《外交事务》2013年11/12月刊刊登的托马斯瑞德(Thomas Rid)的一篇文章《网络战争与和平:黑客可以降低现实世界的暴力》,抨击对网络战的“炒作”。它说有“三个基本的真相:在过去网络战争从来没有发生;目前没有发生;而且极不可能的是它会在将来发生扰乱性作用”,并补充说,相反,我们可以观察到“另外一种发展趋势:电脑使能的对政治暴力的袭击——因为“网络攻击削弱而不是助长了政治暴力,它使国家、团体和个人更容易从事两种侵略——破坏和间谍活动——而不上升到战争的水平。这是因为“武器化的计算机代码和基于计算机的破坏行动(使人们有可能)对敌方的技术系统实施具有高度针对性的攻击,而不用直接伤害操作人员和管理人员的身体。电脑辅助攻击使人们有可能窃取数据,而无需让行动者处于危险的境地,从而减少了个人和政治风险水平。
这篇文章驳斥了这样的想法,“电脑辅助攻击将迎来一个全新的时代”,它认为“没有已知的网络攻击已达到克劳塞维茨对战争行为的定义之标准”。该文明确提到了三个著名的事件,即“1982年6月苏联发生的一次管道爆炸事故、2007年针对爱沙尼亚拆除苏联二战士兵的纪念碑之后的网络攻击以及2008年8月战争前对格鲁吉亚政府网站发动的“网络破坏”活动。它认为没有一个符合克劳塞维茨的“任何攻击性或防御性的行动成为一种战争行为必须满足的三个主要标准”——即第一个“暴力或潜在的暴力”;第二个“永远是工具性的:实际的暴力或威胁使用武力是一种手段,迫使敌人接受攻击者的意志;第三个攻击者具备“某种政治目的或意图”。对于这最后一个原因,则是“在对抗的某一时刻,战争行为必须可归因于一方。”
本文的目的是对克劳塞维茨的观点的另一种解读,支持这样的观点,网络战可以,而且迟早,会构成一种战争行为。随着虚拟世界和现实世界之间的界限逐渐模糊,这种可能性将越来越明显。因此,国家有必要发展必备的能力,以在这个混合的真实的-网络环境中行动,而且需要制定所需的作战条例。这是非常重要的,以减少误判的范围。通过确定什么样的网络攻击,以及在什么情况下,会被认为是一种战争行为,以及反应行动的范围,那么,可能的侵略者就很少不会预见到可能的反应行动。
物联网:现实世界与网络世界之间的微妙联系
在我们深入研究克劳塞维茨的战争定义之前,我们需要记住在现实和虚拟领域之间的边界可能很快变得模糊。当因特网诞生时,它只连接到少数的物理系统。今天仍是这样。比如,汽车可以在没有有效的Internet连接的条件下操作。在过去几年中,越来越多的系统已经开始在一定程度上依赖“虚拟”的世界,例如汽车越来越多的配备了GPS,虽然这不是它们运作的一个基本要素。在不能使用此系统的情况下,我们仍然可以驾驶我们的车。但是当我们行驶在一个陌生的领域,就会给我们的生活带来不便。
但是,随着“物联网”的出现,这可能很快就会改变。丹麦的亚历山德拉研究所对“物联网”这个概念已经进行了广泛的研究。但是在(英国)南安普敦大学的专家们警告说,我们对未来的看法仍然是粗略的,并认为亚历山大研究所的概念可以被看作是“可信的,或者疯狂的”,难以逃脱把各种工具和机械设备,包括关键基础设施和武器系统,逐渐融合到互联网,由此产生的军事影响。换句话说,物联网将只涉及民用领域是值得怀疑的。相反,我们可以预见到它也影响到军事系统,以及关键基础设施。也就是说,随着越来越多的物理系统,包括从家用电器到工业机械,提供基本服务的基础配套设施,不再是孤岛,而是通过更广泛的全球网络相互连接起来。这样,敌对国家通过网络手段造成物理伤害的范围将成倍增加。
网络战的真正影响
我们来看看在《外交事务》杂志中讨论的两个例子,姑且不论被指控的管道攻击,因为其并没有得到证实(译者注:2014年5月8日美国国安局局长和网络司令部司令基斯将军接受《澳洲金融评论》证实了这件事。)。关于攻击爱沙尼亚的行动,文章说,该国“指责克里姆林宫,但他们无法提供任何证据”,然后又批评爱沙尼亚总理安德鲁斯安西普(Andrus Ansip)的说法——这种行为类似战争行为。文章引述安西普曾想过“封锁主权国家的港口或机场与封锁政府机构和新闻机构的网站的区别是什么?”,但是文章提供了以下的答案:“不同于海上封锁,网站的中断不是暴力——事实上,甚至不是潜在的暴力”。是这样吗?破坏一些网站确实可以标记为非暴力的,如果这些网站的唯一作用是提供信息的话。现在,让我们想象一下,打乱的网站是提供另外的功能,一个与物理世界相关的事件。例如,我们正在谈论的管理在港口的船舶的装载和卸载的网站。这不等于封锁吗?如果目标是一个国家的空中导航系统呢,我们也许可以讨论类似的情况。飞机可能仍能起飞,但发生碰撞的风险要高得多。即使不是所有的飞机都停飞,由此产生的混乱很可能被视为等同于封锁,至少是一个局部封锁。
《外交事务》的文章还认为,爱沙尼亚的情况不构成战争行为还有两个理由。首先,认为“目标的选择似乎与迫使政府改变其对纪念馆的决定这个推定战术目标无关”,二是,“不像海上封锁,这次攻击仍然是匿名的,没有政治支持,因而无法追查”。尽管一些有关“物联网”的讨论释放一些警告,但是《外交事务》的文章坚持认为“即使网络攻击造成伤害,也只是间接”,同时也承认“例如,关闭空中交通控制系统,造成火车或飞机事故或破坏发电厂和引发爆炸”,它补充说,“除了‘震网’,没有任何证据表明任何人曾经成功发动了这类大规模袭击”,而且声称“致命的网络攻击,当然是可能的,但仍然是虚构的东西:没有人被杀害,甚至没有受伤一个单人”。此外,该文指出:“伦理上,计算机的使用优于使用常规武器——网络攻击暴力程度更低。
如何看待这些想法?首先,没有发生致命的网络攻击,这是事实,而且该文不会进一步探讨这件事情。然而,事实上,它们可能不会发生并不意味着永远不可能发生。没有发生可能只是反映了互联网的诞生,尚没有完全连接到真实世界。随着它的发展,像“物联网”这样的事物的形成,网络攻击不太可能导致伤害这样的结论很难站住脚。很多机构都已经采取措施来保护自己免受这些网络攻击的威胁,例如杰夫科勒(Jeff Kohler)(波音防务部门国际业务开发副总裁)最近说,他“非常担忧”针对飞机的网络威胁。在北约公布了一段视频中,科勒坦言:“我不认为我们还明白关键基础设施的保护和网络可以如何影响它们”,“从我们的商用飞机方面而言,我们是非常担忧的。由于商用飞机变得越来越数字化和电子化,我们其实已经开始把网络保护考虑进我们飞机的软件。”与此同时,政策决策者越来越确定有必要开发网络战能力,例如,2013年11月,国防部长哈格尔在战略与国际研究中心演讲时说,“网络”是本轮防务预算开支削减中应该保护的一个“新兴军事能力”。
尽管行业发出了这样的警告,但是仍然比较常见的是很多作者认为网络和现实是两个不同的领域,网络攻击无法显著地或永久性地破坏前者。例如,在一篇声称“网络战争不是战争”的文章中,Erik Gartzke (埃塞克斯大学政府系教授和加州大学圣地亚哥分校政治学副教授)写道,“互联网攻击引发的更大问题就是它们的影响是暂时的。不像火箭攻击炼油厂或破坏一个国家的军事元素,网络战争通常涉及‘软杀伤’,只是暂时失能,能够以低成本快速扭转。”虽然在过去这可能是真实的,甚至可能在今天也是真实的,一旦大多数物理系统连接到互联网这种情形可以迅速改变。
杀伤力不是战争的决定性特征
为了论证,甚至可以认为网络攻击将永远不会像传统武器那样致命。查阅军事史说明了,在某些场合和战区,一个或两个竞争者的意图是造成最大程度的破坏,以此作为压制敌人战斗意志的手段,但情况并非总是如此。实际上,军队被迫作战比这复杂得多。只提两个例子,一个是过去的冲突,另一个则是目前的情况,我们可以简略地提及1982年马岛战争的开始阶段以及在南中国海的长期争端。
当阿根廷军政府决定入侵福克兰群岛,他们的意图是给伦敦和世界造成既成事实,希望英国不会下定决心并承诺解放他们。因此,行动的原始名字是“果阿(Goa)”(后改为“罗萨里奥(Rosario)”),这恰恰是布宜诺斯艾利斯所预期的,与在联合国制造外交噪音无差别。这就解释了为什么在打击总督官邸的进攻中,阿根廷军队使用了特制的手榴弹(stunt grenade),而且“指导方针是作战行动必须是尽可能不流血的,不应该过分造成人员伤害。”通过杀死或致残英国人员,或针对平民犯下暴行,侵略者没有什么好处,这只是更容易使英国公众要求做出反应。
有限使用武力的另一个明显的例子是在南中国海的很多常规事件,北京的目标是尽量通过非致命的手段驱逐其他国家的渔民和海岸警卫队,如果这是可行的话。 2012年5月解放军少将张召忠称这是“卷心菜”(cabbage)策略。
网络攻击确实符合克劳塞维茨的战争条件
让我们回到克劳塞维茨,其认为的行动可被视为战争的条件在《外交事务》发布的文章中认为,网络攻击不满足这些条件,我们可能会提出不同的解释,认为它们符合条件。“三大标准”的第一个是行动必须是“暴力或潜在的暴力”,一旦大多数物理系统连接到互联网这一点可以很容易地满足。不需要发挥想象力,就可以想到潜在攻击造成的重大的物理伤害和威胁到人们的生命和人身安全,无论是军人还是平民的。例如,扰乱医院可能会导致患者在重症监护室死亡,而如果控制的铁路系统受到攻击的话,在行驶过程中的列车上的乘客可能遭受伤害或死亡。第二个条件是,行动具有“效果(instrumental):暴力或以武力相威胁是迫使敌人接受攻击者的意志的一种手段”。关于这一点,虽然我们可以看到带有其他动机的网络攻击,例如不安的个人或心怀不满的员工寻求报复,但是没有什么可以阻止网络攻击在本质上是作为一种迫使敌人服从意志的手段。同样一样的是第三点,即攻击者具有“某种政治目的或意图”。对于第三点,这篇文章增加了一点:对抗中,战争行为在某一时刻一定可以归于一方”,虽然这一点是事实,但这并不意味着在冲突的第一天就知道,或归因必须是众人皆知的。虽然可以更容易地进行网络攻击,但是关于政府使用、纵容或以某种方式资助或怂恿非正规力量追求外交政策目标并没有什么不同。只提一个例子:“义和团运动”(Boxers Rebellion)。
抛开克劳塞维茨,如果我们把目光投向中国的《孙子兵法》,或印度的《政事论》(Arthashastra),我们也可以得出类似的结论。前者的名言指出“兵不厌诈”,它的许多段落也强调有限地使用武力,例如,“擒贼先擒王”。因此,即使在本质上最倾向于不使用它,但当网络攻击可能摧毁敌人的军队时,中国的关于战争的高级文献就不会把其排除在战争行为定义之外。关于后者,它指出了四种不同类型的战争:“诉诸密谋战争(Mantrayuddha);‘求和之战争’(war by counsel)是指行使外交,这主要适用于当国王发现自己处于弱势地位并认为交战是不明智的时候;Prakasayuddha是公开的战争,在指定时间和地点——即精心谋划的战斗(a set-piece battle)。Kutayuddha是秘密战争,主要指upajapa——心理战,包括在敌营策反。Gudayuddha是‘秘密战争(clandestine war)’,是用隐蔽的方法来达到目的,而无需发动一场实际战斗,通常指暗杀敌人。发动秘密战争,国王不仅用他自己的间谍和双重间谍,也包括盟友、藩属国王、部落酋长和唆使敌人的朋友和支持者”。同样,我们可以看到战争的定义是多么的广泛,足以容纳非致命的网络攻击,即使“物联网”没有实现之前,我们不需考虑其潜在的致命性。
因此,我们可以看到,如果我们超越西方的传统,我们得出了相同的结论。在网络攻击中没有要素阻止它们被归类为战争。虽然《外交事务》的文章只提到克劳塞维茨,快速审查中国和印度的传统也提醒网络战争确实是战争,这个结论不是对某个特定的作者而言的,或者更一般地说,是针对西方思想传统而言的。当然,这不意味着我们可以简单地、机械地运用过去几百年发展起来的条令、伦理、法律和作战概念,来对待新型武器。正如(美国海军战争学院)的Nikolas Gvosdev指出的:“我们仍然在努力解决如何监管在战争、和平以及战和之间的网络工具之使用。特别是,我们如何把网络领域放到一个既定的、管理和缓解动能军事行动的影响的道德体系?(哈佛大学肯尼迪政治学院贝尔弗科学与国际事务中心)的卢卡斯凯罗也赞同这一点,他注意到了“网络战略应用的拖延”。
结论:网络战的确是战争,我们必须做好准备
如前面的段落已经明确论述的,在文章的结尾我们可以说,认为网络攻击不符合战争行为的条件这样的观点最好应当成是值得怀疑的。即使我们承认,这可能在传统互联网的情况下,这是属实的,但是所谓的“物联网”的出现很可能会平息对网络攻击的确可以造成或威胁造成物理伤害的任何怀疑,因此它们不能被排除在战争的定义之外。一旦大多数物理系统永久地连接到互联网上,其中包括重要的基础设施、工业系统、交通运输系统以及军民两用基础设施,更不用说武器系统本身,攻击它们的硬件和攻击它们的软件之间的界限可能会变得越来越模糊。例如,通过布雷封锁港口与瘫痪其软件,使其无法用于民用和军用运输其之间的差别,在大多数观察家的眼中,可能只会在学术讨论上有意义。
当然,这并不意味着每一个网络攻击都应被视为战争行为。毕竟,并不是每个攻击都是物理攻击。此外,战争往往是不宣而战。它的意思是说,首先,我们必须承认“物联网”的潜在深刻影响;第二,我们必须把网络战,防御性和进攻性的,当成任何军事行动、安全与国防政策的一个组成部分;第三,这必须在训练和装备方面、条令方面得到反映。为了尽量减少误判,有必要确定并公开阐明什么时候网络攻击将被视为等同于物理攻击。例如,针对核设施的网络攻击造成核辐射的被是否被认为是等同于大规模杀伤性武器攻击,可以实施报复吗?关于战争罪行,可以通过网络手段而实施吗?有人警告说,我们正面临着一个“国际法律难题”。
基于计算机的攻击并不容易降低人身伤亡事故的范围,而恰恰相反,尤其是“物联网”成为现实之时。它可能对国家和非国家行为体而言,会更容易而不是更加困难,就对敌人造成严重的身体伤害和死亡,并造成重大物质损失。同时,这并不意味着不存在进行非致命性的“外科手术式”打击的更广泛的途径,但是正如《外交事务》文章正确地指出,一次变革不能阻碍另一次变革。再次,技术变革与战争的经典概念符合,无论是西方(克劳塞维茨)或东方(孙武和考底利耶(Kautilya))的传统,证实了巴顿将军的名言,战争的本质是亘古不变的。
原文发布时间为:2014-07-01