جاسوسی سایبری از منظر حقوق بین‌الملل (به بهانه انتساب هک اطلاعات  بخش‌های دولتی و شرکت‌های آمریکایی به روسیه)

تهیه‌کننده: ناصر نداف (گروه پژوهش آکادمی بیگدلی)

با وجود همه‌گیری ویروس کرونا و ورود ضربه‌ی اقتصادی به دولت‌ها بر اثر اعمال قرنطینه و تعطیلی بخش‌های تولیدی، دولت‌ها همچنان به اشکال مختلف علیه یکدیگر دست به اقدامات خصمانه می‌زنند. پیشرفت فناوری و فضای سایبری فرصت نوینی را در اختیار دولت‌ها قرار داده تا میدان نبرد را بدون درگیری مستقیم تغییر دهند. عملیات سایبری گسترده و هک حجم عظیمی از اطلاعات آژانس‌های دولتی از جمله وزارت‌خانه‌های انرژی، بازرگانی و خزانه‌اداری و برخی از شرکت‌های خصوصی آمریکا نمونه‌ی اخیر از این دست عملیات است. دولت آمریکا طی بیانیه‌ای در 5 ژانویه منشأ احتمالی حمله را گروهی در روسیه دانسته و بیشتر آن «عمل جاسوسی» به‌شمارآورده تا «حمله سایبری». بسیاری این گروه را مرتبط با سرویس اطلاعاتی روسیه می‌دانند. البته روسیه چنین اتهامی را رد کرده است.

آژانس­‌های دولتی آمریکا و شماری از شرکت‌های خصوصی این کشور از نرم‌افزار «سولاروایندز» (SolarWinds) برای حفاظت از داده‌های خود استفاده می‌کنند. هک‌کنندگان با وارد کردن کد آلوده به ویروس در به‌روزرسانی‌های این نرم‌افزار توانستند به شبکه‌های رایانه‌ای هدف دست پیدا کنند و اطلاعات را سرقت نمایند. البته شواهدی از حذف، دستکاری یا تخریب اطلاعات وجود ندارد. به گفته‌ی مایکروسافت، حدود 17 هزار مشتری این به‌روزرسانی را نصب کرده‌اند که 80 درصد آن‌ها (44 درصد متعلق به بخش فناوری، 18 درصد متعلق به اندیشکده‌ها و سازمان‌های مردم‌نهاد و 9 درصد متعلق به پیمان‌کاران دولتی) در آمریکا واقع شده‌اند. حال در این جا قصد داریم که به تحلیل عمل «جاسوسی سایبری» از منظر حقوق بین‌الملل و به‌ویژه در چارچوب حقوق مسئولیت بین‌المللی بپردازیم.

مطابق ماده‌ی 2 طرح کمیسیون حقوق بین‌الملل در زمینه‌ی مسئولیت بین‌المللی دولت‌ها بابت اعمال متخلفانه‌ی بین‌المللی، برای این که فعل یا ترک فعلی به عنوان عمل متخلفانه‌ی بین‌المللی توصیف شود، باید واجد دو شرط باشد: 1) قابل انتساب به آن دولت باشد؛ 2) نقض تعهد بین‌المللی یک دولت باشد. اگر در این ماجرا، این ادعای دولت آمریکا را بپذیریم که هکرها مطابق دستورات یا تحت کنترل یا هدایت سرویس جاسوسی دولت روسیه عمل می‌کرده‌اند، در این حالت مطابق ماده 8 طرح مسئولیت، عنصر انتساب تحقق می‌یابد.

حال از آن مهم‌تر، به فرض صحت انتساب، باید به این پرسش پاسخ دهیم که آیا اصولاً این عملیات ارتکابی، نقض تعهد بین‌المللی دولت روسیه است یا خیر. یکی از سناتورهای آمریکایی این اقدام را «به طور بالقوه یک اعلان جنگ» نامیده است و حتی برخی از «دفاع مشروع» سخن گفته‌اند. به عبارت دیگر، مطابق این ادعا، نقض بند 4 از ماده 2 منشور ملل متحد، یعنی نقض ممنوعیت توسل به زور صورت گرفته است. با وجود این، بسیاری از حقوقدانان نیز همانند بیانیه‌ی فوق این عمل را نوعی جاسوسی به‌شمارمی‌آورند. اگرچه قواعد حقوق بین‌الملل در زمینه اقدامات سایبری تکامل نیافته است، مطابق قواعد عام قابل اعمال، برای این که عملی را «اقدام جنگی» بنامیم، باید به آستانه‌ی معینی از شدت یا تخریب رسیده باشد. براساس این رویکردِ «اثرمحور»، جنگ همواره متضمن نوعی خشونت، تلفات و تخریب است. بنابراین، در این مورد که شاهد نوعی دزدی اطلاعات هستیم، وصف اقدام جنگی صحیح نمی‌نماید. البته که برخی از حملات سایبری را می‌توان اقدام جنگی دانست؛ مثلاً حملاتی که سبب انفجار نیروگاه هسته‌ای، تخریب سد یا اختلال در خدمات کنترل ترافیک هوایی و در نتیجه تخریب و تلفات می‌شوند. اقدام اخیر حتی با حمله‌ی سایبری موسوم به «استاکس نت» علیه ایران برای آسیب رساندن به سانتریفیوژهای آن نیز متفاوت است و آستانه‌ی پایین‌تری نسبت به آن دارد. البته نگرش دولت‌ها در این باره متفاوت است؛ مثلاً فرانسه آن دسته از حملات سایبری شدید را که به اقتصاد آن ضربه می‌زنند، توسل به زور دانسته و در واکنش به آن، حق حمله‌ی مسلحانه قائل شده است.

برخی نیز رویکرد «هدف‌محور» را برای توصیف عملیات سایبری درپیش‌گرفته‌اند؛ به این معنا که اگر عملیات سایبری علیه «زیرساخت‌های حیاتی داخلی» یک کشور صورت بگیرد، می‌توان آن را توسل به زور دانست، ولو این که در عمل آسیب فیزیکی وارد نشود. در مورد حملات سایبری اخیر علیه آمریکا نمی‌توان انکار کرد که جاسوسی و دزدی اطلاعات با این حجم، کم‌سابقه بوده است. اهمیت داده‌های به‌سرقت‌رفته به اندازه‌ای است که سارقان را قادر به تخریب یا تغییر این اطلاعات می‌سازد و در نتیجه دست آن‌ها را برای فعالیت‌های مخربی مانند انتشار اطلاعات غلط و تاثیرگذاری بر افکار عمومی بازمی‌گذارد. چنان‌که می‌بینیم، رویکرد هدف‌محور بسیار موسّع است و صرف جمع‌آوری اطلاعات از زیرساخت‌های حیاتی یک کشور را متضمن توسل به زور می‌داند، حال آن که در عمل دولت‌ها بیشتر به رویکرد اثرمحور متمایل هستند و هر عمل را براساس آثار تخریبی آن بر اشیا یا افراد ارزیابی می‌کنند. البته رویکرد اثرمحور از این لحاظ مورد انتقاد واقع شده که در حال حاضر جوامع مدرن به شدت به سیستم‌های رایانه‌ای وابسته هستند و اختلال در آن‌ها می‌تواند به اختلال در کلّ ساختار اقتصادی و امنیتی جامعه بینجامد. ضمن آن که قطعنامه‌ی 3314 مجمع عمومی (1974) درباره‌ی تعریف تجاوز، اقداماتی مانند محاصره‌ی دریایی را نیز که ضرورتاً باعث تخریب یا آسیب مستقیم نمی‌شوند، ذیل مفهوم تجاوز قرار داده است و در نتیجه، ایراد آسیب فیزیکی شرط ضروری حمله‌ی مسلحانه نیست.

پرسش بعدی این است که آیا می‌توان اقدام اخیر را «مداخله در امور داخلی» آمریکا دانست. به موجب رای دیوان بین‌المللی دادگستری در اختلاف میان آمریکا و نیکاراگوئه، عملی را می‌توان مداخله در امور داخلی یک کشور دانست که اولاً با وادار ساختن آن کشور به انجام کاری یا اتخاذ تصمیمی، قدرت انتخاب را از آن سلب نماید و ثانیاً، این اجبار بر حاکمیت انحصاری آن کشور بر امور داخلی یا خارجی آن تاثیر بگذارد (بند 241 رای). نمونه‌ی بارز این گونه مداخله را می‌توان دستکاری و مداخله‌ی یک دولت در فرایند یا نتیجه‌ی انتخاب یک دولت دیگر به منظور تحمیل سیستم سیاسی مطلوب خود دانست. به نظر می‌رسد که عملیات سایبری اخیر را نمی‌توان ذیل مفهوم مداخله دانست؛ چراکه فاقد دو عنصر مذکور است، مگر این که هکرها در آینده اطلاعات گردآوری‌شده برای اجبار دولت آمریکا انجام کاری استفاده کنند که موجب تغییر سیاست‌گذاری و تصمیمات حاکمیتی آن شود. پس صرف این که حمله به بخش‌های دولتی آمریکا صورت گرفته، به تنهایی نمی‌تواند به معنای مداخله در امور داخلی این کشور باشد.

در نهایت، بررسی امکان‌سنجی ارزیابی این عملیات ذیل مفهوم «نقض اصل حاکمیت» است. البته این امر نیز مناقشه‌برانگیز است؛ نخست این‌که اصولاً درباره‌ی قابلیت اعمال اصل احترام به حاکمیت در فضای سایبری اختلاف نظر وجود دارد و دولت‌ها نیز مواضع گوناگونی را در این باره اتخاذ کرده‌اند. ثانیاً، به فرض اعمال اصل احترام به حاکمیت، درباره‌ی نحوه‌ی اعمال و احراز نقض آن دیدگاه‌ها متفاوت است. برخی مانند مایکل اشمیت معتقدند نقض حاکمیت در فضای سایبری، یا متضمن ایراد آسیب مستقیم یا غیرمستقیم به اموال داخل سرزمین یا زیرساخت‌های سایبری دولت هدف است، یا این که باید موجب اختلال در کارکردهای دولتی باشد. در مقابل، عده‌ای صرف دسترسی بدون اجازه به رایانه‌ها، سیستم‌ها یا شبکه‌های رایانه‌ای به منظور گردآوری اطلاعات، اما بدونِ تحت تاثیر قرار دادن کارآمدی آن سیستم یا تخریب، تغییر یا پاک کردن داده‌های موجود در آن را «بهره‌برداری سایبری» نامیده‌اند که متفاوت از «حمله سایبری» است. آن‌ها بهره‌برداری سایبری را نوعی نقض اصل احترام به حاکمیت و اصل تمامیت سرزمینی یک دولت می‌دانند؛ چراکه نوعی اعمال صلاحیت نسبت به سرزمین خارجی است. این در حالی است که دستورالعمل تالین، بهره‌برداری سایبری را که فاقد عنصر اجبار است، حتی اگر باعث عبور از موانعی مانند فایروال‌ها یا کرک کردن گذرواژه‌ها باشد، نقض اصل ممنوعیت مداخله در امور داخلی یک کشور نمی‌داند (بند 33 در شرح قاعده‌ی 66 دستورالعمل تالین 2).

در هر صورت، به نظر می‌رسد که در حال حاضر فاقد قواعد بین‌المللی مشخص در زمینه‌ی جاسوسی سایبری در حقوق بین‌الملل هستیم و عمده‌ی مباحث مربوط به این موضوع جنبه‌ی دکترینی دارد. حتی در هنگام حملات سایبری منتسب به روسیه در زمان انتخابات ریاست‌جمهوری آمریکا در سال 2016 که به اعمال تحریم‌هایی علیه روسیه انجامید، دولت اوباما این تحریم‌ها را «واکنشی متناسب و ضروری نسبت به تلاش‌ها برای آسیب رساندن به منافع آمریکا در نقض هنجارهای تثبیت‌شده‌ی رفتاری» نامید. به‌کارگیری عبارت «هنجارهای تثبیت‌شده‌ی رفتاری» به جای تعهدات یا قواعد حقوق بین‌الملل، خود حکایت از فقدان قواعد الزام‌آور در زمینه جاسوسی سایبری، دستِ‌کم از نظر آمریکا، دارد. قاعده‌ی 66 دستورالعمل تالین 1 به صراحت می‌گوید که جاسوسی سایبری طی یک مخاصمه‌ی مسلحانه، ناقض حقوق بین‌الملل مخاصمات مسلحانه و به‌طور کلّی حقوق بین‌الملل نیست.

با این تحلیل، برخی از سیاستمداران آمریکایی معتقدند محتمل‌ترین واکنش قانونی مشروع در پاسخ به عملیات سایبری مذکور از لحاظ حقوق بین‌الملل می‌تواند توسل به «اقدامات متقابل» به شکل حملات سایبری متقابل و مشابه باشد؛ یعنی اقدامی که در حالت عادی مطابق تعهدات بین‌المللی یک دولت ممنوع است اما دولت قربانی نقض می‌تواند برای پایان دادن به نقض تعهد دولت دیگر به آن متوسل شود. البته در این قضیه، توسل احتمالی آمریکا به اقدامات متقابل محل پرسش است. اولاً انتساب اقدامات مذکور به دولت روسیه به‌طور مستقل هنوز اثبات نشده است. از سوی دیگر، به فرض انتساب عملیات مذکور به دولت روسیه، مطابق مواد 49 تا 53 طرح مسئولیت بین‌المللی دولت‌ها، انجام اقدامات متقابل متضمن رعایت شرایطی است؛ از جمله این که آمریکا باید مطمئن شود که اقدامات متقابل برای واکنش به این عملیات جاسوسی سایبری ضروری و با آن متناسب هستند و سبب پیروی روسیه از تعهدات بین‌المللی‌اش مبنی بر احترام به حاکمیت دولت آمریکا می‌شوند. همچنین، دولت آمریکا باید تلاش کند که پیش از توسل به اقدامات متقابل، مسئله را به طور مسالمت‌آمیز با دولت روسیه حل‌وفصل نماید. از همین رو، مایکل اشمیت، حقوقدان برجسنه، معتقد است که مناسب‌ترین واکنش از لحاظ حقوق بین‌الملل، «اقدام تلافی‌جویانه» (retorsion) است؛ یعنی، بنا به تعریف شرح کمیسیون حقوق بین‌الملل بر طرح مسئولیت دولت‌ها، رفتار غیردوستانه‌ای که با تعهدات بین‌المللی دولتی که به آن مبادرت کرده مغایر نیست، حتی اگر در واکنش به یک فعل متخلفانه بین‌المللی صورت بگیرد. تحریم‌‌های بین‌المللی نمونه‌ی بارز این دست از اقدامات است و دولت بایدن نیز تاکنون وعده‌ی اعمال آن‌ها علیه روسیه بابت این عملیات را داده است.

منابع

• شهبازی، آرامش و آقاجانی رونقی، آیدا، “جاسوسی سایبری در حقوق بین‌المل: مسئله‌ی انتساب مسئولیت بین‌المللی به دولت در هاله‌ای از ابهام”، فصلنامۀ مطالعات حقوق عمومی، دورۀ 50، شمارۀ 4، زمستان 1399، صص 1478-1503.
• Cohen, Zachary, “US intelligence agencies say massive hack of American government likely originated in Russia”, CNN, January 5, 2021, Available at: https://edition.cnn.com/2021/01/05/politics/us-hack-russia/index.html?utm_content=2021-01-05T22%3A00%3A03&utm_source=fbCNN&utm_medium=social&utm_term=link&fbclid=IwAR2srlbDXbFKvqatSrnaH_Va6KPCC6vPTx1OOOU3qAAcaAufgL7jXVjIY1I\
• Dilanian, Ken, “Suspected Russian hack: Was it an epic cyber attack or spy operation?”, nbcnews, d 19, 2020, Available at: https://www.nbcnews.com/news/us-news/suspected-russian-hack-was-it-epic-cyber-attack-or-spy-n1251766
• Fidler, David P., “The U.S. Election Hacks, Cybersecurity, and International Law”, Articles by Maurer Faculty, Vol. 110, 2017, pp. 337-342.
• Hunnicutt, Trevor et al., “Biden’s options for Russian hacking punishment: sanctions, cyber retaliation”, Reuters, DECEMBER 20, 2020, Available at: https://www.reuters.com/article/usa-cyber-breach-biden/bidens-options-for-russian-hacking-punishment-sanctions-cyber-retaliation-idUSKBN28U0DV
• International Law Commission, Draft articles on Responsibility of States for Internationally Wrongful Acts with commentaries, Report of the International Law Commission on the work of its fifty-third session, A/56/10, 2001.
• Kirchner, Stefan, “Beyond Privacy Rights: Crossborder Cyber-Espionage and International Law”, The John Marshall Journal of Information Technology & Privacy Law, Vol. 31 Issue 3, 2014, pp. 369-378.
• Roscini, Marco, “Cyber Operations as a Use of Force”, in Research Handbook on International Law and Cyberspace, Edward Elgar Publishing, 2015, 233-254.
• Schmitt, Michael, “Top Expert Backgrounder: Russia’s SolarWinds Operation and International Law”, Just Security, December 21, 2020, Available at: https://www.justsecurity.org/73946/russias-solarwinds-operation-and-international-law/
• Smith, Brad, “A moment of reckoning: the need for a strong and global cybersecurity response”, Microsoft, Dec 17, 2020, Available at: https://blogs.microsoft.com/on-the-issues/2020/12/17/cyberattacks-cybersecurity-solarwinds-fireeye/
• Waxmant, Matthew C., “Cyber-Attacks and the Use of Force: Back to the Future of Article 2(4)”, THE YALE JOURNAL OF INTERNATIONAL LAW, 36: 421, 2011, pp. 421-459.
• Wolfe, Jan and Pierson, Brendan, “Explainer-U.S. government hack: espionage or act of war?”, Reuters, DECEMBER 19, 2020, Available: https://www.reuters.com/article/global-cyber-legal/explainer-us-government-hack-espionage-or-act-of-war-idUSKBN28T0HD
• Yoo, Christopher S., “Cyber Espionage or Cyberwar? International Law, Domestic Law, and Self-Protective Measures”, Faculty Scholarship at Penn Law, 2015.