Nemzetközi normák és jog
Blogbejegyzésünk első részében ismertettük az USA hálózatai elleni SolarWind kiberakció részleteit. A károk felderítésére létrehozott szövetségi testület, a Kíber Koordinációs Egyesített Munkacsoport első nyilatkozata kapcsán utaltunk a kibertér konfliktusainak fő problémájára: az attribúció, azaz a támadók azonosításának nehézségére.
Ám a nyilatkozat tartalmaz még egy rövid ténymegállapítást, ami talán az egész közlemény legfontosabb eleme lehet. Tulajdonképpen okafogyottá teszi az egész hipotézis-gyártást a támadók kilétéről. A nyilatkozat ugyanis leszögezi: „Jelen pillanatban úgy gondoljuk, hogy ez az akció egy hírszerző művelet volt, és továbbra is az maradt.”
Ez már háború?
A fenti mondat jelentőségét az adja, hogy ezen a megállapításon állhat az egész ügy további kimenetele – adott esetben veszélyes eszkalációja. Amerikai politikai körökben azzal az állásponttal találkozhattunk, hogy ez a rendkívüli horderejű incidens valójában egy kibertámadás volt. Azaz, egy háborús cselekedet. A koncepció legfőbb szószólói között találjuk Dick Durbin demokrata szenátort, aki egyenesen úgy fogalmazott, hogy ez az akció „lényegében hadüzenetnek tekintendő”. Már pedig ő igen befolyásos tényező az amerikai politikában: évtizedeken át töltötte be a szenátusi demokrata frakció vezetői posztját, aminek révén ő számít a törvényhozás második legmagasabb rangú demokrata tagjának. Tovább súlyosbítja a helyzetet, hogy ennek a felfogásnak hasonlóan befolyásos támogatói akadtak az amerikai belpolitika másik erőcsoportjában is, Marco Rubio személyében. A republikánus szenátor 2016-ban az elnökjelöltségért is elindult, de egyébként is az amerikai külpolitika egyik legnagyobb hatalmú formálója, akit az USA „árnyék külügyminiszterének” is szoktak nevezni. Ő egyenesen azt követelte, hogy „Amerikának válaszcsapást kell mérnie, mégpedig nem holmi szankciókkal”. Valamivel visszafogottabb álláspontot képvisel ugyan az amerikai külpolitikai elit legfontosabb háttérintézménye, a Council on Foreign Relations néhány befolyásos tagja (mint például John Bellinger, aki a republikánus Condoleezza Rice külügyminisztersége alatt volt a State Department vezető jogtanácsosa), nyitva hagyva ugyanakkor annak a lehetőségét, hogy a mostani kiberincidens valójában a háborús cselekmények kategóriájába tartozzék.
A tét ez: háborús cselekedetnek számító akció esetén az USA hasonló módon, tehát akár fegyveres erőszakkal válaszolhat, méghozzá „jogszerűen”. Ezen a ponton válik ugyanakkor nyilvánvalóvá az is, hogy miért olyan fontos, és főleg miért olyan sürgős már a nyomozás előtt megnevezni az akcióért felelős államot. Hiszen katonai akcióval visszavágni csak ismert ellenfélnek lehet.
Nemzetközi szabályozás, jogok és elvek
A szövetségi munkacsoport kijelentése, hogy az ügy „hírszerző tevékenységnek” tekintendő, azért is nagy jelentőségű, mert a kibertér relatíve újnak számító (és a hagyományos harci terekhez, a szárazföldhöz, vízhez, levegőhöz képest jelentősen eltérő, hiszen jórészt „megfoghatatlan”) szférájában zajló konfliktusok szabályozása még sok szempontból gyerekcipőben jár. Azaz: nehéz eldönteni, hogy egy-egy akció a „kiberhadviselés” kategóriájába tartozik-e (tehát háborús cselekménynek számít), vagy csupán a kiberhírszerzés esetével van-e dolgunk. Hiszen mindkét tevékenységet ugyanazon hálózatokon és eszközökkel végzik, és a választóvonalat csupán néhány billentyű leütésével át lehet lépni.
A hagyományos terekben zajló háborúskodás nemzetközi szabályozása hosszú evolúciós folyamat eredménye. Nagyjából a XIX. századtól alakulnak a háborúra vonatkozó jognak azok a szabályai, amelyek jó része meglepően hosszú életűnek bizonyult. A XX. század elejétől kap a hadijog nemzetközi szabályozása komoly lendületet, amelynek kiteljesedését a II. világháborút követő nemzetközi rendezés időszaka hozza el.
Míg a háború „hagyományos közegekben” zajló formáira a nemzetközi jog aprólékos normarendszert kínál, addig a kibertér egyfajta szabályozási fehér foltnak számít. Ugyanakkor a kiberhadviselés tekintetében is, bizonyos nemzetközileg mérvadónak tekinthető irányelvek már rendelkezésre állnak. Az Észtországot ért orosz kibertámadások nyomán (jórészt NATO-tagállami kezdeményezésre és nemzetközi szakmai részvétellel) 2013-ban kidolgozott Tallini Kézikönyv igyekszik elvi és gyakorlati útmutatót biztosítani a kibertérben zajló konfliktusok normatív kezelésére. Kidolgozói lényegében a már létező nemzetközi jogi normákat alkalmazták az új kiberközegre. Kifejezetten azokra a tevékenységekre fókuszál egyébként ez a munka, amelyek egyértelműen „erőszakos” cselekménynek tekinthetők. Szabályozási elvei szerint a kibertér azon műveletei tekintendők a nemzetközi jog szerinti „harci cselekményeknek”, amelyek fizikai károkozást idéznek elő, „kinetikus” jellegűek. Az ilyen cselekményekre a hagyományos háborús doménekben alkalmazott nemzetközi hadijogi elveket irányozza elő a Tallini Kézikönyv. Fontos hangsúlyozni: itt nem beszélhetünk kötelező jogi normákról (nemzetközi hadijog szabályokról); a Tallini Kézikönyv alkalmazása önkéntes, ezért tekintendő inkább iránymutatásnak.
Inkább béke, és ha lehet, párbeszéd
A választóvonal ugyan keskeny, de azért a kibertérben is jól elkülönül a tényleges fizikai károkozással járó cselekedet az „egyszerű” hírszerző műveletektől. A mostani SolarWind hackerakcióval kapcsolatban pedig az amerikai kiberbiztonsági szakértők kezdettől hangsúlyozták: az jellegzetes kiberhírszerzési hadműveletnek tekintendő. Noha a művelet részleteit, mint arra fentebb már utaltunk, aprólékos és hosszadalmas vizsgálattal lehet csak majd kideríteni, a SolarWind esetében minden jel szerint a tömeges információgyűjtés volt a cél, nem pedig a rendszerekben való fizikai károkozás. Ez pedig teljesen „normális” része a mindennapi ügymenetnek. Ami fontos: a kibertérben való információgyűjtés, hírszerzés békeidőben sem számít törvénytelen cselekedetnek. Az ilyen „nem károkozási célú” akciók leírására, legalább irányelv szintű nemzetközi szabályozására is készült egy dokumentum. Az eredeti Tallini Kézikönyv kiegészítésére, továbbfejlesztésére készítette el, szintén egy nemzetközi jogi és kiberszakértőkből álló csoport a Tallini Kézikönyv 2.0-át. Ez a kibertér nem erőszakos műveleteinek leírására és szabályozására ad gyakorlati támpontokat. Mivel a hatályos nemzetközi jog nem rendelkezik a hírszerzési műveletekről, ezért a Tallini Kézikönyv szerzői azt az álláspontot tették magukévá, hogy a kibertérben történő hírszerzés nem ütközik a nemzetközi jogba. Ebben a megállapításban rejlik a néhány napja közzétett hivatalos amerikai nyilatkozat jelentősége. Azzal, hogy a SolarWind akciót egyértelműen hírszerző műveletnek nyilvánította, de facto elismerte annak jogszerűségét, tagadva így ugyanakkor egy erőszakos válaszcsapás indokoltságát, sőt jogszerűségét is.
Az ügyben megszólaló amerikai hírszerzési szakemberek is azt emelik ki: a SolarWind akció jellegzetes hírszerző hadművelet. Méghozzá olyan, amiben szinte valamennyi nagyobb és középhatalom otthonosan mozog. Mindenekelőtt természetesen az Egyesült Államok. Ennek fényében érthető: a hírszerzés emberei egyenesen ellen-termékenynek, veszélyesnek tartják azt, ha ezt a mostani akciót „háborús cselekedetnek” minősíti a politika. A megszólalók egy része még a nem erőszakos jellegű visszavágástól is óv: a kibertér konfliktusmezejének egyik jellegzetessége ugyanis éppen az, hogy a normál konfliktusdimenziókhoz képest sokkal könnyebben csúszhatnak ki a dolgok az ellenőrzés alól. Magyarán, nagyobb az eszkalálódás veszélye. Megfontolandó az is: a kibertér viszonyai között kevéssé működik a hagyományos viszonyok között stratégiai etalonnak számító elrettentés. Valójában egyfajta „permanens kiberműveleti világra” érdemes tehát felkészülni.
Figyelemre méltó, hogy az USA kiberhírszerzéssel foglalkozó szakmai közegében is erőteljesen vetődik fel a gondolat: a kibertér viszonyainak normatív rendezését előkészítő párbeszéd megindítása az ellenfelekkel létfontosságú lenne. Gyors áttörésre, a kibertér hadviselését, hírszerzését szabályozó nemzetközi egyezményekre nem számít ugyan senki. Azonban az apró lépések is fontosak lehetnek, hogy legalább az együttműködés alapjait megteremtsék, amire később akár közös normarendszer épülhet.
Források:
An Act of War? Avoiding a Dangerous Crisis in Cyberspace (2020). https://carnegie.ru/commentary/83505?mkt_tok=eyJpIjoiTmpBMlkyRXdZVFUwTVRFeCIsInQiOiJMbDd4MHh4aGo4ajAyKzFySit4Tjc0dGlXXC8wZGp2Q21oTXZGenZma0JmclJRRUJoVTdQS01TVTRDRWxaYXZOcDVtMG95aG9xblFVSDZJVFJlWVY4TXQ5Z1wvNlJWUnFJNVluSGwxZmlZdVFcL0ZhMXlyY1JobUxETDZPSEY0YXRXUyJ9
Calling SolarWind Hacks Act of War Just Makes It Worse (2020). https://breakingdefense.com/2020/12/calling-solarwinds-hack-act-of-war-just-makes-it-worse/
Cyberwar Is Over Hyped: It Ain’t War Til Someone Dies (2013). https://breakingdefense.com/2013/09/cyberwar-is-over-hyped-it-aint-war-til-someone-dies/
Joint Statement by the Federal Bureau of Investigation (FBI), the Cybersecurity and Infrastructure Security Agency (CISA), the Office of the Director of National Intelligence (ODNI), and the National Security Agency (NSA) (2021). https://www.cisa.gov/news/2021/01/05/joint-statement-federal-bureau-investigation-fbi-cybersecurity-and-infrastructure
Rid, Thomas (2013): Cyber War Will Not Take Place. Oxford, Oxford University Press
Russia’s SolarWind Attacks (2020). https://www.schneier.com/blog/archives/2020/12/russias-solarwinds-attack.html
Schneier, Bruce (2018): Click Here to Kill Everybody. Security and Survival in a Hyper-connected World. New York, W.W. Norton and Company.
Tallin Manual 2.0 on the International Law Applicable to Cyber Operations. (2017):Cambridge, Cambridge University Press
