上週,美國官員聲稱俄羅斯政府正計劃釋出一段烏克蘭軍隊發動的 “襲擊” 的擺拍影片。官員們表示,他們宣佈這一訊息是為了先發制人地阻止一場虛假資訊宣傳活動,這場活動可能成為俄羅斯軍隊入侵的藉口。這種宣傳活動在整個戰爭歷史中都被使用過——但今天的社交媒體環境使得虛假資訊能夠傳播得更廣,併產生更大的影響。事實上,透過虛假賬戶、機器人、定向廣告和其他方法操縱社交媒體資訊流可以被視為一種網路攻擊。其他網路攻擊包括竊取資訊、勒索資料以及破壞從醫院到關鍵基礎設施等目標的基本功能。
羅切斯特理工學院全球網路安全研究所的實踐教授賈斯汀·佩爾蒂埃說:“虛假資訊宣傳活動對民主制度來說真的很危險,因為我們的制度並非為行政層面的單一決策而建立。”“操縱公眾輿論可能是一種拖延回應的方式——它為[更具壓制性的政權]創造了機動空間。”大眾科學與佩爾蒂埃談論了虛假資訊和更廣泛的網路攻擊在俄羅斯和烏克蘭之間的衝突中所扮演的角色,以及這些技術與傳統戰爭中使用的技術有何不同。
[以下是採訪的編輯稿。]
關於支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您將幫助確保有關塑造我們當今世界的發現和想法的有影響力的故事的未來。
甚至在有關這段影片的新聞爆出之前,您就曾暗示,在俄羅斯可能在此次衝突中使用網路攻擊的所有方式中,最可能的威脅將是虛假資訊。您能談談這個嗎?
重要的是要認識到,存在更具影響力的、急性的網路攻擊,它們是真正的風險。我們還沒有真正看到過網路攻擊造成這種情況,但這在理論上或概念上是可能的——例如,發電廠爆炸的可能性非常低,但影響非常大。
最有可能的,也是我們可能從俄羅斯方面看到的最普遍的情況,是有意使用計算方法來進行虛假資訊宣傳活動。在俄羅斯的案例中,[人們]不一定需要入侵大量的投票記錄並改變選舉結果。我預計,他們為了實現其某些目標,所需要做的就是[將虛假資訊引入]美國公眾的頭腦中,讓他們對我們選舉的有效性產生懷疑。然後,他們可以透過計算手段——利用推特機器人和所有這些透過網路實現的先進虛假資訊工具——系統地放大這種懷疑,從而在我們的民主制度中實現社會學上的破壞性影響。
這讓我想起二戰期間,德國如何利用傳單宣傳和無線電技術來散佈宣傳,並試圖擾亂盟軍。歷史上的虛假資訊宣傳活動與我們今天看到的有什麼顯著區別嗎?
我非常喜歡將這看作是舊事物與新技術的延續。然而,現在不同的是,我們透過網路手段擁有了一種觀察直接結果的機制,這使我們能夠以前所未有的方式來設計這些結果。如果我們看看科學——心理統計細分、引導人們做出決定的影響力策略以及對此的對映——我們現在已經超越了這種反饋迴圈中可能實現的範圍。以前,在定性方面,我們可以說“我們正在進行無線電廣播”或其他什麼。但我們不一定有經過證實的、可論證的影響,例如“這轉化為人們在推特上喜歡這個兩極分化的思想領袖”。
網路攻擊在哪些方面與更傳統的戰爭方面類似?
我們可以將虛假資訊視為一種宣傳手段,我認為還有其他與傳統攻擊類似的方面。但也有不同之處。網路攻擊造成的生命損失極其罕見。我認為我們最常看到的網路攻擊實際上是間諜活動、煽動叛亂和顛覆。如果您破壞了某個專案,阻礙了對您的國家利益構成威脅的研發計劃,那可能是網路的一種用途。或者我們看到煽動叛亂或顛覆:透過操縱虛假資訊來鼓勵人們抵制合法命令。然後仍然存在可能導致生命損失的拒絕服務潛力,例如,如果您在隆冬時節遇到電力中斷,或者如果您因醫院的勒索軟體攻擊而取消了手術。
什麼是網路,它在戰爭中扮演什麼角色?它是一個工具包中的工具,允許從合作到武裝衝突和戰爭的各種形式的參與,並且它可以與國家力量的其他要素以一種非常有趣的方式同步。網路活動可以存在於競爭的連續統一體的任何地方,從合作——我們使用網路活動進行外交、資訊傳遞等等——到武裝衝突和公開戰爭。俄羅斯就是一個非常好的例子,因為[這個國家]在理解實現所有這些要素的目標的潛力方面做得非常出色:外交、資訊、軍事和經濟。很明顯,講俄語的駭客已經影響了能源、醫療保健、金融、投票、基礎設施——他們擁有地球上最有能力的網路行動者之一。當然,很難將這些攻擊直接與俄羅斯政府聯絡起來。但在某些方面,這為克里姆林宮利用網路作為力量投射的秘密或隱蔽要素創造了合理的推諉。我們還沒有看到他們做任何會造成大規模生命損失的事情,但我認為做一些如此公開的事情,以至於可能導致宣戰,這其中存在一些天然的威懾。
個人和組織如何保護自己免受網路攻擊和虛假資訊宣傳活動的侵害?
我們有從普通公民到跨國公司和超大型政府機構以及介於兩者之間的一切的防禦需求和潛力的梯度。對於普通公民來說,僅僅意識到安全補丁並執行安全更新確實有幫助。普通公民層面也需要抱持懷疑的探究和批判性思維。記住我們的鄰居也只是和我們一樣的人,有著相同的目標,我們不必因為他們是其他群體的一部分而憎恨他們,這真的很有用。這看起來很簡單,但它確實是一件重要的事情,將有助於我們政府制度的可行性。
對於跨國公司和政府來說,我認為他們也應該鼓勵第三方測試,引入 компетентный 第三方來發現和報告可能逃過[系統開發人員]的漏洞。此外,在過去幾年中,我們看到了被稱為“紫隊演練”的做法的興起,這涉及在一個組織內部,在那些道德駭客“紅隊”和該組織的防禦者(我們稱之為藍隊)之間進行迭代的迷你戰爭遊戲。他們共同協作——將紅色和藍色混合成紫色——以一種對防禦組織透明的方式進行,以便他們可以看到如果有一個先進的、 компетентный 的對手在其網路中行動會是什麼樣子。這些型別的測試揭示了人員、流程和技術的漏洞,這些漏洞在任何其他方式中都很難找到。
在所謂的“正常事故理論”和組織韌性方面,存在著一個完整的研究領域。正常事故的想法確實適用於網路攻擊。無論您是個人、公司還是政府,如果您預計會被入侵——就像高速公路規劃者預計會發生車禍一樣——我們可以建立控制措施,使我們能夠控制網路攻擊的蔓延和破壞。