Ekspert: Międzynarodowe prawo cyberprzestrzeni to kwestia czasu

Czy możemy dziś mówić o prawie w cyberprzestrzeni? Czy prowadzone są prace nad prawnymi rozwiązaniami działań w cyberświecie?

Rozmawiając o prawie w cyberprzestrzeni, mówimy przede wszystkim o prawie międzynarodowym. Wiele osób zauważyło już, że istnieje realny problem rozpoznawania przez istniejące przepisy prawne zagrożeń w cyberprzestrzeni, a jeszcze większy z przypisywaniem odpowiedzialności za czyny - czyli prawem atrybucji. Na tym etapie prawo się zatrzymuje i w mojej ocenie trudno będzie wypracować rozwiązania międzynarodowe, które pozwolą na stworzenie przepisów regulujących te kwestie. Kiedy pojawia się kwestia przypisania winy, to bardzo trudno pójść dalej, co wynika z tego, że żadne państwo nie zgodzi się na ponoszenie konsekwencji za działania hakerów operujących na jego terytorium. Widzimy, co się dzieje w analogicznych kwestiach, takich jak prawo morskie czy prawo kosmiczne, które jest równie słabo opisane. Przypisanie odpowiedzialności jest bardzo trudne – ze względu na to, jaka jest natura sieci. Sieć opiera się na architekturze otwartej, jest łatwa do penetracji, zachowana jest tu duża anonimowość. Dlatego żadne z państw nie jest gotowe, by przyjąć na siebie odpowiedzialność za działania w cyberświecie.

Nie możemy po prostu założyć, że za atak na nasze państwo ponosi odpowiedzialność kraj, w którym znajdują się serwery hakerów?

Nie można czegoś takiego założyć. Po pierwsze w przypadku działań ofensywnych w cyberprzestrzeni rzadko kiedy materiał dowodowy pozwala przypisać pełną odpowiedzialność za atak danemu państwu. Po drugie - w przypadku zintegrowanego ataku może on odbywać się z kilku, kilkunastu miejsc na świecie i możemy jedynie domniemywać, kto stał za taką operacją, komu to było na rękę. Każda władza może powiedzieć: „Przecież nie ponoszę odpowiedzialności za działanie prywatnych osób”. A co, jeżeli atak odbywa się z serwerów prywatnych, lub serwerów spółek międzynarodowych? A co, jeśli to jest firma, w której udziały ma jakaś spółka cypryjska albo spółka z Wysp Owczych? Niejasna struktura właścicielska skutecznie ograniczy możliwość łatwego ustalenia, kto dokonał ataku. W takim wypadku państwo dokonujące agresji w cyberprzestrzeni zawsze umyje ręce. Musiałaby istnieć konwencja międzynarodowa, zgodnie z którą kraje godzą się na odpowiedzialność za cyberataki, a wypracowanie takiego dokumentu jest niezwykle czasochłonne i skomplikowane.

Jeżeli na końcu agresji w cyberprzestrzeni mamy działanie kinetyczne- czyli np. ktoś ginie, albo następuje uszkodzenie infrastruktury krytycznej, wtedy istnieją przesłanki do ewentualnego podniesienia artykułu piątego, ale doktryna ta w tej chwili ewoluuje.

Czy brak atrybucji oznacza, że próba stworzenia międzynarodowego prawa w cyberprzestrzeni z góry skazana jest na niepowodzenie?

Niekoniecznie. To kwestia konsensusu. Zmiany nastąpią, jeżeli dojdziemy do punktu, w którym wszyscy zrozumiemy, że działanie w cyberprzestrzeni na zasadzie wolnej amerykanki powoduje duże zagrożenie dla stabilności systemów i państw. To trochę tak, jak z bronią masowego rażenia. W pewnym momencie zorientowaliśmy się, że ta broń jest w stanie zniszczyć duże obszary kuli ziemskiej. Dlatego też między rządami rozpoczęły się rokowania, rozmowy, negocjacje o tym, jak ograniczać potencjał nuklearny i rozpoczął się proces normowania tej kwestii.

Jak odróżnić przestępstwo w cyberprzestrzeni od terroryzmu czy agresji militarnej?

Odpowiedź na to pytanie jest bardzo trudna. Na pewno kwestia skali ma tu ogromne znaczenie, a także przedmiotu ataku. Jeśli np. mamy do czynienia z kradzieżą danych klientów korporacji, to musimy odpowiedzieć na pytanie: w jakim celu doszło do kradzieży? Jeżeli kradzież danych następuje na potrzeby wywiadu obcego państwa, to jest to działalność wywiadowcza, regulowana przepisami prawa karnego. Natomiast jeżeli te dane posłużą do tego, by dokonać przestępstwa na klientach, to mamy do czynienia ze działaniami przestępczymi. Dodatkowo należy je też prawidłowo zakwalifikować w kontekście tego, czy jest to zwykłe przestępstwo, czy też działania noszące znamiona zorganizowanej przestępczości. To stwarza kolejny problem. Kiedy atak trwa, nie wiemy, w jakim celu skradzione dane zostaną użyte. Możemy jedynie domniemywać.

Czy agresja w cyberprzestrzeni może być traktowana jak działania wojenne w realnym świecie?

W tej kwestii wciąż trwają dyskusje. Wielu ekspertów uważa, że jeżeli mielibyśmy do czynienia ze zmasowanym atakiem na państwo członkowskie NATO, to byłaby to podstawa do podniesienia artykułu piątego traktatu. Ale część specjalistów ma wątpliwości, czy cyberatak można zakwalifikować jako atak na państwo członkowskie, szczególnie w przypadku braku działań użycia siły kinetycznej. Jeżeli na końcu agresji w cyberprzestrzeni mamy działanie kinetyczne- czyli np. ktoś ginie, albo następuje uszkodzenie infrastruktury krytycznej, wtedy istnieją przesłanki do ewentualnego podniesienia artykułu piątego, ale doktryna ta w tej chwili ewoluuje. Cały czas niejasna jest jednak kwestia: jak definiować sytuacje, gdy działania w sieci służą kradzieży, zniszczeniu danych, zablokowaniu serwerów, przejęciu kontroli nad systemami? Tu sytuacja prawna jest bardzo złożona. Poza tym – znów powraca kwestia atrybucji.

W przypadku ataku na Estonię z nie doszło do podniesienia artykułu piątego.

Stało się tak dlatego, że nie było tam działań kinetycznych. Co prawda doszło do zablokowania serwerów atakiem DDoS, powstały wymierne szkody finansowe, ale nikt nie zginął, nic nie zostało fizycznie zniszczone.

Bez względu na trudności, międzynarodowe prawo w cyberprzestrzeni po prostu musi powstać. Nie uciekniemy od tego.

Piotr Trąbiński – ekspert Narodowego Centrum Studiów Strategicznych (NCSS) w dziedzinie cyberbezpieczeństwa. Jest absolwentem Uniwersytetu Warszawskiego z tytułem magistra w dziedzinie prawa i doktorantem w Katedrze Prawa Informatycznego na UKSW.