乔治·伯科维奇(George Perkovich):卡内基国际和平基金会研究副主席。主要研究核战略和防扩散问题、网络冲突问题,以及国际公私营管理战略技术的新方法等问题。他曾为美国政府的许多机构提供建议,并在国会两院作证。 他是国家科学院军控和国际安全委员会,核政策对外关系工作组理事会成员,并担任国际核不扩散与裁军委员会的首席顾问,该委员会是日本和澳大利亚政府共同发起的。该委员会致力于推动国际核不扩散、核裁军以及核能民用事业。

记者:核领域有许多关于网络问题的争论,为什么核专家会关心网络安全问题呢?

乔治:在与美国、英国、法国、加拿大、以色列、俄罗斯和中国的高级民事和军事网络决策者的广泛对话中,许多专家一再听到这些人和他们的政府同行经常援引关于核问题的历史类比,恰当的或不恰当的——因为他们在努力用历史类比去尝试管理新技术。

可以说,政府用于管理当今双重用途技术的战略、政策和机构也普遍早于万维网,而网络领域对大多数高级官员来说是新的。但是网络功能又具有独特属性,而人们在网络冲突方面的经验,迄今为止都是有限的。因此,很难对其影响和升级潜力作出自信的判断。

此外,对于敌人的范围和具体行为,是史无前例的:大规模盗窃,政治颠覆,恐怖主义,秘密行动和公开战争。对于决策者和专家们来说,必须在网络空间中,并通过网络空间劝阻,威慑或打败对手的行为和范围进行努力。在这种情况下,人类的思想自然会从过去经验拉开类比,指导新思维和行为。

比如,经常做出的类比之一,是核威胁与网络威胁之间的类比。这部分是因为世界主要大国 ——特别是美国、中国和俄罗斯与核力量以及他们越来越多在网络空间的相互竞争。 就像官员、专家和评论员在 20 世纪 50 年代和 60 年代所担心的,会突然性核攻击或常规军事冲突引起的核战争一样,现在有些人担心大规模的网络攻击,或者如何使用网络武器可能导致在常规的军事冲突中的重大升级。 因此,试图理解这两种武器之间的差异和相似性,及其潜在的用途和影响是有用的。

今天在历史、政治学、国际关系理论和安全研究方面的研究,仍然来自前网络时代的经验 ; 而相对较少探索,网络安全与这些领域,是否以及如何的相似或不同。

记者:核领域和网络领域的比较很多,有人认为两者更相似,而有人认为两者更不同。您如何看待这些比较?

乔治:我认为网络安全和核安全之间的差异大于相似。

从类比学习需要非常小心,类比可能会像正常得出结论一样,而产生误导。 事实上,人们的类比认知在很大程度上,取决于识别何地、何时以及一个类比是如何无效或效果欠佳的。 理解在技术、效果和历史、政治和战略环境之间的差异同样重要。例如,今天人们,必须特别注意分析核时代的哪些属性可以类比到网络安全,哪些不能,以及混淆两者的影响可能是什么。另外,文化、意识形态和环境的变化也会影响观众对类比的看法和理解。

记者:您为什么认为网络安全和核安全之间的差异大于相似呢?

乔治:首先在武器的杀伤力方面。核武器的显著特点是,立即杀死人,并造成的放射性后果,可能伤害后代。随着网络的发展,到目前为止,我们还不知道有人因网络攻击而死亡。人们在谈论,并且可以想象,网络攻击将具有巨大的破坏性。也许,它可能会关闭主要医院的电力。那么,其杀伤效果,将取决于医院是否有发电机来保证它们继续运行并防止人们死亡--这将取决于恢复电力需要多长时间,在一些网络攻击之后这种力量不会太长,但是核攻击确实会很长。简而言之,核战争的影响,几乎不可避免地会具有巨大的破坏性和持久性,而许多类型的网络攻击影响,将不那么具有破坏性和持久性。

另一方面,是武器使用的频率和攻击影响方面。自 1945 年以来,人们没有再使用核武器了;而网络武器每天都在使用,如果不是由国家使用,就是由非国家行为主体使用。因此,核威胁大概只会出现在罕见的极端主要战争环境中,而网络攻击的变化和频率,远远大于潜在的核攻击构成了长期的、大规模的威胁。

记者 : 那么人们想在网络领域制定规则或达成协议,你认为我们可以多大程度上借鉴核领域的经验呢?

乔治:你问了一个很好的问题。我已经描述了网络领域和核领域之间的一些差异,是显而易见的。还有其他的,例如,政府、私营部门和个人都可以参与网络,这使得管理非常复杂。但是,到目前为止,在核问题上,只有少数政府参与其中,军队和中央政府非常严格地控制这些武器。在许多基本方面,即使核威胁和失败的后果更为严重,核管理作为管理挑战要容易得多。而对于网络挑战和威胁,我们担心每天都会发生隐私、盗窃、骚扰和各种各样的中断。

这些都非常难以管理;但大多数情况下,我们不必担心核威胁所造成的那种文明的终结。我们很早就开始尝试管理网络域名。人们正在为如何开拓领域以及如何保持可预见的安全而努力奋斗,并为人们制定规则——因为上述复杂性,这其实超级困难。

记者:具体而言,你认为人们可以从核领域借鉴一些经验吗?

乔治:很难说核领域管理的关键要素可以适用于网络,或者如何适用于网络。在核领域,早些年,美国和苏联主要依靠核威慑 ——如果你攻击我,我可以摧毁你。但是,这不适用于网络。部分原因是,网络攻击溯源能力的局限性--我可能不知道你是谁,谁使用网络攻击我,因此对攻击行为的追责是困难的。我可以清楚地看到从哪里发射导弹,但是对我造成伤害的软件和恶意软件可能来自一个实际上并未攻击我的国家,但正被另一个国家的攻击者使用,这个国家劫持了不同的计算机或服务器国家。所以制造威慑要困难得多。

另一方面,在核领域的主体,相比网络领域还是很少的,到目前为止,9 个国家,而且都是政府。技术上,你可以观察核武器的位置与数量。但是,网络领域完全不同,主体数量可能是数十亿的设备和参与者,而且你不知道他们在哪里,他们中的大多数在功能上与核功能又不同。对我而言,网络更像是一种公共卫生挑战,就像处理诸如发烧和 SARS 等潜在疾病一样--人们可以被治愈,不会被他们杀死,许多主体都参与了疾病的检测、预防和治疗,但其原因是模棱两可的。

记者:您研究过很多网络冲突的问题,现在是什么正在预防和管理网络冲突呢?

乔治:目前进行网络信息战、犯罪活动(包括恐怖主义)、秘密行动和预防性军事力量的能力传播的速度,要快于国际社会制定商定的管理规则的能力。这个是正常的。所有主要的颠覆性技术已经出现并产生了挑战,然后各国在几年和几十年的努力中进行了调整。

这些管理上的博弈,首先在国家范围内进行,然后在国际范围内进行。网络能力可能会出现并演变得更快,并且比核电站和武器、空中运输、无线电等先行者的传播更为广泛和迅速。而且,网络能力在地理上比先前的技术更小。

尽管如此,国家和社会的固有利益,决定了管理这些新能力的规范和规则的提出、谈判并最终达成一致,即使这些能力的执行有时候是不完善的。

目前,各国已经开始着手解决和规范网络空间基础技术(包括互联网基础设施)的复杂性问题。制定网络能力和活动规则的博弈,与互联网治理和网络空间主权性质之间,正在更广泛地持续交织在一起。这在国际电信联盟等各种正式机构,包括互联网名称与数字地址分配公司,以及包括互联网治理论坛在内的多个利益相关方、团体在内的非政府组织中发挥了作用。

各方面已经从非正式和正式的方式,开始制定使用网络武器和进行网络冲突的准则。其中最值得注意的是,他们来自 20 国集团,联合国政府专家组,以及塔林手册适用于网络战项目的国际法。

但是,国际公认规则仍然难以捉摸,不过,单边和多边举措,可以减少网络冲突不受限制的风险。过去管理威胁国家和国际安全的经验,可以在这里发挥启示作用。

记者:在您看来,网络武器的定义是什么?

乔治:这个定义是困难的。我们可以从几个关注点来考虑。

首先,如果网络功能可能侵犯人们的隐私或保密信息。这一点是关于间谍行为,不像战争或攻击。

其次,我们担心网络运营可能会关闭电子服务,比如银行和其他基础设施系统。动力武器(Kinetic)和核武器也可以做到这一点,但也可能会伤害或杀死这个过程中的人。

相比而言,爆炸破坏的基础设施需要很长的时间来恢复服务,而由某些类型的网络攻击破坏服务可以相对迅速恢复。我们可能会想到,将这些东西当作武器的恶意软件,但它们与其他类型的武器不同。我们甚至更喜欢用这些武器代替动力武器,当然还有核武器。

但是,当人们谈论武器,他们往往是指网络能力形成摧毁性的效果,或只讲改变数据,把数据的完整性搞乱。例如,这可能会导致一个国家或全球金融体系的危机。这种攻击也不会炸毁了银行,但他们可能会改变交易的数据,这可以影响人们从银行取出的钱,让危机发生。这是一种武器吗?我会说,“有点。”

在定义网络武器的过程种,我们需要开拓思维去想网络“武器”能产生哪些伤害。

记者:结合您之前所说的来看,其实您认为网络武器在某种程度上,更像生化武器而不是核武器,对吗?

乔治:鉴于低能见度和可能产生的影响,网络武器更像生化武器而不是核武器。

一方面,与生物武器一样,至少在一段时间内,网络武器的发展、渗透和攻击(攻击和防御目的)都可能未被发现。即使有迹象表明它们的存在,它们仍可能隐藏起来。至少在一段时间内,可能难以靠区分是由于攻击还是自然发生导致的效应,进一步使攻击时的归因复杂化。像网络攻击这样的生化武器攻击,可能会产生较小的影响,并且可能是暂时的和可以根除的。

另一方面,一些网络和生化武器攻击可以立即被发现和识别,并且可能造成广泛和长期的损害。正如生化武器一样,它们的影响可能取决于许多因素,其中一些因素是短暂的,从而对其现实世界的影响产生严重性,并进一步破坏精确调整其造成损害的能力,具有不确定性。

值得庆幸的是,生物武器的发生经验有限,拥有和使用这些武器现在已被 1925 年的“日内瓦议定书”和 1972 年的“生物武器公约”所禁止。后者并未得到普遍签署或遵守,也不排除某些未来使用的生物武器可能会产生类似于网络战的影响。但是现在可以说,人们对生物战争的限制远远大于网络战争。

记者:除网络战争和网络冲突层面之外,您也提过,在日常社交沟通层面,网络正在造成很多重大社会问题。

乔治:是的,网络会导致不同层面的问题。 我们生活在信息世界,政府、恐怖分子、非政治组织、企业、儿童,都使用社交媒体和其他事物来影响人们的思想。舆论宣传也是这样做的,我们曾经辩论过舆论宣传的好坏,但与网络通信相比,舆论宣传效率低下,人数减少,运行速度慢得多。 因此,试图操纵人群或整个人群的主体,现在借助网络拥有前所未有的力量。 政府和社会正在努力根据其法律和文化框架来弄清楚如何进行管理。

记者:您让我想到美国和俄罗斯,他们用不同的方式做同样的事情。

乔治:是也不是。历史上,美国(和更广泛的西方)和苏联 / 俄罗斯,都使用舆论宣传和信息操作来试图操纵对方。随着互联网的出现,俄罗斯和其他更受控制的社会担心西方会以可能威胁的方式利用它来促进西方的价值观和利益。他们还担心美国正在以这种威胁方式推动美国式民主。这一点尤其在伊朗很明显,西方文化是通过网络空间来促进的,西方文化受到许多伊朗公民的欢迎,但也被伊朗领导层视为威胁。美国人会说互联网,社交媒体增强自由,并允许人们选择他们想要的信息 ; 其他人可能会说这是颠覆性的。

现在,在俄罗斯利用网络手段影响社交媒体,入侵私人和政党电子邮件帐户,操纵 2016年大选期间的辩论之后,美国在这些过程是否应该更加规范这些方面,存在很大争论。

记者:您认为利用网络进行意识形态的推广、渗透、影响,也应该被视为是一种“武器”?

乔治:我认为这不是杀人的意义上的武器,而是一种威胁和挑战。目前,美国正在经历中国所面临的问题。通过社交媒体快速传播假新闻和有缺陷的信息。所以,现在美国正在努力评估发生的事情并对其进行管理,就像中国当局在为社会屏蔽什么信息和在何处划清界限所做的努力一样。在美国,言论自由和公开政治竞争的基本承诺与中国的框架不同。这使得美国更难以弄清政府和信息公司在规范“信息”方面的合理作用。

我认为越来越多的人,会越来越多地与这些问题博弈。例如,德国正在努力应对这一挑战。有人说,政府的政策应该支持移民,特别是像在叙利亚一样逃离战争的人;其他人则认为,德国应该更多地限制信息,移民是一种威胁。一些人使用苛刻的语言,甚至可能激起对移民的暴力,或至少是仇恨。所以有些德国人认为这样的言论应该脱离社交媒体,但也有人说言论自由的限制太多了。

记者:您是否认为这和主权相关?联合国UNGGE 中的专家们,也在谈论联合国的网络主权问题。

乔治:是的。网络空间以及人们使用信息和通信技术的方式,挑战了主权如何被定义和行使。而且从数据的角度讲,数据分布在世界各地。谁拥有它,应该被允许访问它?公民是否拥有他们的数据?拥有数据的公司拥有它吗?数据存储的国家是否拥有“拥有”它?在数据和公民所在的地方,各国是否有权要求获取其公民的数据?主权是否意味着政府有责任阻止其公民进行违反其他国家法律的行为,即使这些人不是政府雇员?因此,在控制数据访问方面的主权问题已成为一个巨大的问题。不同的国家有不同的答案。对于这些问题的真正国际化方法,尚未界定共同点。也许它不会被发现,并且不同的国家会以不同的方式定义和应用网络主权。

记者:您认为一些国家提出的保护主权的论点是否公平合理?

乔治:我认为这很难回答。 我可能有一种本能,我不希望政府拥有如此多的控制权,收集我在网络上的信息。 人们对于信息非常多的公司也会有同样的感受。 您可以在购买和使用应用程序时签署合同,该合同允许公司按照自己的意愿使用您的数据。 但人们可能越来越质疑这一点。

另一方面,我很理解和同情法律执法方面,因为他们需要监管和惩处坏人。 例如,如果坏人来自恐怖组织,提供这些信息可以帮助政府找到坏人。

我认为找到平衡是一个非常艰难的挑战。

(本文选自《信息安全与通信保密》2018年第三期)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。