ارسال مقاله
Search
Close this search box.

آیا «جنگ سایبری»، جنگ مسلحانه است؟

[۱]

منطبق با طبقه بندی ملزومات حمله سایبری در حقوق بین الملل بشردوستانه

۹ سپتامبر ۲۰۲۱

نویسنده: Lisa M. Cohen

مترجم: کوثر طالبی اسفندارانی (دانجنگ سایبریشجوی دکترای حقوق بین‌الملل عمومی دانشگاه علامه طباطبائی)

ویراستار علمی: دکتر امیر مقامی (عضو هیئت علمی دانشگاه یزد)

چگونه و به چه نحو باید ملزومات حمله سایبری را طبقه بندی کنیم؟ به ویژه در چارچوب حقوق بین الملل بشردوستانه، این سوال که آیا ملزومات حمله سایبری، در زمره تسلیحات، ابزار یا روش های جنگی قرار می گیرد، فقط دارای ارزش معناشناسی نیست بلکه پیامدهای حقوقی نیز به همراه دارد. هم چنان، در اصطلاح شناسی آن عدم هماهنگی قابل توجهی به چشم می خورد.

بدون شک مهم ترین اصطلاح، «تسلیحات سایبری» است. این اصطلاح در کتاب راهنمای تالین ۲ (یک مطالعه جامع علمی غیر الزام آور در زمینه اعمال حقوق بین الملل در عملیات سایبری)، و کتاب های راهنمای نظامی (به عنوان مثال دانمارک)، که از سوی دولت ها (برزیل، مصرکمیته بین المللی صلیب سرخ (ICRC) ، شرکت های فناوری، مقامات دولتی، مطبوعات و دانشگاهیان استفاده می شود، به کار برده شده است. در مقابل، استرالیا و ایالات متحده آمریکا تا حدود زیادی از نامیدن ملزومات حمله سایبری به عنوان «تسلیحات» خودداری می کنند (به عنوان مثال به دستورالعمل های نیروی هوایی، که  تسلیحات و ملزومات سایبری را در متعلق به دو طبقه متفاوت  می دانند، نگاه کنید). با این حال، می توان اصطلاح «ابزارها و روش های جنگ سایبری» را در بسیاری از اسنادی که اخیراً در حوزه سایبری منتشر شده (به عنوان مثال آلمان و فنلاند) ملاحظه نمود.

با توجه به این عدم هماهنگی در حوزه اصطلاح شناسی، این مقاله ارتباط حقوقی و رویکردهای احتمالی به منظور طبقه بندی ملزومات حمله سایبری را بررسی می کند و در نهایت معیارهایی را که بر اساس آن ها می توان این ملزومات را طبقه بندی کرد، ارائه می دهد.

اصطلاح شناسی و پیامدهای حقوقی در طبقه بندی

ملزومات حمله سایبری عبارت است از: منابع، مهارت ها و مفاهیم عملیاتی که به منظور دستکاری، محدودسازی، اختلال، تضعیف یا تخریب سیستم های ارتباطی و اطلاعاتی هدفمند و دسترسی به اهداف راهبردی، سیاسی یا نظامی در یا از طریق فضای مجازی استفاده می شوند. آن ها شامل «کد رایانه ای هستند که با هدف ایجاد آسیب مادی، عملکردی یا روانی به ساختارها، سیستم ها یا افراد مورد استفاده قرار می گیرد یا برای استفاده طراحی شده است» می شود لکن محدود به این مورد نیست.

در حالی که اصطلاح «تسلیحات سایبری» بسیار رایج و معمول است، هیچ تعریف معتبر یا جهانی از «تسلیحات سایبری» وجود ندارد (ن. ک به: اینجا ، اینجا و اینجا). طبقه بندی اغراق آمیز و غالباً نامعقول ملزومات حمله سایبری در دسته «تسلیحات سایبری» ناشی از غفلت نسبت به ویژگی های ملزومات در سوال است و منجر به سردرگمی در خصوص قواعد حقوقی قابل اعمال در این زمینه می شود.

در حوزه حقوق بین الملل بشردوستانه (IHL) ، اصطلاحات «ابزار جنگی» و «روش های جنگی» مناسب تر هستند. مهم این است که «ابزار جنگی» معمولاً شامل تسلیحات و سیستم های تسلیحاتی است (نک. تفسیرکمیته بین المللی صلبی سرخ از پروتکل الحاقی I ، قاعده ۱۰۳ راهنمای تالین ۲ ، و صفحه ۹ سند سوئیسی حوزه سایبری). در این معنا، هر آنچه که مطابق با تعریف فوق از «تسلیحات سایبری» در زمره آن قرار دارد، در محدوده «ابزار جنگی» قرار می گیرد. از سوی دیگر، اصطلاح «روش های جنگی»، «روش یا نحوه استفاده از تسلیحات را مشخص می کند» و «شامل هر گونه روش خاص، فنی یا راهبردی در مخاصماتی است که منحصراً مربوط به تسلیحات نیست و با هدف غلبه و تضعیف دشمن صورت می گیرد، می شود». (اینجا را ببینید ، نک: قاعده ۱۰۳ راهنمای تالین۲).

در حالی که تعهد به بازنگری و اصل احتیاط مطابق با مواد ۳۶ و شق دوم جز (الف) بند ۲ ماده ۵۷ پروتکل الحاقی اول به ترتیب برای هر دو ابزار (شامل تسلیحات) و روش های جنگی اعمال می شود، طبقه بندی ملزومات سایبری در زمره ابزار یا روش های جنگی تفاوت اساسی در حقوق بی طرفی ایجاد می کند. دیگری ممنوعیت متخاصمین «نسبت به عبور مهمات جنگی و یا تدارکات از طریق قلمرو یک دولت بی طرف» (ماده ۲ کنوانسیون پنجم لاهه ) است که کشورهای بی طرف را ملزم می کند تا از عبور متخاصمین از قلمرو خود جلوگیری کنند (ماده ۵ کنوانسیون پنجم لاهه). در قاعده ۱۵۱ راهنمای تالین ۲ آمده است که «حمل و نقل مادی تسلیحات سایبری [و] انتقال تسلیحات سایبری از طریق زیرساخت های سایبری واقع در دولت بی طرف» در زمره ممنوعیت های ماده ۲ کنوانسیون پنجم لاهه می باشد.

مشکل اینجاست که به دلیل ارتباط متقابل فضای مجازی، کدهای مورد استفاده برای عملیات حمله سایبری تقریباً همیشه از طریق سرزمین دولت بی طرف و زیرساخت های فناوری اطلاعات و ارتباطات غیرنظامی (ICT) هدایت می شوند. در همین راستا، سیاق و گستره آن سبب می شود کنترل آن بعد از یک بار به کارگیری تقریباً غیرممکن شود. حتی کرم استاکس نت که علیه تاسیسات هسته ای ایران به کار گرفته شد، اگرچه با دقت طراحی شده و دقیق به شمار می رود، نه تنها بر سیستم مورد نظر تأثیر گذاشت بلکه دامنه آن به اهداف ناخواسته در چندین کشور نیز گسترش یافت. در طول عملیات محدودسازی دسترسی (DDoS) ، Botnets ، یعنی شبکه هایی از دستگاه های متصل به اینترنت به سرقت رفته که از راه دور کنترل می شوند و برای انجام وظیفه خاصی کار می کنند، برای آسیب به یک سیستم هدف گذاری شده از طریق درخواست های اضافه بار و ایجاد اختلال در آن استفاده می شود. تعداد زیادی از درخواست ها احتمالاً سیستم هایی را که از طریق آن ها هدایت می شوند را تحت فشار قرار داده و (به طور موقت) مختل می کنند. بر این اساس، استفاده از ملزومات حمله سایبری که به عنوان ابزار جنگی طبقه بندی می شوند، تقریباً همیشه حقوق بی طرفی را نقض می کند. این امر باعث می شود که بهره گیری از آن ها تقریباً غیرممکن شود.

از سوی دیگر، اگر ملزومات حمله سایبری در زمره روش های جنگی تلقی شود، حقوق بی طرفی دولت ها را از انتقال کدهای مورد استفاده برای عملیات حمله سایبری از طریق خاک دولت بی طرف منع نمی کند: انتقال کد، استفاده مجاز از زیرساخت های فناوری اطلاعات و ارتباطات در سرزمین دولت بی طرف است (نک: ماده ۸  کنوانسیون پنجم لاهه). این امر امکان تحقق هدف حقوق بی طرفی، اعم ازحفاظت از دولت های بی طرف و اتباع آن ها و جلوگیری از تشدید درگیری ها را به حداقل می رساند.

دیالکتیک رویکرد معیار واحد و رویکرد موردی

مطابق اصطلاحات انتخاب شده در راهنمای تالین ۲، اکثر اسناد حوزه سایبری که در دسترس عموم قرار گرفته است دربردارنده عبارت «ابزار و روش های جنگ سایبری» (به عنوان مثال استرالیا ، آلمان ، فنلاند، سوئیس و کمیته بین المللی صلیب سرخ هستند). در حالی که تمامی اسناد فاقد توضیحاتی در زمینه معیارهای تمایز میان ابزارها و روش ها هستند، اما از طرفداران طبقه بندی موردی هستند.

در مقابل، رویکرد «معیار واحد» برای طبقه بندی است که در حال حاضر از سوی ویراستار عمومی کتاب راهنمای تالین، مایکل اشمیت، مورد استناد قرار گرفته است. در مقام قیاس، او نتیجه می گیرد که الزامات حمله سایبری فاقد ویژگی رایج تسلیحات مادی شناخته شده هستند – علت مستقیم تأثیر نهایی بر هدف – زیرا آن ها «صرفاً تلاش می کنند تا رایانه دیگری را به انجام کاری ترغیب کنند». بنابراین، تمامی الزامات حمله سایبری در زمره روش های جنگی قرار می گیرند.

با توجه به انواع و اقسام ابزارهای فنی ملزومات سایبری، رویکرد «معیار واحد» بیش از حد سهل انگارانه است. علاوه بر این، تکیه بر ویژگی های تعیین کننده در دامنه مادی این واقعیت را نادیده می گیرد که ماهیت ملزومات سایبری، موضع گیری و راه های ورود آسیب، اساساً با تسلیحات فیزیکی متفاوت است. اثر نهایی (یعنی آسیب/تخریب اشیا، جراحت/مرگ افراد) اثر اولیه سلاح های فیزیکی است، در حالی که معمولاً تأثیر درجه دوم یا سوم ملزومات سایبری است. آثار اولیه ملزومات سایبری شامل «حذف، تخریب یا تغییر داده ها یا اختلال در شبکه رایانه ای دشمن است». به عنوان مثال، کرم استاکس نت، با موفقیت عملکرد سانتریفیوژها را در تأسیسات غنی سازی هسته ای ایران تحت تسلط خود قرار داد و باعث شد سیستم دستورالعمل های دستکاری شده (اثر اولیه) ارسال کند ، که منجر به عملکرد نادرست سانتریفیوژها (اثر ثانویه) و در نهایت تخریب برخی از سانتریفیوژها (اثر سوم و نهایی) شد.

در مطلوب ترین حالت که از دست دادن عملکرد به عنوان آسیب شناخته شود، اثر اولیه Botnets مورد استفاده در عملیات محدود سازی دسترسی( DDoS)، اختلال (موقت) سیستم هدف با میزان درخواست هایی که به سیستم هدف ارسال می کنند و باج افزار (مانند WannaCry ) که فایل های هدف را رمزگذاری و غیر قابل استفاده می کند، نیزمی تواند اثر نهایی قلمداد شود.

اگر داده ها نیز به عنوان یک شی در نظر گرفته شوند، این امر در مورد حذف داده های بدافزار نیز صادق است.

این ملزومات دارای ویژگی مشترکی هستند که – هنگامی که برای نخستین بار راه اندازی شد – بدون دخالت انسان عمل کرده و توسعه می یابد، بنابراین خطر تقریباً بی حد و حصری از جهت گسترش غیرقابل کنترل و آسیب رساندن به اهداف ناخواسته را در پی دارد. می توان از آن ها به عنوان خودکار یاد کرد.

ملزومات سایبری غیر خودکار متفاوت از این ملزومات سایبری هستند که به منظور دسترسی و کنترل بر روی سیستم که بعداً می تواند به طور دستی هدایت شود، استفاده می شود (به عنوان مثال حوادث اخیر نیروگاه های آب را در نظر بگیرید). در اینجا، اثر نهایی با تأثیر اولیه ملزومات حمله سایبری آغاز نمی شود. برای ورود آسیب، نیاز به دخالت عامل انسانی به منظور بهره برداری از موقعیت ایجاد شده به وسیله اثر اولیه می باشد.

نتیجه گیری: پیشنهادی برای معیارهای طبقه بندی

با توجه به آنچه گفته شد، ظرفیت ورود خسارت یا تخریب به عنوان یک اثر اولیه نباید از ویژگی های اساسی یک سلاح سایبری باشد – زیرا هیچ تعریف معتبری از تسلیحات به آن نیاز ندارد و با شیوه عملکرد همه ملزومات سایبری در تعارض است. طبقه بندی ملزومات حمله سایبری باید بر ابزارهای فنی، نیاز به دخالت انسانی به منظور ورود آسیب و تأثیرات آن بر سیستم هدف، جمعیت غیرنظامی و کشورهای بی طرف متمرکز باشد.

در این راستا، ملزومات حمله سایبری در صورت ۱) خودکار بودن ، ۲) ظرفیت شروع فرایند منجر به اثر نهایی بر روی هدف به طور مستقل و بدون دخالت انسان ، و ۳) می خواهد و می تواند سبب حد معینی از آسیب شود (نه فقط ناراحتی، تحریک یا ترس) باید به عنوان ابزارهای جنگی (سلاح) طبقه بندی شوند. به عنوان مثال، کرم استاکس نت در این دسته قرار می گیرد.

از سوی دیگر، ملزومات غیرخودکار حمله سایبری، که به نحو موثری در آن وضعیتی که درنتیجه اثر اولیه و به منظور ورود آسیب (به عنوان مثال حوادث نیروگاه های آب)، به کار گرفته شده است، روش های جنگی را تشکیل می دهد. این امرهم چنین با روش های جنگ فیزیکی، مانند خیانت جنگی، که در آن به طور مثال تسلیم و تظاهر یا استفاده نادرست از نشان های مشخصه که باعث جلب اعتماد طرف متخاصم (اثر اولیه) می شود، با هدف آسیب رساندن مورد سواستفاده قرار می گیرد، هم خوانی دارد.

گرچه معیارهای ذکر شده در بالا احتمالاً سوالات پیچیده ای را به دنبال خواهد داشت، اما می تواند نقطه شروع بحث در مورد طبقه بندی ملزومات سایبری مستقل از اتکای ناکافی به  اثبات کردن ظرفیت ملزومات سایبری در چارچوب ویژگی های تسلیحات فیزیکی باشد.

[۱] https://voelkerrechtsblog.org/is-cyberwar-fought-with-weapons/

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

با ما در ارتباط باشید

© کلیه حقوق مادی و معنوی این وبسایت متعلق به آکادمی بیگدلی می‌باشد.
طراحی و توسعه وبسایت: سالین تیم – salinteam.com