编者按
德国智库Interface网络安全政策和韧性计划负责人斯文·赫皮格撰文,提出用于评估国家支持的网络行动越过不负责任界限的“危险信号”标准评估框架,旨在为网络行动发起国和受影响国提供切实可行的指导,帮助双方更好地应对武装冲突门槛下的网络空间对抗,同时强调对越界行动采取坚决回应的战略必要性。
文章称,国家支持的网络行动正日益塑造着现代大国间战略竞争的格局,并使网络空间成为各国在武装冲突门槛以下展开竞争的领域;近年来,各国大幅增加网络行动,并正在构建一个多方利益相关者网络,以开展进攻性网络行动;虽然网络间谍活动成为一种默认的、尽管不情愿但国家普遍接受的做法,但更广泛的进攻性网络行动则可实现多种目标,并为各国推进自身利益提供了途径;现有国际规范和法律或操作框架旨在界定政治、法律或行动层面的负责任行为,但未能提供必要的清晰度、操作指导或执行机制来防止不负责任行为;从技术和操作的角度来看,广泛的法律和操作框架过于模糊或不切实际,脱离于当前战略竞争的实际情况,导致各国陷入规范难以解释或执行的境地,由此引发的回应不确定性增加了无意中过度干预的风险;因此需要为决策者提供具体的、网络特定的且符合实际操作和地缘政治情况的指导,否则规范将无法转化为可操作的标准并沦为抽象的原则。
该文章称,通过借鉴研究人员、实践者以及现有法律、规范和操作框架的见解,该文识别提出七种评估网络行动越界的标准或“危险信号”,旨在支持各国及国际社会采取更加一致的应对措施;相关准则必须满足具体性、约束性和全球性三个标准中的至少两个才能为网络稳定提供有效的框架,相关“危险信号”旨在做到具有具体性和全球性,并通过各国在应对违规行为时采取一致的行动,使其具有有效的政治约束性;不同于国际法的红线,上述“危险信号”应被受影响国视为不负责任行为的标准,从而促使其采取坚决应对措施;该“危险信号”框架寻求在实践中减少网络行动固有的模糊性,例如由不可预测的影响、规范的灰色地带和似是而非的推诿等因素造成的模糊性;相关“危险信号”能够增强网络操作者关于行动越界可能导致事态升级的意识,指导行动发起国决策者评估计划活动并制定交战规则,并为行动受影响国决策者提供判断敌方行动越界并需要采取应对措施的结构化依据;该“危险信号”框架使进攻防双方都能更清晰地了解战略阈值,更好地预测和评估网络行动的战略后果,有助于预防意外冲突、加强问责制并在网络领域维护基于规则的国际秩序;该“危险信号”框架的目的是明确允许的行为及其后果,同时确保合规可行,并能及时纠正任何偏差,最终达到减轻网络行动造成的整体损失的目标。
具体的七种“危险信号”包括:一是造成身体伤害、损伤或死亡。该标准认为,只要网络行动导致人身伤害、受伤或死亡即构成“危险信号”,无论行为者的意图如何,而具体情况在预测影响的可能性和严重程度方面起着至关重要的作用。二是造成广泛的心理伤害。该标准认为,蓄意造成心理伤害的网络行动等同于蓄意干涉他国政策稳定,将直接对决策者施加政治压力,迫使其采取行动;判断心理伤害是否构成“危险信号”主要基于影响的范围和可见性以及行动逻辑。三是干预国内政治进程。该标准认为,国内政治进程,例如选举、领导层更迭或继承机制,是任何国家内部合法性和外部认可的基础,任何试图直接改变、扰乱或使一个国家的政治结构或领导层失去合法性的网络行动,都对国家主权构成严重威胁。四是引发物理干扰或破坏。该标准认为,引发物理破坏或重大物理干扰的网络行动均构成“危险信号”,主要原因包括物理破坏难以逆转、增加造成意外人员伤亡的风险以及造成严重的政治压力和社会心理影响。五是为扰乱平民而预先部署。该标准认为,针对民用关键基础设施提供商的某些网络行动在特定条件下或许可以容忍,但故意在民用关键基础设施系统中植入恶意软件或建立持久访问权限以期日后造成破坏标志着事态危险升级,需要受影响国及时采取果断应对措施;目标基础设施的性质为评估攻击行动的严重程度提供了初步依据,所部署工具的具体功能和技术行为成为判断行动意图的关键指标,未经授权长期入侵民用关键基础设施会带来超出最初入侵者意图的额外风险。六是准备军事战场。该标准认为,网络行动积极塑造着未来军事对抗的局面,通常被称为网络空间作战环境准备,当网络攻击能够促成进一步的进攻行动时则构成越界;受影响具体目标资产的性质对于判断行动是否越界至关重要,网络行动本身的性质和预期效果则为揭示行动目标提供了关键指标。七是缺乏或失去行动控制。该标准认为,各国越来越多地利用网络行动来推进其战略利益,维持网络行动的有效控制至关重要,行动控制被蓄意放弃或无意中丧失将显著增加风险,导致行动产生超出实现其目标所需范围的影响,造成不相称且本可避免的损害;组织控制缺失会增加不负责任后果的风险,技术失控则会导致操作决策损害遏制、监督或可预测性,计划阶段控制不力会导致执行阶段失控。
文章提出,“网络空间的不良行为必须承担后果”,对于受影响国家而言,问题不在于出现危险信号时是否应该做出回应,而在于如何适度且及时地做出回应;当技术归因达到足够的置信度时,针对“危险信号”行动需要采取坚决应对措施;初步评估后应进行复核,因为网络攻击行动可能迅速从非不负责任演变为不负责任;虽然同一攻击者的个别活动可能并未达到发出危险信号的程度,但多种网络攻击行动的组合则可能构成危险信号;鉴于潜在影响的严重性,相应的应对措施可能超出网络领域,具体包括网络防御措施、情报行动、外交措施、公开点名、刑事司法行动、制裁机制、军事姿态或行动等;应对措施的选择或组合取决于触发的危险信号及其造成的总体损害,外交关系状况、经济相互依存程度、地缘政治优先事项和力量平衡等背景因素也会影响应对措施,因此需要保持战略耐心才能找到采取可信有效反制措施的合适时机;虽然在极少数情况下,故意不作为可能是经过深思熟虑的决定,但这不应成为常态,因为不作为有可能使不负责任的国家行为正常化,并降低不可接受行为的门槛;在被标记为“危险”的网络攻击行动造成全面影响前,也可以采取先发制人式的反制应对措施。
奇安网情局编译有关情况,供读者参考。
评估网络行动中的不负责任行为:
战略竞争时代操作者和决策者指南
一、执行摘要
国家支持的网络行动正日益塑造着现代大国间战略竞争的格局。这些行动的目标是关键基础设施、民主机构和军事资产,使网络空间成为各国在武装冲突门槛以下展开竞争的领域。然而,现有的框架,例如联合国关于网络空间负责任国家行为的规范,旨在界定政治、法律或行动层面的“负责任”行为,却往往未能提供必要的清晰度、操作指导或执行机制来防止不负责任的行为。
此外,拥有先进网络进攻能力的国家在多大程度上遵守现有的国际法条款和条约仍不明确。本文认为,现有的责任概念需要更加具体,更加贴近实际操作和地缘政治现实,以有效指导国家行为。
为此,本文提出了一种务实的方法:七个“危险信号”,用于表明国家支持的网络行动何时越过不负责任的界限。这些信号包括造成人身伤害或广泛的心理创伤、干预政治进程、预先部署或造成物理破坏、塑造未来战场格局以及失去行动控制。
本文通过设定阈值并选择性地参考过往事件作为背景,为开展网络活动的国家支持型网络操作者以及受影响国家的应对官员提供了切实可行的指导。该指导有助于双方更好地应对武装冲突门槛以下的冲突领域。这一框架不仅有助于识别网络领域的不负责任的国家行为,而且强调了对突破此类行为界限的行动采取坚决回应的战略必要性。
二、负责任的网络行为:一个难以界定的概念
近年来,地缘政治紧张局势不断加剧,标志着国家间战略竞争新时代的开始。在此背景下,各国及其代理人运用一系列手段来对抗、影响对手并获取战略优势。其中就包括国家支持的网络行动。在本分析中,国家支持的网络行动被定义为从国家鼓励到国家参与的任何行动,其范围涵盖了国家责任谱系。
多种因素表明,网络行动在国家间冲突中的作用日益增强,尤其是在武装冲突门槛以下的冲突中。——在“介于日常治国方略和公开战争之间的争议领域——灰色地带”。公开数据显示,近年来各国开展的网络行动大幅增加。各国正在构建一个多方利益相关者网络,以开展进攻性网络行动。理论和经验证据都表明,网络行动更多地被视为“减压”,即旨在缓和紧张局势而不改变根本争端的有限行动;它们不是作为升级的手段,而是为各国管理国际战略力量竞争的多功能工具。
网络间谍活动已成为战略竞争中一个持续存在的特征,这反映出一种观点认为它“只不过是另一种形式的间谍活动”。“为国家安全目的进行的间谍活动是一种默认的、尽管不情愿,但国家普遍接受的做法。”此外,为《塔林手册2.0》(一部关于国际法如何在网络环境中适用的非法律约束性学术著作)提供咨询的国际专家组一致认为,习惯国际法本身并不禁止间谍活动。专家们进一步指出,“如果网络间谍活动的某个方面违反了国际法,那么整个网络间谍活动就是非法的。”
然而,网络领域的行动可以用于实现间谍活动以外的各种目标,并且可能与其他形式的活动(例如网络信息作战)相关联或融合。“无论是大规模的军事和商业间谍活动,还是国际敲诈勒索和盗窃活动,网络领域都为各国推进自身利益提供了途径。”
传统间谍活动与更广泛的进攻性网络行动之间的这种区别凸显了一个关键挑战:虽然和平时期的政治网络间谍活动可能在很大程度上被受影响国家所接受,但更广泛的网络活动,特别是那些造成破坏或胁迫的活动,引发了一系列复杂的问题,例如如何把握时机和调整应对措施。许多当前的行动比政治间谍活动更具侵略性,但仍未达到武装冲突的程度。然而,各国可能仍然不愿意,甚至根据国际法,不允许采取强制性反制措施。
这种紧张关系在当前国际社会为界定网络空间负责任的国家行为而做出的努力中尤为明显。各国已经就此框架进行了20多年的辩论和推进。
在就负责任的国家行为达成共识框架方面已经取得了进展,尤其是在联合国层面通过自愿性非约束性规范。联合国成员国已达成共识,认为国际法适用于“信息通信技术环境”,并就国际法如何适用于网络活动发表了各自的国家意见,还概述了操作方面的考虑因素,例如具体的交战规则。因此,当前的规范和法律或操作框架旨在为网络领域负责任的国家行为制定广泛的原则。
在战略竞争时期,针对不负责任的国家行为,最具实际操作性的现有规范是新加坡规范方案中的《避免篡改规范》和《禁止将信息通信技术设备用于僵尸网络规范》 、不得损害授权应急响应小组信息系统的联合国准则(k),以及《塔林手册2.0》第32条——和平时期网络间谍活动的解释。
虽然这种广度赋予了政策制定者解释的空间,但从技术和操作的角度来看,这种预先存在的规范体系可能存在令人望而却步的歧义。需要为决策者提供具体的、网络特定的且符合实际操作和地缘政治情况的指导。否则,规范就可能沦为抽象的原则,而无法转化为可操作的标准。
例如,联合国关于禁止破坏或损害关键基础设施国家的规范规定,“任何国家都不应违反其国际法义务,进行或明知故犯地支持信息通信技术活动,故意破坏关键基础设施或以其他方式损害为公众提供服务的关键基础设施的使用和运行。”虽然该规范在理论上是合理的,但在应用于国家政策时却显得模糊不清,因为目前尚无普遍认可的关键基础设施定义。各国认为,是否认定关键基础设施是其国家特权。实际上,联合国各成员国之间的情况差异很大,而且在许多情况下,甚至无法公开获取。例如,德国和其他欧盟成员国一样,已在法律上将一部分医院定义为网络安全领域的关键基础设施。仅仅按照这一规范并遵守德国法律的字面意思,就意味着损害德国那些未被指定为关键基础设施的小型医院可能并非不负责任,尽管这可能会导致人员伤亡。
《塔林手册2.0》关于侵犯主权的表述是另一个很好的例子。它指出,“如果一个国家的代理人(实际身处另一个国家的领土上)使用U盘将恶意软件引入位于另一个国家的网络基础设施,则构成对该国主权的侵犯。”乍看之下,这划定了一条清晰的红线,允许受影响国依据国际法作出回应。然而,它并未就该国是否应该作出回应提供任何指导。例如,假设一国的代理人利用U盘植入恶意软件,窃取了目标国领导人的医疗记录。尽管此类行动无疑具有侵入性且政治敏感,但在更广泛的国家间网络行动背景下,它未必被视为必然需要采取强硬回应的不负责任行为。
最后,还要考虑美军公开作战框架的复杂性;规划一次网络作战需要查阅大量文件和指导文件。例如,美国空军网络作战条令。美国空军网络作战条令(约40页)显然需要与100页的美国联合网络作战条令以及另外近100页的目标条令结合阅读。如果这是北约行动的一部分,则还需要遵守盟军网络作战联合条令的另外50页内容,使指导文件达到约300页。这仅仅是美国军方的一个分支。除了与美国网络司令部协同开展网络行动的美国空军、陆军、海军和海军陆战队之外,情报领域的网络行动还由美国国家安全局和中央情报局负责,这两个机构各自拥有一套独立的理论体系。面对如此复杂的框架,政府官员不禁质疑“律师是否会输掉战争”。更具体地说,律师是否会因为扼杀网络能力而输掉战争。
广泛的法律和操作框架与战略竞争的实际情况之间的这种紧张关系凸显了一个核心挑战:即使有指导方针,各国也常常身处一个规范难以解释或执行的环境中,从而在成文的责任和实际行为之间造成差距。
在实践中,现实政治意味着,根据广泛准则被认为“不负责任”甚至根据国际法被认为“错误”的网络行动,往往不会受到任何惩罚,即便相关国家有应对措施。双方决策者都可能认为现有的规范和框架过于模糊或不切实际,无法指导行动。这导致对哪些入侵行为需要回应存在不确定性,并增加了无意中过度干预的风险。
为了弥补这一差距,本文借鉴了研究人员、实践者以及现有法律、规范和操作框架的见解,提出了一系列标准或危险信号。与国际法的红线不同,这些危险信号有助于识别哪些网络行动,特别是那些在武装冲突门槛以下开展的网络行动,应被“受影响国”视为不负责任的行为,从而促使其采取坚决应对措施。因此,“行为国”避免这样做,以降低无意中越权的风险。
这些危险信号的目的是明确允许的行为及其后果, 同时确保合规可行,并能及时纠正任何偏差。通过设定这些阈值,可以减轻网络行动造成的整体损失。
三、网络行动的危险信号
网络操作者在非武装冲突背景下开展行动时,应严格遵守一系列广泛的规范和操作框架。这些操作者很少会完全遵循负责任行为的规范标准,但他们会仔细权衡政治成本和报复风险,并常常根据这种权衡来制定行动策略。
任何框架都无法消除网络行动固有的模糊性,例如由不可预测的影响、规范的灰色地带和似是而非的推诿等因素造成的模糊性,但本文提出的危险信号旨在实践中减少这些模糊性。这些危险信号涵盖了所有潜在影响,从针对军事设施的反制武力(counterforce)效果(例如延误行动)到旨在破坏社会稳定的针对平民的打击价值(countervalue)效果。这些危险信号并非一份详尽的清单,而是一套防护措施,旨在帮助网络操作者和决策者识别那些单独或关联起来构成攻击活动的行为,这些危险信号很可能(而且,在作者看来,也应该)引发受影响国家的强烈对抗反应。简而言之,危险信号可以作为衡量标准,帮助识别一项行动何时越过底线,走向不负责任的境地。
对于操作者而言,这些危害信号能增强其意识,使其意识到某些行动若继续进行,几乎肯定会越过底线,并可能导致事态升级;对于执行行动的国家决策者而言,这些危险信号能指导其评估计划活动并制定交战规则。对于受影响国家的决策者而言,这些危害信号提供了一个结构化的依据,用于判断敌方行为何时突破了可接受的界限,需要采取应对措施。如此一来,该框架并非旨在消除所有不确定性,而是缩小自由裁量权范围,并限制“合理推诿”(即对国家参与保持可信怀疑的能力)。它还能确保参与进攻性活动的各方能够更好地识别自身行为是否不负责任,最终目标是减少网络行动造成的总体损失。
在这个框架内,每个危险信号都具有同等的重要性,因此呈现时并不暗示任何等级或重要性顺序。
危险信号1:造成身体伤害、损伤或死亡
国家负有保护其管辖范围内民众免受伤害的基本责任。在网络行动的背景下,最明显的危险信号是,无论操作者的意图如何,当行动导致人身伤害、受伤或死亡时。
在这种情况下,不负责任源于后果,而非意图。无论损害是直接的,例如医院系统故障导致重症监护延误,还是间接的,例如基础设施长时间中断引发医疗并发症或死亡,任何由此造成的伤害或死亡都应被视为危险信号。这些后果可能并不总是容易追踪和评估。冬季停电期间供暖中断或热带热浪期间缺乏制冷造成的死亡可能持续数天,并涉及多种相互依存的因素。然而,这种复杂性并不能免除网络操作者或规划者的责任,最终也不能免除他们的问责。
操作者必须主动评估下游风险。同样,应对网络行动的决策者需要追踪二阶和三阶影响,才能做出明智的判断。
虽然伤亡最终是判断是否存在危险信号的关键因素,但具体情况在预测这些影响的可能性和严重程度方面仍然起着至关重要的作用。例如,在罗马秋日温暖的午后,短暂的停电或许尚可接受,但在基辅严寒的冬季或马尼拉的热浪肆虐、人们普遍依赖制冷系统的情况下,停电的危险性则要大得多。因此,操作者不仅要考虑目标是什么,还要考虑停电的时间和地点——以及这对平民安全意味着什么。
操作者和决策者需要知道,此类行动不仅是危险信号,而且在某些情况下,根据国际法,可能构成使用武力,甚至是武装攻击。
已知的几起国家支持的行动,例如企图毒害以色列的水系统、BlackEnergy恶意软件扰乱乌克兰冬季电力供应以及冬季期间针对乌克兰变电站的Industroyer恶意软件攻击,已接近这一阈值。然而,这些行动均发生在冲突局势(非武装冲突)中,而且目前尚无公开证实的案例表明,在和平时期的行动中,已确凿地达到造成人身伤害、受伤或死亡的阈值。
危险信号2:造成广泛的心理伤害
通过网络手段蓄意造成人身伤害无疑是违反法律规定的行为,而蓄意造成心理伤害,尤其针对平民或更广泛的社会群体时,同样构成严重的危险信号。此类行为等同于蓄意干涉他国内政稳定,直接对决策者施加政治压力,迫使其采取行动,因为消极被动可能被视为软弱或默许,从而招致进一步的侵略。为了判断心理伤害何时构成危险信号,评估可以参考两个相互关联的标准:影响的范围和可见性,以及行动背后的逻辑。如果其中一项或两项都足够明显,则可触发危险信号。
就影响范围和可见性而言,行动必须对部分人群产生实质性影响,无论是通过直接互动(例如,暂停公共交通和瘫痪关键服务)、通过广为人知的数据泄露(例如,健康记录)还是通过数据泄露(例如,个人文件)。那些隐蔽的或仅限于少数人的影响通常不属于此类,因为其心理影响相对较小。是否构成危险信号取决于行动是否可能被注意到,以及是否能引起受影响人群的共鸣。影响本质上取决于具体情况:同样的技术行动可能会引发恐慌,这取决于媒体报道、社会敏感度和公众意识。
就行动逻辑而言,该行动旨在制造恐惧,而非达成任何其他明确的作战或战略目标。意外或附带影响本身并不一定会触发警报;关键在于该行动是否被设计或实施时罔顾后果地以造成心理影响为目的,例如利用网络信息战。旨在最大限度提高曝光度和心理影响的行动显然已经越过了不负责任的界限。
一些已知的国家支持的行动已经触发了这一危险信号。其中包括破坏伊朗铁路系统和加油站基础设施,以及新加坡保健集团的数据泄露事件。
危险信号3:干预国内政治进程
国内政治进程,例如选举、领导层更迭或继承机制,是任何国家内部合法性和外部认可的基础。虽然并非所有针对政治利益相关者的网络行动都构成危险信号(因为它们可能属于政治间谍活动),但某些形式的干预却跨越了临界点。大多数针对政治行为者的网络入侵都属于政治间谍活动,虽然这种行为不友好,但却属于国家间行为的长期惯例。任何试图直接改变、扰乱或使一个国家的政治结构或领导层失去合法性的行动,都对国家主权构成严重威胁。如果不加以应对,则可能导致危险先例的正常化,招致更多肆无忌惮的行动,助长外国势力的气焰,并削弱领导层的信心以及公众对国家维护政治完整性能力的信任。
首先,干预一个国家领导人选举的核心机制,会挑战国家存在的根本本质。破坏这一体系等同于挑战国家认同和内部凝聚力。一个显著的例子是操纵选举民主制度中的选举基础设施。通过网络篡改选票,威胁行为者可以改变议会的组成,或者使一个非法执政的政府得以瓦解关键的宪法规范。
其次,许多此类行动的“公开性”凸显了其战略影响,也凸显了采取审慎应对措施的必要性。旨在操纵或抹黑关键政治人物的行动,例如所谓的“黑客攻击和泄密”行动,通常旨在左右舆论、瓦解执政联盟或影响权力继承。例如,在部落治理体系、一党制国家或神权政体中,泄露潜在继任者的不利信息可能会破坏领导层交接,并引发内部动荡。即使国内应对措施在一定程度上有效,此类干预行为本身也可能暴露出脆弱性。
操作者和决策者需要知道,此类行动不仅是一个危险信号,而且可能违反国际法。
一些已知的国家支持的行动已经触发了这一危险信号。其中包括2016年针对美国总统选举、2017年针对法国大选、2014年针对乌克兰中央选举委员会以及2021/2022年针对英国选举委员会的行动。
危险信号4:引发物理干扰或破坏
网络行动若引发物理破坏或重大物理干扰,无论从哪个角度来看,都是一个危险信号,每个原因都单独地提高了风险。而所有这些原因加在一起,则构成了不负责任行为的明显界限。
首先,物理破坏难以逆转。受损或损毁的基础设施,无论是涡轮机、变电站还是管道,都无法像(大多数)软件那样重启或修补。维修成本高昂,可能需要数周甚至数月,而供应链的限制还会进一步延误恢复。由此造成的中断可能会对相关系统乃至整个社会产生难以预料的连锁反应。
其次,此类行动会增加造成意外人员伤亡的风险。爆炸、火灾、洪水或连锁机械故障都可能危及旁观者、工人或应急人员的生命。即使没有造成人员伤亡或持续的环境影响,潜在的危害也足以加剧政治紧张局势或促使当局采取先发制人的防御措施。
第三,此类事件的可见性和实际影响使其在政治上难以被忽视,而且对社会造成的心理影响可能十分严重。与隐蔽入侵或微妙的破坏不同,可见的爆炸或工业故障很难被淡化或否认,民众和企业都难以知晓。它会引发公众恐慌、媒体关注,并立即给决策者带来压力,迫使他们采取外交、经济甚至军事行动。此类事件的心理和政治影响远远超出了实际造成的损失。
总之,此类行动显而易见且可预测的后果,例如公众关注、政治压力和不可逆转的物质损害,足以表明其不负责任。而诸如经济混乱、人员伤亡或二阶、三阶故障等不可预测的后续影响,更进一步凸显了其不负责任的性质。
操作者和决策者需要知道,此类行动不仅是一个危险信号,而且可能构成使用武力,或者根据其他因素,甚至构成国际法意义上的武装攻击。
一些已知的国家支持的行动已经触发了这一危险信号。其中包括恶意软件BlackEnergy对乌克兰电力供应的干扰、对德国钢铁厂的干预以及破坏了伊朗核浓缩设施的“奥林匹克行动”。
危险信号5:为扰乱平民而预先部署
针对民用关键基础设施提供商的某些网络行动在特定条件下或许可以容忍,特别是那些与传统政治间谍活动相关的行动。然而,故意在这些系统中植入恶意软件或建立持久访问权限,以期日后造成破坏,则标志着事态的危险升级。实际上,区分破坏是否是目标往往是不可能的,尤其是在行动进行过程中,目标可能迅速从非破坏性转变为破坏性。因此,这种行为构成了一个危险信号,需要受影响国及时采取果断应对措施。
首先,目标基础设施的性质为评估攻击行动的严重程度提供了初步依据。例如,对供水设施网络的网络入侵表明,攻击者的战略重点是为社会提供基本服务的基础设施。此外,针对电网等系统的网络攻击本质上是不负责任的。因为他们的入侵几乎肯定会对平民生活和国家稳定产生直接而连锁的影响。即使外国势力并未介入,这种存在本身也令人担忧,即操作者可能正在为某种情况做准备,即这些系统可能被瘫痪,从而造成最大程度的混乱或削弱社会韧性。
其次,所部署工具的具体功能和技术行为是行动意图的关键指标。虽然网络行为者最初可能以间谍活动为目的,但诸如允许添加数据擦除功能的模块化设计、大规模激活的命令和控制结构以及针对工业系统定制的恶意软件等技术要素,都清晰地表明了其破坏意图。例如,在医院网络或电网运营商中发现具有此类功能的复杂恶意软件,表明其为了获得战略优势而不惜危害平民和公共安全。这种预先部署是不相称的,并可能引发广泛的二阶和三阶效应。此外,预先部署旨在瘫痪、削弱或阻断民用关键基础设施(例如电网或电信网络)功能的网络行动,其目的可能是为了应对武装冲突或为重大地缘政治对抗做准备。因此,这些行动可能会引发多重危险信号,包括表明其正在为战场做准备(危险信号6)。
最后,未经授权长期入侵民用关键基础设施会带来超出最初入侵者意图的额外风险。这种入侵持续的时间越长,其他恶意行为者(无论是国家支持的、犯罪的还是机会主义的)发现并利用这些立足点的可能性就越大。此外,即使最初的入侵者仅打算在极端情况下使用这种入侵,但这些能力的存在本身也会在和平时期的国际关系中造成不确定性和紧张局势。
操作者和决策者需要知道,此类行动不仅是一个危险信号,而且可能违反国际法,构成使用武力的威胁,甚至是武装攻击。
一些已知的国家支持的行动已经触发了这一危险信号。这些行动包括恶意软件Industroyer、Havex和HatMan的部署以及美国2018年针对俄罗斯电网的网络攻击。
危险信号6:准备军事战场
即使在激烈的战略竞争时期,各国也拥有一个共同的根本目标:避免公开敌对行动和武装冲突。网络行动积极塑造着未来军事对抗的局面,通常被称为网络空间作战环境准备,当网络攻击能够促成进一步的进攻行动时,就越过了关键的界限;此类行动理应受到受影响国家的坚决回应,尤其是有“巨大的动机以网络空间的重大攻击来挑起任何军事冲突[...]”。
首先,影响发生的具体目标资产的性质对于判断该行动行为是否应被视为危险信号至关重要。当网络行动聚焦于军事资产时,例如,如果攻击目标涉及防空系统、海军舰艇或核指挥控制基础设施,则该门槛无疑已被突破。其理由很简单:对这些军事目标造成或预先部署影响的网络攻击者,显然意在塑造战场格局,并在武装冲突前获取作战优势。这些行动必须与针对国防承包商、军事院校、个体武装部队人员智能手机或研究机构的入侵行为区分开来。虽然此类入侵仍然意义重大,但通常服务于更广泛的目标,例如政治间谍活动或技术情报收集,而不是直接为冲突做准备。
其次,网络活动本身的性质和预期效果提供了关键指标,揭示其目的是为了收集情报还是为了制造冲突环境。虽然拥有系统访问权限的操作人员通常可以在不同的操作目标之间切换,例如数据窃取或数据破坏,但已部署恶意软件中的某些行为或硬编码功能能够更清晰地表明其侵略意图。例如,植入国防承包商网络中的恶意软件如果包含能够擦除整个网络的硬编码功能,或者具有足够的模块化设计以便轻松添加此类功能,则强烈表明其正准备以敌对的方式塑造作战环境。同样,如果利用此类访问权限来操纵关键软件更新(例如战斗机的软件更新),并设置触发器在满足特定条件(例如,越过指定纬度)时禁用系统,则这清楚地表明其针对冲突的网络空间作战准备。
操作者和决策者需要知道,此类行动不仅是一个危险信号,而且可能违反国际法,构成使用武力的威胁,甚至是武装攻击。
一些已知的国家支持的行动已经触发了这一危险信号。其中包括在“果园行动”期间瘫痪叙利亚的防空和雷达系统。
危险信号7:缺乏或失去行动控制
随着各国越来越多地利用网络行动来推进其战略利益,维持有效的行动控制至关重要。一旦这种控制被蓄意放弃或无意中丧失,风险将显著增加。此类行动往往会产生超出实现其目标所需范围的影响,造成不相称且本可避免的损害。在这种情况下,控制的缺失或失效必然会引发受影响方的应对。
组织控制缺失可表现为多种形式,所有这些形式都会增加不负责任后果的风险。例如,政府机构被赋予过大的自主权,在缺乏明确监督或问责机制的情况下规划和执行网络行动。在这种情况下,目标可能会偏离,行动也可能超出预期或合法范围。另一个令人担忧的问题是,在缺乏充分监督的情况下,将行动外包给非国家行为体,例如私营公司、犯罪网络或大学。在缺乏控制机制的情况下授予如此高的权力,会增加事态升级、滥用或产生意外后果的风险。在某些情况下,政府公开宣布战略目标,并允许外部行为体自行开展行动,从个人和团体(“爱国黑客”)到私人承包商,并在事后分享结果。这种分散的做法削弱了集中控制和治理,因为第三方可能不会遵守官方国家行为体所应具备的纪律、克制或问责标准。此外,外包还会放大单个行动之外的风险。承包商之间的竞争可能会推动整体活动的激增,而如此庞大的行动量本身可能就是非常不负责任的,从而影响人们对支持国的积极性的看法。
技术失控是指操作决策损害了遏制、监督或可预测性。一个典型的例子是使用蠕虫等自传播恶意软件,却缺乏有效的安全措施,例如可靠的终止开关。如果没有这些控制措施,恶意软件的传播范围会远远超出其预期目标,造成远超操作必要的损害。另一个风险源于对所部署工具的了解不足。使用外部来源的恶意软件或借助生成式人工智能(“AI 氛围编码”)开发的代码,而未进行彻底审查,可能会引入不可预测的行为。在这种情况下,操作人员可能无法完全理解恶意软件的行为、持久性或其被他人利用的难易程度。最后,未能充分移除访问点(例如不安全的 Web Shell、易受攻击的植入式恶意软件或易于利用的凭证),故意在威胁行为者集群之间转移这些访问点,或遗留可被重新利用的高级恶意软件和漏洞利用程序,都可能导致恶意软件的扩散。这些工具可能被第三方(包括犯罪集团)发现并重新利用,从而造成广泛的损害。
有时,计划阶段控制不力会导致执行阶段失控。当攻击者大规模、不加区分地利用易受攻击的设备(远远超出实际操作所需)时,这种情况尤为明显。常见的例子包括创建僵尸网络和运营中继盒(ORB)。网络或基础设施遭到破坏,成为供应链入侵的一部分。这些活动往往导致数千个系统遭入侵,且几乎没有实际的监管或控制前景。其结果是造成不相称的附带损害,包括广泛的经济成本(例如事件响应和补救措施)以及第三方劫持风险的增加。这种行为反映出行动纪律涣散,违反了将损害最小化至预期行动范围之外的原则。
一些已知的国家支持的行动已经触发了这一警示信号。其中包括:WannaCry和NotPetya蠕虫在全球范围内造成破坏、“震网”蠕虫绕过安全措施导致事件响应成本远远超出行动目标等。
五、应对“危险信号”
本文概述的框架使进攻方和防御方都能更好地预测和评估网络行动的战略后果。对于操作者而言,在规划和准备阶段识别危险信号至关重要。确保团队内部对这些危险信号的共识,有助于完善内部升级和监督流程,尤其是在潜在的国内或国际影响可能超过预期行动收益的情况下。对于受影响国家而言,问题不在于出现危险信号时是否应该做出回应,而在于如何适度且及时地做出回应。正如一些主要来自西方的国家在2019年所指出的那样,“网络空间的不良行为必须承担后果”。否则,“如果对手似乎越过了红线而没有做出适当或暗示性的回应,其声誉可能会受损。”
当技术归因达到足够的置信度时,危险信号行动需要采取坚决应对措施。初步评估之后应进行复核,因为网络攻击行动可能迅速从非不负责任演变为不负责任。例如,攻击者可能从利用系统访问权限进行间谍活动转变为利用该系统破坏民用关键基础设施。此外,虽然同一攻击者的个别活动可能并未达到发出危险信号的程度,但多种网络攻击行动的组合则可能构成危险信号。
鉴于潜在影响的严重性,相应的应对措施可能超出网络领域。各国在国家安全政策和国际关系框架下拥有广泛的手段,并且倾向于“对威胁做出适度回应,以在不升级冲突的前提下最大限度地维护自身利益”。此响应工具箱包含以下内容:
网络防御和行动应对措施,包括从威胁搜寻和系统加固到旨在阻止敌方行动和破坏敌方基础设施的反网络行动
情报任务,包括秘密搜集和信息行动
外交措施,包括在国际场合发表公开声明、召见外国大使、召回本国外交人员、发出正式外交照会或断绝外交关系
公开归因,包括通过技术报告或官方公共政治归因
刑事司法行动,包括国内起诉或签发国际逮捕令
制裁机制,例如有针对性的金融措施(个人和机构列入制裁名单)或特定行业的贸易限制
军事姿态或行动,包括从提高战备状态到战略性部队部署,或在极端情况下,根据国际法使用武力
应对措施的选择或组合取决于触发的危险信号及其造成的总体损害。外交关系状况、经济相互依存程度、地缘政治优先事项和力量平衡等背景因素也会影响应对措施。因此,对危险信号行动的应对可能并非立即生效;有时需要战略耐心,才能找到采取可信有效反制措施的合适时机。应对措施必须及时有效。
虽然在极少数情况下,故意不作为可能是经过深思熟虑的决定,但这不应成为常态,因为不作为有可能使不负责任的国家行为正常化,并降低不可接受行为的门槛。
另一方面,在被标记为“危险”的网络攻击行动造成全面影响之前,也可以采取应对措施。例如,如果侦察发现系统包含旨在破坏工业控制系统的恶意软件(危险信号5)或控制不力的蠕虫式恶意软件(危险信号7),则通过反网络行动先发制人地削弱这些系统可能是允许的。
通过识别危险信号,本分析旨在支持各国及国际社会采取更加一致的应对措施,尤其针对那些不愿将某些行动定性为不负责任的行为者。更清晰地了解战略阈值所在,有助于预防意外冲突,加强问责制,并在网络领域维护基于规则的国际秩序。
本文旨在通过提出不负责任行为的判定标准,为当前关于网络行动责任的更广泛讨论做出贡献。此类准则必须满足以下三个标准(具体性、约束性和全球性)中的至少两个才能为网络稳定提供有效的框架。本文提出的危险信号旨在做到具体且全球性,并通过各国在应对违规行为时采取一致的行动,使其具有有效的政治约束力。
随着越来越多的国家扩大网络力量并采取日益强硬的作战姿态,明确安全保障措施的需求变得愈发迫切。各国政府也在发展非武装冲突中进攻性网络作战能力,这存在着将破坏稳定的模式制度化并扩大潜在危害范围的风险。安全保障措施通过明确行动优势与不负责任行为之间的界限,有助于降低风险。
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
