more significant damage unless it all stops right here, right now.
The fact that you have done that damage to them may cause the opponent to feel compelled to
respond in kind. Or, if you have a highly rational actor on the other side, they’ll understand that
the stakes are getting too high and they stand to suffer even more serious losses if things continue.
In Exercise South China Sea, the PLA decided to engage in escalation dominance. In response
to a cyber attack on the power grid in southeastern China, they not only hit the West Coast
power grid, they disrupted the global Defense Department intranet, damaged the databases of
U.S. financial clearinghouses, and sent additional kinetic warfare units into the crisis zone in the
South China Sea.
As the game continued, the U.S. leadership had to decide quickly whether it stood to lose
more than China in the next round of cyber war escalation. America would have been at a
disadvantage, because it stood to lose more in an ongoing, escalating cyber war. It therefore
sought a quick diplomatic settlement. Escalation dominance was the right move for China in this
game because that escalation showed that the U.S. was more susceptible to cyber attacks and
that further escalation would only make matters worse for the U.S. team. The U.S. could have
tried to block cyber traffic coming from China. But because the Chinese attacks were originating
inside the U.S., and there was not yet a deep-packet inspection system on the Internet
backbone, the next, larger, Chinese cyber attack would have been very difficult to stop.
Put more simply, if you are going to throw cyber rocks, you had better be sure that the house
you live in has less glass than the other guy’s, or that yours has bulletproof windows.
7. POSITIVE CONTROL AND ACCIDENTAL WAR
The issue we discussed above, of maintaining some means for the opponent to exercise
command and control, raises a similar issue, namely: Who has the authority to penetrate
networks and to use cyber weapons? Earlier in this chapter I suggested that it may require the
approval of multiple Cabinet members to alter banking data, and yet we are not sure that the
President knows that the U.S. may have placed logic bombs in various nations’ power grids.
Those two facts suggest that there is too much ambiguity regarding who has what authority when
it comes to cyber war, including preparation of the battlefield.
In nuclear war strategy there were two central issues regarding who could do what, and they
came under the general heading of “positive control.” The first was, simply: Could some U.S.
military officer who had a nuclear weapon use that weapon even if he was not authorized to do
so? To prevent that from happening, as well as to prevent someone from stealing and then setting
off a bomb, elaborate electronics were embedded in the bomb’s design. The electronics
physically blocked the bomb from detonating unless the lock had received an alphanumeric
unlocking code. On many weapons, two officers had to each confirm the code and
simultaneously turn physical keys to accomplish their part of the unlocking sequence. This was
called the “two key” control. Part of that code was kept away from the weapon and would be
sent down by higher authority to those who would unlock it. These “permissive action links,” or
PALs, grew more sophisticated over the years. The U.S. shared parts of its PAL technology
with some other nuclear-weapon states.
The second issue regarding positive control was: Who should be the higher authority capable
of sending down the unlocking codes for nuclear weapons? The theory was that under normal
circumstances that authority would rest with the President. A military officer attached to the U.S.
President carries at all times a locked case in which reside the “go codes” for various nuclear
attack options. I learned during the attempted military coup in Moscow in 1990 that the Soviets
had a similar system. President Gorbachev, who was taken hostage at one point in the crisis, had
the nuclear “go codes” with him at his vacation villa. The Gorbachev incident highlights the need
for having the decision-making authority devolve if the President is unable to act. The U.S.
government refuses to acknowledge who below the President has the authority to unlock and use
nuclear weapons and under what circumstances that power devolves. All personnel who have
Page 101
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
Convert pdf pages into powerpoint slides - C# Create PDF from PowerPoint Library to convert pptx, ppt to PDF in C#.net, ASP.NET MVC, WinForms, WPF
Online C# Tutorial for Creating PDF from Microsoft PowerPoint Presentation
convert pdf to powerpoint with; change pdf to ppt
Convert pdf pages into powerpoint slides - VB.NET Create PDF from PowerPoint Library to convert pptx, ppt to PDF in vb.net, ASP.NET MVC, WinForms, WPF
VB.NET Tutorial for Export PDF file from Microsoft Office PowerPoint
convert pdf to powerpoint online; how to convert pdf into powerpoint slides
physical access to nuclear weapons must undergo special security review and testing as part of a
personnel reliability system designed to weed out persons with psychological or emotional issues.
Cyber weapons would have a far lesser impact than nuclear weapons, but their employment
under certain circumstances could be highly damaging and could also trigger broader war. So,
who gets to decide to use them, and how do we make sure they are not used without
authorization? Who should decide what networks we should be penetrating as part of the
preparation of the battlefield?
Until we gain more experience with cyber weapons, I would argue that the President should at
least annually approve broad guidelines about what kinds of networks in what countries we
should be penetrating for both intelligence collection and for the embedding of logic bombs.
Some will criticize that as overly restrictive, noting that we have been penetrating networks for
intelligence collection for years without presidential review. That may be true, but in many cases
there are only a few keystrokes’ difference between penetrating a network to collect intelligence
and hacking your way in to cause destruction and disruption. Because there is the risk, however
low, that logic bombs and other penetrations may be discovered and misunderstood as hostile
intentions, the President should decide on how much risk he wants to take, and with whom.
The decision to use a cyber weapon for disruptive or destructive purposes should also rest
with the President, or, in rare cases where quick action is necessary, with the Secretary of
Defense. There may be circumstances in which regional commanders should have some
predelegated authority to respond defensively to an ongoing or imminent attack. However, Cyber
Command and its subordinate units should employ some form of software control analogous to
the two-key control on nuclear weapons to ensure that an overzealous or massively bored young
lieutenant cannot initiate an attack.
Even with proper command controls in effect, there is the potential for accidental war. In the
Cold War, early radar systems could sometimes not distinguish between huge flocks of Canada
geese and formations of Russian bombers. Thus, there were times when the U.S. launched the
portion of its bombers that were kept on strip alert and sent them heading toward their
destinations until air defense authorities could clarify the situation and determine for sure if we
were under attack.
In cyber war, it is possible to imagine accidental attacks developing if somehow the wrong
application were used and instead of inserting code that copied data, we mistakenly used code
that deleted data. Alternatively, you could imagine the possibility that a logic bomb might be
accidentally triggered by the network operator or by some other hacker who found it. The
chances of that happening are very low, but Cyber Command and others engaged in hacking into
other nations’ networks must have strict procedures to ensure that no such mistake occurs. The
greatest potential for accidental cyber war is likely to come in the form of retaliating against the
wrong nation because we were misled as to who attacked us.
8. ATTRIBUTION
In Exercise South China Sea, neither side doubted the identity of who was attacking them. There
was a political context, rising tensions over the offshore oil fields. But what if, instead of China
having done the attack, it was Vietnam? In the exercise scenario, Vietnam and the U.S. are allied
against China. So why would our ally attack us? Perhaps Vietnam wants to drag the U.S. deeper
into the conflict, to get Washington to stand up against China. What better way than letting
Washington think that China was engaged in cyber war against us? And when China denied that
it was them, we would probably just write that off as Beijing engaging in plausible deniability. (If
you want to contemplate a similar scenario, and if you will forgive a bit of shameless
self-promotion, read my novel Breakpoint, which deals with cyber war attribution, among other
things.)
The cyber experts at Black Hat were asked at the 2009 meeting whether they thought the
problem of attribution was as important as some suggest, that is, is it really that hard to figure out
Page 102
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
C# PowerPoint - How to Process PowerPoint
NET PowerPoint control, developers are able to split a PowerPoint into two or It enables you to move out useless PowerPoint document pages simply with
add pdf to powerpoint slide; images from pdf to powerpoint
VB.NET PowerPoint: Process & Manipulate PPT (.pptx) Slide(s)
split one PPT (.pptx) document file into smaller sub library SDK, this VB.NET PowerPoint processing control & profession imaging controls, PDF document, image
adding pdf to powerpoint slide; how to convert pdf into powerpoint on
who is attacking you, and does knowing who attacked you really matter? To a person, they
answered that attribution was not a major issue to them. It was not that they thought it was easy
to identify the attacker; rather, they just did not care who it was. These were mainly corporate
people whose networks had been attacked and when it had happened, their chief concern was
getting the system back to normal and preventing that kind of attack from happening again. Their
experiences dealing with the FBI had convinced most of them that it was hardly worth it even to
report to law enforcement when they had been attacked.
For national security officials, however, knowing who attacked you is much more important.
The President may ask. You may want to send the attacker a diplomatic note of protest, a
demarche (what we called in the State Department a “démarche-mallow.”), as Secretary Clinton
did after news of the attempted hacking on Google from Mainland China went public. You might
even want to retaliate to get them to stop doing it. One way to find out who the attacker was is to
use trace-back software, but eventually you will probably get to a server that does not
cooperate. You could, at that point, file a diplomatic note requesting that the law enforcement
authorities in the country get a warrant, go around to the server, and pull its records as part of
international cooperation in investigating a crime. That could take days, and the records might be
destroyed by then. Or the country in question may not want to help you. When trace-back stops
working, you do have the option of “hack back,” breaking into the server and checking its
records. Of course, that is illegal for U.S. citizens to do, unless they are U.S. intelligence officers.
Hacking into a server to trace the origin of an attack may not work, either, if the attacker
worked hard at covering up his origins. You may have to be online, watching live when the attack
packets actually move through the servers. It is unlikely that you will find that, say, even after
bouncing through a dozen servers in as many countries to cover their tracks, the attacking
packets had originated in some place called the “Russian Offensive Cyber War Agency.” Just to
be safe, if it were the Russian government, they probably would have directed the attack from a
server in another country and, if it were an intelligence-collection operation, the data they copied
would probably have been sent to a data-storage unit in a third country.
So when it comes to figuring out who attacked you, unless you are sitting on the network the
attacker uses and you see it coming (and sometimes not even then), you may not know right
away. Computer forensics may be able to say that the original keyboard used in developing the
attack code was designed for Arabic, or Cyrillic, or Korean, but that is hardly dispositive as to
the identity of the hacker. And if you do find that the attack came from Russia, based on what
happened to Estonia and Georgia, the authorities there will likely blame citizen hacktivists and do
nothing to them.
This attribution difficulty could mean that nations trying to identify their attackers may need to
rely upon more traditional intelligence techniques, such as spies penetrating the other side’s
organization, or police methods. Human intelligence, unlike cyber, does not move at velocities
approaching the speed of light. Quick responses may not be available. In nuclear war strategy,
attribution was not generally thought to be a major problem because we could tell where a missile
or bomber had been launched. Cyber attack may be similar to a suitcase bomb going off in an
American city. If we see the attack being launched because we are watching the cyber equivalent
of their missile silos and bomber bases, we might be able to assign attack attribution with a high
degree of certainty. But if the attack starts on servers in the U.S., it may take a while to tell the
President that we really know who attacked us. How sure do you need to be before you
respond? The answer will likely depend upon the real-world circumstances at the time.
9. CRISIS INSTABILITY
The late Bill Kaufmann once asked me to write a paper on something called “launch on warning.”
The Strategic Air Command had the idea that as soon as we saw a Soviet nuclear attack coming
we should launch as many bombers as we could and fire our land-based missiles. As the Soviets
had improved the accuracy of their missiles, it had become possible for them to destroy our
Page 103
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
VB.NET PowerPoint: Merge and Split PowerPoint Document(s) with PPT
one of the split PPT document will contain slides/pages 1-4 &ltsummary> ''' Split a document into 2 sub Note: If you want to see more PDF processing functions in
how to convert pdf to ppt using; image from pdf to powerpoint
VB.NET PowerPoint: Extract & Collect PPT Slide(s) Using VB Sample
and you want to combine these extracted slides into a new of document 1 and some pages of document powerful & profession imaging controls, PDF document, image
embed pdf into powerpoint; and paste pdf into powerpoint
missiles even though we kept them in hardened, underground silos. As with everything in strategic
nuclear doctrine, even this idea of “fire when you see them coming” got complicated. What if you
were wrong, if your sensors made a mistake? Perhaps they were attacking, but with a small force
aimed at only a few things, should you still throw the kitchen sink at them? Therefore the Air
Force had evolved a strategy called “launch under attack,” which essentially meant that you
waited until you had a better picture, until some of their missiles’ warheads were already going off
in your countryside.
The launch on warning strategy was generally thought to be risky because it added to crisis
instability, the hair-trigger phenomenon in a period of rising tensions. If you don’t make the right
decision quickly, you lose, but if you have to make the decision quickly, you may make a losing
decision. What I was able to conclude for Kaufmann was that we had enough missiles at sea,
and those missiles had grown sufficiently accurate, that we could ride out an attack and then
make a rational decision about what had just happened before we sized our response.
There is a similar issue with cyber war. The U.S. expects to see an attack coming and move
quickly to blunt the cyber assault and destroy the attacker’s ability to try it again. The assumption
about being able to see an attack coming may be invalid. Nonetheless, we will assume that the
U.S. strategy is to see the attack coming and act. To act, you have to go quickly and without a
lot of assessment of who the enemy was or what they were going to strike. If you do not go
quickly, however, you suffer two possible disadvantages:
The attacking nation will probably pull up the drawbridge over the
moat after its attackers charge out of the castle, by which we mean that
as soon as they launch a big attack, a nation like China may disconnect
from the rest of the Internet and “island” subnets;
The attacking nation may be going after the Internet itself and the
telephone infrastructure in the United States, which might make it
harder for the U.S. to launch a cyber retaliation.
Thus, there could be a real case of first mover advantage, and that leads to crisis
instability, a hair trigger, no time to think. Now, remember the earlier discussion about 
ambiguity of intent, what one side indicates by the types of targets it goes after in the
preparation-of-the-battlefield period. If a nation believes that the other side has already
laced its infrastructure (including cyber and electrical networks) with destructive software
packages or logic bombs, that consideration, combined with the first mover advantage,
could cause a decision maker in a time of rising tensions to have a very itchy keyboard
finger.
10. DEFENSIVE ASYMMETRY
The team playing China won this exercise, forcing a withdrawal of U.S. forces and
causing the United States to negotiate a face-saving way out. The chief reason they won
was that they had been able to overcome U.S. defenses and to erect relatively effective
defenses of their own. The U.S. was looking for an attack to originate overseas, and
China used servers in the U.S., perhaps directed by Chinese “students” operating out of
coffee shops. The U.S. was looking for the signatures of attacks that it already knew
about and the Chinese used “zero day” exploits. Most important, the U.S. had no
national defense mechanism for the civilian infrastructure, including the finance industry,
the electric power grid, and rail systems.
China, on the other had, not only had a national command system that could dictate to
its infrastructure, they had a defensive plan. When it was clear that cyber war was under
way, China’s electric and rail systems shifted to a non-networked control system. When
the Chinese lost satellite communications, they had a backup radio network up in an
hour. In short, China had not thrown out their old systems, and had a plan to use them.
Page 104
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
VB.NET PowerPoint: Sort and Reorder PowerPoint Slides by Using VB.
clip art or screenshot to PowerPoint document slide large amount of robust PPT slides/pages editing methods & profession imaging controls, PDF document, image
conversion of pdf into ppt; convert pdf back to powerpoint
VB.NET PowerPoint: Use PowerPoint SDK to Create, Load and Save PPT
guide for PPT document, we divide this page into three parts in VB.NET to create an empty PowerPoint file with or local file and get the exact PPT slides number;
pdf to powerpoint slide; how to convert pdf slides to powerpoint
The lessons learned in the “hot wash” of this exercise have helped to identify issues and
choices, which will lead us toward a cyber war strategy. There is, however, one further
missing ingredient. We have talked a little about the international laws of war and other
conventions. What international laws cover cyber war, and what additional multilateral
agreements would be in our interest, if any?
Page 105
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
VB.NET PowerPoint: Convert & Render PPT into PDF Document
Using this VB.NET PowerPoint to PDF converting demo code below, you can easily convert all slides of source PowerPoint document into a multi-page PDF file.
change pdf to powerpoint; conversion of pdf into ppt
VB.NET PowerPoint: Add Image to PowerPoint Document Slide/Page
can separate a multi-page PPT document into 2, 4 How to Sort and Reorder PPT Document Pages. provide powerful & profession imaging controls, PDF document, tiff
conversion of pdf to ppt online; image from pdf to powerpoint
C
HAPTER
S
EVEN
CYBER PEACE
T
he United States, almost single-handedly, is blocking arms control in cyberspace. Russia, somewhat
ironically, is the leading advocate. Given the potential destabilizing nature and disadvantages of cyber war
to the U.S., as discussed in the earlier chapters, one might think that by now the United States would
have begun negotiating international arms control agreements that could limit the risks. In fact, since the
Clinton Administration first rejected a Russian proposal, the U.S. has been a consistent opponent of
cyber arms control.
Or, to be completely frank, perhaps I should admit that I rejected the Russian proposal. There were
many who joined me; few U.S. government decisions are ever the responsibility of a single person.
However, one of my jobs in the Clinton White House was to coordinate cyber security policy, including
international agreements, across the government. Despite some interest in the State Department in
pursuing cyber arms control, and although the U.S. had to stand almost alone in the U.N. in rejecting
cyber talks, we said no. I viewed the Russian proposal as largely a propaganda tool, as so many of their
multilateral arms control initiatives had been for decades. Verification of any cyber agreement seemed
impossible. Moreover, the U.S. had not yet explored what it wanted to do in the area of cyber war. It
was not obvious then whether or not cyber war added to or subtracted from U.S. national security. So
we said no, and we have kept saying no for over a decade now.
Now that over twenty nations’ militaries and intelligence services have created offensive cyber war
units and we have gained a better understanding of what cyber war could look like, it may be time for the
United States to review its position on cyber arms control and ask whether there is anything beneficial
that could be achieved through an international agreement.
A SHORT CRITIQUE OF ARMS CONTROL
Whether or not you think reviewing our position on cyber arms limitations is a good policy may well
depend upon what you think about arms control more broadly. So let’s begin by recalling what arms
control is (since it no longer dominates the news) and what it has done in other areas. Although there
were international arms control agreements before the nuclear era, such as the Washington Treaty that
limited the number of battleships navies could have before World War II, arms control as we now know
it was shaped by the Cold War standoff between the U.S. and the U.S.S.R. Beginning in the early 1960s
and continuing for almost thirty years, arms control became a major preoccupation of the two nuclear
superpowers. What resulted were two classes of agreements: multilateral treaties, in which the two
superpowers invited global participation, and bilateral agreements, in which they agreed to impose
specific limitations on their own military capabilities.
I began working on arms control in Vienna in 1974 and, at the Pentagon and then the State
Department, was involved for almost twenty years in agreements on strategic nuclear weapons,
conventional forces in Europe, so-called theater nuclear weapons of shorter range, biological weapons,
and chemical weapons. That experience shapes the way I think about cyber arms control. There are
lessons the United States can learn from this history as we seek to limit warfare in cyberspace through a
new round of treaties.
My colleague Charles Duelfer, who was one of the leaders of UN efforts to limit Iraqi weapons of
mass destruction for over a decade, takes a cynical view of U.S.-Soviet arms control and of the
phenomenon in general. “The U.S. and U.S.S.R. generally agreed to ban things they were not going to
do anyway. On weapons they did want, they agreed to numeric ceilings that were so high that they got to
do everything they wanted.” Many analysts, like Duelfer, have a negative critique of arms control in
general. They note that the fifteen-year-long talks on forces in Central Europe finally produced an accord
with high limits on military personnel only months before the Soviet Union’s military alliance crumbled
anyway. The final treaty allowed the Soviet Union to keep hundreds of thousands of troops in Eastern
Europe, but reality did not. What caused the thousands of Red Army tanks to clank back into Russia
was not arms control.
Page 106
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
C# PowerPoint: C# Codes to Combine & Split PowerPoint Documents
pages of document 1 and some pages of document &ltsummary> /// Split a document into 2 sub to provide powerful & profession imaging controls, PDF document, tiff
pdf to ppt; change pdf to ppt
VB.NET PowerPoint: Read, Edit and Process PPTX File
How to convert PowerPoint to PDF, render PowerPoint to SVG to read, create, annotate, view, convert and watermark NET PowerPoint reading control SDK into VB.NET
convert pdf to ppt online; pdf into powerpoint
The more well known series of negotiations of the SALT and START agreements on strategic nuclear
forces lasted over twenty years and permitted both sides to maintain enormous numbers of nuclear
weapons and to continue to replace them with more modern versions. As part of that process, in the
ABM Treaty, the two nations banned antiballistic missile defenses, which at the time neither side thought
would work anyway.
In the multilateral arena, the two superpowers agreed on a treaty to prohibit other nations from
acquiring nuclear weapons in exchange for a vague promise that the nuclear powers would eventually
eliminate their own. That treaty did not stop Israel, Pakistan, India, South Africa, or North Korea from
developing nuclear weapons and is now doing little to stop Iran. The Soviet Union agreed to a multilateral
ban on biological weapons, but then secretly went on to create a massive biological weapons arsenal that
the United States did not detect for decades. The critics of arms control point to the Soviet violation of
the Biological Weapons Treaty as an example of why arms control is often not in the U.S. interest. The
U.S. is fairly scrupulous in its obedience of treaty limits to which it agrees. Many other nations are not.
Verification measures may not detect violations, or permitted activities may allow nations to come right
up to the point of a violation without being sanctioned (as Iran may be doing with its nuclear reprocessing
program).
For all the problems with arms control, there is a compelling case that both the bilateral agreements
between the U.S. and U.S.S.R. and the broader multilateral treaties made the world safer. Even putting
aside the value of the numeric limits on weapons, the very existence of a forum where the American and
Soviet diplomats and military leaders could talk to each other about nuclear war helped to create a
consensus among the elites of both countries to take measures to prevent such a disaster. The
introduction of communications channels and confidence-building measures, the increase in transparency
of both sides’ armed forces reduced the possibility of miscalculation or accidental war.
As Assistant Secretary of State, it was my duty to supervise one of those so-called
confidence-building measures, the U.S. Nuclear Risk Reduction Center. My counterpart was a Russian
General in the Ministry of Defense. Our two teams worked on measures to reduce the likelihood of
tensions escalating into nuclear alerts. Each team had a center, mine in the State Department and the
general’s in the Ministry of Defense, just off Red Square in Moscow. Because the White House–Kremlin
hotline was seldom employed by U.S. Presidents, we needed a way of communicating quickly at a lower
level when there may have been a misunderstanding. So we connected the two centers by direct cable
and satellite links, by Teletype for text, and by secure telephones. The secure telephone had to use an
encryption code that we and the Soviets could share, which posed a problem for both countries. We
both wanted to use encryption that would provide no clue about codes either side used elsewhere. Such
was the fear of electronic espionage that some people thought that with such connectivity, I was just
providing a way for the Soviets to listen in on U.S. communications. The entire U.S. Center, just off the
State Department Operations area, had to be lined in copper and acoustic dampening materials.
The Nuclear Risk Reduction Centers were designed to prevent the kind of mistaken escalation that
occurred in the early days of the Cold War. One day when a U.S. space launch from an aircraft platform
aborted, we realized that on Russian radar the descending missile could look like a single
depressed-trajectory surprise attack, possibly aimed at decapitating the leadership by hitting Moscow. I
quickly called my counterpart in the Defense Ministry, on the secure line. Those lines were used
repeatedly in instances like that, as well as to coordinate implementation of arms control agreements.
While it is true that SALT and START permitted large arsenals to continue for a long time, the treaties
did ban destabilizing activities and programs that both sides might otherwise have felt the need to test or
deploy. The numeric limits also provided a known quantity to the other side’s force, preventing an even
greater upward arms spiral based on false assumptions about what the other was intending. Eventually,
thanks to the persistence of National Security Advisor Brent Scowcroft, the two sides banned the highly
destabilizing multiple-warhead land-based missiles. Now, the U.S. and Russia are making meaningful
reductions in their strategic forces.
The Intermediate Nuclear Forces (INF) treaty, on which I worked for several years in the early
1980s, caused the United States to destroy its Pershing II mobile ballistic system and its ground-launched
Page 107
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
cruise missiles, or GLCMs (they were originally called land-launched cruise missiles, or LLCMs, until the
way that acronym was pronounced—lickems—occasioned so many off-color jokes that the Pentagon
changed it), in exchange for the destruction of hundreds of Soviet SS-4, SS-5, and SS-20 mobile nuclear
missiles. That entire class of weapon, which could be used to circumvent limits on longer-range systems,
was permanently banned and several thousand nuclear warheads in Europe were taken out of service.
The limits on nuclear weapons testing did begin with the modest prohibition of detonating weapons in
the atmosphere, but over time evolved into a limit on the size of all nuclear tests and eventually to a ban
on nuclear testing altogether. (The complete ban on testing has not yet been ratified by the U.S. Senate.)
The ban on chemical weapons, which I worked on in the early 1990s, is causing nations to destroy their
chemical weapons, prohibits making new ones, and has a very intrusive inspection regime for verification.
(While we did not agree to “anytime, anywhere” inspection, few areas are exempt.)
Beyond the limits and bans on nuclear, chemical, and biological weapons, arms control includes limits
on the conduct of war itself. A series of agreements on armed conflict bans attacks on military hospitals,
prohibits attacks on civilian population centers, establishes standards for treating prisoners of war, bans
torture, outlaws land mines, limits the use of child soldiers, and makes genocide an international crime.
The United States has not ratified all of these agreements (such as the ban on land mines) and has
recently violated others (such as the Convention Against Torture). World War II saw broad violations of
the laws of armed conflict, but even then some nations upheld the standards for treatment of prisoners of
war.
When arms control works well, it reduces uncertainty, creating a more predictable security
environment. By establishing some practices as illegal and some armament acquisition as a violation, arms
control agreements can clarify what another nation’s intentions might be. If a nation is willing to violate a
clear agreement, there is less ambiguity about their policies. By prohibiting certain arms and practices,
arms control can sometimes help nations to avoid expenditures that they might have been driven to only
by fear that other nations were about to do the same. Agreed-upon international norms can be useful in
gathering multilateral support against a nation that is an outlier.
When arms control is not valuable and can even be unhelpful is when it is largely hortatory, or when
the negotiation is seen as an end in itself or a platform for propaganda, when its limitations are vague and
also when violations are without cost to the violator. If a nation can quickly move from compliance to
significant violation with little or no warning time, the attributes of stability and predictability are lost.
Similarly, if nations can cheat on agreements with little or no risk of detection or fear of punishment when
caught, the agreements tend to be one-sided and are discredited.
My overall view is that the arms control experience we had in the last thirty years of the Cold War was
largely positive, but it was very far from a panacea and occasionally it was little more than a farce. A
simple test of whether an area is ripe for arms control is to determine if all parties have a real interest in
limiting their own investments in the area. If a party is proposing to stop something that they really want to
keep around, then they are likely merely engaged in arms control for propaganda or as a deceptive
means of constraining a potential opponent in an area where they think they may be outclassed.
LIMIT CYBER WAR?
All of which brings us back to cyber war. To determine our national policy toward concepts of arms
control or limits on cyber war activities, we first need to ask whether this new form of combat gives the
United States such an advantage over other nations that we would not wish to see international
constraints. If we believe that we do enjoy such a unilateral advantage, and that it is likely to continue,
then we should not ask the follow-on questions about what kinds of limits might be created, whether they
could be verified, and so on.
I suggested earlier that at present the U.S. would be better off if cyber warfare never existed, given
our asymmetrical vulnerabilities to such warfare. Before looking at cyber war control, let’s first consider
four ways in which we are more vulnerable than those nations that might use cyber weapons against us.
First, at the moment, the United States has a greater dependency upon cyber-controlled systems than
potential adversary nations. Other nations such as South Korea or Estonia may have greater consumer
Page 108
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
access to broadband. Others such as the United Arab Emirates may have more Internet-capable mobile
devices per capita. But few nations have used computer networks as extensively to control electric
power, pipelines, airlines, railroads, distribution of consumer goods, banking, and contractor support of
the military.
Second, few nations, and certainly none of our potential adversaries, have more of their essential
national systems owned and operated by private enterprise companies. Third, in no other major
industrialized and technologically developed nation are those private owners and operators of
infrastructure so politically powerful that they can routinely prevent or dilute government regulation of
their operations. The American political system of well-financed lobbying and largely unconstrained
political campaign contributions has greatly empowered private industry groups, especially when it comes
to avoiding meaningful federal regulation.
Fourth, the U.S. military is highly vulnerable to cyber attack. The U.S. military is “netcentric,” bringing
access to databases and information further down into the operation of every imaginable type of military
organization. Along with that access to information systems has come dependence upon them. One small
sign of things to come was reported in late 2009. Insurgents in Iraq had used twenty-six-dollar software
to monitor the video feeds of U.S. Predator drones through an unencrypted communications link. While
not directly threatening to American troops, the discovery raises questions about the Pentagon’s beloved
new weapon. What if the unencrypted signal could be jammed, thus causing the drone to return home?
American forces would be denied one of their most valuable tools and an off-the-shelf program would
defeat the product of millions of dollars of research and development. U.S. forces, in addition to being
more wired, are also more dependent upon private-sector contractor support than any likely adversary.
Even if the U.S. military’s own networks were secure and reliable, those of its contractors, who often
rely upon the public Internet, may not be.
Those four asymmetries, taken together, tell us that if we and a potential adversary engaged in
unlimited cyber warfare, they might do more damage to us than we could do to them. Having some
effective limits on what nations actually do with their cyber war knowledge might, given our asymmetrical
vulnerabilities, be in the U.S. national interest. Putting that broad theory into practice, however, would
require some precise definitions of what kinds of activity might be permitted and what kinds prohibited.
Often arms control negotiations have found difficulty in achieving agreement on something as basic as a
definition of what it is that they were seeking to limit. I sat around the table for months with Soviet
counterparts trying to define something as simple as “military personnel.” For the purposes of discussion
in this book, we won’t have that kind of delay. Let’s take the definition we used in chapter 1 and make it
sound more like treaty language:
Cyber warfare is the unauthorized penetration by, on behalf of, or in support of, a government into
another nation’s computer or network, or any other activity affecting a computer system, in which the
purpose is to add, alter, or falsify data, or cause the disruption of or damage to a computer, or
network device, or the objects a computer system controls.
With that definition and the U.S. asymmetrical vulnerabilities in mind, are there successes in other
forms of arms control that could be ported into cyberspace, or new ideas unique to the characteristics of
cyber war that could form the basis of beneficial arms control? What are the pitfalls of bad arms control
to which we should give special attention and caution when thinking about limits on cyber war? How
could an international agreement limiting some aspects of cyber war be beneficial to the United States, as
well as operationally feasible and adequately verifiable?
SCOPE: ESPIONAGE OR WAR?
Any potential international agreement limiting or controlling cyber war must begin with the scope of the
proposal. In other words: What is covered and what is out? The definition of cyber war I used above
does not include cyber espionage. Hacking your way in to spy, to collect information, does not add or
alter data, nor does it need to damage or disrupt the network or things that the network controls in
physical space, if it’s done well.
The Russian cyber arms control proposal, however, is sweeping in its scope and would prohibit
Page 109
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
something that the Russian Federation is doing every day, spying through hacking. The chief public
advocate of the Russian proposal, Vladislav Sherstyuk, had a career of managing hackers. As Director
of FAPSI, General Sherstyuk was the direct counterpart to the U.S. Director of the National Security
Agency. His career background does not necessarily mean that General Sherstyuk is now being
disingenuous when he advocates an international regime to prohibit what he has directed his agency to do
for years. The technical differences between cyber espionage and destructive cyber war are so narrow,
perhaps General Sherstyuk thinks that a distinction between the two cannot effectively be made. Or
perhaps he has had a change of heart. Perhaps he believes that cyber espionage is something that now
puts Russia at a disadvantage. More likely, however, the general, like all who have seen cyber espionage
in action, would be very reluctant to give it up.
Cyber espionage is, at one level, vastly easier than traditional espionage. It is hard to exaggerate the
difficulty of recruiting a reliable spy and getting such an agent into the right place in an organization so that
he or she can copy and exfiltrate a meaningful amount of valuable information. Then there is always the
suspicion that the material being provided is falsified and that the spy is a double agent. The best
counterintelligence procedure has always been to imagine where the opponent would want to have a spy
and then give them one there. The agent passes on low-grade data and then adds some slightly falsified
material that makes it useless, or worse.
As I discussed in Your Government Failed You, the U.S. is not particularly good at using spies or, as
the Americans like to call it, human intelligence (often shortened to HUMINT). The reasons have to do
with the difficulty of the task, our reluctance to trust some kinds of people who might make good spies,
the reticence of many Americans to become deep-cover agents, and the ability of other nations to detect
our attempts at spying. These conditions are deeply seated and cultural, have been true for sixty years or
more, and are unlikely to change.
What we are remarkably good at is electronic spying. In fact, our abilities in cyber espionage often
make up for our inabilities in the area of HUMINT. Thus, one could argue that forcing the U.S. to give
up cyber espionage would significantly reduce our intelligence-collection capability, and that such a ban
would possibly put us at a greater disadvantage than it would some other nations.
The idea of limiting cyber espionage requires us to question what is wrong with doing it, to ask what
problem is such a ban intended to solve. Although Henry Stimson, Secretary of State under President
Herbert Hoover, did stop some espionage on the grounds that “gentlemen do not read each other’s
mail,” most U.S. Presidents have found intelligence gathering essential to their conduct of national
security. Knowledge is power. Espionage is about getting knowledge. Nations have been engaging in
espionage at least since biblical times. Knowing what another nation’s capabilities are and having a view
into what they are doing behind closed doors usually contributes to stability. Wild claims about an
opponent can lead to tensions and arms races. Spying can sometimes calm such fears, as when in 1960
there was discussion of a “missile gap,” that is, that the Soviets’ missile inventory greatly exceeded our
own. Our early spy satellites ended that concern. Espionage can also sometimes prevent surprises and
the need to be ready, on a hair trigger, in constant expectation of certain kinds of surprises. Yet there are
some fundamental differences between cyber espionage and traditional spying that we may want to
consider.
During the Cold War, the United States and the Soviet Union each spent billions spying on each other.
We worked hard, as did the Soviets, to recruit spies within sensitive ministries in order to learn about
intentions, capabilities, and weaknesses. Sometimes we succeeded and reaped huge benefits. More often
than not, we failed. Those failures sometimes came with damaging consequences.
In the late 1960s, U.S. espionage efforts against North Korea almost led to combat twice. The U.S.
Navy electronic espionage ship Pueblo was seized, along with its eighty-two crew members, by the
North Korean Navy in January 1968. For eleven months, until the crew was released, militaries on the
Korean Peninsula were on high alert, fearing a shooting war. Five months after the crew’s release, a U.S.
Air Force EC-121 electronic espionage aircraft was shot down off the North Korean coast, killing all
thirty-one Americans on board (interestingly, on the birthday of North Korean leader Kim Il-sung). The
U.S. President, Richard Nixon, considered bombing in response, but with the U.S. Army tied down in
Page 110
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
Documents you may be interested
Documents you may be interested