Πολύ πρόσφατα, τον Μάρτιο του 2018, οι Ηνωμένες Πολιτείες της Αμερικής άσκησαν μια από τις μεγαλύτερες αγωγές σε βάρος 9 Ιρανών, οι οποίοι διέπραξαν μια ασύλληπτου μεγέθους κυβερνοεπίθεση.

Πιο συγκεκριμένα, εισχώρησαν σε συστήματα ηλεκτρονικών υπολογιστών ανήκοντα σε περίπου 330 πανεπιστημιακά ιδρύματα των Ηνωμένων Πολιτειών της Αμερικής και άλλων 21 χωρών, καθώς επίσης σε συστήματα ιδιωτικών εταιριών και οικιακών μονάδων, κλέβοντας δεδομένα μεγέθους 31,5 terabyte. Οι κατηγορούμενοι, ιδρυτές ενός οργανισμού προορισμένου για επιστημονική κατασκοπεία, συμφώνησαν με Ιρανούς κυβερνητικούς πράκτορες προκειμένου να διενεργήσουν ηλεκτρονική πειρατεία για λογαριασμό των τελευταίων. Το αποτέλεσμα ήταν τα δεδομένα και η πνευματική ιδιοκτησία που εκλάπησαν από περίπου 100.000 καθηγητές πανεπιστημίων και ιδιωτικές εταιρίες να ζημιώσουν το αμερικανικό κράτος με 3,4 δισεκατομμύρια δολάρια.

Στους κατηγορουμένους χρεώθηκαν τα εγκλήματα της απάτης σχετικά με τους ηλεκτρονικούς υπολογιστές, της συνομωσίας, της ασύρματης απάτης, της κλοπής ταυτότητας και της μη εξουσιοδοτημένης πρόσβασης σε ηλεκτρονικό υπολογιστή.

Πηγή: wuwm.com

Παρά το γεγονός ότι κάθε κατηγορία απειλείται με φυλάκιση από 2 έως 20 χρόνια, μιλώντας για μιας τέτοιας κλίμακας συνομωσία η ποινική δίωξη των αδικημάτων αυτών θα φάνταζε μάλλον ανεπαρκής. Τίθεται λοιπόν με μεγάλη σαφήνεια το ζήτημα του ποια είναι η νομική φύση παρόμοιων επιθέσεων στον κυβερνοχώρο, λαμβάνοντας μάλιστα υπόψη το εύρος τους και το γεγονός ότι εκκινούν και πραγματοποιούνται κατόπιν κρατικής επιχορήγησης, όπως επίσης τι «απάντηση» επιφυλάσσει το διεθνές δίκαιο σε αυτές τις περιπτώσεις.

Οι κρατικά χρηματοδοτούμενες κυβερνοεπιθέσεις συνιστούν τη νέα μορφή πολέμου

Δεν είναι λίγοι αυτοί που υποστηρίζουν ότι ο κυβερνοχώρος είναι το νέο πεδίο μαχών για διακρατικές συγκρούσεις, κάτι που αντικατοπτρίζει τη δραματική αύξηση στην εξάρτηση των κρατών από την τεχνολογία σε όλα τα επίπεδα – άμυνα, υγεία, οικονομία, πολιτική διακυβέρνηση, εκπαίδευση, ενέργεια, δομές κτλ. Από την άλλη, εφόσον η τεχνολογία αποτελεί συστατικό πλέον των σύγχρονων κοινωνιών και κρατών, καθίσταται εξαιρετικά δυσχερής η προστασία της, η οποία μάλιστα ποικίλλει τόσο, απαιτώντας έτσι ένα ευρύτερο και αποτελεσματικότερο φάσμα διαδικασιών και οργάνων για την περιφρούρησή της. Τελος, ο κυριότερος ίσως παράγοντας που ενισχύει την άποψη ότι οι κυβερνοεπιθέσεις ανάγονται σε μια νέα μορφή διεθνικών συγκρούσεων είναι ότι αποτελεί μια ελκυστική επιλογή -στα κράτη ή σε οντότητες που χρηματοδοτούνται από αυτά- πρόκλησης ζημίας, ως οικονομικότερης, πιο γρήγορης και λιγότερο φρικτής από ό,τι θα ήταν μια ένοπλη επίθεση. Άλλωστε, τα κράτη έχουν αναπτύξει και οργανώσει τα αμυντικά τους συστήματα ώστε να είναι ικανά για σοβαρά πλήγματα στον κυβερνοχώρο άλλου κράτους στα πλαίσια ενός τέτοιου πολέμου. Εξάλλου, ένας πόλεμος στον κυβερνοχώρο μπορεί να επεκταθεί ευκολότερα, και το ρίσκο για την έκβασή του ουσιαστικά εκμηδενίζεται.

Ταυτόχρονα, οι επιθέσεις στον κυβερνοχώρο εναντίον κρατών ή κοινωνιών, βιομηχανιών, επιχειρήσεων, οργανισμών κτλ. εκφεύγουν του τυπικού στόχου του ενός ατόμου ή της μιας επιχείρησης, όπως επίσης η φύση αυτών είναι κυρίως πολιτικού υποβάθρου, με σκοπό την προσκόμιση οικονομικού κέρδους ή τη συγκέντρωση πληροφοριών. Τα παραπάνω περιγραφόμενα περιστατικά κυβερνοεπιθέσεων στρέφονται κατά κυβερνητικών πρακτόρων, αμυντικών συστημάτων, εταιριών υψηλής τεχνολογίας, ή συνιστούν οικονομικά εγκλήματα που προκαλούν απώλειες άνω του ενός εκατομμυρίου δολαρίων. Μερικές ενδεικτικές περιπτώσεις κυβερνοεπιθέσεων είχαμε για παράδειγμα το 2006, όταν  “ηλεκτρονικοί πειρατές” – χάκερς επεδίωξαν την εισβολή στο δικτυακό σύστημα της Αμερικανικής Ναυτικής Σχολής Πολέμου, θέτοντας εκτός λειτουργίας για περίοδο δύο εβδομάδων ένα από τα ιδρύματά της μέχρι την αποκατάσταση των προσβεβλημένων μηχανημάτων.

Πηγή: securitytoday.com

Παραπέρα, το 2009, 600 ηλεκτρονικοί υπολογιστές του Υπουργείου Εξωτερικών της Ινδίας παραβιάστηκαν ηλεκτρονικά, και το 2010 η Wall Street Journal ανέφερε πως το δίκτυο μιας πολύ σημαντικής αμερικανικής τράπεζας είχε παραβιαστεί, με αποτέλεσμα την απώλεια δεκάδων εκατομμυρίων δολαρίων. Τέλος, το 2017 η Ρωσία απέκτησε πρόσβαση στις προσωπικές τηλεφωνικές συσκευές στρατιωτών του NATO που δραστηριοποιούνταν στην Πολωνία και τη Βαλτική θάλασσα, ενώ παράλληλα Νορβηγοί αξιωματούχοι ανακάλυψαν μια απόπειρα κλοπής στοιχείων ασθενών από ένα νορβηγικό νοσοκομείο, με τις υποψίες για τα αίτια να στρέφονται σε μια άσκηση του ΝΑΤΟ που επρόκειτο να πραγματοποιηθεί άμεσα.

Το ζήτημα που αναδύεται ως προς τη νομοθετική αντιμετώπιση των κυβερνοεπιθέσεων

Από τα παραπάνω έγινε πρόδηλα αντιληπτό ότι τα κράτη και σημαντικές εθνικές δομές στηρίζονται ολοένα και περισσότερο στην τεχνολογία, καθιστώντας τα έτσι πιο ευάλωτα σε ενδεχόμενες επιθέσεις στον κυβερνοχώρο τους. Δεδομένου μάλιστα ότι μια τέτοια επίθεση θα ήταν δυνατόν να λάβει τη διάσταση πολέμου μεταξύ κρατών, εύλογα γεννάται το ερώτημα πώς θα αντιμετώπιζε η διεθνής έννομη τάξη αυτή την προοπτική. Στην αναζήτηση μιας πιθανής  απάντησης ερχόμαστε μπροστά σε ένα νομοθετικό δίλημμα αναφορικά με τις παραδοσιακές μεθόδους απάντησης των θιγομένων κρατών.

Πιο συγκεκριμένα, προστρέχοντας στα ήδη γνωστά μέσα αντίδρασης, ίσως θα προτείνονταν διπλωματικές ή οικονομικές κυρώσεις, κυβερνοαντεπιθέσεις ή ακόμα και αντίμετρα, δημιουργώντας έτσι ερωτήματα για τη νομική τους θεμελίωση σε κανόνες του διεθνούς δικαίου.

Η πρακτική των αντιμέτρων και της νόμιμης βίας στο διεθνές δίκαιο

Αποτελεί γεγονός ότι η διεθνής κοινότητα δεν έχει βρεθεί αντιμέτωπη με περιπτώσεις αντίδρασης ενός θιγομένου από οργανωμένη κυβερνοεπίθεση κράτους προς τη χώρα που επιχείρησε την επίθεση, με αποτέλεσμα να μην υπάρχει κάποιο κανονιστικό προηγούμενο. Συνεπώς, μια πιθανή λύση θα επικεντρωθεί σε ήδη γνωστές πρακτικές από το διεθνές δίκαιο, και ειδικότερα στην πρακτική των αντιμέτρων ή στο δικαίωμα των κρατών στη νόμιμη άμυνα, όπως αυτό κατοχυρώνεται στο άρθρο 51 του Χάρτη των Ηνωμένων Εθνών (ΧΗΕ).

Ξεκινώντας με τη νόμιμη χρήση βίας, το άρθρο 2 παράγραφος 4 του ΧΗΕ απαγορεύει τη χρήση βίας μεταξύ των κρατών με σκοπό τη διασφάλιση της παγκόσμιας ειρήνης και συλλογικής ασφάλειας. Μοναδική εξαίρεση στη γενικευμένη αυτή απαγόρευση συνιστά το άρθρο 51, που επιφυλάσσει υπέρ των κρατών το δικαίωμα στη νόμιμη άμυνα σε περίπτωση ένοπλης επίθεσης.

Πηγή: www.babbins.com

Οι προϋποθέσεις για τη νόμιμη άσκηση του δικαιώματος αυτού συνοψίζονται στα παρακάτω. Το κράτος που ενεργοποιεί το δικαίωμά του στην άμυνα θα πρέπει να δέχεται επίθεση ένοπλη και παρούσα, ενημερώνοντας άμεσα και το Συμβούλιο Ασφαλείας. Ως επίθεση ορίζεται η στρατιωτική επιχείρηση κράτους στην επικράτεια ενός άλλου, που θέτει υπό απειλή την εδαφική κυριαρχία ή ανεξαρτησία της αμυνόμενης χώρας, ενώ αυτή πρέπει να είναι και ενεστώσα – δηλαδή, παρούσα. Παραπέρα, ως ένοπλη επίθεση  νοείται αυτή που διεξάγεται με στρατιωτικά μέσα και όπλα, τονίζοντας έτσι με ακρίβεια το ερμηνευτικό ζήτημα που ανακύπτει του κατά πόσο μια επίθεση στον κυβερνοχώρο στα πλαίσια ενός κυβερνοπολέμου θα ήταν δυνατό να ενταχθεί στον όρο “ένοπλη επίθεση”. Κατά πόσο δηλαδή στοιχειοθετεί ένοπλη επίθεση του άρθρου 51 του ΧΗΕ η επίθεση στο ηλεκτρονικό δίκτυο μιας χώρας, δεδομένου ότι αυτή η μέθοδος αποτελεί ένα νέο όπλο επίθεσης μεταξύ των κρατών. Το ερμηνευτικό αυτό πρόβλημα άρχισε  να γίνεται αισθητό για πρώτη φορά πριν από περίπου 12 χρόνια, χωρίς όμως το Συμβούλιο Ασφαλείας να έχει τοποθετηθεί επί αυτού.

Λαμβάνοντας υπόψη λοιπόν ότι δεν υπάρχει μια σαφής τοποθέτηση του διεθνούς δικαίου ως προς το ερμηνευτικό  αυτό ζήτημα, η επιστήμη είναι αυτή που καλείται να το προσεγγίσει, με κάποιους να τάσσονται υπέρ της άποψης ότι ο όρος “ένοπλη επίθεση” πρέπει να ερμηνεύεται έτσι ώστε να προσαρμόζεται στις τεχνολογικές εξελίξεις και τις σύγχρονες απειλές που ξεπροβάλλουν για την κρατική ασφάλεια, θεωρώντας ως όπλο καθετί που μπορεί να χρησιμοποιηθεί από τα κράτη – και άρα και τις μορφές της κυβερνοεπίθεσης. Η παραπάνω όμως ερμηνεία θα πρέπει να δίδεται εφόσον η κυβερνοεπίθεση είναι τέτοιου εύρους και επιρροής που θα ήταν συγκρίσιμη με μία ένοπλη επίθεση. Αυτό θα οδηγούσε τα θιγόμενα κράτη στην ενεργοποίηση του δικαιώματός τους να αμυνθούν, γεννώντας όμως περαιτέρω το ερώτημα της μορφής που θα είχε η άμυνα. Αν δηλαδή θα έπαιρνε τη μορφή της φυσικής ένοπλης άμυνας, μιας ανάλογης ενδεχομένως κυβερνοαντεπίθεσης, ή άλλων κυρώσεων – όπως για παράδειγμα οικονομικών, διπλωματικών κτλ. Επιπλέον, δεν θα πρέπει να παραβλέπεται η ζημία, η ένταση και το μέγεθος της γενομένης κυβερνοεπίθεσης, η οποία θα πρέπει να είναι ανάλογη με τα νόμιμα μέτρα αντεπίθεσης του θιγομένου κράτους.

Συνεχίζοντας, αναφορικά με την τακτική των αντιμέτρων, αυτά ορίζονται ως μέτρα που λαμβάνονται μονομερώς από το θιγέν-ζημιωμένο κράτος ως απάντηση στην παραβίαση των δικαιωμάτων του από ένα άλλο κράτος, και στρέφονται κατά δικαιωμάτων του παραβιάζοντος κράτους, με σκοπό να οδηγήσουν το τελευταίο σε παύση της αρχικής προκληθείσας παραβίασης ή σε επανόρθωση της προκληθείσας απο αυτή βλάβης (για παράδειγμα πρόκληση ζημιών στα κέρδη ενός κράτους, πάγωμα κρατικών περιουσιακών στοιχείων, κατάργηση μίας άδειας λειτουργίας επιχείρησης στο έδαφος του ζημιωθέντος κράτους κτλ.) . Πιο συγκεκριμένα, τα αντίμετρα δεν περιλαμβάνουν ποτέ τη χρήση βίας, δεν είναι ένοπλα, και βρίσκουν πεδίο εφαρμογής σαν απάντηση σε μια υφιστάμενη και πραγματική παράνομη συμπεριφορά του υπεύθυνου ζημιώσαντος κράτους, αφού προηγουμένως το κράτος κατά του οποίου θα στραφούν τα αντίμετρα θα έχει λάβει σχετική ενημέρωση ή προειδοποίηση. Τέλος, τα επιβαλλόμενα αντίμετρα οφείλουν να είναι ανάλογα της αρχικής ζημίας, αναστρέψιμα, και να διαρκούν όσο παρατηρείται η παραβίαση των δικαιωμάτων του θιγομένου κράτους.

Πηγή: www.insurancejournal.com

Κατόπιν των παραπάνω, οι δύο ορατές λύσεις -με τα ήδη γνωστά μέσα της διεθνούς έννομης τάξης- φαίνεται να είναι η άσκηση του δικαιώματος της νόμιμης άμυνας και η εφαρμογή αντιμέτρων. Είναι αυτονόητο, ωστόσο, ότι η απάντηση θα δοθεί από την επιστήμη και τη δικαστηριακή πρακτική, αφήνοντας ανοιχτό το ενδεχόμενο να εξευρεθούν νέοι και άγνωστοι μέχρι στιγμής μηχανισμοί αντιμετώπισης του ανακύπτοντος ζητήματος.

Αντί επιλόγου

Συμπερασματικά, καθίσταται σαφές ότι το νομοθετικό πλαίσιο για την αντίδραση των κρατών σε υπαρκτές επιθέσεις στον κυβερνοχώρο τους είναι μια γκρίζα ζώνη η οποία δεν έχει ακόμα οριοθετηθεί από τη διεθνή έννομη τάξη, και οι προσεγγιστικές απόπειρες στηρίζονται σε δικαστικό και νομικό προηγούμενο ενόπλων απειλών και επιθέσεων σε χώρες.

Συνεπώς, λαμβάνοντας ως δεδομένο ότι μόνο για το πρώτο εξάμηνο του 2018 τα κλεμμένα αρχεία από κυβερνοεπιθέσεις ανέρχονται στα 1,9 δισεκατομμύρια, κρίνεται επιτακτική η ανάγκη να προσδιοριστεί ο τρόπος αντίδρασης και προστασίας των θιγομένων κρατών με βάση το διεθνές δίκαιο, αφού όπως διαφαίνεται μετατοπίζεται το κέντρο βάρους των διακρατικών προσπαθειών για πλήγματα στην εθνική ακεραιότητα, με την τεχνολογία πλέον να έχει τα σκήπτρα έναντι των παραδοσιακών πολεμικών συγκρούσεων.

Πηγές

1. Csis CENTER FOR STRATEGIG & INTERNATIONAL STUDIES (2018). Significant Cyber Incidents Since 2006.   https://csis-prod.s3.amazonaws.com/s3fs-public/180425_Significant_Cyber_Events_List.pdf?pqetcWcwV7mvAo33_lAZFlQVQz7.E0qh .
2. Heinze, E. (2018). Self-Defense and Reprisals in an Era of Cyber Conflict.  http://www.ou.edu/cis/sponsored_programs/cyber-governance-and-policy-center/blog/self-defense-and-reprisals .
3. IEEE Xplore Innovation Spotlight. (2017). Hacking Back and Cyber Counter Attacks: To Do or Not To Do?.  http://ieeexplore-spotlight.ieee.org/article/hacking-back-counter-attack/ .
4. Loman, M. (2017). The rise of nation state attacks – with intelligence gathering the aim.  https://www.scmagazineuk.com/the-rise-of-nation-state-attacks–with-intelligence-gathering-the-aim/article/661661/ .
5. MacAskill, E. and Syal, R. (2017). Cyber-attack on UK parliament: Russia is suspected culprit. https://www.theguardian.com/politics/2017/jun/25/cyber-attack-on-uk-parliament-russia-is-suspected-culprit .
6. Oxford Public International Law. (2018). Self-defense. http://opil.ouplaw.com/view/10.1093/law:epil/9780199231690/law-9780199231690-e401?prd=EPIL .
7. Oxford Public International Law. (2015). Countermeasures. http://opil.ouplaw.com/view/10.1093/law:epil/9780199231690/law-9780199231690-e1020 
8. Sweet, C. (2017). State-sponsored cyberattacks are now the preferred method of warfare.  https://www.csoonline.com/article/3235270/hacking/state-sponsored-cyberattacks-are-now-the-preferred-method-of-warfare.html .
9. Taddeo, L. (2017). Nation-state cyber attacks come out of the shadows. http://tech.newstatesman.com/guest-opinion/nation-state-cyber-attacks-come-shadows .
10. The Conversation. (2018). Is counter-attack justified against a state-sponsored cyber attack? It’s a legal grey area. https://theconversation.com/is-counter-attack-justified-against-a-state-sponsored-cyber-attack-its-a-legal-grey-area-94023.
11. Unric.org. (2018). Καταστατικός Χάρτης ΟΗΕ. https://www.unric.org/el/index.php?option=com_content&view=article&id=14 .
12. Αντωνίου, Α. (2015). Χρήση Βίας και Αυτοάμυνα Κρατών: Το Παράλληλο Σύμπαν του Διεθνούς Δικαίου. https://www.huffingtonpost.gr/anastasios-antoniou/-_2675_b_8641164.html .
13. Χατζηκωνσταντίνου, Κ., Αποστολίδης, Χ. and Σαρηγιαννίδης, Μ. (2014). Θεμελιώδεις Έννοιες στο Διεθνές Δημόσιο Δίκαιο. ΑΘΗΝΑ-ΘΕΣΣΑΛΟΝΙΚΗ: ΕΚΔΟΣΕΙΣ ΣΑΚΚΟΥΛΑ.