Niemiecka interpretacja prawa międzynarodowego w odniesieniu do cyberprzestrzeni, cyberataków, cyberwojnt


Niemcy opublikowały dokument „Zastosowanie prawa międzynarodowego w cyberprzestrzeni”. To stanowisko Niemiec dotyczące zastosowania prawa międzynarodowego do cyberprzestrzeni, cyberbezpieczeństwa, cyberataków i cyberwojny. Dokument ten jest bardzo interesujący i pokrótce opisuję jego najważniejsze elementy. W ostatnich latach przyglądałem się wielu tego typu  dokumentom, wielu krajów (np. w przypadku Holandii czy Francji). Więc teraz kolej na ten.

Po pierwsze, Niemcy potwierdzają, że w ich opinii prawo międzynarodowe (w tym międzynarodowe prawo humanitarne, czyli prawo konfliktów zbrojnych) w całości stosuje się do cyberprzestrzeni („bez zastrzeżeń”). Diabeł tkwi w szczegółach - stosuje się, ale wciąż pozostaje otwarte, jak są poszczególne zasady mogą być interpretowane i jak dokładnie mają być stosowane. Ostatnimi czasy wiele państw o tym myśli.  

Mają ładną definicję cyber operacji: „termin “cyber operacja” odnosi się do  wykorzystania cyber zdolności do osiągnięcia celów w cyberprzestrzeni lub za jej pośrednictwem”. Za jej pośrednictwem - czyli chodzi tutaj o osiąganie efektów poza cyberprzestrzenią. I to ma sens.

Suwerenność

W cyberprzestrzeni stosuje się zasada suwerenności

„Na mocy suwerenności niezależność polityczna państwa jest chroniona i zachowuje ono prawo do swobodnego wyboru systemu politycznego, społecznego, gospodarczego i kulturalnego. Między innymi państwo może ogólnie i swobodnie decydować, jaką rolę powinny odgrywać technologie informacyjne i komunikacyjne w działaniach rządowych, administracyjnych i sądowych. Zagraniczna ingerencja w przebieg wyborów państwa może w pewnych okolicznościach stanowić naruszenie suwerenności ”

Oto przykłady działań naruszających suwerenność:

  • takie o skutkach fizycznych i szkodach na terytorium państwa
  • „pewne skutki w postaci zakłóceń funkcjonalnych w odniesieniu do infrastruktury znajdującej się na terytorium państwa”. Brzmi jak zakłócenie, tymczasowe lub długotrwałe, w tym w wyniku działania złośliwego oprogramowanie ransomware

Ale niektóre operacje są do przyjęcia: „pomijalne skutki fizyczne i zakłócenia funkcjonalne poniżej pewnego progu wpływu nie mogą - same w sobie - być uważane za naruszenie suwerenności terytorialnej”. Niestety nie podano żadnych przykładów. Jakie miałyby być te pomijalne efekty fizyczne?

Cyberataki na infrastrukturę krytyczną

Samo w sobie nic nie znaczy to, że cyberatak dosięga systemów infrastruktury krytycznej. Musiałoby to spowodować efekty.

„Fakt, że element infrastruktury krytycznej (tj. infrastruktura, która odgrywa nieodzowną rolę w zapewnieniu funkcjonowania państwa i jego społeczeństwa) lub firma o szczególnym interesie publicznym na terytorium państwa została dotknięta, może wskazywać, że została naruszona suwerenność”

Nielegalne interwencje w prerogatywy państwa

To na przykład manipulowanie procesem wyborczym, ale musi mieć to określone skutki:

„... złośliwe działania cybernetyczne ukierunkowane na wybory mogą stanowić bezprawną interwencję … wyłączenie infrastruktury wyborczej i technologii, takich jak elektroniczne karty do głosowania itp., poprzez złośliwe działania cyber może stanowić zabronioną interwencję w szczególności, jeżeli zagraża to przeprowadzeniu wyborów lub nawet je uniemożliwia, lub jeżeli wyniki wyborów ulegają w ten sposób istotnej zmianie.”

Wykazanie tego nie byłoby łatwe. Po raz kolejny nie podano też żadnych przykładów. Z wyjątkiem poniższego:

„rozpowszechnianie dezinformacji za pośrednictwem internetu może celowo podżegać do gwałtownych wstrząsów politycznych, zamieszek i / lub konfliktów społecznych, znacznie utrudniając w ten sposób uporządkowany przebieg wyborów i oddanie głosów. Takie działania mogą być porównywalne pod względem skali i skutku do wspierania powstańców … “

Więc znowu, waga efektów ma znaczenie i te są konieczne by incydent uznać za poważny. Musiałoby to być na poziomie „wspierania powstańców” (rebeliantów?), a więc samo rozpowszechnianie dezinformacji nie wystarczy. Musiałoby to prowadzić do określonych działań.

Użycie siły

Cyberataki mogą same w sobie stanowić użycie siły, ale jest raczej mało prawdopodobne, aby do tego doszło. Jednak można sobie wyobrazić, że cyberataki mogą łączyć się z szerszą kampanią obejmującą również działania w innych dziedzinach (tj. operacje kinetyczne).

„Cyber operacje mogą przekroczyć próg użycia siły i spowodować znaczne szkody na dwa sposoby. Po pierwsze, mogą być częścią szerszego ataku kinetycznego. W takich przypadkach są one jednym z elementów szerszej operacji, wyraźnie obejmującej użycie siły fizycznej i mogą być widziane w ramach badania szerszego incydentu. Po drugie, poza szerszym kontekstem kinetycznej operacji wojskowej, cyber operacje mogą same w sobie spowodować poważne szkody i spowodować masowe ofiary.”

Takie ataki raczej dotykałyby międzynarodowego prawa humanitarnego (IHL/MPH), które ma zastosowanie w czasie konfliktu:

„Niemcy definiują cyberataki atak w kontekście międzynarodowego prawa humanitarnego jako działanie zainicjowane w cyberprzestrzeni lub za jej pośrednictwem w celu spowodowania szkodliwego wpływu na komunikację, informacje lub inne systemy elektroniczne, na informacje, które są przechowywane, przetwarzane lub przesyłane … wystąpienie szkód fizycznych, obrażeń lub śmierci, uszkodzenie lub zniszczenie obiektów, porównywalnych z efektami broni konwencjonalnej w rozumieniu art.. 49 ust. 1 Protokołu dodatkowego I do konwencji genewskich

Który brzmi tak: “Określenie „ataki” oznacza akty przemocy w stosunku do przeciwnika zarówno zaczepne, jak i obronne

Ataki na osoby i przedmioty w sytuacji konfliktu

Niektóre osoby mogą stać się legalnym celem działań wojskowych znaczy. Ale kto oraz kiedy? To osoby, które angażują się w operacje:

„na przykład elektroniczna ingerencja w wojskowe sieci komputerowe [...], czy to poprzez ataki na sieci komputerowe lub eksploatację sieci komputerowych, czy też podsłuchy [...] [] naczelnego dowództwa przeciwnika lub przekazywanie taktycznych informacji o celu ataku ”może wystarczyć, aby uznać osobę cywilną za bezpośrednio uczestniczącą w działaniach wojennych.”

Podobnie, niektóre obiekty mogą być legalnie celem działań wojennych (może to obejmować też centra danych):

„... obiekt cywilny jak komputer, sieci komputerowe i infrastruktury cyber, czy nawet centrum danych, może stać się celem wojskowym, jeśli jest używane zarówno do celów cywilnych i wojskowych”

Pewne rodzaje złośliwego oprogramowania są zabronione

To jest oczywiste: “Narzędzia zaprojektowane w celu niekontrolowanego rozprzestrzeniania szkodliwych skutków gdy nie są w stanie właściwie rozróżnić wojskowych i cywilnych systemów komputerowych, zgodnie z wymogami MPH, a zatem ich stosowanie jest zabronione …  W przeciwieństwie do tego złośliwe oprogramowanie, które rozprzestrzenia się szeroko w systemach cywilnych, ale niszczy tylko określony cel wojskowy, nie narusza zasady rozróżnienia…

Takie złośliwe oprogramowanie oczywiście musi być specjalnie zaprojektowane.

Złośliwe oprogramowanie musi mieć wyłącznik?

By oszczędzić czysto cywilne obiekty, złośliwe oprogramowanie lub narzędzia muszą “poruszać się” po takich systemach ostrożnie. Być może powinny zawierać wyłącznik awaryjny, który pozwoliłby na ich dezaktywację:

„Może to obejmować gromadzenie informacji o danej sieci poprzez mapowanie lub inne procesy w celu oceny prawdopodobnych skutków ataku. Można również rozważyć włączenie mechanizmu dezaktywacji lub określonej konfiguracji narzędzia, która ogranicza skutki dla zamierzonego celu. Co więcej, jeśli okaże się, że cel nie jest celem wojskowym lub podlega specjalnej ochronie, ci, którzy planują, zatwierdzają lub wykonują cyberatak, muszą powstrzymać się od wykonania lub zawiesić działania. ”

Pozostaje do ustalenia jak to  zdefiniować i jak wymusić takie użycie “wyłącznika”, które będzie działać w praktyce... Więc takie, by nie było to postrzegane jako rozwiązanie, które sprawi, że kod ataku stanie się “mniej skuteczne’ (w przeciwnym razie strona konfliktu nie będzie chciała tego używać?). Technicznie jest to możliwe. Stosowane jest dosyć rzadko.,

Atrybucja

Kraje mogą przypisywać cyberataki innym krajom (sprawstwo). Jednakże wg. Niemiec państwa nie muszą być świadome konkretnych szczegółów lub aspektów technicznych operacji, które jakaś “grupa” wykonuje w ich imieniu.

Nie ma potrzeby przedstawiania dowodów

Niektóre państwa (np. Rosja itp.) Chcą ustanowić cyber normę, która wymagałaby publikacji dowodów atrybucji (aby powstrzymać się od „bezpodstawnych oskarżeń”). Cyber normy dotyczące „uzasadnionych oskarżeń” już istnieją (i te są wspierane przez Niemcy). Wydaje się jednak, że ogólny obraz w tej chwili wygląda nieco inaczej:

„Niemcy zgadzają się, że nie ma ogólnego obowiązku do publikowania decyzji w sprawie przypisania [cyberataku innemu krajowi] oraz przedstawienia lub przedłożenia  szczegółowych dowodów, na których atrybucja się opiera”

Sankcje Rady UE to nie atrybucja państwa

Unia Europejska ma narzędziee cyber sankcji. Jednak takiego mechanizmu nie należy utożsamiać z przypisywaniem odpowiedzialności:

„przyjęcie ukierunkowanych środków ograniczających przeciwko osobom fizycznym lub prawnym, podmiotom lub organom w ramach unijnego systemu sankcji jako takie nie oznacza przypisania zachowania państwu przez Niemcy w sensie prawnym ”

Retorsja, środki zaradcze

Będąc ofiarą cyberataku, państwo może zastosować retorsje. Może to obejmować wydanie komunikatu (Zdecydowana Nota Dyplomatyczna, Wskazanie Palcem, itd.), sankcje itp. Ale także bardziej bezpośrednie działania.

„Państwo może - a maiore ad minus - zaangażować się w działania cyber rekonesansu w celu zbadania możliwości ... i ocenić potencjalne ryzyko skutków ubocznych, jeśli takie środki spełniają wymagania działań zaradczych.”

Oczywiście, taki cyber-rekonesans może być już przez niektórych postrzegany jako “cyberataki”.

Atak zbrojny

„ocena, czy skala i skutki cyberoperacji są na tyle poważne, aby uznać ją za atak zbrojny, jest decyzją polityczną”.

Oznacza to, że decyzja nie jest podejmowana automatycznie. Tylko dlatego, że doszło do ataku lub operacji, nie oznacza to, że nastąpi jakakolwiek konkretna lub automatyczna reakcja. Takie decyzje są zawsze polityczne. Rozmiar szkód (fizyczne, obrażenia, śmierć,…) to tylko czynnik, który bierze się pod uwagę. Ewentualna reakcja może nastąpić przy użyciu dowolnych środków - nie tylko cyber.

Podsumowanie

Są to rozsądne interpretacje niektórych przepisów międzynarodowych. Nie jest wskazana żadna interpretacja techniczna. Uznaje się również, że dalsze posunięcia „mogą wymagać zintensyfikowania połączenia wiedzy technicznej i prawnej”. Przed nami ciekawe  czasy. Ważne by takie oceny opierały się zarówno na analizie prawno-politycznej, jak i technicznej. Nie można osobno myśleć o tych dwóch światach, odseparowanie jest trudne. To powinno odbywać w tym samym czasie. Jest to wyzwanie dla państw lub organizacji międzynarodowych, ponieważ w praktyce może to nie być takie proste.