به نام خدا
نویسنده: Gary Corn
مترجم: ناصر نداف (گروه پژوهش آکادمی بیگدلی)
ویراستار علمی: دکتر رضوان باقرزاده، عضو هیئت علمی دانشگاه بوعلی سینای همدان
این، یک اعلان رسمی ([گرچه] دیرهنگام) است: باجافزارها یک مشکل امنیت ملی هستند. رئیسجمهور بایدن، با شناسایی تهدید راهبردی کنونی سازمانهای مخفی خلافکار (که اغلب دارای پیوندهایی ناپایدار یا پنهانی با دولت-ملتها هستند) نسبت به زیرساختهای حیاتی، اقتصاد و خدمات عمومی اساسی، ماه گذشته [جولای ۲۰۲۱] تصریح کرد که ایالات متحده، دیگر بلای فزاینده حملات مجرمانه باجافزاری را فقط از دید محدود اعمال قانون نخواهد دید. همانگونه که با تأسیس یک گروه اقدام چند مأموریتی باجافزار توسط کاخ سفید مشخص شد، این موضوع یک تهدید امنیت ملی است که نیازمند اقدام قاطع و هماهنگ، با استفاده از کلیه عناصر قدرت ملی، است. بنابراین، جدیدترین هشدار رئیسجمهور بایدن به رئیسجمهور پوتین در جریان یک مکالمه تلفنی در ۹ جولای، صریح به نظر میرسد: مراقب مشکل باجافزار که منشأ آن روسیه است باشید یا ایالات متحده مراقب خواهد بود!
همانگونه که جک گلداسمیت اشاره دارد، این نخستینباری نیست که بایدن یا پیشینیان او هشدارهای شدیداللحنی در مورد تهدیدهای سایبری روسیه به پوتین دادهاند. [اما …] آنچه این بار متفاوت است، این است که عملیات سایبری که ایالات متحده از پوتین میخواهد متوقف شود، مستقیماً قابل انتساب به دولت روسیه نیست؛ بلکه این عملیات کار مجرمان روس است و اگر روسیه دست به اقدام علیه آنها نزند، بایدن انجام عملیات سایبری علیه زیرساختهای آنها را بخشی از ابزار خودیاری تلقی میکند. بایدن مشخصاً در جریان تماس با پوتین به او گفت که ایالات متحده «هرگونه اقدام لازم برای دفاع از مردم و زیرساختهای اساسی خود را در مواجهه با این چالش دائمی به کار خواهد بست» و زمانی که خبرنگاران پرسیدند که آیا این اقدامات ممکن است شامل عملیات سایبری علیه زیرساختهای پشتیبان این حملات باشد، پاسخ او کوتاه بود: «بله»!
[…] از تصمیم روشن بایدن در مورد استقبال از عملیات سایبری با هدف ایجاد اختلال در زیرساختهای خارجی سازمانهای خلافکار غیردولتی، دستکم به عنوان یک گزینه، چه نتیجهای میتوان گرفت؟ آیا این نشاندهنده موضع در حال تحول ایالات متحده در خصوص بحث حلنشده بر سر قاعده ادعایی مراقبت مقتضی سایبری است؟ یعنی آیا در حال حاضر ایالات متحده، روسیه (و احتمالاً سایر دولتهایی که زیرساختهای باجافزاری در قلمرو آنها قرار دارد) را به جهت اقدامات سازمانهای خلافکار غیردولتی از نظر حقوقی مستقیم یا غیرمستقیم مسئول میداند؟ یا این ارزیابی – که دستکم با نظر بریتانیا (و وزارت دفاع دولت آمریکا) مطابقت دارد – را بازتاب میدهد که اصل حاکمیت یک مانع حقوقی برای هدایت برخی عملیات باجافزاری متقابل نیست؟
[…] اشمیت، با اذعان به اهمیت مشکل باجافزارها و این واقعیت که پارادایم واکنش نشان دادن در چارچوب اعمال قانون به تنهایی کافی نبوده است، نیاز به اتخاذ «رویکردی تهاجمیتر از گذشته» را تأیید میکند. او پیشنهاد میکند برای عملیات باجافزاری متقابل […]، ایالات متحده باید صراحتاً از سه موضع حقوقی درهمتنیده حمایت نماید: «۱) حاکمیت یک قاعده حقوق بینالملل است؛ ۲) دولتها برای پایان دادن به عملیات سایبری خصمانه، باید از قلمرو خود مراقبت مقتضی به عمل آورند؛ و ۳) دولتها میتوانند در اقدامات متقابل دستهجمعی مشارکت نمایند». […]
وضعیت حلنشده حقوق بینالملل
پرسشهایی از قبیل اینکه آیا و به چه نحو حقوق بینالملل بر تعاملات میان دولتها در حوزه سایبری اعمال میشود، سالها محل بحث بوده است. در حال حاضر، پاسخ به پرسش نخست به طور موثر داده شده است؛ حقوق بینالملل بر فعالیتهای دولتها در فضای سایبری و از طریق فضای سایبری اعمال میشود. آمریکا مدتهاست که پیشگام اتخاذ چنین موضعی است و خود را ملتزم به تعهدات بینالمللی در انجام عملیات سایبری میداند.
اما پاسخ به پرسش دوم بهمراتب چالش برانگیزتر است. پس از سالها مذاکره، «گروه کارشناسان دولتی سازمان ملل متحد» (GGE) و «کارگروه نامحدود» (OEWG) تنها نهادهای رسمی متشکل از چند دولت هستند که به این مسئله میپردازند و فقط بر سر تعداد انگشتشماری از موضوعات اساسی به اجماع دست یافتهاند. همچنین شمار فزاینده اظهارنظرهای مقامات دولتی طی چند سال گذشته حاکی از اختلاف دیدگاهها است. در مورد برخی نکات، توافق گستردهای در میان دولتهایی که مشارکت کردهاند وجود دارد؛ از جمله این دیدگاه که عملیات سایبری ذیل حقوق منع توسل به زور و آنگاه که به عنوان بخشی از مخاصمه مسلحانه صورت میگیرد تابع حقوق مخاصمات مسلحانه است. در مقابل، دولتها در خصوص حاکمیت و مراقبت مقتضی دیدگاههای متنوعی را ارائه کردهاند و اجماعی حاصل نشده است.
[…] آمریکا به نحو ضمنی رویکرد خود را نسبت به مسئله چندبعدیِ جایگاهِ هنجاری و محتوای اصل حاکمیت نشان داده است (اینجا، اینجا و اینجا). […] برای مثال، وزارت دفاع آمریکا، همگرایی خود را با این موضع انگلستان اعلام کرده است که ادله کافی برای وجود قاعده حقوق بینالملل عرفی در خصوص حاکمیت وجود ندارد تا «به طور کلی … عملیات سایبری در قلمرو دولت دیگر را بدون رضایت آن دولت ممنوع کند». دیدگاه ایالات متحده در مورد مراقبت مقتضی [از این هم] مبهمتر است [و] بسیاری معتقدند هنوز آمریکا متقاعد نشده که این یک قاعده قابل اعمال حقوق بینالملل در چارچوب سایبری است. […]
پیغمبرِ دروغینِ اقدامات متقابل
اقدامات متقابل، [اقداماتی] ذیل اقدامات توسل به زور هستند که به تنهایی غیرقانونی خواهند بود، اما به واقع، در واکنش به یک عمل متخلفانه بینالمللی دولت دیگر اتخاذ میشوند و مشخصاً هدفشان وادار ساختن دولت متخلف به پیروی [از تعهدات خود] یا جبران خسارت است. در ارتباط با مسأله خاص اقدامات متقابل جمعی اشمیت درست میگوید. همان گونه که اریک تالبُت جنسن و من در سال ۲۰۱۸ نوشتیم و اشمیت و سین واتس جدیدتر اشاره کردهاند، فارغ از تکیه بر یک بنیان حقوقی ضعیف، این دیدگاه که دولتها نمیتوانند اقدامات متقابل را در کمک جمعی به سایر دولت ها به کار گیرند، با فضای امنیتی کنونی ناسازگار و متناقض است.
[…] اما در حالی که گاه عملیات شراکتی ممکن است سودمند باشد، هیچ قرینهای وجود ندارد که آمریکا نیاز داشته باشد یا بخواهد برای ایجاد آثار سایبری مختلکنندهی مورد نظر بایدن [علیه حملات سایبری] در وهله نخست به دیگران تکیه نماید. [بنابراین] طبق پیشفرض، این موارد عملیاتهای تحت هدایت [خود] ایالات متحده هستند.
بهعلاوه، قواعد اقدامات متقابل دچار یک سری محدودیتهای دیگری هستند … که به شدت از کارآیی آنها میکاهد […]؛ برای مثال، یک دیدگاه کلی وجود دارد که نمیتوان به صورت پیشدستانه به اقدامات متقابل مبادرت ورزید […]. تلاش برای وادار ساختن دولت دیگر به متوقف ساختن یا خاتمه بخشیدن به عملیات سایبری متخلفانه، گاه ممکن است آخرین [و در عین حال] بهترین گزینه باشد؛ اما این یک رویکرد گذشتهگرا و نه رویکردی معطوف به آینده است؛ آن جا که [کار از کار گذشته و] آسیبها آشکار شده و دشمن مهاجم احتمالاً به اهداف خود رسیده است. همچنین اقدامات متقابل فقط علیه دولتها میسر است، نه بازیگران غیردولتی یا سازمانهای خلافکار […].
مراقبت مقتضی- بالا بردن یا ایجاد انتظارات کاذب
[…] در بیانی موسع، تعهد بینالمللی مورد ادعا در خصوص مراقبت مقتضی سایبری اقتضا دارد که دولتها اجازه ندهند تا از سرزمینشان برای اعمال متخلفانه بینالمللی (در فضای سایبری با استفاده از ابزارهای فناوری اطلاعات و ارتباطات) استفاده شود و اقدامات متعارفی را برای توقف فعالیتهای سایبری متخلفانه از سرزمین خود، دستکم تا جایی که اطلاع دارند یا باید اطلاع داشته باشند، انجام دهند. این امر علیالظاهر سودمند و معقول مینماید. با این همه، بنا به دلایل موجهی، قابلیت اعمال و گستره قاعده مراقبت مقتضی بر فضای سایبری، همچون اصول حاکمیت، چندان تثبیت نشده است.
درحالیکه گروهی از دولتها از این دیدگاه حمایت کردهاند که مراقبت مقتضی یک قاعده عام حقوق بینالملل عرفی است که بر فضای سایبری به شکل خاصی اعمال میشود، سایرین مشخصاً مخالفت میورزند، و چنانکه اشمیت تأیید میکند و اساتیدی همچون شان واتس و اریک جنسن در بحثی جالب پیرامون محتوای موضوع نوشتهاند، در حال حاضر شواهد کافی وجود ندارد تا مدعی شویم که قاعده مراقبت مقتضی مشخصی برای فضای سایبری به عنوان بخشی از حقوق بینالملل عرفی وجود دارد [… و] GGE هم مفهوم مراقبت مقتضی را صرفاً هنجاری داوطلبانه و غیرالزامآور شمرده است.
به باور اشمیت، عدم حمایت از مراقبت مقتضی به عنوان قاعده الزامآور حقوق بینالملل، آمریکا را از [امکان توسل به] مبنایی حقوقی برای واکنش نشان دادن به «عملیات سایبری خصمانه بازیگران غیردولتی یا آنجا که اثبات انتساب قطعی آن عملیات به یک دولت دشوار باشد» مؤثراً محروم خواهد کرد؛ [زیرا تعهدی متوجه روسیه نخواهد بود … .]
در میان طرفداران مراقبت مقتضی در فضای سایبری، طیف متنوعی از دیدگاهها درباره گستره این قاعده ادعایی وجود دارد. برخی معتقدند تعهد به مراقبت مقتضی برای داشتن هرگونه اثر واقعی و کارآمدی باید تعهد دولتها به نظارت بر زیرساختهای سایبری داخلی و جلوگیری از طیف وسیعی آسیبهای سایبری فرامرزی را نیز در بر بگیرد؛ […] اگرچه پذیرش چنین نسخه جسورانهای از مراقبت مقتضی برای فضای منحصر به فرد سایبری نگرانیهای جدیدی را درباره آثار [سوء] احتمالی بر حقهای بشری مانند حریم شخصی و آزادی بیان مطرح میکند. همچنین انتظارات نامعقولی را نسبت به دولتها ایجاد مینماید و به نحو قابل توجهی آنها را بیش از پیش در معرض ادعاهای نقض و متعاقباً اثر بالقوه تنشزای اقدامات متقابل قرار میدهد؛ چنانکه واتس و جنسن به درستی راه احتیاط را در پیش گرفتهاند […].
کسانی که از قاعده مراقبت مقتضی در فضای سایبری حمایت میکنند، به این نگرانیها با چنین ادعایی واکنش نشان میدهند که […] مطابق رویکرد راهنمای تالین ۲، که اشمیت نیز حامی آن است، مراقبت مقتضی در فضای سایبری متضمن تکلیف به نظارت و پیشگیری نیست و تنها در صورت آگاهی بالفعل یا متعارف از وقوع آسیبها ایجاد میشود. این رویکرد نیز بدون چالش نیست؛ چون دولت قربانی برای مطلع کردن دولت مبدأ حمله احتمالاً مجبور خواهد بود برخی از منابع یا روشهای اطلاعاتی خود را فاش کند. افزون بر این، مراقبت مقتضی نوعی تعهد به وسیله است نه تعهد به نتیجه؛ یعنی اگر یک دولت خاص نتواند منبع حمله را شناسایی نماید یا اقدامی مؤثر برای متوقف ساختن فعالیت سایبری زیانبار بازیگر غیردولتی مستقر در مرزهایش اتخاذ کند، تعهد خود به مراقبت مقتضی را نقض نکرده است. […] نهایتاً چنانکه اشمیت اشاره میکند، مراقبت مقتضی سایبری تنها جایی اعمال میشود که آسیب فرامرزی ناشی از دولت سرزمینی به نقض حقوق بینالملل بینجامد و پیامدهای آن آسیب اساسی باشد.
[در مجموع] فارغ از معنای ذهنی و نامعین «اساسی» و پایینتر بودن طیف متنوعی از فعالیتهای زیانبار از این آستانه، اگر بگوییم که در خصوص نظارت بر بازیگران غیردولتی، ادعای نقض مراقبت مقتضی سایبری در را به روی انجام اقدامات متقابل علیه بازیگران غیردولتی مجرم باز میکند، اغراق کردهایم. [… از جمله به این دلیل که] اگر هدف از اقدامات متقابل وادار ساختن دولت متخلف به رعایت تعهدات خود باشد، معلوم نیست اقدام متقابل علیه بازیگران غیردولتی متخلف چه اثر بازدارندهای بر خود دولت سرزمینی (دولت مبدأ حمله) دارد؛ [به ویژه آنکه] زیرساختهای گروههای خلافکار در سطح جهان پراکنده است […]. این امر بدین معنا نیست که درخواستها برای پذیرش قاعده مراقبت مقتضی مختص فضای سایبری به خودی خود کاملاً فاقد ارزش است. پذیرش گسترده مراقبت مقتضی در فضای سایبری بهمثابه یک قاعده حقوق بینالملل عرفی میتواند فشار بر دولتها با هدف بهبود امنیت کلی سایبری را در چارچوب مرزهای آنها افزایش دهد که تماماً امر مثبتی است […].
قاعده ادعایی حاکمیت- مراقبت باشید برای چه چیزی چانه میزنید!
بحث در خصوص قاعده جایگاه هنجاری و حد و مرز حاکمیت، بحثی دیرپا [و همچنان] حلنشده است. […] تمامی قراین حاکی از این است که آمریکا در پذیرش رویکرد قاعده ۴ راهنمای تالین ۲ که اشمیت از آن حمایت میکند، عجلهای ندارد. با این وجود، اشمیت به دو دلیل معتقد است که آمریکا باید از این قاعده حمایت نماید: بازدارندگی بیشتر و اجبار قویتر (یعنی امکان توسل به اقدامات متقابل). […]
در یک کلام، شواهد اندکی وجود دارد که حقوق بینالملل به خودی خود ابزار مؤثری برای بازدارندگی باشد. ناگفته پیداست که وجود قواعد، ذاتی نظم بینالمللی قاعدهمحور است و بسیاری از دولتها آن را برای تعامل با یکدیگر در چارچوب چنین سیستمی سودمند مییابند. توسعه و تقویت نظم قاعدهمحور هدف آمریکا است و باید چنین باشد. اما تهدید به مجازات هم نیست که دولتها را به سمت حکومت قانون سوق میدهد، چه برسد به شرمندهسازی! این امر ناشی از ثبات و پیشبینیپذیری این سیستم و مزایای گسترده فعالیت در چارچوب جامعهای از دولتها است که عموماً مبتنی بر همکاری است؛ اگرچه برای دولتهایی مانند روسیه که با نظم قاعدهمحور سر ناسازگاری دارند، پیروی از حقوق بینالملل […] بر مبنای محاسبه ریسک هزینه واقعی عدم پیروی و سود احتمالی نقض حقوق بینالملل است. کافی است نقضهای مکرر ممنوعیت توسل به زور مندرج در منشور ملل متحد توسط روسیه و تضاد آن را با تلاشهای سرسختانه این دولت برای عدم عبور از این آستانه در عملیات سایبری علیه آمریکا و متحدانش در ناتو ملاحظه نمود. این ارزش هنجاری قواعد منع توسل به زور نیست که برای روسیه اهمیت دارد، بلکه واقعیت این است که بند ۴ ماده ۲ منشور عملاً به مثابه خط قرمزی برای اقدام قهری تلافیجویانه بعدی در دفاع مشروع است؛ ریسکی که روسیه در مواجهه با اوکراین یا گرجستان چندان نگران آن نیست.
این باور که روسیه و دیگر دستاندرکاران و پشتیبانان حملات باجافزاری و سایر عملیات سایبری خلافکارانه به صرف اعلام آنها به عنوان ناقضان حقوق بینالملل متوقف میشوند، اصلاً واقعبینانه نیست. ادعای مکرر اشمیت مبنی بر اینکه اعلام عملیات سایبری فرامرزی بهعنوان موارد نقض قاعده حاکمیت «به دولت به اصطلاح قربانی اجازه خواهد داد تا از دولت مسئول بابت نقض حقوق بینالملل نام ببرد و آن را شرمنده سازد»، شواهد عظیم کنونی دال بر تأثیر بازدارنده اندک و نزدیک به صفر را نادیده میگیرد. همچنین از ویژگیهای راهبردی منحصربهفرد قلمرو سایبری غفلت میورزد که زمان و تلاشهای صورتگرفته ثابت کردهاند تحتتأثیر نظریههای سنتی مربوط به بازدارندگی نیستند. نشر اتهام نقض حاکمیت بعید است که واقعیت را دگرگون نماید […].
[… بنابراین] حمایت از حاکمیت به عنوان یک قاعده، مندرج در قاعده ۴ [تالین ۲]، عملیات سایبری متقابل [امریکا علیه روسیه] را قطعاً محدود مینماید. […] چنین حمایتی حکایت از بازگشت به سیاست خویشتنداری دارد که پیش از سال ۲۰۱۸ غالب بود و شکست خورد.
درهمآمیختن دو مفهوم: اخلال [در عملیات مخرب سایبری] در مقابل بازدارندگی و اجبار
[…] چنانکه دیگران نشان دادهاند و من در اینجا بحث کردهام، مفاهیم سنتی مربوط به بازدارندگی با فضای سایبری تناسبی ندارند و تا حد زیادی غیرمؤثر بودهاند. افزون بر این، […] کارآیی حقوق بینالملل در دستیابی به بازدارندگی، در بهترین حالت، ناروشن است.
[…] اقدامات متقابل بهعنوان ابراز تحمیل قهری، میتوانند در صورت اقتضا نقشی سودمند در اجبار بازی کنند، اما همچنان نمیتوان آن را یک نوشداروی حقوقی یا امنیتی دانست. چنانکه گفته شد، اقدامات متقابل اسیر تنگناهایی هستند که کارآمدی آنها را در فضای سایبری محدود میکند. بهعلاوه، کسانی که به اقدامات متقابل امید بستهاند، اغلب مؤلفههای تنشزا در استناد به اقدامات متقابل را نادیده میگیرند […].
اما نکته اصلی در مورد عملیات سایبری مخل تهدیدات جاری و مورد انتظار، از قبیل نابود کردن زیرساختهای باجافزاری خلافکاران، پیشگیری یا اجبار متخاصمین نیست؛ […] میان بازدارندگی و اجبار و نیز عملیات دفاعی فعال به قصد مقابله با تهدیدات سایبری خصمانه در حال پیشرفت که نیاز فوری به آنها وجود دارد باید قائل به تفکیک شد […]. چنانکه پیشتر در خصوص مفهوم وزارت دفاع از دفاع پیشگیرانه یادآور شدهام:
«[…] دفاع پیشگیرانه به معنای به چالش کشیدن، مختل کردن و تضعیف تهاجم سایبری است [… و] اصولاً درصدد اختلال [در عملیات مخرب سایبری] است، نه منصرف کردن [مهاجم]»
[…] پذیرش قاعده مطلوب اشمیت [که بر پیشگیری و اجبار تأکید میکند]، فضای مانور برای انجام عملیات ضدسایبری را به غلط محدود میسازد. پذیرش توصیههای اشمیت به جای ایجاد «اشتراک مساعی مطلوب»، بار دیگر ابتکار عمل را به دولتهای مهاجم و متخاصمین در این فضا میسپارد و گزینههای ایجاد اخلال در فعالیتهای باجافزاری خلافکارانه را محدود مینماید. به زبان ساده، با توجه به مؤلفههای راهبردی فضای سایبری، تکیه بر اقدامات متقابل شبیه تیراندازی مستمر به پشت سر یک هدف متحرک است که بعید است از دستاوردهای راهبردی دشمن بکاهد یا شرایط امنیتی را به نفع آمریکا تعیین کند. آمریکا باید پیش از پذیرش خامدستانه مواضعی که گزینههایش را به غلط محدود میکند، آموزههای مربوط به مؤلفههای این فضای راهبردی منحصر به فرد را [نیز] در نظر داشته باشد.
برآیند بحث
تجربه نشان داده است تکیه بر بازدارندگی برای فراهم نمودن چتر امنیتی علیه تهدیدات سایبری که به شدت بدان نیاز است، تلاشی بیثمر محسوب میشود؛ [چه،] امید یک روش نیست […]. حقوق بینالملل، درست مانند سایر حوزهها، نقش مهمی در فراهم کردن درجهای از امنیت و ثبات در فضای سایبری – که به طور جهانی بههمپیوسته است – دارد. اما این فضا نوظهور و متغیر است و دولتها باید با احتیاط ارزیابی کنند که در راستای منافع فردی و جمعی چه زمانی آزادی عمل خود را بهواسطه پذیرش یا توسعه برخی قواعد حقوق بینالملل محدود سازند. آمریکا باید در قبال قواعد مورد ادعایی همچون حاکمیت و مراقبت مقتضی در فضای سایبری همچنان راه احتیاط و حزم را در پیش گیرد.
منبع:
https://www.justsecurity.org/77845/international-laws-role-in-combating-ransomware/