冲突会否失控,取决于各方对敌对状态衡量尺度进行理解和交流的能力。不幸的是,在网络冲突方面,人们对这一尺度或其与传统军事手段的对应关系尚无共识。一方认为业已获得同意的游戏或战斗或许在另一方眼中并非如此。
十年前,美国用网络手段代替炸弹摧毁了伊朗的核浓缩设施。伊朗也以网络攻击作为回应,该攻击摧毁了沙特阿美公司3万台计算机,并对多家美国银行的系统实施了骚扰。今年夏天,在特朗普政府实施严厉制裁后,伊朗击落了一架美国无人驾驶监视飞行器。整个过程并未造成任何人员伤亡。
特朗普最初计划回敬一场导弹打击,但在最后一刻取消了计划转而进行网络攻击,最终摧毁了伊朗军方用来瞄准油轮的关键数据库。随后伊朗使用无人机和巡航导弹对沙特的两个主要石油设施实施了一场精确打击。尽管仅有少量人员伤亡,但此次袭击却展现了这类行动大大增加的成本和风险。
而上述这种感知和控制手段逐渐升级的问题其实并不新鲜。1914年8月,几个欧洲大国都预料将爆发一场短暂且直指要害的“第三次巴尔干战争”。但在6月奥地利大公爵被刺之后,奥匈帝国想狠狠教训一下塞尔维亚,德国则表态会无限支持自己的奥地利盟友,也没想到奥匈帝国会碰钉子。但当德皇威廉二世7月底度假回来发现盟友已陷入如此境地时,他尝试将事态降级的努力为时已晚。尽管如此,他还是希望能获胜并且差点就成功了。
如果威廉二世、俄国沙皇尼古拉二世和奥匈帝国皇帝弗兰茨·约瑟夫一世在1914年8月就能预见四年多之后他们都将丢掉王位,并眼睁睁地看着自己的领土被肢解,他们肯定不会参战。自1945年以来核武器一直扮演着水晶球的角色,让领导人可以从中瞥见一场大战所隐含的灾难。1962年古巴导弹危机让各方领导人都理解到了事态降级、军备控制沟通以及实现冲突管理规则的重要性。
当然,网络技术缺乏类似核武器那样的明确毁灭性影响,而且由于缺乏水晶球那样的确定性预期,因此产生了一系列不同的问题。在冷战期间两个大国都避免了直接交战,但网络冲突并非如此。所谓网络珍珠港事件的威胁却被夸大了,因为大多数网络冲突都发生在武装冲突规则所规定的阈值之下。它们能造成经济和政治效应,却不会杀伤人命。
根据美国的原则,威慑不仅限于网络上的应对措施。美国有权选择任何武器去应对针对任何领域或部门的网络攻击,并对对方造成与己方损失相应的破坏,而武器的选择范围从指名和羞辱到经济制裁再到动能武器。
针对网络军备控制条约的谈判是有问题的,但这并非要把外交手段排除在外。在网络领域,武器和非武器之间的差异可能只是一行代码,或者同一程序可被用于合法或恶意目的,具体取决于用户的意图。但如果这会使传统的军备控制条约无法产生效果,那么仍有可能对某些类型的民用目标(而不是武器)设限,并谈判出通向限制冲突之路的大概规则。
无论如何,网络空间的战略稳定性将难以维持。由于此间的技术创新要比核领域更快,因此网络战争的特征就是各方对自身遭到突袭的恐慌都将不断加剧。但随着时间流逝,更好的归因取证可能会增强惩罚的作用。通过加密或机器学习获得更好的防御,可能会增加预防和拒绝的作用。
此外,随着各国和各组织机构逐渐了解网络攻击的局限性和不确定性,以及各方在互联网上的复杂联系对自身经济利益的日益重要性,关于网络战争效用的成本-效益考量可能会发生变化。然而在这一点上,威慑、冲突管理和网络领域事态降级的关键在于,认识到我们所有人都还有很多东西要学,并要扩展与对手之间的沟通手段。
(Copyright: Project Syndicate, 2019;作者为哈佛大学教授;编辑:许瑶)