美军的关键基础设施系统从根本上来说,是基于互联网和IP技术建立的,他们之间存在相互依赖性,而这点正是敌人会设法利用的。对于发展中国家和军事强国来说,在网络战的战场上是他们平等的,两者都可以通过网络发动同等破坏性的攻击。——霍华德A斯密特教授,乔治亚理工大学信息安全中心
华尔街日报的头版头条惊呼“间谍入侵美国电网”。这篇报道称,来自俄罗斯及其他国家的网络间谍已经渗透进了美国电网中,并留下了恶意软件,随时有可能去破坏电力的流通。这件事被曝光后,美国国土安全部部长珍娜奈帕利塔诺说道,“其中的漏洞,国土安全部和能源部门早在几年前就知道了,我们承认,这个世界越来越网络化,但风险也日益增加了。”
这个例子说明了网络空间(cyberspace)威慑问题的症结所在——我们想要制止什么以及如何去制止?在几年前,我们就已经意识到这个威胁,但是我们却没有进行遏制。针对这场电网案,出现了两个主要的观点。其一,美国应该只设法制止那些有实际破坏性的攻击(这种攻击会致使基础设施,人员,财产,军事或政府职能遭受损失)。例如在这个例子中,威慑政策并没有去劝阻,俄罗斯及其他已经侵入美国电网的国家。毕竟,这些国家还没有对系统造成实际的破坏,他们只是获得了进入和维持发动攻击的能力。根据这个观点,要想实现制止对美国关键基础设施发动攻击的这个目标,只需要通过制止对基础设施发动实际攻击就可以达到了。
另外一个观点是,网络空间(cyberspace)威慑政策应该侧重于在一开始就制止那些试图侵入的行动者,更不用说让他们在系统中植入破坏软件了。显然,第一个观点的优点在于,它将麻烦和可能的解决方法束缚在了恰好制止针对对关键基础设施的攻击的范围内。而第二个观点则会造成更多的问题,因为它必须在更广的范围上制止活动。这些敌对活动非常的普遍——包括非法侵入系统,黑客攻击,植入恶意软件或病毒,它们跨越了各个领域:刑事,谍报,战争。仅仅依靠一个政策或多个威慑政策就能圆满解决这些活动所带来的麻烦了吗?
威慑战略主要是用来影响对手。当最终目的是“阻止针对美国关键基础设施的网络攻击(cyber attack)”时,你应该集中注意在谁身上呢?着眼于最有能力的网络行动者似乎是合理的,将他们归入到有手段有动机的一类,从而进一步完善搜索。以电网案为例——开始着手于俄罗斯及其他涉及侵入系统的国家,将会是明智的。据Justiceworks技术分析小组主任安德鲁麦克弗森称:民族国家对美国的网络安全构成了巨大的潜在威胁。很显然,俄罗斯就是其中最重要的国家,因为他们具有更成熟的能力,但是使用网络攻来达到战略目的并不怎么符合他们的利益。这两个国家已经开始了理论研究,并有证据表明,他们正将网络攻击(cyber attack)纳入到军事训练中。然而,我们不能忘记个人、政治团体,宗教团体以及犯罪组织集团,他们同样构成了网络威胁。
识别最有能力和最有动机的行动者需要投入大量的人员和情报工作。此外,还应要检查何种活动会被接受以及哪些活动则是美国威慑政策要重点预防的。一个威慑政策的制定方式可以被分为施加成本,否定收益以及鼓励克制。而要想实现诸如“阻止对美国基础关键基础设施的网络攻击(cyber attack)”的目的,则需要这三个方面共同努力。
目标:施加成本
如今,电子攻击日益频繁,它被视为是一个国家攻击另外一个国家较为低廉和简单的方法。“它是最喜欢便宜的人破坏掉每个人的生活方式的最终方法。”。—— 格伦 齐默尔曼,五角大楼网络空间(cyberspace)专家
要想遏制住针对美国关键基础设施的网络攻击(cyber attack),则必须要有能力去施加成本。目前情况下,对于行动者来说,通过网络空间(cyberspace)对美国基础设施发动攻击所需的成本是如此之低,基于这样的成本,他必须用一部分判断力去从新考虑发动对美国的网络攻击(cyber attack)。构建一项网络空间(cyberspace)威慑政策有数种方法。公开宣布政策以及制定和运用应对方案就是其中的两种,它们可以被用于施加对手的成本,从而影响其决策。
而这些方法的效果则和网络空间(cyberspace)的特点密切相关,这是因为:在网络空间(cyberspace)中,归因判断非常困难。在战略司令部网络空间(cyberspace)研讨会(2009年4月)上,网络空间(cyberspace)威慑工作小组得出一个结论:“归因是施加成本的关键”。美国判定攻击归因的能力就像一条线,贯穿于威慑政策的全部方法中:施加成本,否定利益,和鼓励克制。出于这个原因,归因判断有着杠杆的作用【见附录A中对COF支点独特优势的描述】,它可以成倍地增加威慑政策的效果,并被用来作为鼓励对手克制的一种手段。
正如奇尔顿将军向国会报告的:任何领域的威慑都要涉及两方面。其一,所要采取的立场——政策主张。因此,你必须对着某人的眼睛并对他说:“如果你这样做,那么…”然后,不管“那么”后面是什么,都要能吓住人,但最要的是,要能吓住你想要吓住的那个人。
如果美国想要成功的施加成本,那么就必须建立一个网络空间(cyberspace)威慑政策,并将其传达给潜在的网络对手。而这个成本不仅要用于网络空间(cyberspace)的对手,还包括其他领域的,从而在必要的时候制止暴力或敌对活动。在美国试图给网络对手施加的成本中,有一项可以被称为是“拒绝庇护”。对手必须为自己的行为负责,如果他们始终坚持要反对美国及其盟友,那么他们就得不到安全庇护。
战略沟通
美国在面对网络攻击(cyber attack)的时候则没有这样的考虑。针对对其关键基础设施和军队发动的网络攻击(cyber attack),美国所采取的观点已经明确公布。当起草宣告性网络政策的时候,美国政府必须要格外小心,因为不是每个人都能以相同的方式来理解其中的信息。而当试图了解俄罗斯意见的时候,则要注重获悉俄罗斯对信息战的定义有哪些与美国的不同。这就是为什么要修正威慑政策的一个原因,当然这也是修正威慑政策过程中的一个难点,尤其是对宣告性政策来说。
目前已经有一项宣告性政策以俄罗斯为重点,如果威慑的目标是为了左右对手的观念、决策和行动,那么美国通过其行动和言辞所要传递的信息对于威慑的效果来说是至关重要的。少说话或不说话,本身也是一种沟通方式。美国之所以不发表宣告性网络政策,那是因为这样做会比发表了一项宣言更加令对手难以捉摸。
在1997年的时候,总统委员会发布了一份关于基础设施保护的报告,其中列出了三个可以用于网络空间(cyberspace)中的步骤,以减少被攻击的次数:
步骤一:发表一项政策声明并建立国际共识
步骤二:硬化目标并拒绝访问
步骤三:分享情报信息,进行分析处理,并发出警告。
