防止網絡戰的規範性方法

2017-03-27

近年來發生的數起間諜案，引起人們對網絡空間衝突的日益關注。這其中，包括俄羅斯利用網絡干預讓2016年美國大選有利於唐納德·特朗普，2015年匿名網絡攻擊導致烏克蘭電力系統中斷，以及“Stuxnet”蠕蟲病毒摧毀伊朗上千台離心機。在上月舉行的慕尼黑安全會議上，荷蘭外交部長伯特·昆德斯宣布成立一個新的非政府“全球網絡空間穩定委員會”，作為對聯合國政府專家組（GGE）的補充。

聯合國專家組曾在2010年、2013年和2015年提出報告，幫助制定網絡安全談判議程。最近這一期報告還確立了一套規範，並獲得聯合國大會通過。雖然取得初步成果，但專家組仍有局限性。其成員只是聯合國秘書長的技術顧問，並不是被充分授權的國家談判代表。雖然專家組成員從原來的15人增加到25人，但多數國家仍然沒有發言權。

而專家組背後更大的問題是：這些規範真能制約國家行為嗎？

多數專家都同意，制定一個全球性網絡空間條約，目前在政治上是不可能的（雖然俄羅斯和中國已經在聯合國提出此類建議）。不過，除了正式條約，對國家的規範性約束還包括行為準則、國家的傳統實踐，以及群體對合理行為的普遍期待（它形成普通法）。在範圍上，這類約束可以有全球、多邊、雙邊等多種形式。那麼，對於規範性政策工具的有效性，歷史又能告訴我們什麼呢？

廣島核爆炸之後的十年時間裡，戰術核武器被普遍當作“常規”武器，美軍將核炮、核地雷和核防空武器納入其軍力部署。1954和1955年，參謀長聯席會議主席對德懷特·艾森豪威爾總統說，要想守住越南奠邊府和台灣附近島嶼，需要使用核武器（艾森豪威爾拒絕了這一建議）。

隨着時間的推移，不使用核武器變成了非正式的規範，情況就此發生改變。諾貝爾經濟學獎得主托馬斯•謝林認為，不使用核武器這一規範的確立，是過去70年軍備控制領域最重要的內容，它對決策者產生了抑制作用。但是，像朝鮮這種新的核國家，誰也不能保證它能意識到違反禁忌是得不償失的。

同樣的，第一次世界大戰後，在戰爭中使用有毒氣體成為禁忌。1925年的《日內瓦議定書》規定禁止使用化學武器和生物武器，上世紀70年代達成的兩項條約禁止生產和儲存這類武器，不要說使用，就連私藏這類武器也要付出代價。

《生物武器公約》有關核查的規定並不嚴格（只要求主動向聯合國安理會報告）。因此，這條戒律未能防止蘇聯在上世紀70年代繼續擁有並發展生物武器。《化學武器公約》同樣沒能阻止薩達姆·侯賽因或巴沙爾·阿薩德使用化學武器去對付本國公民。

儘管如此，這兩項條約還是會塑造其他人對此等行為的看法。這種看法讓2003年對伊拉克的進入和2014年國際上要求解除敘利亞大部分武裝具有正當性。《生物武器公約》得到173個國家的批准，想發展生物武器的國家必須暗中行事，如果被抓到把柄，它們面臨的將是國際上的廣泛譴責。

規範性戒律也許同樣適用於網絡，雖然在網絡空間里，武器和非武器之間的區別取決於你的意圖，而且禁止設計、擁有甚至間諜式植入特定計算機程序非常之難，更談不上可靠性。從這個意義上說，防止網絡衝突，不能像從冷戰時期發展起來的核軍控，包括詳細的條約和面面俱到的核查議定書。

對網絡戰進行規範性控制的更有效方法，或許是確立一個禁忌，它不是針對武器，而是針對攻擊的目標。美國主張把《武裝衝突法》（LOAC）的觀念用於網絡空間，也就是說禁止蓄意攻擊平民。為此，美國建議各國不是承諾“不首先使用”網絡武器，而是應當承諾在和平時期不針對民用設施使用網絡武器。

該規範方案已經被聯合國專家組接受。通過採取建立信任的措施，例如承諾給予司法協助，以及不干涉“計算機安全應急響應小組”（CSIRTs）的工作，這一禁忌將被強化。

專家組2015年7月提交的報告，重點在於限制對民用目標的攻擊，而不是禁止特定的代碼。2015年9月美國總統巴拉克·奧巴馬與中國國家主席習近平舉行首腦會晤時，兩位領導人同意成立一個專家委員會，來研究專家組的提議。其後，專家組的報告獲得G20領導人支持，並提交給了聯合國大會。

對烏克蘭電力系統的攻擊發生在2015年12月，就在專家組提交報告後不久。而在2016年，俄羅斯並沒有把美國大選當作應該受保護的民用設施。對網絡武器進行規範化控制依然是一個緩慢的、如今看來並不完備的過程。

全文翻譯自：《報業辛迪加》（Project Syndicate）。原文標題A Normative Approach to Preventing Cyberwarfare（2017-03-13）