跳到主要内容

外交杂志:网络不是法外之地,但全球数字新秩序谁说的算?

会员

哈佛大学肯尼迪政府学院的前院长 Joseph S. Nye, Jr.在外交杂志上发表文章,讨论了在网络空间制定国际规范的可能性。他认为,尽管外界广泛认为网络空间难以被制约,但制定规则是有意义的,它主要能通过协调、谨慎、声誉成本和国内压力来影响各国的行为。尽管一些行为不一定会马上改变,但美国仍然能够通过它的威慑力来为对手施加一定的压力。

勒索软件攻击、干扰选举、企业间谍活动、对电网的威胁:根据目前头条新闻的宣传,似乎没有什么希望为网络空间的无政府状态带来一定的秩序。无休止的坏消息描述了一个不受控制的网络世界,它的危险性与日俱增,不仅对网络空间本身,而且对经济、地缘政治、民主社会以及战争与和平等基本问题都有严峻的影响。

鉴于这种令人不安的现实,任何关于有可能制定网络空间基本规则的建议都会受到怀疑:这种想法认为,网络空间的核心属性使得任何规范几乎都不可能被执行,甚至不可能知道它们是否已经被违反。那些宣布支持网络规范的国家同时对它们的对手进行了大规模的网络行动。例如,在2015年12月,联合国大会首次批准了一套11个自愿的、不具约束力的国际网络规范。俄罗斯帮助制定了这些规范,并在后来批准了这些规范用于发布。

同月,俄罗斯对乌克兰的电网进行了一次网络攻击,导致大约22.5万人被停电数小时,并且还在加紧努力干预2016年的美国总统选举。对于怀疑论者来说,这进一步证明了在网络空间建立负责任的国家行为规范是一个白日梦。

然而,这种怀疑揭露了对规范如何发挥作用,并随着时间的推移得到加强的误解。违规行为,如果不加以解决,便会削弱规范,但不会使它失去意义。规范创造了对行为的期望,使之有可能让其他国家承担责任。规范还有助于使官方行动合法化,并在国家决定对违法行为作出反应时帮助它们招募盟友。而且,规范不会突然出现或在一夜之间开始发挥作用。

历史表明,社会需要时间来学习如何应对重大的颠覆性技术变革,并制定规则,使世界更安全地应对新的危险。在美国对日本投下核弹后,各国花了二十年时间才就《部分禁止核试验条约》和《不扩散核武器条约》达成协议。

虽然网络技术带来了独特的挑战,但管理网络使用的国际规范似乎正在以寻常的方式发展:在几十年的时间里,其缓慢但稳定地发展。随着这些规范被确立,它们将开始在减少网络技术对国际秩序的威胁方面发挥关键作用,特别是如果美国及其盟友开始用其他的威慑方法来加强这些规范。

尽管一些分析家认为这种威慑在网络空间不起作用,但这个结论是过于简单的:它的作用方式与核领域不同。而且事实证明,替代战略也有同样或更多的不足之处。随着目标的继续扩散,美国必须采取威慑和外交相结合的战略,以加强这个全新的并且危险的世界中的护栏。在其他领域建立规范的历史则提供了一个有用的起点,它们应该能够消除这个问题和这个时代是与众不同的这种观念。

生活(和战争)的新事实

随着网络攻击的成本越来越高,美国抵御网络攻击的战略仍然不够充分。一个好的战略必须从家门前开始,但同时也要认识到网络空间与国内外的不可分割性,网络空间的领域本质上是跨国的。

此外,网络安全模糊了公共和私人间的弱点。互联网是一个网络的网络,其中大部分是由私人拥有的。与核武器或常规武器不同,政府并不控制它们。因此,公司会在安全投资和短期利润最大化之间做出自己的权衡。

然而,不充分的企业防御可以为国家安全带来巨大的外部成本:比如最近俄罗斯对软件公司SolarWinds的网络攻击,使得整个美国政府和许多私营部门的计算机的访问权限大开。而且,与军事安全不同,五角大楼在这个领域只发挥了部分作用。

在全球军事冲突领域,除了传统的陆、海、空、太空四个领域外,计算机网络已经成为第五个领域。美国军方已经认识到了这一点,并于2010年成立了美国网络司令部。新的网络领域的特殊性包括距离的侵蚀(海洋不再对该领域提供保护),互动的速度(比太空中的火箭快得多),低成本(减少了进入此领域的障碍),以及归因的困难(使攻击方更容易否认并减缓反应)。

尽管如此,怀疑论者有时主要将网络攻击描述为一种滋扰,而不是一个主要的战略问题。他们认为,网络领域是进行间谍活动和其他形式的秘密行动和破坏的理想场所,但它仍然远不如传统的战争领域重要;没有人因为网络攻击而死亡。然而,这一立场正变得越来越难以接受。2017年,叫做WannaCry的勒索软件攻击损害了英国国家卫生服务,使计算机被加密且无法使用,迫使数千名患者的预约被取消,在新冠疫情期间,医院和疫苗生产商已经成为了勒索软件攻击和黑客的直接目标。

更重要的是,对于网络工具的使用将如何升级为物理冲突,仍有许多连专家都不了解的地方。例如,考虑到美国军队严重依赖民用基础设施的现实,网络渗透在危机情况下会严重削弱美国的防御能力。而在经济方面,网络事件的规模和成本也一直在增加。

根据一些估计,俄罗斯赞助的2017年对乌克兰的NotPetya攻击,抹去了银行、电力公司、加油站和政府机构电脑中的数据,给公司带来了超过100亿美元的附带损失。而网络攻击目标的数量也在迅速扩大。随着大数据、人工智能、先进的机器人技术和物联网的兴起,专家估计,到2030年,互联网的连接数将接近一万亿。自20世纪80年代以来,世界就开始经历网络攻击,但攻击面已急剧扩大;现在已经包括从工业控制系统、汽车到个人数字助理的一切。

很明显,威胁正在增加。不太清楚的是,美国的战略该如何调整以面对它。威慑必须是解决方案的一部分,但网络威慑将看起来与华盛顿几十年以来实行的更传统且熟悉的核威慑形式不同。核攻击是一个单一的事件,而核威慑的目标是防止它发生。相比之下,网络攻击是大量和持续的,对它们发出威慑更像是在威慑普通犯罪,目标是将它控制在一定范围内。当局不仅通过逮捕和惩罚凡人,还通过法律和规范的教育效果,通过巡逻街区,以及通过社区警务来遏制犯罪。阻止犯罪并不需要蘑菇云(原子弹爆炸)式的威胁。

不过,惩罚在网络威慑中还是发挥了很大的作用。美国政府已经公开表示,它将用自己选择的武器,以与造成的损害相称的武力来应对网络攻击。尽管十年来一直有警告,但到目前为止,“网络版珍珠港”还没有发生。

美国是否会将网络攻击视为武装攻击,取决于其后果,但这使得它很难阻止那些比较模糊的行动。俄罗斯对2016年美国总统选举的破坏就属于这样一个灰色地带。而且,尽管最近中国和俄罗斯的一些网络攻击似乎主要是出于间谍的目的,但拜登政府抱怨说,攻击的规模和持续时间已经超出了正常的间谍活动。

这就是为什么网络空间的威慑不仅需要惩罚的威胁,还需要通过防御来抵抗(建立足够有韧性和足够难以侵入的系统,使潜在的攻击者不愿意尝试)和纠缠(建立与潜在对手的联系,使他们发起的任何攻击也可能损害自己的利益)。

这些方法中的每一种在单独使用时都有局限性。纠缠在对中国使用时更有效果,因为美国与中国有高度的经济相互依存关系,但对朝鲜则没有效果。通过防御来抵抗非国家行为者和二线国家的威慑是有效的,但不太可能阻止更强大和更熟练的行为者的攻击。但惩罚的威胁与有效防御相结合就可以影响这些大国对成本和收益的计算。

除了改善美国境内的网络防御外,近年来,美国还采用了美国网络司令部称之为“防御前线”和“持续参与”的理论。简而言之,就是采用小规模的网络攻击行为,如破坏、转移或摧毁一个网络。一些新闻报道认为,这些做法减少了俄罗斯对2018年中期选举和2020年美国大选的干预。但进入和破坏对手的网络也会带来一些冲突升级的危险,必须小心管理。

制定一些规则

尽管美国拥有防御和进攻能力,但由于它的自由市场和开放的社会,美国仍然非常容易受到网络攻击和影响行动的打击。时任国家情报总监的詹姆斯·克拉珀在2015年国会关于美国应对网络攻击的证词中说:“我认为,至少应该考虑一下关于住在玻璃房子的人不该扔石头的老话。”(注:这句话意思是在没有做好自我检视,确认自身完美无误之前,不要轻易开启战端。)

克拉珀正确地强调,尽管美国人可能是最擅长扔石头的人,但他们生活在玻璃最多的房子里。这一现实使美国对制定规范以减少在网络空间扔石头的动机特别感兴趣。

谈判网络武器控制条约将是非常困难的,因为它们是不可核查的。但在网络空间方面谈外交并非不可能。事实上,关于制定网络规范的国际合作已经持续了二十多年。

1998年,俄罗斯首次提出一项联合国条约,禁止电子和信息武器。美国拒绝了这一想法,认为这一领域的条约将是不可核查的,因为一行代码是否是武器,可能取决于使用者的意图。相反,美国同意联合国秘书长应任命一个由15名(后来扩大到25名)政府专家组成的小组来制定一套规则;他们于2004年首次开会。

此后,六个类似的小组召开了会议,他们发布了四份报告,建立了一个广泛的规范框架,后来也得到了联合国大会的认可。这些小组的工作加强了一个共识,即国际法适用于网络空间领域,对于维护网络空间的和平与稳定至关重要。

除了处理复杂的国际法问题外,2015年发布的报告还提出了11项自愿的、不具约束力的规范,其中最重要的是授权各国在接到请求时提供援助,并禁止攻击民用基础设施、干扰在大型网络攻击后作出反应的计算机应急小组,以及允许自己的领土被用于不法行为。

这份报告被视为一种突破,但在2017年,专家组未能就国际法律问题达成一致,也没有产生一份协商一致的报告,进展放缓。在俄罗斯的建议下,联合国通过组建不限成员名额的工作组对现有的进程进行了补充,这个工作组向所有国家开放,并与非政府行为体进行磋商:包括数十家私营公司、民间社会组织、学术界和技术专家。

2021年初,这个新的小组发布了一份范围颇大,但有些平淡的报告,其中重申了2015年的规范,以及国际法与网络空间之间的相关性。去年6月,第六个专家组也完成了工作,并发布了一份报告,在于2015年首次提出的11项规范之上又增加了重要细节。中国和俄罗斯仍在催促制定条约,但更有可能发生的是这些规范将逐步演变。

除联合国进程外,还有许多其他论坛讨论网络规范,包括全球网络空间稳定委员会(Global Commission on the Stability of Cyberspace,GCSC)。2017年由荷兰智库发起,在荷兰政府的大力支持下,GCSC(笔者是其中一员)由爱沙尼亚、印度和美国共同主持,包括来自16个国家的前政府官员、民间社会的专家和学者。GCSC提出了八项规范,以解决现有联合国指南中的差距。其中最重要的是呼吁保护互联网的“公共核心”基础设施不受攻击,并禁止干扰选举系统。

GCSC还呼吁各国不要使用网络工具来干扰供应链;不要将僵尸网络(注:通过病毒在控制者和被感染主机之间所形成的一个可控制的网络)引入他人的机器,以便在主人不知情的情况下控制这些机器;建立透明化的程序,让各国在考虑披露它们发现的他人的编码中的缺陷或漏洞时可以遵循。鼓励各国在发现网络安全漏洞时及时修补,而不是把漏洞囤积起来以备将来使用;改善“网络卫生”,包括通过法律和法规;以及使私营企业的“反黑”非法化,即对黑客发起反击,来阻止私人自警团活动。

这些努力虽然没有开发复杂的网络防御系统那么显眼(也没有那么昂贵),但它们将在遏制网上的恶意活动中发挥关键作用。还可以为网络空间想象并提出许多进一步的规范,但现在重要的问题不是是否需要更多的规范,而是如何实施这些规范,以及它们是否以及何时能够改变国家的行为。

新式私掠者

规范在成为国家的普遍做法之前是无效的,而这可能需要时间。在19世纪,欧洲和美国花了几十年时间才形成反对奴隶制的规范。关键问题是,为什么国家会愿意让规范约束其行为。至少有四个主要原因:协调、谨慎、声誉成本和国内压力,包括公众舆论和经济上的变化。

法律、规范和原则中规定的共同期望有助于各国协调努力。例如,尽管一些国家(包括美国)没有批准《联合国海洋法公约》,但在涉及领水争端时,所有国家都将12英里的界限视为国际法中的惯例。协调的好处以及缺乏协调所带来的风险在网络空间中是显而易见的,有几次目标是通过破坏互联网的域名系统(DNS)而被黑的,这个系统有时被称为“互联网的电话簿”,由非营利的互联网名称与数字地址分配机构(ICANN)管理。通过破坏电话簿,这种攻击使互联网的基本稳定性受到威胁。除非国家不干预使私人网络能够连接的结构,否则就没有互联网。因此,在大多数情况下,各国都避免采取这些策略。

谨慎来自于担心在不可预测的系统中产生意外的后果,并可能发展成为不使用或限制使用某些武器的规范,或限制目标的规范。1962年古巴导弹危机期间,当超级大国接近核战争的边缘时,核武器问题中就发生了类似的情况。一年后,《部分禁止核试验条约》出台。

一个更久远但有历史意义的例子是,私掠(privateering,获得政府特许的海盗船)如何产生了反对使用某些战术的规范。在18世纪,国家海军经常雇用个人或私人船只来增强他们的海上力量。但在接下来的一个世纪里,各国不再使用私掠者,因为他们私下进行的掠夺变得太昂贵了。随着政府努力控制私掠者,人们的态度也发生了变化,形成了谨慎和克制的新规范。

我们可以想象,在网络空间领域也会出现类似的情况,因为政府发现使用代理人和私人行为者进行网络攻击会产生负面的经济影响,并增加升级的风险。一些国家已经将“反黑”定为非法。

对一个国家的声誉和软实力受损的担忧也会产生自愿克制。禁忌随着时间的推移而发展,并增加了使用或甚至拥有可造成巨大损害的武器的成本。以1975年生效的《生物武器公约》为例。任何希望发展生物武器的国家都必须秘密并且非法地进行,如果这类活动的证据被泄露,它将面临广泛的国际谴责,正如伊拉克前领导人萨达姆·侯赛因被发现时那样(注:在91年的海湾战争时被发现)。

很难想象会出现类似的对使用网络武器的全面禁忌。首先,很难确定任何一行代码是否是一种武器。更有可能出现的禁忌是禁止对特定目标使用网络武器,如医院或医疗系统。这种禁令的好处是可以借助现有的,禁止对平民使用常规武器的禁忌。在新冠疫情期间,公众对勒索软件攻击医院的反感有助于加强这一禁忌,并暗示它可能会被适用于网络空间中其他领域。如果黑客导致使用电动汽车的致命事故增加,可能也会出现类似的情况。

同行压力

一些学者认为,规范有一个自然的生命周期。它们通常从“规范企业家”开始:即对公众舆论享有巨大的影响力的个人、组织、社会团体和官方委员会。经过一定的酝酿期后,一些规范达到了一个临界点,当一连串的接受被转化为普遍的信仰时,领导者会意识到他们将为拒绝它而付出高昂的代价。

酝酿中的规范可以来自于不断变化的社会态度,也可以是进口的。以1945年后对普遍人权的关注为例。西方国家在1948年带头推动了《世界人权宣言》,但许多其他国家是因为公众舆论才感到不得不签署,随后它们便开始受到外部压力和对声誉受损的担忧的制约。

人们可能会认为,这种限制在民主国家比在专制国家更强。但是赫尔辛基进程,即1970年代初苏联和西方国家之间的一系列会议,成功地将人权纳入了冷战期间关于政治和经济问题的讨论中。

经济变革也可以促进对新规范的需求,从而进一步促进效率和增长。反对私掠和奴隶制的规范在这些习俗的经济效益衰退时而得到了支持。类似的情况在今天的网络领域也在发挥作用。

那些因隐私和位置数据而与国家法律发生冲突,从而处于不利地位的公司,可能会迫使政府制定共同的标准和规范。网络保险业可能也会对政府当局施加压力,以充实标准和规范,特别是关于现在嵌入网络的无数家用设备(恒温器、冰箱、家庭报警系统)的技术,即所谓的物联网。随着越来越多的设备被连接到互联网,它们很快就会成为网络攻击的目标,对公民日常生活的影响将增加,浙江促进对国内和国际规范的需求。

如果黑客攻击不仅仅是一种骚扰,而开始造成生命损失,公众的关注只会加速。如果死亡人数增加,硅谷的“快速建立,稍后打补丁”的规范可能会逐渐让位于更强调安全的责任规范和法律。

网络规则是用来被打破的

即使在国际上达成了需要规范的共识,但在哪里划定红线,以及越过红线后该如何处理,这又是另一回事。问题是,即使专制国家签署了规范性的公约,他们有多大可能遵守这些公约?

2015年,中美同意不为商业利益而使用网络间谍,但私人安全公司报告说,中国只遵守承诺的时间只持续了一年左右,然后就重拾了用黑客攻击美国企业和联邦数据的旧习,尽管这发生在以关税战崛起为标志的经济关系恶化的情况下。

但这是否意味着协议的失败?批评者认为,重点(以及随后对此类行动的任何警告)应该集中在攻击所造成的损害,而不是被越过的确切界限或者违规是如何发生的。一个比喻是警告一个醉酒派对的主人,如果噪音太大,你会打电话给警察。警告的目的不是彻底停止音乐这种不可能达成的目标,而是将音量降低到一个更可容忍的水平这种更实际的目标。

还有一些时候,美国将需要划定原则性的界限并加以维护。它应该承认,它将继续因它认为是合法的目的而入侵网络空间。它将需要准确地说明华盛顿将坚持的规范和限制,并指出违反这些规范和限制的国家。当中国或俄罗斯越过某条线时,美国将不得不采取有针对性的报复措施。

这可能涉及公共制裁和私人行动,如冻结一些寡头的银行账户或公布有关他们的尴尬信息。美国网络司令部的防御前线和持续参与的做法在这里可能是有用的,尽管它们最好伴随着一个安静的沟通过程。

签订关于网络空间的条约可能是不可行的,但也许还是可以对某些类型的行为设定限制,并谈判出粗略的规则。在冷战期间,非正式的规范制约了对双方间谍的待遇;驱逐而不是处决成为规范。

1972年,苏联和美国谈判达成了《美苏防止海上事件协定》,为了限制可能导致升级的海军行为。今天,中国、俄罗斯和美国可能会就他们开展的网络间谍活动的程度和类型进行谈判限制,就像中国领导人和奥巴马在2015年所做的那样。或者他们可能会同意限制他们对彼此国内政治进程的干预。虽然这种承诺缺乏正式条约的精确语言,但三国可以独立地就它们愿意自我克制的领域发表单边声明,并建立一个协商程序来遏制冲突。

意识形态上的差异将使详细的协议难以达成,但即使是更大的意识形态差异也没有阻止美苏在冷战期间达成了避免升级的协议。谨慎有时会比意识形态更重要。

这似乎是拜登政府在去年6月与俄罗斯总统普京在日内瓦举行的峰会上探讨的方法。在这次峰会上,网络空间在议程上的地位比核武器更大。

据媒体报道,美国总统拜登向普京递交了一份16个关键基础设施领域的清单,其中包括化学品、通信、能源、金融服务、医疗保健和信息技术,用拜登的话说,这些领域应该是“禁止被攻击的,没商量”。峰会结束后,拜登透露,他曾问普京,如果俄罗斯的石油管道被勒索软件破坏,他会有什么感受。拜登在一次新闻发布会上说:“我向他指出,我们有强大的网络能力,他也知道这一点。他不知道具体是什么,但它是强有力的。如果他们真的违反了这些基本规范,我们将以网络供给来回应。他知道。”然而,到目前为止,还不清楚拜登的话在多大程度上发挥了作用。

指明需要保护的内容的一个问题可能是,它暗示其他领域是可以被攻击的,无论如何,来自俄罗斯犯罪分子的勒索软件攻击将继续下去。在网络领域,非国家行为者在不同程度上充当着国家代理人的角色,而规则应该要求对他们进行识别和限制。而且,由于规则永远不会是完美的,它们必须伴随着一个协商过程,建立一个警告和谈判的框架。这样一个过程,加上强有力的威慑威胁,不太可能完全阻止中国和俄罗斯的干扰,但如果它能减少攻击的频率或强度,它就可以加强美国民主对这种网络攻击的防御。

改变行为

在网络空间,一刀切的做法并不适合所有人。可能有一些与协调有关的规范可以同时容纳专制和民主国家。但另一些则不能,比如美国国务卿希拉里在2010年提出的“互联网自由”议程。

它承诺了一个自由和开放的互联网。人们可以认为,当规范被组织在一组同心圆中,具有欧洲人所说的“可变几何”的义务。民主国家集团可以为自己设定一个更高的标准,就与隐私、监控和自由表达有关的规范达成一致,并通过特别贸易协定来执行这些规范,并按照网络安全专家罗伯特·克纳克建议的路线,优先照顾那些符合更高标准的国家。这种协议可以对其他国家开放,只要它们愿意并能够达到更高的标准。

在这些问题上,民主国家之间的外交并不容易,但它将是美国战略的一个重要组成部分。正如五角大楼的两位前高级官员詹姆斯·米勒和罗伯特·巴特勒所言,“如果美国的盟友和伙伴支持网络规范,他们可能更愿意支持对违规者施加成本,从而大幅提高美国威胁对违规行为施加成本的可信度、严重性(通过多边成本施加)和可持续性。”

网络空间在世界政治中创造了重要的新机会和脆弱性,而拜登政府正在应对这样的情况。在国内进行重组和改造必须是此类战略的核心,但它也需要一个基于威慑和外交的强大国际组成部分。外交部分必须包括民主国家之间的联盟,发展中国家的能力建设,以及改善国际机构。这样的战略还必须包括制定规范,其长期目标是保护美国民主的老玻璃屋,不受互联网时代新石头的影响。

关注加美财经,获取全球财经、科技与公共事务的即时更新、深度分析和评论。

Bluesky、Telegram、X账户,请搜索:causmoney

官网:caus.com

Leave a Reply

Your email address will not be published. Required fields are marked *