埃德·斯泰西
格雷格·奥斯汀,在澳大利亚国立大学获得了国际法硕士学位和博士学位,国际战略研究所网络空间和未来冲突项目高级研究员。在加入国际战略研究所之前,格雷格在新南威尔士大学担任教授和网络安全研究多学科中心副主任。在新南威尔士大学,他开设了澳大利亚第一个网络战争与和平硕士学位点。格雷格曾在布鲁塞尔办事处的东西方研究所和布鲁塞尔办事处的国际危机小组担任高级职务。2012—2014年,任伦敦国王学院战争研究系的高级访问研究员,2004—2006年,任伦敦外交政策中心研究主任,2003—2004年,任布拉德福德和平研究中心首席研究员。
2020年1月29日,国际战略研究所主持了即将到来的“可测量强制性网络力量项目”活动。活动结束后的第二天,埃德·斯泰西(Ed Stacey)与国际战略研究所网络空间与未来冲突项目高级研究员格雷格·奥斯汀(Greg Austin)进行了座谈,就这一新项目,即网络力量和进攻性网络行动进行了讨论。
埃德·斯泰西:请问什么是“可测量强制性网络力量项目”?
格雷格·奥斯汀:这是一个在我加入国际战略研究所之前就已开始的项目,由一些非常有经验的专业人士负责。其目的是了解网络力量的基本原理。换句话说,试图了解网络力量的经济、科学、技术和组织基础是什么。
埃德·斯泰西:您的主要发现是什么?
格雷格·奥斯汀:目前我们已经对13个国家展开了研究,我们发现,美国的网络力量领先于世界上其他国家。在美国,网络力量的经济、科学乃至社会基础比任何其他国家都更加强大。这一领先地位实际上是围绕着信息通信技术(ICT)产业展开的。事实上,像互联网这样的技术是在美国发明的,而且美国国防部门、工业部门和大学之间存在着非比寻常的联系,这种联系在世界其他地方都不存在。此外,美国ICT行业的发展历史也比任何其他国家都长。
埃德·斯泰西:如果您在十年或二十年内能够完成这项研究,那么您希望在结果中看到哪些变化?
格雷格·奥斯汀:我认为最可能发生的变化是美国及其盟友在相对于竞争国家的领先地位。
埃德·斯泰西:您所说的网络攻击或攻击性网络力量是什么意思?它是否包括信息战?
格雷格·奥斯汀:当然包括信息战。攻击性网络力量具有双重性。一方面,我们可以把它看作是对网络系统的攻击;另一方面,在美国、俄罗斯等国的军事思想中,信息战的效果也可以通过网络空间传递,这种方式是在三四十年前无法想象的。因此,当我们与信息技术系统的安全性以及攻击和防御这些系统的方式展开斗争时,网络空间也在发挥政治作用。
埃德·斯泰西:称这些功能为“武器”是否有问题?给它们贴上这样的标签是否会令人们对其含义产生误解?
格雷格·奥斯汀:从学术角度来说,可能是这样。我认为普通人会理解武器是一种可以用来伤害别人或事物的东西。例如,铁锤是一种工具,可以用来制造东西。但是铁锤也能致人死地。计算机程序代码也一样,它可以是制造东西的工具,也可以是杀人的“武器”。您可以使用代码关闭发电站,通过干扰医院的基本计算机信息,造成负面的健康后果。因此,在我们所处的环境中,IT、软件和它们周围的一切都可以被视为存在利弊的工具或者“武器”。我完全理解关于暴力和战争性质的争论,但我认为普通人也会明白,网络空间中发生的恶意事件确实是“武器”。
埃德·斯泰西:以您的铁锤为例,如果我拿铁锤并用铁锤威胁您,那么会吓到您。在网络空间中,情况是否一样?也就是说,如果一个国家有“网络铁锤”,这会威慑到其他国家吗?
格雷格·奥斯汀:关于铁锤的例子有意思的是,您可以举起铁锤,看起来像是在威胁我,但在我将其视为威胁并认真对待之前,必须有很多种情况。例如,我必须了解您实际实施这些威胁的记录,我必须考虑一下您对我进行报复的恐惧程度。例如,在美国的“网络威慑计划”中,我们在网络空间中看到的是很难判断它们实际上是否真的在发挥威慑作用。
这一举措包括美国人所说的“防御前置”。这已经持续了一年多的时间,但我们在公共领域没有足够的信息(我们没有足够的证据)来确定其他国家是否真的受到了威慑。
埃德·斯泰西:网络有什么潜力来破坏现有的威慑措施?我首先想到的是核威慑,在这次活动期间讨论过核威慑——核导弹在飞行中被黑客攻击,并可能被重新定向的想法。
格雷格·奥斯汀:实际上,我和一位俄罗斯学者就这个问题写了一篇文章,我们试图了解俄罗斯军方领导人是如何看待这个问题的。在公共领域几乎没有证据,但是我们发现一些俄罗斯军事领导人认为网络力量改变了进攻和防御之间的平衡,并鼓励拥有核武器的国家在失去指挥控制或制导系统之前先发制人。现在,证据还远远不够全面——从某种意义上来说,这些都是零碎的想法。
埃德·斯泰西:考虑到网络空间的不确定性——作为一个高度复杂、相互关联和不断发展的领域——是否有可能从战略上运用进攻性网络力量?
格雷格·奥斯汀:我当然相信这是可能的,但这也是学术界争论的焦点之一。例如,在昨晚的研讨会之后,我们收到了一封来自英国一位退休高级军官的电子邮件,他提出了这样一个主张:从战略上使用网络武器是不可能的,因为它们实际上只是某种战术性的、破坏性的资产。但是事实上,根据美国政府的记录,计划和行动都在证明他们相信网络军事力量会改变“游戏”规则。
埃德·斯泰西:网络战争真实发生的可能性有多大?
格雷格·奥斯汀:据美国政府称,网络战争已经发生。一些国家已经在网络空间与美国展开公开的冲突。我们是否称之为战争或其他形式的冲突,是一个争论的焦点。回到托马斯·里德的书里,尽管托马斯·里德的论点是有效的,但他并没有完全考虑到战略思想和活动的整个领域。各国认为,它们可以以不引起武装冲突的方式将这些工具作为武器使用。但是,正如我们在美国的案例中看到的那样,这在网络空间引发了某种通过网络攻击实施的报复。随着年复一年地经历这种互动(加剧网络空间的紧张和冲突),我们将会达到这样一个地步,即这些大国中的一个或另一个决定,网络空间的冲突已经足够多了,并开始采取一些非网络报复措施。
埃德·斯泰西:您昨天谈到在1998—1999年科索沃冲突中的网络行动是网络战争的第一幕,因为Stuxnet经常被视为网络战争的序幕。在网络空间中,您是否可以确定某个阈值,也许可以从效果上确定网络操作属于网络战争的行为?
格雷格·奥斯汀:有很多国际律师认为,美国对伊朗使用Stuxnet是违反国际法的。这是一国对另一国的行为,并在第二国造成了损害。如果没有造成人身伤害,那么大多数国家似乎并不认为这是侵略。但是,如果美国真的造成了实质性的损害,即破坏了表面上是民事行为的行为,那么这显然是违反国际法的。然而,要想使局势升级到足以引起武装冲突的水平,则是另一个问题。
埃德·斯泰西:您认为现行国际法适合于处理网络冲突吗?
格雷格·奥斯汀:我想是的,我认为《塔林手册1.0》证明了这一点。一系列国际讨论表明,它是适合的,但是国际法并不是一个完善的制度。正如在海洋法、国际人道主义法中有很大的解释空间一样,适用于网络冲突的法律也有着很大的解释空间。
埃德·斯泰西:在网络空间活动方面是否有制定规范或特定协议的空间?
格雷格·奥斯汀:我认为有关规范的讨论是富有成效的。但是各国签署新的国际法律规范的可能性似乎很小。“规范”一词有多种含义,其中一种含义是在某种意义上为行为设定道德标准。当然,这个词的另一种含义是国际法中所包含的规范解释。我认为,网络空间规范性保护的未来是设定行为的道德标准,而不是提出新的国际法。
埃德·斯泰西:美国在网络空间领域是否居于领先地位?如果是的话,您认为这种趋势还会持续吗?
格雷格·奥斯汀:是的。之所以能够持续下去,其中一个重要原因是美国是最强大的情报联盟中的佼佼者,而且看起来不会很快衰弱。我认为只要美国能够继续维持这个非常强大的情报联盟(并且所有迹象都表明它将这样做),那么它就依然会在网络空间领域居于领先地位。
下列内容即为了说明为什么这一点是重要的:网络空间所有有效行动的基础是有关敌人的信息系统、其漏洞以及在任何特定时间点从这些漏洞如何挖掘高质量情报。比如说,在2006年的某一天收集有关伊朗核离心机的情报并随后于2009年带着攻击包返回情报收集中心是无效的,因为他们可能已经更改了软件配置。你必须几乎每天都要进行评估:“攻击性环境的外部环境如何?”以便你开发的任何攻击包都可以在以后使用,这需要大量的情报工作。
埃德·斯泰西:目前的情况,特别是在科技背景下,网络空间安全只是美中之间的一场两马赛跑吗?
格雷格·奥斯汀:可能中国和美国的很多人都认为这是一场两马赛跑。但是事实并非如此。现代技术和信息通信技术代表了全球化的知识。我们在美国及其盟友身上看到的是,他们更善于利用全球现有的知识。中国也几乎可以获得现代技术和信息通信技术的一切内容。不同之处在于,美国在利用这些知识并将其付诸实践方面有60~70年的出色表现。而同时,像韩国、马来西亚等其他国家也都参与进来,从信息和通信技术的馅饼中分到属于自己的一份,并在该领域成为世界一流的国家。因此,这就是我们所看到的现象,即目前的科技竞争实际上是一场多马赛跑,许多马都在竞争中表现出色。
我们根据2019年《财富》全球500强企业汇总了一些信息,结果显示,在《财富》全球500强中,美国有14家企业从事科技和电信行业。这一领域的其他大多数企业都属于美国非常紧密的盟友——欧洲、日本或韩国。
埃德·斯泰西:与其他排名靠前的国家相比,英国的情况如何?
格雷格·奥斯汀:在网络空间安全方面,英国是世界排名前十的国家之一。在信息和通信技术发展的其他方面,它很可能也在世界排名前十的国家中。但是,在《财富》全球500强中只有两家技术和电信公司是英国公司——一家是英国电信公司,另一家是沃达丰公司。因此,英国在一些商业方面的定位并不是很好。
虽然英国出售了很多好的信息通信技术服务,但它们的销售规模并不像韩国表现得那样好。除此之外,即使英国在网络空间中盈利不高,但是英国做的事情本身价值要高得多。英国的干预行动是在战略层面上进行的,像BAE Systems、BT和沃达丰这样的公司都是全球品牌,在全球许多国家的经济、战略和科学发展中发挥着作用。因此,英国是一个很难用《财富》全球500强等统计数据来概括的国家。
埃德·斯泰西:最后,您认为在英国即将出版的《战略防御与安全评论》中,网络安全扮演着什么样的角色?
格雷格·奥斯汀:正如我昨晚建议的那样,很多事情实际上取决于领导层的选择。你可以持有对于科学技术的客观意见,但是除非你是一位能够认识到其军事潜力并加以利用的军事领导人,否则科技就不会促使军事事务产生革新。这与经济政策有些相同。澳大利亚就是一个很好的例子。马尔科姆·特恩布尔(Malcolm Turnbull)曾短暂地担任过澳大利亚总理,他可能是其任内政府中唯一一位在内阁一级的官员中对科学技术持肯定态度的人。
此外,英国的脱欧决定不仅否定了欧盟的概念,还否定了全球综合科技的价值。只需询问大学教授对这一事件的看法就能知道,支持英国脱欧决定的人实际上代表着与澳大利亚政府部长们相同的心态,他们对现代科学技术所涉及的事物没有完全的了解,即现代科学技术是一种整合的、全球化的活动。当你建立起国防边界时,其实并没有武装好自己,也没有为未来做好定位。现在,这并不意味着英国国防机构不能这样做,因为英国国防机构作为五眼联盟的一部分有着截然不同的地位。以紧密的军事同盟为代表的科学技术共同体可能会为英国带来成果,也可能是战略和国防审查的当务之急,这与英国脱欧的心态背道而驰。