反制網攻的國際法理意涵
2020.09.11
瀏覽數
156
壹、新聞重點
根據伊朗《努爾新聞》(Nournews)的報導,伊朗武裝部隊總參謀部於2020年8月17日發布關於國際法適用於網路空間之宣言,聲稱國際法之國家主權平等與禁止使用武力均適用於網路空間,國家主權也延伸至網路空間,將對任何造成危害網路空間與國家內部穩定之網路威脅施以嚴厲反制;當網路攻擊基礎設施造成相當於傳統武裝攻擊之損害之際,伊朗保有行使自衛權之權利。[1]由於伊朗以國家力量支持進階持續性威脅(Advanced Persistent Threat, APT)而惡名昭彰,卻在2019年美國宣示將對網路攻擊施以報復之後跟進,國家公開宣示反制網路攻擊之舉再次引人側目。伊朗一方面與中共、俄羅斯一樣強調網路主權與網路管制俾利內部維穩;另一方面,伊朗的宣示與北約的《塔林手冊》(Tallinn Manual)一樣,高舉國際法大旗,讓反制網路攻擊的自衛權的界定,有了另一個受國家承認的前例。鑒於網路攻擊是否構成戰爭之認定仍待釐清,實有必要檢視網路攻擊與其反制之國際法理議題。
貳、安全意涵
一、網攻難於網路空間溯源究責以遂行嚇阻
國際法認定國家一旦遭受武裝攻擊,得行使自衛權遂行反制。鑒於網路攻擊並未構成如同一般武裝攻擊之傷亡與損害,國際法理對於其是否構成武裝攻擊的要件,迄今仍充滿爭議,網路攻擊也因其未達戰爭門檻而成為名符其實的灰色地帶衝突。網路攻擊迄今尚為國際法化外之地,世人常舉《塔林手冊》為例,然而其僅為北約組織之規範,效力等同於前文所提之美國、伊朗所做相關宣示,均未達國際法之效力。
網路攻擊之灰色地帶特性,也讓用於降低武裝衝突可能性的嚇阻手段失效。國家若能確定攻擊來源並遂行反擊,且其反擊迅速而有力,將可因此獲得相當之嚇阻效力。但由於網路攻擊難以明確辨識並確認攻擊來源,一般藉由IP位址溯源,則難以排除僅為跳板之嫌,故即使一國關鍵基礎設施遭受網路攻擊而導致相當於實體武裝攻擊所致之傷亡或損失,並欲據此發動自衛權反制之際,若循網路空間溯源,卻可能陷入拔劍四顧茫然、亦即缺乏明確、具正當性之反擊對象的窘境,這很可能讓嚇阻失去效力。
二、長臂管轄與經濟制裁反制網攻意在發揮嚇阻力
國家支持之網路駭客團體與影響力作戰團隊之崛起,意圖對他國形成不對稱作戰優勢的同時,網路攻擊之難以溯源歸咎(attribution)特質,造成遭受網攻國家無國際法理基礎以認定遭受武力攻擊、並據以遂行武力反制。面對此一境況,具備優越網路攻擊能力的國家,便可能針對嫌疑對象訴諸網路反擊予以懲罰制裁。但同樣基於難以溯源歸咎特性,遭受所謂網路「反擊」的國家,也無從主張遭受特定對象之網路攻擊。
如此一來,將使發動懲罰制裁的國家徒具反制網路攻擊能力,卻仍無從形成嚇阻網路攻擊之明確效力。補救之道,就是由具備可信(credible)反制網路攻擊能力的國家,例如美國與伊朗,藉由宣示其網路戰略或交戰規定,警告意圖進犯網路空間的潛在敵手。這種在灰色地帶畫上紅線的作法,如缺乏迅速有力且持續精準的反制作為,反倒容易成為敵方不斷挑釁與模糊紅線的把柄。因此,膽敢公開宣示進行反制網路攻擊的國家,理應具備不畏遭受挑戰的網路反擊實力、或令人耳聞為之膽怯的實際反制前例。
美國的進一步補救作法,便是藉由網路空間以外的衛星偵照與人員情報手段,在明確辨識目標並鑑識蒐證齊備後,由國內反情報暨司法部門(諸如聯邦調查局或司法部)公告並以國內法起訴網路攻擊駭客。起訴的作用在於長臂管轄效力可及於與美國簽署引渡條例之友盟,待被起訴對象過境之際,將其逮捕遣送美國受審,令其寒蟬而不敢出境,以達到嚇阻效力。美國也會藉對網路攻擊來源國施以經濟制裁,進一步擴大嚇阻戰果。另一方面,對於蒐證未齊備而不足以呈上法庭起訴之對象,美國也可能直接對網攻駭客以網路郵件遞送警告函,並將此事昭告天下,以明示已掌握該對象真實身分與通訊往來管道,對該對象及其隸屬組織、國家達到另類嚇阻效力。
參、趨勢研判
一、網路灰色地帶衝突仍難寄望國際法有效規範
對於未來發生類似突襲珍珠港式的災難性網路攻擊,網路安全領域的產官學界咸認機會不大。[2]因此,因網路攻擊而造成相當於實體空間武力攻擊所導致之傷亡與毀損、進而構成武裝衝突,並據以行使自衛權的立論基礎,短期內難以獲得大幅度加強,故在國際法理上仍難以成立。這也將導致網路攻擊這類新型態「戰爭」勢將持續處於難以應處的灰色地帶,也將讓各方難以寄望國際法有所突破而對其有效規範。
二、擬定網戰接戰規定漸成共識
以國際法規範反制網路攻擊陷入膠著之際,《塔林手冊》仍持續精進中,由一開始美國片面主導色彩濃厚而遭致反彈,迄今因各方的參與而逐漸融合多元的觀點。另一方面,為充分授權、保障與規範網路作戰執行人員在這類隱匿灰色地帶衝突中的作業操作,制定有限度公開的交戰規定(rules of engagement, ROE)逐漸成為美國及其友盟的共通作業準則。目前美、日、韓均稱制定頒布網路交戰規定;美軍也公開宣示,對美國之安全盟友的網路攻擊,將遭受美軍以符合比例原則之報復反擊。[3]
[1] “General Staff of Iranian Armed Forces Warns of Tough Reaction to Any Cyber Threat,” Nournews, August 18, 2020, https://nournews.ir/En/News/53144/General-Staff-of-Iranian-Armed-Forces-Warns-of-Tough-Reaction-to-Any-Cyber-Threat.
[2] James Lewis, “Dismissing Cyber Catastrophe,” CSIS Commentary, August 17, 2020, https://www.csis.org/analysis/dismissing-cyber-catastrophe.
[3] 南韓部分請見:Amy Min-Jung Paik, “Countermeasures in Cyberspace,” Korea Joong Ang Daily, June 18, 2020, https://koreajoongangdaily.joins.com/2020/06/18/opinion/columns/Cyber/20200618195700290.html;日本與美日部分,請見:Taketsugu Sato, Takateru Doi and Kenji Minemura, “SDF booting up capabilities to defend against cyberattacks,” The Asahi Shimbun, June 14, 2020, http://www.asahi.com/sp/ajw/articles/13429347。