Cyberatak to wojna naszych czasów

[b] Czy zmasowany cyberatak przeciwko jakiemuś państwu, który powoduje dotkliwe straty, np. paraliż całego systemu finansowego, można według prawa międzynarodowego traktować tak samo jak atak bronią konwencjonalną?

dr Jacek Barcik, specjalista prawa międzynarodowego z Uniwersytetu Śląskiego:[/b] Nie. Mamy do czynienia z nowym zjawiskiem, a prawo konfliktów zbrojnych było tworzone w latach 40. XX wieku. Nikomu się nie śniło wtedy o "cyberwojnie". Prawo nie jest więc dostosowane do takich sytuacji.

[b]Nie można odpowiedzieć siłą na taki cyberatak? Państwo, którego resorty zostały sparaliżowane, ma chyba prawo do samoobrony? [/b]

W świetle współczesnego prawa konfliktów zbrojnych nie można w ten sposób odpowiedzieć na cyberatak. Karta Narodów Zjednoczonych wyraźnie zakazuje użycia siły z wyjątkiem wąsko rozumianej sytuacji zbrojnej napaści na dany kraj. Nawet w razie ataku terrorystycznego w zasadzie takiej prawnej możliwości nie ma.

[b]Skutki cyberataku mogą być jednak bardziej dotkliwe niż napaść konwencjonalna, wręcz porównywalne ze spustoszeniem, jakie poczynić może w danym kraju broń masowego rażenia. Da się w ten sposób sparaliżować sieć energetyczną, wodociągi itd. [/b]

Zgoda, tylko w ten sposób mamy do czynienia z prawniczym "szpagatem" – postęp technologiczny i cywilizacyjny rozchodzi się trochę z obowiązującym stanem prawnym. Skoro jednak skutki ataku mogą być groźniejsze niż tradycyjnej akcji zbrojnej, powstaje pytanie: jak reagować. Trzeba podkreślić, że regulacje prawa międzynarodowego dopuszczają odpowiedź tylko na atak innego państwa, a w wypadku cyberataku przeprowadzają to osoby fizyczne – zwykle młodzi hakerzy, którym bardzo trudno udowodnić, że działali na zlecenie władz państwa.

[b]Czasami jednak – tak było w wypadku ataku hakerów przeciwko Estonii czy Gruzji – udało się wykazać, że co najmniej część z tych akcji prowadzono z rosyjskich serwerów rządowych. To już jest dowód agresji państwa. [/b]

Rzeczywiście, najbardziej znany jest przypadek ataku rosyjskiego na serwery estońskie w 2007 r. Warto jednak zwrócić uwagę, jak wielkie są nawet tu trudności z wykazaniem, że stoi za tym państwo rosyjskie. Nie udowodniono tego. We wrześniu rosyjscy hakerzy atakowali z kolei Polskę. ABW potwierdziła próbę takiego ataku, ale nikt nie sugerował nawet, że było to inspirowane przez państwo czy przez władze. Jak więc przypisać państwu odpowiedzialność za taki atak?

[b]Państwo jednak odpowiada na przykład za tolerowanie istnienia na jego terytorium grup zbrojnych, które zagrażają sąsiadom. Uznano przecież, że Turcja miała prawo przeprowadzić akcję przeciwko bojownikom kurdyjskim na terytorium Iraku, bo władze tego kraju nie robiły nic, by te grupy atakujące Turcję spacyfikować. [/b]

Cały czas mówimy jednak o odpowiedzialności państwa za czyny wiążące się z użyciem przemocy zbrojnej przeciwko innemu państwu. Cyberatak tak klasyfikowany nie jest. Ten problem jest jednak nagłaśniany od czasu, gdy w tym roku chińscy hakerzy włamali się do serwerów USA. Amerykanie przeprowadzili śledztwo, a to doprowadziło ich do chińskich serwerów rządowych. Okazało się w dodatku, że instytucje amerykańskie są słabo chronione przed takimi atakami. Już w 1988 roku zanotowano sześć podobnych. Teraz ta liczba idzie w dziesiątki tysięcy. W każdym razie po ogłoszeniu rezultatów śledztwa czasopismo "Stars and Stripes" – powołując się na jednego z generałów amerykańskich – napisało, że USA będą na takie ataki odpowiadać zbrojnie. Tu mamy do czynienia z pewnym déja vu. Za czasów prezydentury George'a Busha już tworzono koncepcje, delikatnie mówiąc, naciągane z punktu widzenia prawa międzynarodowego – takie jak "uderzenie prewencyjne". Specjaliści mają poważne wątpliwości, czy takie pomysły należy wykorzystywać w wypadku cyberataków.

[b]Jeśli jednak uznamy, że państwo ma prawo do samoobrony, może przynajmniej odpowiedzieć tym samym. Czyli w odwecie na akcję hakerów sparaliżować serwery państwa, które przypuściło na nie atak. [/b]

Co nie znaczy, że prawo takie postępowanie akceptuje. Wiąże się z tym sporo problemów. Przede wszystkim musimy wiedzieć, że cyberatak faktycznie przeprowadziło państwo lub przynajmniej go inspirowało, bo nawet zdolny nastolatek potrafi dziś włamać się do instytucji rządowej.

[b]Atakowane państwo też może "zachęcić" kilku nastolatków do podobnej odpowiedzi… [/b]

To prawda. W dodatku może się okazać, że niektórzy z nich są za młodzi, by za to odpowiadać. Poza tym wiemy, że atak inspirowany przez państwo nie musi zostać przeprowadzony z jego serwerów. Można go dokonać z dowolnego miejsca na świecie. Jak zatem udowodnić odpowiedzialność danego kraju? Trzeba też – rozważając użycie siły zbrojnej w odpowiedzi na cyberatak – określić, o jakim ataku mówimy. Na pewno nie o każdym – jego skutki musiałyby być bardzo poważne. Mamy zatem do czynienia z nowym modelem wojny. XIX -wieczny teoretyk Karl von Clausewitz mówił, że każda epoka ma swoje wojny. To samo spotyka nas.

[b]Jak się zatem przed nimi bronić? [/b]

USA mają specjalny program infiltracji sieci rządowych, zainicjowany za prezydentury Busha i w ten sposób starają się pozyskiwać informacje. Czy to jest działanie na pograniczu agresji albo szpiegostwa? Prawo nie odpowiada jednoznacznie na takie pytanie.

[b]Kiedy jednak w 2007 r. Estonia mocno ucierpiała na skutek ataku rosyjskich hakerów, rozważała nawet podobno, czy nie jest to wypadek uzasadniający odwołanie się do artykułu 5. traktatu waszyngtońskiego, czyli uznania, że to atak na członka Sojuszu, traktowany jak atak przeciwko całemu NATO. [/b]

Zatem powstaje kolejne pytanie: czy cyberatak może być podstawą do uruchomienia klauzuli wzajemnej obrony z tego artykułu? Zresztą jest tajemnicą poliszynela, że hakerzy z państw NATO wspierali w tym czasie Estonię. Nieformalna klauzula traktatu została więc uruchomiona.

[b]Czy cokolwiek zmienia w takim razie, według prawa, sytuacja, gdy uderzenie hakerów towarzyszy akcji zbrojnej przeciwko danemu państwu? Tak było w wypadku konfliktu gruzińsko-rosyjskiego. [/b]

Wtedy sytuacja jest dość klarowna. Jeśli mamy do czynienia ze zbrojną napaścią, jest to klasyfikowane jako niedopuszczalna agresja. W przypadku samego cyberataku na odpowiedź zbrojną prawo nie zezwala. Zresztą tu rodzi się kolejne pytanie – jak określić, co byłoby odpowiedzią proporcjonalną? Czy można np. odpowiedzieć bronią nuklearną? I nie jest to pytanie abstrakcyjne, bo w przypadku zamachów terrorystycznych przecież je rozważano.

[b]Skoro prawo nie sankcjonuje odpowiedzi zbrojnej na cyberatak, jak można dochodzić odszkodowania za poniesione straty? Czy któryś trybunał międzynarodowy taką skargę rozpatrzy? [/b]

Jeśli nie da się tego danemu państwu jednoznacznie udowodnić – żaden, bo np. na postępowanie w Hadze muszą się zgodzić obie strony konfliktu, skoro państwa są suwerenne. Można by natomiast powołać komisję arbitrażową. Liczy się też nacisk opinii publicznej – jeśli sprawa jest nagłośniona, szanse, że państwo odpowiedzialne za atak przeprosi, wyda sprawców i wypłaci odszkodowanie rosną. Tak jak było w przypadku zamachu nad Lockerbie.