« Secţiuni « Articole « RNSJOpiniiPovestim cărţi
Opinii

Operațiunile cibernetice și reglementarea juridică lacunară a acestora în dreptul internațional
09.08.2021 | Elena LAZĂR

Drept Timisoara
Secţiuni: Cyberlaw, Data protection, JURIDICE.ro, Opinii, Selected | Toate secţiunile

Cuvinte cheie: , , , , ,
JURIDICE - In Law We Trust
Elena Lazăr

Elena Lazăr

INTRODUCERE

Datorita amplorii operațiunilor cibernetice, în contextul evoluției tehnologice accelerate, al utilizării uneori abuzive a tehnologiei informației și comunicațiilor (TIC), asistăm la noi provocări generate de acest fenomen, provocări ce «ar putea avea efecte destabilizatoare și în cascadă, însoțite de riscuri sporite de conflict», conform mesajului transmis de Federica Mogherini, Înaltul Reprezentant al Uniunii Europene pentru Afaceri Externe și Politică de Securitate, în cadrul declarații transmise de Serviciul European de Acțiune Externă.[1]

Astfel, dezvoltarea tehnologică implică faptul că multe din sistemele esenţiale pentru buna funcţionare a unui stat, începând de la infrastructurile din domeniile energetic, transporturi, militar, bancar, securitate, până la administraţie, servicii medicale, să fie puternic informatizate.

Luând în considerație acești factori prezentați mai sus, raportați la evoluţia nivelului riscurilor generate de creşterea nivelului de informatizare şi impactul tot mai pregnant al atacurilor cibernetice asupra unor domenii critice pentru funcţionarea unui stat, ne întrebăm în ce măsură atât statele cât şi actorii non-statali mai pot privi problematica conflictelor cibernetice doar dintr-o perspectivă etică, futuristă chiar?

Ar trebui să fie securitatea cibernetică o problemă care să îngrijoreze doar pe cetăţeni în mod individual sau mai degrabă pe factorii de decizie la nivel statal, fiind necesară o abordare globală la nivel internațional? Cât de mult ne poate impacta un stat o operațiune cibernetică? Este necesară o legislaţie în domeniul securităţii cibernetice la nivel internațional? Există deja o legislație în acest domeniu?

La aceste  întrebări vom încerca să răspundem prin prezenta lucrare. Pentru a face acest lucru vom încerca într-o primă parte o clasificare a acestor operațiuni cibernetice din punct de vedere al dreptului internațional, iar într-o a doua parte ne vom opri asupra unei analize a legislației internaționale existente în domeniu.

1. CLASIFICAREA OPERAȚIUNILOR CIBERNETICE ÎN DREPT INTERNAȚIONAL

În ultimii ani, organizații și chiar instituții ale statelor, se înfruntă cu o amenințare informatică cunoscută cu denumirea de „ransomware”, reprezentând un malware al cărui scop este acela de a împiedica accesul victimelor la fișiere, sau chiar la întregul sistem informatic infectat, până la plata unei sume de bani cu titlu de răscumpărare („ransom”)[2]. Spre exemplu WannaCry a generat, în luna mai 2017[3], disfuncţii în funcţionarea spitalelor aparţinând National Health Service din Marea Britanie, cauzând probleme multor pacienţi britanici. O lună mai târziu, un malware de tip ransomware, cunoscut sub numele NotPetya[4], creat cu o tehnologie mai avansată decât WannaCry, a afectat reţele informaţionale din mai multă state, inclusiv companiile Merck, din SUA, Maersk din Danemarca, sau Rosnoft, din Federaţia Rusă, dar mai ales serviciile energetice, de transport şi bancare din Ucraina.

Mergând un pas și mai în spate în timp, virusul Stuxnet a infectat în 2010 un program Siemens de control al automatelor industriale folosite în sectorul apelor, al platformelor petroliere și centralelor electrice, funcția sa fiind să modifice administrarea anumitor activități și funcții astfel încât să determine distrugerea fizică a instalațiilor. Stuxnet a afectat în special statul Iran, respectiv centrifugele iraniene ce produc uraniu îmbogățit. Actori importanţi din presa internaţională, ca The Guardian, BBC şi The New York Times au emis speculații cum că numai o ţară ar fi putut produce un virus de complexitate, țară precum Israel, care, după cum se ştie, nu se află în relaţii deloc bune cu Iranul.[5]

Putem observa așadar că dacă în trecut statele arătau o oarecare reticență cu privire la implicațiile pe plan internațional, în ultimii ani, acestea au devenit mai dispuse să atribuie aceste operațiuni cibernetice altor state. Însă pentru a putea proceda la această atribuire, este necesară o calificare a acestor operațiuni din punct de vedere al dreptului internațional. Oare toate operațiunile cibernetice au aceeași amploare, aceleași efecte? Implică toate acestea în mod automat o folosire a forței? În acest sens vom aborda pe rând noțiunile de cyber crime (infracțiuni informatice), cyber attack (atac cibernetic) cyber terrorism (terorism cibernetic), cyber warfare (război cibernetic).

În ceea ce privește noțiunea de cybercrime, nu există o definiție universal acceptată a criminalității informatice (cyber crimes). Convenția de la Budapesta privind Criminalitatea Informatică[6] nu oferă nici ea o definiție a acestei noțiuni, mulțumindu-se doar cu a enumera categoriile de infracțiuni informatice ce îi fac obiectul.

Astfel, la o simplă lecturare a Convenției și a categoriilor de infracțiuni prevăzute de aceasta, putem defini criminalitatea informatică, drept orice acțiune ilegală în care un calculator/sistem informatic constituie instrumentul sau obiectul delictului, sau, altfel spus, orice infracțiune al cărei mijloc sau scop este influențarea funcției normale a calculatorului ori ca  orice act contrar legii, săvârșit folosind tehnologia informației și comunicațiilor (TIC) pentru a ținti rețele, sisteme, date, site-uri web, etc sau pentru a facilita o infracțiune. Fiecare din definițiile de mai sus prezintă unele inconveniente care nu împacă obiectivul conciziei formulării cu acela de a nu lăsa nici o îndoială asupra conținutului acestui tip de operațiune cibernetică.

Europol (2018)[7] a făcut următoarea distincție în cadrul conceptului de cyber crimes (infracțiuni informatice), respectiv infracțiuni obiect – care pot fi comise doar asupra unor computere, rețele de calculator sau altor forme de tehnologie informațională, obiectivul fiind chiar atingerea funcționalității/integrității unui sistem/calculator/bază de date;” și infracțiuni instrument (adică, crime tradiționale facilitate de internet și tehnologii digitale)[8]. Distincția-cheie între aceste categorii de infracțiuni informatice este rolul TIC în infracțiune[9] – respectiv dacă TIC  este ținta infracțiunii sau o parte din modus operandi (adică M.O, metoda de operare) al infractorului. Atunci când TIC este ținta infracțiunii, acest “criminal informatic” afectează în mod negativ confidențialitatea, integritatea și / sau disponibilitatea datelor sau sistemelor informatice (UNODC, 2013). Când TIC face parte din M.O., criminalitatea informatică implică o crimă tradițională (de exemplu, fraudă și furt) facilitată într-un fel de internet și de tehnologiile digitale.

Infracțiunile cibernetice pot fi săvârșite de persoane, grupuri de persoane, companii și chiar state. În timp ce acești actori pot folosi tactici similare (de exemplu, un malaware) și pot ataca ținte similare (de exemplu, un sistem informatic), aceștia au totuși motive și intenții diferite de a comite aceste infracțiuni[10]. În cadrul prezentei lucrări ne vom raporta doar la acele infracțiuni cibernetice comise de state și implicațiile acestora la nivel internațional.

Avansând în analiza noțiunilor propuse, ne întrebăm care este diferența între un cyber attack și cyber crime, sau dacă există într-adevăr vreo diferență. Nici în acest caz nu avem o definiție clară, universal acceptată, a noțiunii de cyber attack, și implicit un răspuns clar la această întrebare.

Astfel, o definiție regăsim în lexiconul publicat în 2011, în cadru Comandamentului cibernetic al Statelor Unite, pentru utilizare militară în operațiunile cibernetice, care includea prima definire militară oficială a atacului cibernetic. respectiv: Un act ostil folosind calculatoarele sau rețelele sau sistemele conexe, destinat să perturbe și / sau să distrugă sistemele, activele sau funcțiile cibernetice critice ale unui adversar. Efectele intenționate ale atacului cibernetic nu se limitează neapărat la sistemele informatice vizate sau la datele în sine – de exemplu, atacurile asupra sistemelor informatice care sunt destinate să degradeze sau să distrugă infrastructura sau capacitatea C2. Un atac cibernetic poate utiliza vehicule intermediare de livrare, inclusiv dispozitive periferice, emițătoare electronice, cod încorporat sau operatori umani[11]. Apreciem că această definiție, deși în aparență una complexă, se dovedește a fi neclară, netrasând o graniță clară între ceea ce ar putea constitui cybercrime și ceea ce ar putea constitui un cyberattack.

În acest sens, în cadrul prezentei lucrări înțelegem să adoptăm o definiție restrânsă a atacului cibernetic, una menită să concentreze atenția asupra amenințării unice pe care o reprezintă tehnologiile cibernetice: Un atac cibernetic constă în orice acțiune întreprinsă pentru a submina funcțiile unei rețele de calculatoare/sistem informațional în scop politic sau scopuri legate de securitatea și siguranța națională.

Din punctul nostru de vedere, un scop politic sau de securitate națională distinge atacul cibernetic de criminalitatea cibernetică simplă. Orice acțiune agresivă întreprinsă de un actor statal în domeniul cibernetic implică în mod obligatoriu un pericol pentru securitatea națională și, prin urmare, reprezintă un atac cibernetic. În același sens, o crimă cibernetică comisă de un actor non-statal, cu scopul de a aduce atingere securității  și stabilității politice sau siguranței naționale, constituie la rândul său un atac cibernetic. Pe de altă parte, o infracțiune cibernetică care nu este realizată în scopurile prezentate mai sus, cum este cazul celor mai multe fraude pe Internet, precum furtul de identitate și piraterie de proprietate intelectuală, nu se încadrează acestui element final al scopului unui „atac cibernetic” și reprezintă prin urmare, o simplă cyber crime.

Mergând mai departe, ne oprim asupra noțiunii de „cyber terrorism”. TIC poate fi utilizată pentru a facilita săvârșirea infracțiunilor legate de terorism (o formă de terorism cibernetic) sau poate fi chiar ținta teroriștilor. Mai exact, TIC poate fi utilizat pentru promovarea, susținerea, facilitarea și / sau implicarea în acte de terorism. În special, internetul poate fi utilizat în scopuri legate de terorism, cum ar fi răspândirea „propagandei (inclusiv recrutarea, radicalizarea și instigarea la terorism); finanțarea [terorismului]; formarea [teroristului]; planificarea [atacurilor teroriste] (inclusiv prin comunicare secretă și informații cu sursă deschisă); executarea [atacurilor teroriste] și atacurile cibernetice.[12]

La fel cum nu există un consens cu privire la o definiție a criminalității informatice, nu putem vorbi nici în cazul cyber terorismului de o definiție universal și unanim acceptată. Mai mult, nu există în prezent consens nici asupra definiției noțiunii de terorism din dreptul internațional clasic, ci doar simple trimiteri la mai multe convenții asupra a ceea ce ar putea constitui fapte de terorism[13].

Totuși, în încercarea de a defini această noțiune, ne vom raporta la definiția acceptată și utilizată de FBI- atacul premeditat, motivat politic, împotriva informațiilor, sistemelor  de calculatoare, programelor și operărilor de date, ce conduce la violențe împotriva obiectivelor civile și necombatanților, atac exercitat de grupări subnaționale sau agenți clandestini.[14]

Putem observa din definiție, că în acest caz, terorismul cibernetic poate fi atribuit doar unor entități private, particulari, iar nu unor entități statale. Totuși, luând în calcul amploarea unui act terorist, fie el clasic, fie cibernetic, la nivelul comunității de state, ne vom opri și asupra reglementării acestei categorii de acte în dreptul internațional public.

Cyber warfare este utilizat pentru a descrie acele atacuri cibernetice care compromit și perturbă sistemele de infrastructură critice, atacuri constituie un atac armat[15]. Un atac armat provoacă în mod intenționat efecte distructive (de exemplu, moartea și / sau vătămarea fizică a ființelor vii și / sau distrugerea bunurilor). Doar guvernele, organele statului sau grupurile conduse/direcționate sau sponsorizate de stat se pot angaja în cyberwarfare, acesta reprezentând un act al statului, spre deosebire de cyber terrorism. Conceptul de cyberwarfare și regulile aplicabile în această situație, au fost abordate de Manualul Tallinn 1.0 privind Dreptul Internațional aplicabil în războiul cibernetic (2013)[16]. Având în vedere că cyberwarfare reprezintă un act al statului, practic un act de război clasic, convențional, ne punem problema ce reguli vom aplica în această situație și dacă putem vorbi și în cazul unui război cibernetic de dreptul umanitar.

Întorcându-ne la exemplele ilustrate la începutul prezentei lucrări, raportat la calificarea operațiunilor cibernetice în cyber crimes, cyber attacks, cyber terrorism și cyber warfare, ne întrebăm în care din aceste noțiuni am putea încadra atacul Stuxnet sau Wannacry și în ce măsură dreptul internațional reglementează asemenea situații? Pentru a răspunde la aceste întrebări, vom analiza mai departe legislația existentă în domeniu la acest moment și aplicabilitatea și utilitatea acesteia în ciberspațiu.

2. LEGISLAȚIA PRIVIND OPERAȚIUNILE CIBERNETICE ÎN DREPTUL INTERNAȚIONAL

Din cauza complexității ciberspațiului, a faptului că lumea virtuală nu cunoaște aceleași frontiere bine delimitate din lumea fizică, a fost dificilă conturarea unor norme clare care să determine  modul în care ar trebui calificată o operațiune cibernetică, sub ce jurisdicție ar intra aceasta și ce răspuns (în conformitate cu dreptul internațional) poate interveni din partea statelor la o asemenea operațiune. În plus, astfel cum vom arăta în cele ce urmează, în funcție de calificarea unei operațiuni cibernetice, diferă și cadrul juridic aplicabil acesteia.

Dacă vorbim despre cyber crimes, în cazul acestora ne putem raporta la următorul instrument – Convenția privind Criminalitatea Informatica[17]. Convenția a fost semnată și ratificată de 48 de țări[18] dintre care 21 nefiind membre ale Consiliului Europei. Convenția introduce noi canale de comunicare în lupta împotriva acestui tip de infracționalitate și definește un set comun de standarde pentru incriminarea faptelor ilicite legate de tehnologia informației.

Convenția este primul tratat internațional ce îşi propune să prevină actele îndreptate împotriva confidenţialităţii, integrităţii şi disponibilităţii sistemelor informatice, a reţelelor şi a datelor, precum şi a utilizării frauduloase a unor asemenea sisteme, reţele şi date, prin asigurarea incriminării unor asemenea conduite şi prin încurajarea adoptării unor măsuri de natură a permite combaterea eficace a acestor tipuri de infracţiuni, menite să faciliteze descoperirea, investigarea şi urmărirea penală a acestora atât la nivel naţional, cât şi internaţional, precum şi prin prevederea unor dispoziţii materiale necesare asigurării unei cooperări internaţionale rapide şi eficiente[19]. Totuși, fără să negăm utilitatea acestei convenții, amintim totuși că aceasta include doar o parte din posibilele infracțiuni ce fac obiectul categoriei de operațiuni cibernetice cybercrimes și doar o parte din statele comunității internaționale.

În plus, Convenția nu tranșează în mod clar problemele ce țin de jurisdicția aplicabilă acestor tipuri de infracțiuni, limitându-se așadar la a preciza în cadrul articolului 22 (1) lit. a, că  statul pe teritoriul căruia a avut loc infracțiunea este competent din punct de vedere jurisdicțional, însă nu explică/definește cum ar trebui aplicat acest principiu al teritorialității în mediul online[20]. Ce se întâmplă în situația în care infracțiunea are loc pe teritoriul unei țări, iar efectul său se produce pe teritoriul altei țări? Sau ce se întâmplă în cazul unui conflict de jurisdicție atunci când efectele infracțiunii se petrec pe teritoriile mai multor țări, un scenariu perfect valid în spațiul virtual? Toate aceste întrebări nu și-au primit răspunsuri pe terenul acestei convenții.

Mergând mai departe către noțiunea ce cyberattack, ne ducem spre analiza impactului și efectelor acestuia, pentru a vedea în ce măsură un atac cibernetic poate declanșa dreptul unui stat la auto apărare în conformitate cu articolul 51 din Carta ONU. Apreciem că cel mai bun test este de a verifica dacă atacul are ca rezultat distrugerea fizică – uneori numită „efect cinetic” – comparabil cu cel al unui atac convențional. Pentru a ajunge la această concluzie, trebuie să examinăm nu numai textul Cartei – care este destul de general și vag – ci și sensul dat textului respectiv prin interpretarea sa și practica statelor în timp. Astfel, textul art. 51 al Cartei prevede că  Nici o dispozitie din prezenta Carta nu va aduce atingere dreptului inerent de autoaparare individuala sau colectiva in cazul in care se produce un atac armat impotriva unui Membru al Natiunilor Unite, până când Consiliul de Securitate va fi luat masurile necesare pentru mentinerea păcii și securității internationale.[21]

Deoarece un atac armat care este întotdeauna generat de folosirea forței[22], nu a început niciodată doar ca urmare a unui atac cibernetic, nu prea există o practică a statelor care să ne ghideze cu privire la ce atacuri cibernetice ar putea justifica un răspuns prin autoapărare. În consecință, analiza legală aici este în mod necesar speculativă. Curtea internațională de justiție (CIJ) subliniază[23] în avizul consultativ privind Legalitatea folosirii armelor nucelare, că textele legale nu fac nici o referire cu privire la modalitatea de folosire a forței, la ce tipuri de arme ar putea fi folosite și nu detaliază cu privire la aceasta, ci rămâne la terminologia generică de folosire a forței. Ar putea un stat să răspundă cu folosirea forței la un atac cibernetic provenind din partea altui stat ce are drept consecințe blocarea serverelor guvernului statului respectiv sau lăsarea unui oraș întreg fără lumină ore întregi? Dacă ne raportăm la prevederile Cartei ONU, răspunsul ar fi  probabil nu.

Totuși, operațiunile cibernetice care provoacă vătămarea sau moartea persoanelor sau deteriorarea și distrugerea obiectelor ar putea constitui o utilizare a forței sau chiar un atac armat în conformitate cu Carta ONU (deși pragul pentru ceea ce constituie o utilizare a forței este el însuși un domeniu de controversă după cum putem observa)[24]. Astfel de operațiuni ar putea da naștere chiar unui conflict armat,  intrând astfel în câmpul noțiunii de cyberwarfare. În practică, marea majoritate a operațiunilor cibernetice realizate de către state (entități statale sau actoriprivați acționând sub controlul și instrucțiunile directe ale statului) au loc sub pragul de utilizare a forței, reprezentând simple intruziuni în suveranitatea altui stat, dar adesea fără efecte cinetice evidente.

Pentru o analiză și mai în detaliu asupra noțiunii de folosire a forței, CIJ a realizat distincția între „atacul armat”, care reprezintă o formă de folosire a forței caracterizată prin gravitate ridicată, și alte forme de folosire a forței, care nu reprezintă per se atac armat[25]. Astfel, criteriile pe baza cărora se poate determina gravitatea unui „atac armat” sunt reprezentate conform jurisprudenței Curții de anvergură și efecte, iar dreptul inerent la legitimă apărare poate fi exercitat numai în cazul unui atac armat – adică al unui act de folosire a forței caracterizat printr-o anumită gravitate, nu și în cazul unor acte de folosire a forței care nu întrunesc gravitatea unui atac armat, cum este cazul majorității atacurilor cibernetice. Din cele expuse mai sus, putem observa lipsa unui cadru legal care să reglementeze atacurile cibernetice în mod particular, singurul instrument care oferă anumite indicii fiind Carta ONU, indicii neadaptate însă spațiului cibernetic.

Îndreptându-ne spre cyberwarfare, respectiv războiul cibernetic, precizăm că este necesar să facem distincția între Jus ad bellum – dreptul de a recurge la forţă în relaţiile internaţionale și Jus in bello – dreptul aplicabil în război. Avem în vedere aşadar ansamblul de norme juridice care reglementează posibilitatea utilizării forţei în relaţiile internaţionale, respectiv criteriile potrivit căror recursul la război ar fi justificat și Jus in bello – dreptul în război cuprinzând regulile de purtare a războiului. Perspectiva Jus ad bellum a fost abordată anterior unde am analizat când și în ce măsură o operațiune cibernetică poate constitui un atac armat. Mergând cu raționamentul mai departe, este important de remarcat de la început că aplicarea cadrului legislativ existent privind regulile de purtare a războiului la atacurile cibernetice este extraordinar de dificilă.

Tratatele cheie de drept umanitar, care guvernează conduita în război, respectiv Convențiile de la Geneva, au fost revizuite ultima dată în urma celui de-al doilea război mondial. Nimic nu a fost mai departe de mințile redactorilor Convențiilor de la Geneva la acel moment, decât operațiunile cibernetice efectuate la nivel mondial. Așadar nici acestea nu conțin norme care să reglementeze astfel de situații. În acest context, ne întrebăm cum le putem aplica totuși unui atac cibernetic? Cum ne putem da seama de amploarea unei operațiuni pentru a putea conchide că suntem în fața unui război cibernetic? În doctrină, s-au perindat trei teorii legate de amploarea atacului, respectiv-teoria bazată pe instrumente (tratează un atac cibernetic drept un atac armat doar dacă folosește arme militare convenționale), teoria bazată pe țintă/obiectiv (clasifică ca atac armat orice operațiune cibernetică care vizează un sistem informatic suficient de important) și teoria bazată pe efecte (clasifică un atac cibernetic ca un atac armat bazat pe gravitatea efectelor sale).

Pentru a răspunde la întrebarea ridicată mai sus legată de amploarea unei operațiuni cibernetice, Profesorul Michael Schmitt[26], cel mai cunoscut susținător al abordării bazate pe efecte, apreciază că efectele unui atac cibernetic trebuie măsurate prin raportare la șase factori: (1) gravitatea: tipul și amploarea prejudiciului; (2) iminență: cât de rapid se materializează prejudiciul după atac; (3) legătura de cauzalitate: lanțului cauzal dintre atac și vătămare; (4) invazivitate: gradul în care atacul pătrunde pe teritoriul statului victimă; (5) cuantificarea: gradul în care poate fi cuantificat prejudiciul; și (6) legitimitate prezumtivă: ponderea acordată faptului că, în ansamblul activităților cibernetice, atacurile cibernetice care constituie un atac armat sunt mai degrabă excepția decât regula.

Presupunând că raportat la efectele unei operațiuni cibernetice, amploarea acesteia ne situează în planul unui război cibernetic, având în vedere că regulile de drept umanitar existente nu conțin norme care să reglementeze aceste tipuri de atacuri, ne întrebăm cum vom aplica principiul proporționalității și principiul distincției[27].

Principiul proporţionalităţii presupune ca părţile la conflict să nu cauzeze adversarilor lor pagube şi pierderi decât în măsura necesară atingerii scopului acţiunilor militare, care este acela de a slabi sau distruge potenţialul militar al inamicului. Datorită naturii daunelor pe care le provoacă, proporționalitatea operațiunilor cibernetice prezintă provocări unice. Poate fi dificil de evaluat dacă un atac ar fi proporțional, deoarece efectele directe tipice ale atacurilor pot fi nonletale sau temporare, dar de o severitate ridicată. Astfel, cum ar trebui să fie evaluată incapacitatea temporară a sistemelor critice?  Un atac cibernetic care oprește efectiv transmiterea informațiilor prin Internet ar putea doar să incomodeze populația, dar ar putea avea și mai mult consecințe. De exemplu, ar putea determina spitalele să nu poată comunica informații vitale, ceea ce duce la pierderea de vieți omenești.

Principiul distincţiei implică discriminarea între civili şi combatanţi, pe de o parte, şi între obiectivele militare şi cele civile, pe de altă parte. Membrii forţelor armate au dreptul de a ataca inamicul şi de a-i rezista, însă nu au dreptul de a ataca populaţia şi bunurile civile, bunurile culturale sau alte categorii de persoane şi bunuri protejate. În conformitate cu acest principiu, comandanții militari trebuie să folosească care au capacitatea de a face distincția între obiectivele civile și cele militare. Prin analogie, legea războiului interzice atacurile cibernetice care sunt incontrolabile, imprevizibile sau care nu fac discriminări între obiectivele civile și cele militare. Ne putem imagina situații în care principiul distincției s-ar aplica cu ușurință atacurilor cibernetice. Spre exemplu, un atac cibernetic care vizează un sistem militar de control al traficului aerian și determină ca un transport de trupe să se prăbușească, ar respecta principiul distincției. Alte atacuri cibernetice ar putea încălca cu ușurință principiul distincției – de exemplu, un atac al unui spital sau lăcaș de cult.

În privința terorismului cibernetic pe care am ales să îl lăsăm la urmă, cadrul juridic aplicabil diferă după caz, în funcție de efectul operațiunii cibernetice în sine. Dacă actul de terorism cibernetic are amploarea unui atac armat, atunci ne putem gândi în ce măsură statele ar putea recurge la legitimă apărare conform Cartei ONU (precizăm totuși că posibilitatea de a răspunde cu legitimă apărare la un atac terorist care de regulă nu poate fi atribuit unui actor statal, este una controversată). Pentru restul de acte de terorism de o amploare mai scăzută, pot fi aplicabile convențiile și tratatele încheiate în domeniu, care abordează însă terorismul convențional, clasic, iar nu cel cibernetic.  Singurul acord regional care menționează noțiunea de terorism cibernetic (articolul VI) provine de la Asociația Națiunilor Asiatice de Sud-Est (ASEAN)[28]. În mod similar, rezoluțiile Consiliului de Securitate[29] al ONU care impun sarcini obligatorii de combatere a terorismului nu menționează atacurile cibernetice.

Dacă legislația internațională ce oferă orientări cu privire la terorism s-a dovedit a fi inadaptată realității contemporane a ciberspațiului, Tribunalul special pentru Liban, prin jurisprudența sa[30] a apreciat că dreptul internațional cutumiar recunoaște existența unei infracțiuni de terorism internațional, ale cărei elemente ar putea cuprinde atacurile cibernetice teroriste.

CONCLUZII

Analizând cadrul juridic aplicabil tuturor acestor forme de operațiuni cibernetice, putem constata că acesta nu oferă răspunsuri clare privind problemele și provocările aduse în prim plan de cyber spațiu. Astfel statele care sunt victime ale atacurilor cibernetice trebuie să se adapteze cadrului legal existent și să îl interpreteze în consecință, pentru a ști ce acțiuni au voie să întreprindă drept răspuns la aceste atacuri.

Un argument pentru insuficiența dreptului internațional actual și necesitatea unui sistem de tratate complet nou se bazează pe natura non-fizică a domeniului cibernetic și pe faptul că astfel de atacuri cresc în număr și domeniu de aplicare, având consecințe din ce în ce mai serioase. Această amenințare globală generată de efectele grave ale operațiunilor cibernetice la adresa păcii și securității mondiale, poate fi înfruntată doar printr-o acțiune globală din partea statelor în sensul adoptării unor instrumente adecvate.


[1] Disponibil aici, accesată 28 ianuarie 2021.
[2] Disponibil aici, accesată 28 ianuarie 2020.
[3] Disponibil aici , accesată 15 ianuarie 2020.
[4] Disponibil aici, accesată 23 ianuarie 2020.
[5] Disponibil aici, accesată 28 ianuarie 2020.
[6] Convenţia Consiliului Europei privind criminalitatea informatică- Budapesta, 23 noiembrie 2001, ratificată prin Legea nr. 64 din 24/03/2004, ETS 185.
[7] M. McGuire, S. Dowling, Improving the cyber crime evidence base, Octombrie  2013, p. 4; disponibil aici, accesată 20 ianuarie 2020.
[8] 7 Symantec Corporation. “What is Cybercrime?” Disponibil aici, 1.
[9] Disponibil aici, accesată 20 ianuarie 2020.
[10] Duncan B. Hollis, Why States Need an International Law for Information Operations, 11 LEWIS & CLARK L. REV. 1023, 1042 (2007).
[11] Gen. J. E. Cartwright, Memorandum for Chiefs of the Military Servs., Commanders of the Combatant Commands, Dirs. of the Joint Staff Directories on Joint Terminology for Cyberspace Operations 5, Noiembrie 2011.
[12] UNODC, The use of internet for terrorist purposes, 2012, p. 3, disponibil aici, accesată 28 ianuarie 2020.
[13] Disponibil aici, accesată 18 ianuarie 2021.
[14] Cyber Terror — LEB (fbi.gov), Cyber Terror — LEB (fbi.gov), accesată 3 mai 2021.
[15] M.H Maras, Cybersecurity: Key Issues. Burlington, MA: Jones and Bartlett, 2016.
[16] The Tallinn Manual (ccdcoe.org), accesată la 12 aprilie 2021.
[17] Convenţia Consiliului Europei privind criminalitatea informatică- Budapesta, 23 noiembrie 2001, ratificată prin Legea nr. 64 din 24/03/2004, ETS 185.
[18] Full list (coe.int), accesată la 23 iunie 2021.
[19] Disponibil aici, accesată 28 ianuarie 2020.
[20] D. Costescu, Théories sur la juridiction compétente sur Internet”, publicat in AUBD, Anul XVI Serie Noua, 2017, p.83
[21] Consiliul de Securitate ONU (n.d.), ‘Carta Națiunilor Unite, Articolul 51, disponibil aici, accesată 31 ianuarie 2020.
[22] Cazul Dusan Tadič. Tribunalul Penal Internațional pentru Fosta Iugoslavie (Decizia asupra moțiunii apărării pentru un apel interlocutoriu asupra jurisdicției, Camera de Apel, 2 octombrie 1995).
[23] Avizul consultativ privind Legalitatea folosirii armelor nucleare (ICJ Reports, 1996, p. 266).
[24] Consiliul de Securitate ONU (n.d.), ‘Carta Națiunilor Unite, Articolul 2(4), disponibil aici, accesată 28 ianuarie 2020.
[25] B. Aurescu, I. Gâlea, E. Lazăr, I. Oltean, Drept internațional public. Scurtă culegere de jurisprudență pentru seminar, Ed. Universul Juridic, 2019, pp. 37- 39.
[26] M. N. Schmitt, Computer Network Attack and the Use of Force in International Law: Thoughts on a Normative Framework, 37 COLUM. J. TRANSNAT’L L. 885, 909 (1999).
[27] E. Crawford, A. Pert, International humanitarian law, Cambridge Ed., 2015, pp. 43-48.
[28] Convenția ASEAN privind combaterea terorismului (13 Ianuarie 2007) disponibil aici, accesată 28 ianuarie 2020.
[29] Rezoluția CS ONU, 1373 (28 Septembrie 2001) UN Doc S/RES/1373; Rezoluția CS ONU 1540(28 Aprilie 2004) UN Doc S/RES/1540; Rezoluția CS ONU, 2178 (24 Septembrie 2014) UN Doc S/RES/2178.
[30] Tribunalul special pentru Liban, decizia interlocutorie STL-11ss-01/I (16 Februarie 2011).


Av. lect. univ. dr. Elena Lazăr, Facultatea de Drept, Universitatea București

* Opinie susținută în legătură cu dezbaterea Securitatea cibernetică un deziderat între imperativ și facultativ, ediția 438, organizată de Societatea de Științe Juridice (SSJ)

 
Vă invităm să publicaţi şi dvs., chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Totuşi, vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa de e-mail redactie@juridice.ro!

Lex Discipulo Laus
Gratuit pentru studenţi
Securitatea electronică este importantă pentru avocaţi
Mesaj de conştientizare susţinut de FORTINET
JURIDICE utilizează SmartBill
VIDEO
Codul muncii









Subscribe
Notify of

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

0 Comments
Inline Feedbacks
View all comments
Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.