上報 Up Media

奈伊

 

• 現為哈佛大學教授

• 曾任哈佛甘迺迪政府學院院長、美國國防部助卿

• 提出軟實力（soft power）與巧實力（smart power）論述

2019年稍早，美國官員承認是美國本身的進攻性網路行動阻止了俄羅斯對2018年國會選舉的破壞。此類行動以往很少被提及，但如今卻出現了針對一種潛在對手實施「持續接觸（persistent engagement）」的新攻擊學說的討論。

這種學說能起作用嗎？

那些「持續接觸」的支持者們試圖透過論證「嚇阻（deterrence）」在網路空間的無力性來增強自身說服力。但這其實會構成一種錯誤的二元對立。只要使用得當，新的攻擊性學說也可以強化嚇阻力，而非取而代之。

所謂嚇阻，就是讓某人相信行動成本將超過預期收益來阻止行動。

網路空間中的嚇阻理解通常較為困難，因為我們的思想仍局限于冷戰形成的嚇阻印象中那種大規模報復性核武攻擊的威脅。但這種類比是有誤導性的，因為核武器的目標是完全制止。

網路空間中的嚇阻更像是犯罪：政府只能有限地阻止它。

有四種主要機制可以減少和預防網路空間的不利行為：懲罰威脅，防禦圍堵，設置障礙和規範性禁止。

這四者中沒有一個是完美的，但它們共同展現了可以使有害行為發生幾率最小化的手段範圍。儘管有時並不知道誰是進攻者，但這些手段可以互補以影響行為者對特定行動成本收益的判斷。

事實上，雖然定義進攻者對於懲罰手段來說至關重要，但卻不是防禦或設障式嚇阻的重點。

因為嚇阻構建於某種認知上，因此有效性不僅取決於“如何”的問題，還取決於“誰”和“什麼”。懲罰性威脅—或防禦，設障或規範—可能只對某些行為者起作用。諷刺的是，嚇阻主要國家不要實施破壞電網等行為，可能比嚇阻行動不要上升到這一水準更容易。

事實上，關於「網路珍珠港事件（cyber Pearl Harbor）」的威脅被誇大了。

與許多非國家行為者相比，主要的國家行為者更容易陷入互賴的關係中，美國決策者已經明確表示嚇阻不僅限於網路領域（儘管這是可能的）。美國將使用手中的任意武器（從點名批評羞辱，到經濟制裁再到各類軍事手段）來回應針對各個領域或部門的網路攻擊。

美國和其他國家聲稱武裝衝突法適用於網路空間，一起網路行動是否被視為武裝襲擊，則取決於後果而非工具。

這就是為何更加難以嚇阻那些非武裝級別攻擊的原因，俄羅斯在烏克蘭的多手段混合作戰，以及美國特別顧問穆勒（Robert Mueller）的報告所揭露，俄羅斯對美國總統大選的破壞行動就處於這種灰色地帶。

雖然存在網路攻擊行為歸屬的模糊性以及網路空間中對手的多樣性，但這也不會使嚇阻和阻嚇變得不可能，但這的確意味著懲罰行為所發揮的作用會比核武器更有限。

懲罰行為可以同時針對國家和犯罪者，但是當攻擊者無法被輕易識別出來時其嚇阻效應就會放緩和減弱。

相對國家行為者來說，防禦圍堵（借助殺毒，防禦和抗衝擊能力）在阻止非國家行為者方面發揮的作用更大，因為前者的情報部門可以制定先進的持續性威脅行動。

一個大型軍事或情報機構可以花費一定的時間和精力去滲透進大多數防禦體系，但懲罰威脅和有效防禦的結合會影響他們對成本和收益的計算。這就是新的「持久接觸」理論的用武之地，目標不僅是破壞攻擊，還會通過提高對手的成本來加強嚇阻。

但政策分析家在評估網路空間中實現嚇阻和阻嚇的可能性時不能僅限於核嚇阻的經典工具：懲罰和圍堵。他們還應該注意到設置障礙和規範的機制。設障可以改變中國等主要國家的成本效益計算，但可能對北韓這類與世界經濟聯繫較弱的國家影響甚微。

然而「持續接觸」可以在這種困難形勢下助長嚇阻。雖然進入任何對手的網路並破壞其攻擊行動都會產生事態升級的危險。但我們不僅可以依賴於「持續接觸」的支持者經常強調的低調討價還價，還可以進行更明確的溝通。

網路空間的穩定性極難預測，因為那裡的技術創新要比核領域更快。隨著時間的推移，更好的追查取證可能會強化懲罰的作用；而透過加密或機器學習則可能會提升防禦圍堵的作用。

網路學習也很重要。

隨著各國以及各類組織更深入地瞭解網路攻擊的局限性/不確定性以及互聯網對其經濟利益日益增長的重要性，針對網路戰效用的成本效益計算可能會發生變化。並非所有的網路攻擊都具有同等重要性；並非所有攻擊都會被嚇阻；也並非所有攻擊都會上升到對國家安全構成重大威脅的水準。

決策者在此得到的經驗是：關注最重要的攻擊，認識各種可以動用的機制，並瞭解在哪些背景下可以防範攻擊。在網路時代實施嚇阻的關鍵是，世上不存在一種能應付所有事件的手段，從這個角度看來，「持續接觸」是對武器庫的一個有用補充。

© Project Syndicate

（原標題為《Deterrence in Cyberspace》文章未經授權，請勿任意轉載）