng)的安全、疾病監(jiān)測和暴發(fā)管理數(shù)據(jù)，以及生物工程研發(fā)的安全性，及時(shí)研判相關(guān)風(fēng)險(xiǎn)并采取預(yù)警措施，以確保最大限度地減少生命科學(xué)行業(yè)、公共衛(wèi)生和國家安全的脆弱性。

審核編輯 ：李倩