再定義網絡威懾：

私營部門對國家網絡威懾戰略的貢獻

作者：Eugenio Lilli，愛爾蘭都柏林大學克林頓美國研究中心講師。

編譯：錢靓（國政學人編譯員，上海外國語大學）

來源：Eugenio Lilli (2021) Redefining deterrence in cyberspace: Private sector contribution to national strategies of cyber deterrence,Contemporary Security Policy, 42:2, 163-188, DOI: 10.1080/13523260.2021.1882812

導讀

在地緣政治的壓力下，網絡空間中的競争與沖突也更加重要。由于互聯網空間多方參與的複雜性，網絡威懾的政治作用不僅在于主權國家或政府，非國家行為體的參與也能起到重要影響。但是，非國家行為體，尤其是私營部門在國家實施網絡威懾戰略中的地位和價值還沒有系統的探讨；本文關注私營部門，揭示了美國網絡威懾戰略中私營部門曾經起到的作用。

本文探讨了私營部門對國家網絡威懾戰略的貢獻的性質和可取性。首先提出了一個網絡威懾概念的變體，稱為RCDC威懾，它同時具有限制性、全面性、動态性和補充性，并運用RCDC威懾來确定和分析可以從私營部門的貢獻中獲益最多的網絡威懾的具體領域。最後，對私人貢獻可能産生的潛在安全、法律和道德問題提出了警告。

然後，文章沒有對這些複雜的問題提供明确的答案，而是在最後提出了進一步研究的途徑。第一，如何有效地衡量私營部門貢獻的有效性？第二，是否有解決文中指出的安全、法律和道德問題的實際方法？第三，其他國家是否适用本文結論？

編譯

01

引言

通常，網絡威懾的定義有兩層：第一，網絡空間内的或通過網絡空間發生的惡意活動産生的威懾；第二，利用網絡空間和信息通信技術（ICT）在其他領域（如陸地、海洋、空中和太空）實現威懾。對網絡威懾的現有文獻的研究主題可以分為四種。第一，研究“威懾”相關理論對網絡空間的适用性：網絡空間的獨特性質是否允許将威懾的邏輯、理論和實踐從更傳統的陸地、空中、海洋和太空直接轉換過來？第二，進攻和防禦之間的平衡：網絡空間在本質上是一個以進攻為主還是以防禦為主的環境？第三，網絡拒止（cyber denial）：在何種程度上，拒止、保留和恢複的政策有助于網絡威懾？第四，網絡規範、網絡制度和網絡污名化的潛在作用：這些因素如何影響網絡空間的個人和集體行為？

對網絡威懾的效力有截然不同的觀點。有研究認為，由于一些原因，特别是網絡空間的特殊性，網絡威懾戰略的價值有限，甚至沒有價值。但也有研究與之相反，認為傳統威懾的新形式——網絡威懾将成為網絡領域的有效戰略。但絕大多數文獻都集中在國家行為體的作用上，幾乎排除了非國家行為體在阻止網絡空間惡意活動中可能發揮的作用。并且，已有文獻尚未對對私營部門在國家網絡威懾的貢獻領域進行全面闡述。

事實上，網絡不是一個以國家為中心的空間。首先，私營部門才是ICT突破性研究和開發的單位。其次，私營部門提供了網絡空間的人才庫和技能儲備。最重要的是，與陸地、海洋、空中和太空領域不同，網絡空間的大部分基礎設施通常由私營部門擁有或運營。因此，本文旨在通過研究私營部門作為國家網絡威懾戰略合作者的作用，探究該作用與威懾理論之間的聯系，分析私營部門的貢獻可以為國家戰略發揮作用的領域。一方面，私營部門的參與有益于實現網絡威懾國家戰略；另一方面，私營部門的參與也将帶來挑戰。本文希望，能夠更有組織和系統的探讨私營部門的非國家行為者對國家網絡威懾戰略的貢獻的性質和可取性，從而幫助決策者在決策時使公私合作的網絡威懾利益最大化，并避免其潛在弊端。

02 網絡威懾：再定義

本文的網絡威懾是一種旨在勸阻其他行為者在網絡空間或通過網絡空間進行惡意活動的戰略，不涉及利用ICT、網絡空間以阻止其他領域的活動的行為。此外，本文承認，傳統威懾的概念仍然可以在一定程度上有效地應用于網絡領域。本文提出，網絡威懾應該是有限的（Restrictive）、全面的（Comprehensive）、動态的（Dynamic）和補充的（Complemental）（RCDC）。

有限性。網絡威懾是一種意在塑造或限制網絡惡意活動頻率、程度的戰略（限制性，restrictive），而不是旨在任何時候阻止所有攻擊（絕對性，absolute）。這種戰略并非總是成功；但因為能夠在攻擊者的成本-效益計算時增加考慮因素，因而很有用，尤其在防止某一特定網絡威脅——分布式拒絕服務攻擊（Distributed Denial of Service attacks，DDoS） 。但在防禦高級持續性威脅時（Advanced Persistent Threats，APTs） 卻不那麼有效。相比于防範DDoS，這也允許防禦者将更多時間對抗APT。因此，網絡威懾不總是需要絕對性才能有效。

全面性。保密問題、歸屬問題、合法性問題、可靠性問題和核查問題都是網絡威懾的障礙。因此，任何單一的威懾手段都無法顧及網絡空間的複雜性，而具備全面威懾手段的戰略更有可能取得成效。首先，網絡威懾力的定義需要更加完善，不僅需要包括DDoS和APT兩種傳統威懾方式，還需要增加糾纏（entanglement）和規範（norm）的方式，這也将符合戰略理性的兩個層面——工具理性（instrumental rationality）和規範理性（normative rationality）：傳統方式和新方式的效用分别符合工具理性、規範理性的特點。其次，網絡威懾應該依靠于在陸、海、空和太空等其他作戰領域采取的威懾措施，因此網絡威懾可以動用一切國家力量。

動态性。網絡空間的特點是不斷快速變化，技術創新、規範的演變給網絡威懾研究帶來新特征。ICT的突破可能打破防禦和進攻之間的平衡，為進攻者和防禦者帶來新的機會。動态的網絡威懾通過持續監測網絡、更新防禦措施、改善情報共享、修補漏洞和更新應急計劃來應對技術革新。網絡空間中可被接受的規範也發生變化，可被接受的網絡行為規範在未來可能不再被接受，尤其是可能會因為未來社會交往（social interaction）方式的叠代而改變。因此，動态性要求有助于積極塑造網絡空間規範演變的措施，即能夠對不斷快速變化的環境做出反應和适應。

補充性。如果把威懾看作是對其他形式的戰略的補充，威懾的效果會更好。其中一種形式是強制外交（compellence），威脅對方改變自身行為，尤其是在威懾失敗、威懾的利害關系沒有改變的情況下。因此，在網絡空間，強硬地劃分“威懾”與“強制”似乎更不合适了，因為在惡意活動時防禦和攻擊總是同時發生。另一種形式是使用武力。即使隻是在威脅使用武力的情況下，行為者也可以真正地使用，提高威懾的信服力，顯示威懾者将威懾轉為實際威脅的意願和能力。此外，還可以用合作、拉攏和讨價還價等非脅迫性策略來影響對方行為。最後，威懾的概念是建立在行為者會理性地思考和行動的假設上，但是事實并非總是如此；正因如此，網絡威懾更應該作為補充性戰略，而非獨立的戰略，對其他強制性和非強制性戰略進行補充。

03 私營部門的貢獻領域

概念厘清：

私營部門：國民經濟中不受國家控制的部分，由個人和組織經營以獲取利潤，包括科技公司、網絡安全公司以及關鍵基礎設施的所有者和經營者；

惡意網絡活動：任何試圖破壞或損害信息和通信系統，或由這些系統控制的實體/虛拟基礎設施，或信息本身的保密性、完整性或可用性的非法活動，但不包括通過ICT編造或傳播宣傳和虛假信息。

第一，私營部門可以通過向政府機構提供服務、硬件和軟件以及分享信息，為國家的網絡威懾戰略做出貢獻。拒止威懾在于通過加強防禦和提高恢複能力，使攻擊者無法從特定行為中獲得預期的利益：加強防禦包括在威脅成功前阻止入侵；增強恢複力包括提高系統和網絡防禦系統被破壞時的承受能力和快速恢複能力。以此，私營部門有助于國防和國土安全。通過與私營部門的公司簽訂合同，政府可以快速獲得ICT研究、開發方面的最新進展。例如美國國防部于2008年通過JEDI合同授權微軟将國防部的數據傳輸至單一的雲環境，美國政府于2019年授權雷神技術公司幫助保護.gov域名。為了促進與私營部門的這種接觸和合作，美國政府已經新建立相關部門，如國防創新部門和In-Q-Tel。其次，私營部門有助于情報共享，共享威脅指标和防禦措施、提供必要的背景、相關性和優先級評定，例如IBM的IBM X-Force Exchange平台。美國政府也建立信息共享和分析的中心和組織以促進情報共享。此外，美國非營利組織InfraGard也與美國情報部門FBI有合作。

第二，私營部門有助于主動網絡防禦和網絡歸屬，這也可以成為私營部門貢獻的重點領域。主動網絡防禦包括蜜罐（Honeypot，偵測或抵禦未經授權操作或者是黑客攻擊的陷阱）、信标（Beacon，放置在網頁或電子郵件上的文件對象以監測用戶的行為）、利用遠程桌面軟件監視、強制關閉服務器等。其中，利用遠程桌面軟件監視、強制關閉服務器兩項措施屬于攻擊的反黑技術。私營部門可以和政府一起、或獨立地參與積極網絡防禦，比如微軟公司的數字犯罪部門（Microsoft Digital Crimes Unit，DCU）就是與政府部分合作和獨立運作同時存在的例子。事實上，相比于政府行動受到程序要求和地理管轄的限制，私營部門可以更快地應對網絡威脅。

第三，由于存在政治、經濟和戰略上的相互滲透，私營部門可以通過網絡糾纏（entanglement）達到威懾。網絡惡意活動同時會給攻擊者和防禦者帶來嚴重的代價，因此糾纏型威脅取決于雙方在互利中的共同利益，也取決于攻擊者對自己的行為所産生的代價的接受程度。而私營部門可以促進互利的國際規範達成協議；同樣，在相互依存、特别是經濟性質的依存關系下，可以通過經濟制裁、抵制和撤資來提高跨領域威懾的信服力。比如2017年的“NotPetya”網絡攻擊事件，美國将該事件歸咎于俄羅斯政府，其原本的目标鎖定為烏克蘭，但由于網絡依存度高，這是迄今為止代價最大的網絡攻擊，說明惡意網絡活動可能會産生巨大的、不加區别的後果；另一個例子是關于ICT供應鍊的，即2019年美國政府對華為在其國内使用禁令和實體禁令的雙重制裁。由此可見，私人行為者對正常運作的網絡空間的明顯依賴、在網絡攻擊前的明顯脆弱性使私營部門成為糾纏型威懾效果的利益方。有意識的私人行為者可以發展出一種個人或集體的自我約束意識，而一些大型ICT公司已經公開承諾不使用可能破壞網絡空間安全的攻擊性網絡技術，甚至限制政府相關行為，遊說政府不要從事可能對國内公司、更廣泛的國民經濟以及在某些情況下甚至對國家安全産生意外負面後果的網絡活動。最後，私營部門的貢獻也有助于制裁、抵制和撤資等跨領域威懾戰略的實現，如谷歌在2010年停止它在中國的服務。

第四，私營部門的規範（norm）企業家精神指導行為者采取最适當的威懾戰略。規範是對适當行為的期望，而破壞規範會對行為者的軟實力造成損害，且這種損害在聲譽、外交、經濟，甚至軍事制裁上，都會超出了惡意活動的預期收益。私營部門通過有約束力的正式協議（如《2001布達佩斯宣言》）或雙邊/多邊的信任措施激勵行為者遵守這些規定，發揮規範的作用并促進規範的内部化，積極塑造網絡空間中的規範改革。私營部門可以有三種形式發揮作用：一是支持非營利性組織和研究中心活動（如網絡和平研究所的建立，Cyber Peace Institute），二是與國家和民間社會代表共同提出多利益攸關方倡議（如《網絡空間信任和安全巴黎倡議》），三是建立行業主導的規範程序（如簽署《網絡安全技術協議（Cybersecurity Tech Accord）。

04 安全性、合法性和道德問題

第一，可能會對國防和國土安全問題産生嚴重影響，尤其是對受雇處理政府敏感通信或機密信息的私人承包商來說。比如2019年HackerOne報告，由于網絡漏洞，客戶數據被提供給未經授權的人員使用，其中可能包括美國國防部。此外，私營部門可能濫用這些信息以謀取私利，因為企業最終要對股東負責，而不是對公民負責；也有少量公司出現擁有巨大政治影響力卻很少承擔公共責任的情況。

第二，限制了私營部門對情報共享的意願：其一，情報共享可能會引起違反國内反壟斷和隐私法律的問題；其二，安全漏洞的公開披露可能會損害企業的聲譽；其三，擔心因沒有實施某些安全措施而被罰款，導緻與執法部門的關系緊張。比如艾克非Equifax機構曾因2017年的數據洩露被罰款超過5.75億美元。此外，保持對競争對手優勢地位的市場因素也可能成為情報共享的阻礙。

第三，反黑技術可能違反法令法規。反黑技術不僅目前在美國國内是違法的，且在跨國的網絡活動中可能違反外國法律。此外，反黑技術會嚴重破壞網絡空間的穩定，導緻網絡活動的錯誤歸屬和附帶損害，即損害無辜者的利益。最後，還可能使得事件風險升級，私營部門通過濫用黑客技術不正當競争，達到非法目的。

第四，網絡歸屬的争議問題。私人調查的結果可能與政府的調查結果相矛盾；其次，私營部門可能意外妨礙正在進行的執法、間諜或軍事行動，例如卡巴斯基實驗室（Kaspersky Lab）在2018年曝光了美國主導的持續反恐行動的關鍵網絡環節。此外，追逐包括媒體曝光量和宣傳效果的商業利益可能會導緻私營部門調查倉促、說法不準确和歸屬認定錯誤。

第五，私營部門在為包括外國政府在内的全球客戶提供服務方面具有商業利益，因此可能不願意被認為是某一特定政府的分支機構，如美國禁止了卡巴斯基實驗室的産品運用于美國聯邦網絡中；也有很多私營部門依賴于全球供應鍊，比如華為，從而會猶豫執行可能有損自身經濟的制裁。

第六，在規範制定上政府和私營部門可能有不同的觀點或議程，比如FBI希望執法部門能夠越過設備加密的倡議被很多私營企業反對。此外，私營部門和政府官員可能擁護不同的價值體系，比如推特平台禁止美國情報機構訪問其平台的數據分析。

05

結論

網絡威懾是一種RCDC威懾，是一種同時具有限制性、全面性、動态性和補充性的威懾形式，這符合網絡環境的特異性特征。本文應用RCDC威懾來确定和分析私營部門的貢獻可能有益的網絡威懾領域，包括加強防禦和提高恢複力、參與成本控制、建立戰略相互依存關系，以及促進适當的行為規範。私營部門能夠提供獨特的先進技術、高技能的人力資本和關鍵的資金，而其知名度和影響力可以超越國界，賦予網絡活動更多的靈活性和速度。但也存在對國家安全的威脅、昂貴的訴訟和罰款、對民主政治産生不适當影響的風險，以及為私人利益而濫用的風險。

詞彙整理

拒止威懾 deterrence by denial

分布式拒絕服務攻擊 Distributed Denial of Service attacks，DDoS

防禦高級持續性威脅 Advanced Persistent Threats，APTs

工具理性 instrumental rationality

規範理性 normative rationality

審校 | 闫一葦 姚寰宇

排版 | 吳夢婷 彭淩懿

文章觀點不代表本平台觀點，本平台評譯分享的文章均出于專業學習之用, 不以任何盈利為目的，内容主要呈現對原文的介紹，原文内容請通過各高校購買的數據庫自行下載。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!