نویسندگان: María Vásquez Callo-Müller – Iryna Bogdanova
مترجم: امین رئوفی-پژوهشگر حقوق بینالملل
ویراستار علمی: دکتر کتایون حسیننژاد- پژوهشگر حقوق بینالملل
امنیت سایبری بخشی از مفهوم مدرن امنیت ملی است. افزایش روزافزون تعداد و شدت حملات سایبری، صحت این گفته را تأیید میکند. علاوه بر این، توسعه و استقرار فناوریهای جدید، خطرات قابلتوجهی را در حوزه امنیت سایبری در پی دارد. به عنوان مثال، تحریم فناوری ۵G تهدیدات امنیت سایبری را در صدر مباحث مربوط به امکان پرخطر بودن تأمینکنندگان فناوری قرار میدهد.
با وجود اهمیت فزاینده امنیت سایبری، قواعدی جهانی که تنظیمکننده رفتار مسئولانه در فضای سایبری باشند، وجود ندارند. علیرغم تلاشهایی که در سازمان ملل و همچنین، سازمانهای منطقهای برای وضع قوانینی در خصوص رفتار مسئولانه در فضای سایبری انجام شده است، این وضعیت نامطلوب همچنان ادامه دارد. به عنوان مثال، روسیه عضو کنوانسیون بوداپست در خصوص جرائم سایبری -که احتمالاً مهمترین معاهده جرائم سایبری تا به امروز است- نمیباشد. به طور مشابه، ابتکارات بخش خصوصی، مانند آنچه مایکروسافت متعهد به انجام آن شد، در هنجارهای الزامآور جهانی تجلی پیدا نکرد. تلاشهای جامعه دانشگاهی -که منتهی به تدوین دستورالعمل تالین ۱ و ۲ شد- نیز از لحاظ عملی ارزش ناچیزی دارد؛ چرا که این متون، فارغ از زبان پرطمطراقی که دارند، در زمره اسناد غیرالزامآور به شمار میروند.
این خلأ قانونی، مسیر را برای ارائه راهکارهای یکجانبهگرایانه هموار نمود. فارغ از بیانیههای دیپلماتیک در محکومیت اقدامات مخرب سایبری، دولتها شروع به تصویب مقرراتی کردهاند که اجازه اعمال تحریمهای اقتصادی یکجانبه (تحریمهای خارج از چارچوب سازمان ملل) علیه اتباع خارجی، اشخاص حقوقی و حتی نهادهای دولتی دخیل در فعالیتهای سایبری مخرب را میدهد. این تحریمها را «تحریمهای سایبری» نامیدهاند. این تحول، نه تنها آغازگر مجدد بحثهای مفصلی در خصوص قانونی بودن تحریمهای یکجانبه اقتصادی و رابطه آنها با قوانین سازمان تجارت جهانی است، بلکه مصادیق فعالیتهای سایبری نگرانکننده برای دولتها را نیز تعیین مینماید. جنبه دوم تحریمهای سایبری در مطلب زیر مورد بحث قرار گرفته است.
تعریف تحریمهای یکجانبه سایبری
تحریمهای سایبری، محدودیتهای اقتصادی یکجانبهای هستند که به استناد قوانین داخلی کشورها و با هدف ایجاد بازدارندگی و نیز، مجازات عوامل مسئول رفتارهای مخرب سایبری اعمال میشوند. در سال ۲۰۱۵، ایالات متحده آمریکا با تأکید بر جایگاه خود به عنوان یک استانداردساز جهانی، نخستین برنامه تحریمهای مختص حوزه سایبر را معرفی کرد. یک سال بعد، دامنه این برنامه با هدف گنجاندن مداخله انتخاباتی سایبری در فهرست اعمال قابل تحریم توسعه یافت. در ۱۵ آوریل ۲۰۲۱ فرمان اجرایی جدیدی که متضمن تحریمهایی برای مقابله با تسهیلگری روسیه در فعالیتهای مخرب سایبری علیه ایالات متحده و همپیمانانش بود، به تصویب رسید. اتحادیه اروپا نیز قانون مشابهی را در سال ۲۰۱۹ وضع نمود که از سال ۲۰۲۰ به مرحله اجرا درآمد. انگلستان نیز از این الگو پیروی کرد و قانون تحریمهای سایبری خود را در سال ۲۰۲۰ تصویب نمود. در استرالیا نیز، پارلمان این کشور در دسامبر ۲۰۲۱ به لایحه تحریمهای موضوعی رأی مثبت داد که در میان سایر برنامههای تحریمی، وضع تحریم در پاسخ به فعالیت مخرب سایبری (با آثار) قابلتوجه را مجاز میداند.
همانطور که در جای دیگر بحث کردیم، تحریمهای سایبری میتواند ناقض تعهدات مختلف وفق حقوق بینالملل از جمله تعهدات ناشی از سازمان تجارت جهانی و موافقتنامههای سرمایهگذاری بینالمللی باشد. برای اینکه چنین اقداماتی به عنوان اقدام متقابل قانونی قابل توجیه باشد -یعنی اقدامات خودیاری که استفاده از انها طبق قواعد عرفی مسئولیت دولتها مجاز بوده و در مواد مربوط به مسئولیت دولتها به جهت ارتکاب اعمال متخلفانه بینالمللی نیز آمده است- تحریمهای سایبری باید در پاسخ به نقض اولیه حقوق بینالملل که به یک دولت خاص قابل انتساب بوده و تحریم در نتیجه آن اعمال شده است، وضع شوند. فقدان یک تعهد حقوقی بینالمللی الزامآور در مورد رفتار مسئولانه دولت در فضای سایبر در کنار معضل انتساب حمله سایبری به یک کشور خاص، هر گونه تلاش برای تلقی تحریمهای سایبری به عنوان اقدام متقابل را خنثی مینماید. به علاوه، امکان این که استثنائات امنیت ملی مندرج در موافقتنامههای سازمان تجارت جهانی و موافقتنامههای سرمایهگذاری بینالمللی بتوانند توجیهکننده چنین تحریمهایی باشند نیز موضوعی بحث برانگیز است. خصوصاً استثنائات امنیت ملی سازمان تجارت جهانی -که اغلب در موافقتنامههای سرمایهگذاری بینالمللی گنجانده شدهاند- ایجاب میکند تا اقدامات لازم برای حفاظت از منافع امنیتی اساسی «در زمان جنگ یا سایر شرایط اضطراری بینالمللی» صورت گیرد. همانگونه که در رویه قضایی آمده است، برای آن که یک حمله سایبری به آستانه مندرج در قید «سایر شرایط اضطراری بینالمللی» برسد، از یک سو، باید باعث اختلال قابلتوجه در عملکرد دولت آسیبدیده شده و از سوی دیگر، باید توسط دولت دیگر و نه یک بازیگر غیردولتی انجام شود.
مفسران در این زمینه به تمایل دولتها به استفاده از ابزار فشار اقتصادی برای بازدارندگی و مجازات رفتارهای مخرب سایبری اشاره کردهاند. در عین حال، آنها موانعی را برشمردهاند که مانع از اعمال تحریمهای سایبری بیشتر و کارآمدتر توسط دولتها و سازمانهای منطقهای میشود؛ به عنوان مثال، قوانین و رویههای مربوط به انتساب مسئولیت حملات سایبری در بین کشورهای عضو اتحادیه اروپا بسیار ناهماهنگ و غیرمتجانس است. همین مسئله باعث تأخیر و تضعیف واکنش هماهنگ اتحادیه اروپا به حوادث زیانبار در فضای سایبر میشود.
با وجود اینکه قانونی بودن تحریمهای سایبری محل بحث است، در خصوص تدوین و بکارگیری آنها نیز تردید وجود دارد. به طور ویژه، رویه دولتها در تدوین چارچوب تحریمهای سایبری و نیز، بکارگیری آنها میتواند نمونههایی از رفتار مخرب سایبری و یا حتی جرائم سایبری را ارائه دهد. در مقابل، ما پیرامون انواع رفتارهای مخرب سایبری که اعمال تحریم در پاسخ به آنها مجاز دانسته میشود، سخن خواهیم گفت.
از دیدگاه چارچوبهای تحریمهای سایبری کنونی، چه اقداماتی، فعل قابلتحریم دانسته میشوند؟
تحریمهای سایبری ایالات متحده در خصوص «فعالیتهای سایبری مخرب» اعمال میشود. این مفهوم در فرمان اجرایی ۱۴۰۲۴ در خصوص «مسدود نمودن اموال با توجه به برخی فعالیتهای خارجی فدراسیون روسیه» تعریف نشده است. با این حال، دستورات اجرایی قبلی روشنکننده این موضوع است که مفهوم «فعالیتهای سایبری مخرب» میتواند شامل چه مواردی باشد. نمونههایی از این فعالیتها به شرح زیر است:
– حملات مخرب به رایانهها یا شبکههای رایانهای که پشتیبان زیرساختهای حیاتی هستند یا باعث اختلالات قابلتوجه میشوند؛
– سرقت سایبری یا سوءاستفاده از اسرار تجاری از طریق ابزارهای سایبری فعال؛ و
– سوءاستفاده از اطلاعات به منظور تداخل یا تضعیف نهادها یا فرآیندهای انتخاباتی.
همچنین، بر اساس چارجوب تحریمهای سایبری آمریکا به ویژه فرمان اجرایی ۱۳۶۹۴، تحریم علیه «هر فردی که توسط وزیر خزانهداری با مشورت دادستان کل و وزیر امور خارجه» به عنوان مسئول، معاون یا «مباشر مستقیم یا غیرمستقیم» در فعالیتهای سایبری مخرب شناخته شود، قابلاعمال است. علاوه بر این، چارچوب فوقالذکر اجازه میدهد تحریمهای سایبری علیه افرادی که در راستای ارتکاب فعالیتهای سایبری مخرب «مساعدت یا پشتیبانی مهمی داشته یا مبادرت به ارائه حمایت مالی، مادی یا تکنولوژیک یا کالا یا خدمات مهمی کردهاند»، اعمال شود. همچنین، تحریمهای سایبری ایالات متحده بر اشخاص حقوقی که تحت «مالکیت یا کنترل» افراد یا نهادهای تحریمشده بوده و «بر هر فردی که به طور مستقیم یا غیرمستقیم، به نفع یا به نمایندگی» افراد یا نهادهای موردتحریم عمل کرده باشد، اعمال میگردد. به علاوه، هر فردی که شروع به ارتکاب هر یک از فعالیتهای فوقالذکر کرده باشد، میتواند موردتحریم قرار گیرد.
در راستای این اختیارات قانونی، ایالات متحده، مسئولان توزیع بدافزار، باجافزار و فیشینگ را تحریم نموده است. نمونههای گویای دیگر استفاده از تحریمهای سایبری شامل تحریمهایی است که در پاسخ به مداخله در فرآیندهای انتخاباتی از طریق اطلاعات نادرست و هک اعمال میشوند و همچنین، تحریمهایی که برای مجازات فعالیتهای جاسوسی سایبری که بخشی از حمله سایبری معروف SolarWinds بودند، اعمال شد. موج اخیر تحریمهای سایبری ایالات متحده شامل تحریمهایی است که پرداخت باج و مبادلات ارزهای دیجیتال را هدف قرار میدهد.
چارچوب تحریمهای سایبری اتحادیه اروپا اجازه اعمال تحریم -به معنای اقدامات محدودساز در گفتمان اتحادیه اروپا- را به منظور جلوگیری و مجازات حملات سایبری که تأثیر قابل توجهی داشته و تهدیدی خارجی برای اتحادیه یا کشورهای عضو هستند، میدهد. در شرایط خاص، اگر فعالیتهای سایبری مخرب به کشورهای ثالث یا سازمانهای بینالمللی آسیب برساند و اثر قابلتوجهی نیز داشته باشد، تحریمهای سایبری اتحادیه اروپا (علیه چنین فعالیتهایی) قابلاعمال است. مقررات مربوطه، حملات سایبری را به شرح زیر تعریف میکنند:
– دسترسی به سیستمهای اطلاعاتی؛
– مداخله در سیستمهای اطلاعاتی؛
– مداخله در دادهها؛
– شنود دادهها.
در صورتی که چنین اقداماتی از سوی مالک سیستم یا دادهها یا فرد ذیحق دیگری، قانوناً مجاز دانسته نشود و یا مقررات اتحادیه یا کشور عضوِ دخیل در مسئله چنین اجازهای را ندهد، همانند مقررات ایالات متحده، تداخل دادهها مقوله سرقت دادهها، وجوه، منابع اقتصادی یا مالکیت فکری را نیز پوشش میدهد.
اتحادیه اروپا تحریمهای سایبری را برای مجازات عوامل حمله سایبری علیه سازمان منع سلاحهای شیمیایی و نیز عوامل سایر حملات موسوم به «WannaCry»»، «NotPetya» و «Operation Cloud Hopper» اعمال نمود. پس از آن نیز، در اکتبر ۲۰۲۰، دو افسر اطلاعاتی روسیه و یک واحد از سرویسهای اطلاعاتی نظامی روسیه موسوم به «GRU» به دلیل مشارکت در هک نمودن وبسایت پارلمان آلمان در سال ۲۰۱۵ تحریم شدند.
مقررات مربوط به تحریمهای سایبری بریتانیا شامل تعریف تحریمهای سایبری و دسته بندی فعالیتهای مخرب سایبری قابلتحریم بوده و از این حیث، مشابه مقررات اتحادیه اروپا میباشد. بر اساس لایحه اصلاحی جدید تحریمهای خودکار استرالیا، تحریمها می توانند در پاسخ به ارتکاب «فعالیتهای مخرب سایبری» اعمال شوند. نه لایحه و نه یادداشت توضیحی هیچ توضیحی در مورد دامنه مفهوم “فعالیت مخرب سایبری” ارائه نمی کنند و در نتیجه، امکان تفسیر موسع این مفهوم وجود دارد.
آینده تنظیم مقررات فضای مجازی به چه شکل است؟
روشهای متعددی در خصوص نحوه ایجاد هنجارهای تنظیمکننده رفتار مسئولانه دولتها و بازیگران غیردولت در فضای سایبر وجود دارد که نخستین و بهترین آنها، توافق بر سر اصول و قواعد خاصی و گنجاندن آنها در یک معاهده بینالمللی است. شایان ذکر است، اعضای ملل متحد در اوایل سال جاری، مذاکراتی را برای ایجاد یک معاهده جدید در زمینه جرایم سایبری آغاز کردهاند. حال باید دید که آیا این تلاشها مثمر ثمر واقع میشوند یا اینکه مذاکرات مزیور، مجدداً منعکسکننده تنشهای موجود بین کشورهای عضو سازمان ملل، همانگونه که در بحثهای متعدد قبلی مطرح شده بود، خواهد بود.
با ادامه مذاکرات بینالمللی درباره معاهده جرایم سایبری، رویه مناسب دولتها در اعمال تحریمهای سایبری میتواند نکات مهمی را در مورد اینکه چه نوع از فعالیتهای سایبری به عنوان رفتار مخرب یا حتی جرم سایبری تلقی شدهاند، ارائه دهد. به عنوان مثال، مسئله فوق میتواند به روشن شدن این موضوع که آیا جرم سایبری، شامل مفهوم جرم سایبری ابزاری نظیر جرمانگاری رفتار مربوط به محتوا میشود یا خیر، کمک کند. این مسئله به دلیل پیامدهای حقوق بشری آن بسیار قابل بحث است.
با توجه به پیچیدگی دستیابی به توافق در مورد تعاریف بنیادین از جرائم سایبری در بستر چندجانبه، این پست-وبلاگ مروری بر رویه کنونی ایالات متحده، اتحادیه اروپا، بریتانیا و استرالیا در مورد تحریم رفتارهای مخرب سایبری ارائه کرده است. نویسندگان بر این باورند که اگر فقدان هنجارهای بینالمللی تنظیمکننده رفتار در فضای سایبر تداوم یابد، توسل به تحریمهای سایبری در پاسخ به اقدامات مخرب سایبری افزایش مییابد. این امر با توجه به ملاحظات امنیتی کنونی در جهان و نقش روبهرشد تحریمهای اقتصادی محتملتر به نظر میرسد. چنین استفاده فزایندهای از تحریمهای سایبری میتواند نشان دهنده ظهور قواعد بین المللی عرفی در مورد نوع رفتار نادرست و مستوجب مجازات در فضای سایبر باشد. این همان چیزی است که ما آن را “ارزش هنجاری” تحریم های سایبری مینامیم.