Cyberatak to nie wojna
W 2018 roku Zgromadzenie Ogólne ONZ uznało, że prawo międzynarodowe znajduje zastosowanie w cyberprzestrzeni tak samo, jak poza nią, zaś wobec technologii informacyjnych stosowane powinno być „odpowiednio”. To konstatacja przyjęta bez sprzeciwu przez zdecydowaną większość państw na świecie. Zastanawiamy się jednak, co ona oznacza w praktyce. Jak „odpowiednio” stosować normy dotyczące np. odpowiedzialności państwa za działania sprzeczne z prawem międzynarodowym, praw człowieka, ustalenia progu napaści zbrojnej, uzasadniającej wojnę obronną i jak odróżnić ją od groźby użycia siły czy ingerencji w suwerenność państwa, które takiej zbrojnej odpowiedzi nie uzasadniają. Od tego czasu wiele państwa, w tym Polska (2022) zdecydowało się opublikować swoje stanowiska odnośnie do stosowania prawa międzynarodowego w cyberprzestrzeni, wychodząc naprzeciw potrzebom międzynarodowego pokojowego dialogu.
Z owych deklaracji interpretacja użycia siły w cyberprzestrzeni jest jednoznaczna – państwa samodzielnie decydują o kwalifikacji cyberataku jako ewentualnie naruszającego wskazana przez nie normę prawa międzynarodowego. I tak na przykład artykuł 2(4) Karty Narodów Zjednoczonych nakazuje państwom powstrzymywanie się od groźby lub użycia siły w stosunkach międzynarodowych, co obejmuje użycie broni konwencjonalnej oraz cyberoperacje, jeśli ich skutki byłyby porównywalne. Międzynarodowy Trybunał Sprawiedliwości niejednokrotnie potwierdził, że zakaz dotyczy każdego użycia siły, niezależnie od środków. Choć jak dotąd żadne z państw nie uznało żadnej cyberoperacji bez fizycznych skutków za użycie siły, kraje takie jak Francja, Holandia i Norwegia dopuszczają tę możliwość, pod warunkiem spełnienia określonych kryteriów, takich jak skala i zasięg szkodliwych skutków danej operacji. W ocenie autorów pierwszego podręcznika tallińskiego NATO, najbliżej owego progu był atak przy użyciu złośliwego oprogramowania Stuxnet, opracowanego przez wywiad izraelski i amerykański, który skutecznie spowolnił irański program nuklearny w 2010 roku, choć Iran nie zadeklarował uznania go za akt wojny. Nie stało się także w odpowiedzi na późniejsze (2016), podobne, choć bardziej dotkliwe ataki rosyjskie, realizowane przeciwko państwom europejskim przy użyciu szkodliwego oprogramowania Petya.
Użycie siły, w cyberprzestrzeni i poza nią, jest zatem zawsze nielegalne o ile nie jest zatwierdzone przez Radę Bezpieczeństwa ONZ, wykonywane w ramach prawa do samoobrony lub realizowane za zgodą państwa terytorialnego. Mimo braku uznania cyberoperacji bez fizycznych skutków za użycie siły, nadal mogą one naruszać inne zasady prawa międzynarodowego, takie jak zakaz ingerencji w sprawy wewnętrzne innego państwa czy obowiązek poszanowania jego suwerenności. Jednocześnie, do tej pory żadne z państw nie zdecydowało się odpowiedzieć zbrojnie na atak w cyberprzestrzeni, świadomie decydując, że nie osiągają one poziomu napaści zbrojnej.
Polska zabiera głos
W ciągu ostatnich ośmiu lat 28 państw (i jedna organizacja międzynarodowa – Związek Afrykański w 2024 roku) opublikowały swoje stanowiska odnośnie tego, jak rozumieją odpowiednie dla cyberprzestrzeni stosowanie norm prawa międzynarodowego dotyczących agresji, samoobrony, odpowiedzialności państwa czy należytej staranności. Dyskusjom wokół progu cyberwojny poświęcono tomy publikacji naukowych i szkoleniowych, w tym natowski „Podręcznik talliński” w jego dwóch odsłonach. Wszystkie owe stanowiska i opracowania potwierdzają, że uznanie ingerencji w suwerenność państwa jako przekraczającej próg agresji zbrojnej i uzasadniającej odpowiedź zbrojną pozostaje w suwerennej kompetencji państw, jako wyraz ich niezależności.
Hipotetycznie więc, Polska mogłaby uznać, że wzmożona rosyjska aktywność w jej sieciach informatycznych uzasadnia podjęcie odwetowych działań zbrojnych. Pozostając jednak stroną Paktu Północnoatlantyckiego, chciałaby z pewnością przekonać do tego poglądu parterów z NATO. To mogłoby okazać się trudniejsze – ryzyko eskalacji konfliktu w cyberprzestrzeni do tej pory powstrzymywało państwa przed taką interpretacją i odpowiednią atrybucją nawet najbardziej szkodliwych, cyberataków. Pierwszym państwem, który próbował przekonać do takiej oceny cyberataku – jako aktu cyberwojny – była w 2007 roku Estonia, ofiara ataku DDoS skierowanego przeciwko jej infrastrukturze krytycznej przez rosyjską, prokremlowską organizację młodzieżową „Nasi”. Rosja, powiadomiona o trwającym incydencie, odmówiła pomocy wskazując na obywatelskie prawo do wyrażenia sprzeciwu wobec polityki Tallinna, które realizowali sprawcy. Estończycy wezwali na pomoc parterów z NATO, ci jednak, po namyśle, odmówili pomocy. I tak do 2024 roku żadne z państw narażonych na cyberataki nie uznało ich za osiągające poziom wojny w cyberprzestrzeni, w obawie przed eskalacją konfliktu.
Nieco inaczej kształtuje się sytuacja cyberataków towarzyszących trwającej już inwazji zbrojnej, jak w przypadku Ukrainy, Strefy Gazy czy wcześniej np. Gruzji. Tutaj jednak interpretacja stanu prawnego nie budzi wątpliwości – w trakcie trwania konfliktu uzasadniona jest proporcjonalna odpowiedź zbrojna. Trudności w interpretacji, także dla polskiej cyberarmiii, budzić może jednak zasada proporcjonalności. Tutaj także odpowiedź na pytanie o reakcję proporcjonalną zależeć będzie od oceny i możliwości państwa–ofiary oraz od okoliczności sprawy. Ma ono prawo bronić się skutecznie – w zależności od rodzaju ataku, siła odpowiedzi będzie do niego proporcjonalna. Można więc hipotetycznie wyobrazić sobie użycie kontr-cyberataku o proporcjonalnej sile, do czego gotowość deklarują wspomniani już powyżej Francuzi czy Holendrzy.
Jak zmierzyć cyberatak?
Jak zmierzyć „siłę” cyberataku? Czy mamy do tego skuteczne narzędzia? Tu z pomocą przychodzą badacze prawa międzynarodowego i politolodzy. W zakończonym niedawno przez UŁ projekcie „Dane dotyczące cyberbezpieczeństwa” centrum badawcze Lodz Cyber Hub przygotowało dostępny w języku polskim panel operacyjny do pomiaru cyberataków, oparty o interdyscyplinarną metodologię. Potrafimy więc zmierzyć cyberatak i ocenić go w porównaniu z innymi, podobnymi incydentami. Na polskiej stronie projektu Eurepoc odnaleźć można opisy i wskaźniki poszczególnych cyberincydentów, także tych realizowanych w trakcie wojny w Ukrainie, w tym tych realizowanych przez złożoną z oficerów GRU, wiodącą kremlowską grupę APT28. W repozytorium odnajdziemy także liczne publikacje, pozwalające odpowiedzieć na dogmatyczne i praktyczne pytania o próg wojny w cyberprzestrzeni. Do tej pory wszystkie one jednak wyraźnie zalecają deeskalację konfliktu i postrzegania cyberataków jako ewentualnego naruszenia suwerenności państwa, skutkującego odpowiedzialnością międzynarodową raczej niż odpowiedzią zbrojną.
„Odpowiedzialne zachowanie państw w cyberprzestrzeni”, rozumiane jako zachowania państw zgodne z normami międzynarodowymi, to także jeden z priorytetów polityki zewnętrznej Unii Europejskiej. Celem jego realizacji Komisja Europejska i Europejska Służba Zewnętrzna opracowały „EU Cyberdiplomacy Toolkit”, który przekłada instrumenty prawa międzynarodowego na język powszechnej polityki cyberbezpieczeństwa. Europejska cyberdyplomacja pozwala na zgodne z prawem międzynarodowym, proporcjonalne reakcje na cyberincydenty, poprzedzone międzynarodową atrybucją – przypisaniem odpowiedzialności grupom za nimi stojącym lub państwom, co najmniej godzącym się na działanie takich grup. Polska jest aktywnym uczestnikiem tego międzynarodowego dialogu, a prawo międzynarodowe niezbędnym instrumentem do jego prowadzenia.
Tekst: dr Joanna Kulesza - Lodz Cyber Hub