Specjaliści od prawa międzynarodowego przygotowali pod egidą NATO dokument mogący w przyszłości posłużyć za podstawę cyberdoktryny.

Chyba nie trzeba nikogo przekonywać, że w ostatnich latach internet stał się niezwykle istotną płaszczyzną ludzkiej działalności. To jednak środowisko wykorzystywane nie tylko do rozrywki, lecz także do atakowania wrażliwych systemów państwa. Wystarczy wymienić serię uderzeń teleinformatycznych w instytucje państwowe i bankowe w Estonii w 2007 roku czy też w Gruzji rok później, podczas rosyjskiej agresji. Do historii cyberwojen przeszedł stworzony przez Izraelczyków i Amerykanów wirus Stuxnet, który w 2010 roku czasowo sparaliżował irańskie wirówki. Kilka tygodni temu zaatakowano system komputerowy Korei Południowej.

Zalążek doktryny

NATO przystąpiło do działania. Odwołanie do zagrożeń cybernetycznych pojawiło się w trakcie szczytu sojuszu w Rydze w 2006 roku. Wtedy to ataki internetowe uznano za jedną z form zagrożeń asymetrycznych. „Przykład Estonii pokazuje, że cyberatak może być zagrożeniem bezpieczeństwa narodowego”, stwierdził później rzecznik prasowy NATO James Appathurai. W przyjętej w 2010 roku w Lizbonie nowej koncepcji strategicznej sojuszu podkreślono znaczenie obrony przed zagrożeniami w cyberprzestrzeni i zwrócono uwagę na konieczność poprawy zdolności defensywnych.

Członkowie NATO zaczęli zastanawiać się nad stworzeniem odpowiedniej doktryny zarówno w wymiarze obronnym, jak i ofensywnym. Lord Alan West, brytyjski admirał w stanie spoczynku, stwierdził, że „rząd stworzył środki do odpowiedzi w przypadku cyberataku”. W styczniu 2012 roku Michael McConnell, były dyrektor wywiadu w czasach administracji George’a W. Busha, przyznał zaś, że Stany Zjednoczone prowadziły już kilka dużych ataków na teleinformatyczną infrastrukturę innych państw.

Decydenci NATO zdawali sobie sprawę, że brakuje im wykładni, jeśli chodzi o tę materię. Państwa sojuszu mają bowiem odpowiednie procedury działania w wypadku ataku fizycznego na ich terytorium, ale ciągle brak im instrumentów, jeśli dojdzie do uderzenia teleinformatycznego. Przy pomocy Międzynarodowego Komitetu Czerwonego Krzyża oraz amerykańskiego Dowództwa Cybernetycznego po trzech latach pracy grupa prawników i ekspertów od bezpieczeństwa (bez Polaków) przygotowała 282-stronicowy raport, który docelowo może stanowić zalążek doktryny – podręcznik talliński na temat zastosowania prawa międzynarodowego do działań zbrojnych w cyberprzestrzeni. Jak sama nazwa wskazuje, eksperci starali się dokonać interpretacji już istniejącego prawa międzynarodowego przez pryzmat działań w sieci. Na potrzeby określenia ius ad bellum w wirtualnej rzeczywistości przeanalizowano kilkanaście traktatów.

Talliński podręcznik

Autorzy tak zwanego tallińskiego podręcznika stwierdzają, że cyberatak może przerodzić się w konwencjonalną wojnę. Jednocześnie wychodzą z założenia, że współcześnie dochodzi do rozszerzania rozumienia takich pojęć jak „wojna” i „konflikt zbrojny”. W ich odczuciu atak teleinformatyczny, który prowadzi do szkód fizycznych, różni się od klasycznych metod prowadzenia wojny jedynie formą, ale nie skutkami.

W takim rozumowaniu widać mocny wpływ Estonii, na której terytorium od 2008 roku mieści się Centrum Doskonalenia Obrony Cybernetycznej NATO (NATO Cooperative Cyber Defence Centre of Excellence, CCD COE). Jak bowiem stwierdził wówczas estoński prezydent Toomas Hendrik Ilves, „do wyłączenia infrastruktury nie potrzeba już rakiet. To samo można uczynić w cyberprzestrzeni”.

W dokumencie pojawił się też wniosek, że na podstawie analizy rezolucji Rady Bezpieczeństwa ONZ i innych aktów prawa międzynarodowego można stwierdzić, iż zaatakowane kraje w razie naruszenia ich bezpieczeństwa narodowego mają prawo legalnie użyć w samoobronie siły wobec osób, które wspierają państwa w dokonaniu ataku teleinformatycznego na członków NATO. Dotyczy to pomocy bezpośredniej (wsparcie konkretnej akcji, poinformowanie państwa trzeciego o lukach w systemie, stworzenie oprogramowania, które za jego wiedzą i zgodnie z jego intencjami jest następnie użyte do ataku). Osoba pomagająca traci status cywila, a tym samym ochronę wynikającą z prawa międzynarodowego. Dotyczy to także cywilnych sieci, które mogą stać się celem legalnego ataku, jeśli są wykorzystywane w „celach wojskowych”. Jak czytamy w dokumencie: „można porównać sieć komputerową do sieci drogowej, którą jeżdżą samochody cywilne i wojskowe. Nie ma żadnego powodu, dla którego sieć komputerowa powinna być traktowana inaczej”. Według tallińskiej interpretacji legalnym celem nie jest natomiast ta osoba, która napisała złośliwe oprogramowanie, umieściła je w internecie i zostało ono wykorzystane w ataku teleinformatycznym.

Większość mediów spłyciła raport z Tallina jedynie do stwierdzenia, że „pozwala on zabijać cywilów”. To daleko idące nadużycie. Dokument ten zwraca uwagę głównie na ograniczenia. Nie wprowadza się pojęcia automatycznego i nieograniczonego użycia siły fizycznej ani nie mówi o prawie do zabijania. Podstawową metodą odpowiedzi są i nadal będą aresztowania przestępców i terrorystów działających w cyberprzestrzeni, a następnie skazywanie ich na więzienie.

Według tallińskiej wykładni osoby świadomie wspierające ataki teleinformatyczne mają status „bezprawnej strony walczącej” (tak jak Al-Kaida w Afganistanie). Sprawia to, że po zatrzymaniu nie otrzymują statusu jeńca wojennego w myśl konwencji genewskich. Można je sądzić jak przestępców, zgodnie z zapisami krajowych kodeksów karnych, i to także za te działania, które byłyby legalne w myśl prawa wojennego, jeśli tylko zostałyby przeprowadzone przez „legalną stronę walczącą”, czyli siły zbrojne biorące udział w danym konflikcie.

Użycie siły może następować w szczególnych sytuacjach, w wypadku ataku na infrastrukturę krytyczną i tylko w razie zanotowania ofiar (rannych i zabitych) lub wysokiego ryzyka, że się pojawią; wówczas można bowiem mówić o wrogim akcie i de facto wojnie lub konflikcie zbrojnym. Nie ma bowiem różnicy między wirtualnym a fizycznym atakiem, jeśli konsekwencje obu są identyczne. Oznacza to, że dezinformacja, włamania, a także działania, które skutkują paraliżem stron internetowych lub kradzieżą danych, nie kwalifikują się do odpowiedzi siłowej. Dotyczy to także wywiadu gospodarczego, którego nie można traktować jak agresji.

Autorzy raportu podają przykład ataku teleinformatycznego na zakłady chemiczne, którego celem jest wywołanie szkód materialnych i strat w ludziach. Strona, która chciałaby użyć siły, musi pamiętać o zasadzie proporcjonalności. Straty w wyniku działania obronnego nie mogą być większe od szkód, które doprowadziły do reakcji.

Zwraca się uwagę na to, że zgodnie z zapisami konwencji genewskich przeprowadzane lub wspierane przez państwa cyberataki nie powinny być kierowane przeciwko strategicznej infrastrukturze cywilnej, takiej jak szpitale, tamy czy elektrownie atomowe. Założenie to jest niezwykle ciekawe,

bowiem przyjęcie takiej interpretacji sprawiłoby, że za niezgodny z prawem międzynarodowym należałoby uznać amerykańsko-izraelski atak wspomnianego wirusa Stuxnet na irański system jądrowy. Co ważne, zgodnie z przyjętą w dokumencie regułą, nawet jeśli cyberatak jest przeprowadzany z sieci państwowej, nie stanowi to wystarczającego dowodu, aby uznać, że za konkretne działanie odpowiedzialne jest państwo. Dotyczy to na przykład Chińczyków, którzy są oskarżani o wykorzystywanie specjalnej jednostki cyberżołnierzy do niezliczonych działań teleinformatycznych – od wykradania cennych informacji wojskowych i gospodarczych zaczynając, a na sabotażu kończąc.

Głos w dyskusji

Nie jest zaskoczeniem, że dokument został przyjęty z poczuciem dużej ambiwalencji. Zwolenników nie brakuje, szczególnie w Stanach Zjednoczonych, które w 2011 roku przyjęły doktrynę uznającą atak teleinformatyczny za akt nieprzyjacielski, który zezwala na użycie siły fizycznej. „Jeśli Amerykanie giną w wyniku działalności hakerów – terrorystów, a my mamy możliwość ich zabić, to powinniśmy to zrobić”, w manichejski sposób sprawę podsumował Stewart Baker, były zastępca sekretarza amerykańskiego Departamentu Bezpieczeństwa Krajowego. Raport talliński w praktyce daje więcej pytań niż odpowiedzi.

Po pierwsze, nadal nie wiadomo, w jaki sposób lokalizować teleinformatycznych nieprzyjaciół. Sprytni cyberbandyci nigdy nie atakują bez zacierania za sobą śladów. Wykorzystują do tego komputery przypadkowych osób, często na różnych kontynentach. W jaki sposób odkryć więc, kto tak naprawdę jest za konkretny atak odpowiedzialny?

Po drugie, nawet jeśli uda się wykryć napastnika, to jakie metody wspomnianej siły fizycznej należy zastosować?

Autorzy dokumentu nie ukrywają, że ich celem nie było uzyskanie odpowiedzi na wszystkie pytania, lecz zabranie względnie spójnego i potrzebnego głosu w dyskusji nad bezpieczeństwem teleinformatycznym, zagrożeniami czy metodami obrony przez pryzmat już obowiązującego prawa międzynarodowego. Innymi słowy, to przede wszystkim interpretacja prawa. Ważne jest przy tym, aby pamiętać, że „talliński podręcznik” nie jest oficjalnym dokumentem NATO, a jedynie raportem niezależnych ekspertów. W żaden sposób nie można uznać go za obowiązującą doktrynę. To głos w dyskusji, która dopiero się rozpoczyna.