网络安全动态 ·

美国务院高官谈美国网络空间安全外交方略

编者

负责国际安全和防核武扩散的美国助理国务卿克里斯托弗·阿什利·福特10月19日在美国智库战略与国际研究中心主题为“网络空间的国际安全-降低风险的新模式”的在线活动上发表演讲,谈外交在改善网络安全合作和减少安全威胁方面的作用。

福特称,美国在网络空间方向面临三重威胁:网络促进的技术转移、对关键基础设施的潜在破坏性或毁灭性网络攻击、网络促进的政治操纵。面对上述威胁,美国近年来通过“一个不作为、两个有作为”整体外交方略进行应对。

“一个不作为”即美国拒绝在国际网络空间领域努力推动传统军备控制措施。美国政府认为,网络空间是多变、快速发展和高科技的领域,运用传统的、基于规则的、具有法律约束力的“禁止性的”方法在上述空间实施有效军备控制是困难的或不可能的。上述不作为是美国网络外交工作成功的一半。

“两个有作为”包括:一是建立网络空间领域国际责任和约束框架;二是与盟友和合作伙伴共同建立网络威慑机制。前者方面,美国引导国际社会建立了关于国际法适用于武装冲突时的国家网络空间行为的共识,以及适用于非武装冲突情况下的负责任国家行为准则。虽然上述原则是自愿的、不具约束力的规范,但有助于推进网络领域负责任行为。后者方面,美国吸取了历史教训,明确地将威慑因素纳入网络空间安全外交,并与盟友合作建立共同能力及处置机制,从而增加了恶意网络活动肇事者的成本和风险。

奇安网情局编译有关情况,供读者参考。

美国务院高官谈美国网络空间安全外交方略 网络安全动态 第1张

运用外交和威慑应对现代网络威胁

大家下午好,谢谢你们邀请我参加这次活动。你们没有理由知道,但实际上我是从战略与国际研究中心(CSIS)在智库世界里起步的——早在1990年,作为非洲研究人员,我就在你们非洲研究部门担任海伦·凯奇(Helen Kitchen)暑期实习生。事实上,那是我第一次了解到什么是智库以及智库的工作,所以感谢你们给我的这段成长经历。

当然,当时我们谁也没有想到,一个叫“网络空间”的事物会成为21世纪国际安全环境中如此重要的一部分。

但这就是为什么我今天首先要特别感谢你,吉姆(詹姆斯·安德鲁·刘易斯),感谢你连续几次担任以网络为重点的联合国政府专家小组(GGE)报告人所做的不可或缺的贡献,该小组在阐明网络空间负责任行为规范方面做了一些极其重要的工作。没有多少人能够像吉姆那样在网络领域对整个外交领域产生如此巨大的影响,所以我代表国务院祝贺并感谢他的所有贡献。

就我个人而言,今天我想就美国政府目前在网络空间安全外交领域所做的工作说几句话。在骇人听闻的实时头条新闻和即将举行的美国总统大选漩涡提供无数娱乐机会之时,我认为至关重要的是,不要忽视正在进行的重要政策举措在不断推进的事实,而且实际上在美国网络外交中有很多非常有价值的连续性和演进性进展。

当然,我们为什么要注意这些事情是显而易见的。在这个互联网连接程度更高的时代,网络威胁不断增加不足为奇。这种连接性对于商业、通信和日常生活的无数方面越是不可或缺,恶意行为者就越是看到有机会窃取(或劫持)我们当代经济信息命脉,或是以其他方式从这些现代依赖性中恶意获利。但问题已经超出了欺诈和盗窃的“普通”犯罪行为,甚至超出了国家间进行的“传统”网络间谍活动。

新的大国竞争时代涌现提高了网络领域的风险。除了我们已经面临的网络犯罪问题外,我们现在还必须应对来自中国和俄罗斯修正主义势力的新的地缘政治威胁,这些国家利用网络工具窃取技术以增强其军事实力, 准备在危机或冲突情况下对我们的关键基础设施发起毁灭性攻击,开展旨在破坏我们盟友和合作伙伴稳定的破坏性网络攻击,并影响和操纵我们的选举进程。这种威胁转变是一个巨大的挑战,而非威权主义世界对这一挑战做出有效反应还只是处于早期阶段。

CSIS的专家观众在我们面临的三重威胁方面无需启蒙:网络促进的技术转移、对关键基础设施的潜在破坏性或毁灭性网络攻击、网络促进的政治操纵。今天下午我想概述的是我们在应对这些威胁方面所做的工作——至少在我所在的国务院范围内是这样。

然而,在我讲述我们正在采取的各种步骤之前,请允许我简短地说一下,我很高兴我们没有在做什么。

一、网络空间中的“军备控制”

我们没有做的是本能地寻求解决方案,而这些方案无法解决我们在网络空间面临的问题。有效降低网络空间的风险受到了网络领域的几个重要特征的挑战。

  • 首先,恶意网络活动可以在使用武力的法律阈值之上或之下的范围内进行。

  • 其次,即将发生的网络攻击很少提供外部观察,几乎没有战略或战术警告,使确定事件责任和验证是否符合公认行为准则的能力复杂化。

  • 再次,网络行动所涉及的技术,以及它们的普遍性和经常的两用性,更不用说国家和非国家行为者都能拥有这些技术,使得网络空间工具难以界定或控制,同时提出了实现这种控制的努力将对创新和经济发展产生严重影响的可能性。

所有这些都使得有效的“军备控制”, 至少按照传统的设想,在网络空间这样多变、快速发展、高科技的领域中是困难的或不可能的。正如我对外太空高科技领域所指出的那样,如果人们按照传统军备控制试图解决其他危险工具的方式来限制或禁止网络空间的“武器”,几乎不可能提出一个好的定义。

似乎没有办法避免或者破坏性的兼容并收,这样会禁止对和平的民用和科学用途至关重要的技术,或者危险性的包容不足,可能会漏掉所有类别的潜在“武器”,或者事实上两者兼而有之。

此外,即使你能定义问题,也从来没有人能提供一个可以理解的方案来验证禁令。所以就像外太空,网络空间:“是一个技术发展如此迅速、私人和政府行为体交织、‘武器’定义如此模糊的领域,很难看出传统的、基于规则的、具有法律约束力的‘禁止性的’军备控制方法如何发挥作用。”

因此,美国长期以来拒绝努力将传统军备控制措施强加于进攻性网络能力。鉴于俄罗斯和中国在网络空间促进“军备控制”的运动很大程度上不是注重减少涉及技术网络行动的冲突风险,而只是借用军备控制的言论来支持这些专制政权对互联网通信政治内容的压迫性控制合法化运动,这样的立场尤其重要。

因此,在外交上,不做蠢事就是成功的一半。我们继续抵制在网络空间进行堂吉诃德式的“军备控制”努力的诱惑,特别是当这些建议来自独裁政权时,这些独裁政权本身也在从事世界上一些最恶劣的网络行为。

二、责任和约束框架

所以那是我们没有做的事。我们在做什么呢?

美国议程的一项关键政策准则是促进对网络空间中负责任的国家行为的明确理解——吉姆完全明白,感谢(正如我说过的)他对这个领域的杰出贡献。

正如我在别处解释的那样,美国外交人员——十多年以来,实际上跨总统任期——一直与全球的同行们合作,以阐明并促进这种自愿的、不具约束力的准则。

这些关键准则之一是,国际人道主义法、国际人权法,实际上还有《联合国宪章》本身,适用于发生武装冲突时的国家网络空间行为。在美国的领导下,一个由外交官组成的广泛联盟在2013年的网络政府专家小组(Cyber GGE)上就此开展工作,小组一致同意:“国际法,特别是《联合国宪章》,对于维护和平与稳定,促进建立一个开放、安全、和平和可访问的[网络空间]环境是适用的且至关重要的。”后续的政府专家小组于2015年重申了该结论,两份报告都得到了联合国成员国的认可。俄罗斯最近开始试图收回其对这一原则的承诺——我们必须共同谴责和抵制这一点——但美国及其政府专家小组伙伴在阐明这些观点方面所取得的成就是网络外交向前迈出的一大步。

此外,除了阐明国际法的适用性外,联合国网络政府专家小组还阐明了适用于非武装冲突情况下的负责任国家行为的自愿的、不具约束力的准则。例如,2015年政府专家小组共识报告建议,除其他事项外,各国不应“进行或蓄意支持[网络]活动……故意破坏关键基础设施或以其他方式损害向公众提供服务的关键基础设施的使用和运营。”联合国大会一致呼吁所有国家遵守这些准则。

这些原则是自愿的、不具约束力的规范,而不是具有法律约束力的要求。然而,它们是在建立网络领域负责任行为期望方面迈出的重要一步,有助于指导国家行动并鼓励网络行动中的克制和谨慎。

三、网络威慑

这让我想到了我们最近的一些创新。因为对什么是负责任行为的理解对于理解什么是不负责任行为也至关重要,而这反过来也为努力使这种不负责任的行为对其潜在肇事者越来越缺乏吸引力提供了可能性。这是网络空间威慑的新兴的领域。

明确的威慑战略只是美国网络空间政策中相对较新的补充。一段时间以来,美国似乎希望,仅凭其与俄罗斯和中国等恶意网络行为者的真诚接触,就足以说服他们控制其不良行为。就像2013年,奥巴马政府为解决网络空间问题建立了一个新的沟通渠道,该渠道将美国国务院和莫斯科的国防部联系在了一起。

这种直接的、特定领域的渠道确实可以提供一种宝贵的手段,使各方能够就紧急问题进行沟通,从而帮助它们管理危机,防止意外升级。然而,尽管这是向前迈出的重要一步,但这种新联系并非完全正确的答案,因为当时的美国政策似乎忽视了威慑因素。当时的做法似乎是基于这样一种想法,即仅靠沟通就可以应对日益增长的网络空间威胁,就好像克里姆林宫的恶意网络活动只是一种误判或错误,只要我们指明就可以制止。这种“纯粹沟通”的方式因响应莫斯科影响2016年美国大选活动而瓦解,因为俄罗斯有关活动当然不是一种在引起人们注意后可能会得到纠正的误解或错误,而是一种深思熟虑的政策选择。

但我们已经吸取了这段历史的教训,而且我们还更明确地将威慑因素纳入网络空间安全外交。过去几年的经验教训表明,仅仅有一个负责任国家行为框架本身是不够的:违反这种规范还必须承担后果。

该方法基于2018年《美国国家网络战略》,该战略明确指出:

“在美国继续促进就网络空间负责任国家行为达成共识的同时,我们还必须努力确保损害美国及合作伙伴的不负责任行需承担后果…. ….美国将发起一项国际网络威慑倡议,以建立…. ….一个(各国)联盟,并制定有针对性的战略,以确保对手了解其恶意网络行为的后果。美国将与志同道合的国家合作,协调并支持彼此对重大恶意网络事件的响应,包括通过情报共享、支持归因声明、支持已采取响应行动的公开声明,以及联合对恶意行为者施加后果。”

这项工作涉及整个美国机构。例如,根据2018年《国防部网络战略》,武装部队“实施前沿防御,从源头上破坏或制止恶意网络活动…. ….在威胁到达目标前进行制止。”司法部利用自己的权力对付恶意网络行为体,包括今天下午司法部指控六名俄罗斯军事情报官员参与“迄今为止世界上最具破坏力的(计算机)恶意软件”,包括造成乌克兰停电事件,以及释放出极具破坏性的“ “NotPetya” 病毒。

就我们而言,美国国务院在这方面也发挥了主导作用,特别是通过建立前述的网络威慑倡议(CDI)。一方面,我们继续我已经描述过的工作,以促进各方接受和遵守美国制定的网络空间负责任国家行为框架。另一方面,我们在美国政府内部以及与国际伙伴合作以建立共同的能力,以便在我们的对手违反这一框架时能迅速施加后果。与跨部门同事合作,我们制定了政策、流程和响应选项,使我们能够迅速采取行动。我们还与志同道合的国家密切合作,以建立一个组织合作响应重大网络事件的灵活模型。

我所称的“归因外交”,是这项工作的关键部分。过去有人曾假设网络归因或多或少是不可能的,但幸好事实并非如此。当然,这并非易事,但并非不可能,而且我们不仅自身在归因方面做得越来越好,而且还动员合作伙伴谴责恶意网络活动。这是我们网络空间安全外交的重要组成部分。

例如,2019年9月,28个国家加入了“关于推进网络空间负责任国家行为的联合声明”,其中包括承诺“在自愿的基础上共同努力,使国家违反该框架行事时追究其责任。” 2020年2月,有20个国家(以及欧盟整体)共同谴责俄罗斯格鲁乌(GRU)情报机构2019年10月对格鲁吉亚发动的破坏性网络攻击。

此外,在2020年4月,美国和其他几个志同道合的国家发表了共同声明,以回应捷克共和国发出的关于发现针对其卫生部门的即将发生的网络攻击的警报,警告称这种行为将引发后果。这是同道国家首次共同对特定的未来网络攻击发出警告,我们相信我们的警告有效果;尽管潜在的肇事者做了准备工作,但在这种情况下最终没有发生重大的网络攻击。

不仅受到美国强力实施的加强,还受现在欧盟对严重网络案件实施制裁的助益,这种网络空间的安全外交正在帮助增加恶意网络活动肇事者所面临的成本和风险。当然,还有很长的路要走,但我们已经取得了非常重要的进展。

四、组织国务院获得成功

最后,我还要重申,国务院也正在组织自己,以在这一领域取得成功。据我所知,几乎所有人都认为,国务院急需一个专门负责处理网络空间安全和新兴技术(ET)问题的部门。例如,美国人工智能国家安全委员会、网络空间日光室委员会以及世界级智库(例如在CSIS的你们各位)都提出了这样的观点。

当然,国务院认同这一点,这就是为什么国务卿蓬佩奥在2019年通知国会我们打算建立一个新的网络空间安全和新兴技术局(CSET)。

我们创建CSET的举措是基于以下想法:除了需要确保国务院人员配备充足,并为应对网络空间安全外交所面临的挑战做好准备外,我们还需要全职专家专长来应对新兴技术领域快速发展所带来的安全挑战,诸如人工智能和机器学习、量子信息科学、纳米技术、生物科学、高超音速系统、外太空、增材制造和定向能等。

毕竟,2017年《国家安全战略》承认,在新兴技术领域保持竞争优势对国家安全利益和经济增长至关重要。我们的战略竞争对手当然这么认为,他们正以最快的速度在这些领域抢占优势。我们决不能让自己落在后面。

迄今为止,国务院没有一个部门负责确保制定和实施协调的外交响应,以应对网络空间以及当前和未来新兴技术等国家安全方面的问题。因此我们将解决此问题。向负责军备控制和国际安全事务的副国务卿报告,CSET最终将使国务院能够妥善组织应对各种安全挑战。

然而,事实上要做到这一点(不必要地,甚至是令人尴尬地)非常困难。所以,蓬佩奥2019年夏天通知国会我们打算成立该新部门。谢谢仅有两名的国会成员否决,我们“勒停”了新部门的创建,然而在将近一年半之后,CSET仍然不存在。当然,我们的对手肯定对此感到高兴,因为他们对美国的活动并未面临“勒停”,而且事实上他们正在加速。

因此,我希望越过这一跘脚石,因为国务院迫切需要让自已为应对国家在网络空间和新兴技术方面面临的安全挑战做好准备。我们迫切需要重组和资助我们的网络外交人员,但其他国家(包括合作伙伴和对手)都在建立类似机构方面取得进展,而我们却被这两位国会议员拖了后腿。

在国务院内部,我们长期以来在这些问题上做得很好,在多个部门之间协调得很顺利,但我们可以做得更好。有了CSET,我想信我们很快就能如此。

五、结论

所以,我们面临的网络安全威胁的广度和严重性是巨大的,并且还在日益增长。尽管如此,美国政府现在正在做出越来越有效的响应——尤其是,在国务院方面。

这是一个充满挑战的舞台,未来几年将需要大量的努力和关注。但我们现在走在正确的道路上,而且我们正在取得进展。

非常感谢。

声明:本文来自网络空间安全军民融合创新中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 2018288588@qq.com。

参与评论