رویکرد سیاستی برای پرداختن به «حملات سایبری» و «داده‌ها به عنوان یک شئ »

رویکرد سیاستی برای پرداختن به «حملات سایبری» و «داده‌ها به عنوان یک شئ »

نوشته شده توسط مایکل ان. اشمیت

مترجم: دکتر هاجر راعی دهقی

پژوهشگر حقوق بین‌الملل

ویراستار علمی: دکتر نسرین ترازی- مدرس و پژوهشگر حقوق بین‌الملل

در میان مسائل مورد بررسی در کنفرانس سالانه (آیا در زمان جنگ، قوانین ساکت اند ؟) که به میزبانی جامعه بین‌المللی حقوق نظامی و حقوق جنگ در هفته جاری در بروژ، بلژیک برگزار شد، حفاظت از غیرنظامیان در برابر تهدیدات دیجیتال در خلال درگیری‌های مسلحانه مطرح شد. این موضوع سوالات زیادی را درباره چگونگی حاکمیت حقوق درگیری‌های مسلحانه (LOAC) بر عملیات سایبری به وجود می‌آورد. این سوالات از مسائل مربوط به آغاز درگیری مسلحانه فقط از طریق عملیات سایبری تا مسائلی پیرامون هدف‌گیری سایبری متغیر است، مانند چگونگی ارزیابی تناسب اثرات سایبری تصادفی یا بررسی قابلیت‌های سایبری در تعیین احتیاط‌ها در ارزیابی قابلیت حمله. سیستم‌های تسلیحات خودکار کشنده و جنگ‌های مبتنی بر هوش مصنوعی نیز اوضاع را پیچیده‌تر می‌کنند.

با این حال، از زمانی که انجمن حقوق مخاصمات مسلحانه شروع به بررسی جدی عملیات سایبری پس از استفاده از آنها در جریان درگیری مسلحانه بین‌المللی بین گرجستان و روسیه در سال ۲۰۰۸ کرد، دو موضوع در مرکز توجه قرار گرفت. هر موضوع ویژگی خاصی دارد. اولین مورد چگونگی درک مفهوم حقوق درگیری‌های مسلحانه از «حمله» در زمینه سایبری است، زیرا پاسخ تعیین می‌کند که آیا مقررات آن در مورد حملات اعمال می‌شود یا خیر. دوم این است که آیا داده‌ها یک «شی» هستند، همان طور که این اصطلاح در حقوق درگیری‌های مسلحانه استفاده می‌شود. پاسخ به این سوال تعیین می‌کند که آیا ممنوعیت حمله به اشیاء غیرنظامی در هنگام هدایت عملیات سایبری به داده‌ها (به طور متمایز از سخت افزار) اعمال می‌شود یا خیر. گزارش چالش‌های کمیته بین‌المللی صلیب سرخ ۲۰۲۴ که به تازگی منتشر شده است، هر دو موضوع را برجسته می‌سازد و مرتبط با این موضوع است.

در این نوشتار، من اهمیت این دو موضوع را توضیح می‌دهم و نشان می‌دهم که دولت‌ها از کجا با آن‌ها درگیر می شوند. متاسفانه ما شاهد افزایش دیدگاه‌های رقابتی پیرامون این موضوعات هستیم. با این باور که این اختلاف نظر بین کشورها می‌تواند خطرات غیرضروری برای غیرنظامیان ایجاد کند و قابلیت همکاری بین کشورهایی که به‌طور مشترک در ائتلاف‌ها یا اتحادهای موقت فعالیت می‌کنند را تحت تأثیر قرار دهد، دو پیشنهاد سیاستی را ارائه می‌دهم که به منظور کاهش برخی از ناهماهنگی های هنجاری طراحی شده‌اند.. این پیشنهادات با برخی اصلاحات جزئی مواردی هستند، که قبلاً با جزئیات بیشتر در مورد آنها سخن گفته ام . با این حال، از آن زمان به بعد، شکاف بین دیدگاه‌ها بیشتر شده است، بنابراین قبل از غیرقابل اجرا شدن، شایسته بازنگری است .

مسائل

حملات سایبری

تمایز، اصل اساسی حاکم بر رفتار مبارزان در جریان درگیری مسلحانه است. این اصل در قالب مجموعه‌ای از قواعد عملیاتی می‌شود که الزامات، ممنوعیت‌ها و محدودیت‌هایی را در مورد “حملات” که اصطلاحی تخصصی در حقوق بشردوستانه بین‌المللی (LOAC) است، تعیین می‌کند. از مهم‌ترین این قواعد می‌توان به ممنوعیت حمله به غیرنظامیان و اشیای غیرنظامی، قاعده منع حملات غیرمتمایز، قاعده تناسب و الزام به اتخاذ احتیاط‌های ممکن در حمله برای کاهش برخی اشکال آسیب به غیرنظامیان اشاره کرد.این مقررات تنها در مورد عملیات سایبری که واجد شرایط «حمله» هستند اعمال می‌شود. در همین راستا، پروتکل الحاقی اول به کنوانسیون ۱۹۴۹ ژنو، در ماده ۴۹، حملات را به عنوان «اقدامات خشونت‌آمیز علیه دشمن، خواه به عنوان حمله یا دفاع» تعریف می‌کند. گروه‌های بین‌المللی کارشناسان که پیش‌نویس دو دستورالعمل راهنمای تالین را تهیه کردند، موافقت کردند که این تعریف معاهده ای ، انعکاس حقوق بین‌الملل عرفی است. (استنادهای بعدی به دستورالعمل راهنمای تالین است). این گروه ها همچنین به این نتیجه رسیدند که علیرغم ارجاع به «اقدامات» خشونت‌آمیز، این تعریف، به درستی درک شده و شامل عملیات‌هایی می‌شود که «پیامدهای» خشونت‌آمیز دارند (راهنمای تالین ۲.۰، قاعده ۹۲، تفسیر). این یک مشاهده کلیدی در زمینه سایبری است زیرا عملیات سایبری خود خشونت‌آمیز نیست، آنها فقط با زیرساخت‌های سایبری مرتبط هستند.

بر اساس قاعده ۹۲ دستورالعمل راهنمای تالین ۲.۰ ، حمله سایبری این گونه تعریف می‌شود: «عملیات سایبری، خواه تهاجمی یا تدافعی که به طور منطقی انتظار می‌رود باعث آسیب یا مرگ به افراد یا آسیب یا تخریب اشیا شود». از آنجایی که مقررات دستورالعمل راهنمای تالین نیاز به اتفاق آرا گروه‌های بین‌المللی کارشناسان داشت، قاعده ۹۲ تنها تفسیر مورد توافق تمامی کارشناسان از اصطلاح حمله در زمینه سایبری را منعکس می‌کند.

بنابراین، تعریف اتخاذ شده توسط گروه‌های بین‌المللی کارشناسان به طرز گمراه‌کننده‌ای مبهم است. اکثریت کارشناسان، از جمله من، فراتر می‌روند ما رویکردی را پیشنهاد کردیم که بر اساس آن، یک عملیات سایبری که منجر به “از دست رفتن کارایی” زیرساخت سایبری شود، به عنوان یک حمله محسوب می‌شود.. برای ما، اگر سیستمی کار نمی‌کرد، «آسیب می دید»، در نتیجه عملیات علیه آن را به عنوان حمله تلقی می‌کنیم. با این حال، در مورد دامنه این مفهوم اختلاف نظر وجود داشت. به عنوان مثال، برخی صلاحیت‌ها را بر اساس از دست دادن عملکرد به شرایطی محدود می‌کنند که در آن زیرساخت سایبری مربوطه نیاز به تعویض یا تعمیر فیزیکی دارد. برخی دیگر ممکن است فراتر بروند، به عنوان مثال با تلقی یک عملیات سایبری که عملکرد سایبری را به طور جدی، حتی به طور موقت، مختل می‌سازد، به عنوان حمله‌ای که تابع مقررات رفتار خصمانه حقوق درگیری‌های مسلحانه است.

اما باید تاکید کرد که کشور‌ها به تنهایی قواعد بین‌المللی را وضع می‌کنند و مهم تر از آن، آن را مقتدرانه در زمینه سایبری تفسیر می‌کنند. ما صرفاً تحلیل خود را به کشورها ارائه می‌کردیم تا آنها را بررسی کنند. متأسفانه، کشور‌ها، همانند گروه‌های بین‌المللی کارشناسان، نتوانسته‌اند در این زمینه به اجماع برسند.

دو دیدگاه رقابتی که منعکس‌کننده دیدگاه‌های گروه‌های بین‌المللی کارشناسان هستند مطرح شده است. دیدگاه بسیار محدود، رفتار سایبری به عنوان یک حمله را محدود به موقعیت‌هایی می‌کند که در آن پیامدهای فیزیکی آشکار می‌شوند. برای مثال، دانمارک بر این عقیده است که «یک عملیات سایبری ممکن است به عنوان یک حمله در چارچوب یک درگیری مسلحانه در نظر گرفته شود، جایی که اثراتی مشابه حملات نظامی ایجاد می‌کند. در نتیجه، یک عملیات سایبری در صورتی یک حمله محسوب می‌شود که به طور منطقی بتوان انتظار داشت که منجر به آسیب، مرگ یا آسیب فیزیکی به افراد یا اشیاء شود.» راهنمای نظامی دانمارک توضیح می‌دهد که «عدم کارکرد موقت» کافی نیست و به عنوان مثال «انجماد دیجیتالی یک سیستم کنترل ارتباط» را ارائه می‌کند.

اسرائیل هم همین عقیده را دارد. در رویدادی که دانشگاه جنگ نیروی دریایی ایالات متحده میزبان آن بود، معاون دادستان کل این کشور اظهار نمود که «یک عمل تنها در صورتی یک حمله محسوب می‌شود که انتظار می‌رود منجر به مرگ یا آسیب به افراد یا خسارت فیزیکی به اشیا، فراتر از حداقل‌ها شود و صرفاً از دست دادن یا اختلال در عملکرد زیرساخت کافی نخواهد بود.» با این حال، او این نتیجه‌گیری را با این مشاهدات معقول مشروط کرد که که “زمانی که یک عمل باعث از دست دادن کارایی می‌شود، حلقه‌ای در زنجیره خسارت فیزیکی مورد انتظار باشد، آن عمل ممکن است به عنوان حمله محسوب شود.”به عبارت دیگر، اگر اثرات “زنجیره‌ای” یک عملیات سایبری از نظر فیزیکی باشد، اسرائیل آن عملیات را به عنوان حمله در نظر خواهد گرفت. هیچ کشوری با این قید مخالفتی ندارد.

در سال جاری، جمهوری چک همین موضع را اتخاذ کرد و خاطرنشان کرد که اثرات یک عملیات سایبری باید « با عملیاتی که با ابزارها یا روش‌های جنگ متعارف انجام می‌شود تا به عنوان یک حمله تلقی شود، قابل مقایسه باشد، برای مثال عملیات سایبری طراحی شده باشد یا به طور منطقی انتظار می‌رود ایجاد جراحت یا مرگ به افراد یا آسیب یا تخریب اشیاء در جریان درگیری مسلحانه نماید.» تعدادی از کشور‌های دیگر با این نظر موافق اند .

گروه دوم کشورها رویکرد از دست دادن عملکرد را اتخاذ کرده‌اند که اکثریت کارشناسان دستورالعمل راهنمای تالین ۲.۰ از آن حمایت می‌کنند. فرانسه اولین کشوری بود که این رویکرد را اتخاذ نمود و در یک سند، وزارت ارتش در سال ۲۰۱۹ اعلام کرد که یک عملیات سایبری زمانی یک حمله است «که در آن تجهیزات یا سیستم‌های هدف، دیگر خدماتی را که برای آن طراحی شده‌اند، را به طور موقت یا دائم، برگشت‌پذیر یا غیر قابل برگشت، ارائه نمی‌کنند.» با این حال، باید بین انواع از دست دادن عملکرد تمایز قائل شد. با رویکرد فرانسوی، یک عملیات سایبری که باعث از دست دادن دائمی عملکرد می‌شود، همیشه به عنوان یک حمله واجد شرایط است، در حالی که موردی که اثرات موقت یا برگشت‌پذیر ایجاد می‌کند، تنها در صورتی که نیاز به تعمیر، تعویض قطعات، نصب مجدد نرم افزار شبکه و موارد مشابه داشته باشد، عملکرد خود را از دست می‌دهد. این قاعده تمایز، عدم پذیرش موقت سرویس‌های خدماتی را به تنهایی رد می‌کند.

سایر کشورها به طور کامل یا جزئی موافق هستند. به عنوان مثال، ایتالیا «اختلال در عملکرد زیرساخت‌های حیاتی» را یک حمله می‌داند، اگرچه در مورد از دست‌دادن عملکرد دیگر زیرساخت‌های سایبری دیگر اظهار نظر نکرده است. کاستاریکا رویکرد گسترده‌ای را اتخاذ می‌کند که به موجب آن «غیرفعال شدن موقت یا دائم، برگشت‌پذیر یا غیرقابل برگشت – رایانه، سیستم یا شبکه مورد نظر» برای ارزیابی یک عملیات سایبری به عنوان یک حمله کافی است و آلمان اعلام کرده است که «وقوع آسیب فیزیکی، جراحت یا مرگ افراد یا آسیب یا تخریب اشیاء در مقایسه با اثرات سلاح‌های متعارف برای حمله لازم نیست» و در عین حال هشدار داده است که «صرف نفوذ در شبکه‌های خارجی و کپی‌برداری داده‌ها به موجب حقوق بین‌الملل بشردوستانه یک حمله محسوب نمی‌شود.»

موضع ایرلند در این مورد به ویژه جالب است. به نظر ایرلند مفهوم حمله «به عملیات سایبری گسترش می‌یابد که انتظار می‌رود باعث از بین رفتن عملکرد شبکه‌ها یا سیستم‌های الکترونیکی شود». برای توجیه این موضع، توضیح می‌دهد که تفسیر این اصطلاح به گونه‌ای دیگر به این معناست که یک عملیات سایبری که هدف آن ناکارآمد کردن یک شبکه غیرنظامی (مانند برق، بانک، یا ارتباطات) است، یا انتظار می‌رود اتفاقاً چنین تأثیری ایجاد کند، احتمالاً تحت پوشش مقررات اساسی (حقوق بین‌الملل بشردوستانه) برای حفاظت از غیرنظامیان و اشیاء غیرنظامی قرار نمی‌گیرد و مطابق با اهداف کنوانسیون‌های ژنو و پروتکل‌های الحاقی آن نخواهد بود.

مشکل این است که هر دو رویکرد مشکل‌ساز هستند. از یک سو، محدود کردن صلاحیت به عنوان حمله به آن دسته از عملیات سایبری که باعث آسیب فیزیکی یا جراحت می‌شود، باعث می‌شود برخی از حملات به طور چشمگیری زندگی غیرنظامیان را فراتر از حقوق درگیری‌های مسلحانه مختل سازد. به عنوان مثال، عملیات سایبری که ارائه خدمات اجتماعی یا آموزش را مختل می‌کند، ممنوع نخواهد بود، مگر اینکه زیرساخت سایبری که آن عملکردها بر آن تکیه دارند، در طول عملیات آسیب فیزیکی دیده باشد، که در بیشتر موارد بعید است. از سوی دیگر، رویکرد گسترده مبتنی بر از دست دادن عملکرد، بسیاری از عملیات سایبری نظامی، مانند عملیات روانی که در مورد رسانه‌های کشور دشمن انجام می‌شود را شامل می‌شود. این برای برخی از کشورها غیرقابل قبول است، زیرا عملیات روانی به غیر از نیروهای نظامی برای مدت طولانی بخشی از جنگ بوده‌اند. به نظر می‌رسد هیچ اعتدالی در میانه این افراط‌ها شکل نگرفته است.

داده به عنوان یک شی

موضوع دوم مربوط به این سوال است که آیا داده‌ها به عنوان یک «شی» واجد شرایط هستند یا خیر. مهم ترین مقرره در این زمینه، حقوق درگیری‌های مسلحانه است که حمله به اشیاء غیرنظامی را ممنوع می‌کند. اگر داده‌ها یک شی هستند، همان طور که این اصطلاح در حقوق درگیری‌های مسلحانه وجود دارد، یک عملیات سایبری که برای تغییر یا نابودی آن انجام می‌شود، به منزله حمله به یک شی غیرنظامی است و بنابراین، غیرقانونی است. فراتر از آن، در تجزیه و تحلیل آسیب به داده‌های غیرنظامی در طول یک حمله سایبری قانونی به یک هدف نظامی (مانند زیرساخت‌های سایبری با استفاده دوگانه) باید اصل تناسب لحاظ شود و مهاجم باید ارزیابی کند که آیا ابزار ممکن برای به حداقل رساندن آسیب به داده‌ها (بدون فدا کردن مزیت نظامی) وجود دارد یا خیر.

این موضوع مهمی است ، زیرا موقعیت‌های زیادی وجود دارد که در آن یک طرف درگیر ممکن است بخواهد داده‌ها را جدا از زیرساخت سایبری که با آن مرتبط است هدف قرار دهد. به عنوان مثال، یک حزب ممکن است بخواهد اخبار جعلی زیادی را در یک شبکه خبری ملی جاسازی کند تا بر روحیه غیرنظامیان تأثیر بگذارد، سوابق مالیاتی را حذف کند تا تأمین مالی عملیات جنگی را پیچیده سازد، یا داده‌های حمل و نقل غیرنظامی را تغییر دهد یا حذف کند تا هرج و مرج غیرنظامی ایجاد کند تا حمایت از جنگ را کاهش دهد.

همان طور که در مورد تعریف حمله، گروه کارشناسان بین‌المللی در دستورالعمل راهنمای تالین این موضوع را عمیقاً مورد بحث قرار داد و باز هم نتوانستند به اجماع برسند. همان گونه که در تفسیر قاعده ۱۰۰ توضیح داده شد، اکثر کارشناسان معتقد بودند که مفهوم «شیء» در حقوق منازعات مسلحانه، حداقل در وضعیت فعلی، شامل داده ها نمی‌شود. آنها این دیدگاه را بر این واقعیت استوار کردند که داده‌ها نامشهودند و بنابراین در معنای ساده اصطلاح شی قرار نمی‌گیرند. با این حال، در راستای اخطار فوق‌الذکر در زمینه حمله اسرائیل، این کارشناسان تأکید کردند که اگر با این وجود یک عملیات سایبری علیه داده‌ها اثراتی بر زیرساخت‌های سایبری ایجاد کند که عملیات را به عنوان «حمله» (به خودی خود یک مسئله حل نشده) توصیف کند، مقررات هدف بر این اساس وارد عمل می‌شوند.

اقلیتی از کارشناسان رویکرد مخالف را اتخاذ کردند. به عقیده آنها، رویکرد اکثریت با هدف و موضوع حقوق درگیری ‌های مسلحانه که از اهداف غیرنظامی محافظت می‌کند، به ویژه این اصل که جمعیت غیرنظامی باید از محافظت عمومی در برابر آثار خصومت‌ها برخوردار باشد، ناسازگار است. آنها خاطرنشان کردند که با رویکرد اکثریت، «حتی حذف مجموعه داده‌های غیرنظامی ضروری مانند داده‌های تامین اجتماعی، سوابق مالیاتی و حساب‌های بانکی به طور بالقوه از محدوده نظارتی حقوق درگیری‌های مسلحانه خارج می‌شود.» از نظر آنها آنچه اهمیت دارد، شدت آثار یک عملیات سایبری است که داده‌ها را هدف قرار می‌دهد. بر این اساس، این کارشناسان به این نتیجه رسیدند که «حداقل داده‌های غیرنظامی که برای رفاه جمعیت غیرنظامی «ضروری» هستند، در مفهوم اشیاء غیرنظامی گنجانده شده و به این ترتیب محافظت می‌شوند.»

همان طور که آشکار است، این دو رویکرد معضل دیدگاه مربوط به معنای حمله را مطرح می‌سازد. از یک طرف، دیدگاه اول امکان اختلال گسترده در زندگی غیرنظامیان توسط ابزارهای سایبری را باز می‌گذارد، چراکه جوامع به صورت گسترده به فعالیت‌های سایبری متکی هستند، خطری که با وابستگی روزافزون جوامع به فضای سایبری تشدید می‌شود. با این حال، دیدگاه دوم به معنای حذف بسیاری از عملیات سایبری از روی میز است، به این دلیل که آنها یا به پایگاه‌های داده غیرنظامی (به عنوان مثال سایبری) یا با اجرای قاعده تناسب مرتبط هستند.

کشورها بر سر این موضوع با یکدیگر دست و پنجه نرم می‌کنند. نمونه‌ای از موضع دولت‌ها این شکاف را نشان می‌دهد. این امر غیرمنتظره نیست که کشورهایی که دیدگاه محدودی نسبت به حملات دارند، تمایل دارند در مقابل داده‌ها به عنوان یک شی، رفتار مشابهی داشته باشند. به عنوان مثال، معاون دادستان کل اسرائیل در همان سخنرانی دربحث مربوط به معنای حمله، اظهار داشت که «تنها اشیاء محسوس می‌توانند اشیا یا اهداف را تشکیل دهند». به طور مشابه، دستورالعمل نظامی دانمارک بیان می‌کند که «داده‌ها به طور کلی شی را تشکیل نمی‌دهند.»

در مقابل، کاستاریکا به طور قابل پیش‌بینی «این دیدگاه را تایید می‌کند که داده‌های غیرنظامی بر اساس (حقوق بین‌الملل بشردوستانه) اشیاء غیرنظامی را تشکیل می‌دهند و باید بر این اساس محافظت شوند.» آلمان به طور مشابه عقیده دارد که اگر عملیات اثرات مضری بر «اطلاعاتی که ذخیره، پردازش یا منتقل می‌شوند» که لزوماً شامل داده‌ها می‌شود، داشته باشد، واجد شرایط یک حمله است. به نوبه خود، فرانسه در سال ۲۰۱۹ مقرر نمود که «با توجه به وضعیت فعلی وابستگی دیجیتال، داده‌های محتوایی (مانند داده‌های غیرنظامی، بانکی یا پزشکی و غیره) تحت اصل تمایز محافظت می‌شوند.» جالب اینجاست که فرانسه موقعیت خود را به داده‌های محتوایی محدود می‌کند که داده‌های حاوی اطلاعات مانند سوابق است. داده‌های پردازشی، که داده‌هایی هستند که عملکرد زیرساخت‌های سایبری به آنها بستگی دارد را به‌عنوان یک شی در نظر نمی‌گیرد. با این رویکرد، در طول عملیات علیه داده‌های فرآیند، قابلیت اجرای مقررات هدف به این بستگی دارد که آیا این عملیات اثرات حمله لازم را بر زیرساخت‌های سایبری مرتبط ایجاد می‌کند یا خیر.

دو خط مشی پیشنهادی

این موارد بحث‌های بی اهمیتی نیستند. آنها تعیین می‌کنند که یک دولت چه زمانی می‌تواند به‌طور قانونی در فضای سایبری اقدام کند.. متأسفانه، امید چندانی به حل‌وفصل این مساله توسط کشور‌ها در آینده نزدیک ندارم.

بحث ها باید در یک زمینه عملیاتی مطرح شود. کشورهایی که رویکرد گسترده‌ای را برای تعریف حملات و اشیاء اتخاذ کرده‌اند، برخی از عملیات سایبری را برای نیروهای خود از روی میز حذف کرده‌اند. صرف نظر از اینکه نظر آنها از نظر حقوقی درست باشد یا خیر، آنها یک انتخاب مستقل انجام داده‌اند، بنابراین به سختی می‌توانند از محدودیت در عملیات سایبری خود شکایت کنند. چالش واقعی کاهش آثار عملیات سایبری انجام شده توسط کشورهایی است که رویکردهای محدودکننده‌ای را برای این دو موضوع اتخاذ کرده‌اند. حتی اگر مواضع آنها از لحاظ قانونی درست باشد (ذهن منطقی متفاوت است)، خطر بالقوه آنها برای غیرنظامیان قابل انکار نیست.

شاید پاسخ در اتخاذ سیاست‌هایی نهفته باشد که حفاظت بیشتر از جمعیت غیرنظامی را بدون محدود کردن بی مورد عملیات نظامی گسترش دهد. من دو مورد را برای بررسی توسط کشورها پیشنهاد می‌کنم زمانی که نتیجه می‌گیرند که ۱) حقوق درگیری‌های مسلحانه یک عملیات سایبری را ممنوع نمی‌کند زیرا یک حمله نیست، ۲) داده‌های غیرنظامی ممکن است هدف قرار گیرند زیرا یک شی نیستند، یا ۳) تغییر یا تخریب داده‌های غیرنظامی لازم نیست از نظر تناسب و اقدامات احتیاطی در ارزیابی حمله در طول حمله به یک هدف نظامی در نظر گرفته شوند، زیرا داده‌ها یک شی غیرنظامی نیستند. به نظر من آنها از نظر نظامی محسوس هستند.

پیشنهاد اول

در مورد اول، کشورها به عنوان مساله سیاستی، متعهد می‌شوند که از انجام عملیات سایبری علیه زیرساخت‌ها یا داده‌های غیرنظامی که با برخی «عملکردها یا خدمات ضروری غیرنظامی» تداخل دارند، خودداری کنند. به عبارت دیگر، عملکردها و خدمات مربوطه از حق «حفاظت ویژه»، همان طور که حقوق درگیری‌های مسلحانه حفاظت ویژه را در خصوص، عملکردهای پزشکی و کمک‌های بشردوستانه گسترش می دهد، برخودار خواهند بود. توجه داشته باشید که این حفاظت به‌جای زیرساخت‌های سایبری خاص، بر عملکردها یا خدمات تمرکز دارد. بر این اساس، این خط‌مشی هر گونه عملیات سایبری که آنها را تخریب کند، صرف نظر از چگونگی تجلی تخریب را ممنوع خواهد کرد.

چالش این خط‌مشی در شناسایی عملکردها یا خدمات غیرنظامی است که واجد شرایط ضروری هستند. کارکردها یا خدماتی که حتی به طور غیرمستقیم به نیروهای نظامی دشمن یا حفظ قدرت، مانند برنامه‌های رسانه‌ای حامی دولت، کمک می‌کنند (اگرچه در پیشنهاد دوم گنجانده شده‌اند) نمی‌توانند واجد این شرایط باشند. با این حال، برخی از وظایف غیرنظامی بدون ابهام ضروری هستند. به عنوان مثال می‌توان به ارائه خدمات اجتماعی برای افراد ناتوان، فقیر و سالمندان، آموزش ابتدایی و متوسطه؛ و یکپارچگی داده‌ها و سیستم‌های مؤسسه مالی در خدمت مردم غیرنظامی اشاره کرد. کارکردها یا خدماتی که به رفاه جمعیت غیرنظامی در درازمدت کمک می‌کنند، به‌ویژه در زمان بازسازی پس از درگیری‌های مسلحانه، احتمالاً ضروری هستند. به عنوان مثال، نباید هیچ گونه مداخله عمدی در تدریس و تحقیقات دانشگاهی غیرمرتبط با عملیات نظامی وجود داشته باشد. البته از آنجایی که این پیشنهاد شامل اتخاذ یک خط‌مشی است، کشورهای مربوطه باید وظایف و خدمات غیرنظامی ضروری را شناسایی کنند. همکاری بین آنها بسیار سودمند خواهد بود.

پیشنهاد دوم

پیشنهاد دوم این است که دولت‌ها زمانی که عملیات سایبری اثرات منفی ملموس مورد انتظار بر افراد غیرنظامی یا جمعیت غیرنظامی نسبت به منفعت ملموس مربوط به درگیری که پیش‌بینی می‌شود از طریق عملیات به دست آید، بیش از حد باشد، سیاست خودداری از انجام عملیات سایبری را اتخاذ کنند. این سیاست زمانی اعمال می‌شود که طرف مربوطه معتقد است عملیات مورد بررسی یک حمله نیست. این سیاست برای به حداقل رساندن آثار منفی بر جمعیت غیرنظامی زمانی که آثار نظامی مشهود است، طراحی شده است، خود قانون حاکم دست‌کم به نظر دولت مربوطه به آثار آن اشاره نمی‌کند.

همان طور که آشکار است، این پیشنهاد مبتنی بر قاعده تناسب حقوق درگیری‌های مسلحانه است که در هنگام حمله به اهداف نظامی اعمال می‌شود. با این حال، تفاوت‌هایی وجود دارد. برای شروع، در مورد عملیات سایبری که نه تنها علیه اهداف نظامی، بلکه علیه غیرنظامیان و اهداف غیرنظامی نیز انجام می‌شود، باید اعمال شود. اهمیت ویژه آن در این زمینه این است که این سیاست باید در خصوص عملیات سایبری علیه اهداف نظامی با استفاده دوگانه اجرا شود. بنابراین، استفاده غیرنظامی از اهداف دوگانه در ارزیابی این سیاست موثر است، اگرچه همیشه هنگام اعمال قاعده تناسب صادق نیست.

با تمایز بیشتر سیاست از قاعده تناسب، عملیاتی که در این خط‌مشی گنجانده شده است، نیازی نیست به عنوان یک حمله شناخته شوند و هیچ محدودیتی برای در نظر گرفتن خسارت جانبی به انواع آسیب‌های برشمرده شده در قانون تناسب وجود نخواهد داشت (از دست دادن اتفاقی جان غیرنظامیان، صدمه به غیرنظامیان، آسیب به اشیاء غیرنظامی). این امر در خصوص همه آثار «منفی» اجرا می‌شود. بنابراین، برای مثال، کشوری که این سیاست را اتخاذ کرده است، تأثیر عملیات انکار موقت خدمات را بدون عواقب فیزیکی در نظر می‌گیرد، مانند عملیاتی که در توانایی غیرنظامیان برای دسترسی به وجوه در حساب‌های بانکی‌شان تداخل ایجاد می‌کند.

با این حال، موانعی برای جلوگیری از فراگیر شدن بیش از حد سیاست پیشنهادی وجود دارد. به عنوان مثال، ارجاع به اثرات «به هم پیوسته» و مزایای «به هم پیوسته» به معنای حذف موارد صرفاً نظری است. علاوه بر این، توجه داشته باشید که این سیاست از این جهت که به کشوری که آن را پذیرفته است اجازه می‌دهد تا منافع حاصل از درگیری را به طور کلی در نظر بگیرد، گسترده‌تر از محدودیت قاعده تناسب برای «مزایای نظامی عینی و مستقیم» است. تنها چیزی که مورد نیاز است، ارتباط مستقیم یا غیرمستقیم با درگیری است. بر این اساس، منافع در سطوح راهبردی، عملیاتی و استراتژیک جنگ ممکن است در نظر گرفته شود، در حالی که قاعده تناسب عموماً به سطوح راهبردی و عملیاتی جنگ و مزایای نظامی محدود می‌شود. و تنها آثار منفی مشخص برای غیرنظامیان و جمعیت غیرنظامی باید توسط طرفی که عملیات سایبری را اجرا می‌کند در نظر گرفته شود. آثار بر روی اشیاء در این سیاست لحاظ نمی‌شود مگر اینکه بر غیرنظامیان تأثیر بگذارد.

در نهایت، به پذیرش اصطلاح «بیش از حد» از قاعده تناسب حقوق مخاصمات مسلحانه توجه کنید. من از آن برای نشان دادن این موضوع استفاده می‌کنم که این خط‌مشی به‌اصطلاح یک آزمون تعادلی نیست که در آن اثرات نامطلوب یک عملیات فقط کمی بیشتر از مزایای آن باشد تا سیاست را اجرا کند. در عوض، بیش از حد به معنای «عدم تعادل قابل توجه» است (راهنمای هاروارد ای ام دبلیو، قاعده ۱۴ را ببینید).

نظریات پایانی

باعث تاسف است که عناصر کلیدی قانون حاکم بر اهداف سایبری حل نشده باقی مانده است چراکه عملیات سایبری به عنصر ریشه‌دار جنگ مدرن تبدیل شده است، که نه تنها بر روند جنگ تأثیر می‌گذارد، بلکه خطرات جدی برای جمعیت غیرنظامی نیز به همراه دارد. کشور‌ها این مسائل را مورد توجه قرار می‌دهند، اما متأسفانه به نتایج متفاوتی می‌رسند. در واقع، به نظر می‌رسد شکاف بین دیدگاه‌های محدود کننده و مجاز در حال افزایش است.

پیشنهادهای خط مشی معتدل ذکر شده در بالا به منظور کاهش برخی از آثار عملیات سایبری بر جمعیت غیرنظامی است که حداقل از نظر طرفی که آن را انجام می‌دهد، به حقوق درگیری‌های مسلحانه دسترسی ندارند،. این پیشنهادات طراحی شده‌اند تا ضرورت نظامی را منعکس کنند – تعادل در ملاحظات بشردوستانه که مقررات حقوق درگیری مسلحانه را القا می‌کند. بر این اساس، من سعی کرده‌ام آنها را طوری ارائه دهم که برای فرماندهان این حوزه خوشایند باشد.

در نهایت، به ویژه برای مشاوران حقوقی به صورت رسمی و غیررسمی دولت ها، می‌خواهم تاکید کنم که پیشنهادها فقط به عنوان توصیه‌های سیاستی داوطلبانه ارائه و با خطوط بسیار گسترده ترسیم شده است‌، زیرا قصد دارم آنها تنها به عنوان نقطه آغازی برای بحث‌های داخلی و خارجی در خصوص چگونگی انجام عملیات سایبری در مواجهه با اختلاف‌نظر بر سر قانون حاکم باشند. اگر آنها قانع کننده باشند، این امر مطرح می‌شود که کشورها آنها را به طور کامل توسعه دهند.