Stuxnet và sự nguy hiểm của chiến tranh không gian mạng (CTKGM) - Phần 2 và hết

Stuxnet and the Dangers of Cyberwar

Vincent Manzo, January 29, 2013

Theo: http://nationalinterest.org/commentary/stuxnet-the-dangers-cyberwar-8030?page=1

Bài được đưa lên Internet ngày: 29/01/2013

Lời người dịch: Stuxnet đã kéo theo nhiều vấn đề về an ninh, kể cả cho nước Mỹ. “Việc giải thích các mục đích vì cái gì nước Mỹ có thể sử dụng các vũ khí KGM trong thời bình là một thách thức khác mà các quan chức Mỹ đối mặt. Ví dụ, một cuộc tấn công KGM được cho là đã phóng ra một virus kiên gan đã xóa các dữ liệu trong các đĩa cứng của Bộ Dầu khí Iran. Cuộc tấn công này đã sử dụng một vũ khí KGM để gây trở ngại cho việc xuất khẩu dầu của Iran, có lẽ để gây sức ép cho Iran trong việc nhượng bộ trong chương trình hạt nhân của nước này. Không có bằng chứng nào rằng nước Mỹ có trách nhiệm cả. Nhưng còn chưa rõ liệu chính sách của nước Mỹ có cân nhắc điều này như là sử dụng hợp pháp các vũ khí KGM, và nhiều câu hỏi khác vẫn còn đó. Liệu có một sự phân biệt có nghĩa nào giữa việc phá hoại các chương trình có liên quan tới WMD (vũ khí hủy diệt hàng loạt) và việc tấn công vào một khả năng tồn tại lâu dài của nền kinh tế của một đất nước để bắt nó phải vứt bỏ các chương trình đó hay không? Nước Mỹ có thể chỉ ra sự kiềm chế ở đâu? Liệu các mạng hỗ trợ hạ tầng dân sự sống còn (giả thiết các máy ly tâm của Iran không phải là vì các mục đích hòa bình) có là các mục tiêu chấp nhận được hay không?”. Xem các phần [01] và [02].

Nước Mỹ đã không ngăn chặn được sâu Stuxnet khỏi việc thoát ra khỏi một hệ thống có rò không khí. Điều gì xảy ra nếu các quốc gia, các tổ chức khủng bố, hoặc thậm chí các đối thủ cạnh tranh kinh doanh với các vũ khí KGM ít phân biệt được hơn, và có lẽ ít thận trọng hơn, bắt đầu tung ra các cuộc tấn công hoặc xem các vũ khí KGM như một công cụ chấp nhận được cho những bất đồng thường nhật sẽ áp đảo nền chính trị quốc tế? Chỉ một mình sự phòng thủ và ngăn chặn là không đủ cho việc sao chép với số lượng gây choáng váng các tác nhân và các mối đe dọa trong KGM. Nước Mỹ sẽ làm việc để gây ảnh hưởng thế nào và các quốc gia khác tung ra các cuộc tấn công KGM thường xuyên thế nào.

Cho tới bây giờ, sự minh bạch lớn hơn về các chính sách của Mỹ điều hành việc sử dụng các vũ khí KGM là một tiếp cận thực tiễn và khiêm tốn nhất đối với việc thiết lập các chuẩn mực quốc tế cho các cuộc tấn công KGM. Nước Mỹ có thể khớp nối và thuyết minh về cách mà nó tiến hành các cuộc tấn công KGM, vì sao, và chống lại những dạng quốc gia và mục tiêu nào. Các quan chức Mỹ phải trả lời được cho các câu hỏi đó để phát triển một học thuyết cho việc sử dụng có hiệu quả các vũ khí KGM trong bất kỳ trường hợp nào.

Nước Mỹ có thể giải thích các tiêu chí và qui trình của nó cho việc đánh giá những rủi ro của một cuộc tấn công KGM đối với sự thiệt hại không mong đợi và không biết trước được. Liệu có một đội đặc nhiệm mà đưa ra được một đánh giá rủi ro 'đội đỏ' độc lập về các tác chiến tiềm tàng hay không? Liệu có một ngưỡng cao hơn nào không cho các cuộc tấn công vào các mục tiêu được kết nối tới Internet? Liệu có một qui trình kiểm thử cho các vũ khí KGM mới hay không? Liệu tất cả các cuộc tấn công KGM có đòi hỏi sự ủy quyền của tổng thống hay không? Việc giải thích cách mày nước Mỹ áp dụng luật xung đột vũ trang cho các cuộc tấn công KGM, thay vì đơn giản đòi hỏi luật áp dụng, có thể dựng ra một ví dụ mạnh. Một số nước có thể không quan tâm, nhưng những nước khác có thể ép buộc những tiêu chuẩn ngặt nghèo tương tự lên các chiến dịch của riêng họ. Ít nhất, các quan chức Mỹ có thể có được lòng tin khi viện lý cho các tiêu chuẩn ngầm hoặc không ràng buộc của sự cư xử trong KGM.

The United States failed to prevent the Stuxnet worm from escaping an air-gapped system. What if countries, terrorist organizations, or even business competitors with less-discriminating cyber weapons, and perhaps less caution, start launching attacks or view cyber weapons as an acceptable tool for the day-to-day disagreements that dominate international politics? Defense and deterrence alone are insufficient for coping with the staggering number of actors and threats in cyberspace. The United States should work to influence how and how often other countries launch cyber attacks.

For now, greater transparency about U.S. policies governing the use of cyber weapons is a modest and practical approach to establishing international norms for cyber attacks. The United States could articulate a narrative about how it conducts cyber attacks, why, and against what types of countries and targets. U.S. officials must answer these questions to develop a doctrine for the effective use of cyber weapons in any case.

The United States could explain its criteria and process for evaluating a cyber attack’s risks of unintended and unanticipated damage. Is there a task force that provides an independent “red team” risk assessment of potential operations? Is there a higher threshold for attacks on targets connected to the internet? Is there a testing process for new cyber weapons? Do all cyber attacks require presidential authorization? Explaining how the United States applies the law of armed conflict to cyber attacks, rather than simply asserting that the law applies, would set a powerful example. Some countries might not care, but others might impose similarly strict standards on their own operations. At the very least, U.S. officials would have credibility when advocating for tacit or nonbinding standards of conduct in cyberspace.

Explaining the purposes for which the United States would use cyber weapons in peacetime is another challenge facing U.S. officials. For example, an alleged cyber attack unleashed a persistent virus that erased data on Iranian Oil Ministry hard disks. This attack employed a cyber weapon to hinder Iran’s oil exports, perhaps to pressure it into making concessions on its nuclear program. There is no evidence that the United States is responsible.

But it is unclear if U.S. policy considers this a legitimate use of cyber weapons, and many other questions remain. Is there a meaningful distinction between sabotaging WMD-related programs and attacking a country’s economic vitality to compel it to abandon those programs? Where might the United States show restraint? Are networks supporting critical civilian infrastructure (assuming Iran’s centrifuges are not for peaceful purposes) acceptable targets?

Việc giải thích các mục đích vì cái gì nước Mỹ có thể sử dụng các vũ khí KGM trong thời bình là một thách thức khác mà các quan chức Mỹ đối mặt. Ví dụ, một cuộc tấn công KGM được cho là đã phóng ra một virus kiên gan đã xóa các dữ liệu trong các đĩa cứng của Bộ Dầu khí Iran. Cuộc tấn công này đã sử dụng một vũ khí KGM để gây trở ngại cho việc xuất khẩu dầu của Iran, có lẽ để gây sức ép cho Iran trong việc nhượng bộ trong chương trình hạt nhân của nước này.

Không có bằng chứng nào rằng nước Mỹ có trách nhiệm cả.

Nhưng còn chưa rõ liệu chính sách của nước Mỹ có cân nhắc điều này như là sử dụng hợp pháp các vũ khí KGM, và nhiều câu hỏi khác vẫn còn đó. Liệu có một sự phân biệt có nghĩa nào giữa việc phá hoại các chương trình có liên quan tới WMD (vũ khí hủy diệt hàng loạt) và việc tấn công vào một khả năng tồn tại lâu dài của nền kinh tế của một đất nước để bắt nó phải vứt bỏ các chương trình đó hay không? Nước Mỹ có thể chỉ ra sự kiềm chế ở đâu? Liệu các mạng hỗ trợ hạ tầng dân sự sống còn (giả thiết các máy ly tâm của Iran không phải là vì các mục đích hòa bình) có là các mục tiêu chấp nhận được hay không?

Cũng có thể là các cuộc tấn công trong thời bình sẽ chỉ được giữ cho các quốc gia với các chương trình quân sự trái phép. Ví dụ, chính sách giải thích hạt nhân của Mỹ qui định sử dụng các vũ khí hạt nhân chống lại các quốc gia không có vũ khí hạt nhân là phù hợp với các bổn phận không phổ biến của họ. Có lẽ nước Mỹ có thể cam kết kiềm chế các cuộc tấn công dạng Stuxnet chống lại các quốc gia mà có thể chứng minh rằng học sẽ bỏ các chương trình vũ khí hạt nhân, hóa và sinh học.

Nếu những cấm đoán tuyệt đối quá là ràng buộc, nước Mỹ có thể thiết lập những hạn chế có đi có lại trong sử dụng các vũ khí KGM trên cơ sở từng quốc gia một. Trong The Paradox of Power (Nghịch lý của Sức mạnh), David Gompert và Phillip Saunders phân tích các triển vọng cho một chế độ căng thẳng chiến lược Mỹ - Trung Quốc. Cả 2 nước có thể kiềm chế tung ra các cuộc tấn công KGM vào các mạng kinh tế và dân sự của nhau. Vì cả 2 nước phụ thuộc vào các mạng có khả năng bị tổn thương và có khả năng trả đũa, thì sự ngăn chặn đôi bên trong ngữ cảnh cụ thể này là khả thi. Thay vì thề thốt trước các cuộc tấn công lên các mạng quân sự chiến thuật, các quan chức Mỹ và Trung Quốc có thẻ nhận thức được rằng những cuộc tấn công như vậy mang theo những rủi ro duy nhất về leo thang và đòi hỏi sự ủy quyền ở các mức cao nhất của chính phủ. Đây là một tiếp cận có hứa hẹn để phát triển các chuẩn mực trong một lĩnh vực được đặc trưng bằng sự nặc danh và các tác nhân là không có giới hạn. Luôn có sự nhấn mạnh lên các tác nhân xấu tính vượt ra khỏi sự kiểm soát của các nhà nước. Nhưng nước Mỹ, Trung Quốc và các sức mạnh chủ chốt khác có thể kiểm soát việc sử dụng các vũ khí KGM hủy diệt của riêng họ và có một lợi ích chia sẻ trong các biên giới được làm rõ ràng.

Với quá nhiều sự không chắc chắn về cách các vũ khí KGM sẽ tiến hóa, các quan chức Mỹ có thể bị xúi giục giữ lại các giải thích công khai về chính sách, thận trọng trong sự bí mật và duy trì sự mềm dẻo. Nhưng nếu khả năng bị tổn thương của nước Mỹ trong KGM luôn tồn tại, thì một sự đồng thuận quốc tế về tối thiểu hóa thiệt hại phụ, tránh các cuộc tấn công vào các mục tiêu dân sự và bêu xấu các cuộc tấn công cưỡng bức thời bình có thể phục vụ cho lợi ích của quốc gia. Việc thiết lập các nguyên tắc để hướng dẫn sử dụng các vũ khí KGM của Mỹ và việc giải thích chúng cho thế giới là một bước thận trọng đầu tiên.

Sự lặng im của các quan chức là không y hệt với việc không nói gì. Cân nhắc một số đầu đề từ tờ Washington Post: “Lầu 5 góc Tạo Kiến trong Mặt trận KGM”; “Các vũ khí KGM theo Thủ tục Nhanh của Lầu 5 góc”; “Mỹ Xây dựng một Kế hoạch KGM X”. Những bài báo đó đánh tín hiệu rằng nước Mỹ sẽ có một bộ các khả năng tấn công KGM hàng đầu. Đã đến lúc Washington chỉ ra rằng nó cũng vặn vẹo một học thuyết cẩn trọng để điều hành sự sử dụng của chúng.

Tác gỉa Vincent Manzo là một người bạn trong Nhóm An ninh Phòng thủ và Quốc gia tại Trung tâm Nghiên cứu Chiến lược và Quốc tế. Quan điểm được thể hiện ở đây là của riêng ông.

It might also be that peacetime attacks are reserved solely for countries with illicit military programs. For example, U.S. nuclear declaratory policy rules out the use of nuclear weapons against non-nuclear weapon states that are in compliance with their non-proliferation obligations. Perhaps the United States could pledge to refrain from Stuxnet-style attacks against countries that can verify that they will forgo nuclear, chemical and biological weapons programs.

If absolute prohibitions are too constraining, the United States could establish reciprocal limits on the use of cyber weapons on a country-by-country basis. In The Paradox of Power, David Gompert and Phillip Saunders analyze the prospects for a U.S.-China strategic restraint regime. Both countries would refrain from launching cyber attacks on each other’s economic and civilian networks. Because both countries depend on these vulnerable networks and are capable of retaliating, mutual deterrence in this specific context is feasible. Rather than foreswearing attacks on tactical military networks, U.S. and Chinese officials would acknowledge that such attacks carry unique risks of escalation and require authorization at the highest levels of the government. This is a promising approach to developing norms in a domain characterized by anonymity and unlimited actors. There is always emphasis on rogue actors beyond the control of states. But the United States, China, and other major powers can control their own use of destructive cyber weapons and have a shared interest in clarifying boundaries.

With so much uncertainty about how cyber weapons will evolve, U.S. officials might be tempted to hold off on public explanations of policy, deliberate in secret, and maintain flexibility. But if U.S. vulnerability in cyberspace persists, an international consensus on minimizing collateral damage, avoiding attacks on civilian targets and stigmatizing coercive peacetime attacks would serve the national interest. Establishing principles to guide U.S. use of cyber weapons and explaining them to the world is a prudent first step.

Official silence is not the same as saying nothing. Consider some of the headlines from the Washington Post: “Pentagon Ups Ante on Cyber Front;” “Cyberweapons on Pentagon Fast Track;” “U.S. Builds a Cyber Plan X.” These articles signal that the United States will have a first-rate suite of offensive cyber capabilities. It is time for Washington to show that it is also crafting a prudent doctrine to govern their use.

Vincent Manzo is a fellow in the Defense and National Security Group at the Center for Strategic and International Studies. The views expressed here are his own.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com