编者按

美国西点军校陆军网络研究所助理教授、哥伦比亚大学萨尔茨曼战争与和平研究所学者、前美国网络空间日光室委员会高级主管的埃丽卡·罗纳根近日在《外交事务》网站撰文,分析网络行动对战争冲突的影响以及美国针对网络空间应采取的新策略。

一是网络行动并不具有升级性。网络行动的在战争冲突中能够发挥支持作用而不是决定性作用,没有任何证据表明网络行动能够有效施压或是会导致真正的军事冲突升级;尽管网络力量在和平时期有可能会造成干扰性破坏,但在战场上和战争危机期间难以用于对抗具有战略意义的目标,或者实现具有决定性影响的结果;认为网络行动会在挑起或延长战争方面发挥核心作用的假设是谬误的,迄今为止没有任何网络行动引发过战争。

二是网络行动能够提供战争缓冲。除使用方式外,网络行动还具有两个区别于常规军事行动的普遍特点,包括影响有限且短暂、秘密进行且容易合理推诿。网络行动不仅不会导致冲突,还是在明确避免武装冲突的情况下投射力量的有效途径。网络行动本质上就是为了避免战争而设计的,因其模棱两可、破坏性小且不会造成人员伤亡,从而可以成为冲突的低成本替代方案,为战争冲突提供了喘息空间。

三是美国应该采取新网络行动策略。美国政府目前对网络行动在冲突中作用的理解主要建立在网络空间是战争升级形式的长期错误假设上,将网络行动视同于其他战争武器,而非致命性的策略工具,从而夸大了网络行动在武装冲突中的作用,忽视了其可能带来的巨大机遇和风险。对网络行动的理解转变对美国政策和战略有着三方面直接影响:可以利用网络空间开展更多活动来实现目标;需要制定更细致网络威胁应对策略;应把重点放在提升网络弹性上而非报复行动。

文章总结称,网络行动是一种战略工具,这种工具会增加冲突风险、也会限制冲突风险,这既取决于目标对事件的看法,也取决于肇事者的意图或整体战略背景;美国决策者更应关注如何理解对手在网络空间对美国采取的行动,并利用相关认知实施网络空间活动,以便最大限度地降低升级的风险;俄乌冲突进一步强化网络行动不具有升级性的结论,美国决策者应重新评估其长期以来对网络域的看法,将网络行动视为追求战略目标的途径而非另一形式的硬实力。

奇安网情局编译有关情况,供读者参考。

网络升级谬误

——乌克兰战争揭示了国家支持的黑客行为

在3月美国参议院情报委员会听证会上,缅因州参议员安格斯·金就俄罗斯在乌克兰战争中缺乏重大网络行动一事质疑美国网络司令部司令兼国家安全局局长保罗·中曾根将军。毕竟,俄罗斯一直以对西方国家和乌克兰的网络攻击而闻名。安格斯·金的疑问也正是许多西方观察家的困惑所在,他表示,“我以为会看到电网瘫痪,通信中断,但这并没有发生。”事实上,尽管美国总统拜登及其政府成员也警告称俄罗斯可能会对美国开展网络攻击,但在战争开始6周以来,这种活动的迹象非常少。

这并不是说完全没有网络活动。从乌克兰的40万“IT军队”到俄罗斯的Conti勒索软件集团,战争双方均动员了大量代理网络团体和黑客。与俄罗斯军事情报部门有关的“沙虫”组织也长期对乌克兰开展网络攻击。然而,自开战以来,此类行动主要局限于低成本的破坏性事件,而没有对关键民用和军事基础设施发动大规模攻击。两个潜在的例外案例只能表明网络行动的作用相对有限。有证据表明,与俄罗斯有关的行为体在开战初期对Viasat网络实施了攻击。Viasat是一家总部位于美国的互联网公司,为乌克兰军方和欧洲客户提供卫星互联网。但该事件造成的影响是暂时的,更重要的是并未对乌克兰军方通信造成重大影响。此外,乌克兰官员最近宣布,“沙虫”组织在4月初试图攻击乌克兰电网,但也以失败告终。虽然黑客似乎控制了一家为200万乌克兰人提供电力的公司,但也在造成破坏和损失前被有效挫败。

事实上,网络攻击在俄乌冲突中的作用微不足道并不足为怪。通过战争模拟、统计分析和其他研究,学者们几乎没有发现任何证据表明网络行动能够有效施压或是会导致真正的军事冲突升级。这是因为,尽管网络力量在和平时期有可能破坏公司、医院和公用电网,但无论是在战场上还是在战争危机期间,都更难用于对抗具有战略意义的目标,或者实现具有决定性影响的结果。由于未能认识到这一点,美国官员和决策者当前使用网络力量的方式可能弊大于利——他们将网络行动视同于其他战争武器,而非致命性的策略工具,并且在此过程中忽视了其可能带来的巨大机遇和风险。

一、网络升级的谬误

美国政府目前对网络行动在冲突中作用的理解主要建立在对网络空间的长期错误假设之上。许多学者断言,网络行动很容易导致军事升级,甚至包括使用核武器。比如杰森·希利和罗伯特·杰维斯就曾表达过这种普遍的观点。他们认为,发生在网络空间的事件“可能会因为免责、误判或过失,而突破武装冲突的门槛”。决策者们长期以来也一直认为网络空间构成严重危险。2012年,时任美国防部长莱昂·帕内塔警告称,“网络珍珠港”即将发生,对手可以通过网络攻击摧毁美国的关键基础设施。约10年后,美国联邦调查局局长克里斯托弗·雷将勒索软件威胁与“9·11事件”相提并论,因为攻击行为体会通过加密数据并要求支付赎金换取解密数据的方式来劫持目标。就在2021年12月,美国防部长劳埃德·奥斯汀还指出,在网络空间中“行为规范尚未建立,升级和误判的风险很高”。

敌对政府长期以来采取的网络行动似乎为这些说法提供了有力的支持。近年来,从俄罗斯到伊朗和朝鲜等国家利用网络空间进行了大规模间谍活动,造成了严重经济损失,破坏了民主制度。例如,2021年1月,攻击者破坏了微软Exchange电邮服务器,访问微软与政府的通信和其他私人信息,并可能造成其他恶意行为体的勒索软件攻击。这一漏洞是在俄罗斯入侵软件供应商SolarWinds之后发生的,黑客得以访问大量敏感的政府和企业数据,这无异于一个间谍宝库。网络攻击也造成了巨大的经济代价。NotPetya攻击影响了世界各地从物流和能源到金融和政府等关键基础设施,造成了超过100亿美元的损失。

但是,认为网络行动会在挑起或延长战争方面发挥核心作用的假设却是谬误的。在长期处于紧张关系甚至具有冲突历史的竞争对手间,曾经发生了数百起网络事件,但并没有一起引发战争升级。比如,朝鲜至少在四个不同的场合对韩国进行过重大网络攻击,包括2011年针对韩国政府网站、金融机构和关键基础设施发动的“十日雨”拒绝服务攻击(因大量网络请求导致用户暂时无法访问)和2013年发动的扰乱韩国金融和媒体部门的“黑暗首尔”攻击等。

“没有任何网络行动引发过战争”

人们有理由预期这些行动可能会导致朝鲜半岛局势升级,尤其是,据有关报道,朝鲜对韩国的战争计划本身就涉及网络行动。然而,事实并非如此。相反,每次韩国的反应都微乎其微,仅限于政府官员出面直接指责朝鲜,或者间接地在公开场合暗示平壤可能是袭击的幕后黑手。

同样,尽管美国表示保留以任何其认为恰当的(包括动用军事力量)方式应对网络攻击的权利,但到目前为止仍一直依赖经济制裁、起诉、外交行动以及所报道的一些针对性网络应对活动。例如,在俄罗斯干预2016年美国总统大选之后,奥巴马政府驱逐了35名俄外交官,关闭了两个据称是俄间谍活动的设施。美国财政部还对俄罗斯官员实施了经济制裁。据报道,美国政府最终拒绝了对俄罗斯进行报复性网络行动的计划。尽管美国在2018年中期选举期间确实采取了网络行动应对俄罗斯攻击,但仅限于暂时性地破坏俄罗斯“巨魔农场”互联网研究机构。

这些慎重的反应并不罕见。尽管网络空间数十年来一直存在恶意行动,无论破坏程度如何,网络攻击始终被控制在武装冲突水平以下。事实上,研究人员观察发现,世界主要敌对大国在网络攻击和常规军事行动之间都有一条“防火带”:这是一条双方都明白的底线,能够将底线上下的战略互动区分开来,类似核武器使用门槛。

但不仅仅是网络行动不会导致冲突。网络攻击还是在明确避免武装冲突的情况下投射力量的有效途径。这也就是为什么伊朗愿意发动针对美国的网络攻击,包括在2012至2013年对美国金融机构实施拒绝服务攻击。由于伊朗更希望避免与美国发生直接军事对抗,网络攻击既提供了报复不满(如美国针对伊朗核计划实施了经济制裁)的途径,又不会引发那种会使两国走上战争道路的升级。

二、模棱两可的好处

除使用方式外,网络行动还具有两个区别于常规军事行动的普遍特点。

首先,其影响通常有限且短暂,尤其是与常规军事行动相比。正如胡佛研究所研究员杰奎琳·施耐德对《纽约客》所说的,“如果你已经处于愿意投掷炸弹的冲突阶段,你就会投掷炸弹”。与传统的军事硬件不同,网络武器是虚拟的:即使在最具破坏性的情况下,也很少在物理世界中产生影响。尽管在极端的情况下有可能发生,如“震网”攻击导致伊朗纳坦兹用于浓缩铀的离心机加速或减速,一般来说,网络行动甚至无法造成小型精确制导导弹袭击所带来的损害。当国家对民用基础设施发动网络攻击时,如俄罗斯2015年对乌克兰电网的袭击,这种影响通常是短暂的。迄今为止,网络攻击从未造成直接的人身伤亡。唯一已知的与网络攻击相关的间接死亡案例发生在2020年,当时一名生命垂危的德国患者因医院服务器发生勒索软件攻击导致治疗中断而死亡。

在实践中,各国政府本身也知道网络攻击与常规军事攻击的影响不可同日而语。2019年夏天,当美媒报道称伊朗袭击该地区的油轮并击落一架美国无人机时,特朗普政府选择在网络空间进行回应。据称,美国入侵了伊朗的计算机系统,削弱了伊朗进一步攻击油轮的能力。这起案件的特别之处在于,原本有一个可信的军事选项摆在桌上,但却被撤销了:特朗普总统取消了对伊朗目标进行军事打击的计划。当时,特朗普在推特上说,在得知可能伤及平民后,他改变了主意。言下之意是认为网络行动风险较小,不太可能造成生命损失甚至重大破坏。

其次,与大多数军事打击相比,网络行动往往秘密进行且容易合理推诿。分析人士认为,责任的不确定性使网络空间的互动变得危险,并降低了其威慑力。按照逻辑,隐藏在匿名状态下,恶意行为体可以藏在暗处挑起冲突。的确,伪旗网络攻击十分普遍。保密不一定就会产生负面影响:它使得国家可以在危机中采取一些行动,而不会像使用传统硬实力那样具有可能加剧国内紧张政局等弊端。它还提供了一种方式,可以探索对方在多大程度上愿意谈判或解决危机:模棱两可创造了喘息的空间。

比如,当美国在2018年退出伊朗核协议时,专家担心伊朗可能会通过攻击美国人员或美国在中东利益的方式进行报复。相反,伊朗似乎只是以增加网络活动作为回应。这种活动模棱两可,不会升级。尽管伊朗的网络行动在美国表态后一天内就被发现,但却并不是人们所预期的大规模攻击,其目的似乎主要是试图进行侦察和探测漏洞。如果伊朗打算公开这一活动,那将在很大程度上起到象征性的作用——向美国宣示存在。

简而言之,网络行动本质上就是为了避免战争而设计的。它们可以作为冲突的低成本替代方案,因为它们模棱两可、破坏性小,并不会造成人员伤亡。如果继续将网络空间描述为战争的升级形式,决策者就有可能夸大网络行动在武装冲突中的作用,而忽视其真正的意义所在。

三、是工具而非武器

认识到网络行动不太可能导致军事升级——而且它们在实际武装冲突中最多发挥了支持作用而不是决定性作用——对美国的政策和战略有直接影响。

首先,这意味着美国可能有更大的空间来利用网络空间实现目标,而不会引发新的危机或加剧现有的危机。例如,2018年以来,美国国防部一直将网络空间视为一个竞技场,军方可以在其中采取常规和主动行动,而不是等待对手的活动并做出反应。根据五角大楼的说法,华盛顿需要“前沿防御,以从源头上破坏或阻止恶意网络活动”。这包括在美国对手或第三方控制的网络上进行机动,甚至实施进攻性网络行动。

2018年网络战略发布时,许多专家担心可能会引发军事升级。更令人担忧的是,在2019年的《国防授权法案》中,美国国会授权国防部长将网络行动作为传统军事活动来实施。这意味着网络行动不再被视为一种需要总统调查并批准的秘密行动形式。然而,“前沿防御”概念实施4年来,并没有发生许多人担心的升级情况。这应该可以使决策者们在某种程度上确信,美国可以继续开展进攻性网络行动,而不会有发生更广泛冲突的风险。

例如,在2021年,美国网络司令部与某美国伙伴国政府合作开展了一次网络行动,旨在破坏与俄罗斯有关的犯罪集团Revil实施勒索软件攻击的能力。几个月后,美国官员承认军方让勒索软件集团“付出了代价”。有证据表明,在当前的乌克兰危机期间,美国网络司令部司令保罗·中曾根在暗示乌克兰人和其他人为阻碍莫斯科的计划所做的工作时表示,打击俄罗斯网络活动的努力可能使俄罗斯无法开展更有效的网络进攻。

但是,五角大楼的计划没有导致升级也并不意味着它能够解决美国所面临的所有网络挑战。与进攻性网络行动不会导致升级一样,出于同样的理由,人们也会怀疑美国是否能够凭此迫使对手回心转意或受到高昂代价的惩罚。

“网络行动极少造成破坏或生命损失”

其次,各国以多种方式使用网络行动的现实,意味着决策者需要制定更细致的策略来应对网络威胁。由于网络行动一直被视为对美国生存的威胁,华盛顿倾向于使用相同的政策来处理范围和规模截然不同的网络事件。例如,美国高级官员将俄罗斯2016年干预美国选举和2021年的SolarWinds行动描述为战争行为。但前者是网络信息行动,后者实际上是大规模网络间谍活动,两者都不像传统意义上的公开战争。此外,与许多其他网络事件一样,这两起事件引发的政策反应也相似:公共归因、起诉和制裁。决策者不应回应以煽动性言辞和标准化报复,而应考虑如何针对特定事件使用网络工具和非网络工具,同时考虑到相应的操作范围和严重程度。非对称响应也可以很恰当。美国不应该一刀切,而应该根据对手目的的不同,采用不同且更具创造性的方法。对莫斯科和德黑兰等来说,关注重心和行为动因可能皆各不相同。

对对手网络作战采取一刀切的方法可能会在乌克兰冲突中引发特殊问题。北约领导人因为预见到俄罗斯可能对北约成员国发动潜在的网络攻击,而重申北约集体防御条款第5条适用于网络空间,但却对可能引发网络空间集体响应的具体行为含糊其辞。不明确的门槛和响应方式,可能会破坏该承诺的可信度和北约整体网络战略的有效性。

过去十年的网络行动给我们的第三个教训是,美国官员在应对时应该采取更灵活的态度。美国不应把重点放在报复行动上,而应该投入更多的资源来提升弹性,即遭受破坏并从中迅速恢复的能力。采用这种策略,就意味着接受网络攻击可能发生但其中绝大多数不会产生灾难性影响这一现实。在过去几年中,美国提高了应对此类攻击的弹性,扩大了协助和维护关键基础设施的机构,如网络安全和基础设施安全局(CISA)。美国政府还成立了国家网络总监办公室,以协调其网络安全工作并与私营部门开展合作。但这些实体仍然相对较新,对私营部门实施有效监管来提高弹性的努力还有很长的路要走。

四、网络调节阀?

网络行动迄今为止尚未导致升级并不意味着永远不会。如果乌克兰战争等冲突导致国际体系更加不稳定,大国竞争加剧,网络升级的风险可能会增加。反之亦然:在一个更加不稳定的世界中,网络行动可能为反复出现的紧张局势提供一个重要的出口,因为它们缺乏暴力对抗,而且影响相对有限。随着国际政局变得愈加危险,网络空间可以为各国提供一种不会造成物理破坏或生命损失的应对侵略的方式,从而提供一种本质上的稳定。

归根结底,在旁观者看来,升级既取决于目标对事件的看法,也取决于肇事者的意图或整体战略背景。因此,美国决策者更应关注如何理解对手在网络空间对美国采取的行动,并利用相关认知实施网络空间活动,以便最大限度地降低升级的风险。比如,在危机期间,美国可能希望避免以对手可能认为是冲突或军事打击前兆的方式进行网络行动,特别是如果这不是美国意图的话。如果执行此类行动具有紧迫的战略或军事必要性,则应同时努力传达其目的以避免误解。

长期以来,决策者们从网络行动中吸取了错误的教训。几十年来的网络空间战略互动都没有造成升级——乌克兰冲突进一步强化了这一结论——应该促使决策者们重新评估其长期以来对网络域的看法。这样,他们可能会发现网络行动只是许多战略工具之一,如果正确理解,这些工具会增加冲突风险、也会限制冲突风险。当然,我们不应该忽视网络攻击可能会造成大型信息网络甚至整个经济部门的暂时瘫痪。但是,在一个武装冲突不断摧毁城市并造成可怕人员伤亡的世界中,无论是在民事还是军事领域,网络行动都不应被视为另一种形式的硬实力,而应被视为各国通过其他手段追求战略目标的一种途径。

声明:本文来自网络空间安全军民融合创新中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。