Ukraińska analiza rosyjskiej cyberwojny w trakcie obecnej wojny jest bardzo interesującym dokumentem. Podkreśla koordynację między cyberatakami i kinetycznymi. Nawet jeśli przedstawiony związek wydaje się poszlakowy i żaden bezpośredni związek nie jest wykazany, jest to ważna obserwacja.

Dobra robota

Bardzo dobrze, że Ukrainy zajęła się tak ważnym tematem i że o tym mówią. Choć, co może dziwić, analiza ta nie wspomina o działaniach, które zaznaczyłem jako możliwe do uznania preludium do wojny (a o których z pewnością wiedzieli). Dość łatwo byłoby zmierzyć jego wpływ pod względem technicznym i prawnym. Choć fakt, że to działanie miało miejsce formalnie przed eskalacją. Prawda.

Analiza

Dokument w większości cytuje rzeczy, które są już publiczne, aby dojść do pewnych wniosków/rekomendacji. Jednak jedna rzecz się wyróżnia.

Cyberataki nie są atakami

Ten dokument stara się traktować temat ścisły, z zaleceniami dla rozwoju prawa międzynarodowego. Bądźmy więc ściśli i precyzyjni. To właściwie najbardziej krytyczna część.

„Cyberataki, podobnie jak konwencjonalne ataki Federacji Rosyjskiej, nie uznają żadnych zasad – atakowana jest infrastruktura, organizacje humanitarne oraz firmy prywatne i państwowe”.

Niestety, autorzy nieprawidłowo rozumieją pojęcie „cyberataku”, wychodząc z założenia, że ​​są one zawsze równoznaczne z (tu: formalnymi, to w końcu dokument starający się być ścisły, lub przynajmniej na taki temat wysuwający zalecenia) „atakami” w rozumieniu prawa międzynarodowego, które definiuje się jako akty przemocy w celu zaczepnym lub obronnym, a więc typowo obejmowałyby działania wojenne, akty takie jak niszczenie obiektów/mienia lub powodowanie zabójstw/obrażeń. Oczywiste jest, że niewiele z cyberataków, jeśli w ogóle jakiekolwiek, osiąga taki poziomu. Dlatego taka klasyfikacja nie jest poprawna. Żadna infrastruktura cyfrowa nie została poddana „atakowi” wyczerpując taką ścisłą definicję prawną. Cyberataki nie więc są atakami. Można się zżymać, ale takie mamy uznane ramy prawne. To jedno szczególne poważne nieporozumienie prawa międzynarodowego. Ciekawe, że autorzy nie są tego świadomi.

Nie jest również jasne, w jakim stopniu uzasadnione jest następujące domniemanie: „Potężne cyber ataki mogą być kompensować niepowodzenia w konwencjonalnych działaniach wojennych”. Ponieważ (jak również wspomniano w tym raporcie) nie wyróżnia się szczególnie „potężnych” cyberataków ani przynajmniej nietypowych zdarzeń; chyba że oczywiście chodzi o cyberatak na  infrastrukturę łączności satelitarnej KA-SAT.

Co więc jest tutaj „potężne”? Z pewnością nie możemy sklasyfikować dowolnego, lub każdego, przypadkowego cyberataku jako „potężnego cyberataku”, a ten omawiany w tym przypadku (nieudana próba włamania się do części sieci energetycznej) nie jest znaczący, ponieważ się nie udał (nigdy też nie zostało ujawniony w publicznie, jakie mogły być rzeczywiste skutki, gdyby do tego doszło; a ktoś powinien móc o tym wiedzieć, prawda?)

Dalej mamy ważny przekaz: „Państwo agresor może łączyć ataki konwencjonalne i cyberataki w celu zwiększenia ataków paniki wśród ludności cywilnej”.

To powiedziawszy, nie jest jasne, czy przedstawiono wystarczające dowody na to, że rzekomo: „Zbrodnie wojenne można popełnić zarówno konwencjonalnie, jak iw cyberprzestrzeni”.

Konkretnie, o jakich „zbrodniach wojennych” w cyberprzestrzeni mowa?

Jak podkreśla raport, omawiany cyberatak na obiekty energetyczne nie powiódł się (na szczęście), a zbrodnia wojenna jest aspektem prawnym i bierze się pod uwagę to, co faktycznie się stało..

W tym kontekście w jednym z miejsc wymienia się także cyberatak na polski Senat. Oczywiście było to wydarzenie bez znaczenia, o którym nie było sensu nawet wspominać. Oczywiście było to w odpowiedzi na decyzję o uznaniu Rosji za agresora, ale ten niskiej skali i tymczasowy cyberatak nic nie osiągnął.

W raporcie stwierdza się następnie, że należy utworzyć „Cyber ​​Organizację Narodów Zjednoczonych” i że Organizacja Narodów Zjednoczonych powinna zaktualizować definicję „agresji”. Tak, aby ta obejmowała cyberataki. Po pierwsze, racjonalnie rozumując, większość przedstawionej wstępnej części raportu należy postrzegać jako niewystarczające uzasadnienie, tło dla wysunięcia takich sugestii. Ponieważ przedstawione wydarzenia nie dotyczą znaczących cyberoperacji, o których świat nie wiedział. To powiedziawszy, jedną rzeczą jest wyobrażanie sobie rzeczy, które nadejdą, a inną rzeczywistą ich zobaczenie. I rzeczywiście, jesteśmy świadkami pierwszego pełnoskalowego konfliktu zbrojnego z komponentem cyberwojny (towarzyszącego operacjom powietrznym, morskim i lądowym).

Innymi słowy, nie wykazano niczego „niezwykłego”, aby formułować tak odważne propozycje. Czy potrzebujemy “ONZ przestrzeni powietrznej” (Organizacji Narodów Zjednoczonych ds. działań lotniczych)? Istotnie, mamy Organizację Międzynarodowego Lotnictwa Cywilnego (cywilna organizacja!). To prawda. To może można argumentować, że mamy już Międzynarodowy Związek Telekomunikacyjny?

Poza tym ONZ nie zajmuje się bezpośrednimi operacjami bojowymi. No, może poza Radą Bezpieczeństwa…

Wniosek jest taki, że sugestia dotycząca Cyber ONZ i modyfikacja definicji agresji mogą być rozumiane jako wysunięte niekoniecznie na podstawie czegoś uchwytnego w początkowej części raportu (co grozi sugestią, że te dwie części są rozłączne).... W jaki sposób Cyber ONZ mogłyby w ogóle pomóc? To nie jest wyjaśnione. Jednak niekoniecznie widzę tutaj problem. Państwa mogą przedstawiać wszelkie pomysły do ​​rozważenia. Gdyby taka agenda ONZ powstała, to pewnie byłaby równie skuteczna jak te istniejące. To inna sprawa.

Cyberatak ​​jako agresja

Warto również podkreślić, że unowocześnienie definicji agresji w rezolucji Zgromadzenia Ogólnego ONZ nr 3314 (XXIX) to jednak dobry pomysł!

I to niekoniecznie z powodu obecnej wojny. O tym wiedzieliśmy już wcześniej.

Taki dokument dzisiaj powinien bardziej bezpośrednio rozważyć cyberataki. Trzeba jednak wziąć pod uwagę, że definicja agresji została „znaleziona” w oparciu o dotychczasowe zasady, obowiązujące i uznane prawo międzynarodowe. W rzeczywistości nie było to  w żaden sposób „zadekretowane”. Nie wzięło  się to “znikąd”. To tak nie działa.

Jak definiuje się agresję? Jak poniżej.

“

(a) Inwazja lub atak sił zbrojnych Państwa na terytorium innego Państwa lub jakakolwiek okupacja wojskowa, choćby tymczasowa, wynikająca z takiej inwazji lub ataku, lub jakakolwiek aneksja z użyciem siły terytorium innego Państwa lub jego część,

(b) bombardowanie przez siły zbrojne państwa terytorium innego państwa lub użycie jakiejkolwiek broni przez państwo przeciwko terytorium innego państwa;

(c) blokady portów lub wybrzeży jednego państwa przez siły zbrojne innego państwa;

(d) Atak sił zbrojnych jednego państwa na siły lądowe, morskie lub powietrzne albo na flotę morską i powietrzną innego państwa;

(e) użycie sił zbrojnych jednego państwa, które znajdują się na terytorium innego państwa za zgodą państwa przyjmującego, z naruszeniem warunków przewidzianych w umowie, lub jakiekolwiek przedłużenie ich obecności na takim terytorium poza zakończenie umowy;

(f) działanie państwa polegające na tym, że jego terytorium oddane do dyspozycji innego państwa zostało użyte przez to inne państwo do popełnienia aktu agresji przeciwko państwu trzeciemu;

(g) wysyłanie przez państwo lub w jego imieniu zbrojnych band, grup, oddziałów nieregularnych lub najemników, które dokonują aktów zbrojnych przeciwko innemu państwu o takiej wadze, że są równoznaczne z czynami wymienionymi powyżej, lub jego istotny udział w nich.

“

Oczywiste jest, że niektóre z powyższych wydarzeń mają miejsce podczas wojny na Ukrainie. Jednak aby stwierdzić, że takie działania stanowią agresję, nie była potrzebna żadna formalna definicja.

W związku z tym, wg sugestii w raporcie, należy stwierdzić, że cyberataki mogą stanowić agresję. Jednak aby takie określenie było powszechnie akceptowane, musiałoby również opierać się na istniejących normach prawa międzynarodowego, tj. tej, do której odwołuję się na początku tego artykułu. Takie zrozumienie jest obecnie budowane stopniowo, nawet jeśli nie jest formalnie skodyfikowane rezolucją ONZ (czego nie wykluczam w przyszłości)

Na ten temat duży nacisk kładę w książce Filozofia Cyberbezpieczeństwa, gdzie wiele jest tu wyjaśnione.

Na razie najrozsądniejszym sposobem jest założenie, że cyberataki mogą stanowić agresję, tak jak jest  w rzeczywistości. Wiele krajów już to zrobiło, także Polska (ocena skutków cyberataków). Nie jest to więc obecnie kontrowersyjne ani szczególnie odkrywcze. Jeśli dojdzie do wystarczająco znaczącego cyberataku, wedle jego efektów, może być również postrzegany jako agresja. Nie trzeba tego definiować. To powiedziawszy, rozumiem nacisk Ukrainy na tę międzynarodową propozycję dotyczącą cyberbezpieczeństwa. Jak powiedziałem, taka definicja powinna być w końcu zaktualizowana.

Dokument Ukrainy stwierdzający, że „sformułowano prawną definicję agresji” jest nieprecyzyjny. „Definicja” nie została „tylko sformułowana”. Zrobiono to  w oparciu o obowiązujące zasady. Należy to docenić – definicje nie powstają magicznie z próżni.

Prawo konfliktów zbrojnych do zmiany?

Teraz będzie ciekawie i kontrowersyjnie: „międzynarodowe prawo humanitarne powinno stać się bardziej przewidywalne i oferować odpowiednią regulację …”. Rzeczywiście, międzynarodowe prawo humanitarne (MPH; znane również jako prawo konfliktów zbrojnych) „reguluje” prowadzenie działań wojennych i wyznacza granice ochrony ludności cywilnej. Kraje obecnie debatują, w jaki sposób może to odnosić się do cyberwojny. Jednak jak dotąd wiadomo, że znalezienie porozumienia między państwami w celu zaostrzenia ram MPH byłoby niezwykle trudne. Być może lepszą drogą jest reinterpretacja jego zasad w celu wypracowania nowych norm.

Podsumowanie

Dokument podkreśla ciągłe znaczenie cyberbezpieczeństwa jako kwestii technologicznej i politycznej, nawet bezpieczeństwa międzynarodowego. Nie można zaprzeczyć, że obecna cyberwojna będzie miała konsekwencje przez lata, a nawet dziesięciolecia. Odrębną kwestią jest kształt tych zmian. Dokument jest interesującym materiałem do przemyśleń, nawet jeśli czasami wydaje się, że wymienione przypadki nie są powiązane z końcowymi wnioskami.

Podkreśla to potrzebę ścisłego rozumowania i analizy, aby zagwarantować, że komunikacja i wnioski są połączone, jest między nimi związek. Ma to znaczenie dla polityki cyberprzestrzeni, ale także dla wywiadu dotyczącego cyberzagrożeń.