【外交政策 20180912】网络战争没有规则可言

满仓

【中文标题】网络战争没有规则可言
【原文标题】In Cyberwar, There are No Rules
【登载媒体】外交政策
【原文作者】Tarah Wheeler
【原文链接】https://foreignpolicy.com/2018/0 ... curity-war-defense/





1984年，在一部科幻电影中，崭露头角的一位奥地利裔美国演员掀起了票房风暴。一个机械化有机体从未来被传送到现在，要杀死一位战争英雄的母亲，以防止这位英雄的出生。这个塞博格扫描了一本电话簿，然后开始有条不紊地杀死所有洛杉矶地区名叫莎拉·康纳的女人。

如果《终结者》的故事在今天的世界上演，影片恐怕只需要4分半钟就结束了。只需要知道姓氏和邮编就可以找到正确的莎拉·康纳，去年Equifax数据大规模泄露完全可以提供这些信息。反抗机器的战争在开始前就结束了，没有人会知道这回事。网络战争最恐怖的一个特点就是其精确的打击目标：敌人可以越过边境打击一个人、一群人或者一片地理范围。

今天也不需要一个塞博格了。根据美国统计局的数据，美国大约有87个人名叫莎拉·康纳，或许她们中的很多人都驾驶配备蜂窝移动系统的汽车，使用未加密的公共网络，造访没有医疗记录安全防范措施的诊所，她们的病症和用药都记录都储存在运行早已过时的Windows XP操作系统的电脑上。

传统意义上的战争出现在地面、海上、空中和太空，现在有了第五个战场——网络空间。但是到目前为止，美国政府依然在笨拙地摸索网络安全策略，同时依照特朗普政府最新的国家安全战略把这个领域的技术外包给私人公司，这等于向外国攻击者敞开大门。

这些第三方机构的运作原则与驱动医药企业的利益点相同。如果一家公司提供的服务是治疗疾病，那么预防性药物就是对他们生意的威胁。与此同时，专家、政策制定者和出版商把那些所谓的网络安全专家奉若神明，他们在社交媒体上的粉丝数量远远多过手里的专业证书，这就是为什么歇斯底里的《黑客向我们袭来》一类社论文章会堂而皇之地出现在颇为体面的出版物上。

针对网络环境不断积累的恐惧和疑惑，让我们无法确定究竟发生了什么，没发生什么。网络战争的性质在于它的不对等性。单一的作战人员有机会发现并利用一个国家或者像国家那样庞大的企业大规模防御系统的某个小小的漏洞。哪怕不那么尖端的网络攻击，也可以给美国或者其它国家造成一种“网络珍珠港”的恐惧心理。实质上，这就像是一种常规攻击，针对工业控制系统、运输网络和医疗服务，因为它们的基础设施早已过时、没有及时维护，或者无法修复。更糟糕的状况是在无形中操纵公众的意见和选举结果，利用目标广告和深度伪造——用人工职能的手段制作音频和视频，模仿某位领导人——等手段。

军方和网络安全专家所面临的最大挑战是网络攻击的不可预知性，当前的防御策略基于一种不可靠的假设，也就是传统战争的规则会延伸到网络世界。网络战争没有规则，它已经不是我们所熟知的那种战争——至少没有公平性可言。而且，这些规则并不符合精通打一场传统战争的将军们的直觉。

这的确是一个问题，因为网络战争不会在美国大部分技术部门有准备的情况下打响，就像最近谷歌内部出现的有关与美国国防部签订人工智能服务合同的反对声音，以及微软内部反对与移民和海关执法局签订办公软件合同的事件。所以只剩下政府和有足够激励因素的跨国公司来设定规则，然而到目前为止两者都未能对一场被广泛认可为战争的行为给出可参照的定义——这是预防这类战争至关重要的第一步。

美国军队最贴近这个定义的行为，也就是说“具有严重后果的行动”需要国会具体问题具体分析。但是网络战争在一瞬间就能摧毁重要的基础设施，期待国会及时响应恐怕不大现实。

在一个党派分歧往往会导致兵戎相见的世界，由一个外部国家针对某个党派发起的信息误导行动，或许会得到另一个党派的欢迎，只要他们有机会表示对此不知情——网络战争往往很难界定责任的归属。

网络军事行动还会导致严重的附带损失。大部分军队都明白，他们不仅要对打击具体目标的效果负责，还要对行动导致的平民伤亡负责。尽管美国在授权网络军事行动之前都会详细评估附带损失，但没有国际协议要求其它国家也照此行事。

2014年美国遭受的一次网络重击表明了平民在这类行动中遭受的损失。几乎所有的网络安全专家和FBI人员都认为，索尼公司在那一年遭到的黑客入侵来源于朝鲜。一个敌对国家打击了一个美国民用目标，目的是破坏一家大公司的运行稳定性，而且取得了成功。索尼收拾残局的费用超过了1亿美元。如果用类似规模的传统战争来比较，或许相当于一个德克萨斯州的油田或者阿巴拉契亚的一座煤矿被摧毁。如果一个具有如此价值的民用资源被一个敌对国家蓄意摧毁，等于向美国宣战。

未来，类似索尼遭受的攻击不会减少。有无数的易受攻击的目标可能导致大规模的损失，而且没有一致认可的规范和规则来惩罚这些罪行。看看下面的例子。

一家欧洲飞机制造商每周会清理一次飞机上的安卓系统恶意软件。当驾驶员把他的智能手机插在飞机上时，就有机会传输恶意软件，而飞机（理论上说不会遭受手机恶意软件的袭击）可以把它传输给下一位驾驶员的智能手机。因此飞机上遍布了网络病毒。在这个脆弱的环境下，一次简单的黑客攻击就可能制造出大混乱。一个发给正在驾驶飞机的飞行员的短信息可能是国家安全警报，或者指示飞机改变航向，就会导致紧急降落或者指令混淆。策划更加精密的攻击有可能造成极为严重的后果。

航空并非唯一易受攻击的领域。美国的医疗系统中有大量的设备和装置在古老的硬件和操作系统的指挥下运行，它们已经无法抵御最常见的网络入侵。有些小医院没有足够的资金来定期跟新医疗设备，而设备供应商会有意延缓或者不发布安全补丁，以便于推销他们最新的硬件产品。

在一个大量外科手术需要机器人协助的年代，医院的安全保障是一个亟待解决的问题。医疗设备行业主要关注的是销售业绩和病人的健康状况，对网络安全不屑一顾。但是如果发生针对使用机器人进行外科手术的医院的网络攻击，不仅会导致设备失灵，还会造成致命的伤害。如果一个国家，或者某个恐怖分子决定干掉一名正在进行手术治疗的美国参议员，并且不暴露罪犯的身份，他们就很难被发现。而且，美国的司法先例无法将入侵医疗设备定义为暗杀或者宣战，似乎也没有足够的理由采取报复行动。




潜在的发动直接攻击的媒介并不多。最近，克利夫兰一个保存胚胎的冷库管理员没有发现检测远程入侵的警报系统被关闭了，导致损失了4000多个卵子和胚胎。工业控制系统的很多操作员懒得去修改初始密码和安全证书，这很容易导致以勒索为目的的攻击，政府医疗机构的官员几乎都不会担心会有人故意关闭监测未来人类生命的装置。我们无法确定，克利夫兰的卵子和胚胎损失的原因是简单的操作失误，抑或蓄意的破坏。但是鉴于冷冻胚胎技术在富裕的国家里越来越普及，这种简单的攻击有可能会杀死数千名未来公民。

一名外国士兵用斧头劈开冷冻箱，破坏了4000个冷冻卵子和胚胎，与同样一名士兵在6000英里外用键盘远程关闭了冷库的温控系统有什么不同呢？两个行为都是倒行逆施，后者罪行归属的不确定性和查找犯人的困难程度，或许让它看起来像是科幻领域的故事。但它不是。

网络攻击——有些异乎寻常、有些普普通通——现在正在发生，公众对此不知不觉。对于网络安全的困惑和恐惧大多来自围绕那些远在天边的事件的扭曲报道。尽管网络安全专家不能百分之百地确定攻击的发起者，甚至是否出现了攻击行为，我们依然可以了解整体的网络安全状况——它是国家基础设施中普普通通、必不可少的一部分。网络攻击的风险是切实的、必然的。

网络和技术的发展速度往往超过国家的内部立法和外部协商的进程。判断和评估针对美国的网络战争的一个问题是，美国法律在界定究竟什么才能构成非法网络行为，而不是信息安全专家日常操作电脑行为时，存在的不清晰和不确定现象。

美国信息安全研究的法律地位尚不明朗，唯一相关的法律是1986年颁布的粗制滥造、充满主观臆断的《计算机欺诈与滥用法》（CFAA）——它在一开始就遭到技术专家的耻笑，目前越来越不受欢迎。这部法律造成了很多不必要的担忧，一些简单、必要的信息安全研究手段都会遭到恶意起诉。

这些手段包括使用Nmap（一个电脑网络规划工具）或Shodan（一个互联网设备搜索引擎）对网络进行扫描，以识别不安全的链接。这种扫描不会利用计算机或网络的弱点，如果与现实环境中的行为比较，就像在一条街上巡逻，记录下破损的窗户、敞开的大门和缺少木条的篱笆墙，但不会私闯别人的领地。改变联邦网络安全政策悲哀现状的最快方法是废除CFAA，鼓励网络安全研究人员从事预防性研究，而不是捆住他们的双手确保不触犯法律。但是目前，美国政府的做法是笨拙地阻止网络安全人员从事本应是一项高尚的职业。

美国政府因此严重缺少顶级的信息安全专家。从根本上说，美国缺少一个可执行的立法计划，来强化抵御网络攻击和培养网络专业人才所需的基础设施布局。针对网络攻击的强大防线，应当遵循与美国常规基础设施设计同样的原则：战略计划、技术执行、专家检验。例如，美国在1956年授权修建的洲际高速公路让军方可以迅速调集部队和供给，同时造福了百姓。

现在，无人照料的美国公路坑坑洼洼、路面开裂、沥青支离破碎，糟糕的路况每年造成数千人在高速公路上死亡。但是公路上的陷坑对政策制定者来说是个无聊的问题。一旦某座桥崩塌，媒体会迅速发布报道，尽管死于桥梁事故的人要少得多。对于事故的响应是个好机会，政策制定者可以在摄像机前，面对烟尘和警笛侃侃而谈。辛苦地修复潜在的问题，提前防止灾难的发生要靠边站了。这种枯燥但无比重要的工作也存在于信息安全领域。如果有我们觉得网络工作令人感到乏味，我们一定是做错了。

网络安全就像一剂疫苗，应该是基础设施预算中标准的一项内容，就像高速公路维护。常规的网络安全措施——比如加密系统升级、测试恢复丢失数据的能力、定期审查用户权限——应当出现在每个组织的预算列表中。一旦事故发生——它会发生的，就像桥梁倒塌一样——应当有专业的核查人员和代表权威机构的事故响应人员前来处理，就像凡是涉及航空的事故都由国家运输安全委员会（NTSB）来处理一样。

但是目前，美国没有网络安全领域的NTSB。没有专业经验的政府完全依赖于安永、普华永道和德勤这类大型公司来处理类似的事情。如果美国政府没有能力对某个重大网络事件进行事后详细调查，公民会对此提出质疑，为什么任由政策制定者把工作交给承包商？对网络攻击的有效响应需要一大批经过专业培训的政府分析人士，而不是会计和律师。

但是唐纳德·特朗普执政的白宫未能填补这个空缺，甚至彻底放弃了所有重要的网络安全职位。还有一些人士坚持勇敢地提供切实可行的建议和正确的信息安全行为指引。（政府机构18F和美国数字服务局都做出了重要的贡献，但他们得到的预算少得可怜。）但是最高层的网络专业人士严重流失。

网络防御并不是变魔术，而是挖管、布线、填坑，是枯燥、艰难、无休止的工作。从业人员更像是一个维修工，而不是海军陆战队员。最合适的从业人员是那些对保障人民安全有无限热情，除了解决更多的问题没有任何荣誉期望的人。

政策制定者面临的挑战与过去并没有什么变化：提升网络安全基础设施中的最短板，防范来自恶意对手的攻击。但是政客们对此并不积极，因为修改密码的政策没有什么油水，强迫每个人改进自己的加密系统，远没有在集会时找个孩子亲一下来得实惠。




每当美国本土遭到袭击，人们都会用某些代称来描述这些事件。没有人需要详细解释“珍珠港”或“9/11”的细节，我们已经知道它们代表了什么。当灾难性的网络攻击发生，其恐怖状况无法和其它事件相比。我们不能叫它“数码珍珠港”，它必须要有自己的名字。

但是在此之前，这些攻击的发动者依然可以逍遥法外。人们害怕他们所看到的或者知道的，但是不害怕他们想象不到或者不能理解的事物。因此，人们很容易就忘记一次静悄悄发动，但是致命的网络攻击所造成的遥远的后果。历经15年之后，90年代中期南斯拉夫战争的战犯才被成功起诉，这还是有大量的照片证据和证人证词的情况下。难怪国际社会不大可能就那种类型的网络攻击可以进行报复性打击的标准达成一致意见——尤其是各个国家甚至无法对网络战争下定义的情况下。

改进网络防御的第一步是确定什么可以构成来自外部的网络攻击，而不是恶作剧或者行业间谍行为。之后，政府官员和立法者可以确定，具备哪些因素就可以在遭受攻击的过程中或者之后进行自我防御。

截止到目前，对建立这类国际秩序所投入的努力少之又少。2013年，一批数字法律专家在爱沙尼亚塔林召开会议，并编写了《塔林手册》，这是世界上目前最接近“数字日内瓦公约”的东西。（2017年更新为《塔林手册2.0》。）其中规定了网络攻击的特点，包括目标选取、破坏关键的基础设施、打击医疗机构、破坏交通干道和载人运输工具、试图侵入对方军事设施网络。最早版本的手册没有清晰描述在竞选活动中歪曲信息和入侵竞选系统的行为，但是把干涉外国选举——意在更迭政权——列为违背国家主权的行为。

在2017年德国议会选举之前，一系列的网络攻击引起了人们对俄罗斯干涉的恐惧。但是根据《联合国宪章》，除非敌对武装力量出现在一个国家的境内，否则国际社会不会认可侵略行为。这种对战争的定义毫无疑问已经过时了。

同样，荷兰在2017年和2018年遭到的网络攻击，导致政府资金和重要的公民服务不能正常使用。但是因为没有出现传统的战争武器，所以并没有违反《联合国宪章》的条款。部分国家开始筹划一个想法，或许某种预先反制措施可以被视为国际法支持的正当防御。

就国家有权在网络战争中自我防御的条件达成国际共识，需要先对一个重要问题达成共识：恶意的经济和情报刺探行为与真正的网络战争之间的界线在哪里。

如果俄罗斯干涉外国选举的行为被确认无误，那么就可以有一个结论。俄罗斯官方支持的网络干涉选举行为与世纪选举结果之间的证据链，可以让国际社会明白什么叫做网络空间的非法军事行径。非常明确的一件事情是，多国的选举遭到干涉，而且没有采取军事手段。在美国，前总统巴拉克·奥巴马在离开白宫之前一个月宣布，美国将在自己选择的时间和地点做出回应。但是他的继任者没有继续做出类似的威胁表示，至少没有针对网络行为。

如果没有国际立法的支持，网络战争罪行就不可能被有效界定。如果一批专家真的凑在一起，编写了一部有约束力的《数字日内瓦公约》，那么它的权威性从何而来尚不得而知。北约资助了塔林会议，但是《塔林手册》不具有约束力，也不是北约的官方文件。而且，北约这个组织目前也不稳定，美国从来不保证会遵守任何协议。

没有一部具备约束力的国际协议，世界在鱼龙混杂的黑客、战士、情报特工、罪犯和愤青面前任人宰割，所有这些人在三个代理服务器后面都无法识别。如果他们还会采用一些哪怕最基本的掩饰网络行踪的手段，就几乎不可能百分之百识别出攻击发起者的身份。

假如南加州在明天有灾难降临，科学检测和法庭证据分析可以让我们知道那究竟是一场地震，还是一颗炸弹，尽管两者所造成的破坏程度类似。但是，令人无法做出判断的问题是，究竟是圣彼得堡几个十来岁的孩子因为好奇而攻击美国政府网站导致其停止服务，还是俄罗斯军方蓄意阻止美国选民在网站上登记。网络选举信息扭曲在查找罪犯和给予惩罚上同样存在问题。尽管专家和情报机构一致认为俄罗斯干涉了2016年美国总统大选，但是两党很难形成一致的意见，认为俄罗斯在社交媒体上购买广告是外国势力的敌对行为。

今天的挑战是网络空间急速的进化速度，它的速度远快于召开国际峰会的速度，任何需要花费一个星期以上时间讨论才能达成的决议几乎立即就会过时。即使某个国家内部可以就一方向另一方发动网络攻击的具体行为达成共识，但两个国家之间的协议就无法保证了。但是他们无论如何要做尝试。

习惯往往会变成传统。1648年的《威斯特伐利亚和约》——其灵感来源于雨果·格劳秀斯——就是这样定义了现代国家和国际关系。作为“正义战争”概念提出者的荷兰人格劳秀斯，规定了最早期的规则，在它的指引下，无政府模式下的国际秩序开始变得有条理。370年之后，当代国家的概念已经牢不可破，而且无数次被越来越多的框架关系所加强。

国际社会在新的时代需要形成一个新的习惯。各国领导人必须追寻北约在塔林试探性的脚步，召开“数字日内瓦会议”，形成一些有关网络战争的基本的、不会动摇的规则。如果没有对网络战争定义的共识，世界必将陷入无政府状态，矛盾百出的法律和规范让它极易遭受那些来自身份不明人士发动的破坏性战争袭击。