3月23日,美国司法部开始了可能是迄今为止最大的一次针对国家支持的网络攻击的起诉。他们起诉9位伊朗人执行了:
“一次协同的网络入侵行动,入侵了美国境内144所大学、美国以外21个不同国家的176所大学、47家国内外私营企业…以及联合国…的电脑系统”
据说至少有31.5太字节的数据被盗,澳大利亚的大学也是目标,尽管具体的机构名称未被提及。
历史表明,起诉未必能阻止未来的网络攻击,反击才是一种更有效的策略。但反击合法吗?现有的国际法主要讨论的是武装攻击,而没有将网络攻击作为国家自卫的正当理由。
随着网络攻击越来越普遍,国际法需要清理这个灰色地带。
他们是如何做到的?政府又采取了什么行动?
诉状中称被告人Gholamreza Rafatnejad和Ehsan Mohammadi是Mabna研究所的创始人,该机构建立是为了从事科学间谍活动。Mabna被指与伊朗政府机构(包括伊斯兰革命卫队)签订了合约,并代表这些机构执行黑客活动。
声明称,这些被告攻击了数千名教授的电脑账号,窃取研究数据和知识产权,使美国损失了约34亿美金。他们进行了监视,并向教授发送钓鱼邮件来引诱他们提供电脑系统的访问权限。
根据诉状内容,有价值的数据从被攻击的IT系统转移到了黑客处。似乎有超过10万名教授被当作目标,约8000个电子邮件账号受到了牵连。
美国司法部门表示,私营企业也被盯上了——这其中没有澳大利亚的公司——通过一种称为“密码扫射(password spraying)”的方式。攻击者通过公共搜索引擎获得目标的邮箱账号,并用一些常见的或是默认的密码尝试进入账号。
起诉的作用有限
被告被指控的罪名包括与电脑有关的诈骗及相关活动(fraud and related activity in connection with computers),共谋罪(conspiracy),电信诈骗(wire fraud),非法访问电脑(unauthorised access of a computer)和盗用身份(identity theft)。各项指控将被判2年到20年不等的徒刑。
起诉是对于网络攻击来说是必要的,但其作用有限。
由于被告身处伊朗,因此他们不太可能受到制裁。在此之前,美国检察官曾起诉伊朗黑客攻击纽约的金融机构和大坝的控制系统,但是未能有结果。
黑客活动却升级了——美国指控俄罗斯危害美国电网,且涉嫌攻击其他国家。
反击是更好的威慑手段
像伊朗、俄罗斯和朝鲜这种不怎么遵守国际社会秩序的国家,只有在他们的目标有强大的自卫能力和反击能力的情况下,才可能会停止网络攻击。然而,国际法尚未明确网络攻击的合法性和回应的适当方式。
在联合国宪章下,国家有义务避免 “威胁或使用武力侵犯任何国家的领土完整或政治独立”。重要的是,国家“受武力攻击时拥有个人或集体自卫的固有权利”。
关键的问题变成了网络攻击能否当做 “使用武力”,由某个国家造成的黑客攻击能否等同于“武装攻击”,而网络攻击是否侵犯了“领土完整”。传统上,国际法会根据针对暴力行为的法案——也就是针对传统的军事打击的法案——来回答这些问题。
对一个国家领土产生物理后果的大规模的网络攻击,很可能被认为是“使用武力”,且根据宪章可能会侵犯“领土完整”。例如,把自动驾驶汽车转变为武器、攻击核电站或是让电网陷入瘫痪之中,这些事件有可能归为“使用武力”。
但如果攻击的目的是散播疑虑或是制造内部混乱呢?比如俄罗斯通过网络扰乱美国大选?或是不针对某一特定国家的攻击?这是一个更难以回答的问题,且现在没有得到解决。同样的,我们还不确定一次大型的黑客攻击能不能上升到“武力袭击”的高度?
国际法的判决先例
在1984年,尼加拉瓜起诉美国支持了尼加拉瓜反抗军(Contras,反政府革命军)。在那个事件中,联合国国际法院(International Court of Justice ,ICJ)认为武装袭击也可以包括:
“一个国家向另一个国家领土上派遣的武装力量,如果其被正规武装部队操纵,那么视其规模和影响,可能会被归为武装袭击。”
重要的是,ICJ强调了不干预的原则:
“干预是不正当的…不管是利用强迫的、尤其是武装的力量是在他国境内直接地进行军事行动,还是非直接地支持颠覆活动。”
以尼加拉瓜的例子作为参考,如果一场网络攻击具有足够的“规模和影响”,它也可以被归为武装袭击。更重要的是,如果这场攻击可以归因于一个国家(在这个事件中是伊斯兰革命卫队)——或者完全在一个国家的掌控中,或是受到了一个国家足够的影响——那么这样的武装袭击可以产生自卫的权利。
然而,在实践上,这种关系很难建立——可能没有足够的证据来证明黑客受到了某个国家的控制,因此很难将黑客活动归到某个国家身上。
所以,国际法允许的自卫措施又是如何的呢?如果伊朗或是俄罗斯被发现操控了这些网络攻击事件,美国能不能发动军事袭击呢?即使美国这样指控,反击的合法性仍不明确。
在针对自卫的广泛解读触发战争之前,国际组织应在这个问题上设立明确的界限。
北约(NATO)网络合作防御卓越中心(Cooperative Cyber Defence Centre of Excellence,CCDCOE)的《塔林手册2.0》(Tallinn Manual,全称《网络战适用于国际法塔林手册》)就是一个开头,但我们还需要一个更有约束力的工具。美国总统唐纳德·特朗普任命John Bolton为美国国家安全顾问,这让讨论变得更为紧要,因为下一次严重的网络袭击可能会真的遭到军事袭击的回应。
关于作者:
Sandeep Gopalan 澳大利亚迪肯大学(Deakin University)前副校长(学术创新)&法学教授
(翻译:戴晨;审校:王艺静)
京公网安备11010502039775号
