اوکراین، حملات سایبری و درس‌هایی برای حقوق بین‌الملل

سمپوزیوم در رابطه با اوکراین و نظم بین‌المللی
اوکراین، حملات سایبری و درس‌هایی برای حقوق بین‌الملل
نویسنده: Kristen E. Eichensehr
مترجم: کتایون اشرفی: دانشجو دورۀ دکتری حقوق بین‌الملل دانشگاه علامه طباطبایی
ویراستار علمی: دکتر رضوان باقرزاده؛ عضو هیأت علمی دانشگاه بوعلی سینا
تهاجم روسیه به اوکراین، نظریات [موجود] پیرامون اینکه چگونه حملات سایبری را می‌توان با جنگ متعارف و سنتی منطبق ساخت را به بوته آزمون کشیده است. برخلاف بسیاری از انتظارات، به نظر می‌رسد عملیات سایبری، در مراحل اولیه تهاجم روسیه، صرفاً نقش محدودی داشته و این امر، نظریات رقیب و گمانه‌زنی‌های متعددی را در مورد چرایی این امر رقم زده است. اگرچه نوشتار حاضر در زمان تداوم مخاصمه نوشته شده است، متوجه این موضوع هست که چگونه یکی از دو توضیح گسترده در خصوص نقش محدود حملات سایبری تا به امروز – اینکه شروع به حملات سایبری روسیه خنثی شد یا اینکه خود روسیه تصمیم گرفت آنها را به طور گسترد‌ه‌ای به کار نگیرد – دانش مرسوم در مورد امنیت سایبری را به چالش می‌کشد. این نوشتار نتیجه می‌گیرد درسی که حقوق‌دانان بین‌المللی باید از مخاصمه کنونی بگیرند، این است که نه تنها برای معدود عملیات‌های سایبری مخرب یا بسیار مخرب، بلکه برای عملیات‌های سطح پایین‌تر که در اوکراین و سایر مناطق، به نحو مستمرتری، مشکل‌ساز و غامض نشان داده است، نیاز فوری به شفاف‌سازی و اجرای قواعد بین‌المللی وجود دارد. شفاف‌سازی چنین قواعدی می‌تواند به مدیریت تشدید مخاطرات حال و آینده کمک کند؛ حتی اگر چنین قواعدی، نظیر ممنوعیت‌های دیرپا و قابل احترام حقوق بین‌الملل که تهاجم روسیه آنها را نقض کرده است، لزوماً به طور مستقیم رفتار را محدود نکند.
نقش محدود عملیات سایبری تاکنون
در تهاجم روسیه، کارشناسان نگرانی‌هایی را در مورد حملات سایبری روسیه به اوکراین و سرایت احتمالی آن به کشورهای دیگر مطرح کردند. برای هر دو مورد، سابقه وجود دارد. در سال‌های ٢٠١۵ و ٢٠١۶ ،روسیه عملیات‌های سایبری را آغاز نمود که قطعی برق را در اوکراین به همراه داشت، و در سال ٢٠١٧ ،از نرم‌افزار حسابداری اوکراینی جهت راه‌اندازی یک بدافزار مخرب موسوم به NotPetya استفاده کرد که گرچه در قالب یک باج‌افزار (نوعی بدافزار به منظور باج‌خواهی) بود، به‌ واقع فایل‌های «رمزگذاری شده غیرقابل بازگشت» بود که پرداخت‌های باج‌افزار را «بی‌ثمر» می‌ساخت. گسترش جهانی NotPetya ،١٠ میلیارد دلار خسارت به بار آورد.
با توجه به این تاریخچه و سال‌ها گمانه‌زنی در مورد اینکه جنگ توسط یک قدرت سایبری چگونه خواهد بود، انتظارات زیادی برای ایفای نقش شاخص عملیات سایبری در تهاجم اولیه وجود داشت. حال آنکه [در تهاجم روسیه] به نظر می‌رسد نقش آن نسبتاً محدود بود و همین، باعث تعجب بسیاری از کسانی شد که عملیات سایبری روسیه را دنبال می‌کنند. برای مثال، مارک وارنر، رئیس کمیته اطلاعات سنا، اعلام کرد «از اینکه [روس‌ها] به واقع سطحی از شرارت، شامل عملیات سایبری، را آغاز نکرده‌اند، شگفت‌زده است.»
حوادث امنیت سایبری شناخته شده در هفته‌های پیش از حمله و بعد از تهاجم، تأثیر نسبتاً کمی داشته است. به عنوان مثال، در اواسط فوریه، یک حملۀ منع سرویس توزیع‌شده (DDoS) توسط ارتش روسیه دسترسی به وب سایت‌های چندین بخش دولتی و دو بانک بزرگ اوکراین را برای مدت کوتاهی مختل کرد و عملیات سایبری به طور متناوب برخی از خدمات اینترنتی را با اخلال مواجه کرد. همچنین محققان، انواع مختلفی از بدافزار وایپر را کشف کرده‌اند که در سیستم‌های اوکراینی، داده‌ها را قبل و بعد از حمله از بین می‌برد یا خراب می‌کند، اگرچه به نظر می‌رسد این بدافزار تا به امروز آسیب محدودی ایجاد کرده است.
مهمترین حادثه امنیت سایبری که تاکنون فاش شده است، همان موردی از حملات سایبری است که بیش از همه انتظار می‌رود همراه با تهاجم باشد. با شروع تهاجم در ۲۴ فوریه ۲۰۲۲، دولت روسیه یک حمله سایبری را آغاز کرد که خدمات پهنای باند ارائه شده توسط Viasat را هدف قرار داد. این شرکت، پیمانکار دفاعی ایالات متحده است و با ارتش و پلیس اوکراین قرارداد دارد. سپس یک مقام اوکراینی به خبرنگاران گفت که این حادثه ” در همان ابتدای جنگ، به خسارتی بزرگ در ارتباطات منجر شد.” این خرابکاری، دسترسی به اینترنت ماهواره‌ای را در سراسر اروپا، از جمله در لهستان و فرانسه، مختل کرد و تا یک ماه پس از حادثه، در آلمان هزاران توربین بادی، خاموش ماندند. اگرچه این حادثه مخرب بوده است، اما ظاهراً تنها حمله سایبری موفقیت‌آمیز مهمی است که بسیاری انتظار داشتند در ابتدای تهاجم، سراسر اوکراین را تحت تاثیر قرار دهد.
چرا حملات سایبری نقش بیشتری ایفا نکرده‌اند؟
در فضای مه‌آلود و مبهم جنگ، عملیات سایبری ممکن است، دست کم برای افرادی غیر از دولت‌ها و شرکت‌های باتجربه در این حیطه، مبهم‌ترین بخش باشد. اما عدم قطعیت مانع گمانه زنی نشده است. اخیرا، واشنگتن پست، کمتر از یازده توضیح ممکن برای عملیات سایبری موفقیت‌آمیز محدودِ همراه با تهاجم روسیه، فهرست کرده است. به مرور زمان، آنچه واقعاً در جبهه سایبری اتفاق افتاده است (یا نشده است) واضح‌تر خواهد شد و به نظر می‌رسد اوکراین برای هر توضیحی که درست باشد، به یک مطالعه موردی تبدیل شود. در عین حال، ادامۀ این مقاله تلاش می‌کند که برخی از نظریات مربوط به عملیات سایبری خاموش را نظام‌مند کند که به این وسیله، آن‌چه را که حقوق‌دانان و سیاست‌گذاران بین‌المللی ممکن است در نهایت از نقش عملیات سایبری در تهاجم روسیه بیاموزند، روشن سازد.
در کلی‌ترین حالت، دو دسته توضیح احتمالی، جهت اثرات محدود سایبری در هفته‌های ابتدایی مخاصمه، وجود دارد: (۱) حملات سایبری که برای آن تلاش یا برنامه‌ریزی صورت گرفته، با شکست مواجه شدند، یا (۲) ]خود[ روسیه تصمیم گرفت حملات سایبری گسترده را انجام ندهد. هر دو گزینه، دانش مرسوم را به چالش کشیده آموزه‌های آتی را پیشنهاد می‌کنند.
روی آوردن به گزینه اول که مطابق آن، روسیه برای حملات سایبری برنامه‌ریزی یا تلاش کرده، اما نتوانسته به تخریب یا اختلال قابل توجهی دست یابد، ممکن است نشان دهد که دفاع سایبری موفق بوده است. داستانی که در آن عملیات سایبری روسیه کمتر از حد انتظار مؤثر بود، با تصویر گسترده‌تر تهاجم مطابقت داشت که در آن، ظاهرا به دلیل برنامه‌ریزی ضعیف و دست کم گرفتن دفاع اوکراین، روسیه به وسیلۀ نیروهای نظامی متعارف، نتوانست به اهداف اولیۀ خود دست یابد.
اگرچه عملیات سایبری بسیار محرمانه است، برخی نشانه‌ها در مورد دفاع، در معرض دید عموم قرار گرفته است. مقامات ایالات متحده به “کار گسترده‌ای که پس از حملات روسیه به شبکه برق این کشور در سال‌های ۲۰۱۵ و ۲۰۱۶، جهت تقویت شبکه‌های اوکراین انجام شد” اشاره کرده‌اند و در راستای سیاست اعلام‌شدۀ «دفاع رو به جلو» ایالات متحده، گزارش‌های رسانه‌ها نشان می‌دهند که در پایگاه‌های اطراف اروپای شرقی، تیم‌های عملیات سایبری فرماندهی سایبری آمریکا، به صورت مخفیانه، پایگاه دارند و هدف آن، دخالت در حملات و ارتباطات دیجیتال روسیه است. ژنرال پل ناکاسونه، مدیر آژانس امنیت ملی و رئیس فرماندهی سایبری ایالات متحده، اخیراً به کنگره گفت: “ما در چند سال گذشته بسیار بسیار زیاد با اوکراین کار کرده‌ایم” از جمله در داشتن “تیم‌های جستجوی رو به جلو(پیش‌رونده)، از سوی فرماندهی سایبری ایالات متحده در کی‌اف.
به نظر می‌رسد تجربه تدافعی بسیار ثمربخش بوده و به مقامات این امکان را می‌دهد که از ایجاد خسارت ناشی از خرابکاری، جلوگیری به عمل آورند. در ماه آوریل، وزارت دادگستری ایالات متحده، خرابی یک بات نت تحت کنترل دولت روسیه قبل از استفاده از آن را اعلام کرد و مقامات اوکراین، یک حملۀ سایبری در حال گسترش آژانس اطلاعات نظامی روسیه را، قبل از اینکه باعث خاموشی شود، با موفقیت متوقف کردند.
دفاع، نه تنها از سوی دولت‌ها، بلکه از سوی شرکت‌ها نیز در حال انجام است. برای مثال، هنگامی که مایکروسافت کشف کرد که بدافزار وایپر دولت اوکراین را هدف قرار داده است، در عرض چند ساعت نه تنها جهت مسدود کردن بدافزار، سامانه‌های خود را به روز کرد، بلکه به درخواست کاخ سفید، کد را با دولت‌های اروپایی به اشتراک گذاشت. گزارش‌های رسانه‌ها حاکی از آن است که” بسیاری از اطلاعات محرمانه قابل تعقیب قانونی، توسط شرکت‌هایی مانند مایکروسافت و گوگل در حال کشف است؛ همان‌ها که قادرند آنچه را که در شبکه‌های وسیع آن‌ها جریان دارد، مشاهده کنند.”
علاوه بر مقابله با حملات، نوع دیگری از دفاع، حاصل انعطاف‌پذیری است. حتی در مواجهه با تلاش‌ها و در برخی موارد، اختلالات موفقیت‌آمیز، سیستم‌ها و شبکه‌های دولتی و غیرنظامی اوکراین انعطاف‌پذیری خود را نشان داده و مقاومت شدیدی در برابر روسیه ایجاد کرده‌اند. برای مثال، طبق گزارش‌ها، در مناطقی که اینترنت متعارف در دسترس نیست، غیرنظامیان و مقامات دولتی به خدمات اینترنت ماهوارهای استارلینک که توسط ایلان ماسک فراهم آمده، روی آورده‌ا‌‌ند؛ همچنان که «یک واحد اوکراینی [که] از استارلینک جهت اتصال پهپادهای خود در حمله به نیروهای روسی استفاده می‌کند» چنین کرده است.
اگر دفاع‌های موفق، حداقل بخشی از عدم وجود تأثیرات شدید عملیات سایبری را توضیح دهد، مطالعه موردی اوکراین ممکن است به عنوان نقطه مقابل این شعار مکرر در امنیت سایبری تلقی شود که تهاجم، بر دفاع چیره می‌شود. البته این امر به این معنا نیست که دفاع سایبری همواره غالب و پیروز خواهد شد؛ بلکه متناوباً شاهد شکست آن [نیز] هستیم. برای مثال، درست در سال گذشته، در حادثه SolarWinds ،ایالات متحده روسیه را مقصر نفوذ موفقیت‌آمیز در نهادهای دولتی و بخش خصوصی [خود] دانست. با این وجود، چه بسا اوکراین نشان دهد مدافعان باتجربه‌ای که در یک بازه زمانی خاص، به دفاعی متمرکز از اهداف شاخص پراکنده می‌پردازند، می‌توانند توفیق یابند. داشتن یک نمونه واضح از دفاع سایبری موفق در چنین شرایطی ممکن است ایالات متحده و دولت‌های متحد آن را به تقویت کمک‌های دفاعی در سطح بین‌المللی (علاوه بر داخلی) ترغیب کند. سازمان پیمان آتلانتیک شمالی (ناتو) متعهد شده است به کمک‌های امنیت سایبری به اوکراین ادامه دهد و مرکز عالی همکاری های دفاع سایبری آن (CCDCOE) اوکراین را به عنوان “مشارکت‌کنندۀ همکار” پذیرفته است
دومین توضیح گسترده در ارتباط با عدم وجود حملات سایبری قابل توجه به این بازمی‌گردد که به علتی از میان چندین دلیل احتمالی، [خود] روسیه تصمیم به گسترش این حملات نگرفته است. شاید روسیه با انتظار پیروزی سریع با نیروهای متعارف، تصمیم گرفت درگیر برنامه‌ریزی مفصل مقتضی جهت عملیات سایبری موفق نشود. یا چه بسا روسیه به دلیل واهمه از تبعات فرامرزی آن که می‌تواند به درگیری مستقیم با ناتو تبدیل شود، از انجام حملات سایبری پرهیز کرد. این تبعات، با عملیات NotPetya و هک Viasat اتفاق افتاد. در این صورت، با توجه اینکه به طور کلی تصور این است که بازدارندگی در رابطه با عملیات سایبری ضعیف عمل می‌کند، این توضیح خلاف انتظار خواهد بود و ممکن است بازاندیشی و بازنظریه‌پردازی در خصوص نحوه عملکرد بازدارندگی در فضای سایبری را بطلبد. از سوی دیگر، به نظر می‌رسد بسیاری از آنچه جامعه بین‌المللی تاکنون بدان دست یافته، در بازدارندگی روسیه بسیار ناموفق بوده و بنابراین، بازدارندگی، به تنهایی، توضیحی بعید می‌نماید.
تفسیر دیگر از جریانی که در آن روسیه تصمیم گرفت حملات سایبری مهمی انجام ندهد، به نقش بهینه عملیات سایبری مرتبط است. عملیات سایبری مزیت نسبی قابل توجهی نسبت به نیروی متعارف دارد، آنجا که این عملیات می‌تواند جاسوسی یا نفوذهای مخفیانه را به منظور توقف یا کاهش تخریب امکان‌پذیر سازد. اما در گرماگرم یک مخاصمه، «هدف قرار دادن دشمن به وسیله توپخانه، خمپاره و بمب‌افکن بسیار آسانتر از [هدف قرار دادن دشمن با] استفاده از قدرت سایبری شکننده و گذرا است». تهاجم اوکراین، موضوع مورد اشاره را با نشان دادن این امر اثبات می‌کند که حتی زمانی که یک قدرت سایبری بزرگ جنگی را آغاز می‌کند، ممکن است به دنبال اختلال سایبری نباشد یا آن را در دستور کار فوری خود نداشته باشد. البته این موضوع در ارتباط با کشور دیگر یا مخاصمه دیگر، به دلیل استفاده از حملات سایبری استراتژیک مهم و/ یا عملیات سایبری دقیقاً هدفمند و زمان‌بندی شده برای پشتیبانی از نیروهای میدان نبرد، ممکن است به شکل متفاوتی پیش رود. همانطور که ایالات متحده هشدار می‌دهد، تاکتیک‌های روسیه در رابطه با حملات سایبری به اوکراین یا خارج از کشور، همچنان ممکن است تغییر کند. اما تلاش‌های مهم و حتی موفقیت‌آمیز حملات سایبری روسیه در آینده، این واقعیت را تغییر نخواهد داد که تهاجم اولیه متفاوت از آنچه بسیاری انتظار داشتند، انجام شد.
به کجا می‌رویم؟
مخاصمه اوکراین، بدون تردید درس‌هایی را برای کارشناسان فنی و پدافندگران شبکه، و احتمالاً برای حقوقدانان و سیاست‌گذاران بین‌ا‌لمللی، خواهد داشت. در سال‌های اخیر، حملات سایبری متعدد و مخرب، توجه بسیار زیادی را به خود جلب کرده است. اما به ناگاه، پرل هاربرز سایبری یا حادثه ١١ سپتامبر [٢٠٠۱[ سایبری محقق نشده است، و همانطور که تهاجم روسیه نشان می‌دهد، حتی در یک درگیری مسلحانۀ بین‌المللی، «هیچ “شوک و وحشت” سایبری وجود ندارد» یا دست کم لزوماً وجود ندارد.
اما، آنچه مشاهده می‌شود، عملیات سایبری سطح پایین‌تر بوده که پیوسته‌تر و مستمراً ضربه زننده است. این عملیات‌ها نمونه بارزی از منطقه خاکستری هستند؛ فضای استراتژیک مبهم میان صلح و درگیری مسلحانه آشکار. مثال‌ها شامل اختلالات مختصر در زیرساخت‌های حیاتی، حملات منع سرویس توزیع شده (DDOS) که وبسایت‌ها را غیر قابل دسترس می‌کند، باج افزار و نفوذ به زیرساخت‌های انتخاباتی است. عملیات‌هایی از این قبیل، از نقاط قوت حملات سایبری بهره می‌برند: ایجاد سردرگمی در مورد آنچه اتفاق افتاده است و آنکه مسئول است، از دسترس خارج کردن ]امکان[ محدودسازی شدت تخریب برای دولت‌ها، از دست دادن مغرضانه و طولانی‌مدت اعتماد به سامانه‌های دیجیتال و از بین بردن رقابت به دلیل سرقت مالکیت معنوی. این نوع از عملیات، آرامش [نسبی] در روابط راحفظ می‌کند. همچنین بخش مهمی از این استراتژی، پنهان کردن دخالت دولت است که اغلب به واسطه دخالت دادن هکرهایی که روابطی مبهم با دولت‌ها دارند، انجام می‌شود و نتیجه آن، بروز چالش‌هایی در خصوص بحث انتساب است.
بخشی از آنچه در مورد مخاصمه اوکراین قابل توجه است، صرفاً نبود حملات سایبری مخرب یا گسترده و پیشرفته مخرب نیست، بلکه وجود حملات منع سرویس توزیع شده (DDOS) و سایر عملیات‌های معمول منطقه خاکستری، البته در سطحی ظاهراً شدت یافته، نیز هست. همچنین مخاصمه اوکراین، مثال‌هایی بدیع از تداخل مرزهای میان بازیگران دولتی و غیردولتی ارائه کرده است. هکرها در جبهه هر دو طرف بوده‌اند. وزیر تحول دیجیتال اوکراین در توییتی نوشت که این کشور «در حال ایجاد یک ارتش فناوری اطلاعات» بود که بنا بر گزارش‌ها، دارای هزاران شرکت‌کننده‌ای بود که گاه نهادهای روسی را آفلاین کرده‌اند و در طرف مقابل، دست کم یک گروه باج افزار، با وعده انتقام از غرب، در جبهه روسیه بود. چنین گروه‌هایی، پرسش‌های حقوقی پیرامون مسئولیت دولت را، چه در زمان مخاصمه مسلحانه و چه خارج از آن، مطرح می‌کنند.
از نظر حقوقدانان بین‌المللی، ابعاد سایبری مخاصمه روسیه و اوکراین، ضرورت فزاینده تلاش‌های دولت‌ها، دانشگاهیان و جامعه مدنی در جهت تبیین قواعد حقوقی قابل اعمال بر عملیات سایبری پیشرفته و منطقۀ خاکستری را مطرح می‌کند. از برخی جهات، چارچوب‌های قانونی حملات سایبری مخرب پیشرفته، توأمان آسان‌تر و بیشتر است. به نظر می‌رسد بسیاری از کشورها در برخورد با حملات سایبری که در مقیاس و نتایج مشابه توسل به زور سنتی هستند، مانند همان توسل سنتی به زور اقدام می‌کنند. اما همچنان اقدامات بیشتری باید در مورد مسائل منطقه خاکستری که هم در حین مخاصمات مسلحانه و هم خارج از آن مطرح می‌شود، صورت پذیرد. برای برخی مسائل، این به معنای وضع یک قاعده است؛ اینکه کدام عملیات سایبری که پایین‌تر از آستانه توسل به زور قرار می‌گیرند، ناقض حقوق بین‌الملل هستند؟ یا اینکه چه نوع نتایجی باید محقق شود تا با توجه به اهداف حقوق بین‌الملل بشر دوستانه، عملیات سایبری مربوطه “حمله” شمار آید؟ برای سایر موضوعات، باید دریافت که چگونه می‌توان قواعد موجود را، از جمله پیرامون مسئولیت دولت‌ها در قبال بازیگران غیردولتی، در قلمرو سایبری پیاده ساخت.
متعاقب نقض آشکار مقدس‌ترین مقررات حقوق بین‌الملل در مورد توسل به زور و تمامیت ارضی توسط روسیه، ممکن است توسعه قواعد بین‌المللی بیشتر توصیه‌ای سخره‌آمیز به نظر آید؛ اما چنین نیست! تهاجم به اوکراین (هنوز) به درگیری مستقیم میان ابرقدرت‌ها بدل نشده است و وضوح بیشتر قواعد مربوط به عملیات سایبری برای این مخاصمه و سایر عملیات‌های خارج از درگیری‌های مسلحانه بین‌المللی، می‌تواند به پیشگیری یا دست کم مدیریت وخامت اوضاع کمک کند.