二 网络空间对国家安全的威胁
与海、陆、空、太空等其他领域相比,网络空间的安全威胁也有其无可比拟的特点。第一,它可以无视地缘因素,跨越高山、海洋和传统国家的边界,从遥远的地方对目标瞬时发动攻击,而不必与敌人战场对峙。第二,互联网具有极强的隐蔽性,发动者可以藏身在地球上一个无人知晓的地方发动网络攻击,而不留下任何被追踪的痕迹。第三,它的打击目标更广,一国的基础设施、金融和银行业、物流和运输系统、国家数据中心等这些传统军事打击很难奏效的目标都在网络攻击的“火力”之下。第四,网络空间中军用和民用设施安全相互融合,很难将二者完全区分开来。第五,网络武器(如病毒)一旦发明出来,极容易扩散和复制,发动网络攻击的门槛相对于发动武装冲突要低得多。
基于网络空间的上述特征,网络空间对一个国家安全的威胁也有不同的表现。一种普遍的观点是将网络安全的威胁笼统的归结于“网络战”,但这种概括并不能细致地描述网络空间对国家安全威胁的不同类型,也不利于国家做出政策判断和回应。美国信息安全专家和作家布鲁斯·施奈尔(Bruce Schneier)按照网络安全威胁从低到高的顺序将其划分为:网络恶意破坏,例如,对网站的黑客攻击;网络犯罪,包括知识产权的窃取、通过DDoS攻击进行勒索、盗取身份信息的欺诈行为等;网络恐怖主义,例如,入侵计算机控制系统导致撞机、核燃料泄漏等恐怖事件;网络战,例如,通过计算机系统对敌对国家发起破坏性的攻击,尤其是对通信系统的攻击。[12]但是,从近年来的实践发现,这种划分忽视了网络间谍和网络颠覆活动对国家安全的威胁。与施奈尔的分类不同,也有学者按照威胁的不同来源和程度将网络安全划分为个人行为的黑客攻击、非国家行为体的网络犯罪和恐怖主义活动以及国家行为体所支持的网络战。[13]
值得注意的是,不论是哪一种方式,这些划分之间的区别和界限都不是绝对的。例如,当网络攻击发生时,因为使用工具的相似,我们很难去区分此次事件究竟是一般的恶意破坏还是一次网络犯罪或者恐怖主义。又因为网络攻击的模糊性和难以追踪,我们很难判断一次黑客攻击究竟是否有恐怖组织或国家支持的背景。但是,这并不是否认区分的意义,正相反,对网络空间不同种类的威胁进行划分,有着很重要的政策意义。首先,它有助于决策者区分哪些攻击的破坏力和严重性会威胁到国家安全,哪些攻击只是一般的骚扰和破坏,而不必提升到国家安全的威胁。其次,从动机上看,哪些攻击是对国家安全的恶意攻击,哪些是由于个人疏忽而导致的。最后,对攻击来源的区分也有助于政府做出恰当的应对,比如,对于一个少年由于无知而发起的对政府网站的攻击也未必要全国动员。正如施奈尔所言:“正如不是每一次射击都是战争行为一样,也不是每一次成功的网络攻击都必然是网络战,无论它的后果多么致命。例如对国家电网的网络攻击可能是一场网络战,也可能是一次恐怖主义活动、网络犯罪或者仅仅是一次无知的破坏。网络攻击的性质究竟是什么,它最终取决于网络攻击者的动机以及当时的具体情况”。[14]
按照行为主体的不同,笔者将网络空间对国家安全的威胁划分为黑客攻击、有组织的网络犯罪、网络恐怖主义以及国家支持的网络战这四种类型。一般来说,从个人到非国家行为体、再到国家行为体,它们对国家安全的威胁程度是逐渐增加的,但无论是哪一种网络安全威胁,它对国家安全的潜在危害都不容低估。
(一)黑客攻击
黑客攻击,即黑客破解或破坏某个程序、系统及网络安全,是网络攻击中最常见的现象。其攻击手段可分为非破坏性攻击和破坏性攻击两类,前者的目的通常是扰乱系统的运行,并不盗窃系统资料;后者是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。
从已有的案例看,黑客攻击中非破坏性攻击的主要目的或动机之一是表达抗议和不满。黑客破坏性攻击的动机则不尽相同,有的是出于商业竞争,有的可能则仅仅是为了好玩儿。2002年以来,包括索尼、谷歌、社交网站LinkedIn等多家公司遭到黑客入侵,客户资料泄露。2011年4月,索尼旗下分布在美国、希腊、泰国、印度尼西亚等地的多家子公司的网站陆续遭到非法入侵。黑客窃取了大量重要个人信息,包括用户姓名、住址、生日、电子邮箱、电话号码甚至信用卡账号等,涉及的用户总数可能超过1亿,成为索尼有史以来最大规模的信息外泄事件。除了跨国企业,黑客的攻击目标还包括用户信息极其敏感、关乎金融安全的银行系统。2011年6月8日,美国花旗银行证实,黑客入侵了该行的网上银行客户账户,查阅或拷贝了大约21万份北美地区银行卡客户的信息;同年6月13日,美国国会参议院网站遭入侵,一个自称“狂笑”的黑客团伙承认发动了此次网络袭击,其目的只是为了“好玩”。对于黑客们几乎炫耀式地“认领”攻击,美国网络安全智库专家约翰·布姆加纳认为“这是件非常令人尴尬的事”。[15]
由此,对于黑客攻击后果的判断尚需一分为二。那些仅为了表达不满而未造成破坏性结果的黑客攻击,并不构成对国家安全的威胁,而那些窃取商业机密、扰乱国家政治经济秩序的黑客攻击会在不同程度上涉及国家经济或社会安全等非传统安全,对国家安全的威胁程度等级并不高。
(二)有组织的网络犯罪
有组织的网络犯罪是指犯罪分子借助计算机技术,在互联网平台上所进行的有组织犯罪活动。与传统的有组织犯罪有所不同,有组织的网络犯罪活动既包含了借助互联网而进行的传统的犯罪活动(如洗钱、贩卖人口、贩毒),也包含了互联网所独有的犯罪行为,如窃取信息、金融诈骗等。
许多互联网技术和软件的广泛应用,再加上互联网快捷、隐蔽和超越地缘等特征,都为有组织犯罪提供了绝好的组织工具和诱人的收益目标。网络犯罪分子最常用的技术工具是垃圾软件、钓鱼软件、木马病毒等,他们可以利用发送垃圾邮件传播病毒和木马,盗窃和倒卖个人信息,并从中牟利。根据2020年IBM发布的《X-Force威胁情报指数》,2019 年针对网络运营技术的攻击事件数量增长了2000%,数据泄露高达85亿条,破坏性恶意软件攻击的数量大幅度增加,其造成的损失平均在2.39亿美元左右,是数据泄露平均成本的60倍以上。[16]
欧盟网络和信息安全管理局(ENISA)发布的《2021年网络安全威胁报告》指出,前九大网络安全威胁分别为勒索软件、恶意软件、挖矿劫持(Cryptojacking)、电子邮件相关的威胁、威胁数据、对可用性和完整性的威胁、虚假信息和错误信息、无恶意的威胁以及供应链的攻击。[17]欧盟刑警组织主管罗布·温赖特曾表示,相比纯粹基于计算机的犯罪,有组织犯罪“转战”互联网的数量激增,互联网犯罪成为“主流”。[18]
网络犯罪已经成为一个全球性问题,其跨国性、高科技和隐蔽性特征都给国家安全带来了前所未有的挑战,这些威胁主要集中在非传统安全领域。借助互联网,有组织犯罪行为的策划和组织通常跨越国界,并有着很强的技术能力作为支持,无论犯罪分子身处何处,只要动一动鼠标,他就可能在全球掀起一场网络风暴。2019年网络攻击发生了105起,比2009年增加了400%。根据DataProt的数据,74%的僵尸网络攻击是针对金融行业,预计2022年网络犯罪将造成6万亿美元的损失,到2023年将有330亿账户可能被网络攻击。[19]鉴于网络犯罪可能给国家带来的巨大潜在损失,打击网络犯罪应该被纳入国家安全战略统筹考虑。它既需要国家之间,也需要不同部门之间(如安全部门与技术部门)的合作,2011年7月成立的全球性非营利组织国际网络安全保护联盟(ICSPA)就是跨国合作的一个很好尝试。
(三)网络恐怖主义
提起互联网与恐怖主义的结合,笔者不由得首先想起了1990年布鲁斯·威利斯(Bruce Willis)主演的电影《虎胆龙威2》(Die Hard 2)。在好莱坞这部弘扬个人英雄主义的电影中,恐怖分子通过计算机控制了交通和空中通信系统,在计算机控制台输入错误的数据,试图诱使飞机在跑道上坠毁。国家安全人员束手无策,主人公麦卡伦凭借自身的勇敢和机智挽救了妻子和飞机,在漫天飞雪的跑道上两人终于拥抱在一起。人们总是习惯性地认为这些好莱坞英雄电影只不过是虚幻的文艺创作,但在9·11事件之后的互联网时代,一切都有可能发生。
2000年2月,英国《反恐怖主义法案》第一次以官方的方式明确提出了“网络恐怖主义”的概念,它将黑客作为打击对象,但只有影响到政府或者社会利益的黑客行动才能算作是网络恐怖主义。但是,网络恐怖主义的含义并不仅限于此,它包含了两层含义:一是针对信息及计算机系统、程序和数据发起的恐怖袭击。二是利用计算机和互联网为工具进行的恐怖主义活动,通过制造暴力和对公共设施的毁灭或破坏来制造恐慌和恐怖气氛,从而达到一定的政治目的。
就第一层含义而言,网络攻击的隐蔽性和力量不对称凸显了大国实力的局限性,无论该大国的军事实力多么强大,武器多么先进,核武器多么厉害,在不知“敌人”在哪里的情况下,也只能被动防御。从这个角度来说,网络攻击无疑先天就具备了恐怖主义的特质。
网络攻击还具有传统恐怖主义活动所没有的有利条件。第一,它可以通过网络远程控制对目标设施的通信和控制系统发动攻击,从而避免亲临现场的各种障碍和危险。第二,它的攻击范围更广,不仅可以对设施本身发动攻击,而且可以对设施的控制系统造成潜在的破坏,因此,相对于传统恐怖活动在时间和空间上的局限性,网络攻击能够带来的心理冲击面更广。第三,它更有利于隐藏攻击者的身份,甚至可以利用技术手段提供非真实的攻击来源。第四,它所需的成本和费用更低,不必花费大量金钱去购买武器,恐怖组织可以用更低的代价获得相同的收益。第五,网络恐怖主义可以是非致命性的,它可以通过干扰正常的秩序和恐吓来换取政治目的,但却不必付出平民的伤亡和流血的代价。但是,也有观点认为,这些所谓的“有利条件”对恐怖主义组织来说没有多大的吸引力,因为他们更喜欢“血腥”的视觉冲击,而且他们也暂时不具备发动网络攻击的技术能力。[20]
不过,目前的网络恐怖主义活动主要集中在第二个层面。通过黑客攻击和低级别犯罪等手段,借助互联网组织发起恐怖主义活动,互联网已经成为恐怖主义分子互通有无、相互交流的最重要的场所。此外,网络空间还更多是作为恐怖组织自我激进化的一个平台,他们鼓吹建立相互独立的恐怖组织“细胞”,彼此之间没有任何网络沟通或等级结构,但却可以随时自我发动,由点成面,最终形成大规模的恐怖袭击。目前,恐怖主义的网络攻击还未出现,但是,一旦恐怖组织通过互联网完成了培训和自我激进化,就很有可能将网络空间当作未来一个新的战场。正如美国军事战略家史蒂芬·梅斯所说:“如果信息领域仍是一块未治理的空间,暴乱分子必定会试图赢得这场‘观念的战斗’;20世纪的战争是为了夺取国家的领土,当代的斗争则是对网络这块无管制空间的争夺。”[21]
(四)国家参与的网络战
国家支持的网络战对国家安全威胁的程度最高,涉及传统的军事安全领域,它既可以独立存在,也可以是当代战争中的一部分。网络战的主体既包括国家行为体,也包括以不同方式参与其中的非国家行为体。在网络战中,精准或相称的武力使用是极为困难的,它的攻击目标既可以是军事、工业或民用设施,也可以是机房里的其中一台服务器。与其他战争方式相比,网络战可以实现其政治或战略目的而不必诉诸武力。攻击力与国家实力没有必然联系,实力较弱的一方同样可能赢得战争。攻击者可以凭借假IP地址或者国外服务器完全隐身,至少在短期内难以追查其来源,军事与民用、实体与虚拟等领域之间的边界弱化,国家或非国家行为体,抑或是代理人都可以参与其中。[22]
根据网络战对国家安全的威胁程度由高至低,它主要表现为直接军事威胁、间接军事威胁、网络间谍和信息战。
网络战对国家安全最大的威胁是对军事设施的直接打击。由于网络技术首先被广泛应用于军事领域,从军事装备和武器系统、卫星和通信网络以及情报数据,一个国家的军事能力高度依赖信息和网络通信技术的发展。但这无疑也让它更加脆弱。一旦这些军事领域的网络系统遭到攻击,国家的军事力量就可能直接被削弱,甚至面临着部分或全部瘫痪的风险。
通过攻击金融系统、能源和交通这些重要的国家民用部门,网络战同样可以对国家军事安全带来间接地冲击和破坏。1982年,里根政府批准了一项针对苏联西伯利亚输油管线数据采集和监视控制系统的网络攻击,这是有记载的最早的一次网络战,它不仅破坏了苏联的军事工业基础,而且间接地削弱了苏联的军事实力。2010年伊朗所遭受的“震网”病毒攻击也被认为是美国或者以色列对伊朗军事实力的一次间接打击。
网络间谍是国家所从事的最常见的一种网络战,一国利用互联网在有价值的网络系统中植入恶意软件,从而以最小的成本从敌方获取所需要的信息和情报。网络间谍的攻击对象并不仅限于国家政府部门,军工企业、商业公司以及非政府组织都有可能成为网络间谍获取情报的对象。网络间谍活动已经有很长时间的历史,它最早可以追溯至20世纪70年代。据《纽约时报》报道,1970年,俄罗斯成功入侵美国高级研究计划署的网络系统,获取了美国有关军事项目的信息。[23]美国国防部副部长威廉·林恩表示,2008年国防部发现了一起重大的网络间谍活动,一家外国情报机构利用一个小小的U盘竟然入侵了国防部的计算机系统,这在当时看来无异于天方夜谭。然而,可怕的事实就这样发生了。“一个流氓软件被悄悄植入我们的系统窃取军事行动情报,这是我们最为担心的事情”。[24]与普通间谍不同的是,网络间谍的破坏力更大。一旦植入目标系统的“木马”或“后门”在某个特殊的时期同时被激活,例如,政治局势紧张或常规战争爆发,这些情报会给国家安全带来巨大的威胁。
信息战是基于信息操控的一种软网络战,也是心理战的重要组成部分,它旨在通过信息披露来影响敌方的思想和行为,在外交领域也被称为公共外交。20世纪90年代,随着网络媒体的逐渐增多,网络信息战的使用也越来越多。美国对信息战非常重视,在伊拉克战争中对基地组织的信息战,在伊朗、巴基斯坦、阿富汗和中东,为了扭转美国在伊斯兰世界的不佳形象,美国也开始越来越多地使用了信息战。2011年3月,美国驻阿富汗部队指挥官戴维·彼得雷乌斯(David Petraeus)在国会作证时披露,美国在阿富汗战争中利用一种软件控制社交论坛的舆论,操作者可以用多个显示不同地域的IP地址在论坛发言,以操纵网上舆论,对抗反美和反西方的宣传。[25]除了舆论攻势之外,信息战也常常用来披露敌方的秘密信息,例如,行动计划、非法活动、领导人的错误言论等。