IIA譯者按 ·  2024.03.26

本文分析了俄羅斯對烏克蘭的網路和資訊戰行為，認為烏克蘭需要認識到網路、資訊活動與物理環境及認知領域的相互依存，並應據此調整防禦策略。 文中指出，非傳統資訊和資產亦須保護，因俄軍可能利用個人資訊執行致命行動。 作者認為，烏克蘭之所以能抵禦俄羅斯的網路攻擊，很大程度歸功於國際夥伴和私人企業的支援。 私人企業介入衝突，提出了法律責任和支持性財務問題，亟需制定相應政策。

俄烏衝突為世界各國敲響了警鐘，網路安全情勢日趨嚴峻。 如何在數位時代捍衛國家主權和公民權益，維護社會安寧穩定，考驗著每個國家的智慧和能力。 本文原載於英國皇家國際事務研究所，囿於篇幅，僅摘譯部分觀點，供讀者參考。

烏克蘭的韌性與抵抗

正如常規軍事行動一樣，烏克蘭對資訊戰和網路攻擊展現出意料之外的適應力，在全面戰爭的早期階段打破了俄羅斯的預期和假設。 在分析2022年俄羅斯發動網路戰爭的早期階段，人們普遍認為烏克蘭會不戰而敗，基礎設施將被俄羅斯當局接管，烏克蘭根本沒有準備好應對衝突。 但是，這種假設與現實相去甚遠，俄軍發現自己在打一場意想不到的戰爭。

軍事特別行動其實並不是從2022年2月24日開始的。 衝突初期前後的活動表明，俄羅斯的網軍和資訊部隊比其裝甲部隊和步兵準備得更充分。 2022年1月和2月，針對烏克蘭破壞性網路攻擊激增，旨在壓制烏克蘭政府和軍隊通訊的攻擊表明，做到這一點需要長期、協調的準備。 俄羅斯為進軍烏克蘭做了資訊準備的直接例子就是——一旦俄軍控制了某個城市或城鎮，就立即鎖定先前確定的個人。 與蘇聯的做法一致，俄軍配備了完整的名單，上面有他們要找的人的姓名、電話號碼和地址。

後來的事實證明，俄羅斯各路部隊發現自己正在打一場出乎意料的戰爭。 這可能導致了隨後幾個月的進一步轉變，俄羅斯網軍轉向了需要較少前期計劃、更容易實施的策略，包括採取分散式拒絕服務（DDoS）攻擊，部署新一代簡單化、模組化的“ 擦除」惡意軟體。

2022年2月24日，人們爭相離開哈爾科夫市

（圖片來源：路透社）

戰爭特征

1. 國家支持

在國家層面，烏克蘭和美國之間有正式的網路安全合作安排，西方政府對網路行動的直接支持也得到證實，儘管其性質仍然不透明。 自2020年以來，美國透過美國國際開發署（USAID）提供的援助一直專注於關鍵基礎設施的網路安全。 一如既往，在沒有詳細內幕消息的情況下，這些計劃的確切範圍和實際效果難以量化，但它們的累積影響被廣泛認為改變了烏克蘭的防禦能力和應對網路攻擊的能力。

2. 私營企業支持

除了在國家層級提供支援外，各種技術公司也在提供同樣廣泛的基本支持，共同服務烏克蘭。 值得注意的援助包括馬斯克的 Starlink 系統提供的備用互聯網接入，以及發電機、燃料和配套設備的國際供應，以維持關鍵基礎設施和通訊在斷電期間的運作。 即使有國際援助的支持，烏克蘭的資訊基礎設施在遭受持續、高強度的破壞性攻擊後仍能夠維持運作，這表明烏克蘭政府和企業在提高網路攻擊防禦和復原能力上投入了大量努力和資源。 私人安保公司的能力是西方國家網路防禦能力不可或缺的一部分。 尤其是關鍵基礎設施的數位安全，在很大一部分委託給了私人企業。 這就留下了一個懸而未決的問題：當需要私人科技公司提供服務時，誰來為其「買單」？ 以及如何確保這些公司站在「正確」的一方而不是中立甚至敵對的一方？

3. 信息阻斷

在2014年至2022年期間，俄羅斯投入了大量資源調查整個西方民用電信基礎設施的脆弱性，其目標是能夠在必要時切斷這一基礎設施，並將目標人群與外部資訊隔離開來。 然而，俄羅斯在切斷烏克蘭的資訊連結性方面並沒有取得決定性的成功。 烏克蘭民眾在戰爭期間基本上能夠存取網路和通訊服務。 烏克蘭政府也始終能透過官方和社群媒體管道與公眾溝通。 儘管遭受猛烈攻擊，但烏克蘭的通訊基礎設施展現了強大的韌性。 同時，衛星互聯網等備援系統的廣泛部署，也大大降低了俄羅斯切斷烏克蘭網路連線的能力。

另一個值得關注的問題是，西方科技公司在支持烏克蘭抵禦俄羅斯網路攻擊方面發揮的關鍵作用。 從提供雲端服務和備用網路接入，到協助檢測和防禦惡意軟體，私人企業為維持烏克蘭的資訊連通性做出了重大貢獻。 這凸顯了私人企業在現代衝突中日益重要的地位，以及各國政府與科技業合作應對網路威脅的必要性。 同時也引發了一系列複雜的法律和政策問題，例如，私人企業在多大程度上可以或應該參與支持交戰國？ 這些問題需要國際社會認真對待並尋求共識。

消息人士稱，SpaceX正在打造一個由數百顆間諜衛星組成的網路。 圖為SpaceX獵鷹9號火箭為美國太空部隊與飛彈防禦局執行USSF-124任務升空（圖源：路透社）

協  調

烏克蘭的經驗表明，國家層級的網路安全需要政府、關鍵產業、科技企業、白帽駭客群體以及國際夥伴的通力合作。 沒有哪一方可以獨善其身，只有形成合力，才能有效應對複雜的網路威脅。 這對其他面臨網路安全挑戰的國家具有重要啟示意義。

不過，烏克蘭的做法也引發一些值得深思的問題。 例如，民間力量深度參與國家網路對抗，是否會模糊戰鬥人員和平民的界線？ 白帽駭客對敵實施網路反擊，是否應受國際人道法約束？ 私人科技公司直接介入軍事衝突，在法律和道德上是否合適？ 對烏援助是否會加劇網路軍備競賽？ 這些問題亟需國際社會審慎對待的。

烏克蘭戰爭是一個轉捩點－預示著網路空間將成為大國博弈的主戰場。 各國必須審時度勢，完善網路安全治理體系，在數位科技快速發展的時代維護國家安全和公民福祉。 這需要政府、產業界、技術社群和全體公民的共同努力。 烏克蘭的經驗教訓，值得所有國家認真汲取。

信息對抗：對人的影響

在討論資訊作戰活動對人的影響時，首先需要考慮資訊本身所具有的破壞力。 在現代戰爭中，訊息往往被視為一種武器，可以用來影響、誤導甚至摧毀目標受眾的認知和行為。 許多軍事理論家認為，在某些情況下，資訊作戰可以實現與物理打擊相當的效果，而成本和風險更低。

不過，資訊戰對平民的影響是深遠的。 假訊息和宣傳在短期內可能被澄清和揭穿，但潛移默化的認知影響卻難以消除。 當假訊息與人們既有的成見和情緒共振時，往往更易被接受並長期留存。 俄羅斯的宣傳善於利用烏克蘭社會的脆弱點，例如煽動東西部地區矛盾，加劇族裔和語言紛爭等。 客觀地說，俄烏衝突已經嚴重撕裂了烏克蘭社會，種下了仇恨和不信任的種子。 即便戰事最終平息，這些創傷也難以彌合。

綜上，烏克蘭戰爭凸顯了資訊空間已成為現代戰爭的主戰場，資訊武器對平民的殺傷力絲毫不亞於實體武器。

德國防長皮斯托里烏斯3月3日首次就德國軍方內部遭到竊聽的事件做出回應，稱這是俄羅斯發動的資訊戰，試圖分裂德國等烏克蘭盟友（法新社）

經驗教訓

俄烏戰爭在網路空間的對抗及其影響，為我們帶來了許多值得反思和借鏡的經驗教訓。 以下是一些關鍵啟示：

1. 網路空間已成為現代戰爭不可或缺的戰場維度。資訊和網路技術不僅是作戰支撐手段，本身也具備直接殺傷力。 各國應將網路安全視為國家安全的頭等大事，大力發展網路防禦和進攻能力。

2. 關鍵基礎設施和資訊系統的網路防護至關重要。政府、軍隊、關鍵產業主管機關應制定完善的網路安全政策和標準，定期進行風險評估、滲透測試和攻防演練，以提高系統韌性。 同時，應儲備必要的備援和緊急措施，確保關鍵功能在網路攻擊下仍能維持運作。

3. 公私合作對國家層級的網路安全至關重要。政府應建立必要機制，推動關鍵產業、科技企業參與國家網路安全治理。 私人企業擁有領先的技術、情報和人才資源，應成為國家網路防禦和威懾能力的重要組成部分。 雙方應建立順暢的溝通協調和互信機制。

4. 打擊網路犯罪需要國際合作。許多針對關鍵基礎設施的網路攻擊是跨國界的，溯源和追責面臨諸多挑戰。 各國應在聯合國等多邊框架下加強執法合作，共同打擊網路犯罪。 對於武裝衝突中的網路攻擊行為，國際社會應明確界定紅線，並改善相關國際法。

5. 網路安全人才培養刻不容緩。目前，各國都面臨不同程度的網路安全人才缺口。 政府和教育界應大力投資網路安全相關教育，透過正規教育和職業培訓等多種管道，培養更多的合格人才。 網路安全也應納入國民教育，提高全社會的網路安全意識和素養。

6. 媒體應提升專業素養，社群平台應負更多責任。媒體和社群平台在現代戰爭中扮演日益重要的角色，對民眾認知和社會穩定性影響巨大。 媒體應秉持客觀公正立場，提升對假訊息的甄別能力。 平台應加強內容審核，遏制假訊息傳播，並提供受害者申訴和補救管道。

7. 軍民融合發展是大勢所趨。在資訊化戰爭中，軍隊與科技業、駭客社群的界線日益模糊。 各國應審慎探索軍民融合的製度安排，在發揮民間力量優勢的同時，防範可能的法律和道德風險。 民間參與者的戰時行為應受相關國際法約束。

8. 國際人道法應與時俱進。網路戰對平民的影響是深遠的。 關鍵民用基礎設施、個人隱私資料等應明確納入《日內瓦公約》等國際人道法的保護範疇。 對於侵犯平民網路權益、危害人類尊嚴的行為，國際社會應予以譴責和製裁。

9. 建構網路空間命運共同體刻不容緩。網路空間是人類共同的新疆域。 網路安全威脅不分國界，沒有哪個國家可以獨善其身。 國際社會應摒棄零和博弈思維，加強對話合作，攜手應對共同挑戰。 要堅持以「和平利用、開放包容、互利共贏」為宗旨，推動網路空間全球治理變革，建構網路空間命運共同體。

政策建議

基於上述分析，本報告提出以下政策建議，供各國政府、國際組織和其他利害關係人參考:

1. 將網路安全納入國家安全戰略的核心議程。制定國家網路安全戰略，明確發展目標、原則和優先方向。 定期評估網路安全情勢，優化資源配置，加強關鍵基礎設施防護。

2. 完善網路安全法規體系。制定專門的網路安全法，明確各方責任義務。 推出關鍵資訊基礎設施保護、資料安全、關鍵設備和服務安全審查等配套法規。 加強執法司法力度，嚇阻違法犯罪行為。

3. 建立國家網路安全綜合協調機制。成立國家網路安全委員會，統籌協調相關部會、軍隊、關鍵產業、地方政府等的網路安全工作。 建立多部門參與的威脅資訊共享、緊急指揮和聯合演練機制。

4. 加強關鍵資訊基礎設施保護。制定關鍵資訊基礎設施保護條例，明確保護對象、責任主體和管理要求。 定期進行風險評估和安全檢查，提升安全防護和緊急應變能力。 加強工控系統、5G等新興領域安全。

5. 規範關鍵設備和服務採購。建立關鍵網路設備和服務安全審查機制，對安全性、可控性提出明確要求。 對來自「不可信國家」的產品和服務實施禁止或限制措施。 支持本土產業發展，確保供應鏈安全。

6. 加強資料安全和個人資訊保護。制定資料安全法和個人資訊保護法，規範資料收集、傳輸、儲存、使用等環節的安全管理。 加強對政府和企業資料活動的監管，防範資料濫用和外洩。

7. 大力培養網路安全人才。制定網路安全人才發展規劃，改革網路安全教育與職業培訓體系。 加大大學相關學科建設力度，辦好一批網路安全學院。 完善人才引進、使用、激勵政策，為人才成長創造良好環境。

8. 促進網路安全產業發展。研究制定網路安全產業發展政策，在金融、財稅、人才等方面給予支持。 鼓勵企業加大研發投入，突破核心技術。 培育一批具有國際競爭力的龍頭企業，打造完整產業生態。

9. 加強網路安全國際合作。深度參與聯合國、二十國集團、上海合作組織、金磚國家等框架下的網路安全對話合作。 推動建構多邊、民主、透明的網路空間全球治理體系。 積極進行網路安全法律、技術、執法等領域務實合作。

10. 增進國際人道法發展。倡議將公共服務、關鍵基礎設施和個人資料等納入武裝衝突法保護範疇。 推動制定網路戰的國際規則，明確界定國家責任。 呼籲各國克制使用網路武器，不以平民為攻擊目標。

本文作者

基爾•賈爾斯（Keir Giles）：英國皇家研究院（Chatham House）俄羅斯和歐亞計畫的高級諮詢研究員。

*免責聲明：本文所闡述觀點僅代表作者本人立場，不代表大灣區評論或IIA機構立場。

*本文原載於2023年12月14日英國皇家國際事務研究院（Chatham House），原題為Russian cyber and information warfare in practice，編譯者黃紫藍、周嘉穎。

*原創聲明：本文版權歸微信訂閱號碼「大灣區評論」所有，未經允許任何單位或個人不得轉載、複製或以任何其他方式使用本文部分或全部內容，侵權必定。 公眾號授權事宜請直接於文章下方留言，其他授權事宜請聯絡IIA-paper@cuhk.edu.cn。

GBA Review 新傳媒