《俄罗斯在乌克兰的战时网络行动：军事影响和启示》2022.12最新78页报告，卡内基国际和平基金会

本文是卡内基 "俄乌战争中的网络冲突 "系列论文的一部分，该项目旨在更好地理解俄乌战争中的网络元素。卡内基的专家们各自研究了网络冲突的一个独特层面：论述了对乌克兰网络防御的国际援助；论述了俄罗斯未达到的期望；论述了俄罗斯网络行动的总体军事影响。

本文研究了俄罗斯战时在乌克兰的网络行动的军事有效性，这些行动没有产生更大战略影响的原因，以及适用于其他国家的军事网络的经验教训。本文在以往分析的基础上，采取了更加系统和详细的方法，纳入了更广泛的公开可用数据。

本文的一个主要目的是帮助弥合俄乌战争的具体网络分析和一般军事分析之间的鸿沟。大多数对俄罗斯在乌克兰的网络行动的分析都是由网络专家为自己的领域撰写的，对非网络军事来源和概念的整合有限。相反，对整个战争的主要描述几乎没有提到网络行动。为了开始填补这一空白，本文将俄罗斯在乌克兰的网络行动置于莫斯科的军事目标、运动和动能活动的大框架中。它的关键点是：

俄罗斯的网络"火力"（破坏性或毁灭性的攻击）可能对莫斯科最初的入侵贡献不大，他们对乌克兰目标造成的损害微乎其微。传统的干扰使俄罗斯军队在争夺基辅的战斗中获得了战术上的优势，而对Viasat调制解调器的网络破坏进一步降低了乌克兰前线的通信能力，这一点是可信的--尽管未经证实。同时，俄罗斯开场的大规模数据删除攻击可能扩大了乌克兰的总体混乱气氛，尽管据报道受害者组织只遭受了有限破坏。但在战争的前几周，俄罗斯的网络攻击在数量、影响和新颖性方面都急剧下降了。尽管相对于战前的基线来说，网络火力仍然很高，但在莫斯科的军事野心和在乌克兰的高强度作战行动的宏大规模上，几乎没有登记。
网络火力既没有对俄罗斯的动能火力进行有意义的补充，也没有发挥不同于动能武器的特殊功能。许多俄罗斯网络火力的目标与动能武器所攻击的乌克兰系统类别相同，如通信、电力和交通基础设施，而不是发挥特殊作用。对于几乎所有这些目标类别，动能火力似乎都造成了多个数量级的损害。虽然网络火力在某些情况下有可能提供独特的好处，但这些好处在俄罗斯对乌克兰的战争中并没有实现。莫斯科的军事战略家们很快就放弃了在乌克兰减少物质或附带损害或创造可逆转效果的任何目标，俄罗斯从网络行动中几乎没有获得可否认性或地理范围。同样，俄罗斯的网络火力也没有取得任何系统性的效果，可以说它们的成本效益较低，或者至少在能力上受到更大的限制，而不是动能火力。
情报收集--而不是开火--可能是俄罗斯在乌克兰战时网络行动的主要重点，但这也没有产生什么军事利益。尽管外界对情报过程的评估比火力更难，但俄罗斯炮兵似乎依赖非网络来源的目标情报（特别是无机组人员的飞行器或无人机），尽管早些时候声称莫斯科已经使用恶意软件对乌克兰阵地进行地理定位。俄罗斯导弹部队可能收到了一些网络衍生的情报，但在少数已知的可信案例中，这种情报似乎对目标决策没有价值。即使是影响行动，长期以来一直是莫斯科网络理论的核心，也只从俄罗斯黑客那里得到了最小的已知支持。更为普遍的是，俄罗斯对战争的整体态度--从战役计划到占领被占领的领土--表明关键的军事决策并没有受到严格的全来源情报程序的指导。
虽然许多因素制约了莫斯科的网络效率，但最重要的也许是俄罗斯网络能力不足，俄罗斯非网络机构的弱点，以及乌克兰及其合作伙伴的特殊防御工作。为了有意义地影响一场如此规模的战争，网络行动必须以俄罗斯显然最多只能维持数周的节奏进行。莫斯科选择维持甚至增加其针对非乌克兰目标的全球网络活动，并且没有充分利用网络犯罪分子作为反对乌克兰的辅助力量，从而使其能力问题更加恶化。同时，俄罗斯总统弗拉基米尔-普京和他的军队似乎不愿意或无法以精确的、以情报为导向的方式来计划和发动战争，而这正是网络行动的最佳方式。乌克兰则受益于一个有弹性的数字生态系统、多年来的网络安全投资，以及世界上最有能力的公司前所未有的网络支持。
随着战争的继续，俄罗斯的情报收集可能是乌克兰最大的持续网络风险。可以想象，如果俄罗斯黑客能够收集到莫斯科有效利用的高价值情报，他们仍可能产生更大的影响。例如，黑客可能会获得实时地理位置数据，从而能够暗杀沃洛季米尔-泽伦斯基总统或及时准确地瞄准乌克兰军队，特别是那些拥有高价值西方武器系统的军队；进行黑客和泄密行动，向乌克兰和西方公众披露敏感的战争信息，如乌克兰的战斗损失、内部分裂或军事疑虑；或收集关于基辅的看法和意图的宝贵信息，以帮助莫斯科在未来的谈判，以及其他情况。俄罗斯的网络火力构成了不太严重的威胁，尽管如果莫斯科将更多的整体网络能力导向乌克兰（以其他目标为代价）或更好地利用网络犯罪分子，这种攻击可能会成倍增加。
俄罗斯在乌克兰的战争为其他军事网络指挥部提供了教训，但这些教训必须适用于国家情况，并与一系列相关案例研究一起考虑。俄罗斯的经验表明，网络火力可以有效地集中在一次突袭或其他主要的炮击中，但在更大规模、更长时间的战争中，它们的意义可能会逐渐消失。在支持各种战时军事任务方面，网络情报收集似乎比网络火力更有潜力，但这可能取决于是否有合格的分析和决策过程以及相当精确的 "战争方式"。在网络和动能学科方面具有高能力、专业性和准备性的军队--如美国和以色列--以前曾利用网络行动来实现对高价值目标的打击。然而，即使是一流的军队似乎也是在严格限定的范围内取得了最大的网络成功。因此，将网络空间视为与陆地、海洋、空中和太空同等地位的 "第五领域 "战争，可能是一种误导。
计划进行大规模战争的军队应该询问他们是否能够真正达到产生和维持有意义的网络火力高标准。要达到这个标准，可能需要庞大的常备网络部队--也许比和平时期或 "灰色地带 "条件下所需的部队大很多倍。或者，军队可以发展激增的能力机制（例如后备部队），这在实施上具有挑战性，并有可能吞噬国内网络安全。网络能力的快速再生是另一个关键障碍。鉴于战时网络能力有限，军队可能需要尝试波浪战术：短时间内密集的网络火力，然后是休整期和再生期。波段的频率越低，与动能火力的密切协调就越重要。如果一个网络指挥部不太可能迅速扩大规模和再生，那么它也许不应该渴望在重大冲突中进行持续的战时射击。相反，它可能会优先考虑在和平时期、灰色地带或战前条件下更有选择性的开火，或像网络防御和情报收集这样的非开火活动。
各国在网络情报收集方面的投资应与磨练情报分析、军事规划和战略决策的同等努力相匹配。随着网络能力的扩散，各国可能会发现自己能够收集到的信息比他们在战时能够准确解释和有效使用的信息要多。在这种情况下，广泛的体制改革--提升分析技术、灌输专业精神或打击腐败--往往比进一步提高网络收集的技术水平更有价值。无法实施这些改革的国家可能会了解到，精致的军事网络情报能力不值得努力去建立。网络单位也需要被充分整合到所有来源的情报流程中，引导他们去满足那些无法通过其他方式轻易满足的信息需求。网络情报的战时用例可能包括实时追踪高价值目标，在关键任务情况下验证人类情报，以及获取具有持久、多用途价值的非常大的数据储存库。
网络防御者应将乌克兰战争作为一个参考点，重新审视和完善他们可能需要打的特定战争的先前假设。他们的首要任务是重新考虑潜在的敌人在冲突中利用网络行动的可能能力，因为俄罗斯的经验是微乎其微的。然后，他们应该对自己的军事状况进行具体的比较和对比。
本文的试探性见解代表了对零散的、相互冲突的和不断变化的数据的一种合理解释。分析师仍然依赖乌克兰政府、盟国政府、网络安全公司和记者的报告来了解俄罗斯的网络行动、其影响以及更大的乌克兰战争。然而，这些消息来源只有部分知识，而且狭隘的关注不可避免地影响了信息的分享内容、时间和方式。例如，一些消息来源在最近几个月产生的公开报告比以前少。由此产生的 "网络战争迷雾 "甚至继续笼罩着最密切关注的网络事件。整个战争弥漫着更大的迷雾，在短短九个月内已经经历了几个不同的阶段--其发展方式往往令西方分析家（和其他人）感到惊讶。尽管有这种不确定性，世界各国政府将不会等待将感知到的经验教训纳入军事网络战略、预算、理论和计划的持续更新。分析师应提供目前可能的最佳评估，同时承认信息差距和随着时间推移重新评估的需要。