Cyberatak to nie wojna
W 2018 roku Zgromadzenie Og贸lne ONZ , 偶e prawo mi臋dzynarodowe znajduje zastosowanie w cyberprzestrzeni tak samo, jak poza ni膮, za艣 wobec technologii informacyjnych stosowane powinno by膰 鈥瀘dpowiednio鈥. To konstatacja przyj臋ta bez sprzeciwu przez zdecydowan膮 wi臋kszo艣膰 pa艅stw na 艣wiecie. Zastanawiamy si臋 jednak, co ona oznacza w praktyce. Jak 鈥瀘dpowiednio鈥 stosowa膰 normy dotycz膮ce np. odpowiedzialno艣ci pa艅stwa za dzia艂ania sprzeczne z prawem mi臋dzynarodowym, praw cz艂owieka, ustalenia progu napa艣ci zbrojnej, uzasadniaj膮cej wojn臋 obronn膮 i jak odr贸偶ni膰 j膮 od gro藕by u偶ycia si艂y czy ingerencji w suwerenno艣膰 pa艅stwa, kt贸re takiej zbrojnej odpowiedzi nie uzasadniaj膮. Od tego czasu wiele pa艅stwa, w tym Polska (2022) zdecydowa艂o si臋 opublikowa膰 swoje stanowiska odno艣nie do stosowania prawa mi臋dzynarodowego w cyberprzestrzeni, wychodz膮c naprzeciw potrzebom mi臋dzynarodowego pokojowego dialogu.
Z owych deklaracji interpretacja u偶ycia si艂y w cyberprzestrzeni jest jednoznaczna 鈥 pa艅stwa samodzielnie decyduj膮 o kwalifikacji cyberataku jako ewentualnie naruszaj膮cego wskazana przez nie norm臋 prawa mi臋dzynarodowego. I tak na przyk艂ad artyku艂 2(4) Karty Narod贸w Zjednoczonych nakazuje pa艅stwom powstrzymywanie si臋 od gro藕by lub u偶ycia si艂y w stosunkach mi臋dzynarodowych, co obejmuje u偶ycie broni konwencjonalnej oraz cyberoperacje, je艣li ich skutki by艂yby por贸wnywalne. Mi臋dzynarodowy Trybuna艂 Sprawiedliwo艣ci niejednokrotnie potwierdzi艂, 偶e zakaz dotyczy ka偶dego u偶ycia si艂y, niezale偶nie od 艣rodk贸w. Cho膰 jak dot膮d 偶adne z pa艅stw nie 耻锄苍补艂辞 偶adnej cyberoperacji bez fizycznych skutk贸w za u偶ycie si艂y, kraje takie jak Francja, Holandia i Norwegia dopuszczaj膮 t臋 mo偶liwo艣膰, pod warunkiem spe艂nienia okre艣lonych kryteri贸w, takich jak skala i zasi臋g szkodliwych skutk贸w danej operacji. W ocenie autor贸w pierwszego podr臋cznika talli艅skiego NATO, najbli偶ej owego progu by艂 atak przy u偶yciu z艂o艣liwego oprogramowania Stuxnet, opracowanego przez wywiad izraelski i ameryka艅ski, kt贸ry skutecznie spowolni艂 ira艅ski program nuklearny w 2010 roku, cho膰 Iran nie zadeklarowa艂 uznania go za akt wojny. Nie sta艂o si臋 tak偶e w odpowiedzi na p贸藕niejsze (2016), podobne, cho膰 bardziej dotkliwe ataki rosyjskie, realizowane przeciwko pa艅stwom europejskim przy u偶yciu szkodliwego oprogramowania Petya.
U偶ycie si艂y, w cyberprzestrzeni i poza ni膮, jest zatem zawsze nielegalne o ile nie jest zatwierdzone przez Rad臋 Bezpiecze艅stwa ONZ, wykonywane w ramach prawa do samoobrony lub realizowane za zgod膮 pa艅stwa terytorialnego. Mimo braku uznania cyberoperacji bez fizycznych skutk贸w za u偶ycie si艂y, nadal mog膮 one narusza膰 inne zasady prawa mi臋dzynarodowego, takie jak zakaz ingerencji w sprawy wewn臋trzne innego pa艅stwa czy obowi膮zek poszanowania jego suwerenno艣ci. Jednocze艣nie, do tej pory 偶adne z pa艅stw nie zdecydowa艂o si臋 odpowiedzie膰 zbrojnie na atak w cyberprzestrzeni, 艣wiadomie decyduj膮c, 偶e nie osi膮gaj膮 one poziomu napa艣ci zbrojnej.
Polska zabiera g艂os
W ci膮gu ostatnich o艣miu lat 28 pa艅stw (i jedna organizacja mi臋dzynarodowa 鈥 Zwi膮zek Afryka艅ski w 2024 roku) opublikowa艂y swoje stanowiska odno艣nie tego, jak rozumiej膮 odpowiednie dla cyberprzestrzeni stosowanie norm prawa mi臋dzynarodowego dotycz膮cych agresji, samoobrony, odpowiedzialno艣ci pa艅stwa czy nale偶ytej staranno艣ci. Dyskusjom wok贸艂 progu cyberwojny po艣wi臋cono tomy publikacji naukowych i szkoleniowych, w tym natowski 鈥濸odr臋cznik talli艅ski鈥 w jego dw贸ch ods艂onach. Wszystkie owe stanowiska i opracowania potwierdzaj膮, 偶e uznanie ingerencji w suwerenno艣膰 pa艅stwa jako przekraczaj膮cej pr贸g agresji zbrojnej i uzasadniaj膮cej odpowied藕 zbrojn膮 pozostaje w suwerennej kompetencji pa艅stw, jako wyraz ich niezale偶no艣ci.
Hipotetycznie wi臋c, Polska mog艂aby uzna膰, 偶e wzmo偶ona rosyjska aktywno艣膰 w jej sieciach informatycznych uzasadnia podj臋cie odwetowych dzia艂a艅 zbrojnych. Pozostaj膮c jednak stron膮 Paktu P贸艂nocnoatlantyckiego, chcia艂aby z pewno艣ci膮 przekona膰 do tego pogl膮du parter贸w z NATO. To mog艂oby okaza膰 si臋 trudniejsze 鈥 ryzyko eskalacji konfliktu w cyberprzestrzeni do tej pory powstrzymywa艂o pa艅stwa przed tak膮 interpretacj膮 i odpowiedni膮 atrybucj膮 nawet najbardziej szkodliwych, cyberatak贸w. Pierwszym pa艅stwem, kt贸ry pr贸bowa艂 przekona膰 do takiej oceny cyberataku 鈥 jako aktu cyberwojny 鈥 by艂a w 2007 roku Estonia, ofiara ataku DDoS skierowanego przeciwko jej infrastrukturze krytycznej przez rosyjsk膮, prokremlowsk膮 organizacj臋 m艂odzie偶ow膮 鈥濶asi鈥. Rosja, powiadomiona o trwaj膮cym incydencie, odm贸wi艂a pomocy wskazuj膮c na obywatelskie prawo do wyra偶enia sprzeciwu wobec polityki Tallinna, kt贸re realizowali sprawcy. Esto艅czycy wezwali na pomoc parter贸w z NATO, ci jednak, po namy艣le, odm贸wili pomocy. I tak do 2024 roku 偶adne z pa艅stw nara偶onych na cyberataki nie 耻锄苍补艂辞 ich za osi膮gaj膮ce poziom wojny w cyberprzestrzeni, w obawie przed eskalacj膮 konfliktu.
Nieco inaczej kszta艂tuje si臋 sytuacja cyberatak贸w towarzysz膮cych trwaj膮cej ju偶 inwazji zbrojnej, jak w przypadku Ukrainy, Strefy Gazy czy wcze艣niej np. Gruzji. Tutaj jednak interpretacja stanu prawnego nie budzi w膮tpliwo艣ci 鈥 w trakcie trwania konfliktu uzasadniona jest proporcjonalna odpowied藕 zbrojna. Trudno艣ci w interpretacji, tak偶e dla polskiej cyberarmiii, budzi膰 mo偶e jednak zasada proporcjonalno艣ci. Tutaj tak偶e odpowied藕 na pytanie o reakcj臋 proporcjonaln膮 zale偶e膰 b臋dzie od oceny i mo偶liwo艣ci pa艅stwa鈥搊fiary oraz od okoliczno艣ci sprawy. Ma ono prawo broni膰 si臋 skutecznie 鈥 w zale偶no艣ci od rodzaju ataku, si艂a odpowiedzi b臋dzie do niego proporcjonalna. Mo偶na wi臋c hipotetycznie wyobrazi膰 sobie u偶ycie kontr-cyberataku o proporcjonalnej sile, do czego gotowo艣膰 deklaruj膮 wspomniani ju偶 powy偶ej Francuzi czy Holendrzy.
Jak zmierzy膰 cyberatak?
Jak zmierzy膰 鈥瀞i艂臋鈥 cyberataku? Czy mamy do tego skuteczne narz臋dzia? Tu z pomoc膮 przychodz膮 badacze prawa mi臋dzynarodowego i politolodzy. W zako艅czonym niedawno przez U艁 projekcie 鈥炩 centrum badawcze przygotowa艂o dost臋pny w j臋zyku polskim panel operacyjny do pomiaru cyberatak贸w, oparty o interdyscyplinarn膮 metodologi臋. Potrafimy wi臋c zmierzy膰 cyberatak i oceni膰 go w por贸wnaniu z innymi, podobnymi incydentami. Na polskiej stronie projektu odnale藕膰 mo偶na opisy i wska藕niki poszczeg贸lnych cyberincydent贸w, tak偶e tych realizowanych w trakcie wojny w Ukrainie, w tym tych realizowanych przez z艂o偶on膮 z oficer贸w GRU, wiod膮c膮 kremlowsk膮 grup臋 . W repozytorium odnajdziemy tak偶e liczne publikacje, pozwalaj膮ce odpowiedzie膰 na dogmatyczne i praktyczne pytania o pr贸g wojny w cyberprzestrzeni. Do tej pory wszystkie one jednak wyra藕nie zalecaj膮 deeskalacj臋 konfliktu i postrzegania cyberatak贸w jako ewentualnego naruszenia suwerenno艣ci pa艅stwa, skutkuj膮cego odpowiedzialno艣ci膮 mi臋dzynarodow膮 raczej ni偶 odpowiedzi膮 zbrojn膮.
鈥濷dpowiedzialne zachowanie pa艅stw w cyberprzestrzeni鈥, rozumiane jako zachowania pa艅stw zgodne z normami mi臋dzynarodowymi, to tak偶e jeden z priorytet贸w polityki zewn臋trznej Unii Europejskiej. Celem jego realizacji Komisja Europejska i Europejska S艂u偶ba Zewn臋trzna opracowa艂y 鈥濫U Cyberdiplomacy Toolkit鈥, kt贸ry przek艂ada instrumenty prawa mi臋dzynarodowego na j臋zyk powszechnej polityki cyberbezpiecze艅stwa. Europejska cyberdyplomacja pozwala na zgodne z prawem mi臋dzynarodowym, proporcjonalne reakcje na cyberincydenty, poprzedzone mi臋dzynarodow膮 atrybucj膮 鈥 przypisaniem odpowiedzialno艣ci grupom za nimi stoj膮cym lub pa艅stwom, co najmniej godz膮cym si臋 na dzia艂anie takich grup. Polska jest aktywnym uczestnikiem tego mi臋dzynarodowego dialogu, a prawo mi臋dzynarodowe niezb臋dnym instrumentem do jego prowadzenia.
Tekst: dr Joanna Kulesza - Lodz Cyber Hub