网络攻击同其攻击活动一样,不能脱离国际关系、国家战略和地缘政治等环境。各种与网络空间相关的事务已成为高级别政治博弈的重要内容,各国不断采取各种战略、战术手段,争夺网络空间主导权,以达到其政治目标和寻求地缘政治优势,特别是涉及国家外交与安全政策核心的网络问题。随着进攻性网络攻击数量的增多,政策制定者必须积极应对网络攻击,从网络政治的不同层次出发,构建适用于应对不断升级的网络事件的网络攻击响应框架。

网络攻击行动的政治动机

除了网络黑客自发的网络攻击行为和少数有组织的网络经济犯罪,绝大多数有组织的网络攻击行动都有其明确的政治动机,都是国际政治博弈、国家情报活动、军事行动和恐怖主义等因素在网络空间的延伸或表征,同时也是政治集团相互对立、对抗的必然结果。

1. 网络攻击背后是国际政治力量的博弈

网络攻击不仅是存在于网络空间的技术行为,其背后隐含着政治利益,网络攻击的最终目的也是要实现某些政治目标。而且,这些政治目标有的明晰,有的不甚明朗,还有的直接影响国际关系。在2008年俄罗斯与格鲁吉亚冲突期间,黑客组织曾利用恶意软件攻击格鲁吉亚政府网站,后来又瞄准乌克兰政府组织,主要用于机密信息窃取和持续攻击。

2015年,乌克兰电网系统遭黑客攻击,成为有史以来首次导致停电的网络攻击。据美国信息安全公司iSight Partners网络间谍情报负责人约翰·胡尔特奎斯特(John Hultquist)称,本次攻击来自俄罗斯黑客组织,使用的恶意软件被称为最早可以追溯到2007年的黑暗力量(Black Energy),主要用于建立僵尸网络,对定向目标实施DDoS攻击,后来转向攻击政治目标。

发生在2017年6月的卡塔尔断交事件,是由卡塔尔政府社交媒体和新闻网站遭黑客入侵,张贴卡塔尔国家元首支持恐怖组织的假新闻所引发。尽管卡塔尔方面做出解释,但正是这起事件使卡塔尔与其他中东国家的关系迅速交恶,多国宣布与卡塔尔断绝外交关系,造成中东地区近年来最严重的外交危机。直到年底,卡塔尔断交风波仍未有定论。综合各类数据,可以发现,由国际政治力量对抗引发的网络攻击行动战例不胜枚举。

2. 网络攻击与情报、军事活动关系密切

网络攻击在某些方面被视为情报活动,而传统观点认为,间谍行为应被看作某种不触发国家响应的某种博弈。2010年的伊朗核设施纳坦兹(Natanz)遭“震网”(Stuxnet)病毒攻击事件,被业界普遍认为是美国和以色列情报部门合作所为,同时,该事件也揭露网络武器的巨大危险。从这个意义上说,这次事件既涉及情报部门,也涉及可能引发军事行动的网络武器。

据《华盛顿邮报》报道,在2017年法国大选期间,普京曾旗帜鲜明地支持前“国民阵线”领导人玛丽娜·勒庞,并与其在克里姆林宫会面。在投票前夕,马克龙的竞选团队遭受大规模网络攻击,大量竞选内部文件被公开,遭到泄露的资料中还加入了伪造的信件。英国路透社报道称,美国网络情报公司调查结果显示,此次攻击的始作俑者与俄罗斯情报机构格勒乌(GRU)有关。

由于加密及其应用的普及,信号情报的有效性受到质疑,因此,网络攻击被视为网络时代更有效的情报收集方式。但是,考虑到网络攻击的非对称性,这种获取情报的方式实际上还会在战略层面加速军备竞赛。据媒体报道,2011年,奥巴马政府就是否对利比亚展开网络攻击以破坏政府空防系统展开激烈辩论。美国国防部长盖茨在亚洲安全会议上发表演讲,首次表明在确认遭到来自他国的网络攻击时将“视之为战争行为并予以(武力)还击”。可以说,网络攻击已经与现代化军事战争行为的边界变得逐渐模糊。

3.网络攻击可能升级为网络恐怖主义

网络攻击与网络恐怖主义的行为模式和表现特征有诸多相似,如果网络攻击的主体是恐怖组织,那么网络攻击本身就带有恐怖主义色彩,甚至网络攻击会升级成为网络恐怖主义攻击。2015年的《查理周刊》被攻击事件和索尼影业受到黑客攻击事件,都伴有恐怖主义的影子。

2015年1月,《查理周刊》在社交媒体上更新漫画,嘲讽“伊斯兰国”头目巴格拉迪;一小时后,恐怖分子制造惨案。自《查理周刊》遭袭事件发生的4天内,法国有约2万个站点被黑客入侵。此次行为,被认为是恐怖分子对共和国游行事件的回应。遭受网络攻击的网站内容被宣扬恐怖主义和宗教极端势力的内容所代替,甚至包含发动新的恐怖袭击的死亡威胁。

2015年,索尼影业因拍摄《刺杀金正日》受到黑客攻击。索尼向美国国会议员提交书面信函,将此次攻击描述为“有预谋且极其专业的网络犯罪”,并首次使用“网络恐怖分子”这个说法,证明此次事件系黑客组织“匿名者”(Anonymous)成员所为。美国媒体报道称,美国的回应措施包括将朝鲜重新列入“支恐国家”名单、对朝鲜追加新的经济制裁、针对朝鲜民众进行“信息行动”,以及与英、日、韩等国启动对策磋商、要求中国等国提供协助等,涵盖外交、经济、情报、军事等手段。

网络攻击响应必须考量的政治因素

任何有组织的网络空间攻击行为,背后都可能隐藏不可告人的政治目的。芬兰阿尔托大学网络安全教授Jarno Limnéll在其发表的文章《网络攻击适度响应》(Proportional Response to Cyberattacks)中提出,在决定进行网络攻击响应时政策制定者需要考虑五个变量:是谁做的、有什么影响、有哪些手段可用、政策指南是什么和响应的紧急性,还提出应对网络攻击的政治响应框架。各国的网络攻击响应决策必须考虑诸多政治因素,因此,我们提出,网络攻击响应必须考虑五大政治因素,包括网络攻击归因分析、网络攻击后果评估、网络攻击响应政策制定、网络攻击响应手段选择和网络攻击响应时间选择。

1. 网络攻击归因分析

“谁是我们的敌人、谁是我们的朋友,是革命的首要问题”,也是网络攻击和网络攻击响应的首要问题。由于网络空间的开放性和网络攻击行为的匿蔽性,网络攻击主体可以通过世界各地的服务器掩盖其行动踪迹,可以追溯到的网络攻击来源,并不一定是攻击的发起者。因此,政治考量成为网络攻击归因分析的最基本前提,主要包括:

第一,网络攻击的政治动机和主要受益方判断,要从全球政治和国家利益的高度,综合判断谁最有可能发起有组织的网络攻击行动,谁又是攻击行动的主要受益者。

第二,网络攻击归因分析需要多维战略、情报资源支撑,既包括各国法律、国际条约和地缘政治、政策策略等战略层面的支持,也包括多个信息来源的取证、人力情报、信号情报、历史情报等多方旁证。

第三,成功的归因分析还需要国家政府机构的强力支持和各部门各层级的密切配合,涉及包括国家综合领导力、精细管理、压力测试、审慎沟通和时间协同等多方因素,没有政府部门的参与,“实时性、高可信度的网络归因将非常困难”。美国国家安全局前局长麦克·康纳尔也曾表示,“网络归因困境是互联网设计结构使然,除非重新构建互联网结构,否则网络归因技术永远也不可能得到解决”。

2. 网络攻击后果评估

网络攻击后果评估是网络攻击响应决策的重要依据,决策者需要了解网络攻击的影响程度,对遭遇网络攻击的后果做出准确评估,以决定响应的类型和级别。决策者一旦做出网络攻击响应,将涉及未来网络能力建设政策,可能增大遭遇攻击风险的概率,甚至增加非对称性军备竞赛的可能,还可能导致网络威慑力的丧失等。而且,网络攻击后果评估不能仅仅考虑攻击行动造成的经济损失,更要将宏观和长远的政治得失纳入考量。

网络攻击后果评估具有极大不确定性,表现在:一方面,网络攻击的发起、结束时间难以确定,网络攻击范围、后果和影响也不确定。例如,沙特当局花费大约两周时间了解2012年Shamoon病毒事件的破坏范围,该事件使沙特阿美石油公司(Saudi Aramco)三万台电脑的数据被删除,所造成的损失及其长远影响更是难以准确评估。然而,实际情况是,更多公司或政府、组织在遭遇黑客攻击后数月或数年才意识到攻击的存在。

另一方面,准确评估网络攻击的影响和后果需要多方佐证。一般情况下,评估网络攻击的物理影响更容易。当网络攻击效果并不清晰时,决策者很难确定网络攻击是否达到需要响应的水平。即便是可以清晰地预见网络攻击的后果,但是在采取响应措施时,还需要综合考量各种相关因素。趋势科技(Trend Micro)咨询总监Max Cheng曾在一份声明中表示,2017年全球企业遭受的网络攻击问题非常严重且有愈演愈烈的趋势。据印度媒体2017年9月消息,2017年上半年网络攻击造成全球企业损失金额共计达40亿美元。

3. 网络攻击响应政策制定

对网络攻击做出何种政策响应是由多种因素决定的,这些原因包括国家利益、国际关系、攻击的损坏程度和己方网络技术水平、防护能力等,因此,决策者应该在做出响应决策之前,必须仔细权衡利弊。既要对网络攻击做出恰当回击,缓解巨大的政治压力,还要有一定的政治智慧和一定程度的克制,因为局势升级的结果往往比采取克制更糟糕,而克制有时可能是显示国家力量更强有力的手段。

一方面,决策者需要考虑本国国家安全和网络安全战略,因为这些战略是涉及国家政治意愿的一般政策准则。各国需要制定针对网络攻击响应的专门预案,包括对网络攻击程度、手段、后果、影响等方面做出详细说明。美国2011年发布的《网络空间行动战略》指出,一些严重的网络攻击行动将被视为战争行为,美国将使用导弹和其他高技术武器对敌对国家进行袭击。

另一方面,如果是国际联盟和国际组织的成员,国家在制定网络攻击响应政策时,也必须考虑其所在机构和组织的政策准则。否则,该国可能被指责不遵守国际公约。因此,世界各国都需重视网络空间安全防御体系和能力建设,特别需要关注在受到网络攻击时做出响应的各种决策和策略。

4. 网络攻击响应手段选择

2017年9月,网络安全公司Cymmetria的首席执行官加迪·埃弗龙(Gadi Evron)和ClearSky的首席执行官博阿兹·多利夫(Boaz Dolev)共同撰文分析美国是否会对朝鲜发动网络攻击。10月,特朗普授权美国司令部对朝鲜侦察总局发动持续性DDoS攻击。虽然这次网络攻击对朝鲜的影响有限,却被认为是一种报复行为。决策者在做出网络攻击响应时所选择的手段,既包括已有传统的国家行为范式,也包括网络政治因素影响的其他手段。

第一,现有国家行为范式与手段。决策者可以就网络攻击采取至少四种手段做出响应:外交的(即外交政策,包括外交沟通、警告和制裁等)、情报的、军事的和经济的。决策者需要根据当时的国际情况和国家间的关系,考虑采取各种应对措施所带来的后果。2017年7月,美国参议院以压倒性多数通过对俄罗斯等国的制裁法案。根据该法案,美国以俄罗斯涉嫌干涉美国2016年总统选举和乌克兰危机等为由,追加对俄罗斯个人和实体的经济制裁。

第二,网络手段和非网络手段结合。网络攻击的响应不局限于网络空间,也包括使用其他非网络手段,关键是要考虑那些网络的或物理的(或其他)反措施。选择通过代理黑客集团实施网络响应措施也是可能的,但是,这种做法对响应后果的控制具有不确定性,也可能导致网络攻击行动升级。

第三,公开响应与非公开响应结合。网络攻击响应可以是公开的,也可以是隐蔽的。使用网络手段的隐蔽响应可能涉及网络间谍活动等,也很少会在采取对抗措施时对其他国家发出警告,而公开的网络攻击响应往往伴随正义的言论和仪式,例如通过媒体进行新闻发布,或通过外交途径发出警告等,而这样做的目的并非复仇。

5. 网络攻击响应时间选择

时间是影响网络攻击响应的重要因素,特别是在网络攻击影响公开化的情况下,如果响应速度不够快,就意味着政府政治公信力的丧失,同时,政府也需要看准针对网络攻击采取响应行动的时机,因为与此同时,政治对手也可能借机大做文章,施加更大的政治压力。简单地说,网络攻击响应既包括采取响应措施的具体时间,也包括选择做出网络攻击响应的时机。

对2016年美国总统大选期间俄罗斯试图通过网络攻击干扰美国总统大选事件的分析显示,从总体特征与攻击特点来看,俄罗斯网络部队和网络黑客的攻击行径往往有深刻的政治因素驱动,通过网络技术手段攻击政治敌对国、干扰政治候选人,俄罗斯可以有效控制网络舆论导向,使博弈较量的天平倒向自己,进而维护俄罗斯在国际国内政治舞台的国家安全和核心利益。

反观美国,此事件已经过去一年多时间,仍未对该事件所涉当局做出恰当的响应决策。虽然在对网络攻击归因判定、攻击后果评估难以确定的情况下,美国无法实施适当的应对方式、应对手段也是客观事实,但是,在现实世界,美国已经在政治上失去先机。

构建网络攻击的政治响应框架

由于互联网的全球联通互动特征,某个国家的网络攻击和网络攻击响应行动都会给相关国家带来影响,有时甚至会改变国际政治态势和格局。由于网络攻击响应“牵一发而动全身”,国际社会有必要提高共识,相互合作,共同构建应对网络攻击的政治响应框架。综合分析网络攻击事件的政治动机和网络攻击响应必须的政治考量,我们认为,制定网络攻击响应的政治框架至少应该包括以下内容:

1.网络攻击响应框架的政治层级

制定网络攻击政治响应框架,应结合网络政治的不同层次,结合溯源程度、事件影响、政策选择、安全风险、安全策略、国际法等要素,综合考量网络攻击的扩散升级程度和严重程度,提供做出响应或者不进行任何响应的决策参考。《联合国宪章》第51条规定,各国保留在受到武力攻击时行使自卫的权利。如果网络攻击达到“武装攻击”的量级,那么就可以行使自卫权,包括使用武力;然而,国际社会对什么是网络空间武装攻击的法律界定争论还没能形成一致的意见。因此,就目前全球在此领域的发展情况衡量,各国应对网络攻击响应的措施,更多是根据本国的国情。而且,网络世界和现实世界相互作用,不应将网络空间的攻击行为与现实的政治决策孤立来看。

2.网络攻击响应框架的政治手段

根据网络攻击政治响应框架,越是严重的网络攻击,越是应该做出更强烈的响应,涵盖从媒体报道的和平手段,到军事反应的武力范畴,包括选择适当的时间和时机,采取隐蔽的和(或)公开的手段,并根据实际情况进行响应后果评估。网络攻击响应需要各国政府做出一系列复杂的决策,从了解溯源的准确程度和攻击的严重程度,到适度响应评估和行动方案风险评估,而且还必须评估动能和非动能手段,并考虑这些手段随着时间增大的政治压力。每个决策都有其固有的政治和法律风险,且其风险随着响应级别的增加而增加,所以,政策制定者应该清楚地了解响应的成本,因为响应决策都会影响国家的外交关系、声誉、权益以及军事和情报行动。

3.网络攻击响应框架的原则

除了网络攻击响应框架提及的网络政治层级和网络政治手段,网络攻击政治响应框架还应包括做出网络攻击响应决策需要把握的原则,包括:

成本原则。决策者和政策制定者应评估网络攻击做出响应行为的成本。网络攻击响应成本原则,既包括在做出响应行动前评估对手发动网络攻击带来的损失,也包括采取相应响应措施所带来的后果,这个过程涉及决策者和有关政府机构以及私营企业的投入。

边界原则。面对极具挑衅的网络攻击挑战,各国需明晰可接受的和适度的响应边界。各国家应根据自己的文化、政治和军事特点,制定自己的政策响应框架。未来,网络政治的意义更大,因为最终决定网络攻击是战争行为还是其他行为的是政治因素,而政策制定者必须要重新定义“网络战争”或“网络冲突”,并就此做出更为具体的战略、策略和各种措施。

“红线”原则。网络攻击响应框架不应被视为某些特定响应的政治“红线”,而是双方都应考虑的网络对抗底线。一方面,划定“红线”可警告对手不要越线,提醒其在进行网络作战时考虑自我防护,降低政治风险或保全信誉。另一方面,设置“红线”是威慑国家敌对势力发出的强大信号,如果越线,国家就会做出响应。

主动原则。消极面对网络攻击可能会使对手更积极采取行动,因此,决策者需要积极主动做出适度应对网络攻击响应的选择。根据网络攻击响应框架,决策者需对已有响应要素进行综合考量并对可能的后果进行分析后做出反应。预先确定响应原则,可以防止国家和政府匆忙决断带来可能危害其政治、经济、情报和军事利益的隐患。

合作原则。网络攻击响应不是一国的事情,需要各方共同协作。美国前CIA副局长、奥巴马政府国家安全副顾问埃夫里尔·海恩斯,在2017年9月的Cloud Flare互联网峰会上称:面对网络攻击,美国比世界上任何国家都要脆弱。“在网络领域,我们正试图澄清构成‘武力使用’的因素,但我们还远远没有达到这个目标。”海恩斯在这里提到网络攻击的“武力使用”,并解释这类网络攻击程度:当网络攻击与炸弹爆炸具有同样影响的时候——“炸飞”某个基础设施。虽然很容易将网络视作战场,但是实际上更需要确保不把网络攻击响应理解成只能通过网络进行,我们认为,更重要的是,国际社会需要制定网络攻击响应框架,让各国共同参与。

(本文刊登于《中国信息安全》杂志2017年第12期,记者  王丹娜

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。