سمپوزیوم در رابطه با اوکراین و نظم بینالمللی
اوکراین، حملات سایبری و درسهایی برای حقوق بینالملل
نویسنده: Kristen E. Eichensehr
مترجم: کتایون اشرفی: دانشجو دورۀ دکتری حقوق بینالملل دانشگاه علامه طباطبایی
ویراستار علمی: دکتر رضوان باقرزاده؛ عضو هیأت علمی دانشگاه بوعلی سینا
تهاجم روسیه به اوکراین، نظریات [موجود] پیرامون اینکه چگونه حملات سایبری را میتوان با جنگ متعارف و سنتی منطبق ساخت را به بوته آزمون کشیده است. برخلاف بسیاری از انتظارات، به نظر میرسد عملیات سایبری، در مراحل اولیه تهاجم روسیه، صرفاً نقش محدودی داشته و این امر، نظریات رقیب و گمانهزنیهای متعددی را در مورد چرایی این امر رقم زده است. اگرچه نوشتار حاضر در زمان تداوم مخاصمه نوشته شده است، متوجه این موضوع هست که چگونه یکی از دو توضیح گسترده در خصوص نقش محدود حملات سایبری تا به امروز – اینکه شروع به حملات سایبری روسیه خنثی شد یا اینکه خود روسیه تصمیم گرفت آنها را به طور گستردهای به کار نگیرد – دانش مرسوم در مورد امنیت سایبری را به چالش میکشد. این نوشتار نتیجه میگیرد درسی که حقوقدانان بینالمللی باید از مخاصمه کنونی بگیرند، این است که نه تنها برای معدود عملیاتهای سایبری مخرب یا بسیار مخرب، بلکه برای عملیاتهای سطح پایینتر که در اوکراین و سایر مناطق، به نحو مستمرتری، مشکلساز و غامض نشان داده است، نیاز فوری به شفافسازی و اجرای قواعد بینالمللی وجود دارد. شفافسازی چنین قواعدی میتواند به مدیریت تشدید مخاطرات حال و آینده کمک کند؛ حتی اگر چنین قواعدی، نظیر ممنوعیتهای دیرپا و قابل احترام حقوق بینالملل که تهاجم روسیه آنها را نقض کرده است، لزوماً به طور مستقیم رفتار را محدود نکند.
نقش محدود عملیات سایبری تاکنون
در تهاجم روسیه، کارشناسان نگرانیهایی را در مورد حملات سایبری روسیه به اوکراین و سرایت احتمالی آن به کشورهای دیگر مطرح کردند. برای هر دو مورد، سابقه وجود دارد. در سالهای ٢٠١۵ و ٢٠١۶ ،روسیه عملیاتهای سایبری را آغاز نمود که قطعی برق را در اوکراین به همراه داشت، و در سال ٢٠١٧ ،از نرمافزار حسابداری اوکراینی جهت راهاندازی یک بدافزار مخرب موسوم به NotPetya استفاده کرد که گرچه در قالب یک باجافزار (نوعی بدافزار به منظور باجخواهی) بود، به واقع فایلهای «رمزگذاری شده غیرقابل بازگشت» بود که پرداختهای باجافزار را «بیثمر» میساخت. گسترش جهانی NotPetya ،١٠ میلیارد دلار خسارت به بار آورد.
با توجه به این تاریخچه و سالها گمانهزنی در مورد اینکه جنگ توسط یک قدرت سایبری چگونه خواهد بود، انتظارات زیادی برای ایفای نقش شاخص عملیات سایبری در تهاجم اولیه وجود داشت. حال آنکه [در تهاجم روسیه] به نظر میرسد نقش آن نسبتاً محدود بود و همین، باعث تعجب بسیاری از کسانی شد که عملیات سایبری روسیه را دنبال میکنند. برای مثال، مارک وارنر، رئیس کمیته اطلاعات سنا، اعلام کرد «از اینکه [روسها] به واقع سطحی از شرارت، شامل عملیات سایبری، را آغاز نکردهاند، شگفتزده است.»
حوادث امنیت سایبری شناخته شده در هفتههای پیش از حمله و بعد از تهاجم، تأثیر نسبتاً کمی داشته است. به عنوان مثال، در اواسط فوریه، یک حملۀ منع سرویس توزیعشده (DDoS) توسط ارتش روسیه دسترسی به وب سایتهای چندین بخش دولتی و دو بانک بزرگ اوکراین را برای مدت کوتاهی مختل کرد و عملیات سایبری به طور متناوب برخی از خدمات اینترنتی را با اخلال مواجه کرد. همچنین محققان، انواع مختلفی از بدافزار وایپر را کشف کردهاند که در سیستمهای اوکراینی، دادهها را قبل و بعد از حمله از بین میبرد یا خراب میکند، اگرچه به نظر میرسد این بدافزار تا به امروز آسیب محدودی ایجاد کرده است.
مهمترین حادثه امنیت سایبری که تاکنون فاش شده است، همان موردی از حملات سایبری است که بیش از همه انتظار میرود همراه با تهاجم باشد. با شروع تهاجم در ۲۴ فوریه ۲۰۲۲، دولت روسیه یک حمله سایبری را آغاز کرد که خدمات پهنای باند ارائه شده توسط Viasat را هدف قرار داد. این شرکت، پیمانکار دفاعی ایالات متحده است و با ارتش و پلیس اوکراین قرارداد دارد. سپس یک مقام اوکراینی به خبرنگاران گفت که این حادثه ” در همان ابتدای جنگ، به خسارتی بزرگ در ارتباطات منجر شد.” این خرابکاری، دسترسی به اینترنت ماهوارهای را در سراسر اروپا، از جمله در لهستان و فرانسه، مختل کرد و تا یک ماه پس از حادثه، در آلمان هزاران توربین بادی، خاموش ماندند. اگرچه این حادثه مخرب بوده است، اما ظاهراً تنها حمله سایبری موفقیتآمیز مهمی است که بسیاری انتظار داشتند در ابتدای تهاجم، سراسر اوکراین را تحت تاثیر قرار دهد.
چرا حملات سایبری نقش بیشتری ایفا نکردهاند؟
در فضای مهآلود و مبهم جنگ، عملیات سایبری ممکن است، دست کم برای افرادی غیر از دولتها و شرکتهای باتجربه در این حیطه، مبهمترین بخش باشد. اما عدم قطعیت مانع گمانه زنی نشده است. اخیرا، واشنگتن پست، کمتر از یازده توضیح ممکن برای عملیات سایبری موفقیتآمیز محدودِ همراه با تهاجم روسیه، فهرست کرده است. به مرور زمان، آنچه واقعاً در جبهه سایبری اتفاق افتاده است (یا نشده است) واضحتر خواهد شد و به نظر میرسد اوکراین برای هر توضیحی که درست باشد، به یک مطالعه موردی تبدیل شود. در عین حال، ادامۀ این مقاله تلاش میکند که برخی از نظریات مربوط به عملیات سایبری خاموش را نظاممند کند که به این وسیله، آنچه را که حقوقدانان و سیاستگذاران بینالمللی ممکن است در نهایت از نقش عملیات سایبری در تهاجم روسیه بیاموزند، روشن سازد.
در کلیترین حالت، دو دسته توضیح احتمالی، جهت اثرات محدود سایبری در هفتههای ابتدایی مخاصمه، وجود دارد: (۱) حملات سایبری که برای آن تلاش یا برنامهریزی صورت گرفته، با شکست مواجه شدند، یا (۲) ]خود[ روسیه تصمیم گرفت حملات سایبری گسترده را انجام ندهد. هر دو گزینه، دانش مرسوم را به چالش کشیده آموزههای آتی را پیشنهاد میکنند.
روی آوردن به گزینه اول که مطابق آن، روسیه برای حملات سایبری برنامهریزی یا تلاش کرده، اما نتوانسته به تخریب یا اختلال قابل توجهی دست یابد، ممکن است نشان دهد که دفاع سایبری موفق بوده است. داستانی که در آن عملیات سایبری روسیه کمتر از حد انتظار مؤثر بود، با تصویر گستردهتر تهاجم مطابقت داشت که در آن، ظاهرا به دلیل برنامهریزی ضعیف و دست کم گرفتن دفاع اوکراین، روسیه به وسیلۀ نیروهای نظامی متعارف، نتوانست به اهداف اولیۀ خود دست یابد.
اگرچه عملیات سایبری بسیار محرمانه است، برخی نشانهها در مورد دفاع، در معرض دید عموم قرار گرفته است. مقامات ایالات متحده به “کار گستردهای که پس از حملات روسیه به شبکه برق این کشور در سالهای ۲۰۱۵ و ۲۰۱۶، جهت تقویت شبکههای اوکراین انجام شد” اشاره کردهاند و در راستای سیاست اعلامشدۀ «دفاع رو به جلو» ایالات متحده، گزارشهای رسانهها نشان میدهند که در پایگاههای اطراف اروپای شرقی، تیمهای عملیات سایبری فرماندهی سایبری آمریکا، به صورت مخفیانه، پایگاه دارند و هدف آن، دخالت در حملات و ارتباطات دیجیتال روسیه است. ژنرال پل ناکاسونه، مدیر آژانس امنیت ملی و رئیس فرماندهی سایبری ایالات متحده، اخیراً به کنگره گفت: “ما در چند سال گذشته بسیار بسیار زیاد با اوکراین کار کردهایم” از جمله در داشتن “تیمهای جستجوی رو به جلو(پیشرونده)، از سوی فرماندهی سایبری ایالات متحده در کیاف.
به نظر میرسد تجربه تدافعی بسیار ثمربخش بوده و به مقامات این امکان را میدهد که از ایجاد خسارت ناشی از خرابکاری، جلوگیری به عمل آورند. در ماه آوریل، وزارت دادگستری ایالات متحده، خرابی یک بات نت تحت کنترل دولت روسیه قبل از استفاده از آن را اعلام کرد و مقامات اوکراین، یک حملۀ سایبری در حال گسترش آژانس اطلاعات نظامی روسیه را، قبل از اینکه باعث خاموشی شود، با موفقیت متوقف کردند.
دفاع، نه تنها از سوی دولتها، بلکه از سوی شرکتها نیز در حال انجام است. برای مثال، هنگامی که مایکروسافت کشف کرد که بدافزار وایپر دولت اوکراین را هدف قرار داده است، در عرض چند ساعت نه تنها جهت مسدود کردن بدافزار، سامانههای خود را به روز کرد، بلکه به درخواست کاخ سفید، کد را با دولتهای اروپایی به اشتراک گذاشت. گزارشهای رسانهها حاکی از آن است که” بسیاری از اطلاعات محرمانه قابل تعقیب قانونی، توسط شرکتهایی مانند مایکروسافت و گوگل در حال کشف است؛ همانها که قادرند آنچه را که در شبکههای وسیع آنها جریان دارد، مشاهده کنند.”
علاوه بر مقابله با حملات، نوع دیگری از دفاع، حاصل انعطافپذیری است. حتی در مواجهه با تلاشها و در برخی موارد، اختلالات موفقیتآمیز، سیستمها و شبکههای دولتی و غیرنظامی اوکراین انعطافپذیری خود را نشان داده و مقاومت شدیدی در برابر روسیه ایجاد کردهاند. برای مثال، طبق گزارشها، در مناطقی که اینترنت متعارف در دسترس نیست، غیرنظامیان و مقامات دولتی به خدمات اینترنت ماهوارهای استارلینک که توسط ایلان ماسک فراهم آمده، روی آوردهاند؛ همچنان که «یک واحد اوکراینی [که] از استارلینک جهت اتصال پهپادهای خود در حمله به نیروهای روسی استفاده میکند» چنین کرده است.
اگر دفاعهای موفق، حداقل بخشی از عدم وجود تأثیرات شدید عملیات سایبری را توضیح دهد، مطالعه موردی اوکراین ممکن است به عنوان نقطه مقابل این شعار مکرر در امنیت سایبری تلقی شود که تهاجم، بر دفاع چیره میشود. البته این امر به این معنا نیست که دفاع سایبری همواره غالب و پیروز خواهد شد؛ بلکه متناوباً شاهد شکست آن [نیز] هستیم. برای مثال، درست در سال گذشته، در حادثه SolarWinds ،ایالات متحده روسیه را مقصر نفوذ موفقیتآمیز در نهادهای دولتی و بخش خصوصی [خود] دانست. با این وجود، چه بسا اوکراین نشان دهد مدافعان باتجربهای که در یک بازه زمانی خاص، به دفاعی متمرکز از اهداف شاخص پراکنده میپردازند، میتوانند توفیق یابند. داشتن یک نمونه واضح از دفاع سایبری موفق در چنین شرایطی ممکن است ایالات متحده و دولتهای متحد آن را به تقویت کمکهای دفاعی در سطح بینالمللی (علاوه بر داخلی) ترغیب کند. سازمان پیمان آتلانتیک شمالی (ناتو) متعهد شده است به کمکهای امنیت سایبری به اوکراین ادامه دهد و مرکز عالی همکاری های دفاع سایبری آن (CCDCOE) اوکراین را به عنوان “مشارکتکنندۀ همکار” پذیرفته است
دومین توضیح گسترده در ارتباط با عدم وجود حملات سایبری قابل توجه به این بازمیگردد که به علتی از میان چندین دلیل احتمالی، [خود] روسیه تصمیم به گسترش این حملات نگرفته است. شاید روسیه با انتظار پیروزی سریع با نیروهای متعارف، تصمیم گرفت درگیر برنامهریزی مفصل مقتضی جهت عملیات سایبری موفق نشود. یا چه بسا روسیه به دلیل واهمه از تبعات فرامرزی آن که میتواند به درگیری مستقیم با ناتو تبدیل شود، از انجام حملات سایبری پرهیز کرد. این تبعات، با عملیات NotPetya و هک Viasat اتفاق افتاد. در این صورت، با توجه اینکه به طور کلی تصور این است که بازدارندگی در رابطه با عملیات سایبری ضعیف عمل میکند، این توضیح خلاف انتظار خواهد بود و ممکن است بازاندیشی و بازنظریهپردازی در خصوص نحوه عملکرد بازدارندگی در فضای سایبری را بطلبد. از سوی دیگر، به نظر میرسد بسیاری از آنچه جامعه بینالمللی تاکنون بدان دست یافته، در بازدارندگی روسیه بسیار ناموفق بوده و بنابراین، بازدارندگی، به تنهایی، توضیحی بعید مینماید.
تفسیر دیگر از جریانی که در آن روسیه تصمیم گرفت حملات سایبری مهمی انجام ندهد، به نقش بهینه عملیات سایبری مرتبط است. عملیات سایبری مزیت نسبی قابل توجهی نسبت به نیروی متعارف دارد، آنجا که این عملیات میتواند جاسوسی یا نفوذهای مخفیانه را به منظور توقف یا کاهش تخریب امکانپذیر سازد. اما در گرماگرم یک مخاصمه، «هدف قرار دادن دشمن به وسیله توپخانه، خمپاره و بمبافکن بسیار آسانتر از [هدف قرار دادن دشمن با] استفاده از قدرت سایبری شکننده و گذرا است». تهاجم اوکراین، موضوع مورد اشاره را با نشان دادن این امر اثبات میکند که حتی زمانی که یک قدرت سایبری بزرگ جنگی را آغاز میکند، ممکن است به دنبال اختلال سایبری نباشد یا آن را در دستور کار فوری خود نداشته باشد. البته این موضوع در ارتباط با کشور دیگر یا مخاصمه دیگر، به دلیل استفاده از حملات سایبری استراتژیک مهم و/ یا عملیات سایبری دقیقاً هدفمند و زمانبندی شده برای پشتیبانی از نیروهای میدان نبرد، ممکن است به شکل متفاوتی پیش رود. همانطور که ایالات متحده هشدار میدهد، تاکتیکهای روسیه در رابطه با حملات سایبری به اوکراین یا خارج از کشور، همچنان ممکن است تغییر کند. اما تلاشهای مهم و حتی موفقیتآمیز حملات سایبری روسیه در آینده، این واقعیت را تغییر نخواهد داد که تهاجم اولیه متفاوت از آنچه بسیاری انتظار داشتند، انجام شد.
به کجا میرویم؟
مخاصمه اوکراین، بدون تردید درسهایی را برای کارشناسان فنی و پدافندگران شبکه، و احتمالاً برای حقوقدانان و سیاستگذاران بینالمللی، خواهد داشت. در سالهای اخیر، حملات سایبری متعدد و مخرب، توجه بسیار زیادی را به خود جلب کرده است. اما به ناگاه، پرل هاربرز سایبری یا حادثه ١١ سپتامبر [٢٠٠۱[ سایبری محقق نشده است، و همانطور که تهاجم روسیه نشان میدهد، حتی در یک درگیری مسلحانۀ بینالمللی، «هیچ “شوک و وحشت” سایبری وجود ندارد» یا دست کم لزوماً وجود ندارد.
اما، آنچه مشاهده میشود، عملیات سایبری سطح پایینتر بوده که پیوستهتر و مستمراً ضربه زننده است. این عملیاتها نمونه بارزی از منطقه خاکستری هستند؛ فضای استراتژیک مبهم میان صلح و درگیری مسلحانه آشکار. مثالها شامل اختلالات مختصر در زیرساختهای حیاتی، حملات منع سرویس توزیع شده (DDOS) که وبسایتها را غیر قابل دسترس میکند، باج افزار و نفوذ به زیرساختهای انتخاباتی است. عملیاتهایی از این قبیل، از نقاط قوت حملات سایبری بهره میبرند: ایجاد سردرگمی در مورد آنچه اتفاق افتاده است و آنکه مسئول است، از دسترس خارج کردن ]امکان[ محدودسازی شدت تخریب برای دولتها، از دست دادن مغرضانه و طولانیمدت اعتماد به سامانههای دیجیتال و از بین بردن رقابت به دلیل سرقت مالکیت معنوی. این نوع از عملیات، آرامش [نسبی] در روابط راحفظ میکند. همچنین بخش مهمی از این استراتژی، پنهان کردن دخالت دولت است که اغلب به واسطه دخالت دادن هکرهایی که روابطی مبهم با دولتها دارند، انجام میشود و نتیجه آن، بروز چالشهایی در خصوص بحث انتساب است.
بخشی از آنچه در مورد مخاصمه اوکراین قابل توجه است، صرفاً نبود حملات سایبری مخرب یا گسترده و پیشرفته مخرب نیست، بلکه وجود حملات منع سرویس توزیع شده (DDOS) و سایر عملیاتهای معمول منطقه خاکستری، البته در سطحی ظاهراً شدت یافته، نیز هست. همچنین مخاصمه اوکراین، مثالهایی بدیع از تداخل مرزهای میان بازیگران دولتی و غیردولتی ارائه کرده است. هکرها در جبهه هر دو طرف بودهاند. وزیر تحول دیجیتال اوکراین در توییتی نوشت که این کشور «در حال ایجاد یک ارتش فناوری اطلاعات» بود که بنا بر گزارشها، دارای هزاران شرکتکنندهای بود که گاه نهادهای روسی را آفلاین کردهاند و در طرف مقابل، دست کم یک گروه باج افزار، با وعده انتقام از غرب، در جبهه روسیه بود. چنین گروههایی، پرسشهای حقوقی پیرامون مسئولیت دولت را، چه در زمان مخاصمه مسلحانه و چه خارج از آن، مطرح میکنند.
از نظر حقوقدانان بینالمللی، ابعاد سایبری مخاصمه روسیه و اوکراین، ضرورت فزاینده تلاشهای دولتها، دانشگاهیان و جامعه مدنی در جهت تبیین قواعد حقوقی قابل اعمال بر عملیات سایبری پیشرفته و منطقۀ خاکستری را مطرح میکند. از برخی جهات، چارچوبهای قانونی حملات سایبری مخرب پیشرفته، توأمان آسانتر و بیشتر است. به نظر میرسد بسیاری از کشورها در برخورد با حملات سایبری که در مقیاس و نتایج مشابه توسل به زور سنتی هستند، مانند همان توسل سنتی به زور اقدام میکنند. اما همچنان اقدامات بیشتری باید در مورد مسائل منطقه خاکستری که هم در حین مخاصمات مسلحانه و هم خارج از آن مطرح میشود، صورت پذیرد. برای برخی مسائل، این به معنای وضع یک قاعده است؛ اینکه کدام عملیات سایبری که پایینتر از آستانه توسل به زور قرار میگیرند، ناقض حقوق بینالملل هستند؟ یا اینکه چه نوع نتایجی باید محقق شود تا با توجه به اهداف حقوق بینالملل بشر دوستانه، عملیات سایبری مربوطه “حمله” شمار آید؟ برای سایر موضوعات، باید دریافت که چگونه میتوان قواعد موجود را، از جمله پیرامون مسئولیت دولتها در قبال بازیگران غیردولتی، در قلمرو سایبری پیاده ساخت.
متعاقب نقض آشکار مقدسترین مقررات حقوق بینالملل در مورد توسل به زور و تمامیت ارضی توسط روسیه، ممکن است توسعه قواعد بینالمللی بیشتر توصیهای سخرهآمیز به نظر آید؛ اما چنین نیست! تهاجم به اوکراین (هنوز) به درگیری مستقیم میان ابرقدرتها بدل نشده است و وضوح بیشتر قواعد مربوط به عملیات سایبری برای این مخاصمه و سایر عملیاتهای خارج از درگیریهای مسلحانه بینالمللی، میتواند به پیشگیری یا دست کم مدیریت وخامت اوضاع کمک کند.