نقش حقوق بین‌الملل در مقابله با باج‌­افزارها؟

به نام خدا

نویسنده: Gary Corn

مترجم: ناصر نداف (گروه پژوهش آکادمی بیگدلی)

ویراستار علمی: دکتر رضوان باقرزاده، عضو هیئت علمی دانشگاه بوعلی سینای همدان

این، یک اعلان رسمی ([گرچه] دیرهنگام) است: باج­‌افزارها یک مشکل امنیت ملی هستند. رئیس‌جمهور بایدن، با شناسایی تهدید راهبردی کنونی سازمان‌های مخفی خلاف­کار (که اغلب دارای پیوندهایی ناپایدار یا پنهانی با دولت-ملت‌ها هستند) نسبت به زیرساخت­های حیاتی، اقتصاد و خدمات عمومی اساسی، ماه گذشته [جولای ۲۰۲۱] تصریح کرد که ایالات ‌متحده، دیگر بلای فزاینده حملات مجرمانه باج‌­افزاری را فقط از دید محدود اعمال قانون نخواهد دید. همان‌گونه که با تأسیس یک گروه اقدام چند مأموریتی باج­‌افزار توسط کاخ سفید مشخص شد، این موضوع یک تهدید امنیت ملی است که نیازمند اقدام قاطع و هماهنگ، با استفاده از کلیه عناصر قدرت ملی، است. بنابراین، جدیدترین هشدار رئیس‌جمهور بایدن به رئیس‌جمهور پوتین در جریان یک مکالمه تلفنی در ۹ جولای، صریح به نظر می‌رسد: مراقب مشکل باج‌­افزار که منشأ آن روسیه است باشید یا ایالات متحده مراقب خواهد بود!

همان‌گونه که جک گلداسمیت اشاره دارد، این نخستین­باری نیست که بایدن یا پیشینیان او هشدارهای شدیداللحنی در مورد تهدیدهای سایبری روسیه به پوتین داده­اند. [اما …] آنچه این بار متفاوت است، این است که عملیات سایبری که ایالات ‌متحده از پوتین می‌خواهد متوقف شود، مستقیماً قابل انتساب به دولت روسیه نیست؛ بلکه این عملیات کار مجرمان روس است و اگر روسیه دست به اقدام علیه آنها نزند، بایدن انجام عملیات سایبری علیه زیرساخت­های آنها را بخشی از ابزار خودیاری تلقی می­کند. بایدن مشخصاً در جریان تماس با پوتین به او گفت که ایالات ‌متحده «هرگونه اقدام لازم برای دفاع از مردم و زیرساخت‌های اساسی خود را در مواجهه با این چالش دائمی به کار خواهد بست» و زمانی که خبرنگاران پرسیدند که آیا این اقدامات ممکن است شامل عملیات سایبری علیه زیرساخت­های پشتیبان این حملات باشد، پاسخ او کوتاه بود: «بله»!

[…] از تصمیم روشن بایدن در مورد استقبال از عملیات سایبری با هدف ایجاد اختلال در زیرساخت‌های خارجی سازمان‌های خلاف­کار غیردولتی، دست­کم به عنوان یک گزینه، چه نتیجه‌ای می‌توان گرفت؟ آیا این نشان‌دهنده موضع در حال تحول ایالات ‌متحده در خصوص بحث حل­نشده بر سر قاعده ادعایی مراقبت مقتضی سایبری است؟ یعنی آیا در حال حاضر ایالات متحده، روسیه (و احتمالاً سایر دولت­هایی که زیرساخت­های باج­افزاری در قلمرو آنها قرار دارد) را به جهت اقدامات سازمان­های خلاف­کار غیردولتی از نظر حقوقی مستقیم یا غیرمستقیم مسئول می­داند؟ یا این ارزیابی – که دست­کم با نظر بریتانیاوزارت دفاع دولت آمریکا) مطابقت دارد – را بازتاب می­دهد که اصل حاکمیت یک مانع حقوقی برای هدایت برخی عملیات باج­افزاری متقابل نیست؟

[…] اشمیت، با اذعان به اهمیت مشکل باج­افزار­ها و این واقعیت که پارادایم واکنش نشان دادن در چارچوب اعمال قانون به تنهایی کافی نبوده است، نیاز به اتخاذ «رویکردی تهاجمی­تر از گذشته» را تأیید می­کند. او پیشنهاد می­کند برای عملیات باج­افزاری متقابل […]، ایالات متحده باید صراحتاً از سه موضع حقوقی در­هم­تنیده حمایت نماید: «۱) حاکمیت یک قاعده حقوق بین‌الملل است؛ ۲) دولت‌ها برای پایان دادن به عملیات سایبری خصمانه، باید از قلمرو خود مراقبت مقتضی به عمل آورند؛ و ۳) دولت‌ها می‌توانند در اقدامات متقابل دسته‌جمعی مشارکت نمایند». […]

وضعیت حل­نشده حقوق بین­الملل

پرسش­هایی از قبیل اینکه آیا و به چه نحو حقوق بین­الملل بر تعاملات میان دولت­ها در حوزه سایبری اعمال می­شود، سال­ها محل بحث بوده است. در حال حاضر، پاسخ به پرسش نخست به طور موثر داده شده است؛ حقوق بین­الملل بر فعالیت­های دولت­ها در فضای سایبری و از طریق فضای سایبری اعمال می­شود. آمریکا مدت­هاست که پیشگام اتخاذ چنین موضعی است و خود را ملتزم به تعهدات بین­المللی در انجام عملیات سایبری می­داند.

اما پاسخ به پرسش دوم به­مراتب چالش­ برانگیزتر است. پس از سال­ها مذاکره، «گروه کارشناسان دولتی سازمان ملل متحد» (GGE) و «کارگروه نامحدود» (OEWG) تنها نهادهای رسمی متشکل از چند ‌دولت هستند که به این مسئله می‌پردازند و فقط بر سر تعداد انگشت­شماری از موضوعات اساسی به اجماع دست یافته­اند. همچنین شمار فزاینده اظهارنظرهای مقامات دولتی طی چند سال گذشته حاکی از اختلاف دیدگاه­ها است. در مورد برخی نکات، توافق گسترده­ای در میان دولت­هایی که مشارکت کرده­اند وجود دارد؛ از جمله این دیدگاه که عملیات سایبری ذیل حقوق منع توسل به زور و آنگاه که به عنوان بخشی از مخاصمه مسلحانه صورت می‌گیرد تابع حقوق مخاصمات مسلحانه است. در مقابل، دولت‌ها در خصوص حاکمیت و مراقبت مقتضی دیدگاه‌های متنوعی را ارائه کرده‌اند و اجماعی حاصل نشده است.

[…] آمریکا به نحو ضمنی رویکرد خود را نسبت به مسئله چندبعدیِ جایگاهِ هنجاری و محتوای اصل حاکمیت نشان داده است (اینجا، اینجا و اینجا). […] برای مثال، وزارت دفاع آمریکا، همگرایی خود را با این موضع انگلستان اعلام کرده است که ادله­ کافی برای وجود قاعده حقوق بین­الملل عرفی در خصوص حاکمیت وجود ندارد تا «به طور کلی … عملیات سایبری در قلمرو دولت دیگر را بدون رضایت آن دولت ممنوع کند». دیدگاه ایالات متحده در مورد مراقبت مقتضی [از این هم] مبهم­تر است [و] بسیاری معتقدند هنوز آمریکا متقاعد نشده­ که این یک قاعده قابل اعمال حقوق بین­الملل در چارچوب سایبری است. […]

پیغمبرِ دروغینِ اقدامات متقابل

اقدامات متقابل، [اقداماتی] ذیل اقدامات توسل به زور هستند که به تنهایی غیرقانونی خواهند بود، اما به واقع، در واکنش به یک عمل متخلفانه بین‌المللی دولت دیگر اتخاذ می‌شوند و مشخصاً هدفشان وادار ساختن دولت متخلف به پیروی [از تعهدات خود] یا جبران خسارت است. در ارتباط با مسأله خاص اقدامات متقابل جمعی اشمیت درست می‌گوید. همان گونه که اریک تالبُت جنسن و من در سال ۲۰۱۸ نوشتیم و اشمیت و سین واتس جدیدتر اشاره کرده­اند، فارغ از تکیه بر یک بنیان حقوقی ضعیف، این دیدگاه که دولت­ها نمی­توانند اقدامات متقابل را در کمک جمعی به سایر دولت ها به کار گیرند، با فضای امنیتی کنونی ناسازگار و متناقض است.

[…] اما در حالی که گاه عملیات شراکتی ممکن است سودمند باشد، هیچ قرینه­ای وجود ندارد که آمریکا نیاز داشته باشد یا بخواهد برای ایجاد آثار سایبری مختل­کننده‌ی مورد نظر بایدن [علیه حملات سایبری] در وهله نخست به دیگران تکیه نماید. [بنابراین] طبق پیش­فرض، این موارد عملیات­های­ تحت هدایت [خود] ایالات متحده هستند.

به­علاوه، قواعد اقدامات متقابل دچار یک سری محدودیت­های دیگری هستند … که به شدت از کارآیی آن‌ها می­کاهد […]؛ برای مثال، یک دیدگاه کلی وجود دارد که نمی‌توان به صورت پیش­دستانه به اقدامات متقابل مبادرت ورزید […]. تلاش برای وادار ساختن دولت دیگر به متوقف ساختن یا خاتمه بخشیدن به عملیات سایبری متخلفانه، گاه ممکن است آخرین [و در ­عین­ حال] بهترین گزینه باشد؛ اما این یک رویکرد گذشته­گرا و نه رویکردی معطوف به آینده است؛ آن جا که [کار از کار گذشته و] آسیب­ها آشکار شده و دشمن مهاجم احتمالاً به اهداف خود رسیده است. همچنین اقدامات متقابل فقط علیه دولت‌ها میسر است، نه بازیگران غیردولتی یا سازمان­های خلاف­کار […].

مراقبت مقتضی- بالا بردن یا ایجاد انتظارات کاذب

[…] در بیانی موسع، تعهد بین­المللی مورد ادعا در خصوص مراقبت مقتضی سایبری اقتضا دارد که دولت‌ها اجازه ندهند تا از سرزمینشان برای اعمال متخلفانه بین‌المللی (در فضای سایبری با استفاده از ابزارهای فناوری اطلاعات و ارتباطات) استفاده شود و اقدامات متعارفی را برای توقف فعالیت‌های سایبری متخلفانه از سرزمین خود، دست­کم تا جایی که اطلاع دارند یا باید اطلاع داشته باشند، انجام دهند. این امر علی­الظاهر سودمند و معقول می­نماید. با این همه، بنا به دلایل موجهی، قابلیت اعمال و گستره قاعده مراقبت مقتضی بر فضای سایبری، همچون اصول حاکمیت، چندان تثبیت نشده است.

در­حالی­که گروهی از دولت‌ها از این دیدگاه حمایت کرده­اند که مراقبت مقتضی یک قاعده عام حقوق بین‌الملل عرفی است که بر فضای سایبری به شکل خاصی اعمال می­شود، سایرین مشخصاً مخالفت می­ورزند، و چنانکه اشمیت تأیید می­کند و اساتیدی همچون شان واتس و اریک جنسن در بحثی جالب پیرامون محتوای موضوع نوشته­اند، در­ حال ­حاضر شواهد کافی وجود ندارد تا مدعی شویم که قاعده مراقبت مقتضی مشخصی برای فضای سایبری به عنوان بخشی از حقوق بین­الملل عرفی وجود دارد [… و] GGE هم مفهوم مراقبت مقتضی را صرفاً هنجاری داوطلبانه و غیرالزام­آور شمرده است.

به باور اشمیت، عدم حمایت از مراقبت مقتضی به عنوان قاعده الزام­آور حقوق بین­الملل، آمریکا را از [امکان توسل به] مبنایی حقوقی برای واکنش نشان دادن به «عملیات سایبری خصمانه بازیگران غیردولتی یا آنجا که اثبات انتساب قطعی آن عملیات به یک دولت دشوار باشد» مؤثراً محروم خواهد کرد؛ [زیرا تعهدی متوجه روسیه نخواهد بود … .]

در میان طرفداران مراقبت مقتضی در فضای سایبری، طیف متنوعی از دیدگاه­ها درباره گستره این قاعده ادعایی وجود دارد. برخی معتقدند تعهد به مراقبت مقتضی برای داشتن هرگونه اثر واقعی و کارآمدی باید تعهد دولت‌ها به نظارت بر زیرساخت‌های سایبری داخلی و جلوگیری از طیف وسیعی آسیب‌های سایبری فرامرزی را نیز در بر بگیرد؛ […] اگرچه پذیرش چنین نسخه جسورانه­ای از مراقبت مقتضی برای فضای منحصر به فرد سایبری نگرانی­های جدیدی را درباره آثار [سوء] احتمالی بر حق­های بشری مانند حریم شخصی و آزادی بیان مطرح می­کند. همچنین انتظارات نامعقولی را نسبت به دولت­ها ایجاد می­نماید و به نحو قابل توجهی آنها را بیش از پیش در معرض ادعاهای نقض و متعاقباً اثر بالقوه تنش­زای اقدامات متقابل قرار می­دهد؛ چنان­که واتس و جنسن به درستی راه احتیاط را در پیش گرفته­اند […].

کسانی که از قاعده مراقبت مقتضی در فضای سایبری حمایت می­کنند، به این نگرانی­ها با چنین ادعایی واکنش نشان می­دهند که […] مطابق رویکرد راهنمای تالین ۲، که اشمیت نیز حامی آن است، مراقبت مقتضی در فضای سایبری متضمن تکلیف به نظارت و پیشگیری نیست و تنها در صورت آگاهی بالفعل یا متعارف از وقوع آسیب‌ها ایجاد می‌شود. این رویکرد نیز بدون چالش نیست؛ چون دولت قربانی برای مطلع کردن دولت مبدأ حمله احتمالاً مجبور خواهد بود برخی از منابع یا روش‌های اطلاعاتی خود را فاش کند. افزون بر این، مراقبت مقتضی نوعی تعهد به وسیله است نه تعهد به نتیجه؛ یعنی اگر یک دولت خاص نتواند منبع حمله را شناسایی نماید یا اقدامی مؤثر برای متوقف ساختن فعالیت سایبری زیان­بار بازیگر غیردولتی مستقر در مرزهایش اتخاذ کند، تعهد خود به مراقبت مقتضی را نقض نکرده است. […] نهایتاً چنانکه اشمیت اشاره می­کند، مراقبت مقتضی سایبری تنها جایی اعمال می‌شود که آسیب فرامرزی ناشی از دولت سرزمینی به نقض حقوق بین­الملل بینجامد و پیامدهای آن آسیب اساسی باشد.

[در مجموع] فارغ از معنای ذهنی و نامعین «اساسی» و پایین­تر بودن طیف متنوعی از فعالیت­های زیان­بار از این آستانه، اگر بگوییم که در خصوص نظارت بر بازیگران غیردولتی، ادعای نقض مراقبت مقتضی سایبری در را به روی انجام اقدامات متقابل علیه بازیگران غیردولتی مجرم باز می­کند، اغراق کرده­ایم. [… از جمله به این دلیل که] اگر هدف از اقدامات متقابل وادار ساختن دولت متخلف به رعایت تعهدات خود باشد، معلوم نیست اقدام متقابل علیه بازیگران غیردولتی متخلف چه اثر بازدارنده‌ای بر خود دولت سرزمینی (دولت مبدأ حمله) دارد؛ [به ویژه آنکه] زیرساخت­های گروه­های خلاف­کار در سطح جهان پراکنده است […]. این امر بدین معنا نیست که درخواست­ها برای پذیرش قاعده مراقبت مقتضی مختص فضای سایبری به خودی خود کاملاً فاقد ارزش است. پذیرش گسترده مراقبت مقتضی در فضای سایبری به­مثابه یک قاعده حقوق بین­الملل عرفی می­تواند فشار بر دولت­ها با هدف بهبود امنیت کلی سایبری را در چارچوب مرزهای آنها افزایش دهد که تماماً امر مثبتی است […].

قاعده ادعایی حاکمیت- مراقبت باشید برای چه چیزی چانه می­زنید!

بحث در خصوص قاعده جایگاه هنجاری و حد و مرز حاکمیت، بحثی دیرپا [و همچنان] حل­نشده است. […] تمامی قراین حاکی از این است که آمریکا در پذیرش رویکرد قاعده ۴ راهنمای تالین ۲ که اشمیت از آن حمایت می­کند، عجله­ای ندارد. با این وجود، اشمیت به دو دلیل معتقد است که آمریکا باید از این قاعده حمایت نماید: بازدارندگی بیشتر و اجبار قوی‌تر (یعنی امکان توسل به اقدامات متقابل). […]

در یک کلام، شواهد اندکی وجود دارد که حقوق بین­الملل به خودی خود ابزار مؤثری برای بازدارندگی باشد. ناگفته پیداست که وجود قواعد، ذاتی نظم بین­المللی قاعده­محور است و بسیاری از دولت­ها آن را برای تعامل با یکدیگر در چارچوب چنین سیستمی سودمند می­یابند. توسعه و تقویت نظم قاعده­محور هدف آمریکا است و باید چنین باشد. اما تهدید به مجازات هم نیست که دولت­ها را به سمت حکومت قانون سوق می­دهد، چه برسد به شرمنده­سازی! این امر ناشی از ثبات و پیش­بینی­پذیری این سیستم و مزایای گسترده فعالیت در چارچوب جامعه­ای از دولت­ها است که عموماً مبتنی بر همکاری است؛ اگرچه برای دولت­هایی مانند روسیه که با نظم قاعده­محور سر ناسازگاری دارند، پیروی از حقوق بین­الملل […] بر مبنای محاسبه ریسک هزینه واقعی عدم پیروی و سود احتمالی نقض حقوق بین­الملل است. کافی است نقض­های مکرر ممنوعیت توسل به زور مندرج در منشور ملل متحد توسط روسیه و تضاد آن را با تلاش­های سرسختانه این دولت برای عدم عبور از این آستانه در عملیات سایبری علیه آمریکا و متحدانش در ناتو ملاحظه نمود. این ارزش هنجاری قواعد منع توسل به زور نیست که برای روسیه اهمیت دارد، بلکه واقعیت این است که بند ۴ ماده ۲ منشور عملاً به مثابه خط قرمزی برای اقدام قهری تلافی­جویانه بعدی در دفاع مشروع است؛ ریسکی که روسیه در مواجهه با اوکراین یا گرجستان چندان نگران آن نیست.

این باور که روسیه و دیگر دست­اندرکاران و پشتیبانان حملات باج­افزاری و سایر عملیات سایبری خلاف­کارانه به صرف اعلام آنها به عنوان ناقضان حقوق بین­الملل متوقف می­شوند، اصلاً واقع­بینانه نیست. ادعای مکرر اشمیت مبنی بر اینکه اعلام عملیات سایبری فرامرزی به­عنوان موارد نقض قاعده حاکمیت «به دولت به اصطلاح قربانی اجازه خواهد داد تا از دولت مسئول بابت نقض حقوق بین­الملل نام ببرد و آن را شرمنده سازد»، شواهد عظیم کنونی دال بر تأثیر بازدارنده اندک و نزدیک به صفر را نادیده می­گیرد. همچنین از ویژگی­های راهبردی منحصر­به­فرد قلمرو سایبری غفلت می­ورزد که زمان و تلاش­های صورت­گرفته ثابت کرده­اند تحت­تأثیر نظریه­های سنتی مربوط به بازدارندگی نیستند. نشر اتهام نقض حاکمیت بعید است که واقعیت را دگرگون نماید […].

 [… بنابراین] حمایت از حاکمیت به عنوان یک قاعده، مندرج در قاعده ۴ [تالین ۲]، عملیات سایبری متقابل [امریکا علیه روسیه] را قطعاً محدود می­نماید. […] چنین حمایتی حکایت از بازگشت به سیاست خویشتن­داری دارد که پیش از سال ۲۰۱۸ غالب بود و شکست خورد.

در­هم­آمیختن دو مفهوم: اخلال [در عملیات مخرب سایبری] در مقابل بازدارندگی و اجبار

[…] چنانکه دیگران نشان داده­اند و من در اینجا بحث کرده­ام، مفاهیم سنتی مربوط به بازدارندگی با فضای سایبری تناسبی ندارند و تا حد زیادی غیرمؤثر بوده­اند. افزون بر این، […] کارآیی حقوق بین­الملل در دستیابی به بازدارندگی، در بهترین حالت، ناروشن است.

[…] اقدامات متقابل به­عنوان ابراز تحمیل قهری، می­توانند در صورت اقتضا نقشی سودمند در اجبار بازی کنند، اما همچنان نمی­توان آن را یک نوشداروی حقوقی یا امنیتی دانست. چنانکه گفته شد، اقدامات متقابل اسیر تنگناهایی هستند که کارآمدی آنها را در فضای سایبری محدود می­کند. به­علاوه، کسانی که به اقدامات متقابل امید بسته­اند، اغلب مؤلفه­های تنش­زا در استناد به اقدامات متقابل را نادیده می­گیرند […].

اما نکته اصلی در مورد عملیات سایبری مخل تهدیدات جاری و مورد انتظار، از قبیل نابود کردن زیرساخت­های باج­افزاری خلاف­کاران، پیشگیری یا اجبار متخاصمین نیست؛ […] میان بازدارندگی و اجبار و نیز عملیات دفاعی فعال به قصد مقابله با تهدیدات سایبری خصمانه در حال پیشرفت که نیاز فوری به آنها وجود دارد باید قائل به تفکیک شد […]. چنانکه پیش­تر در خصوص مفهوم وزارت دفاع از دفاع پیشگیرانه یادآور شده­ام:

«[…] دفاع پیشگیرانه به معنای به چالش کشیدن، مختل کردن و تضعیف تهاجم سایبری است [… و] اصولاً درصدد اختلال [در عملیات مخرب سایبری] است، نه منصرف کردن [مهاجم]»

 […] پذیرش قاعده مطلوب اشمیت [که بر پیشگیری و اجبار تأکید می­کند]، فضای مانور برای انجام عملیات ضدسایبری را به غلط محدود می­سازد. پذیرش توصیه­های اشمیت به جای ایجاد «اشتراک مساعی مطلوب»، بار دیگر ابتکار عمل را به دولت­های مهاجم و متخاصمین در این فضا می­سپارد و گزینه­های ایجاد اخلال در فعالیت­های باج­افزاری خلاف­کارانه را محدود می­نماید. به زبان ساده، با توجه به مؤلفه­های راهبردی فضای سایبری، تکیه بر اقدامات متقابل شبیه تیراندازی مستمر به پشت سر یک هدف متحرک است که بعید است از دستاوردهای راهبردی دشمن بکاهد یا شرایط امنیتی را به نفع آمریکا تعیین کند. آمریکا باید پیش از پذیرش خام­دستانه مواضعی که گزینه­هایش را به غلط محدود می­کند، آموزه­های مربوط به مؤلفه­های این فضای راهبردی منحصر به فرد را [نیز] در نظر داشته باشد.

برآیند بحث

تجربه نشان داده است تکیه بر بازدارندگی برای فراهم نمودن چتر امنیتی علیه تهدیدات سایبری که به شدت بدان نیاز است، تلاشی بی­ثمر محسوب می­شود؛ [چه،] امید یک روش نیست […]. حقوق بین‌الملل، درست مانند سایر حوزه­ها، نقش مهمی در فراهم کردن درجه‌ای از امنیت و ثبات در فضای سایبری – که به طور جهانی به­هم­پیوسته است – دارد. اما این فضا نوظهور و متغیر است و دولت‌ها باید با احتیاط ارزیابی کنند که در راستای منافع فردی و جمعی چه زمانی آزادی عمل خود را به­واسطه پذیرش یا توسعه برخی قواعد حقوق بین‌الملل محدود سازند. آمریکا باید در قبال قواعد مورد ادعایی همچون حاکمیت و مراقبت مقتضی در فضای سایبری همچنان راه احتیاط و حزم را در پیش گیرد.

 

منبع:

https://www.justsecurity.org/77845/international-laws-role-in-combating-ransomware/

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *