2021 年 6 月,在拜登-普京峰会期间,拜登总统表示,关键基础设施应“禁止”网络攻击,并提交了一份 16 个关键基础设施领域的清单,这些领域在任何情况下都不应成为网络攻击的目标。这是在 SolarWinds 网络攻击之后发生的,SolarWinds 副总裁称这次攻击是“你最可怕的噩梦”。此次攻击之后,美国实施了严厉的单边制裁——确切地说,是对俄罗斯实施主权债务制裁,以及针对六家俄罗斯科技公司实施制裁,原因是它们支持俄罗斯情报局的网络计划。
此次攻击以及 NotPetya 或 WannaCry 等许多其他攻击都表明了国际法目前存在的问题:缺乏规范网络空间行为的约束性规范。因此,各国在应对和防止网络恶意行为方面只剩下少数选择。在可用的替代方案中,单边网络制裁正在获得发展势头。美国、欧盟和英国已经引入了相关的制裁框架。2021 年 12 月 2 日,澳大利亚议会通过了《2021 年自主制裁修正案(马格尼茨基式和其他专题制裁)法案》,该法案允许对重大恶意网络活动实施制裁。
本文简要探讨了在网络攻击发生率和严重程度不断上升、国际社会对恶意网络行为监管力度不足的背景下,单边网络制裁的使用情况、其合法性和潜在的规范价值。
网络攻击的发生率和严重程度不断上升
2020 年 12 月下旬,灾难性的 SolarWinds 网络攻击(被称为“大规模网络间 冰岛 WhatsApp 号码 谍活动”)被爆出。简而言之,德克萨斯州公司 SolarWinds 提供的流行网络管理软件程序 Orion 遭到黑客攻击,恶意代码被安装在其例行软件更新中。随后,该公司数千名客户毫不犹豫地运行了该更新。此次攻击不仅危及私营公司,还危及美国联邦机构,包括司法部和财政部。这不仅暴露了美国主要信息技术公司的网络安全漏洞,还暴露了某些美国政府机构的网络安全漏洞。黑客得以监视它们数月之久。SolarWinds 网络攻击最令人担忧的地方在于“不仅能够窃取数据,还能更改或销毁数据”。
据估计,这次袭击“很可能是俄罗斯发起的”,由 1000 多名专业工程师实施。俄罗斯否认对这次袭击负有任何责任。
任何网络攻击的归因不仅在技术上很麻烦,而且在政治和法律上也很困难。它也很耗时。在这方面,网络安全专家罗伯特·克纳克 (Robert Knake) 指出:“将网络攻击的责任归咎于特定组织或国家,更多的是一门艺术,而不是一门科学”。
除 SolarWinds 之外,过去几年中发生的其他值得注意的网络攻击包括 2017 年的 WannaCry 和 NotPetya 攻击以及 2015 年对乌克兰电网的攻击。WannaCry 网络攻击通过使用病毒和勒索软件进行,它会加密计算机上的数据并要求付款才能恢复访问权限。它是世界上已知的第一个“勒索蠕虫”,改变了勒索软件攻击的历史。NotPetya 攻击与其他已知的勒索软件攻击不同:这种从乌克兰传播的恶意软件要求付款以恢复对用户文件的访问权限,它“故意设计为破坏 IT 系统而不是勒索钱财”。对乌克兰电网的攻击是首次确认的导致电网瘫痪的攻击。它影响了超过 230,000 名居民,并导致控制中心数月无法完全运行。值得注意的是,乌克兰长期深陷网络战,甚至有人认为乌克兰已成为“俄罗斯网络武器的试验台”。