进攻性网络行动在国际事务中的重要性日益增加,并带来了一系列战略风险。因此,需要就负责任地使用网络行动进行更广泛的国际辩论,英国可以做出重要贡献。
大多数具有网络能力的国家都会开展“进攻性网络行动”,即那些主要旨在通过网络空间产生效果的行动,而不是那些主要旨在收集情报或为网络提供“目标线”保护的行动。在和平时期和战争时期,进攻性网络行动通常涉及影响、误导或以其他方式对竞争对手或对手产生认知影响,例如植入虚假信息。但它们也可以用于残疾。这可能包括从低级别临时破坏政府网站或移除犯罪集团的互联网连接,到高级别破坏国家关键基础设施的一部分。这可能包括破坏一个国家的电网,就像俄罗斯在当前与乌克兰的战争之前和期间广泛尝试的那样。在战时,进攻性网络行动也可用于破坏对手的指挥和控制、武器系统和态势感知。
但是,进攻性网络能力的开发和使用会带来一些战略风险。例如,这些功能可能会破坏互联网的安全运行,危险地扩散或充当升级的触发器,特别是考虑到国际法中关于“现实世界”的公认阈值在多大程度上适用于网络空间存在不确定性。同样,网络犯罪分子对它们的广泛而危险的日常使用可能会不受控制。任何发展进攻性网络能力的负责任国家都必须解决这些风险。
自 2018 年以来,包括英国在内的多个国家都在推广“负责任的网络力量”理念,以此来合理化和解释他们对与网络行动相关的各种国际法律和规范线索的立场。他们通过发表声明来做到这一点,这些声明已经开始阐明相关问题,但还需要做更多工作,尤其是在负责任地使用他们自己的进攻性网络能力方面。他们保持沉默可能是因为各国认为更详细的披露风险太大,因为希望保护国家敏感能力是可以理解的。但各国应该能够以避免泄露有关其行动或能力的敏感细节的方式澄清相关原则。
下面,我提出了一个八点框架,其中包含负责任地使用网络力量的原则:
负责任的国家承认,现有的国际法可以有效地适用于和平和战争中的网络行动,并在实践中证明了这一点。
在战争阈值以下适用国际法的实用性最需要详细说明,但各国不应假设将其应用于战时网络行动是简单的。主要原则应该是根据网络行动造成的影响来判断它们,而不是使用的手段。各国应该公开说明国际法如何影响其自身网络行动的行为,而不是仅仅关注如果对他们实施国际法律行为会构成国际错误。负责任的国家与其他国家合作,提高集体网络安全(即针对所有类型的敌对网络入侵的集体防御)。
这本身就是一个巨大的主题,对于保护网络空间用户免受最普遍的日常威胁(包括在战争期间)的影响最大。负责任的国家谨慎控制他们运行进攻性网络行动的方式。
为了尽量减少意外后果的可能性,网络行动应尽可能精确,有适当的指挥和控制,并全程认真监测其影响。这在和平和战争期间都适用,对于那些致残或破坏性的操作尤其重要,但也适用于具有可能失控效果的认知操作。各国应公开解释其对进攻性网络行动的治理原则、流程和监督。这样就更容易判断什么行为是不负责任的;例如,通过全球 IT 漏洞“触发和忘记”不受控制的计算机蠕虫。负责任的国家认为某些目标是禁用和破坏性进攻性网络行动的禁区,同时考虑到和平和战争期间适用的不同法律禁令,他们对他们使用的参数保持现实。
战时国际法比和平时期的国际法对所涉及的各种参数更明确,但对于两者而言,在针对一国关键基础设施和功能方面存在法律上的歧义。为了帮助澄清这些问题,可以公开承认,任何国家的关键基础设施在战争期间都可以成为合法目标,前提是攻击是为了支持军事目标(例如,如果目标可能是军民两用),并且是相称的、必要的、歧视性的和人道的。对于和平时期的行动,各国需要更清楚地了解哪些针对关键基础设施的网络行动可能构成“国际不法行为”,例如使用武力或胁迫干预,哪些行为不会构成“国际不法行为”,例如用于破坏、影响、间谍和侦察的行动。在此过程中,需要更好地定义一个州可能认为其关键基础设施(例如,其金融或医疗保健系统、能源部门、通信系统或选举过程)的技术边界。禁止和平时期使用网络行动干预医疗保健、基本医疗服务和能源供应可能是争议最小的。负责任的国家对抗和控制进攻性网络能力的扩散。
这包括各国如何保护其自身和私营部门的相关能力的发展和输出。负责任的国家在发展进攻能力时如何最大限度地降低全球网络安全风险方面保持透明。
例如,美国和英国已经公布了他们的管理原则和流程,用于决定他们披露哪些“零日”漏洞或对哪些“零日漏洞保密以供自己使用”。从本质上讲,一个国家发展进攻性网络能力应始终与其网络安全专家密切合作。负责任的国家减少来自其领土的危险的非国家攻击性网络活动,并在国际上合作应对非国家网络威胁。
这尤其适用于打击网络犯罪。负责任的国家鼓励并参与关于负责任地使用网络力量的公共辩论,包括他们自己对攻击性网络的使用。
否则,人们就会假设他们虚伪地谴责对手,同时以同样的方式和相同的目的使用进攻性网络能力。
各国可以使用上述框架阐明负责任网络权力的相关原则。根据我的专业背景,我知道英国有能力做到这一点,有一个很好的故事要讲,而且可以在不透露有关其运营或能力的敏感细节的情况下做到这一点。这将有助于就进攻性网络行动中出现的最困难问题之一建立足够的国际共识:确定一个国家是否不负责任地使用网络能力,以至于国际应对措施(包括使用相称的反制措施)是合理的。
原文进入知识星球下载:全文资料已上传知识星球:
