La nivel mondial există certitudinea că un singur stat, indiferent de anvergura pe care o are, nu poate echilibra singur balanța în fața provocărilor globale. Schimbările climatice, terorismul internațional sau amenințările cibernetice reprezintă doar câteva fenomene a căror ameliorare, combatere și, eventual, soluționare necesită instaurarea unui climat de cooperare între membrii comunității internaționale. Dreptul internațional este cel care oferă un astfel de cadru pentru crearea unei societăți internaționale în care toți actorii implicați colaborează. Rolul său este tocmai de a oferi un set de norme și reglementări care să stabilească limitele unui comportament acceptabil în relațiile dintre state, păstrând totodată o zonă de libertate și un spațiu important pentru negociere, unanim agreate.
Amenințările și atacurile cibernetice, spre deosebire de celelalte fenomene, se desfășoară într-un spațiu atipic caracterizat prin asimetrie, dinamism și lipsa granițelor geografice. Spațiul cibernetic excede planul material, iar o utilizare malițioasă poate afecta securitatea națională, siguranța publică și interesele economice ale unui stat.
Prevenirea conflictelor în spaţiul cibernetic
În prezent, legislația internațională reglementează în termeni mult prea generali problema gestionării spațiului cibernetic. Cu toate că internetul apăruse în urmă cu câteva decenii, abia în anul 2013 statele au convenit că dreptul internațional se aplică și în domeniul securității cibernetice, consensul fiind obţinut în urma raportului emis de către Grupul de Experți Guvernamentali (UNGGE) constituit sub auspiciile Adunării Generale a Națiunilor Unite (ONU). Deși acest consens a fost apreciat, la acea vreme, ca un reper în ceea ce privește acordurile inter-statale, acesta a fost exprimat sub forma unui raport cu caracter de recomandare, și nu obligatoriu. Raportul arată că respectarea acestor recomandări previne conflictul în spațiul cibernetic, favorizează dezvoltarea relaţiilor internaţionale și reduce riscurile raportate la securitatea internațională, asigurând un climat de pace.
Grupul care a agreat documentul a fost format din 15 state membre ale ONU printre care se numărau și China, Federația Rusă și Statele Unite. Prin urmare, acordul poate fi considerat mai degrabă ca o înțelegere parțială în comunitatea internațională, cu atât mai mult cu cât au rezultat mai multe întrebări decât răspunsuri. Într-adevăr, spațiul cibernetic nu este un mediu lipsit de reglementare juridică – după cum vom vedea în cele ce urmează – dreptul internațional aplicându-se prin principiile sale deja consacrate, dar cum anume se poate ajunge la norme clare unanim acceptate nu a fost încă stabilit în mod concret. O analiză preponderent juridică nu este suficientă pentru a rezolva această dilemă, ci este necesară atât o perspectivă tehnică, cât și una geopolitică.
Din punct de vedere juridic, multe dintre legile referitoare la utilizarea infrastructurilor IT&C ce țin de securitatea națională au o abordare prea generală. Pe de o parte există state care au venit cu propria interpretare a dreptului internațional fără a evalua dacă principiile legislației existente sunt suficiente, iar pe de altă parte unele state victime ale atacurilor cibernetice nu au caracterizat acțiunile ofensive îndreptate împotriva lor ca fiind încălcări ale dreptului internațional.
Articolul 2(4) din Carta ONU, considerată a fi documentul fundamental al dreptului internațional cutumiar, stabilește regula de bază în caz de conflict armat între state: „Toți Membrii Organizației se vor abține, în relațiile lor internaționale, să recurgă la amenințarea cu forța sau la folosirea ei fie împotriva integrității teritoriale ori independenței politice a vreunui stat, fie în orice alt mod incompatibil cu scopurile Națiunilor Unite”. Carta prevede și două excepții de la această interdicție generală – folosirea forței autorizate de către Consiliul de Securitate potrivit articolului 42 și dreptul la auto-apărare conform articolului 51.
Folosirea forţei în spaţiul virtual
Încă de la inițierea primelor operațiuni cibernetice, doctrina de specialitate și practicienii au încercat să stabilească pragul de la care o acțiune cibernetică ofensivă poate fi considerată „folosire a forței”. Diferența esențială dintre un atac cibernetic și o operațiune cibernetică constă tocmai în efecte, în primul caz fiind vorba de producerea unor pagube materiale imense sau chiar pierderea de vieți umane – exact ca în cazul unui război clasic. În absența unor reglementări specifice, apare următoarea controversă: operațiunile cibernetice care nu provoacă pagube încalcă totuși interdicția Cartei ONU?
Curtea Internațională de Justiție a dat o interpretare mai largă termenului „folosire a forței” pentru situațiile în care forța cinetică sau operațiunile non-cinetice generează efecte similare. Astfel, în cazul Nicaragua, Curtea a catalogat ca „folosire a forței” acțiunea statului care sprijină forțele de gherilă angajate în acțiuni ostile îndreptate împotriva altui stat. Plecând de la această hotărâre, a fost realizată analogia cu un actor statal care furnizează un malware unei grupări de hackeri, pe care îi sprijină cu scopul de a provoca daune altui actor statal, încălcând astfel interdicția Cartei. Totodată, Curtea Internațională de Justiție a stabilit următoarele condiții obligatorii ce trebuie îndeplinite pentru recurgerea la „folosire a forței”, ca ripostă sau respingere a unei acțiuni ofensive, și anume: să existe o gravitate a actului de agresiune și să poată fi atribuit statului împotriva căruia se recurge la forță ca autoapărare; utilizarea forței să fie proporțională cu intensitatea atacului și să fie folosită doar în ultimă instanță, astfel încât probabilitatea de a obține un rezultat pozitiv să fie cât mai ridicată. Dar aplicarea acestor condiții în spațiul cibernetic este dificilă, dacă nu chiar imposibilă.
Chiar dacă spionajul cibernetic, ca formă de manifestare a operațiunilor cibernetice, sau un atac cibernetic nu întrunesc toate criteriile unei agresiuni militare, nu înseamnă că dreptul internațional nu se aplică în cazul unor astfel de acțiuni. De exemplu, interferența cu economia, spațiul aerian, maritim sau teritorial ale unui stat, cu toate că nu este interzisă de art. 2(4) din Cartă, încalcă totuși dreptul internațional, respectiv principiul non-intervenției care este prevăzut în numeroase tratate internaționale.
Din punct de vedere tehnic, este necesară identificarea modului în care caracteristicile sistemelor informatice permit eludarea cadrului legal pentru a vedea, concret, cum se aplică dreptul internațional în spațiul cibernetic. Trebuie avute în vedere mijloacele tehnice actuale care sunt folosite de către unele state pentru a ascunde implicarea în operațiuni cibernetice, fapt ce complică aplicarea dreptului internațional privind responsabilitatea statului. De asemenea, tehnologia oferă statelor mijloace prin care să își calibreze efectele acțiunilor astfel încât acestea să rămână sub pragul definiţiei de „folosire a forței”, deci sub pragul încălcării legii.
Dezbaterea rămâne deschisă
Privind din perspectivă geopolitică, putem afirma că statele au propriile lor interese și concurează pentru control inclusiv în spațiul cibernetic. Există dezacorduri între state în ceea ce privește aplicarea principiilor de drept internațional și respectarea drepturilor internaționale umanitare atunci când sunt folosite infrastructurile cibernetice în scopuri ofensive. Un exemplu este constituirea celor două grupuri de lucru la nivelul ONU, prin rezoluțiile adoptate în 2018: grupul de lucru deschis cu participare extinsă, OEWG (The United Nations Open-Ended Working Group), constituit la propunerea Federației Ruse, și grupul de experți guvernamentali, UNGGE (The United Nations Group of Governmental Experts), constituit la propunerea SUA și susținut de UE, fiecare având propria viziune în ceea ce privește aplicabilitatea dreptului internațional.
România a fost acceptată în UNGGE în aprilie 2019, fapt ce se reflectă și în plan național printr-o colaborare strânsă între instituțiile cu atribuții în asigurarea securității cibernetice. Printre instituțiile participante la demers se numără și Serviciul Român de Informații prin Centrul Național Cyberint, care se implică activ atât în activitățile tehnice specifice de prevenire și contracarare a vulnerabilităţilor și amenințărilor cibernetice manifestate pe plan național, cât și în susținerea aplicării regulilor și normelor de drept internațional în spațiul cibernetic. Dreptul, în special dreptul internațional, are rolul de a reglementa și legifera prezentul, oferind astfel un contur al viitorului. Modul în care percepem astăzi conflictul a fost profund schimbat de evoluția tehnologică în domeniul IT și, implicit, de operațiunile care se desfășoară în spațiul cibernetic, ale căror consecințe transcend granițele geopolitice. Însă oricare ar fi modalitățile prin care dreptul internațional se aplică în spațiul cibernetic sau contramăsurile de auto-apărare pe care le vor iniția statele în cazul unui conflict, acestea nu pot substitui măsurile de securitate cibernetică. Prin acestea se înţelege educația cibernetică în rândul populației civile, dar și în sectorul public și privat, și aplicarea unui set de bune practici de securitate cibernetică, scopul principal fiind acela de a preveni, înainte de a combate.
Abstract
Cyber threats are a vast topic with numerous questions and issues to be discussed not only by specialists, but also by the research community in cybersecurity. Are cyber threats similar to armed attacks and, if so, what type of legislation should be applied? The article examines these questions and offers new insights into how international law may be applied using principles acknowledged by the Charter of the United Nations.
Autor: Ana Badea-Mihalcea
