網絡攻擊﹕戰爭行為

來源:華爾街日報/Siobhan Gorman/Julian E. Barnes
日期:2011/05/31 14:34

美國國防部得出結論說﹐來自另一國家的電腦破壞行徑可構成戰爭行為。該結論首次為美國使用傳統軍事力量對付網絡攻擊打開了方便之門。

五角大樓正在研究何種情況下網絡攻擊會被視為軍事行動。圖為在科羅拉多州的一個空軍安全中心。這是五角大樓首個正式的網絡戰略﹐預計其中非機密部分將於下個月公開。該戰略表明美國開始初步嘗試應對互聯網給世界安全形勢帶來的變化﹐在這一新形勢下﹐一名黑客對美國核反應堆、地鐵或石油管道構成的威脅﹐可能堪比一個敵國的軍隊給這些設施造成的威脅。

某種程度上說﹐五角大樓打算借此計劃警告潛在的敵人﹐讓它們明白通過互聯網攻擊美國會有什麼後果。一位軍事官員說﹐如果你關掉我們的電網﹐我們也許會向你的一根煙囪里投下一枚導彈。

最近電腦蠕虫病毒Stuxnet攻擊了五角大樓的電腦系統以及伊朗的核項目﹐這使得美國再次迫切感到需要開發出更正規的方法來應對網絡攻擊。一個關鍵時刻出現在2008年﹐當時美國軍方至少有一個電腦系統遭到了滲透。剛剛過去的這個週末﹐美國主要的軍火供應商洛克希德-馬丁公司（Lockheed Martin）承認﹐它曾是一起網絡滲透活動的受害者﹐但表示所受影響不大。

該報告還會引發人們對五角大樓仍未解決的一系列敏感問題的爭論﹐包括美國是否能夠判斷網絡攻擊的來源﹐以及電腦破壞嚴重到什麼程度就可以構成戰爭行為。這些問題早已是軍方內部的爭議話題。

五角大樓越來越看好的一個理念是“對等”概念。如果一起網絡攻擊造成的死亡、損失、毀壞或高度破壞﹐達到了傳統軍事活動所能造成的嚴重程度﹐那麼它就可能會被認定是“使用武力”﹐而對這種行為是可以進行報復的。

五角大樓的這份文件分為機密和非機密兩個版本﹐分別為30頁和12頁左右。三名看過該文件的國防官員說﹐文件總結道﹐《武裝沖突法》（Laws of Armed Conflict）對網絡戰和傳統戰爭具有同等適用性。這套法律衍生自各類條約和慣例﹐後者多年來一直對戰爭行為以及相應的應對行為起著指導作用。文件接著闡述了國防部對信息技術的依賴﹐以及為何必須與其他國家及民間產業形成合作關係來保護基礎設施。

該戰略還會強調﹐美國及其盟國在網絡戰理論上保持同步具有重要意義﹐這一戰略還將為新的安全政策制定原則。北大西洋公約組織（North Atlantic Treaty Organization）去年採取了初步措施﹐決定當一個成員國遭到網絡攻擊時﹐北約將會召集全體成員國對攻擊行為展開“會商”﹐但不會要求各成員國在應對攻擊方面相互幫助。北約各成員國目前尚未就網絡攻擊事件展開過會商。

五角大樓官員認為﹐最複雜的電腦攻擊需要政府的資源。五角大樓官員說﹐例如在讓電網癱瘓等大型技術攻擊中使用的武器很有可能需要政府的支持才能開發出來。

五角大樓之所以正式制定出應對網絡攻擊的戰略﹐是因為軍方意識到﹐美國應對此類攻擊的防衛能力建設一直進展緩慢﹐而與此同時民用和軍事基礎設施對互聯網的依賴卻越來越深。去年﹐軍方新成立了一個由美國國家安全局（National Security Agency）局長任負責人的司令部﹐將軍方的網絡安全和網絡攻擊力量整合在一起。

2008年的那場網絡襲擊讓美國五角大樓感到緊張﹐這次攻擊如此事關重大﹐以至於參謀長聯席會議主席向時任美國總統小布什(George W. Bush)都匯報了此事。五角大樓的官員說﹐他們當時以為襲擊源於俄羅斯﹐不過他們並未透露是否認為襲擊與俄羅斯政府有關。俄羅斯否認參與襲擊。

指導傳統戰爭的武裝沖突規則(Rules of Armed Conflict)來自日內瓦公約(Geneva Conventions)等一系列國際協議的規定及美國和其它國家認為是國際習慣法的做法。但現有條約沒有涵蓋網絡戰﹐所以軍事官員說﹐他們希望跟盟友就如何進行網絡戰尋求共識。

退休的空軍少將、杜克大學(Duke University)法學院教授鄧拉普(Charles Dunlap)說﹐“戰爭行為”是政治詞匯﹐不是法律術語。他堅持認為﹐可產生暴力影響的網絡攻擊從法律角度看﹐就相當於武裝攻擊﹐或軍方稱的“使用武力”。

鄧拉普週一說﹐如果網絡攻擊產生的結果和其它攻擊形式產生的結果基本相同﹐那麼指導它的規則就應和指導其它任何一種攻擊的規則基本相同。美國需要證明的是﹐使用網絡武器造成的影響和發動傳統攻擊造成的影響並無二致。

美國戰略與國際研究中心(Center for Strategic and International Studies)計算機安全專家劉易斯(James Lewis)說﹐五角大樓官員現在想弄明白的是﹐哪種網絡攻擊會被視為等同於使用武力。劉易斯曾為奧巴馬政府提供咨詢。很多軍事行動策劃者認為﹐遭網絡襲擊的一方若想報復﹐應看網絡襲擊造成的損失總額﹐無論是實際損失還是試圖造成的損失。

劉易斯說﹐舉例來說﹐如果電腦破壞行為造成的商業停頓規模和海上封鎖造成的停頓規模一樣﹐可能會被認為是一種戰爭行為﹐受破壞一方有理由進行報復。他說﹐衡量標准將包括“人員死亡、物質損壞和破壞或是否出現大規模中斷”。

在五角大樓的內部討論中﹐軍事策劃者說發動網絡戰是否有罪﹐要取決於網絡襲擊或網絡武器本身在多大程度上與外國政府有關。即使在最有利的情況下﹐這一可能性也很難判斷。

俄羅斯和格魯吉亞2008年的短暫戰爭就包括一場網絡攻擊﹐這場攻擊造成格魯吉亞政府部門和金融機構的網站中斷。損害雖不是永久性的﹐但確實造成戰爭初期通訊中斷。

隨後北約一份研究報告說﹐有關武裝沖突的法律很難適用於網絡攻擊﹐因為難以確定網絡攻擊的始作俑者和他們造成的影響。格魯吉亞當時指責鄰國俄羅斯﹐但後者否認與此事有任何牽連。

破壞了伊朗部分核離心機的Stuxnet電腦病毒是最知名的網絡武器之一﹐但關於它的大多數情況仍然不為人所知。雖然一些專家從編碼特點判斷﹐懷疑這是以色列在美國協助下發起的一場網絡攻擊﹐但至今還沒有得到證實。據電腦安全公司賽門鐵克(Symantec)的一份研究報告顯示﹐那次的病毒感染只有60%發生在伊朗﹐其它感染位置出現在印尼、印度、巴基斯坦和美國等國。

以色列和美國官員拒絕就這些說法置評。

國防官員拒絕討論潛在的網絡攻擊對手﹐不過軍事和情報官員說﹐他們已發現過來自於俄羅斯和中國的攻擊。美中經濟和安全審議委員會(U.S.-China Economic and Security Review Commission)一份2009年的政府資助報告說﹐中國人民解放軍擁有自己的計算機專家﹐他們的職能相當於美國國家安全局(American National Security Agency)。

鑒於此﹐軍事策劃者認為﹐阻止重大網絡攻擊的最佳方法是追究那些製造網絡武器的國家使用這些武器的責任。外界專家說﹐有一項政策與這個方法極其相似﹐即小布什政府追究外國政府窩藏恐怖組織的責任﹐這項政策導致美國開展了旨在讓阿富汗的塔利班(Taliban)政權垮台的軍事行動。