民主政府必须在追究网络空间的责任方面发挥积极作用，以避免在有害行为者和独裁政权面前失去更多优势。

刚刚过去的这个夏天，挪威议会、新西兰证券交易所和梵蒂冈等众多公共机构都受到了攻击。没有枪声，没有门被推倒，没有炸弹爆炸。取而代之的是，攻击者设法侵入这些机构的内部网络，试图从事间谍活动，扰乱日常事务，或者勒索或勒索受害者。这类事件只是冰山一角。网络攻击不断发生，许多入侵没有被发现和报告。在民主国家，只有情报机构和私人公司才能详细了解网络攻击及其构成的风险。其他每个人都必须争先恐后地获取有关数字世界表面下实际发生的事情的信息。

多年来，关注新威胁的政策制定者一直指出“网络珍珠港”的可能性，这是对一个国家关键数字基础设施的毁灭性攻击。但更直接的风险来自低于这一门槛的攻击，即仍然可能造成严重破坏的入侵。2017年，黑客利用Microsoft Windows操作系统中的一个漏洞，用恶意病毒感染了150个国家的30多万台计算机系统。这种名为WannaCry的病毒影响了个人、公司和国家机构，包括英国的国家医疗服务体系(National Health Service)，导致超过1.9万个预约被取消，损失约1亿美元。专家估计，WannaCry造成的全球破坏总共造成了约40亿美元的损失。美国和英国调查人员最终追查到恶意软件的源头是朝鲜的特工。

WannaCry是一个更广泛、更微妙、更鲜为人知的问题的罕见且广为人知的事件：具有地缘政治或犯罪目标的恶意行为者可以轻易地利用数字世界的漏洞。大多数攻击和入侵仍然是看不见的，由一系列稳定的拳头组成，而不是一次重大打击。政策制定者应该把重点放在恢复民主机构在确保网络空间公众安全方面的作用上，而不是专注于高度显眼和戏剧性的事件。

要做到这一点，各国政府必须认识到，私营部门在数字世界中拥有巨大的权力。民主党州已经把太多的地盘让给了企业。公共当局在很大程度上受制于私营公司；他们不能检查向医院、电网或智能设备提供软件的公司的内幕。立法机构和市议会不了解这些系统所经历的安全压力测试。这种不平衡让私营公司占据了政府只能梦想的主导地位：负责国家安全的政府机构现在往往处于依赖商业数据来完成自己任务的尴尬境地。各国政府在理解数字领域的冲突和风险方面面临着陡峭的学习曲线，但他们早就应该采取更协调一致的方法来驯服这个无法无天的领域了。

几个世纪以来，国家在使用武力方面享有垄断地位。由于数字化和网络武器的扩散带来的不对称力量，这种垄断已经从他们的掌控中滑落。是的，许多民主国家-包括美国-已经开发出强大的工具部署在网络空间，建立复杂的监视系统，并对对手发动攻击。与此同时，发达国家与私营部门搏斗，这些私营部门在技术领域行使不成比例的权力，吞噬数据，承担国家的一些关键职能，如保护关键基础设施。

私营公司既构建数字世界的架构，又在很大程度上管理其数据流。他们经常是网络攻击的受害者。但当他们未能保护数据库并丢失客户和客户的个人信息时，他们就是这些攻击的同谋。更糟糕的是，一些公司甚至在开发新技术，并将其出售给世界各地的对手。威权(和几个民主)政府雇佣黑客的服务，购买商业销售的数字监视和控制系统。例如，一家名为Sandvine的美国公司被指控向白俄罗斯政府提供了去年夏天在反政府抗议期间关闭该国公民访问大部分互联网的技术。非国家行为者，如民兵或犯罪团伙，可以通过网络攻击造成不成比例的破坏，伤害更强大的国家、公司和国际组织。

当局往往很难理解网络攻击并确定其肇事者。因此，攻击者经常使用聪明的策略而不受惩罚。

社会对数字连接设备的日益依赖造成了更普遍的漏洞。狡猾而心甘情愿的攻击者可以利用智能城市中一排排数据收集传感器的家庭或街道上的软件冰箱，找到多个入口点来摧毁更广泛的系统。对于国防部和情报机构来说，驻扎在堡垒上并保持警惕如此老练的对手已经是一个足够大的挑战。但由于数字技术的普及，前线现在无处不在，因此医院的医生、大学实验室的教授和专制国家的人权活动人士-现在都必须与网络威胁作斗争。

这样的平民目标并不总是为这场战斗做好了充分的准备。公共机构经常使用保护不力的数字系统，即使在处理敏感信息时也是如此。例如，一家诊所不能因为雇佣了额外的外科医生而不是网络安全专家而受到指责。公立大学可能会选择为学生投资计算机，但不会获得更昂贵的保护，以确保这些新的计算机系统是安全的。选举委员会可能决定通过安装投票机和免除纸质选票来实现选举程序的现代化，而不知道适当的保障措施，也没有办法投资于必要的保护措施。这种善意的努力从表面上看是可以理解的，但它们合谋使社会变得脆弱。

民主国家公共和私营部门之间的不平衡在另一个危险的领域表现得很明显：向威权政权出售网络武器。几乎没有法律限制公司如何交易数字监控、拦截和入侵系统。叙利亚就是一个令人不安的例子。在发动内战的同时，巴沙尔·阿萨德(Bashar al-Assad)政府利用网络空间的行动打击了国外的对手和国内的反对者。属于所谓的叙利亚电子军(声称独立于叙利亚政府行动)的黑客在世界各地获得了知名度，因为他们污损了《纽约时报》和BBC等西方媒体公司的网站，并侵入了美国海军陆战队的网站。这些短暂的宣传胜利远没有政府在2011年和平抗议期间通过数字手段攻击国内反对派人物和人权捍卫者那么重要。那一年，叙利亚政府使用先进的数字技术收集持不同政见者之间的通讯，然后利用这些通讯来指控和拘留活动人士。

世界上最暴力的政权之一进行这样的镇压并不令人惊讶，令人震惊的是欧洲公司提供了帮助。阿萨德政府依赖意大利公司Area的技术和专业知识。Area向叙利亚当局出售了一项技术，使他们能够监控全国各地的通信，收集和扫描Facebook帖子、谷歌搜索、短信和电话，寻找关键字或特定个人之间的联系。随之而来的对持不同政见者的围捕导致了酷刑和死亡。

叙利亚并不是唯一一个为了国内镇压而从国外获得技术支持的国家。在过去的几十年里，总部设在西方国家的公司设计、营销并向其他一些威权政府出售了类似的技术，包括埃及、伊朗、沙特阿拉伯和阿拉伯联合酋长国的政府。当民主国家未能遏制本国境内公司向非自由主义政府出售咄咄逼人的黑客系统时，他们正在破坏其外交政策的有价值的雄心。但问题似乎并没有消失。一些人预测，到2021年，这些系统的全球年销售额将上升到数千亿美元。中国现在也在积极进入这个市场；在开发和出口能够进行镇压的技术方面，中国已经是全球的驱动力，包括面部识别技术和预测警务系统。

掌握在非国家行为者手中的这些技术也是一个令人担忧的问题：这些行为者可以通过网络攻击使更强大的国家、组织和公司陷入瘫痪。2015年，摩根大通(JPMorgan Chase)遭到黑客攻击，导致8300万个账户受损；最终有四人被捕。2017年，似乎是单独行动的黑客“拉斯普丁”(Rasputin)闯入了美国大学和政府机构的数据库，显然是希望出售对这些信息的访问权限。今年早些时候，一名来自佛罗里达州的17岁少年和另外两名黑客设法窃取了130多个著名的Twitter账户，其中包括美国前总统奥巴马和美国前副总统乔·拜登的账户，并发布了一些信息，说服人们向特定的比特币账户汇款。黑客可能会使用该帐户访问f

不应该让私人公司和法院来决定有可能与国家情报机构竞争的产品和服务的合法性。民主国家必须扩展规范和规则，以确保数字世界的安全。就像各国同意管理战争和核武器行为的国际法一样，它们也必须达成协议，以抵御网络空间的威胁。网络攻击的肇事者在很长一段时间里一直不负责任。民主政府尤其需要采取一系列措施来重新平衡国家和私营公司之间的权力，这些公司在数字世界中扮演着太大的角色。

政策制定者应该从明确确定哪些数字化系统对公共利益、公共安全和社会运行至关重要开始。官员们必须将相关系统(如用于投票的系统)指定为关键基础设施，为这些系统设定一套具体的标准和法规，即使是那些基本上掌握在私人手中的系统也是如此。大多数国家在这方面远远落后。直到2017年1月，美国国土安全部才将选举基础设施指定为关键基础设施。

太多时候，官员们无法获得有关公共服务风险的信息。例如，他们应该被告知压力测试的结果，这些测试评估诊所、投票中心、税务当局和其他重要机构对网络攻击的弹性。此外，各国政府应制定严格的指导方针，规定地方和国家一级的官员应如何采购数字系统和责任制度，以要求私营公司对其产品的后果负责。政策制定者在决定何时可以和不可以将国家职能和重要系统外包给私营公司时，也必须更加慎重。不应该允许像Clearview AI这样的公司简单地在互联网上建立面孔数据库，然后出售给执法机构。当如此多的权力被授予像Clearview AI这样审计和监督不力的私营公司时，确保警方依法行事变得更加困难。

商业秘密和保密协议通常会阻止这些私营科技公司的运作信息公之于众。因此，各国政府努力控制已经存在的真正威胁和风险。这种针对私营公司的法律保护也阻止了对这些公司产品的有意和无意影响的独立研究。这种神秘莫测阻碍了一场关于数字化和安全的知情公众辩论，并阻碍了以证据为基础的政策制定。各国政府应该制定标准和法规，以确保私营公司提供有意义的信息获取渠道。

每个人都知道，住在玻璃房子里的人不应该扔石头。尽管如此，民主政府还是忍不住要部署自己的隐蔽攻击性网络武器，试图威慑对手。这样的行动应该有明确的交战规则。网络空间的攻击性和防御性行动都应该接受立法和民主监督，即使这些监督会议必须保密。

近年来，自2018年美国总统唐纳德·特朗普(Donald Trump)签署国家安全总统备忘录寻求放松对数字武器的使用限制以来，美国的秘密行动一直以中国和俄罗斯为目标。国会议员抱怨称，特朗普政府从未与国会分享过这份备忘录。缺乏民主监督令人担忧。如果没有合法的授权和适当的独立监督，即使是通常在法治范围内行事的民主国家，也不应该增加攻击性和防御性网络能力的使用。

除了确保网络技术的军事使用得到足够的监督外，各国政府还必须切断私营部门和情报机构之间的密切联系。这扇旋转门鼓励数字武器的开发、生产和销售。各国政府应该通过实施许可要求、限制对对手和专制政权的出口来控制商业监控和黑客市场。公司应该按照人权的普遍原则行事。对具有有害用途的数字产品处以高额罚款、承担刑事责任，甚至禁止这些措施，这些措施将立即产生积极影响。将迎合独裁统治的公司排除在政府合同之外，应该迫使它们做出选择，防止信息的不利流动。监视、秘密黑客攻击和数据窃取不应被视为合法的商业服务。政府应该另外制定规则，阻止情报官员为国家服务。

民主社会可以采取更多措施，让公众清楚地了解网络攻击造成的破坏-以及这些攻击有真正的受害者-公众经常认为这些事件令人费解，是由军事设施中的匿名黑客发起的。这种说法必须改变。网络攻击产生的实际后果远远超出国防部门和情报机构，延伸到私人住宅、疗养院、大学校园和医生办公室。将威胁去神秘化和人性化，应该有助于鼓励更多的人更认真地对待网络安全和他们自己对数字技术的使用。如果政府确保公司更加透明，那么媒体就可以仔细审查私营部门的行为，这反过来又会让消费者获得更好的信息。这种公众参与应该有助于维持必要的改革政治议程。

领导人必须拿出必要的政治意愿，在国际层面上更新规范、指导方针、法规和法律，因为网络空间的侵略者不尊重国界。欧盟为志同道合的国家之间更广泛的协调提供了一个模板。它的成员已经就一些规定达成一致。

.