اوکراین، حملات سایبری و درس‌هایی برای حقوق بین‌الملل

سمپوزیوم در رابطه با اوکراین و نظم بین‌المللی
اوکراین، حملات سایبری و درس‌هایی برای حقوق بین‌الملل
نویسنده: Kristen E. Eichensehr
مترجم: کتایون اشرفی: دانشجو دورۀ دکتری حقوق بین‌الملل دانشگاه علامه طباطبایی
ويراستار علمي: دکتر رضوان باقرزاده؛ عضو هيأت علمي دانشگاه بوعلي سينا
تهاجم روسيه به اوكراين، نظريات [موجود] پيرامون اينكه چگونه حملات سايبري را مي‌توان با جنگ متعارف و سنتي منطبق ساخت را به بوته آزمون كشيده است. برخلاف بسياري از انتظارات، به نظر مي‌رسد عمليات سايبري، در مراحل اوليه تهاجم روسيه، صرفاً نقش محدودي داشته و اين امر، نظريات رقيب و گمانه‌زني‌هاي متعددي را در مورد چرايي اين امر رقم زده است. اگرچه نوشتار حاضر در زمان تداوم مخاصمه نوشته شده است، متوجه اين موضوع هست كه چگونه يكي از دو توضيح گسترده در خصوص نقش محدود حملات سايبري تا به امروز – اينكه شروع به حملات سايبري روسيه خنثي شد يا اينكه خود روسيه تصميم گرفت آنها را به طور گسترد‌ه‌اي به كار نگيرد – دانش مرسوم در مورد امنيت سايبري را به چالش مي‌كشد. اين نوشتار نتيجه مي‌گيرد درسي كه حقوق‌دانان بين‌المللي بايد از مخاصمه كنوني بگيرند، اين است كه نه تنها براي معدود عمليات‌هاي سايبري مخرب يا بسيار مخرب، بلكه براي عمليات‌هاي سطح پايين‌تر كه در اوكراين و ساير مناطق، به نحو مستمرتري، مشكل‌ساز و غامض نشان داده است، نياز فوري به شفاف‌سازي و اجراي قواعد بين‌المللي وجود دارد. شفاف‌سازي چنين قواعدي مي‌تواند به مديريت تشديد مخاطرات حال و آينده كمك كند؛ حتي اگر چنين قواعدي، نظير ممنوعيت‌هاي ديرپا و قابل احترام حقوق بين‌الملل كه تهاجم روسيه آنها را نقض كرده است، لزوماً به طور مستقيم رفتار را محدود نكند.
نقش محدود عملیات سایبری تاکنون
در تهاجم روسيه، كارشناسان نگراني‌هايي را در مورد حملات سايبري روسيه به اوكراين و سرايت احتمالي آن به كشورهاي ديگر مطرح كردند. براي هر دو مورد، سابقه وجود دارد. در سال‌هاي ٢٠١٥ و ٢٠١٦ ،روسيه عمليات‌هاي سايبري را آغاز نمود كه قطعي برق را در اوكراين به همراه داشت، و در سال ٢٠١٧ ،از نرم‌افزار حسابداري اوكرايني جهت راه‌اندازي يك بدافزار مخرب موسوم به NotPetya استفاده كرد كه گرچه در قالب يك باج‌افزار (نوعي بدافزار به منظور باج‌خواهي) بود، به‌ واقع فايل‌هاي «رمزگذاري شده غيرقابل بازگشت» بود كه پرداخت‌هاي باج‌افزار را «بي‌ثمر» مي‌ساخت. گسترش جهاني NotPetya ،١٠ ميليارد دلار خسارت به بار آورد.
با توجه به اين تاريخچه و سال‌ها گمانه‌زني در مورد اينكه جنگ توسط يك قدرت سايبري چگونه خواهد بود، انتظارات زيادي براي ايفاي نقش شاخص عمليات سايبري در تهاجم اوليه وجود داشت. حال آنكه [در تهاجم روسيه] به نظر مي‌رسد نقش آن نسبتاً محدود بود و همين، باعث تعجب بسياري از كساني شد كه عمليات سايبري روسيه را دنبال مي‌كنند. براي مثال، مارك وارنر، رئيس كميته اطلاعات سنا، اعلام كرد «از اينكه [روس‌ها] به واقع سطحي از شرارت، شامل عمليات سايبري، را آغاز نكرده‌اند، شگفت‌زده است.»
حوادث امنیت سایبری شناخته شده در هفته‌های پیش از حمله و بعد از تهاجم، تأثیر نسبتاً کمی داشته است. به عنوان مثال، در اواسط فوریه، یک حملۀ منع سرويس توزيع‌شده (DDoS) توسط ارتش روسیه دسترسی به وب سایت‌های چندین بخش دولتی و دو بانک بزرگ اوکراین را برای مدت کوتاهی مختل کرد و عملیات سایبری به طور متناوب برخی از خدمات اینترنتی را با اخلال مواجه کرد. همچنین محققان، انواع مختلفی از بدافزار وایپر را کشف کرده‌اند که در سیستم‌های اوکراینی، داده‌ها را قبل و بعد از حمله از بین می‌برد یا خراب می‌کند، اگرچه به نظر می‌رسد این بدافزار تا به امروز آسیب محدودی ایجاد کرده است.
مهمترين حادثه امنيت سايبري كه تاكنون فاش شده است، همان موردي از حملات سايبري است كه بيش از همه انتظار مي‌رود همراه با تهاجم باشد. با شروع تهاجم در ۲۴ فوریه ۲۰۲۲، دولت روسیه یک حمله سایبری را آغاز کرد که خدمات پهنای باند ارائه شده توسط Viasat را هدف قرار داد. این شرکت، پیمانکار دفاعی ایالات متحده است و با ارتش و پلیس اوکراین قرارداد دارد. سپس یک مقام اوکراینی به خبرنگاران گفت که این حادثه ” در همان ابتدای جنگ، به خسارتی بزرگ در ارتباطات منجر شد.” این خرابکاری، دسترسی به اینترنت ماهواره‌ای را در سراسر اروپا، از جمله در لهستان و فرانسه، مختل کرد و تا یک ماه پس از حادثه، در آلمان هزاران توربین بادی، خاموش ماندند. اگرچه این حادثه مخرب بوده است، اما ظاهراً تنها حمله سایبری موفقیت‌آمیز مهمی است که بسیاری انتظار داشتند در ابتدای تهاجم، سراسر اوکراین را تحت تاثیر قرار دهد.
چرا حملات سایبری نقش بیشتری ایفا نکرده‌اند؟
در فضاي مه‌آلود و مبهم جنگ، عمليات سايبري ممكن است، دست كم براي افرادي غير از دولت‌ها و شركت‌هاي باتجربه در اين حيطه، مبهم‌ترين بخش باشد. اما عدم قطعیت مانع گمانه زنی نشده است. اخیرا، واشنگتن پست، کمتر از یازده توضیح ممکن برای عملیات سایبری موفقیت‌آمیز محدودِ همراه با تهاجم روسیه، فهرست کرده است. به مرور زمان، آنچه واقعاً در جبهه سایبری اتفاق افتاده است (یا نشده است) واضح‌تر خواهد شد و به نظر می‌رسد اوکراین برای هر توضیحی که درست باشد، به یک مطالعه موردی تبدیل شود. در عین حال، ادامۀ این مقاله تلاش می‌کند که برخی از نظریات مربوط به عملیات سایبری خاموش را نظام‌مند کند که به این وسیله، آن‌چه را که حقوق‌دانان و سیاست‌گذاران بین‌المللی ممکن است در نهایت از نقش عملیات سایبری در تهاجم روسیه بیاموزند، روشن سازد.
در کلی‌ترین حالت، دو دسته توضیح احتمالی، جهت اثرات محدود سایبری در هفته‌های ابتدایی مخاصمه، وجود دارد: (۱) حملات سایبری که برای آن تلاش یا برنامه‌ریزی صورت گرفته، با شکست مواجه شدند، یا (۲) ]خود[ روسیه تصمیم گرفت حملات سایبری گسترده را انجام ندهد. هر دو گزینه، دانش مرسوم را به چالش کشیده آموزه‌های آتی را پیشنهاد می‌کنند.
روی آوردن به گزینه اول که مطابق آن، روسیه برای حملات سایبری برنامه‌ریزی یا تلاش کرده، اما نتوانسته به تخریب یا اختلال قابل توجهی دست یابد، ممکن است نشان دهد که دفاع سایبری موفق بوده است. داستانی که در آن عملیات سایبری روسیه کمتر از حد انتظار مؤثر بود، با تصویر گسترده‌تر تهاجم مطابقت داشت که در آن، ظاهرا به دلیل برنامه‌ریزی ضعیف و دست کم گرفتن دفاع اوکراین، روسیه به وسیلۀ نیروهای نظامی متعارف، نتوانست به اهداف اولیۀ خود دست یابد.
اگرچه عملیات سایبری بسیار محرمانه است، برخی نشانه‌ها در مورد دفاع، در معرض دید عموم قرار گرفته است. مقامات ایالات متحده به “کار گسترده‌ای که پس از حملات روسیه به شبکه برق این کشور در سال‌های ۲۰۱۵ و ۲۰۱۶، جهت تقویت شبکه‌های اوکراین انجام شد” اشاره کرده‌اند و در راستای سیاست اعلام‌شدۀ «دفاع رو به جلو» ایالات متحده، گزارش‌های رسانه‌ها نشان می‌دهند که در پایگاه‌های اطراف اروپای شرقی، تیم‌های عملیات سایبری فرماندهی سایبری آمریکا، به صورت مخفیانه، پایگاه دارند و هدف آن، دخالت در حملات و ارتباطات دیجیتال روسیه است. ژنرال پل ناکاسونه، مدیر آژانس امنیت ملی و رئیس فرماندهی سایبری ایالات متحده، اخیراً به کنگره گفت: “ما در چند سال گذشته بسیار بسیار زیاد با اوکراین کار کرده‌ایم” از جمله در داشتن “تیم‌های جستجوی رو به جلو(پیش‌رونده)، از سوی فرماندهی سایبری ایالات متحده در کی‌اف.
به نظر مي‌رسد تجربه تدافعي بسيار ثمربخش بوده و به مقامات این امکان را می‌دهد که از ایجاد خسارت ناشی از خرابکاری، جلوگیری به عمل آورند. در ماه آوریل، وزارت دادگستری ایالات متحده، خرابی یک بات نت تحت کنترل دولت روسیه قبل از استفاده از آن را اعلام کرد و مقامات اوکراین، یک حملۀ سایبری در حال گسترش آژانس اطلاعات نظامی روسیه را، قبل از اینکه باعث خاموشی شود، با موفقیت متوقف کردند.
دفاع، نه تنها از سوی دولت‌ها، بلکه از سوی شرکت‌ها نیز در حال انجام است. برای مثال، هنگامی که مایکروسافت کشف کرد که بدافزار وایپر دولت اوکراین را هدف قرار داده است، در عرض چند ساعت نه تنها جهت مسدود کردن بدافزار، سامانه‌های خود را به روز کرد، بلکه به درخواست کاخ سفید، کد را با دولت‌های اروپایی به اشتراک گذاشت. گزارش‌های رسانه‌ها حاکی از آن است که” بسياري از اطلاعات محرمانه قابل تعقيب قانوني، توسط شركت‌هايي مانند مايكروسافت و گوگل در حال كشف است؛ همان‌ها كه قادرند آنچه را كه در شبكه‌هاي وسيع آن‌ها جريان دارد، مشاهده كنند.”
علاوه بر مقابله با حملات، نوع ديگري از دفاع، حاصل انعطاف‌پذيري است. حتي در مواجهه با تلاش‌ها و در برخي موارد، اختلالات موفقيت‌آميز، سيستم‌ها و شبكه‌هاي دولتي و غيرنظامي اوكراين انعطاف‌پذيري خود را نشان داده و مقاومت شديدي در برابر روسيه ايجاد كرده‌اند. براي مثال، طبق گزارش‌ها، در مناطقي كه اينترنت متعارف در دسترس نيست، غيرنظاميان و مقامات دولتي به خدمات اينترنت ماهوارهاي استارلينك كه توسط ايلان ماسك فراهم آمده، روي آورده‌ا‌‌ند؛ همچنان كه «يك واحد اوكرايني [كه] از استارلينك جهت اتصال پهپادهاي خود در حمله به نيروهاي روسي استفاده مي‌كند» چنين كرده است.
اگر دفاع‌هاي موفق، حداقل بخشي از عدم وجود تأثيرات شديد عمليات سايبري را توضيح دهد، مطالعه موردي اوكراين ممكن است به عنوان نقطه مقابل اين شعار مكرر در امنيت سايبري تلقي شود كه تهاجم، بر دفاع چيره مي‌شود. البته اين امر به اين معنا نيست كه دفاع سايبري همواره غالب و پيروز خواهد شد؛ بلكه متناوباً شاهد شكست آن [نيز] هستيم. براي مثال، درست در سال گذشته، در حادثه SolarWinds ،ايالات متحده روسيه را مقصر نفوذ موفقيت‌آميز در نهادهاي دولتي و بخش خصوصي [خود] دانست. با اين وجود، چه بسا اوكراين نشان دهد مدافعان باتجربه‌اي كه در يك بازه زماني خاص، به دفاعي متمركز از اهداف شاخص پراكنده مي‌پردازند، مي‌توانند توفيق يابند. داشتن يك نمونه واضح از دفاع سايبري موفق در چنين شرايطي ممكن است ايالات متحده و دولت‌هاي متحد آن را به تقويت كمك‌هاي دفاعي در سطح بين‌المللي (علاوه بر داخلي) ترغيب كند. سازمان پيمان آتلانتيك شمالي (ناتو) متعهد شده است به كمك‌هاي امنيت سايبري به اوكراين ادامه دهد و مركز عالي همكاري هاي دفاع سايبري آن (CCDCOE) اوكراين را به عنوان “مشاركت‌کنندۀ همكار” پذيرفته است
دومين توضيح گسترده در ارتباط با عدم وجود حملات سايبري قابل توجه به اين بازمي‌گردد كه به علتي از ميان چندين دليل احتمالي، [خود] روسيه تصميم به گسترش اين حملات نگرفته است. شايد روسيه با انتظار پيروزي سريع با نيروهاي متعارف، تصميم گرفت درگير برنامه‌ريزي مفصل مقتضي جهت عمليات سايبري موفق نشود. يا چه بسا روسيه به دليل واهمه از تبعات فرامرزي آن كه مي‌تواند به درگيري مستقيم با ناتو تبديل شود، از انجام حملات سايبري پرهيز كرد. اين تبعات، با عمليات NotPetya و هك Viasat اتفاق افتاد. در اين صورت، با توجه اينكه به طور كلي تصور اين است كه بازدارندگي در رابطه با عمليات سايبري ضعيف عمل مي‌كند، اين توضيح خلاف انتظار خواهد بود و ممكن است بازانديشي و بازنظريه‌پردازي در خصوص نحوه عملكرد بازدارندگي در فضاي سايبري را بطلبد. از سوي ديگر، به نظر مي‌رسد بسياري از آنچه جامعه بين‌المللي تاكنون بدان دست يافته، در بازدارندگي روسيه بسيار ناموفق بوده و بنابراين، بازدارندگي، به تنهايي، توضيحي بعيد مي‌نمايد.
تفسير ديگر از جرياني كه در آن روسيه تصميم گرفت حملات سايبري مهمي انجام ندهد، به نقش بهينه عمليات سايبري مرتبط است. عمليات سايبري مزيت نسبي قابل توجهي نسبت به نيروي متعارف دارد، آنجا كه اين عمليات مي‌تواند جاسوسي يا نفوذهاي مخفيانه را به منظور توقف يا كاهش تخريب امكان‌پذير سازد. اما در گرماگرم يك مخاصمه، «هدف قرار دادن دشمن به وسيله توپخانه، خمپاره و بمب‌افكن بسيار آسانتر از [هدف قرار دادن دشمن با] استفاده از قدرت سايبري شكننده و گذرا است». تهاجم اوكراين، موضوع مورد اشاره را با نشان دادن اين امر اثبات مي‌كند كه حتي زماني كه يك قدرت سايبري بزرگ جنگي را آغاز مي‌كند، ممكن است به دنبال اختلال سايبري نباشد يا آن را در دستور كار فوري خود نداشته باشد. البته اين موضوع در ارتباط با كشور ديگر يا مخاصمه ديگر، به دليل استفاده از حملات سايبري استراتژيك مهم و/ يا عمليات سايبري دقيقاً هدفمند و زمان‌بندي شده براي پشتيباني از نيروهاي ميدان نبرد، ممكن است به شكل متفاوتي پيش رود. همانطور كه ايالات متحده هشدار مي‌دهد، تاكتيك‌هاي روسيه در رابطه با حملات سايبري به اوكراين يا خارج از كشور، همچنان ممكن است تغيير كند. اما تلاش‌هاي مهم و حتي موفقيت‌آميز حملات سايبري روسيه در آينده، اين واقعيت را تغيير نخواهد داد كه تهاجم اوليه متفاوت از آنچه بسياري انتظار داشتند، انجام شد.
به کجا می‌رویم؟
مخاصمه اوكراين، بدون ترديد درس‌هايي را براي كارشناسان فني و پدافندگران شبكه، و احتمالاً براي حقوقدانان و سياست‌گذاران بين‌ا‌لمللي، خواهد داشت. در سال‌هاي اخير، حملات سايبري متعدد و مخرب، توجه بسيار زيادي را به خود جلب كرده است. اما به ناگاه، پرل هاربرز سايبري يا حادثه ١١ سپتامبر [٢٠٠۱[ سايبري محقق نشده است، و همانطور كه تهاجم روسيه نشان مي‌دهد، حتي در يك درگيري مسلحانۀ بين‌المللي، «هيچ “شوك و وحشت” سايبري وجود ندارد» يا دست كم لزوماً وجود ندارد.
اما، آنچه مشاهده مي‌شود، عمليات سايبري سطح پايين‌تر بوده كه پيوسته‌تر و مستمراً ضربه زننده است. اين عمليات‌ها نمونه بارزي از منطقه خاكستري هستند؛ فضاي استراتژيك مبهم ميان صلح و درگيري مسلحانه آشكار. مثال‌ها شامل اختلالات مختصر در زيرساخت‌هاي حياتي، حملات منع سرويس توزيع شده (DDOS) كه وبسايت‌ها را غير قابل دسترس مي‌كند، باج افزار و نفوذ به زيرساخت‌هاي انتخاباتي است. عمليات‌هايي از اين قبيل، از نقاط قوت حملات سايبري بهره مي‌برند: ايجاد سردرگمي در مورد آنچه اتفاق افتاده است و آنكه مسئول است، از دسترس خارج كردن ]امکان[ محدودسازي شدت تخريب براي دولت‌ها، از دست دادن مغرضانه و طولاني‌مدت اعتماد به سامانه‌هاي ديجيتال و از بين بردن رقابت به دليل سرقت مالكيت معنوي. اين نوع از عمليات، آرامش [نسبي] در روابط راحفظ مي‌كند. همچنين بخش مهمي از اين استراتژي، پنهان كردن دخالت دولت است كه اغلب به واسطه دخالت دادن هكرهايي كه روابطي مبهم با دولت‌ها دارند، انجام مي‌شود و نتيجه آن، بروز چالش‌هايي در خصوص بحث انتساب است.
بخشي از آنچه در مورد مخاصمه اوكراين قابل توجه است، صرفاً نبود حملات سايبري مخرب يا گسترده و پيشرفته مخرب نيست، بلكه وجود حملات منع سرويس توزيع شده (DDOS) و ساير عمليات‌هاي معمول منطقه خاكستري، البته در سطحي ظاهراً شدت يافته، نيز هست. همچنين مخاصمه اوكراين، مثال‌هايي بديع از تداخل مرزهاي ميان بازيگران دولتي و غيردولتي ارائه كرده است. هكرها در جبهه هر دو طرف بوده‌اند. وزير تحول ديجيتال اوكراين در توييتي نوشت كه اين كشور «در حال ايجاد يك ارتش فناوري اطلاعات» بود كه بنا بر گزارش‌ها، داراي هزاران شركت‌كننده‌اي بود كه گاه نهادهاي روسي را آفلاين كرده‌اند و در طرف مقابل، دست كم يك گروه باج افزار، با وعده انتقام از غرب، در جبهه روسيه بود. چنين گروه‌هايي، پرسش‌هاي حقوقي پيرامون مسئوليت دولت را، چه در زمان مخاصمه مسلحانه و چه خارج از آن، مطرح مي‌كنند.
از نظر حقوقدانان بين‌المللي، ابعاد سايبري مخاصمه روسيه و اوكراين، ضرورت فزاينده تلاش‌هاي دولت‌ها، دانشگاهيان و جامعه مدني در جهت تبيين قواعد حقوقي قابل اعمال بر عمليات سايبري پيشرفته و منطقۀ خاكستري را مطرح مي‌كند. از برخي جهات، چارچوب‌هاي قانوني حملات سايبري مخرب پيشرفته، توأمان آسان‌تر و بيشتر است. به نظر مي‌رسد بسياري از كشورها در برخورد با حملات سايبري كه در مقياس و نتايج مشابه توسل به زور سنتي هستند، مانند همان توسل سنتي به زور اقدام مي‌كنند. اما همچنان اقدامات بيشتري بايد در مورد مسائل منطقه خاكستري كه هم در حين مخاصمات مسلحانه و هم خارج از آن مطرح مي‌شود، صورت پذيرد. براي برخي مسائل، اين به معناي وضع يك قاعده است؛ اينكه كدام عمليات سايبري كه پايين‌تر از آستانه توسل به زور قرار مي‌گيرند، ناقض حقوق بين‌الملل هستند؟ يا اينكه چه نوع نتايجي بايد محقق شود تا با توجه به اهداف حقوق بين‌الملل بشر دوستانه، عمليات سايبري مربوطه “حمله” شمار آيد؟ براي ساير موضوعات، بايد دريافت كه چگونه مي‌توان قواعد موجود را، از جمله پيرامون مسئوليت دولت‌ها در قبال بازيگران غيردولتي، در قلمرو سايبري پياده ساخت.
متعاقب نقض آشكار مقدس‌ترين مقررات حقوق بين‌الملل در مورد توسل به زور و تماميت ارضي توسط روسيه، ممكن است توسعه قواعد بين‌المللي بيشتر توصيه‌اي سخره‌آميز به نظر آيد؛ اما چنين نيست! تهاجم به اوكراين (هنوز) به درگيري مستقيم ميان ابرقدرت‌ها بدل نشده است و وضوح بيشتر قواعد مربوط به عمليات سايبري براي اين مخاصمه و ساير عمليات‌هاي خارج از درگيري‌هاي مسلحانه بين‌المللي، مي‌تواند به پيشگيري يا دست كم مديريت وخامت اوضاع كمك كند.