約瑟夫·奈:網路已成「第五戰場」,這是美國輸不起的一戰
約瑟夫·奈(卡特政府助理國務卿、克林頓政府助理國防部長)
文/微信號「歐亞系統科學研究會」微信公眾號
【導讀】 2011年,希拉蕊提出「網路空間自由」的議題。此後10年間,以美國「雲法案」為代表的一系列管控法案、歐盟網路空間相關規則紛紛落地。
然而網路,依然是一個看不見的駭客、暗網、攻擊遍地的世界。
從「自由」到「管控」,對待網路的邏輯有什麼差異?約瑟夫·奈提出了自己的看法。
【文/約瑟夫·奈 翻譯/談行藏、粒民】
無論是勒索軟體攻擊、選舉干擾、企業間諜活動還是對電網的威脅,從當下的頭條新聞關鍵字來看,無政府的網路空間很難有重建秩序的希望。這些壞消息描繪了一幅已然失控的網路世界圖景,它的危險日益可見,影響邊界也已從網路空間自身彌散開去,延展到經濟運轉、地緣政治、民主社會以及戰爭與和平這類基本問題。
鑒於這一令人憂心的現實,那些試圖在網路空間制定「通行規則」(rules of the road)的建議往往都會遭遇質疑:網路空間的核心屬性使所有強制性規範都難以執行,甚至難知以曉它們是否曾被違反。那些宣佈支援網路規範的國家也可能是予其對手以大規模網路攻擊的國家。
例如,2015年12月,聯合國大會首次批准了一套11項不具約束力的國際網路規範。俄羅斯參與了制定,也在公佈時簽字加入。但就在當月,它發動了對烏克蘭電網的網路攻擊,導致大約22.5萬人在幾小時內無電可用,它也加大了對美國2016年總統大選的干預力度。對懷疑論者而言,這進一步證明在網路空間建立負責任的國家行為規範無異白日做夢。
然而,這種懷疑恰恰揭示出他們對規範運作邏輯的誤解,這種誤解還將隨時間的推移而得到加強。違規行為若不被指明,是會削弱規範的效力,但也不會使其變得無關緊要。規範的意義在於它能創造一種行為期待,使其他國家也有可能遵守。規範還有助於使官方行為合法化,並幫助各國在決定對違規行為做出反應時獲得支持。
當然,規範不可能突然出現並開始生效。歷史表明,顛覆性的技術變革出現後,社會往往需要花時間去學習如何應對,並制定規則以使世界更加安全,免受新危險的困擾。美國向日本投擲原子彈後二十年,各國才就《有限禁止核子試驗條約》與《核不擴散條約》達成協議。
儘管網路技術帶來了獨特的挑戰,但在過去的幾十年裡,旨在約束其應用的國際規範似乎正在以慣有方式建立,緩慢但穩健。隨著這些規則建立,它們在降低網路技術發展帶來的國際秩序風險方面,將發揮愈發重要的作用,特別是在華盛頓及其盟友、夥伴們用其他威懾方法強化這些規範的情況下。
一些分析人士認為威懾在網路空間中不起作用,但這一結論過於簡單。它依然有用,只是生效方式與核領域不同。事實證明,替代性策略的效果跟威懾一樣,甚至可能更差。隨著目標的不斷擴展,美國必須奉行兼顧威懾與外交的戰略,以在這一新的危險世界中築好護欄。在其他領域建立規範的歷史記錄為此提供了有效的起點。我們應努力破除這樣一種觀念:當下的網路世界是一個全新的不同以往的存在。
「第五維戰場」已經出現,美國戰略仍未清晰
網路攻擊的代價日益攀升,而美國防禦網路攻擊的戰略仍顯不足。一個好的戰略必須立足本土,但同時也要認識到網路空間天然的跨國屬性,國內與國外二者之間並非涇渭分明。此外,在網路安全方面,公共漏洞和私人隱患的邊界也逐漸模糊。網路是一個由眾多網路組成的網路,其中大部分屬於私人。與核武器或常規武器不同,政府無法完全控制它們。企業往往會在追求安全與最大化短期利潤之間做權衡。然而企業防禦不足,卻對國家安全有巨大的負外部效應。俄羅斯最近對SolarWinds軟體發動的網路攻擊就是明證,該軟體擁有進入美國政府和私營部門電腦的許可權。與軍事領域不同,在這件事上五角大廈並不是主角。
在國際軍事衝突問題上,于傳統的陸、海、空、天四維之外,電腦網路已成為第五維戰場,2010年成立網路戰司令部時美國軍方明確承認了這一點。「第五維戰場」的特殊之處包括距離的湮滅(海洋從此不再成為天然屏障)、交互的速度(遠快於太空中的火箭)、成本的低廉(進入門檻大幅降低)和溯源的困難(這又催生了推諉塞責與反應遲緩)。
儘管如此,懷疑論者有時仍會把網路攻擊僅僅描述為一件麻煩事,而非一個關鍵的戰略性問題。他們認為,網路領域確實已成為間諜活動和其他各類破壞性秘密行動的理想選擇,其重要性卻遠不如傳統戰場,畢竟沒人會因為網路攻擊而喪生。當然,這麼看的人已經越來越少。2017年WannaCry勒索軟體侵入了英國國家衛生服務系統(British National Health Service),因電腦被加密鎖定無法使用,數千名患者的預約被迫取消,新冠病毒大流行期間醫院和疫苗生產商再度成為勒索軟體和駭客攻擊的直接目標。
更需注意的是,關於網路工具的使用如何升級為物理衝突,還有很多甚至專家都不明白的地方。舉例來說,美國軍方重度依賴民用基礎設施,而網路滲透將在危機時刻嚴重削弱美國的防禦能力。從經濟方面看,網路安全事件的規模與成本一直在增加。據估計,在2017年發生的那場由俄羅斯支持,針對烏克蘭的NotPetya勒索軟體攻擊中,大量銀行、電力公司、加油站和政府機構的電腦資料被抹除,給相關企業造成了超過100億美元的附帶損失。
在規模與成本之外,潛在的攻擊目標數量也在迅速增加。專家估價,隨著大資料、人工智慧、智慧型機器人和物聯網的興起,到2030年網路接入設備量將接近一萬億。早在20世紀80年代,世界便已見識過網路攻擊,但其攻擊面卻在之後急劇擴大,從工業控制系統到汽車再到個人數位助手,都在它的攻擊範圍之中。
顯然,威脅正在加劇,美國的應對戰略卻並不清晰。威懾必須被視為應對方法之一,但與華盛頓駕輕就熟的核威懾相比,網路威懾(cyber-deterrence)的形式並不完全一致。核打擊是個單一事件,核威懾的目標則是防止其發生。相較之下,網路攻擊次數眾多且持續不斷,對它們的威懾更像面對普通犯罪時的做法那樣,目標在於將其限制在一定範圍之內。在制止犯罪的問題上,於逮捕和判刑之外,無論是法律、規範的教育效果,還是社區巡邏和社區員警的日常活動,都發揮了重要作用。道理很簡單,威懾犯罪並不需要蘑菇雲這樣的威脅。
儘管如此,懲罰在網路威懾中仍起著重要作用。美國政府已公開表示,它將用自己選擇的武器和與其利益所受傷害相稱的武力來應對網路攻擊。儘管十年前警告就已發出, 「網路珍珠港」事件目前尚未出現。美國是否將網路攻擊視為武裝攻擊取決於其作用後果,這也讓那些處在灰色地帶的網路行動有了漏洞可鑽,2016年美國總統大選期間俄羅斯發起的網路攻擊便是典例。
儘管俄羅斯等國最近發起的網路行動似乎主要是間諜活動,但拜登政府卻抱怨說它們的規模與持續時間都超出了正常的間諜活動範圍。這便是為什麼網路空間的威懾不僅需要懲罰,還需要防禦和「糾纏」(entanglement),前者要求系統足夠堅固和有彈性,以阻攔攻擊或讓攻擊者畏難放棄,後者要求在與潛在對手建立廣泛聯繫從而一榮俱榮一損俱損。當然,這些方法單獨使用都有局限。儘管如此,懲罰性威脅與防禦性遏制的結合仍會影響各種力量對成本收益的考量。
在改善境內網路的防禦系統之外,近年來華盛頓還接受了美國網路戰司令部稱之為「向前防禦」(defend forward)和「持續交鋒」(persistent engagement)的戰略概念,通過主動發起小規模網路進攻行為盡可能降低敵對國網路攻擊的威脅。一些報導認為,這些做法降低了俄羅斯對美國2018年與2020年大選的影響。但進入和破壞對手的網路本身也會帶來衝突升級的風險,必須謹慎處之。
「住在玻璃房子裡的人不該扔石頭」
即便美國兼具網路戰的防禦和進攻能力,但由於自由市場與開放社會,在網路攻擊和干涉行動面前依然顯得脆弱。「我覺得至少可以想想那句老話,住在玻璃房子裡的人不該扔石頭」。在2015年國會舉行的對美網路攻擊聽證會上,時任美國國家情報總監的詹姆斯·克拉珀(James Clapper)如此評論道。他正確地指出,儘管美國人可能最擅長扔石頭,但他們自己卻住在玻璃房子裡。這一現實讓美國對制定網路安全規範特別感興趣,畢竟它們可以減少在網路空間「扔石頭」的行為。
儘管網路軍控條約的談判將極為困難,因為條款的落實很難驗證。但網路空間相關的外交活動卻並非不可能。事實上,發展網路規範的國際合作已經持續了二十多年。1998年,俄羅斯首次提議制定聯合國條約,以禁止電子武器和資訊武器。美國拒絕了這一提議,認為該領域的條約難以最終落實,因為一行代碼是否為武器最終取決於用戶的意圖。相反地,美國同意由聯合國秘書長任命一個包括15名成員(後來擴大到25人)的政府專家小組來制定網路空間的「通行規則」。該專家組于2004年首次舉行會議。
自那時起,已有六個類似小組召開會議並發表了四份報告,建立了一個廣泛的規範框架,並獲得了聯合國大會的認可。它們的工作加強了以下共識:國際法在網路空間同樣適用,對維護網路空間的和平與穩定至關重要。除了努力解決複雜的國際法問題外,2015年發佈的報告還引入了11項自願的、不具約束力的規範內容,其中最重要的包括回應他國合理的援助請求,禁止攻擊民用基礎設施和干擾大型網路攻擊發生後的電腦應急回應團隊,以及避免他人在領土範圍內使用網路工具發動不法行為。
該報告曾被視為突破性進展,但在2017年遭遇了挫折,因專家組未能就國際法律問題達成一致,該年度並未形成共識性報告。在俄羅斯的建議下,聯合國決議通過成立不限額專家工作組來補充現有體系,它向所有國家開放,非國家主體也被納入其中,包括數十家私營公司、民間社會組織、學者和技術專家。2021年初,新的專家組發佈了一份詳盡——儘管有些乏味——的報告,它重申了2015年的規範內容,以及國際法與網路空間的密切關聯。去年6月,第六個專家組也完成了工作,並發佈了一份報告,為2015年首次引入的11項規範增加了重要細節。中、俄兩國正在敦促相關條約的簽署,但更可能發生的是這些規範內容本身的逐漸演變。
在聯合國方面的進展之外,許多論壇也在討論網路規範,其中包括網路空間穩定全球委員會(Global Commission on the Stability of Cyberspace)。該組織於2017年由一家荷蘭智庫發起,並受到荷蘭政府的大力支持,由愛沙尼亞、印度和美國共同主持,成員包括來自16個國家的前政府官員、公民社會專家和學者,我也是其中之一。
它提出了8項規範以解決既有聯合國指南的不足。其中最重要的是呼籲保護網路的「公共核心」基礎設施不受攻擊,並禁止對選舉系統的干擾。它還呼籲各國不應使用網路工具干擾供應鏈,不應未經主機允許便將僵屍網路植入其他機器以控制它們;應建立透明的流程,讓各國可以據此來判斷是否要披露在他人編碼中發現的缺陷和漏洞;應鼓勵各國在發現網路安全性漏洞時應及時修補,而非囤積起來以待將來可能的應用;應通過法律法規等手段改善「網路衛生」(cyber hygiene)狀況;通過將私營企業的「反向黑入」(hack back)定性為非法活動,來阻止私人企業或個人在受到攻擊後自發組織的報復性行為。
當然,與開發複雜的網路防禦系統相比,這些努力沒那麼耀眼,所需成本也更低廉,但在管控線上惡性行動的問題上,它們將發揮至關重要的作用。我們還可以為網路空間構想並提出更多、更深入的規範,但現在真正重要的問題並非規範的多少,而是它們的實踐路徑和它們是否能以及何時改變國家行為。
國家可能自願服從規範嗎?
規範在成為普遍國家行為之前是無意義的,但那需要時間。19世紀,反對奴隸制的規範在歐洲和美國發展了幾十年。關鍵問題是,為什麼國家會讓規範約束自己的行為。至少有四個主要原因:協調,審慎,聲譽成本和國內壓力,包括公共輿論和經濟變化。
法律、規範和原則中銘刻的共同期待,讓各國協調努力。例如,儘管一些國家(包括美國)尚未批准《聯合國海洋法公約》,但所有國家在涉及領海爭端時都將12海裡上限視為習慣國際法。協調的好處——以及缺乏協調帶來的風險——在網路空間中已被證明,濫用網路網域名稱系統的攻擊時有發生,而這個系統也被成為「網路電話簿」,由非營利性組織,「網路名稱與數字位址分配機構」(ICANN)運營。由於破壞了電話簿,此類攻擊對網路的基本穩定性造成了威脅。除非國家不干涉私人網路的互聯結構,否則就沒有網路。因此,在大多數情況下,國家回避這些策略。
「審慎」是由於擔心在不可預測的系統中造成意想不到的後果,也可以發展出不使用或有限使用某些武器的規範或限制目標的規範。1962年,在古巴導彈危機期間,身處核戰爭邊緣的超級大國,在核武器上達成了類似限制。一年後,《有限禁試條約》接踵而至。一個更遙遠但具有歷史意義的例子是私掠的命運,即審慎如何生成了禁止使用特定手段的規範。18世紀,國家海軍經常雇用私人或私人船隻來增強他們的海上力量。但在接下來的一個世紀裡,各國放棄了私掠者,因為他們的「課外掠奪」(extracurricular pillaging)造成的損失變得過高。
隨著政府努力控制私掠者,各國的態度發生了變化,審慎和克制的新規範也隨之形成。可以想像,網路空間也會發生類似的事情,因為政府發現使用代理人和個體執行者進行網路攻擊會產生負面的經濟影響,並增加對抗升級的風險。許多國家已經宣佈「反向黑入」為非法。
對國家聲譽和軟實力受損的擔憂,也會帶來自願的克制。禁忌會隨著時間的推移而建立,並增加使用甚至擁有大規模傷害性武器的成本。以1975年生效的《生化武器公約》為例,像伊拉克領導人薩達姆·侯賽因那樣,任何國家想要發展生化武器,都得秘密、非法地進行,如果活動證據洩露,將面臨廣泛的國際譴責。
針對網路武器的類似一攬子禁忌很難想像。首先,很難確定任何特定的代碼行是否屬於武器。一個更可能的禁忌,是禁止對特定目標(如醫院或醫療保健系統)使用網路武器。這種禁令的好處是可以參照現有的禁止對平民使用常規武器的禁忌。在新冠大流行期間,公眾對勒索軟體攻擊醫院的厭惡有助於加強這一禁忌,並對如何將其應用於網路空間領域的其他領域做出了示範。如果駭客製造了電動汽車致命事故,可能會發生類似的事情。
一些學者認為,規範有一個自然的生命週期。通常從「規範倡議者」(norm entrepreneurs)開始,即那些能夠對公眾輿論產生重大影響的個人、組織、社會團體和官方委員會。經過一段時間的醞釀,一些規範達到了臨界點,此時,一連串的接受轉化為一種普遍的信念,領導者則會發現,他們將為拒絕規則付出高昂的代價。
規範的雛形可能脫胎於不斷變化的社會態度,也可能來自外部世界。以1945年後對普遍人權的關注蔓延為例:西方國家在1948年率先推動了《世界人權宣言》,其他許多國家因公眾輿論而加入,隨後接受了外部壓力和自身聲譽的束縛。人們可能會認為,這種限制對民主國家比對威權國家更強。但是,赫爾辛基議程——19世紀70年代初蘇聯與西方國家之間的一系列會議——成功將人權納入了冷戰期間關於政治和經濟問題的討論中。
經濟變化也可能提出對效率、增長有促進作用的新規範的需求。當私掠、奴隸制阻礙經濟發展時,反對它們的規範就會得到支援。今天,類似的動態正在網路領域發生。當企業發現,自己因違反跟隱私、資料位置相關的法律而處於不利地位時,可能會對推動政府制定共同的標準和規範。網路保險業可能會向當局施加壓力,要求他們具體化標準和規範,特別是與當前大量家用聯網設備(恒溫器、冰箱、家庭報警系統)中的技術——也就是所謂的物聯網——相關的。
隨著越來越多的設備連接到網路,它們將很快成為網路攻擊的目標,對公民日常生活的影響將刺激對國內、國際規範的要求。只有當駭客行為不只是種麻煩,而是開始對生命本身造成損害時,公眾的擔憂才會加強。如果致命事故增加,矽谷「快速構建,稍後修補」(build quickly and patch later)的規則可能會逐漸讓位於更強調安全性的有關責任的規範和法律。
美國如何實行針對性威懾?
即使國際上一致認為規範是必要的,但同意在哪裡劃紅線以及越過紅線時該怎麼辦是另一回事。批評者認為,重點(以及隨之而來的針對此類行動的任何警告)應該放在造成的損害程度上,而不是邊界是否被打破,或者違規行為是怎樣的。就像你告訴派對主辦者,如果噪音太大,你會報警。你的目標不是根本不可能的叫停音樂,而是將音量降低到更可容忍的水準。
另些時候,美國需要劃定原則性界限並捍衛它們。政府應承認,將繼續進行自認合法的網路入侵活動。需要確切說明華盛頓要維護的規範和界限,並指明違反這些規範和界限的國家。當這些國家過線時,美國將以有針對性的報復作為回應。回應可能包括對公制裁和對私行動,例如凍結一些寡頭的銀行帳戶或公佈他們的醜聞。美國網路司令部的「向前防禦」和「持續交鋒」可能是有用的,但最好再加一個悄悄溝通的程式。
制定網路空間相關條約可能行不通,但對某類行為加以限制,或就大體通行規則進行談判是可能的。冷戰期間,非正式規範約束了雙方的間諜待遇——驅逐,而非處決,成為常態。1972年,蘇聯和美國就《海上事件協定》進行了談判,以限制可能不斷升級的海軍行為。
今天,俄羅斯和美國可能會就網路間諜活動的類型和程度邊界進行談判,或者,他們可能同意限制對彼此國內政治進程的干預。雖然這種承諾缺乏正式條約的確切措辭,但它們可以獨立地就自我克制發表單方面聲明,並建立協商進程來遏制衝突。意識形態的差異會使達成詳細協議變得困難,但更大的意識形態差異也沒有阻止在冷戰期間説明避免事態升級的協議。
6月,拜登政府和俄羅斯總統普京在日內瓦峰會上似乎就探索了這一路徑,在該峰會議程裡,網路空間佔據了比核武器更重要的位置。據媒體報導,美國總統拜登向普京提交了一份16個關鍵基礎設施領域的清單,包括化學原料、通信、能源、金融服務、醫療保健和資訊技術,用拜登的話來說,這些應該「永久禁止攻擊」。
峰會結束後,拜登透露,他曾問普京,如果俄羅斯的管道被勒索軟體擊垮,他會怎麼想。「我跟他點明,我們有強大的網路能力,他也知道,」拜登在新聞發佈會上說。「他不知道具體多強,但足夠強。如果俄羅斯實際違反了這些基本規範,我們將以網路攻擊作為回應。他知道。」然而,到目前為止,尚不清楚拜登的話能有多少成效。
指定保護物件的問題在於,它暗示其他領域都是攻擊物件——而無論如何,來自俄羅斯犯罪分子的勒索軟體攻擊都將繼續。在網路世界,非國家主體在不同程度上充當國家代理人,規則應要求對其進行識別和限制。通行規則永遠不可能完美,必須伴隨著協商程式,建立警告和談判的框架。這樣的程式,加上強大的威懾力,也不太可能完全阻止俄羅斯的侵擾,但只要能降低其頻率和強度,就可以加強美國民主對此類網路攻擊的防禦力。
恩威並施: 使規範運轉起來
在網路空間中,一種尺寸並不能普遍適用。一些與協調相關的規範或許可以同時適應專制和民主國家,但其他規範不能,例如美國國務卿希拉蕊·柯林頓在2010年提出的「網路自由」議程。它呼籲建立自由和開放的網路。不過一組同心圓式的規範,也就是歐洲人稱為義務的「可變幾何」(variable geometry),仍然是可以想像的。像網路安全專家羅伯特·克納克(Robert Knake)建議的,民主國家集團可以就隱私、監控和言論自由等議題的相關規範達成一致,並給達到更高標準的國家以優待,通過這種特殊的貿易協定使規範得以實施。特殊協定也向其他國家開放——只要它們願意並且能夠達到更高標準。
在民主國家間,就這些議題進行外交也不容易,但這是美國戰略的重要組成部分。正如前五角大廈高級官員詹姆斯·米勒(James Miller)和羅伯特·巴特勒(Robert Butler)所說,「如果要美國的盟友和夥伴支援網路規範,他們可能會更願意支持對違規者施加成本,從而大大提高美國威脅的可信度、嚴重性(強加多邊成本)和可持續性。」
拜登政府正在努力應對這樣一個事實,即網路空間領域給全球政治創造了重要的新機遇和薄弱點。國內的重組和重新設計必須是相關戰略的核心,但也需要一個基於威懾和外交的強大國際組成部分。外交部分必須包括民主國家之間的聯盟、發展中國家的能力建設,以及改良的國際機構。還必須包括規範的建立,以實現保護美國民主的舊玻璃屋免受網路時代新石頭摧毀的長期目標。
(文章原刊於《外交事務》(foreign affairs),小標題為歐亞系統科學研究會自擬。)