美国前高官：互联网已成“第五战场” 美国输不起

[导读] 2011年，希拉里提出“网络空间自由”的议题。此后10年间，以美国“云法案”为代表的一系列管控法案、欧盟网络空间相关规则纷纷落地。

然而互联网，依然是一个看不见的黑客、暗网、攻击遍地的世界。

从“自由”到“管控”，对待互联网的逻辑有什么差异？约瑟夫·奈提出了自己的看法。

[文/约瑟夫·奈  翻译/谈行藏、粒民]

无论是勒索软件攻击、选举干扰、企业间谍活动还是对电网的威胁，从当下的头条新闻关键词来看，无政府的网络空间很难有重建秩序的希望。这些坏消息描绘了一幅已然失控的网络世界图景，它的危险日益可见，影响边界也已从网络空间自身弥散开去，延展到经济运转、地缘政治、民主社会以及战争与和平这类基本问题。

鉴于这一令人忧心的现实，那些试图在网络空间制定“通行规则”（rules of the road）的建议往往都会遭遇质疑：网络空间的核心属性使所有强制性规范都难以执行，甚至难知以晓它们是否曾被违反。那些宣布支持网络规范的国家也可能是予其对手以大规模网络攻击的国家。

例如，2015年12月，联合国大会首次批准了一套11项不具约束力的国际网络规范。俄罗斯参与了制定，也在公布时签字加入。但就在当月，它发动了对乌克兰电网的网络攻击，导致大约22.5万人在几小时内无电可用，它也加大了对美国2016年总统大选的干预力度。对怀疑论者而言，这进一步证明在网络空间建立负责任的国家行为规范无异白日做梦。

然而，这种怀疑恰恰揭示出他们对规范运作逻辑的误解，这种误解还将随时间的推移而得到加强。违规行为若不被指明，是会削弱规范的效力，但也不会使其变得无关紧要。规范的意义在于它能创造一种行为期待，使其他国家也有可能遵守。规范还有助于使官方行为合法化，并帮助各国在决定对违规行为做出反应时获得支持。

当然，规范不可能突然出现并开始生效。历史表明，颠覆性的技术变革出现后，社会往往需要花时间去学习如何应对，并制定规则以使世界更加安全，免受新危险的困扰。美国向日本投掷原子弹后二十年，各国才就《有限禁止核试验条约》与《核不扩散条约》达成协议。

尽管网络技术带来了独特的挑战，但在过去的几十年里，旨在约束其应用的国际规范似乎正在以惯有方式建立，缓慢但稳健。随着这些规则建立，它们在降低网络技术发展带来的国际秩序风险方面，将发挥愈发重要的作用，特别是在华盛顿及其盟友、伙伴们用其他威慑方法强化这些规范的情况下。

一些分析人士认为威慑在网络空间中不起作用，但这一结论过于简单。它依然有用，只是生效方式与核领域不同。事实证明，替代性策略的效果跟威慑一样，甚至可能更差。随着目标的不断扩展，美国必须奉行兼顾威慑与外交的战略，以在这一新的危险世界中筑好护栏。在其他领域建立规范的历史记录为此提供了有效的起点。我们应努力破除这样一种观念：当下的网络世界是一个全新的不同以往的存在。

《V字复仇队》剧照

“第五维战场”已经出现，美国战略仍未清晰

网络攻击的代价日益攀升，而美国防御网络攻击的战略仍显不足。一个好的战略必须立足本土，但同时也要认识到网络空间天然的跨国属性，国内与国外二者之间并非泾渭分明。此外，在网络安全方面，公共漏洞和私人隐患的边界也逐渐模糊。互联网是一个由众多网络组成的网络，其中大部分属于私人。与核武器或常规武器不同，政府无法完全控制它们。企业往往会在追求安全与最大化短期利润之间做权衡。然而企业防御不足，却对国家安全有巨大的负外部效应。俄罗斯最近对SolarWinds软件发动的网络攻击就是明证，该软件拥有进入美国政府和私营部门电脑的权限。与军事领域不同，在这件事上五角大楼并不是主角。

在国际军事冲突问题上，于传统的陆、海、空、天四维之外，计算机网络已成为第五维战场，2010年成立网络战司令部时美国军方明确承认了这一点。“第五维战场”的特殊之处包括距离的湮灭（海洋从此不再成为天然屏障）、交互的速度（远快于太空中的火箭）、成本的低廉（进入门槛大幅降低）和溯源的困难（这又催生了推诿塞责与反应迟缓）。

尽管如此，怀疑论者有时仍会把网络攻击仅仅描述为一件麻烦事，而非一个关键的战略性问题。他们认为，网络领域确实已成为间谍活动和其他各类破坏性秘密行动的理想选择，其重要性却远不如传统战场，毕竟没人会因为网络攻击而丧生。当然，这么看的人已经越来越少。2017年WannaCry勒索软件侵入了英国国家卫生服务系统（British National Health Service），因电脑被加密锁定无法使用，数千名患者的预约被迫取消，新冠病毒大流行期间医院和疫苗生产商再度成为勒索软件和黑客攻击的直接目标。

更需注意的是，关于网络工具的使用如何升级为物理冲突，还有很多甚至专家都不明白的地方。举例来说，美国军方重度依赖民用基础设施，而网络渗透将在危机时刻严重削弱美国的防御能力。从经济方面看，网络安全事件的规模与成本一直在增加。据估计，在2017年发生的那场由俄罗斯支持，针对乌克兰的NotPetya勒索软件攻击中，大量银行、电力公司、加油站和政府机构的电脑数据被抹除，给相关企业造成了超过100亿美元的附带损失。

在规模与成本之外，潜在的攻击目标数量也在迅速增加。专家估价，随着大数据、人工智能、智能机器人和物联网的兴起，到2030年互联网接入设备量将接近一万亿。早在20世纪80年代，世界便已见识过网络攻击，但其攻击面却在之后急剧扩大，从工业控制系统到汽车再到个人数字助手，都在它的攻击范围之中。

显然，威胁正在加剧，美国的应对战略却并不清晰。威慑必须被视为应对方法之一，但与华盛顿驾轻就熟的核威慑相比，网络威慑（cyber-deterrence）的形式并不完全一致。核打击是个单一事件，核威慑的目标则是防止其发生。相较之下，网络攻击次数众多且持续不断，对它们的威慑更像面对普通犯罪时的做法那样，目标在于将其限制在一定范围之内。在制止犯罪的问题上，于逮捕和判刑之外，无论是法律、规范的教育效果，还是社区巡逻和社区警察的日常活动，都发挥了重要作用。道理很简单，威慑犯罪并不需要蘑菇云这样的威胁。

尽管如此，惩罚在网络威慑中仍起着重要作用。美国政府已公开表示，它将用自己选择的武器和与其利益所受伤害相称的武力来应对网络攻击。尽管十年前警告就已发出， “网络珍珠港”事件目前尚未出现。美国是否将网络攻击视为武装攻击取决于其作用后果，这也让那些处在灰色地带的网络行动有了漏洞可钻，2016年美国总统大选期间俄罗斯发起的网络攻击便是典例。

尽管俄罗斯等国最近发起的网络行动似乎主要是间谍活动，但拜登政府却抱怨说它们的规模与持续时间都超出了正常的间谍活动范围。这便是为什么网络空间的威慑不仅需要惩罚，还需要防御和“纠缠”（entanglement），前者要求系统足够坚固和有弹性，以阻拦攻击或让攻击者畏难放弃，后者要求在与潜在对手建立广泛联系从而一荣俱荣一损俱损。当然，这些方法单独使用都有局限。尽管如此，惩罚性威胁与防御性遏制的结合仍会影响各种力量对成本收益的考量。

在改善境内网络的防御系统之外，近年来华盛顿还接受了美国网络战司令部称之为“向前防御”（defend forward）和“持续交锋”（persistent engagement）的战略概念，通过主动发起小规模网络进攻行为尽可能降低敌对国网络攻击的威胁。一些报道认为，这些做法降低了俄罗斯对美国2018年与2020年大选的影响。但进入和破坏对手的网络本身也会带来冲突升级的风险，必须谨慎处之。

“住在玻璃房子里的人不该扔石头”

即便美国兼具网络战的防御和进攻能力，但由于自由市场与开放社会，在网络攻击和干涉行动面前依然显得脆弱。“我觉得至少可以想想那句老话，住在玻璃房子里的人不该扔石头”。在2015年国会举行的对美网络攻击听证会上，时任美国国家情报总监的詹姆斯·克拉珀（James Clapper）如此评论道。他正确地指出，尽管美国人可能最擅长扔石头，但他们自己却住在玻璃房子里。这一现实让美国对制定网络安全规范特别感兴趣，毕竟它们可以减少在网络空间“扔石头”的行为。

尽管网络军控条约的谈判将极为困难，因为条款的落实很难验证。但网络空间相关的外交活动却并非不可能。事实上，发展网络规范的国际合作已经持续了二十多年。1998年，俄罗斯首次提议制定联合国条约，以禁止电子武器和信息武器。美国拒绝了这一提议，认为该领域的条约难以最终落实，因为一行代码是否为武器最终取决于用户的意图。相反地，美国同意由联合国秘书长任命一个包括15名成员（后来扩大到25人）的政府专家小组来制定网络空间的“通行规则”。该专家组于2004年首次举行会议。

自那时起，已有六个类似小组召开会议并发表了四份报告，建立了一个广泛的规范框架，并获得了联合国大会的认可。它们的工作加强了以下共识：国际法在网络空间同样适用，对维护网络空间的和平与稳定至关重要。除了努力解决复杂的国际法问题外，2015年发布的报告还引入了11项自愿的、不具约束力的规范内容，其中最重要的包括回应他国合理的援助请求，禁止攻击民用基础设施和干扰大型网络攻击发生后的计算机应急响应团队，以及避免他人在领土范围内使用网络工具发动不法行为。

该报告曾被视为突破性进展，但在2017年遭遇了挫折，因专家组未能就国际法律问题达成一致，该年度并未形成共识性报告。在俄罗斯的建议下，联合国决议通过成立不限额专家工作组来补充现有体系，它向所有国家开放，非国家主体也被纳入其中，包括数十家私营公司、民间社会组织、学者和技术专家。2021年初，新的专家组发布了一份详尽——尽管有些乏味——的报告，它重申了2015年的规范内容，以及国际法与网络空间的密切关联。去年6月，第六个专家组也完成了工作，并发布了一份报告，为2015年首次引入的11项规范增加了重要细节。中、俄两国正在敦促相关条约的签署，但更可能发生的是这些规范内容本身的逐渐演变。

在联合国方面的进展之外，许多论坛也在讨论网络规范，其中包括网络空间稳定全球委员会（Global Commission on the Stability of Cyberspace）。该组织于2017年由一家荷兰智库发起，并受到荷兰政府的大力支持，由爱沙尼亚、印度和美国共同主持，成员包括来自16个国家的前政府官员、公民社会专家和学者，我也是其中之一。

它提出了8项规范以解决既有联合国指南的不足。其中最重要的是呼吁保护互联网的“公共核心”基础设施不受攻击，并禁止对选举系统的干扰。它还呼吁各国不应使用网络工具干扰供应链，不应未经主机允许便将僵尸网络植入其他机器以控制它们；应建立透明的流程，让各国可以据此来判断是否要披露在他人编码中发现的缺陷和漏洞；应鼓励各国在发现网络安全漏洞时应及时修补，而非囤积起来以待将来可能的应用；应通过法律法规等手段改善“网络卫生”（cyber hygiene）状况；通过将私营企业的“反向黑入”（hack back）定性为非法活动，来阻止私人企业或个人在受到攻击后自发组织的报复性行为。

当然，与开发复杂的网络防御系统相比，这些努力没那么耀眼，所需成本也更低廉，但在管控在线恶性行动的问题上，它们将发挥至关重要的作用。我们还可以为网络空间构想并提出更多、更深入的规范，但现在真正重要的问题并非规范的多少，而是它们的实践路径和它们是否能以及何时改变国家行为。

国家可能自愿服从规范吗？

规范在成为普遍国家行为之前是无意义的，但那需要时间。19世纪，反对奴隶制的规范在欧洲和美国发展了几十年。关键问题是，为什么国家会让规范约束自己的行为。至少有四个主要原因：协调，审慎，声誉成本和国内压力，包括公共舆论和经济变化。

法律、规范和原则中铭刻的共同期待，让各国协调努力。例如，尽管一些国家（包括美国）尚未批准《联合国海洋法公约》，但所有国家在涉及领海争端时都将12海里上限视为习惯国际法。协调的好处——以及缺乏协调带来的风险——在网络空间中已被证明，滥用互联网域名系统的攻击时有发生，而这个系统也被成为“互联网电话簿”，由非营利性组织，“互联网名称与数字地址分配机构”（ICANN）运营。由于破坏了电话簿，此类攻击对互联网的基本稳定性造成了威胁。除非国家不干涉私人网络的互联结构，否则就没有互联网。因此，在大多数情况下，国家回避这些策略。

“审慎”是由于担心在不可预测的系统中造成意想不到的后果，也可以发展出不使用或有限使用某些武器的规范或限制目标的规范。1962年，在古巴导弹危机期间，身处核战争边缘的超级大国，在核武器上达成了类似限制。一年后，《有限禁试条约》接踵而至。一个更遥远但具有历史意义的例子是私掠的命运，即审慎如何生成了禁止使用特定手段的规范。18世纪，国家海军经常雇用私人或私人船只来增强他们的海上力量。但在接下来的一个世纪里，各国放弃了私掠者，因为他们的“课外掠夺”（extracurricular pillaging）造成的损失变得过高。

随着政府努力控制私掠者，各国的态度发生了变化，审慎和克制的新规范也随之形成。可以想象，网络空间也会发生类似的事情，因为政府发现使用代理人和个体执行者进行网络攻击会产生负面的经济影响，并增加对抗升级的风险。许多国家已经宣布“反向黑入”为非法。

对国家声誉和软实力受损的担忧，也会带来自愿的克制。禁忌会随着时间的推移而建立，并增加使用甚至拥有大规模伤害性武器的成本。以1975年生效的《生物武器公约》为例，像伊拉克领导人萨达姆·侯赛因那样，任何国家想要发展生物武器，都得秘密、非法地进行，如果活动证据泄露，将面临广泛的国际谴责。

针对网络武器的类似一揽子禁忌很难想象。首先，很难确定任何特定的代码行是否属于武器。一个更可能的禁忌，是禁止对特定目标（如医院或医疗保健系统）使用网络武器。这种禁令的好处是可以参照现有的禁止对平民使用常规武器的禁忌。在新冠大流行期间，公众对勒索软件攻击医院的厌恶有助于加强这一禁忌，并对如何将其应用于网络空间领域的其他领域做出了示范。如果黑客制造了电动汽车致命事故，可能会发生类似的事情。

一些学者认为，规范有一个自然的生命周期。通常从“规范倡议者”（norm entrepreneurs）开始，即那些能够对公众舆论产生重大影响的个人、组织、社会团体和官方委员会。经过一段时间的酝酿，一些规范达到了临界点，此时，一连串的接受转化为一种普遍的信念，领导者则会发现，他们将为拒绝规则付出高昂的代价。

规范的雏形可能脱胎于不断变化的社会态度，也可能来自外部世界。以1945年后对普遍人权的关注蔓延为例：西方国家在1948年率先推动了《世界人权宣言》，其他许多国家因公众舆论而加入，随后接受了外部压力和自身声誉的束缚。人们可能会认为，这种限制对民主国家比对威权国家更强。但是，赫尔辛基议程——19世纪70年代初苏联与西方国家之间的一系列会议——成功将人权纳入了冷战期间关于政治和经济问题的讨论中。

1948年，联合国在巴黎举行会议通过《世界人权宣言》。（资料图）

经济变化也可能提出对效率、增长有促进作用的新规范的需求。当私掠、奴隶制阻碍经济发展时，反对它们的规范就会得到支持。今天，类似的动态正在网络领域发生。当企业发现，自己因违反跟隐私、数据位置相关的法律而处于不利地位时，可能会对推动政府制定共同的标准和规范。网络保险业可能会向当局施加压力，要求他们具体化标准和规范，特别是与当前大量家用联网设备（恒温器、冰箱、家庭报警系统）中的技术——也就是所谓的物联网——相关的。

随着越来越多的设备连接到互联网，它们将很快成为网络攻击的目标，对公民日常生活的影响将刺激对国内、国际规范的要求。只有当黑客行为不只是种麻烦，而是开始对生命本身造成损害时，公众的担忧才会加强。如果致命事故增加，硅谷“快速构建，稍后修补”（build quickly and patch later）的规则可能会逐渐让位于更强调安全性的有关责任的规范和法律。

美国如何实行针对性威慑？

即使国际上一致认为规范是必要的，但同意在哪里划红线以及越过红线时该怎么办是另一回事。批评者认为，重点（以及随之而来的针对此类行动的任何警告）应该放在造成的损害程度上，而不是边界是否被打破，或者违规行为是怎样的。就像你告诉派对主办者，如果噪音太大，你会报警。你的目标不是根本不可能的叫停音乐，而是将音量降低到更可容忍的水平。

另些时候，美国需要划定原则性界限并捍卫它们。政府应承认，将继续进行自认合法的网络入侵活动。需要确切说明华盛顿要维护的规范和界限，并指明违反这些规范和界限的国家。当这些国家过线时，美国将以有针对性的报复作为回应。回应可能包括对公制裁和对私行动，例如冻结一些寡头的银行账户或公布他们的丑闻。美国网络司令部的“向前防御”和“持续交锋”可能是有用的，但最好再加一个悄悄沟通的程序。

制定网络空间相关条约可能行不通，但对某类行为加以限制，或就大体通行规则进行谈判是可能的。冷战期间，非正式规范约束了双方的间谍待遇——驱逐，而非处决，成为常态。1972年，苏联和美国就《海上事件协定》进行了谈判，以限制可能不断升级的海军行为。

今天，俄罗斯和美国可能会就网络间谍活动的类型和程度边界进行谈判，或者，他们可能同意限制对彼此国内政治进程的干预。虽然这种承诺缺乏正式条约的确切措辞，但它们可以独立地就自我克制发表单方面声明，并建立协商进程来遏制冲突。意识形态的差异会使达成详细协议变得困难，但更大的意识形态差异也没有阻止在冷战期间帮助避免事态升级的协议。

6月，拜登政府和俄罗斯总统普京在日内瓦峰会上似乎就探索了这一路径，在该峰会议程里，网络空间占据了比核武器更重要的位置。据媒体报道，美国总统拜登向普京提交了一份16个关键基础设施领域的清单，包括化学原料、通信、能源、金融服务、医疗保健和信息技术，用拜登的话来说，这些应该“永久禁止攻击”。

峰会结束后，拜登透露，他曾问普京，如果俄罗斯的管道被勒索软件击垮，他会怎么想。“我跟他点明，我们有强大的网络能力，他也知道，”拜登在新闻发布会上说。“他不知道具体多强，但足够强。如果俄罗斯实际违反了这些基本规范，我们将以网络攻击作为回应。他知道。”然而，到目前为止，尚不清楚拜登的话能有多少成效。

当地时间2021年6月16日，瑞士日内瓦，拜登与普京在俄美峰会期间会晤。@视觉中国

指定保护对象的问题在于，它暗示其他领域都是攻击对象——而无论如何，来自俄罗斯犯罪分子的勒索软件攻击都将继续。在网络世界，非国家主体在不同程度上充当国家代理人，规则应要求对其进行识别和限制。通行规则永远不可能完美，必须伴随着协商程序，建立警告和谈判的框架。这样的程序，加上强大的威慑力，也不太可能完全阻止俄罗斯的侵扰，但只要能降低其频率和强度，就可以加强美国民主对此类网络攻击的防御力。

恩威并施： 使规范运转起来

在网络空间中，一种尺寸并不能普遍适用。一些与协调相关的规范或许可以同时适应专制和民主国家，但其他规范不能，例如美国国务卿希拉里·克林顿在2010年提出的“互联网自由”议程。它呼吁建立自由和开放的互联网。不过一组同心圆式的规范，也就是欧洲人称为义务的“可变几何”（variable geometry），仍然是可以想象的。像网络安全专家罗伯特·克纳克（Robert Knake）建议的，民主国家集团可以就隐私、监控和言论自由等议题的相关规范达成一致，并给达到更高标准的国家以优待，通过这种特殊的贸易协定使规范得以实施。特殊协定也向其他国家开放——只要它们愿意并且能够达到更高标准。

在民主国家间，就这些议题进行外交也不容易，但这是美国战略的重要组成部分。正如前五角大楼高级官员詹姆斯·米勒（James Miller）和罗伯特·巴特勒（Robert Butler）所说，“如果要美国的盟友和伙伴支持网络规范，他们可能会更愿意支持对违规者施加成本，从而大大提高美国威胁的可信度、严重性（强加多边成本）和可持续性。”

拜登政府正在努力应对这样一个事实，即网络空间领域给全球政治创造了重要的新机遇和薄弱点。国内的重组和重新设计必须是相关战略的核心，但也需要一个基于威慑和外交的强大国际组成部分。外交部分必须包括民主国家之间的联盟、发展中国家的能力建设，以及改良的国际机构。还必须包括规范的建立，以实现保护美国民主的旧玻璃屋免受互联网时代新石头摧毁的长期目标。