兰德报告|网络空间中的竞争与限制——国际规范在促进美国网络安全方面的作用
2022年3月16日,兰德公司发布报告,基于2019年底至2020年底的事实和现有数据,对网络空间攻击行为规范约束的历史和未来潜力展开研究。报告回顾了政府和私营部门关于网络规范倡议的历史,政府间、私营部门关于网络规范的倡议的历史,并调查和总结了目前关于网络规范的建议。在此分析的基础上,报告为美国提出了新的议程,即绕过目前的国际分歧,鼓励制定规范来限制具有威胁性的网络攻击行为。
摘译 | 朱哲/赛博研究院高级研究员
来源 | 兰德
报告对网络规范的特点和前景主要结论如下:
1、目前,所需的网络规范没有确切形式,也没有明确的、正在形成的共识。
2、美国与中国和俄罗斯在这些问题上的差距仍然非常大,相互同意限制行为的空间有限。
3、网络空间具有的特点可能会阻碍限制国家行为规范的发展。
4、即使重大的网络攻击事件继续发生,也可能逐渐出现一些隐性的规范。在最近的各主要政府间网络规范声明中,主要大国都一致强调相互不侵犯关键国家基础设施。
5、对其他领域的审查为在网络空间建立规范提供了一些经验:第一,国家领导人对某一特定规范的正确性的信念,有助于促进或加强规范;第二,规范可以通过“自下而上”的努力,通过专家、非政府组织和更广泛的民间社会的工作来建立,而不是通过政府谈判或强加;第三,有效的规范往往是简单、感性,是围绕着避免风险设定的。但网络行为政策制定者可能希望网络规范具有高技术性和不可视性。
6、目前国际讨论状况来看,短期内无法达成任何关于网络规范的大规模协议。
网络空间的规范挑战
近年来,大国在多个领域相互竞争,以确保其利益和促进本国的安全。竞争加剧最显著的领域可能是网络空间。而这些国家在网络空间中采取了大相径庭的竞争策略,包括一些似乎对国际安全具有高度风险或破坏稳定的策略。由于网络支持的竞争手段的范围和种类一直在扩大,其规模和复杂程度也越来越高,包括干预民主进程和窃取工业机密等活动。一些国家也在寻求通过虚拟手段发动大规模的、破坏性的冲突。相比其他任何其他竞争领域,网络空间的竞争活动似乎更有可能对国家的稳定造成威胁。
网络威胁对国家安全构成的风险越来越大,这是被广泛接受的事实。例如,2020年12月,被归因于俄罗斯的SolarWinds网络间谍活动再次表明了网络攻击的普遍风险。
对网络复原力和惩罚威胁的投资将是美国应对这种威胁的一部分。事实上,它们很可能会成为促进国家政策制定的主要工具和维护网络安全的主要手段。然而,在其他竞争领域,美国经常使用正式或非正式商定的规则和多边规范来帮助限制竞争的不稳定因素,这些规则和规范包括从详尽的军备控制条约到空中和公海的交战规则,到限制国家行为的不成文规则,创造对威慑和防御政策更有效的环境。
报告评估了在网络领域扩大和加快规则和规范建设的潜力和可行性。在此背景下,它评估了美国、俄罗斯和中国所追求的网络战略,并为美国新建网络空间规范提供建议。
国际网络空间规范的现状
国际规范似乎是一个具有挑战性的手段,通过它可以限制某些大国的行为并促进网络空间的稳定。
国际规范运作的现状国际规范确定了国家的适当行为。这种适当性是由社会决定的,包括国际上的(其他国家的看法)和国内的(国内公众的看法)。通过改变公众和国际社会对国家适当行为的期望,国际规范可以改变国家领导人对采取行动的打算和态度。
完善的规范可以改变国家领导人对他们可能面临代价的看法,如果他们采取这些规范认为是不适当的行为,他们可以通过国际和国内机制来抵制。
在国际上,违反规范的代价包括外交孤立、不愿与违反规范的国家合作或其他形式的制裁。大多数国际规范通常被认为是负面的,它们禁止某些行为。但是,规范也可以从积极的角度来考虑;它们鼓励采取某些行为或政策,以使国家被认为是负责任的行为者。
在国内,国家领导人如果违反了公众认为已经确立的规范,可能会变得不受欢迎,或者他们的治理被认为是不合法的。最重要的是,对于违反既定规范的国家领导人来说,不管他们自己是否同意这些规范的内容,都会产生这些代价。他们只需要注意到违反规范所带来的代价,就会有动力去遵守这些规范。
目前,国际规范通常被认为要经过三个阶段才能确立:
第一阶段,规范通常是由"规范企业家"首先推动的。
第二阶段,在一定数量的有影响力或重要的国家采用该规范后,可以达到临界点。这种压力既可以是国际压力,即一些国家对其他国家施加的外交、声誉甚至物质(制裁)成本,也可以是国内压力。
第三阶段,成功获得广泛采纳的规范可以经历“内部化”,即它们被广泛编入国际协议和国内法律。一旦以这种方式内化,规范就会被视为或多或少不容置疑的行为标准,而且在任何情况下,违反规范的代价会越来越大,在法律或外交方面也越来越困难。
迄今为止,很少有规范网络行为的准则是在这第一阶段出现的,并且有可能经历最后两个阶段。虽然第一阶段的规范可以对国家的行为产生一些有限的约束作用,但更牢固的规范可能会产生更强的影响。因此,报告分析重点是如何将网络空间的规范推广到这些后阶段中去。
主要国家对网络规范的看法对网络规范进程现状的调查显示了两种主要模式,这两种模式都对新的进展构成了重大障碍。首先,三个主要的网络行为体——美国、俄罗斯和中国,在网络问题上尚未成共识。其次,政府间、非政府和私营部门对网络规范的讨论过程已经形成了一个由宣言、协议草案、建议的原则和其他规范性协议组成的复杂体,这些现实似乎使人们对寻求统一条约或契约作为主要手段的可行性产生怀疑。
为了确定在制定网络规范方面可能采取的下一步措施,需要确定的一个关键背景——网络空间的活动如何与相关关键国家的整体战略相适应。中国、俄罗斯和美国都从不同的角度看待网络领域,他们的观点极大地影响了他们可能支持的协议类型和他们愿意积极推动的规范。
目前,网络空间主要存在2个主要的战略观点。一是在军事或战略领域,目前,以美国为代表的部分国家探索通过网络能力塑造未来的战场,包括限制对手的通信以及破坏依赖信息技术的复杂武器系统的运作。所有大国都可能保持对发展和改进这种能力的兴趣,以及建立对其被他人使用时影响的复原力,特别是考虑到核实这一领域的任何裁军承诺极端困难。二是涉及关键基础设施(如电网或医院),中国、美国、俄罗斯对遭受网络攻击风险的担忧保持一致。
对于中国来说,对网络攻击行为采取的行动主要基于国内信息网络内容合规监管。为了解决信息领域的脆弱性问题,中国主要夯实网络与信息安全基础,研究制定国家信息安全战略和规划,强化顶层设计,并加大对网络违法犯罪活动的打击力度,从而加强对基础信息网络安全工作的指导和监督管理。
俄罗斯同样关注国内网络空间的问题。在实践中,俄罗斯对国内信息环境的限制较少,这可能反映了其对维护互联网经济效用的愿望,以及潜在的技术或资源限制。
美国对网络空间则保持不同的看法。一方面同样关心信息领域的外部威胁,同时坚持国内和国际互联网的持续开放——反映了美国基于开放的商业动机,以及延续了其在言论和信息自由方面的战略。
尽管这三个国家对国内信息领域的脆弱性都有一些担忧,但在网络空间治理方面,美国的这一立场与俄罗斯和中国立场有所不同,这或许将阻碍三个国家就网络规范和网络空间达成共识。
美国建立国际网络规范的措施
美国建立国际网络规范更倾向于“自下而上”“由外而内”的战略。具体来看,首先努力建立一套在网络空间“超然”的明确原则,然后利用外交手段、对非政府进程的支持以及与非政府组织、私营公司和志同道合国家的合作,让这些原则获得广泛的国际和公众支持,美国也可以在更广泛的领域扩大努力,建立更全面的一套网络规范。
在推进规范建设进程的一年半至两年中,美国计划分三阶段推进:
第一阶段:为进一步在网络领域建立广泛认同的规范而扫除明显障碍。
具体包括2个步骤:
第一,明确美国的立场,即国际法适用于网络空间且明确禁止某些行为。虽然并非所有国家都同意这种解释,但这一争议不应该成为制定规范的阻碍。简单来说,同意不以国际法为正式依据的网络限制声明也不一定会冲淡美国的相应主张。
第二,明确制定规则限制某些网络攻击活动,来帮助建立美国在这一领域的外交的可信度。美国可以宣布一套初步的国家在网络领域的行为标准,并率先遵守规则。这种“先行一步”的方式或许使得美国有机会成为规则的制定者,并以自身为榜样获得外交和政治支持。
第二阶段:继续采用美国行之有效的方法来促进规范构建的过程。
美国政府可以继续并加强网络规范领域正在进行的各种倡议,例如:
公开重申这一新兴领域制定规范的重要性。
在与民主盟友和部分支持者讨论重振美国多边主义时,突出网络规范的重要性。
在国家实践之外,支持政府间、公私营和旨在推动该法案的非政府组织和各利益相关者联盟对突发网络事件承诺规范。
对违反网络规范的国家征收费用。
重申并扩大与俄罗斯和中国建立信任措施。
第三阶段:采取新的、具体的短期行动,在这个时间框架内实现具体目标。
为了在前两年内取得切实进展,美国政府可以制定行动议程,这些行动包括一般步骤和重大倡议,将寻求在未来一年半至两年内获得普遍认可的准则。这些新举措包括:
在美国政府内部正式建立一个用于网络规范发展的机构,组织网络规范的推广。
与其他大国阐明双边非正式承诺,有助于避免某些类型的网络攻击加强紧急规范。
提议与俄罗斯或中国(或两者都允许专家和政府官员)讨论问题和慢慢建立共识的有限领域,并制定规则处理网络纠纷的参与和沟通机制。
在工作中召集新的多边政府间和多边利益相关者。
总而言之,这些重点领域是促进网络规范的最重要、最紧迫的部分。如果这些初步努力获得支持,美国也可以在更广泛的领域继续努力,建立更全面的一套网络规范,从民主国家之间到更广泛的国家之间,再到推进多个利益相关者的催化性投资。
如需获取《Competition and Restraint in Cyberspace——The Role of International Norms in Promoting U.S. Cybersecurity》报告全文,请于“赛博研究院”公众号后台回复“报告2”,即可查阅!欢迎关注及转发~
「国内+国际」隐私保护人员权威认证培训
赛博研究院是国内个人信息保护专业人员权威认证品牌(CISP-PIP)的官方指定授权培训机构,BSI中国是国际隐私专业协会(IAPP)独家授权的中国区官方培训合作伙伴,双方就CISP-PIP与IAPP两大培训认证课程体系展开重磅合作,共同推进数据隐私专业人才培养,提升各类企业数据安全合规能力。
扫描下方二维码立即报名,关于CISP-PIP、IAPP认证培训更多信息,请联系专属顾问:
咨询电话:021-61432696
丁老师 15601773140
CYBER RESEARCH INSTITUTE