Chưa có kịch bản thảm khốc nào như thế xảy ra cả, nhưng chắc chắn là không thể loại bỏ được những kịch bản như thế. Năm ngoái tin tặc đã đủ sức phá hủy một lò cao ở một nhà máy luyện thép của Đức. Vì vậy, câu hỏi về an ninh là rõ ràng: Có thể ngăn chặn những hành động phá hoại như vậy hay không?
Đôi khi người ta nói rằng trên không gian mạng ngăn chặn không phải là chiến lược hiệu quả vì khó tìm được nguồn gốc của cuộc tấn công và vì có quá nhiều tác nhân, cả khu vực nhà nước lẫn ngoài nhà nước, dính líu vào. Chúng ta thường không biết chắc có thể để tài sản của ai phải chịu rủi ro và trong bao lâu.
Tìm nguồn gốc là vấn đề nghiêm trọng. Làm sao trả đũa nếu không có địa chỉ phản hồi? Địa chỉ khu vực có vũ khí hạt nhân không phải là hoàn hảo, nhưng chỉ có 9 nước có vũ khí hạt nhân; thiết bị xác định các đồng vị hạt nhân của họ tương đối rõ; còn các tổ chức phi nhà nước thì khó thâm nhập vào được.
Nhưng trên không gian mạng thì không như thế, ở đây vũ khí có thể chỉ là vài dòng mã, có thể được những tác nhân trong hoặc ngoài nhà nước phát minh ra hoặc mua trên cái gọi là những trang web đen. Một kẻ tấn công có trình độ có thể dấu điểm xuất phát đằng sau những lá cờ giả mạo của một số máy chủ nằm ở xa.
Các chuyên gia có thể xử lý nhiều “bước nhảy” giữa các máy chủ, nhưng việc này thường mất rất nhiều thời gian. Ví dụ, cuộc tấn công năm 2014, 76 triệu địa chỉ khách hàng của JPMorgan Chase đã bị đánh cắp và nhiều cho rằng Nga là thủ phạm. Nhưng năm 2015 Bộ Tư pháp Mỹ đã tìm được thủ phạm, đấy là một băng đảng tội phạm phức tạp do hai người Israel và một Mỹ, đang sống ở Moscow và Tel Aviv cầm đầu.
Nhưng, tìm nguồn gốc còn là vấn đề về mức độ phức tạp. Mặc dù những lá cờ giả mạo có thể là nguy cơ và khó tìm ra một cách nhanh chóng địa chỉ một cách chính xác, có thể sử dụng trong quá trình xử án, nhưng vẫn có đủ bằng chứng để có thể ngăn chặn.
Ví dụ, cuộc tấn công hãng phim Sony (SONY Pictures) năm 2014, ban đầu Mỹ cố gắng không tiết lộ đầy đủ thông tin về những phương tiện mà họ gán cuộc tấn công cho Bắc Triều Tiên, và kết quả là làm cho nhiều người hoài nghi. Vài tuần sau, thông tin rò rỉ cho báo chí chứng tỏ Mỹ có thể tiếp cận mạng của Bắc Triều Tiên. Thái độ hoài nghi giảm đi, nhưng giá phải trả là nguồn tin tình báo nhậy cảm đã bị tiết lộ.
Phát hiện nguồn gốc một cách chính xác và nhanh chóng thường là khó và tốn kém, nhưng không phải là bất khả thi. Không chỉ các chính phủ tìm cách cải thiện khả năng và nhiều công ty tư nhân cũng đang bước vào cuộc chơi, và sự tham gia của họ làm giảm chi phí cho các chính phủ khi buộc phải tiết lộ những nguồn tình báo nhạy cảm. Nhiều tình huống là vấn đề mức độ phức tạp và khi công nghệ cải thiện được độ chính xác trong việc xác định nguồn gốc thì sức răn đe có thể tăng.
Hơn nữa, các nhà phân tích không nên tự giới hạn vào những công cụ trừng phạt và tránh xâm nhập cổ điển khi họ đánh giá về ngăn chặn trên không gian mạng. Cũng cần chú ý tới răn đe bằng những mối liên kết đan xem về kinh tế và luật lệ.
Liên kết đan xen về kinh tế có thể làm thay đổi tính toán về chi phí-lợi ích của quốc gia lớn như Trung Quốc; tác động ngược của cuộc tấn công, ví dụ, vào mạng điện của Mỹ có thể làm cho nền kinh tế Trung Quốc bị thiệt hại. Liên kết đan xen về kinh tế có lẽ ít có tác dụng đối với những nước như Bắc Triều Tiên, ít gắn bó với nền kinh tế thế giới. Không rõ là liên kết đan xen về kinh tế có ảnh hưởng như thế nào đối với những tác nhân nằm bên ngoài nhà nước. Một số, như những loại ký sinh trùng, sẽ bị đau khổ nếu chúng giết vật chủ, nhưng một số khác có thể không bị ảnh hưởng.
Về mặt luật lệ, các nước lớn đã đồng ý rằng chiến tranh không gian mạng sẽ bị điều tiết bởi luật pháp về xung đột vũ trang, tức là có sự phân biệt giữa mục tiêu quân sự và dân sự và tương xứng về hậu quả. Tháng 7 năm ngoái, nhóm chuyên gia của các chính phủ thuộc Liên Hiệp Quốc đề nghị không tiến hành tấn công trên không gian mạng vào các mục tiêu dân sự và tháng trước, luật này đã được thông qua tại hội nghị thượng đỉnh G-20.
Đã có ý kiến cho rằng một trong những lý do làm cho vũ khí trên không gian mạng không được sử dụng nhiều trong chiến tranh chính vì người ta chưa biết chắc tác động đối với các mục tiêu dân sự và chưa dự đoán được hậu quả. Những luật lệ như thế có thể đã ngăn chặn, không cho Mỹ sử dụng vũ khí trên không gian mạng nhằm chống lại hệ thống phòng không của Iraq và Libya. Và việc Nga sử dụng các công cụ trong cuộc chiến tranh ở Gruzia và Ukraine cũng tương đối hạn chế.
Mối quan hệ giữa các biến số trong việc ngăn chặn chiến tranh trên không gian mạng luôn luôn thay đổi, bị tác động bởi công nghệ và quá trình học tập, với những cách tân diễn ra tốc độ nhanh hơn là cách tân trong lĩnh vực vũ khí hạt nhân. Ví dụ, việc tìm kiếm chính xác hơn nguồn gốc có thể làm gia tăng vai trò của trừng phạt; và những biện pháp phòng thủ tốt thông qua mã hóa có thể làm cho hiệu quả ngăn chặn gia tăng bằng cách không để tác nhân bên ngoài xâm nhập vào mạng. Kết quả là, cùng với thời gian, lợi thế mà bên tấn công hiện có trước bên phòng thủ có thể thay đổi.
Học tập về không gian ảo cũng rất quan trọng. Khi các nước và các tổ chức hiểu rõ hơn về tầm quan trọng của mạng Internet đối với lợi ích kinh tế của họ thì những tính toán chi phí-lợi ích của các phương tiện chiến tranh trên không gian mạng có thể thay đổi, cũng như việc học tập đã làm thay đổi nhận thức về giá phải trả của chiến tranh hạt nhân.
Khác với thời đại nguyên tử, khi nói đến việc ngăn chặn trong thời đại không gian mạng, không thể có giải pháp chung cho tất cả mọi người và mọi trường hợp. Hay chúng ta là tù binh của bức tranh quá đơn giản đã thuộc về quá khứ? Nói cho cùng, khi sự trừng phạt bằng vũ khí hạt nhân tỏ ra quá khủng khiếp, Mỹ đã áp dụng phản ứng linh hoạt thông thường nhằm ngăn chặn cuộc xâm lược của Liên Xô vào Tây Âu. Và trong khi Mỹ không bao giờ đồng ý với luật lệ chính thức “không phải là người đầu tiên sử dụng vũ khí hạt nhân”, cuối cùng luật cấm này đã được áp dụng, chí ít là trong số những nước lớn. Ngăn chặn trong thời đại mạng có thể không phải là cái mà người ta vẫn nghĩ, nhưng có lẽ nó cũng không bao giờ được sử dụng.
Joseph Nye
Phạm Nguyên Trường chuyển ngữ
______
Joseph S. Nye, Jr., cựu trợ lý Bộ trưởng Quốc phòng và Chủ tịch Hội đồng Tình báo Quốc gia Mỹ, giáo sư Đại học Harvard. Ông cũng là tác giả cuốn “Thế kỷ Mỹ đã chấm dứt?” (Is American Century Over?)
Can Cyber Warfare Be Deterred?
CAMBRIDGE – Fear of a “cyber Pearl Harbor” first appeared in the 1990s, and for the past two decades, policymakers have worried that hackers could blow up oil pipelines, contaminate the water supply, open floodgates and send airplanes on collision courses by hacking air traffic control systems. In 2012, then-US Secretary of Defense Leon Panetta warned that hackers could “shut down the power grid across large parts of the country.”
None of these catastrophic scenarios has occurred, but they certainly cannot be ruled out. At a more modest level, hackers were able to destroy a blast furnace at a German steel mill last year. So the security question is straightforward: Can such destructive actions be deterred?
It is sometimes said that deterrence is not an effective strategy in cyberspace, because of the difficulties in attributing the source of an attack and because of the large and diverse number of state and non-state actors involved. We are often not sure whose assets we can hold at risk and for how long.
Attribution is, indeed, a serious problem. How can you retaliate when there is no return address? Nuclear attribution is not perfect, but there are only nine states with nuclear weapons; the isotopic identifiers of their nuclear materials are relatively well known; and non-state actors face high entry barriers.
None of this is true in cyberspace where a weapon can consist of a few lines of code that can be invented (or purchased on the so-called dark web) by any number of state or non-state actors. A sophisticated attacker can hide the point of origin behind the false flags of several remote servers.
While forensics can handle many “hops” among servers, it often takes time. For example, an attack in 2014 in which 76 million client addresses were stolen from JPMorgan Chase was widely attributed to Russia. By 2015, however, the US Department of Justice identified the perpetrators as a sophisticated criminal gang led by two Israelis and an American citizen who lives in Moscow and Tel Aviv.
Attribution, however, is a matter of degree. Despite the dangers of false flags and the difficulty of obtaining prompt, high-quality attribution that would stand up in a court of law, there is often enough attribution to enable deterrence.
For example, in the 2014 attack on SONY Pictures, the United States initially tried to avoid full disclosure of the means by which it attributed the attack to North Korea, and encountered widespread skepticism as a result. Within weeks, a press leak revealed that the US had access to North Korean networks. Skepticism diminished, but at the cost of revealing a sensitive source of intelligence.
Prompt, high-quality attribution is often difficult and costly, but not impossible. Not only are governments improving their capabilities, but many private-sector companies are entering the game, and their participation reduces the costs to governments of having to disclose sensitive sources. Many situations are matters of degree, and as technology improves the forensics of attribution, the strength of deterrence may increase.
Moreover, analysts should not limit themselves to the classic instruments of punishment and denial as they assess cyber deterrence. Attention should also be paid to deterrence by economic entanglement and by norms.
Economic entanglement can alter the cost-benefit calculation of a major state like China, where the blowback effects of an attack on, say, the US power grid could hurt the Chinese economy. Entanglement probably has little effect on a state like North Korea, which is weakly linked to the global economy. It is not clear how much entanglement affects non-state actors. Some may be like parasites that suffer if they kill their host, but others may be indifferent to such effects.
As for norms, major states have agreed that cyber war will be limited by the law of armed conflict, which requires discrimination between military and civilian targets and proportionality in terms of consequences. Last July, the United Nations Group of Government Experts recommended excluding civilian targets from cyberattacks, and that norm was endorsed at last month’s G-20 summit.
It has been suggested that one reason why cyber weapons have not been used more in war thus far stems precisely from uncertainty about the effects on civilian targets and unpredictable consequences. Such norms may have deterred the use of cyber weapons in US actions against Iraqi and Libyan air defenses. And the use of cyber instruments in Russia’s “hybrid” wars in Georgia and Ukraine has been relatively limited.
The relationship among the variables in cyber deterrence is a dynamic one that will be affected by technology and learning, with innovation occurring at a faster pace than was true of nuclear weapons. For example, better attribution forensics may enhance the role of punishment; and better defenses through encryption may increase deterrence by denial. As a result, the current advantage of offense over defense may change over time.
Cyber learning is also important. As states and organizations come to understand better the importance of the Internet to their economic wellbeing, cost-benefit calculations of the utility of cyber warfare may change, just as learning over time altered the understanding of the costs of nuclear warfare.
Unlike the nuclear age, when it comes to deterrence in the cyber era, one size does not fit all. Or are we prisoners of an overly simple image of the past? After all, when nuclear punishment seemed too draconian to be credible, the US adopted a conventional flexible response to add an element of denial in its effort to deter a Soviet invasion of Western Europe. And while the US never agreed to a formal norm of “no first use of nuclear weapons,” eventually such a taboo evolved, at least among the major states. Deterrence in the cyber era may not be what it used to be, but maybe it never was.
Read more at https://www.project-syndicate.org/commentary/cyber-warfare-deterrence-by-joseph-s–nye-2015-12#ugfx6bfZHCpYyM9Z.99