“网络战” 的本质特征就是无论武器还是目标都是网络本身。2017年6月,臭名昭著的 NotPetya恶意软件席卷全球,对政府机构、电力供应商、医疗服务提供商以及大型企业都造成了严重的影响。

据悉,该勒索软件发现并利用了NSA泄露的 “EternalBlue” SMB 漏洞的修改版本,进而实施了迄今为止造成财务成本最高的网络攻击之一。

其中,亿滋国际 (Mondelez International,前身卡夫食品,奥利奥饼干制造商) 就因遭受 NotPetya 恶意软件袭击,致使 1,700 台服务器和 24,000 台笔记本电脑被永久锁定,对该公司造成了超过 1 亿美元的经济损失。

一开始,该公司的高管以为保险公司会帮他们承担损失。因为2018年3月,苏黎世保险将 NotPetya 分类为 “勒索软件”,并以此为卖点兜售其网络保险。但是,今年1月份,Mondelez 的承保人苏黎世保险 (Zurich Insurance) 却以保险合同中 “战争除外” 条款为由,拒绝了 Mondelez 于2018年10月提出的 7600 万英镑的索赔请求,之后,Mondelez 也以网络保险违约为由正式起诉了苏黎世保险。

这里所说的 “战争除外” 条款是指承保公司 “可以不负责:政府或主权国家、陆军、海军或空军或当局在和平亦或战争时期发动的敌对、内战、革命、叛乱等行为所导致的损失或费用”。

与此同时,Mondelez 公司却因攻击渗透企业网络造成了重大损失——影响了其笔记本电脑、公司网络以及物流软件。对此,苏黎世美国公司发言人声称,由于 “战争行为” 而造成的损害并不在其承保范围之内,其保险合同规定保险范围适用于 “物理损失或破坏的一切风险,包括电子数据、程序或软件的物理损失或破坏,以及因恶意引入机器代码或指令而造成的损失或破坏。”

虽然 “战争除外” 条款在保险政策中非常常见,但以 “网络战” 为由拒付赔款还真是 “史无前例”。

以前的 “战争除外” 条款主要还是基于传统的武装冲突。

此次,苏黎世保险公司在网络安全政策中使用这种 “战争除外” 条款很可能会改变游戏规则,因为在该案件中存在一个显而易见的问题是:NotPetya 攻击是否符合 “战争例外” 条款?它究竟是属于一种战争行为,还是一种勒索软件行为?

2018年,英国、美国和乌克兰政府纷纷认定俄罗斯是 NotPetya 网络攻击的幕后主使,声称这是俄罗斯和乌克兰之间持续不和的最新行为。但是,就在政府官员放肆地点名羞辱网络攻击的国家级支持者时,却白送给保险公司一个拒绝赔款的理由——“网络战”。这无疑将对网络保险政策的未来发展产生重大影响,同时也会对网络犯罪的货币化产生巨大影响。如果苏黎世保险此次的拒赔行为取得了成功,也可能会导致人们对网络保险失去信心,因为对于许多参保公司而言,投保属于一种投资行为,而具有讽刺意味的是,苏黎世的产品 “贬值” 了!

那么 “战争除外” 条款是否符合国际人道法 (IHL) 对于网络攻击的相关规定呢?

国际人道法是保护战争受害者和适用战争与武装冲突的法律规范。在武装冲突中对平民的故意和直接的攻击(包括自杀式袭击)和不分皂白的攻击都是为国际人道法所严格禁止的;和平时期任意剥夺他人生命在各国国内法和关于恐怖主义国际条约下也都是构成犯罪的。

“网络攻击” 和 “战争” 的并存特性,就是都具备破坏和损害生命的含义,这也引发了有关 NotPetya 攻击究竟是否符合国际人道法 (IHL) 标准的思考。但其实要适用国际人道法,必须要有 “武装冲突”,因为武装冲突的存在是国际人道法适用的前提——但是,该条款本身并未在条约中界定。

值得注意的是,国际人道法承认两种类型的武装冲突,即国际性武装冲突 (IAC) 和非国际性武装冲突 (NIAC)。国际性武装冲突,顾名思义,包含 “国际” 和 “武装” 两个要素,其中要满足 “国际” 这一要素需要该网络攻击行为至少涉及两个国家;而要满足 “武装” 这一要素则要求由网络操作行为对人或事物造成了伤害并足以达到 “攻击” 的程度。非国际性武装冲突,除了满足 “武装” 这一要素外,还需要判定发动网络攻击的主体是否是一个有组织的武装团体。当一个国家和一个有组织的武装团体之间的敌对行动的强度达到某一特定水平时,非国际性武装冲突就发生了。

由于俄罗斯与乌克兰之间存在的持续性冲突,我们将重点研究NotPetya攻击是否可被视为 “国际性武装冲突”;如果是的话,它可能就符合这一“战争除外” 条款。而要研究这一问题我们需要重点关注下述3点因素:

1. 此次攻击是否属于“国际性”的?

由于美国和英国政府指责俄罗斯是此次攻击的幕后黑手,使得苏黎世保险公司以此为由将 NotPetya 攻击归为具有政治目的的网络战争,从而拒绝支付赔款。这说到底就涉及一个归因溯源的问题,但事实上,归因溯源出现失误的情况非常常见,就像之前被归因到朝鲜身上的勒索软件 Ryuk,后来又被关联到 “俄语黑客” 身上了。

而关于 NotPetya 攻击的归属问题也存在两种不同的声音,一种认为是俄罗斯情报机构 GRU(俄罗斯武装力量总参谋部情报总局)所为,另一种则认为是俄罗斯支持的黑客组织所为。从法律上讲,当涉及两个国家之间的敌对行动时,国际性武装冲突 (IAC) 就成立了,因此如果幕后黑手是俄罗斯军事机构(作为国家的一个机关部门),那么 “国际性” 因素是满足的。

但是,如果幕后黑手是非国家行为体 (Non-State Actors,简称NSA),为了要将冲突归类为 “国际性武装冲突” 则需要满足这样一个条件——该 “非国家行为体” 必须是在该国的 “全面控制” 下行事的。这一原则早在前南斯拉夫问题国际刑事法庭(前南问题国际法庭)审判 “Dusko Tadic案” 时就给出了详细阐述。

“Dusko Tadic案” 因于1992年5月25日到同年8月初在波斯尼亚-黑塞哥维那普里耶多尔地区犯下的多起罪行,受到前南斯拉夫问题国际法庭指控,该上诉分庭认为,“斯普斯卡共和国武装部队应被视为在(南斯拉夫联邦共和国)的全面控制下行事的”。所谓 “全面控制” 不仅仅是单纯的提供资金支持或装备这些部队,还涉及参与规划和管理其军事行动。

也就是说,如果一个国家对一个组织的控制足以允许它直接发动,或停止发动广泛的网络攻击活动,则可以称其为 “全面控制力”,那么就可以认为这起事件是 “国际性的”。但是,在 NotPetya 攻击案例中,我们可以清楚地看出,仅仅是以投资、培训和提供装备的形式为 “非国家行为体” 提供支持远远达不到 “国际性” 的门槛。因此,归因的困难性可能会加大苏黎世的辩护难度。

2. 是否满足“武装冲突”要求?

由于缺乏明确的条约定义,对于“武装”的级别问题仍然存在意见分歧。有人认为,网络攻击行为具有造成巨大的社会和经济破坏的潜力,但是网络攻击却不会引起武装冲突造成的特有的物理损害;其次,网络攻击比以传统方式发动大规模袭击简单得多,因为传统战争的发动需要依赖一个国家的军队或者能够执行特定军事行动的组织的参与,相反地,网络攻击等敌对行为的发送则很容易。

在现在的国际人道法框架下,网络攻击要达到武装冲突的强度,首先该网络攻击行为必须是 “旷日持久的”,而非间断性的事件;其次,其暴力程度还必须超过暴动或民众骚乱。然而,没有明确的强度测试存在,也没有任何明确的 “持久战” 的标准。鉴于网络活动进行的方式,必须指出的是,虽然网络攻击需要频繁到足以被认为是相关的,但它们显然不必是持续的,“持久性” 这一点是一个很高的门槛。

此外,对于 “造成的损害是否符合武装标准” 这一问题,《塔林手册:适用于网络战争的国际法》背后的思想也是存在分歧的。但是,他们指出,在极少数的情况下才有可能符合“武装的”标准。

《塔林手册》项目主任 Michael Schmitt 教授指出,将武装攻击扩展到网络攻击是合理的。关于这一点,红十字国际委员会给出了进一步的阐述,尽管没有任何物理损坏,但仅是禁用某些物体的网络操作也被认定为攻击。毫无疑问,为了将此次攻击视为 “武装冲突”,苏黎世保险不得不考虑俄罗斯和乌克兰之间存在的紧张局势和更广泛的影响,因为基于目前的情况来看,NotPetya攻击不太可能被视为武装冲突。

3.是否达到“武力攻击”的门槛?

使用武力和武力攻击是两个不同的法律概念。很显然,就行使自卫权而言,使用武力不等同于武力攻击。这意味着,并非所有非法使用武力的形式都可视为武力攻击,或者换句话说,并非所有非法武力行为都可以自卫的武力来抵制。然而,不幸的是,现有国际法并没有对基于网络攻击行为是否可以认定为传统意义上的 “武力攻击” 作出明确的规定。《联合国宪章》第51条的规定只是提到了 “武力攻击” 一词,没有对什么是 “武力攻击” 以及构成 “武力攻击” 的条件包括哪些等问题进行回答。

不过,1977年《日内瓦公约第一附加议定书》第49条对于 “武力攻击” 的定义作出了规定:“攻击” 是指不论在进攻或防御中对敌人的暴力行为。尽管由于物理损害(通常有关涉及物理力量的暴力)的要求导致网络应用存在争议,但是一个统一的认识是,非暴力行动(如心理学网络或间谍活动)导致的攻击不满足武力攻击中的 “攻击” 条件。

目前,各方已经采取了不同的方法来评估网络等效物所需的物理力量。《塔林手册》项目主任 Schmitt 坚持认为,攻击必须要导致物体受伤或受到物理损害。红十字国际委员会法律部门负责人 Knut Drmann 博士对这一概念进行了扩展,并表示虽然它可能不一定导致伤害或损坏,但它至少应该是部分破坏。

这种不同的观点反映了有关持续时间和攻击强度的更深层思考,意味着造成有限损害、破坏、伤害甚至死亡的单一网络事件是不足以满足 “武力攻击” 要求,也不能归类为国际性武装冲突的。由于存在不确定性,目前的程序必须谨慎地确定如何界定损害程度,因为扩大门槛可能会带来更多的保险索赔请求,同时也降低了冲突门槛。

后续发展……或者一切才刚刚开始

由于该案件是面向公众公开的,所以其后续发展势必会受到高度关注。但是,NotPetya 网络攻击可能无法满足国际人道法 (IHL) 中对于 “国际性武装冲突” 所设置的高门槛标准。

这起诉讼案件也强调了当前国际法规方面存在的不足之处。该案件可能会为保险范围的限定提供指导意见。但是,案件同样也会留下很多无法回答的问题并制造出许多新的问题,例如,国际人道法是推进网络破坏的最佳方式吗?如何定义网络冲突等等?

最后,如果确定网络冲突造成的这种损害是无法获取保险理赔的,那么这对于被黑客攻击的企业而言又会带来何种影响呢?

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。