網絡空間威懾

2019-06-10

今年早些時候，美國官員承認本國的進攻性網絡行動阻止了俄羅斯對2018年國會選舉的破壞。這類行動一直很少被提及，但這次卻出現了一種針對潛在對手實施“持續接觸”新攻擊學說的評論。那麼，這種學說會起作用嗎？

“持續接觸”的擁護者們為支持自身行為，一直聲稱威懾在網絡空間不起作用。但這設定了一種錯誤的二元對立。如果使用得當，新的攻擊學說能強化威懾力，而非取而代之。

威懾是指通過讓人們相信代價將超出預期收益，來勸阻其釆取行動。理解網絡空間中的威懾通常較為困難，因為我們的思維仍受制於冷戰時期形成的威懾印象——威脅採用核手段對核攻擊實施大規模報復。但與核威懾的類比具有誤導性，因為就核武器而言，其目標是完全阻止，而網絡空間的威懾行動更像是犯罪，政府只能不完全阻止。

有四種主要機制可以減少並預防網絡空間的敵對行為：懲罰性威脅、防禦性遏制、纏鬥以及規範性戒律。這四者中沒有一個是完美的，但它們共同展示了可以使有害行為發生幾率最小化的手段範圍。雖然有時無法確定進攻來自何方，但這些手段可以彼此互補，影響進攻方對特定行動代價與收益的認知。事實上，確定進攻方對實施懲罰至關重要，但它對於遏制或纏鬥威懾卻不是重點。

因為威懾有賴於認知，其有效性不僅取決於回答“如何”，還取決於回答“誰”和“什麼”。懲罰性威脅，或者防禦、纏鬥、規範，也許只對某些行為者起作用。諷刺的是，威懾主要國家不要採取破壞電網等行為，可能比威懾其行動不要上升到這一水平更容易。

事實上，關於“網絡珍珠港”的威脅被誇大了。主要國家行為者比許多非國家行為者更可能陷入相互依賴關係。美國的政策制定者們已經明確表示威懾並不限於網絡領域（儘管這是可能的）。美國將選擇使用與造成損害成比例的任意武器來回應針對各個領域或部門的網絡攻擊。這些武器可以從點名羞辱，到進行經濟制裁，到動用動能武器。

美國和其他國家聲稱，武裝衝突法同樣適用於網絡空間。網絡行動是否被視為武裝襲擊，取決於其後果而非使用的工具。這也是為什麼對並未達到武裝攻擊級別進攻的威懾要困難得多。俄羅斯在烏克蘭發動的混合手段戰事，以及美國特別顧問羅伯特·穆勒在報告中揭示的俄羅斯對美國總統大選的擾亂就處於這種灰色地帶。

雖然網絡攻擊屬性的模糊性以及網絡空間對手的多樣性不會令威懾和阻嚇無法實現，但它們的確意味着懲罰的作用比核武器有限。懲罰可以同時針對國家和罪犯，但當攻擊者無法被輕易識別時，威懾效果就會遲緩並減弱。

（使用殺毒、防禦和抗衝擊能力的）遏制手段在阻止非國家行為者方面有更大作用，因為國家行為者的情報部門能構想出先進的持續性威脅。通過花費時間與精力，大型軍事或情報機構有可能突破大多數防護，但懲罰性威脅和有效防禦相結合會影響它們對成本與收益的計算。這就是新的“持久接觸”理論的用武之地。它的目標不僅是破壞攻擊，還通過提高對手的成本來強化威懾。

但在評估網絡空間威懾和阻嚇的可能性時，政策分析師們不能僅限於分析核威懾的經典工具——懲罰和遏制，他們還應當注意纏鬥和規範機制。纏鬥可以改變中國等主要國家的成本收益計算，但也許對朝鮮等與世界經濟聯繫較弱的國家影響甚微。

然而，“持續接觸”可以在困難形勢下協助威懾發揮作用。當然，進入任何對手的網絡並破壞其攻擊行動都存在令事態升級的風險。但正如“持續接觸”理論支持者們經常強調的那樣，與其僅依靠心照不宣的討價還價，更明確的溝通或許才有效果。

網絡空間的穩定性很難預測，因為網絡技術的創新比核領域更快。隨着時間的推移，通過更好的取證來確定攻擊方將增強懲罰的作用，而通過加密或機器學習則會提升遏制與防禦的作用。

網絡學習也同樣重要。隨着各國及各類組織更深入地理解網絡攻擊的局限性和不確定性以及互聯網對其經濟健康日益增長的重要性，針對網絡戰效用的成本收益計算可能會發生變化。並非所有的網絡攻擊都同等重要，並非所有的網絡攻擊都能被威懾，也並非所有的攻擊都會上升到對國家安全構成重大威脅的水平。

對於政策制定者而言，其經驗是關注最重要的攻擊，認識到自身可以動用的各種機制，並了解在哪種情況下可以防範攻擊。網絡時代實施威懾的關鍵在於認識到，並不存在一種能應對所有攻擊的手段。從這個角度來看，“持續接觸”的確是對武器庫的一個有用補充。

全文翻譯自報業辛迪加（Project Syndicate），原文標題 “Deterrence in Cyberspace”（2019）