编者按
美国参议院军事委员会2027年度国防授权法案隐含一项条款,旨在授权一项试点计划,以评估由民间承包商代表美军开展网络行动的可行性。美国专家和前军事官员认为,该条款虽有助于美国军方充分利用私营部门网络力量,但也面临法律模糊、挑衅升级和监管困难等重大挑战。
根据美国参议院军事委员会的提案,此类行动的参与方是拥有自身基础设施的民间承包商;行动范围仅限于获取目标系统访问权限,不包括通常被视为进攻行为的“网络效果”实施,即拒止、削弱、扰乱、摧毁或操纵目标系统的行动;行动过程受美国网络司令部的直接作战指挥与管辖。目前相关条款尚未最终通过,须经美国参众两院协调并获美国总统签署方可生效。
部分美国专家和前军事官员对该条款表示支持,主要观点认为:一是可弥补美军网战人员数量劣势。美军唯有与私营部门紧密协作,才能实现必要的规模化发展,从而在质与量上具备足以对抗外国竞争对手的能力。外国对手在网络人才方面拥有数量优势,而美国军方网络作战人员严重短缺,利用私营部门是美国政府匹敌外国对手人力规模的“唯一途径”。二是可帮助美军分担网络渗透负荷。网络行动因其固有的高度耗时性和复杂性,要求美军必须在和平时期即对潜在目标进行大规模预渗透,而单靠美国网络司令部无法完成这一庞大任务,利用民间力量可立即增加美国作战人员可以威胁的目标数量。三是可由美国政府全程主导和掌控。不同于纯粹的“网络反击”,美国政府保留对行动的直接控制权,确保相关行动在《美国法典》第10卷作战人员的直接监督和控制下进行。四是可使军事人员聚焦核心任务。一旦由民间承包商承担日常访问维持工作,美军人员就可以专注于网络战的“效果”和“驾驭”。五是侵犯性低且模式已有先例。秘密接入对手网络可视为“轻微的非法侵入,而非入室盗窃”,类似于美军已外包给承包商的侦察飞行。六可激发创新并加速能力生成。承包商使用自有基础设施,能够“以切合实际需求的速度”将创新工具直接投入实战,无需经历军方冗长的需求论证和采购流程,实现“即创即用”,将民间创新核心优势快速转化为实际网络作战能力。七是未来可扩展到“网络效果”行动。尽管面临复杂的法律和政策挑战,但在美国网络司令部的直接监督和控制下,最终可允许承包商开展“网络效果”行动。
部分美国专家和前军事官员对该条款构成的风险挑战表达担忧,主要观点包括:一是存在法律定性争议与冲突升级风险。仅获得访问权本身可能被外国视为侵略行为,虽然是否构成攻击行为应由法律人士来裁定,但承包商可能因此成为外国的合法军事目标。二是违反国际规范并为攻击民用基础设施制造借口。美国多年来一直致力于维护网络空间规范,包括为民用基础设施提供保护,该条款可能“搅浑”事态并“蚕食”现有体系,从而可为更频繁地攻击民用基础设施打开方便之门。三是面临人工成本挑战和监督尺度把控难题。此类行动需要大量人工而非人工智能的投入,须在“适当监督”和“避免微观管理扼杀试点”间取得平衡。四是要警惕反情报风险与情报技术暴露隐患。私营部门员工在自有基础设施上开展政府批准的网络行动存在风险,并有可能暴露情报技术。
奇安网情局编译有关情况,供读者参考。
美国参议院军事委员会年度国防政策法案中隐含着一项条款,旨在推动美国政府与民间黑客合作。美国专家和前军事官员表示,此举或可帮助美国扭转与外国对手在网络战人才储备上存在的显著劣势。
该委员会寻求授权一项试点计划,旨在评估开展网络行动的可行性,此类行动仅限于利用拥有自身基础设施的民间承包商来获取系统访问权限,但行动仍受美国网络司令部的作战指挥与管辖。目前尚不清楚该条款最终能否成为法律,因为美国参议院和众议院必须先就各自版本的《国防授权法案》达成一致,随后法案还需在两院分别获得通过并经美国总统签署。
专家们称,这项规定的出台意义重大。一些专家担忧,授权民间黑客可能会引发针对民用基础设施的报复,并违反国际准则;另一些专家则认为,这项规定是扩大美国政府网络力量并利用美国私营部门对外国对手的优势的机会。
美国范德比尔特大学杰出访问教授、前美国网络司令部副司令查理·摩尔表示:“我希望这表明,无论是在美国国防部内部,还是在国会山,人们都明白我们需要与私营部门建立更加紧密的联系。我们必须超越通常意义上的伙伴关系,成为真正的队友。唯有与私营部门紧密协作,我们才能实现必要的规模化发展,从而在质与量上具备足以对抗外国竞争对手的能力。”
一些专家发出警告,指出有外国竞争对手在网络人才方面拥有比美国高出10倍的优势,而美国军方网络作战人员却严重短缺。美国参议院军事委员会的提案或许有助于平衡双方的实力。
外国行为体会暗中利用其私营部门行为体代表国家开展非法网络活动,以此作为实现战略目标并保持一定程度的合理否认的手段。
网络行动极其耗时。与在现实世界中投掷炸弹不同,网络空间中的攻击行动需要先获取目标访问权限(这可能需要数月甚至数年),然后维持访问权限,绘制网络拓扑图,并计划一个能够产生效果的工具。此外,在目标系统中建立的立足点必须秘密维持,直到下达攻击命令为止,而攻击命令可能在几年后下达,也可能永远不会下达。
美国斯坦福大学国际安全与合作中心高级研究员赫伯特·林表示:“解决这个问题的办法就是渗透总统可能想要攻击的所有目标,这意义重大,因为目标数量庞大。美国网络司令部显然无法做到这一切。所以问题是,该如何实现?而这似乎是一种方法。”
美国参议院的这项条款源于多年来关于让企业在网络行动中发挥更直接作用的讨论。这些讨论包括“网络反击”(hack-back)提案,允许企业追究窃取其资料的黑客的责任,以及重新利用美国宪法中曾经用于向攻击敌方船只的私掠船颁发“私掠许可证”的条款,转而授权公司代表政府进行网络行动。
查理·摩尔表示,美国参议院最新条款的好处在于,它允许美国政府保留对行动的直接控制权。他称:“这些网络行动是在《美国法典》第10卷作战人员的直接监督和控制下进行的。”
这是挑衅之举吗?
该条款并未明确允许承包商进行“效果”实施。 这些行为目前不符合美国法律规定,需要美国国防部进行政策变更和国会采取行动。
虽然从技术上讲,获取访问权限被视为一种行动,但一些专家指出,网络效果(即拒止、削弱、扰乱、摧毁或操纵目标系统)通常被视为进攻行为,属于战争行为,必须由政府实体实施。
然而,仅仅是获得访问权这一行为,就可能被一些外国视为一种侵略行为。
赫伯特·林表示:“这就好比说,‘让朝鲜人挖一条穿过非军事区通往韩国的隧道’,但他们没有派兵进去,只是挖了个洞。现在,没人相信他们会派人送花,但他们什么也没做。这算不算攻击?当然算不友好,但它算不算攻击?正如我所说,这应该由律师来裁定。”
曾任美国网络司令部副总法律顾问的库尔特·桑格认为这种模式并无特别争议。他表示,秘密接入外国网络就好比打开一扇未经授权的门。这可以被视为轻微的非法侵入,而非入室盗窃。
库尔特·桑格补充称:“这与情报收集不同,因为你已经朝着产生网络效果的方向迈出了一步。但考虑到大多数美国网络行动所造成的效果的性质,承包商不会与任何传统上被认为是挑衅性的活动联系起来,而且这当然也不是导致局势升级的那种动能活动。”
一些专家将这些行动比作美国军方已经外包给承包商的、由承包商拥有和运营的侦察飞行,这些承包商收集情报但不执行任何行动。
这些活动仍可能使相关行业承担一定程度的责任。美国国防大学教授、前美国网络司令部首任高级法律顾问加里·布朗表示,虽然国防承包商长期以来一直遭受网络入侵(例如,有报道称外国从洛克希德·马丁公司的网络中窃取了F-35战斗机的技术规格),但如果他们在自己的基础设施而非政府系统上开展网络行动,则可能使其成为合法的军事目标。
一位不愿透露姓名的前美国军事网络指挥官质疑参议院这项条款的监督机制,指出该机制需要大量人工而非人工智能的投入,并且必须在适当监督和避免因微观管理而扼杀试点工作之间取得平衡。该指挥官还提出了可能存在的反情报担忧,即私营部门员工在自己的基础设施上开展政府批准的网络行动存在风险,并有可能暴露情报技术。
此外,还存在国际规范的问题。加里·布朗指出,多年来,美国一直致力于维护网络空间的某些规范行为,包括为民用基础设施提供保护。他担心参议院的这项条款可能会“搅浑”这些水域,并“蚕食”现有体系,从而可能为更频繁地攻击民用基础设施打开方便之门。
私营部门优势
多位专家表示美国参议院的这项条款有助于提升美国针对外国对手的网络能力,并指出这是美国政府能够与外国对手在该领域投入的人力规模相匹敌的唯一途径。另一位前美国军方网络官员表示,利用私营企业将立即增加美国特工可以威胁的目标数量。
网络空间作为人为领域,其独特之处在于它需要对目标进行持续的关注和维护,以确保即使在推出补丁和修复程序后,访问仍然畅通。两位前美国军事网络指挥官表示,由于承包商承担了这些日常工作,军事人员可以专注于网络战的效果和“驾驭”。
此外,专家们指出,让承包商群体在网络行动中发挥更直接的作用,能够促进更大的创新和更快的能力发展。
查理·摩尔表示:“依托承包商拥有和运营的自有基础设施,便能立即以切合实际需求的速度释放创新潜力。因为如果我有一个非常棒的工具或工具套件可以帮助我完成任务,我可以立即使用它。我不需要经历冗长的需求和采购流程。这就是我们如何充分利用我们相对于外国对手最重要的优势之一。我们能够释放并充分利用美国优秀公司创造的创新解决方案。”
查理·摩尔指出,他希望这一进程最终能够允许承包商社群也开展效果行动,尽管仍需在美国网络司令部的直接监督和控制下进行,这在法律和政策层面上将是一项更为复杂的工作。
多方消息来源表明,产业界实际上正在开展效果行动,为可能到来的时机做好准备。
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
