Can cyber deterrence work? Existing scholarly works argue that deterrence by punishment using cyberattacks is ineffective because the difficulty of attributing the origin of cyberattacks makes the threat of future attacks less credible. However, these works have told us relatively little about the deterrence ability of public cyberinstitutions (PCIs), defined as publicly observable proactive efforts aimed at signaling a country’s level of cyber offensive and defensive capability. This research shows that middle powers (that have scarce cyber arsenals) can use PCIs to deter cyber attacks that cause significant damage to their economy and prosperity; however, this deterrent capability is rather limited. Using an incomplete-information model, we demonstrate that PCIs only deter adversaries that are susceptible to the costs created by these institutions. Despite this limited deterrence ability, middle powers tend to over-invest resources in these cyberinstitutions: Weak cyber states tend to over-invest to convince strong cyber adversaries that they are strong, whereas strong cyber states over-invest so that adversaries do not believe that they are weak states pretending to be strong. By doing so, states reduce their overall cybercapacity. We establish the empirical plausibility of these results using election interference campaigns as examples of strategic attacks. Our focus on the strategic use of PCIs as a deterrent represents a departure from existing literature—which has focused only on cyberoperations—and has important policy implications.

中文翻译：

---

网络领域的威慑：公共网络能力与私人网络能力

网络威慑能奏效吗？现有的学术著作认为，通过使用网络攻击进行惩罚的威慑是无效的，因为难以确定网络攻击的起源使得未来攻击的威胁不太可信。然而，这些工作很少告诉我们公共网络机构 (PCI) 的威慑能力，后者被定义为旨在表明一个国家的网络进攻和防御能力水平的公开可观察的主动努力。这项研究表明，中等强国（拥有稀缺的网络武库）可以使用 PCI 来阻止对其经济和繁荣造成重大损害的网络攻击；然而，这种威慑能力相当有限。使用不完全信息模型，我们证明 PCI 只会威慑那些容易受到这些机构造成的成本影响的对手。尽管威慑能力有限，中等强国倾向于过度投资这些网络机构的资源：弱网络国家倾向于过度投资以使强大的网络对手相信他们是强大的，而强大的网络国家则过度投资以使对手不相信他们是假装强大的弱国。通过这样做，各州会降低其整体网络容量。我们使用选举干预活动作为战略攻击的例子来建立这些结果的经验合理性。我们对将 PCI 作为威慑的战略用途的关注代表了对现有文献的背离——现有文献仅关注网络行动——并具有重要的政策含义。中等强国倾向于过度投资这些网络机构的资源：弱网络国家倾向于过度投资以使强大的网络对手相信他们是强大的，而强大的网络国家则过度投资以使对手不相信他们是假装的弱国坚强。通过这样做，各州会降低其整体网络容量。我们使用选举干预活动作为战略攻击的例子来建立这些结果的经验合理性。我们对将 PCI 作为威慑的战略用途的关注代表了对现有文献的背离——现有文献仅关注网络行动——并具有重要的政策含义。中等强国倾向于过度投资这些网络机构的资源：弱网络国家倾向于过度投资以使强大的网络对手相信他们是强大的，而强大的网络国家则过度投资以使对手不相信他们是假装的弱国坚强。通过这样做，各州会降低其整体网络容量。我们使用选举干预活动作为战略攻击的例子来建立这些结果的经验合理性。我们对将 PCI 作为威慑的战略用途的关注代表了对现有文献的背离——现有文献仅关注网络行动——并具有重要的政策含义。而强大的网络国家过度投资，以至于对手不相信他们是假装强大的弱国。通过这样做，各州会降低其整体网络容量。我们使用选举干预活动作为战略攻击的例子来建立这些结果的经验合理性。我们对将 PCI 作为威慑的战略用途的关注代表了对现有文献的背离——现有文献仅关注网络行动——并具有重要的政策含义。而强大的网络国家过度投资，以至于对手不相信他们是假装强大的弱国。通过这样做，各州会降低其整体网络容量。我们使用选举干预活动作为战略攻击的例子来建立这些结果的经验合理性。我们对将 PCI 作为威慑的战略用途的关注代表了对现有文献的背离——现有文献仅关注网络行动——并具有重要的政策含义。