Önmérséklet szükséges a nemzetközi hadijogi elvek tiszteletben tartásához
Idén júliusban lesz tíz éve, hogy a NATO a kiberteret mint műveleti hadszínteret határozta meg a 2016-os varsói csúcsértekezleten. Ez logikus következménye volt annak, hogy a szövetség két évvel azelőtt, Walesben a nemzetközi jog alkalmazhatóságát mondta ki ebben az új, ember által alkotott, de a magasan szervezett, ipari társadalmak esetében már akkor is kritikus jelentőséggel bíró tartományban.
A varsói zárónyilatkozat és azóta több NATO-tagállam, valamint az EU által is kibocsátott állásfoglalás nagy jelentőséggel bírt tehát, hiszen – az észak-atlanti térségben legalábbis – egyértelművé tette, hogy az elsősorban államok közötti viszonyokra alkotott nemzetközi hadijogi és humanitárius jogi szabályanyag, legalább alapelvi szinten, analógiák mentén akár, de alkalmazható és alkalmazandó. A feltörekvő hatalmak és más ellenérdekelt szereplők tematikus ENSZ-munkacsoportokban is kifejezett ellenvéleménye ellenére ez a megközelítés meglehetősen komoly alapokon nyugszik – a nemzetközi jogi berendezkedés és intézmények sajnálatos, de egyre több aspektusú eróziója ellenére is, ami az elmúlt években tovább fokozódott.
A XXI. század elejétől egyre komolyabb bűnügyi, majd kifejezetten hibrid fenyegetéssé emelkedett hackercsoportok önálló, részben vagy akár teljesen állami támogatással vagy irányítással működése az egyik legkomolyabb kockázat a kibertérben. Az Anonymous-csoport hacktivistáitól, a számtalan APT-csoporton át, az Ukrajna honvédő erőfeszítéseit támogató, külföldön is szimpatizáló és szaktudást vagy hardvereket biztosító önkénteseket toborzó IT Army of Ukraine olyan szereplőkként jelentek meg, akik időnként állami szintű képességekkel tudnak fellépni, de esetükben az alapvetően állami szereplőkre „méretezett” nemzetközi hadijog és humanitárius jog számos kérdés esetében adós marad adekvát válaszokkal, az ilyen esetben pedig erősen a nemzetközi együttműködésre támaszkodó büntetőjogi igazságszolgáltatás sem ad hatékony eszközöket az esetleg sértett államok kezébe.
Erre a hiányosságra kívánt ajánlásokat megfogalmazni a hadijogi és humanitárius jogi kérdésekben aktív Nemzetközi Vöröskereszt (International Red Cross, ICRC) nemzetközi jogi szakértői csapata 2023 októberében egy 8 szabályból – ha tetszik, műveletvégrehajtási szabályból – álló útmutatóval civil hackerek számára, a fegyveres konfliktusokban követendő magatartásról.
Álláspontjuk szerint több nyomós érv is felhozható ezen egyének és csoportok esetében önmérsékletre. Tevékenységükkel kárt okozhatnak a civil lakosságnak, akár közvetlenül civil célpontokat támadva, akár véletlenül károsítva azokat. Másodszor, a civil hackerek kockáztatják, hogy magukat és a hozzájuk közel állókat katonai műveleteknek teszik ki, mivel az ellenérdekelt hatalom értékelése szerint lehetnek akár ellenségeskedésekben résztvevő személyek, így legitim célpontok. Végül minél aktívabban vesznek részt a civilek a háborúban, annál inkább elmosódik a határvonal a civilek és a harcosok között. Ennek eredményeként pedig szintén tovább nőhet a civilek károsodásának kockázata. Azon túl, hogy a civil hackereknek tiszteletben kell tartaniuk az országok törvényeit, ahol működnek, az ICRC szerint a fegyveres konfliktusok idején a nemzetközi humanitárius jogot is tiszteletben kell(ene) tartaniuk, ezek közül a következőket emelték ki leghangsúlyosabban:
- Ne irányítson kibertámadásokat polgári célpontok ellen.
- Ne használjon rosszindulatú szoftvereket vagy más eszközöket, illetve technikákat, amelyek automatikusan terjednek és válogatás nélkül károsítják a katonai célpontokat és a polgári célpontokat.
- Katonai célpont ellen irányuló kibertámadás tervezésekor tegyen meg minden tőle telhetőt annak érdekében, hogy elkerülje vagy minimálisra csökkentse a művelet polgári személyekre gyakorolt hatását.
- Ne hajtson végre kiberműveletet orvosi és humanitárius létesítmények ellen.
- Ne hajtson végre kibertámadást olyan objektumok ellen, amelyek elengedhetetlenek a lakosság túléléséhez, vagy amelyek veszélyes erőket szabadíthatnak fel.
- Ne fenyegessen erőszakkal a polgári lakosság körében a terror terjesztése érdekében.
- Ne buzdítson a nemzetközi humanitárius jog megsértésére.
- Tartsa be ezeket a szabályokat akkor is, ha az ellenség nem tartja be őket.
Ezt a szabálycsoportot kiegészítették négy ajánlással az országok számára a hackerek igénybevételére, tevékenységük irányítására vonatkozóan, alapvetően azzal a megközelítéssel, hogy az államok nem ösztönözhetik és nem tolerálhatják, hogy civil hackerek fegyveres konfliktusok keretében kiberműveleteket hajtsanak végre.
Ha civil hackerek egy állam utasításai, irányítása vagy ellenőrzése alatt cselekszenek, az adott állam nemzetközi jogilag felelős azoknak a magatartásoknak, amelyek nem állnak összhangban az állam nemzetközi jogi kötelezettségeivel, beleértve a nemzetközi humanitárius jogot is. Például, ha egy állam magánszemélyeket vagy csoportokat „önkéntesekként” alkalmaz, és utasítja őket, hogy a nemzetközi jogot figyelmen kívül hagyva végezzenek bizonyos kiberműveleteket, akkor az állam jogilag felelős az ilyen jogsértésekért.
Az államok nem ösztönözhetnek civileket vagy csoportokat a nemzetközi humanitárius jog megsértésére. Azaz állami szervek – legyenek azok katonai, hírszerzési vagy bármely más kormányzati szereplők – nem utasíthatnak civileket vagy csoportokat például civil célpontok elleni kibertámadásokra, függetlenül attól, hogy ehhez milyen csatornát vagy alkalmazást használnak.
Az államoknak gondossági kötelezettsége van annak megakadályozására, hogy polgári hackerek a területükön megsértsék a nemzetközi humanitárius jogot. Természetesen egy állam nem tudja megakadályozni az összes jogsértést. Ugyanakkor meg kell tennie a megvalósítható intézkedéseket, például nyilvánosan ki kell állnia amellett, hogy a polgári hackerek ne végezzenek fegyveres konfliktusokkal kapcsolatos kiberműveleteket, és ha mégis megteszik, akkor tartsák tiszteletben a nemzetközi humanitárius jogot, valamint a nemzeti jog alapján szankcionálja a jogsértéseket.
Az államoknak kötelességük a háborús bűncselekmények büntetőeljárás alá vonása és a nemzetközi humanitárius jog egyéb megsértéseinek visszaszorításához szükséges intézkedések meghozatala. Ehhez először is olyan törvényeket kell elfogadni és végrehajtani, amelyek háborús bűncselekménynek minősítik a humanitárius jogot sértő kiberműveleteket, másodszor pedig hatékony intézkedéseket kell hozni a nemzetközi humanitárius jog egyéb megsértéseinek megakadályozására, amelyek jogi, fegyelmi vagy közigazgatási intézkedéseket is magukban foglalhatnak.
Samuel White, az amerikai West Point Lieber Intézetének munkatársa egy évvel később készült írásában azt elemezte, hogy vajon volt-e bármilyen hatása az ICRC ajánlásnak a gyakorlatban és a későbbiekben is mennyire várható annak elfogadottá válása. Úgy találta, hogy néhány hackerközösség figyelembe vette az ajánlást, valamint etikus hackercsoportok és kiberbiztonsági szakértők is beépítették ezeket az elveket a felelősségteljes kiberviselkedésről szóló vitákba. Sőt, a QuoIntelligence beszámolója szerint 2023. október 6-án KillMilk (a KillNet alapítója) egy Telegram-bejegyzésben bejelentette, hogy a KillNet betartja az ICRC szabályait. Persze az ICRC szabályainak egyszerű újraposztolása még nem jelenti azt, hogy azok beépültek a szervezet működésébe vagy alkalmaznák. A BBC-interjúi a legfontosabb hacktivista csoportokkal értékes betekintést nyújtanak és feltárják, hogy az ICRC szabályait széles körben elutasítják, mert azok nem alkalmazhatók a tevékenységükre.
White szerint az ICRC iránymutatásai továbbra is szükséges, de nem elégséges válaszok a kiberháború valóságával szemben. Erőteljesebb végrehajtás és elszámoltathatóság nélkül a humanitárius jog nehezen tud lépést tartani a digitális konfliktusokkal. Amíg jogalkotók, a társadalom, és a hackerek közössége maga nem ismeri el az etikai korlátozások szükségességét, a kibertérben zajló műveletek továbbra is jogi és erkölcsi szürke zónában fognak működni, és a tétlenség költségei meglehetősen magasak lehetnek.
Nyitókép forrása: Skorzewiak / depositphotos.com
