本文分析了俄罗斯对乌克兰的网络和信息战行为,认为乌克兰需要认识到网络、信息活动与物理环境及认知领域的相互依存,并应据此调整防御策略。文中指出,非传统信息和资产亦须保护,因俄军可能利用个人信息执行致命行动。作者认为,乌克兰之所以能抵御俄罗斯的网络攻击,很大程度上归功于国际伙伴和私营企业的支援。私营企业介入冲突,提出了法律责任和支持性财务问题,亟需制定相应政策。
俄乌冲突为世界各国敲响了警钟,网络安全形势日趋严峻。如何在数字时代捍卫国家主权和公民权益,维护社会安宁稳定,考验着每一个国家的智慧和能力。本文原载于英国皇家国际事务研究所,囿于篇幅,仅摘译部分观点,供读者参考。
乌克兰的韧性与抵抗
正如常规军事行动一样,乌克兰对信息战和网络攻击展现出意料之外的适应力,在全面战争的早期阶段打破了俄罗斯的预期和假设。在分析2022年俄罗斯发动网络战争的早期阶段,人们普遍认为乌克兰会不战而败,基础设施将被俄罗斯当局接管,乌克兰根本没有准备好应对冲突。但是,这种假设与现实相去甚远,俄军发现自己在打一场意想不到的战争。
军事特别行动实际上并不是从2022年2月24日开始的。冲突初期前后的活动表明,俄罗斯的网军和信息部队比其装甲部队和步兵准备得更为充分。2022年1月和2月,针对乌克兰破坏性网络攻击激增,旨在压制乌克兰政府和军队通信的攻击表明,做到这点需要长期、协调的准备。俄罗斯为进军乌克兰做了信息准备的直接例子就是——一旦俄军控制了某个城市或城镇,就立即锁定之前确定的个人。与苏联的做法一致,俄军配备了完整的名单,上面有他们要找的人的姓名、电话号码和地址。
后来的事实证明,俄罗斯各路部队发现自己正在打一场出乎意料的战争。这可能导致了随后几个月的进一步转变,俄罗斯网军转向了需要较少前期计划、更容易实施的策略,包括采取分布式拒绝服务(DDoS)攻击,部署新一代简单化、模块化的“擦除”恶意软件。
2022年2月24日,人们争相离开哈尔科夫市
(图源:路透社)
战争特征
1.国家支持
在国家层面,乌克兰和美国之间有正式的网络安全合作安排,西方政府对网络行动的直接支持也已经得到证实,尽管其性质仍然不透明。自2020年以来,美国通过美国国际开发署(USAID)提供的援助一直专注于关键基础设施的网络安全。一如既往,在没有详细内幕信息的情况下,这些计划的确切范围和实际效果难以量化,但它们的累积影响被广泛认为改变了乌克兰的防御能力和应对网络攻击的能力。
2.私营企业支持
除了在国家一级提供支持外,各种技术公司也在提供同样广泛的基本支持,共同服务于乌克兰。值得注意的援助包括马斯克的
Starlink
系统提供的备用互联网接入,以及发电机、燃料和配套设备的国际供应,以维持关键基础设施和通信在断电期间的运转。即使有国际援助的支持,乌克兰的信息基础设施在遭受持续、高强度的破坏性攻击后仍能够维持运作,这表明乌克兰政府和企业在提高网络攻击防御和恢复能力上投入了大量努力和资源。私营安保公司的能力是西方国家网络防御能力不可或缺的一部分。尤其是关键基础设施的数字安全,在很大一部分委托给了私营企业。这就留下了一个悬而未决的问题:当需要私营科技公司提供服务时,谁来为其“买单”?以及如何确保这些公司站在“正确”的一方而不是中立甚至敌对的一方?
3.信息阻断
在2014年至2022年期间,俄罗斯投入了大量资源调查整个西方民用电信基础设施的脆弱性,其目标是能够在必要时切断这一基础设施,并将目标人群与外部信息隔离开来。然而,俄罗斯在切断乌克兰的信息连通性方面并没有取得决定性的成功。乌克兰民众在战争期间基本上能够访问互联网和通信服务。乌克兰政府也始终能通过官方和社交媒体渠道与公众沟通。尽管遭受猛烈攻击,但乌克兰的通信基础设施展现出了强大的韧性。与此同时,卫星互联网等备份系统的广泛部署,也大大降低了俄罗斯切断乌克兰网络连接的能力。
另一个值得关注的问题是,西方科技公司在支持乌克兰抵御俄罗斯网络攻击方面发挥的关键作用。从提供云服务和备用互联网接入,到协助检测和防御恶意软件,私营企业为维持乌克兰的信息连通性做出了重大贡献。这凸显了私营企业在现代冲突中日益重要的地位,以及各国政府与科技行业合作应对网络威胁的必要性。同时也引发了一系列复杂的法律和政策问题,例如,私营企业在多大程度上可以或应该参与支持交战国?这些问题需要国际社会认真对待并寻求达成共识。
消息人士称,SpaceX正在打造一个由数百颗间谍卫星组成的网络。图为SpaceX猎鹰9号火箭为美国太空部队和导弹防御局执行USSF-124任务升空(图源:路透社)
协调
乌克兰的经验表明,国家层面的网络安全需要政府、关键行业、科技企业、白帽黑客群体以及国际伙伴的通力合作。没有哪一方可以独善其身,只有形成合力,才能有效应对复杂的网络威胁。这对其他面临网络安全挑战的国家具有重要启示意义。
不过,乌克兰的做法也引发一些值得深思的问题。例如,民间力量深度参与国家网络对抗,是否会模糊战斗人员和平民的界限?白帽黑客对敌实施网络反击,是否应受国际人道法约束?私营科技公司直接介入军事冲突,在法律和道德上是否合适?对乌援助是否会加剧网络军备竞赛?这些问题亟需国际社会审慎对待的。
乌克兰战争是一个转折点——预示着网络空间将成为大国博弈的主战场。各国必须审时度势,完善网络安全治理体系,在数字科技飞速发展的时代维护国家安全和公民福祉。这需要政府、产业界、技术社群和全体公民的共同努力。乌克兰的经验教训,值得所有国家认真汲取。
信息对抗:对人的影响
在讨论信息作战活动对人的影响时,首先需要考虑信息本身所具有的破坏力。在现代战争中,信息往往被视为一种武器,可以用来影响、误导甚至摧毁目标受众的认知和行为。许多军事理论家认为,在某些情况下,信息作战可以实现与物理打击相当的效果,而成本和风险更低。
不过,信息战对平民的影响是深远的。虚假信息和宣传在短期内可能被澄清和揭穿,但潜移默化的认知影响却难以消除。当虚假信息与人们既有的成见和情绪共振时,往往更易被接受并长期留存。俄罗斯的宣传善于利用乌克兰社会的脆弱点,例如煽动东西部地区矛盾,加剧族裔和语言纷争等。客观地说,俄乌冲突已经严重撕裂了乌克兰社会,种下了仇恨和不信任的种子。即便战事最终平息,这些创伤也难以弥合。
综上,乌克兰战争凸显了信息空间已经成为现代战争的主战场,信息武器对平民的杀伤力丝毫不亚于实体武器。
德国防长皮斯托里乌斯3月3日首次就德国军方内部遭到窃听的事件做出回应,称这是俄罗斯发动的信息战,试图分裂德国等乌克兰盟友(法新社)
经验教训
俄乌战争在网络空间的对抗及其影响,给我们带来了许多值得反思和借鉴的经验教训。以下是一些关键启示:
1.网络空间已经成为现代战争不可或缺的战场维度。信息和网络技术不仅是作战支撑手段,本身也具备直接杀伤力。各国应将网络安全视为国家安全的头等大事,大力发展网络防御和进攻能力。
2.关键基础设施和信息系统的网络防护至关重要。政府、军队、关键行业主管部门应制定完善的网络安全政策和标准,定期开展风险评估、渗透测试和攻防演练,提高系统韧性。同时,应储备必要的备份和应急措施,确保关键功能在网络攻击下仍能维持运转。
3.公私合作对国家层面的网络安全至关重要。政府应建立必要机制,推动关键行业、科技企业参与国家网络安全治理。私营企业拥有领先的技术、情报和人才资源,应成为国家网络防御和威慑能力的重要组成。双方应建立顺畅的沟通协调和互信机制。
4.打击网络犯罪需要国际合作。许多针对关键基础设施的网络攻击是跨国界的,溯源和追责面临诸多挑战。各国应在联合国等多边框架下加强执法合作,共同打击网络犯罪。对于武装冲突中的网络攻击行为,国际社会应明确界定红线,完善相关国际法律。
5.网络安全人才培养刻不容缓。当前,各国都面临不同程度的网络安全人才缺口。政府和教育界应大力投资网络安全相关教育,通过正规教育和职业培训等多种渠道,培养更多的合格人才。网络安全也应纳入国民教育,提高全社会的网络安全意识和素养。
6.媒体应提高专业素养,社交平台应承担更多责任。媒体和社交平台在现代战争中扮演日益重要的角色,对民众认知和社会稳定影响巨大。媒体应秉持客观公正立场,提高对虚假信息的甄别能力。平台应加强内容审核,遏制虚假信息传播,并为受害者提供申诉和补救渠道。
7.军民融合发展是大势所趋。在信息化战争中,军队与科技行业、黑客社群的界限日益模糊。各国应审慎探索军民融合的制度安排,在发挥民间力量优势的同时,防范可能的法律和道德风险。民间参与者的战时行为应受相关国际法约束。
8.国际人道法应与时俱进。网络战对平民的影响是深远的。关键民用基础设施、个人隐私数据等应被明确纳入《日内瓦公约》等国际人道法的保护范畴。对于侵犯平民网络权益、危害人类尊严的行为,国际社会应予以谴责和制裁。
9.构建网络空间命运共同体刻不容缓。网络空间是人类共同的新疆域。网络安全威胁不分国界,没有哪一个国家可以独善其身。国际社会应摒弃零和博弈思维,加强对话合作,携手应对共同挑战。要坚持以“和平利用、开放包容、互利共赢”为宗旨,推动网络空间全球治理变革,构建网络空间命运共同体。
政策建议
基于以上分析,本报告提出以下政策建议,供各国政府、国际组织和其他利益相关方参考:
1.将网络安全纳入国家安全战略的核心议程。制定国家网络安全战略,明确发展目标、原则和优先方向。定期评估网络安全形势,优化资源配置,加强关键基础设施防护。
2.完善网络安全法律法规体系。制定专门的网络安全法,明确各方责任义务。出台关键信息基础设施保护、数据安全、关键设备和服务安全审查等配套法规。加大执法司法力度,震慑违法犯罪行为。
3.建立国家网络安全综合协调机制。成立国家网络安全委员会,统筹协调相关部委、军队、关键行业、地方政府等的网络安全工作。建立多部门参与的威胁信息共享、应急指挥和联合演练机制。
4.加强关键信息基础设施保护。制定关键信息基础设施保护条例,明确保护对象、责任主体和管理要求。定期开展风险评估和安全检查,提升安全防护和应急响应能力。加强工控系统、5G等新兴领域安全。
5.规范关键设备和服务采购。建立关键网络设备和服务安全审查机制,对安全性、可控性提出明确要求。对来自“不可信国家”的产品和服务实施禁止或限制措施。支持本土产业发展,确保供应链安全。
6.加强数据安全和个人信息保护。制定数据安全法和个人信息保护法,规范数据收集、传输、存储、使用等环节的安全管理。加强对政府和企业数据活动的监管,防范数据滥用和泄露。
7.大力培育网络安全人才。制定网络安全人才发展规划,改革网络安全教育和职业培训体系。加大高校相关学科建设力度,办好一批网络安全学院。完善人才引进、使用、激励政策,为人才成长创造良好环境。
8.促进网络安全产业发展。研究制定网络安全产业发展政策,在金融、财税、人才等方面给予支持。鼓励企业加大研发投入,突破核心技术。培育一批具有国际竞争力的龙头企业,打造完整产业生态。
9.加强网络安全国际合作。深度参与联合国、二十国集团、上海合作组织、金砖国家等框架下的网络安全对话合作。推动构建多边、民主、透明的网络空间全球治理体系。积极开展网络安全法律、技术、执法等领域务实合作。
10.增进国际人道法发展。倡导将公共服务、关键基础设施和个人数据等纳入武装冲突法保护范畴。推动制定网络战的国际规则,明确界定国家责任。呼吁各国克制使用网络武器,不以平民为攻击目标。