Czy atak w cyberprzestrzeni może być traktowany na równi z agresją militarną w realnym świecie? To pytanie niezwykle istotne dla państw członkowskich NATO. Dotyczy bowiem artykułu 5 Traktatu Północnoatlantyckiego, czyli zapisu mówiącego o tym, że atak na jedno państwo członkowskie jest agresją wymierzoną w cały Sojusz. Nad tym, w jaki sposób artykuł 5 odnosi się również do agresji w cyberświecie zastanawiają się dowódcy, głowy państw oraz prawnicy i eksperci bezpieczeństwa. Odpowiedź nie jest jednak prosta.
Zapowiedź, że cyberprzestrzeń będzie traktowana jako pole działań wojennych to krok w tym kierunku. Decyzja o tym ma oficjalnie zapaść podczas szczytu NATO w Warszawie. Nie oznacza to jednak automatycznie, że każda agresja w sieci na państwo członkowskie pociągnie za sobą odpowiedź całego Sojuszu.
Czy to już atak zbrojny?
Czy więc atak w cyberprzestrzeni doprowadzi do uruchomienia artykułu 5?
- Teoretycznie - tak, praktycznie - póki co – nie – wyjaśnia dr Joanna Kulesza z Instytutu Kościuszki, ekspert od prawa w cyberprzestrzeni. - Teoretycznie możliwe jest uznanie przez NATO, że atak w cyberprzestrzeni uzasadnia zbiorową odpowiedź zbrojną. NATO podkreśla, że każdy przypadek "cyberataku" analizowany musi być osobno, żeby móc ustalić, czy jego charakter i skala uzasadniają zbrojną odpowiedź. Do tej pory jednak żaden z ataków realizowanych wyłącznie w cyberprzestrzeni nie został uznany przez NATO za kwalifikujący się do samoobrony zbrojnej.
Podręcznik talliński, opracowany przez niezależnych ekspertów powołanych przez NATO, wskazuje, że jak dotąd najbliżej "ataku zbrojnego" uzasadniającego zbrojną samoobronę byłoby wydarzenie na miarę incydentu irańskiego wywołanego robakiem Stuxnet. Koalicja USA i Izraela użyła go do ataku na instalacje wzbogacania uranu Islamskiej Republiki Iranu. Stuxnet otworzył dla agresorów dostęp do technologii procesów, którą mogli zmienić i użyć do własnych celów.
- Jednak nawet w tej sytuacji nie ma zgody wśród ekspertów, że atak ten uznać można za "atak zbrojny" w myśl art. 51 Karty Narodów Zjednoczonych. Nie ma więc jak dotąd takiego przykładu cyberataku, który uzasadniał by przywołanie zbrojnej samoobrony w myśl art. 51 KNZ i, analogicznie, art. 5 Paktu. Teoretycznie jednak możliwe jest wyobrażenie sobie ataku, który osiągnie skalę "ataku zbrojnego" w zgodnej ocenie członków Paktu i uzasadni zbrojną odpowiedź – dodaje dr Kulesza.
Idziemy w dobrym kierunku
Deklaracje decydentów w NATO pokazują, jak ważną dla nich kwestią jest obrona cyberprzestrzeni. Ciężko jednak szukać konkretów na temat tego, jak sojusz zachowałby się w wypadku cybernetycznego ataku na państwo członkowskie. Przykład Estonii nie napawa optymizmem. W 2007 r. wskutek zmasowanego ataku cybernetycznego zablokowano strony tamtejszych banków, mediów oraz instytucji rządowych.
- Na poziomie głów państw i szefów rządów już na szczycie w Walii NATO zapowiedziało, że atak w cyberprzestrzeni może być powodem do uruchomienia artykułu 5 traktatu waszyngtońskiego. Celowo jednak zadeklarowano to w sposób dwuznaczny – tłumaczy Marcin Terlikowski, kierownik projektu Bezpieczeństwo w Polskim Instytucie Spraw Międzynarodowych. - Nie każda agresja w sieci może wywołać kolektywną odpowiedź Sojuszu. Siłą rzeczy każda sytuacja będzie rozpatrywana jednostkowo.
- Idziemy co prawda w tym kierunku, że poważny atak cybernetyczny może pociągnąć odpowiedź w ramach obrony zbiorowej, nawet z użyciem sił zbrojnych, ale poruszamy się na niepewnym gruncie, bo nie wiemy, jak będą zmieniały się zagrożenia w cyberprzestrzeni, które bardzo szybko ewoluują. Wydaje się, że możliwość przywołania art. 5 dotyczy tylko ataków pociągających za sobą duże straty materialne czy ofiary w ludziach. Możemy sobie wyobrazić atak cybernetyczny, który wywoła katastrofę techniczną, np. w zakładzie chemicznym i będzie formą eskalacji toczącego się konfliktu politycznego. Wówczas NATO mogłoby zareagować w trybie art. 5. Jednak na pewno nie zrobiłoby tego w sytuacji, gdy zaatakowany byłby tylko internet, jak miało to miejsce w Estonii w 2007 r - dodaje ekspert PISM.
Jak przypisać odpowiedzialność?
Artykuł 5 nie ma też zastosowania do masowego szpiegostwa - nawet jeśli niemal cały czas wykradane są terabajty danych. - To są poważne ataki, ale nie mogą pociągnąć za sobą odpowiedzi kolektywnej, bo szpiegostwo jest w relacjach między państwami traktowane inaczej – wyjaśnia Marcin Terlikowski.
Jest jeszcze jeden problem z zastosowaniem artykułu 5 do cyberprzestrzeni. Chodzi o prawo atrybucji, czyli przypisania winy do sprawców. Jak pokazał konflikt na Ukrainie nawet przy tradycyjnej agresji militarnej nie jest to dziś takie proste. W sieci jest to zaś niemal niemożliwe. Przykładem może być też Estonia. Mimo, iż o atak od początku podejrzewano hakerów powiązanych z rosyjskim rządem, twardych dowodów nie ma do dziś. Tak samo jest z każdą agresją w sieci, o której przygotowanie podejrzewane są wrogie państwa.
- Po pierwsze w przypadku działań ofensywnych w cyberprzestrzeni rzadko kiedy materiał dowodowy pozwala przypisać pełną odpowiedzialność za atak danemu państwu. Po drugie - w przypadku zintegrowanego ataku może on odbywać się z kilku, kilkunastu miejsc na świecie i możemy jedynie domniemywać, kto stał za taką operacją, komu to było na rękę. Każda władza może powiedzieć: „Przecież nie ponoszę odpowiedzialności za działanie prywatnych osób”. A co, jeżeli atak odbywa się z serwerów prywatnych, lub serwerów spółek międzynarodowych? A co, jeśli to jest firma, w której udziały ma jakaś spółka cypryjska albo spółka z Wysp Owczych? Niejasna struktura właścicielska skutecznie ograniczy możliwość łatwego ustalenia, kto dokonał ataku. W takim wypadku państwo dokonujące agresji w cyberprzestrzeni zawsze umyje ręce – tłumaczył w wywiadzie dla Cyberdefence24 Piotr Trąbiński, ekspert Narodowego Centrum Studiów Strategicznych.
- W kwestii odpowiedzi NATO na ataki cybernetyczne poruszamy się w hipotetycznych scenariuszach także dlatego, że jest to w interesie NATO. Potencjalny agresor nie wie bowiem, jak Sojusz potraktuje jego atak, a to jest już elementem odstraszania - dodaje Marcin Terlikowski.
Czytaj też: Ekspert: Międzynarodowe prawo cyberprzestrzeni to kwestia czasu