'עוד זה מדבר וזה בא' – המשפט ההומניטרי ולוחמת הסייבר

מאת: רן יוסף*
תאריך פרסום: 15/01/2016
לאחרונה פורסם בכלי תקשורת בארץ ובעולם,1 שהפסקות החשמל שאירעו באוקראינה בסוף דצמבר 2015, והשאירו כ-700,000 בתים ללא חשמל למשך מספר שעות, נגרמו כתוצאה מהחדרת תוכנות זדוניות לרשתות חשמל אוקראיניות, כחלק מהתקפת סייבר. גורמים רשמיים באוקראינה האשימו את רוסיה בהתקפה, כך דווח. אם הדבר נכון, הרי שזו תהיה הפעם הראשונה בה שימוש בלוחמת סייבר נקשר באופן אמין  לפגיעה נרחבת ברשתות חשמל.

מעבר לכך שהתקפת הסייבר מהווה התפתחות שלילית נוספת בעימות הנמשך בין רוסיה ואוקראינה, הרי שמדובר גם בתקדים מבחינת המשפט הבין-לאומי ההומניטרי. מומחים כבר הביעו חשש מכך שמעטה החשאיות שמאפיין את לוחמת הסייבר תביא לפגיעה מכוונת באובייקטים אזרחיים בעלי ערך. על אף שלא דווח על נפגעים רבים כתוצאה ישירה מהפסקות החשמל, אין זה מן הנמנע שבעתיד פגיעה משמעותית בתשתיות חיוניות לאוכלוסייה האזרחית שנגרמות על ידי מתקפת סייבר, תגרום לנזק מוחשי ולנפגעים בנפש. 

תחת הרשימה הזאת, אבקש לתת סקירה קצרה אך מקיפה ככל האפשר באשר למסגרת הנורמטיבית ללוחמת סייבר, לבדוק אפשרות שההתקפה, שבוצעה לכאורה על ידי רוסיה, הפרה את המשפט הבין-לאומי ההומניטרי2 ולבסוף לזהות את הבעיות שעולות מהניסיון להחיל את הדין ההומניטרי על לוחמת סייבר, כפי שאלה עולות מהאירועים האחרונים באוקראינה. 

המסגרת הנורמטיבית ללוחמת סייבר

מנקודת מבט משפטית, חשוב תחילה להבין מהי "לוחמת סייבר". קשה למצוא הגדרה שתהיה מקובלת  על כלל החוקרים והמשפטנים בתחום וזאת בשל הקושי להגיע להסכמה על היקף המונח ולקבוע האם הוא כולל גם מתקפות סייבר שלא נגמרו בהרס לאובייקטים או במוות או פציעות לבני אדם. מחלוקת זו רלוונטית גם לאירועים שקרו באוקראינה ולפיכך אתייחס אליה שוב בהמשך. לבינתיים, המונח "לוחמת סייבר" ישמש כאן לתיאור פעולות הסייבר שמתפתחות לכדי עימות מזויין, או שמבוצעות במסגרתו. פעולות אלה, מבוצעות על ידי או כנגד מחשב או מערכת מחשבים, כדי לאסוף, לייצא, להרוס, לשנות או להצפין נתונים, או כדי להפעיל לעוות או לבצע מניפולציה, במערכת שנפרצה.3 

כיום יש קונצנזוס רחב בין משפטנים שדיני הלחימה חלים גם על לוחמת סייבר,4 ולוחמה זו אינה פועלת בוואקום משפטי. טענה זו נתמכת על ידי סעיף 36 לפרוטוקול הראשון לאמנות ז'נבה,5 לפיו בכל אימוץ של נשק, שיטה או אמצעי לחימה חדש (בהנחה שהשימוש בסייבר עונה על אחד מאלה), המדינות מחויבות לוודא ששימוש בו יהיה בהתאם לדין הבין-לאומי. גישה דומה הובעה גם בחוות הדעת המייעצת של ה-ICJ בדבר החוקיות של השימוש בנשקים גרעיניים.6 עם זאת, החלת דיני הלחימה על לוחמת הסייבר אינה טבעית ומעוררת קשיים. אם בלחימה מוחשית בעולם הממשי קיים קושי להגדיר באופן מוחלט מושגים משפטיים מהותיים כמו "יעד צבאי", "התקפה" או "השתתפות ישירה בפעולות איבה",7 הדבר נכון על אחת כמה וכמה בלוחמת סייבר.

מתוך הניסיון לתווך את המשפט ההומניטרי בצורה שמתאימה יותר לאופי של לוחמת הסייבר, יזם המרכז להגנת סייבר של נאט"ו היושב בבירת אסטוניה, טאלין, מדריך שנוסח על ידי קבוצה של 20 מומחים למשפט בין-לאומי, שמטרתו לזהות את המשפט הבינלאומי הישים ללוחמת סייבר.8 חשוב לציין שלמדריך לכשעצמו אין אופי מחייב.

בהקשר של המונח התקפה למשל, סעיף 49 לפרוטוקול הראשון לאמנות ז'נבה, מגדיר התקפה כ"פעולות של אלימות נגד האויב, בין אם בהתקפה או בהגנה". על אף שההגדרה בסעיף היא רחבה, השימוש בביטוי "פעולות של אלימות" לא מכיל, במשמעות הרגילה של הדברים, גלישה באינטרנט או פיצוח קוד קיברנטי, ולכן קשה ליישם אותו כמו שהוא על לוחמת סייבר. כלל 30 במדריך טאלין, מתגבר על הבעייתיות בכך שהוא מגדיר התקפת סייבר כ"מבצע סייבר, בין בהתקפה או בהגנה, שבאופן סביר צפוי לגרום פציעה או מוות לאנשים או נזק או הרס לאובייקטים". בכך, הכלל נותן ביטוי להנחה הרווחת, לפיה השימוש במונח "אלימות" מתייחס לא לאמצעי אלא אם כי לתוצאה. לפיכך, השימוש בסייבר אינו מהווה פעילות אלימה לכשעצמו, אך עשויות להיות לו תוצאות אלימות, ובמצבים מסוימים, אף עלול להוות התקפה על כל המשתמע מכך מבחינת הדין הבין-לאומי.9 

ניתוח משפטי של האירועים באוקראינה

כעת, ננסה לבחון האם השבתת רשת החשמל באוקראינה, עשויה להוות הפרה של העקרונות המרכזיים של המשפט ההומניטרי. לצורך כך, אניח שרוסיה עומדת מאחורי המתקפה או אחראית עליה בצורה כזאת או אחרת.10 תהיה זו גם דוגמא טובה לקושי שבהחלת הדין ההומניטרי על לוחמת הסייבר. בדיון שלהלן, אצא מנקודת הנחה שהדין ההומניטרי חל מכיוון שבין רוסיה ואוקראינה מתקיים סכסוך בין-לאומי במסגרתו בוצעו גם התקפות הסייבר, אם כי לא מן הנמנע שהדין ההומניטרי יחול גם רק כתוצאה מתקיפות סייבר הדדיות בין צדדים לסכסוך.11

הבחנה – עקרון זה מחייב את הצדדים לקונפליקט להבחין בכל עת בין האוכלוסייה האזרחית לבין הכוחות הלוחמים, וכן בין אובייקטים אזרחיים ואובייקטים צבאיים ולכוון את התקפותיהם רק נגד מטרות צבאיות.12  מטרות אלה, יצוין, מוגדרות ככאלה שבטבען, מיקומן, ייעודן ושימושן מהוות תרומה אפקטיבית לפעולה הצבאית.13 עם זאת, לא ניתן להתעלם מהעובדה שגם הכוחות הלוחמים נשענים בפעולותיהם על רשת החשמל. האם במצב כזה של יעד כפול-שימוש (Dual use), שמאפיין כנראה מטרות סייבר רבות, התקיפה היא חוקית? תשובה חיובית עשויה לרוקן את עקרון ההבחנה מתוכן, בעוד תשובה שלילית מגבילה באופן ניכר את התוקף באמצעות הסייבר. לחילופין, אם ההתקפה כוונה לרשת חשמל שמשמשת ברובה את הצבא, אך בשל היות התשתיות האזרחיות והצבאיות קשורות זו לזו חדרה התוכנה הזדונית גם לתשתית האזרחית והשביתה גם אותה, האם עדיין ניתן לכנות את ההתקפה חסרת הבחנה? על מצבים כאלה מנסה סעיף 51(4)(b) לפרוטוקול הראשון לענות בקבעו כי התקפות בלתי מובחנות הם אלה  שמפעילות שיטה או אמצעי לחימה שלא ניתן לכוונו למטרה צבאית ספציפית. בהקשר זה מעניין לציין את ""stuxnet כדוגמא לאמצעי שתוכנת כך שיבחין בין מטרות כחלק ממתקפת סייבר. המטרה של stuxnet הייתה לפגוע במחשבי תכנית הגרעין של איראן, ובעיקר ביכולתה להעשיר אורניום. עם זאת, כאשר הדביקה מחשבים אחרים באיראן ובעולם, היא לא פגעה בהם. 

מידתיות – עקרון זה קובע כי התקפה אסורה אם ניתן לצפות כי תגרום לאובדן נלווה של חיי אזרחים, פציעה נלווית של אזרחים, נזק נלווה לאובייקטים אזרחיים, או שילוב של כל אלה, אשר יהיו מופרזים ביחס ליתרון הצבאי הקונקרטי והישיר הצפוי.14 כלל 51 במדריך טאלין מוסיף כי גם השפעות לא ישירות של ההתקפה צריכות להילקח בחשבון תחת נוסחת המידתיות. בהקשר של התקיפה באוקראינה, אם ההשבתה שארעה למשך כמה שעות אינה מופרזת ביחס ליתרון שהושג כחלק מהתקיפה, היא עשויה להיחשב מידתית. השאלה המרכזית היא איזה נזק נלווה, ישיר או עקיף, נלקח בחשבון על ידי התוקף לפני שהתקיפה יצאה לפועל. יצוין שאי נוחות, לחץ או פחד שעשויים להיגרם כתוצאה מהפלת רשת החשמל, אינם נחשבים נזק אגבי מכיוון שאלה לא עולים כדי אובדן חיי אדם, פציעה של אזרחים או נזק לאובייקטים אזרחיים.15  עם זאת, נזק לאובייקטים אזרחיים עשוי להיות גם, במקרים מסוימים, מניעה של תפקודם,16  וככל שזה המצב (כמו בהשבתה של רשת החשמל), הדבר צריך להילקח בחשבון תחת עקרון המידתיות. 

אמצעי זהירות – מספר הוראות במשפט ההומניטרי מחייבות את הצדדים לעימות לנקוט באמצעי זהירות בזמן התקפה ועל מנת להגן על האוכלוסייה האזרחית ועל יעדים אזרחיים17  כמו גם להשתמש באמצעים ושיטות שימנעו ובכל מקרה ימזערו נזק אגבי לאזרחים.18 בשל פערי המידע קשה לדעת אם התוקף אכן נקט באמצעי זהירות ומה אלה בדיוק היו. בינתיים, נזכיר שבהנתן העובדה שרשת החשמל היא תשתית קריטית עבור האזרחים, תקיפתה לאחר נקיטת כלל אמצעי הזהירות הקבועים בדין ההומניטרי יכולה להיות מוצדקת רק עבור יתרון משמעותי מאוד. אם כי לא מן הנמנע, שזמן ההתאוששות שארך כאמור מספר שעות ולא גרם לנזק בלתי הפיך, נלקח בחשבון.

מסקנות ונקודות נוספות למחשבה

אין ספק שהבעיה המרכזית שעומדת בפני המשפט ההומניטרי בכל הקשור ללוחמת סייבר היא בעיית האחריותיות. מטבע הדברים, השימוש בלוחמת סייבר נעשה בשל היכולת לגרום נזק כבד מבלי לשאת באחריות להפרה של הדין ההומניטרי. מעטה החשאיות המאפיין את סוג לוחמה זו, הביא את המומחים בטאלין להוסיף סעיפים בדבר אחריות מדינה.19 כך לדוגמא, העובדה שמקור ההתקפה בתשתית סייבר ממשלתית אינו מספיק כדי לייחס את הפעולה למדינה, אך עשוי להוות אינדיקציה לכך שהמדינה קשורה בה.20

בעיה נוספת שקיימת בלוחמת הסייבר, ומקבלת משנה תוקף לאחר האירועים באוקראינה, היא היעדר יכולת לזהות נורמות מנהגיות. המשפט המנהגי כידוע, מורכב מפרקטיקה מדינתית ומהתפיסה המשפטית של המדינות שנוהגות לפי פרקטיקות אלה 21(opinio juris). בענייננו, השאלות האם תקיפת רשת החשמל והשבתתה למשך כמה שעות נחשבת להתקפה כנגד יעד לגיטימי ואו כמתקפה מידתית היו מתקיימות גם אם היה מדובר בתקיפה באמצעות כוח קינטי. אך נורמה מנהגית בעניין, הייתה עוזרת לדעת האם המשפט ההומניטרי חל כאשר מדובר בהתקפת סייבר שלא גרמה הרס פיזי. 

בעיה נוספת, היא בעיה שאני מבקש לכנותה בשם "הבעיה האזרחית הכפולה". לוחמת סייבר מאופיינת בפוטנציאל רב של נזק שעשוי להיגרם לתשתיות אזרחיות חיוניות, בשל הקישוריות הרבה של מרחב הסייבר. הפרדה בין תשתיות הסייבר הצבאיות לאלו האזרחיות, לפיכך, קשה מאוד. הצד השני של הבעיה, בה לא נגעתי בהרחבה ברשימה זאת, הוא הנגישות של לוחמת הסייבר, שהופכת כל אזרח עם מחשב וחיבור לאינטרנט למפגע פוטנציאלי. ככל שהכניסה למעגל הלחימה הופך פשוט ומהיר יותר, כך גוברת הסכנה לנזק הדדי גדול יותר. מה גם, שאותם האקרים, אם מעשיהם עולים כדי לקיחת חלק ישיר במעשי האיבה, הופכים גם מטרה חוקית.

סיכום

כפי שראינו, הדיון על החלת הדין ההומניטרי על לוחמת הסייבר טרם מיצה את עצמו ונראה שהאתגרים עוד עומדים לפתחם של המשפטנים הצבאיים והאזרחיים שעוד יעסקו במלאכה. ניתן לסכם בכך שהתיווך בין הדין ההומניטרי ללוחמת הסייבר, דורש כללים קוהרנטיים יותר, שמדריך טאלין בהקשר זה היה צעד בכיוון הנכון,22 אך אף יותר מזה, דרוש שיתוף פעולה הדוק יותר של מדינות, שהן היוצרות של הדין הבין-לאומי. אמנות ז'נבה נחתמו כארבע שנים לאחר המלחמה המזוויעה ביותר שעברה על המין האנושי. נקווה רק, שהמדינות יבינו את פוטנציאל ההרס הטמון בשימוש בלוחמת הסייבר ויפעלו למניעתו ולצמצומו, טרם פוטנציאל זה אכן יתממש ולא בדיעבד.

* רן יוסף הוא סטודנט למשפטים במרכז הבינתחומי הרצליה. הכותב מבקש להודות לעדו רוזנצוייג ועידו קילובטי על הערותיהם.
תגובות: info@alma-ihl.org