Aspecte Legale ale Actiunii In Spatiul Cibernetic

Din ce în ce mai des primim confirmarea că domeniul cibernetic va deveni viitorul câmp de luptă, ceea ce implică pentru guvernele țărilor democratice un efort susținut pentru adoptarea unui set de măsuri active pentru a contracara amenințările militare sau a preveni atacurile potențiale pentru propria lor infrastructură națională.

Întrebarea care se poate pune este dacă statele care fost supuse unor atacuri cibernetice importante ca efecte – iar în astfel de cazuri pot fi enumerate Estonia, Georgia – pot să răspundă cu o acțiune militară în conformitate cu dreptul internațional. Dar cazurile de infracționalitate cibernetică pot fi pedepsite în conformitate cu sistemul legislativ existent ? Una dintre cele mai dificile chestiuni în situațiile prezentate anterior o reprezintă identificarea autorilor, pentru că, este cunoscut faptul că în spațiul cibernetic, un atac poate fi comandat de la distanță iar execuția efectivă a acestuia să se efectueze de pe sisteme de calcul ale unor nevinovați, chiar fără ca aceștia să realizeze ce acțiuni efectuează mașinile lor de calcul, grupate în așa numitele botnet-uri.

Dreptul la autoapărare în cazul unui atac armat este conferit statelor, în virtutea articolului 51 din Carta Națiunilor Unite. Însă atacurile cibernetice nu pot fi incluse în categoria atacurilor armate, prin urmare similitudinea între cei doi termeni cu greu poate fi acceptată. Cu toate acestea, efectele pe care le pot produce atacurile cibernetice, ar putea fi uneori chiar mai mari decât cele produse de atacurile armate clasice. Referitor la această afirmație, o descriere cât se poate de simplă și concisă a fost făcută de fostul secretar general NATO, Anders Fogh Rasmussen făcută în cadrul vizitei sale în România din luna mai 2010, prin care explicitează foarte sugestiv de ce apărarea cibernetică este una din prioritățile fundamentale ale NATO: "Un atac cibernetic bine orchestrat vă poate stinge lumina în casa, în orașul vostru, în țara voastră. Poate închide controlul traficului aerian. Poate închide băncile. Pe scurt, un atac cibernetic poate înfrânge o țară fără ca vreun soldat să fi trebuit să-i treacă frontiera".

Cazul Estoniei

Au trecut câțiva ani de la masivul atac electronic, care a paralizat temporar infrastructura națională internet a Estoniei. Din perspectiva NATO, acest atac constituie un moment istoric în evoluția Alianței, pentru că el reprezintă primul caz în care un stat membru solicită, în mod formal, asistență de urgență pentru apărarea sistemului său informatic.

Sunt voci care afirmă că un atac cibernetic ar putea avea efectele unei lovituri nucleare. Astfel Ene Ergma, purtătorul de cuvânt al Parlamentului Estonian care are un doctorat în fizică nucleară, a făcut o comparație: „când am privit o explozie nucleară și explozia care s-a petrecut în țara noastră în luna mai (2008 n.a.), am văzut același lucru”. La fel ca radiația nucleară, un război cibernetic poate distruge un stat modern fără să curgă sânge.

Întrucât atacul s-a derulat pe o perioadă de câteva săptămâni, miniștrii apărării țărilor NATO s-au reunit în grabă pentru a evalua consecințele strategice și politice ale primului atac cibernetic masiv desfășurat împotriva unui stat membru. În timpul acestei crize a devenit, în mod clar, evident pentru oficialii NATO, că Alianța are nevoie atât de o doctrină coerentă a spațiului cibernetic, cât și de o strategie comprehensivă de acțiune pentru mediul virtual.

În 2008, la Summit-ul NATO de la București, a fost introdusă în discuție și ideea de apărare a spațiului cibernetic în NATO. În acest cadru, oficialii NATO și experții din domeniul cibernetic au reanalizat experiența estoniană. Ca urmare, capitolul 47 din Declarația comună a liderilor statelor membre NATO precizează: „NATO rămâne angajată în eforturile de întărire a apărării sistemelor informatice cheie ale Alianței împotriva atacurilor cibernetice. Recent am adoptat o politică NATO în domeniul apărării împotriva atacurilor cibernetice și dezvoltăm structurile și autoritățile necesare implementării acesteia. Politica noastră în domeniul apărării împotriva atacurilor cibernetice evidențiază necesitatea pentru NATO și națiunile membre de a proteja sistemele informatice cheie, în acord cu responsabilitățile lor specifice; schimbul de experiență; și asigurarea unei capabilități de sprijin pentru națiunile aliate, la cerere, de respingere a unui atac cibernetic. Așteptăm cu interes continuarea dezvoltării capabilităților NATO de apărare împotriva atacurilor cibernetice și întărirea legăturilor dintre NATO și autoritățile naționale”.

Câmpul de luptă digital

În timp ce eforturile NATO de apărare cibernetică vor fi îndreptate spre protejarea infrastructurii informatice civile, împotriva actorilor statali sau non-statali care susțin astfel de atacuri, NATO trebuie să-și dubleze eforturile pentru a-și securiza propriile sisteme împotriva atacurilor cibernetice.

Câmpul de luptă al secolului 21 abundă de echipamente din domeniul tehnologiei informației, făcându-l cu atât mai vulnerabil la atacuri cibernetice. Sunt puțini adversari care au demonstrat reale abilități în întreruperi grave ale funcționării sistemelor de comandă-control ale NATO, prin intermediul acțiunilor cibernetice ofensive, ceea ce poate presupune că viitoarele strategii ofensive pot face apel într-o mai mare măsură la utilizarea instrumentelor cibernetice în cîmpul de luptă digital.

Pentru a anticipa și a se apăra împotriva amenințărilor viitoare, Agenția NATO pentru Comunicații și Informații – NCIA – , cu sediul la Bruxelles, precum și centrele vitale naționale de comandă-control, vor trebui să se mențină la curent cu ultimele noutăți în domeniul tehnologiei informației.

Echipa de experți ai NATO, condusă de fostul secretar de stat american Madeleine Albright, care a elaborat Noul concept strategic al NATO, a avertizat că urmatorul atac vizând o țară NATO ar putea "foarte bine să se producă pe un cablu de fibră optică".

Raportul grupului Albright releva că un atac informatic asupra unei infrastructuri vitale a unui stat membru ar echivala cu un atac armat și justifică retorsiunea. "Un atac pe scară largă vizând sisteme de control și comandă ale NATO sau rețelele electrice ar putea duce la măsuri de apărare colectivă, în baza articolului 5", au subliniat experții.

În ciuda așteptărilor potrivit cărora alianța NATO va avea în vedere folosirea forței militare împotriva inamicilor care lansează atacuri cibernetice vizând statele membre, așteptări survenite după atacuri repetate provenind din Rusia, asupra unor țări ale Alianței și în urma avertismentelor serviciilor de informații privind amenințarea din ce în ce mai mare din partea Chinei, în Declarația Summitului NATO din Țara Galilor, din 2014, se apreciază că atacurilor cibernetice, pot ”atinge un nivel care să amenințe prosperitatea, securitatea și stabilitatea națională și euro-atlantică. Impactul acestora poate fi la fel de dăunator pentru societățile moderne ca și un atac convențional”. De aceea NATO consideră că apărarea cibernetică este parte a sarcinii de bază a alianței privind apărarea colectivă. În cadrul acestui summit însă, s-a decis că nu orice atac cibernetic împotriva unei țări membre a Alianței va fi tratat în virtutea articolului 5 al Cartei NATO, ci va fi analizat de către Consiliul Nord-Atlantic “de la caz la caz”.

Articolul 5 este piatra de temelie a Tratatului Nord-Atlantic, din 1949, potrivit căreia un "atac armat" asupra unei sau mai multor țări membre ale Alianței "va fi considerat un atac asupra tuturor". Această clauză a fost invocată după atacurile din 11 septembrie 2001, de SUA, pentru a justifica îndepărtarea regimului taliban din Afganistan.

De ce totuși este dificil a răspunde la atacurile cibernetice conform articolului 5 al Tratatului de la Washington ?

Este dificil de identificat dacă un atac informatic este lansat de către o țară, de o grupare teroristă sau doar de către un grup de tineri hackeri. Infrastructura informațională actuală prezintă câteva facilități care reprezintă avantaje deosebite pentru potențialii atacatori informatici în sensul că sursa atacului cibernetic este dificil de identificat. Astfel, există tehnici de ascundere a adresei IP reale (IP spoofing). De asemenea există situri care oferă utilizatorilor adrese anonime. Atacatorii pot să-și transmită atacul prin intermediul multiplelor noduri de rețea fapt ce îngreuneaza urmărirea activității acestora.

Manualul Tallinn

Alianța Nord-Atlantică a înființat la 28 octombrie 2008, la Tallin, în Estonia, Centrul NATO de Excelență pentru Cooperarea în Domeniul Apărării Cibernetice (NATO CCDCOE). Locul înființării acestui centru de excelență este desigur legat de atacul la care a fost supusă Estonia în 2007, dar și de propunerea făcută de această țară, imediat după aderarea la NATO, în 2004.

Acest centru de excelență a publicat, după o cercetare de trei ani, “Manualul Tallin asupra legislației internaționale aplicabilă războiului cibernetic”.

Manualul Tallinn a fost elaborat de către un grup de experți independenți, care au identificat în legislația internațională acele referințe aplicabile războiului cibernetic și au creat un set de 95 de reguli care vor putea guverna acest tip de conflicte. Autorii afirmă că acest produs nu este un document obligatoriu, care nu crează obligațiile unui document juridic, ci el exprimă punctele de vedere ale experților juriști care au participat la elaborarea sa. Așadar, manualul nu reprezintă un izvor de drept în sens formal. Cu toate acestea, așa cum este cazul "Manualului de la San Remo asupra dreptului internațional aplicabil în conflictele armate pe mare“, el poate fi adoptat în practica statelor în viitor.

Așa cum autorii înșiși au observat, nu există încă nici un tratat care să se ocupă în mod special cu legislația aplicabilă războiului cibernetic.

Manualul cuprinde două părți:

una referitoare la regulie de drept internațional ce guvernează admisibilitatea recurgerii la forță între state – jus ad belum.

cea de-a două care se ocupă efectiv de regulile ce trebuiesc respectate pe timpul războiului cibernetic – jus in bello.

În cea de-a doua parte a manualului sunt concentrate o sumă de reguli generale de drept internațional umanitar, aplicabile acestui tip de război, cuprinzând conducerea ostilităților, protecție persoanelor, ocupația și neutralitatea.

Cele 95 de reguli ale manualui definesc responsabilitatea statului în operațiunile cibernetice în raport cu dreptul internațional, aplicarea principiului interzicerea utilizării forței, circumstanțele în care poate fi invocat dreptul la auto-apărare, comportamentul părților în timpul ostilităților cibernetice, etc. Acesta afirmă, printre altele, că "există un conflict armat internațional ori de câte ori există ostilități, care pot include sau fi limitate la operațiuni cibernetice care apar între două state sau mai mult", și că "operațiunile cibernetice de sine stătătoare, pot avea potențialul de a declanșa un conflict armat internațional".

Aceste norme rămân deschise pentru interpretare, în funcție de evoluția tehnologiei și a capabilităților cibernetice precum și la critici. Unii experti s-au concentrat pe provocarea atribuirii (de exemplu, atribuirea statelor responsabilitatea pentru un atac cibernetic, organizat de un grup non-statal); posibilitatea de a invoca dreptul la auto-apărare.

Potrivit manualului, 'contra-măsurile proporționale' împotriva atacurilor online efectuate de către un stat sunt permise. Astfel de măsuri nu implică însă folosirea forței, cu excepția cazului în care atacul cibernetic inițial a condus la moartea unor persoane sau la deteriorarea gravă a unor proprietăți.

Manualul susține că, în conformitate cu Convențiile de la Geneva, atacurile cibernetice îndreptate asupra unor anumite elemente de infrastructură civilă cheie, se plasează în afara legii. Astfel, regula 80 din manual prevede următoarele: “În scopul evitării pierderilor ulterioare grave în rândul populației civile, o grijă deosebită trebuie să fie acordată în timpul atacurilor cibernetice unor ansambluri și instalații care conțin forțe periculoase, cum ar fi barajele, digurile și centralelor nucleare, precum și instalațiilor situate în vecinătatea acestora”. Spitalele și unitățile medicale sunt, de asemenea, protejate, în condițiile în care acestea sunt plasate sub auspiciile normelor care reglementează războaiele tradiționale.

Concluzii

Acest manual a stabilit pentru prima dată un set de reguli de drept internațional aplicabile operațiunilor cibernetice și desigur a oferit comentarii ample pe marginea acestor reguli. Aceste comentarii au drept scop să exprime atât opiniile majoritare ale grupului de experți dar și pe cele minoritare. Această abordare este utilă și deschide calea acordurilor internaționale în domeniul războiului cibernetic așa cum este cazul, spre exemplu, a Convențiilor de la Geneva asupra dreptului internațional umanitar. Un impediment major pe viitor în adoptarea unor astfel de tratate internaționale, pornind de la acest manual, îl reprezintă faptul că unii actori importanți în spectrul operațiilor cibernetice, care au dovedit capabilități importante în acest domeniu, – Rusia și China – nu au fost reprezentați în cadrul grupului de experți, autori ai manualului.

Această lipsă de diversitate în rândul grupului de experți aduce în discuție întrebarea cât de cuprinzătoare sunt opiniile cuprinse în Manualul Tallinn ?

Bibliografie

Carta ONU

***, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, Cambridge, 2013

***, Declaratia Summitului din Tara Galilor adoptată de șefii de stat și de guvern participanți la reuniunea Consiliului Nord-Atlantic din Țara Galilor, 4 – 5 septembrie 2014

***, NATO 2020: Assured security; Dynamic engagement. Analysis and recommendations of the group of experts on a new strategic concept for NATO, NATO Public Diplomacy Division, Brussels, 2010

Lucrarea a beneficiat de suport financiar prin proiectul cu titlul “Studii doctorale și postdoctorale Orizont 2020: promovarea interesului național prin excelență, competitivitate și responsabilitate în cercetarea științifică fundamentală și aplicată românească", număr de identificare contract POSDRU/159/1.5/S/140106. Proiectul este cofinanțat din Fondul Social European prin Programul Operațional Sectorial Dezvoltarea Resurselor Umane 2007-2013. Investește în Oameni!