نقش تحریم‌های یکجانبه سایبری در قانون‌گذاری جهانی امنیت سایبری چیست؟

 

نویسندگان: María Vásquez Callo-Müller – Iryna Bogdanova

مترجم: امین رئوفی-پژوهشگر حقوق بین‌الملل
ویراستار علمی: دکتر کتایون حسین‌نژاد- پژوهشگر حقوق بین‌الملل

امنیت سایبری بخشی از مفهوم مدرن امنیت ملی است. افزایش روزافزون تعداد و شدت حملات سایبری، صحت این گفته را تأیید می‌کند. علاوه بر این، توسعه و استقرار فناوری‌های جدید، خطرات قابل‌توجهی را در حوزه امنیت سایبری در پی دارد. به عنوان مثال، تحریم فناوری ۵G تهدیدات امنیت سایبری را در صدر مباحث مربوط به امکان پرخطر بودن تأمین‌کنندگان فناوری قرار می‌دهد.
با وجود اهمیت فزاینده امنیت سایبری، قواعدی جهانی که تنظیم‌کننده رفتار مسئولانه در فضای سایبری باشند، وجود ندارند. علی‌رغم تلاش‌هایی که در سازمان ملل و هم‌چنین، سازمان‌های منطقه‌ای برای وضع قوانینی در خصوص رفتار مسئولانه در فضای سایبری انجام شده است، این وضعیت نامطلوب هم‌چنان ادامه دارد. به عنوان مثال، روسیه عضو کنوانسیون بوداپست در خصوص جرائم سایبری -که احتمالاً مهم‌ترین معاهده جرائم سایبری تا به امروز است- نمی‌باشد. به طور مشابه، ابتکارات بخش خصوصی، مانند آنچه مایکروسافت متعهد به انجام آن شد، در هنجارهای الزام‌آور جهانی تجلی پیدا نکرد. تلاش‌های جامعه دانشگاهی -که منتهی به تدوین دستورالعمل تالین ۱ و ۲ شد- نیز از لحاظ عملی ارزش ناچیزی دارد؛ چرا که این متون، فارغ از زبان پرطمطراقی که دارند، در زمره اسناد غیرالزام‌آور به شمار می‌روند.
این خلأ قانونی، مسیر را برای ارائه راهکارهای یکجانبه‌گرایانه هموار نمود. فارغ از بیانیه‌های دیپلماتیک در محکومیت اقدامات مخرب سایبری، دولت‌ها شروع به تصویب مقرراتی کرده‌اند که اجازه اعمال تحریم‌های اقتصادی یکجانبه (تحریم‌های خارج از چارچوب سازمان ملل) علیه اتباع خارجی، اشخاص حقوقی و حتی نهادهای دولتی دخیل در فعالیت‌های سایبری مخرب را می‌دهد. این تحریم‌ها را «تحریم‌های سایبری» نامیده‌اند. این تحول، نه تنها آغازگر مجدد بحث‌های مفصلی در خصوص قانونی بودن تحریم‌های یکجانبه اقتصادی و رابطه آن‌ها با قوانین سازمان تجارت جهانی است، بلکه مصادیق فعالیت‌های سایبری نگران‌کننده برای دولت‌ها را نیز تعیین می‌نماید. جنبه دوم تحریم‌های سایبری در مطلب زیر مورد بحث قرار گرفته است.

تعریف تحریم‌های یکجانبه سایبری
تحریم‌های سایبری، محدودیت‌های اقتصادی یکجانبه‌ای هستند که به استناد قوانین داخلی کشورها و با هدف ایجاد بازدارندگی و نیز، مجازات عوامل مسئول رفتارهای مخرب سایبری اعمال می‌شوند. در سال ۲۰۱۵، ایالات متحده آمریکا با تأکید بر جایگاه خود به عنوان یک استانداردساز جهانی، نخستین برنامه تحریم‌های مختص حوزه سایبر را معرفی کرد. یک سال بعد، دامنه این برنامه با هدف گنجاندن مداخله انتخاباتی سایبری در فهرست اعمال قابل تحریم توسعه یافت. در ۱۵ آوریل ۲۰۲۱ فرمان اجرایی جدیدی که متضمن تحریم‌هایی برای مقابله با تسهیلگری روسیه در فعالیت‌های مخرب سایبری علیه ایالات متحده و هم‌پیمانانش بود، به تصویب رسید. اتحادیه اروپا نیز قانون مشابهی را در سال ۲۰۱۹ وضع نمود که از سال ۲۰۲۰ به مرحله اجرا درآمد. انگلستان نیز از این الگو پیروی کرد و قانون تحریم‌های سایبری خود را در سال ۲۰۲۰ تصویب نمود. در استرالیا نیز، پارلمان این کشور در دسامبر ۲۰۲۱ به لایحه تحریم‌های موضوعی رأی مثبت داد که در میان سایر برنامه‌های تحریمی، وضع تحریم در پاسخ به فعالیت‌ مخرب سایبری (با آثار) قابل‌توجه را مجاز می‌داند.
همان‌طور که در جای دیگر بحث کردیم، تحریم‌های سایبری می‌تواند ناقض تعهدات مختلف وفق حقوق بین‌الملل از جمله تعهدات ناشی از سازمان تجارت جهانی و موافقتنامه‌های سرمایه‌گذاری بین‌المللی باشد. برای اینکه چنین اقداماتی به عنوان اقدام متقابل قانونی قابل توجیه باشد -یعنی اقدامات خودیاری که استفاده از ان‌ها طبق قواعد عرفی مسئولیت دولت‌ها مجاز بوده و در مواد مربوط به مسئولیت دولت‌ها به جهت ارتکاب اعمال متخلفانه بین‌المللی نیز آمده است- تحریم‌های سایبری باید در پاسخ به نقض اولیه حقوق بین‌الملل که به یک دولت خاص قابل انتساب بوده و تحریم در نتیجه آن اعمال شده است، وضع شوند. فقدان یک تعهد حقوقی بین‌المللی الزام‌آور در مورد رفتار مسئولانه دولت در فضای سایبر در کنار معضل انتساب حمله سایبری به یک کشور خاص، هر گونه تلاش برای تلقی تحریم‌های سایبری به عنوان اقدام متقابل را خنثی می‌نماید. به علاوه، امکان این که استثنائات امنیت ملی مندرج در موافقتنامه‌های سازمان تجارت جهانی و موافقتنامه‌های سرمایه‌گذاری بین‌المللی بتوانند توجیه‌کننده چنین تحریم‌هایی باشند نیز موضوعی بحث برانگیز است. خصوصاً استثنائات امنیت ملی سازمان تجارت جهانی -که اغلب در موافقتنامه‌های سرمایه‌گذاری بین‌المللی گنجانده شده‌اند- ایجاب می‌کند تا اقدامات لازم برای حفاظت از منافع امنیتی اساسی «در زمان جنگ یا سایر شرایط اضطراری بین‌المللی» صورت گیرد. همان‌گونه که در رویه قضایی آمده است، برای آن که یک حمله سایبری به آستانه مندرج در قید «سایر شرایط اضطراری بین‌المللی» برسد، از یک سو، باید باعث اختلال قابل‌توجه در عملکرد دولت آسیب‌دیده شده و از سوی دیگر، باید توسط دولت دیگر و نه یک بازیگر غیردولتی انجام شود.
مفسران در این زمینه به تمایل دولت‌ها به استفاده از ابزار فشار اقتصادی برای بازدارندگی و مجازات رفتارهای مخرب سایبری اشاره کرده‌اند. در عین حال، آن‌ها موانعی را برشمرده‌اند که مانع از اعمال تحریم‌های سایبری بیشتر و کارآمدتر توسط دولت‌ها و سازمان‌های منطقه‌ای می‌شود؛ به عنوان مثال، قوانین و رویه‌های مربوط به انتساب مسئولیت حملات سایبری در بین کشورهای عضو اتحادیه اروپا بسیار ناهماهنگ و غیرمتجانس است. همین مسئله باعث تأخیر و تضعیف واکنش هماهنگ اتحادیه اروپا به حوادث زیان‌بار در فضای سایبر می‌شود.
با وجود اینکه قانونی بودن تحریم‌های سایبری محل بحث است، در خصوص تدوین و بکارگیری آن‌ها نیز تردید وجود دارد. به طور ویژه، رویه دولت‌ها در تدوین چارچوب تحریم‌های سایبری و نیز، بکارگیری آن‌ها می‌تواند نمونه‌هایی از رفتار مخرب سایبری و یا حتی جرائم سایبری را ارائه دهد. در مقابل، ما پیرامون انواع رفتارهای مخرب سایبری که اعمال تحریم در پاسخ به آن‌ها مجاز دانسته می‌شود، سخن خواهیم گفت.

از دیدگاه چارچوب‌های تحریم‌های سایبری کنونی، چه اقداماتی، فعل قابل‌تحریم دانسته می‌شوند؟
تحریم‌های سایبری ایالات متحده در خصوص «فعالیت‌های سایبری مخرب» اعمال می‌شود. این مفهوم در فرمان اجرایی ۱۴۰۲۴ در خصوص «مسدود نمودن اموال با توجه به برخی فعالیت‌های خارجی فدراسیون روسیه» تعریف نشده است. با این حال، دستورات اجرایی قبلی روشن‌کننده این موضوع است که مفهوم «فعالیت‌های سایبری مخرب» می‌تواند شامل چه مواردی باشد. نمونه‌هایی از این فعالیت‌ها به شرح زیر است:
– حملات مخرب به رایانه‌ها یا شبکه‌های رایانه‌ای که پشتیبان زیرساخت‌های حیاتی هستند یا باعث اختلالات قابل‌توجه می‌شوند؛
– سرقت سایبری یا سوءاستفاده از اسرار تجاری از طریق ابزارهای سایبری فعال؛ و
– سوءاستفاده از اطلاعات به منظور تداخل یا تضعیف نهادها یا فرآیندهای انتخاباتی.
هم‌چنین، بر اساس چارجوب تحریم‌های سایبری آمریکا به ویژه فرمان اجرایی ۱۳۶۹۴، تحریم علیه «هر فردی که توسط وزیر خزانه‌داری با مشورت دادستان کل و وزیر امور خارجه» به عنوان مسئول، معاون یا «مباشر مستقیم یا غیرمستقیم» در فعالیت‌های سایبری مخرب شناخته شود، قابل‌اعمال است. علاوه بر این، چارچوب فوق‌الذکر اجازه می‌دهد تحریم‌های سایبری علیه افرادی که در راستای ارتکاب فعالیت‌های سایبری مخرب «مساعدت یا پشتیبانی مهمی داشته یا مبادرت به ارائه حمایت مالی، مادی یا تکنولوژیک یا کالا یا خدمات مهمی کرده‌اند»، اعمال شود. هم‌چنین، تحریم‌های سایبری ایالات متحده بر اشخاص حقوقی که تحت «مالکیت یا کنترل» افراد یا نهادهای تحریم‌شده بوده و «بر هر فردی که به طور مستقیم یا غیرمستقیم، به نفع یا به نمایندگی» افراد یا نهادهای موردتحریم عمل کرده باشد، اعمال می‌گردد. به علاوه، هر فردی که شروع به ارتکاب هر یک از فعالیت‌های فوق‌الذکر کرده باشد، می‌تواند موردتحریم قرار گیرد.
در راستای این اختیارات قانونی، ایالات متحده، مسئولان توزیع بدافزار، باج‌افزار و فیشینگ را تحریم نموده است. نمونه‌های گویای دیگر استفاده از تحریم‌های سایبری شامل تحریم‌هایی است که در پاسخ به مداخله در فرآیندهای انتخاباتی از طریق اطلاعات نادرست و هک اعمال می‌شوند و هم‌چنین، تحریم‌هایی که برای مجازات فعالیت‌های جاسوسی سایبری که بخشی از حمله سایبری معروف SolarWinds بودند، اعمال شد. موج اخیر تحریم‌های سایبری ایالات متحده شامل تحریم‌هایی است که پرداخت باج و مبادلات ارزهای دیجیتال را هدف قرار می‌دهد.
چارچوب تحریم‌های سایبری اتحادیه اروپا اجازه اعمال تحریم -به معنای اقدامات محدودساز در گفتمان اتحادیه اروپا- را به منظور جلوگیری و مجازات حملات سایبری که تأثیر قابل توجهی داشته و تهدیدی خارجی برای اتحادیه یا کشورهای عضو هستند، می‌دهد. در شرایط خاص، اگر فعالیت‌های سایبری مخرب به کشورهای ثالث یا سازمان‌های بین‌المللی آسیب برساند و اثر قابل‌توجهی نیز داشته باشد، تحریم‌های سایبری اتحادیه اروپا (علیه چنین فعالیت‌هایی) قابل‌اعمال است. مقررات مربوطه، حملات سایبری را به شرح زیر تعریف می‌کنند:
– دسترسی به سیستم‌های اطلاعاتی؛
– مداخله در سیستم‌های اطلاعاتی؛
– مداخله در داده‌ها؛
– شنود داده‌ها.
در صورتی که چنین اقداماتی از سوی مالک سیستم یا داده‌ها یا فرد ذی‌حق دیگری، قانوناً مجاز دانسته نشود و یا مقررات اتحادیه یا کشور عضوِ دخیل در مسئله چنین اجازه‌ای را ندهد، همانند مقررات ایالات متحده، تداخل داده‌ها مقوله سرقت داده‌ها، وجوه، منابع اقتصادی یا مالکیت فکری را نیز پوشش می‌دهد.
اتحادیه اروپا تحریم‌های سایبری را برای مجازات عوامل حمله سایبری علیه سازمان منع سلاح‌های شیمیایی و نیز عوامل سایر حملات موسوم به «WannaCry»»، «NotPetya» و «Operation Cloud Hopper» اعمال نمود. پس از آن نیز، در اکتبر ۲۰۲۰، دو افسر اطلاعاتی روسیه و یک واحد از سرویس‌های اطلاعاتی نظامی روسیه موسوم به «GRU» به دلیل مشارکت در هک نمودن وب‌سایت پارلمان آلمان در سال ۲۰۱۵ تحریم شدند.
مقررات مربوط به تحریم‌های سایبری بریتانیا شامل تعریف تحریم‌های سایبری و دسته بندی فعالیت‌های مخرب سایبری قابل‌تحریم بوده و از این حیث، مشابه مقررات اتحادیه اروپا می‌باشد. بر اساس لایحه اصلاحی جدید تحریم‌های خودکار استرالیا، تحریم‌ها می توانند در پاسخ به ارتکاب «فعالیت‌های مخرب سایبری» اعمال شوند. نه لایحه و نه یادداشت توضیحی هیچ توضیحی در مورد دامنه مفهوم “فعالیت مخرب سایبری” ارائه نمی کنند و در نتیجه، امکان تفسیر موسع این مفهوم وجود دارد.

آینده تنظیم مقررات فضای مجازی به چه شکل است؟
روش‌های متعددی در خصوص نحوه ایجاد هنجارهای تنظیم‌کننده رفتار مسئولانه دولت‌ها و بازیگران غیردولت در فضای سایبر وجود دارد که نخستین و بهترین آن‌ها، توافق بر سر اصول و قواعد خاصی و گنجاندن آن‌ها در یک معاهده بین‌المللی است. شایان ذکر است، اعضای ملل متحد در اوایل سال جاری، مذاکراتی را برای ایجاد یک معاهده جدید در زمینه جرایم سایبری آغاز کرده‌اند. حال باید دید که آیا این تلاش‌ها مثمر ثمر واقع می‌شوند یا اینکه مذاکرات مزیور، مجدداً منعکس‌کننده تنش‌های موجود بین کشورهای عضو سازمان ملل، همان‌گونه که در بحث‌های متعدد قبلی مطرح شده بود، خواهد بود.
با ادامه مذاکرات بین‌المللی درباره معاهده جرایم سایبری، رویه مناسب دولت‌ها در اعمال تحریم‌های سایبری می‌تواند نکات مهمی را در مورد اینکه چه نوع از فعالیت‌های سایبری به ‌عنوان رفتار مخرب یا حتی جرم سایبری تلقی شده‌اند، ارائه دهد. به عنوان مثال، مسئله فوق می‌تواند به روشن شدن این موضوع که آیا جرم سایبری، شامل مفهوم جرم سایبری ابزاری نظیر جرم‌انگاری رفتار مربوط به محتوا می‌شود یا خیر، کمک کند. این مسئله به دلیل پیامدهای حقوق بشری آن بسیار قابل بحث است.
با توجه به پیچیدگی دستیابی به توافق در مورد تعاریف بنیادین از جرائم سایبری در بستر چندجانبه، این پست‌-وبلاگ مروری بر رویه‌ کنونی ایالات متحده، اتحادیه اروپا، بریتانیا و استرالیا در مورد تحریم رفتارهای مخرب سایبری ارائه کرده است. نویسندگان بر این باورند که اگر فقدان هنجارهای بین‌المللی تنظیم‌کننده رفتار در فضای سایبر تداوم یابد، توسل به تحریم‌های سایبری در پاسخ به اقدامات مخرب سایبری افزایش می‌یابد. این امر با توجه به ملاحظات امنیتی کنونی در جهان و نقش روبه‌رشد تحریم‌های اقتصادی محتمل‌تر به نظر می‌رسد. چنین استفاده فزاینده‌ای از تحریم‌های سایبری می‌تواند نشان دهنده ظهور قواعد بین المللی عرفی در مورد نوع رفتار نادرست و مستوجب مجازات در فضای سایبر باشد. این همان چیزی است که ما آن را “ارزش هنجاری” تحریم های سایبری می‌نامیم.

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *