'עוד זה מדבר וזה בא' – המשפט ההומניטרי ולוחמת הסייבר

מאת: רן יוסף*

תאריך פרסום: 15/01/2016

לאחרונה פורסם בכלי תקשורת בארץ ובעולם,¹ שהפסקות החשמל שאירעו באוקראינה בסוף דצמבר 2015, והשאירו כ-700,000 בתים ללא חשמל למשך מספר שעות, נגרמו כתוצאה מהחדרת תוכנות זדוניות לרשתות חשמל אוקראיניות, כחלק מהתקפת סייבר. גורמים רשמיים באוקראינה האשימו את רוסיה בהתקפה, כך דווח. אם הדבר נכון, הרי שזו תהיה הפעם הראשונה בה שימוש בלוחמת סייבר נקשר באופן אמין לפגיעה נרחבת ברשתות חשמל.

מעבר לכך שהתקפת הסייבר מהווה התפתחות שלילית נוספת בעימות הנמשך בין רוסיה ואוקראינה, הרי שמדובר גם בתקדים מבחינת המשפט הבין-לאומי ההומניטרי. מומחים כבר הביעו חשש מכך שמעטה החשאיות שמאפיין את לוחמת הסייבר תביא לפגיעה מכוונת באובייקטים אזרחיים בעלי ערך. על אף שלא דווח על נפגעים רבים כתוצאה ישירה מהפסקות החשמל, אין זה מן הנמנע שבעתיד פגיעה משמעותית בתשתיות חיוניות לאוכלוסייה האזרחית שנגרמות על ידי מתקפת סייבר, תגרום לנזק מוחשי ולנפגעים בנפש.

תחת הרשימה הזאת, אבקש לתת סקירה קצרה אך מקיפה ככל האפשר באשר למסגרת הנורמטיבית ללוחמת סייבר, לבדוק אפשרות שההתקפה, שבוצעה לכאורה על ידי רוסיה, הפרה את המשפט הבין-לאומי ההומניטרי² ולבסוף לזהות את הבעיות שעולות מהניסיון להחיל את הדין ההומניטרי על לוחמת סייבר, כפי שאלה עולות מהאירועים האחרונים באוקראינה.

המסגרת הנורמטיבית ללוחמת סייבר

מנקודת מבט משפטית, חשוב תחילה להבין מהי "לוחמת סייבר". קשה למצוא הגדרה שתהיה מקובלת על כלל החוקרים והמשפטנים בתחום וזאת בשל הקושי להגיע להסכמה על היקף המונח ולקבוע האם הוא כולל גם מתקפות סייבר שלא נגמרו בהרס לאובייקטים או במוות או פציעות לבני אדם. מחלוקת זו רלוונטית גם לאירועים שקרו באוקראינה ולפיכך אתייחס אליה שוב בהמשך. לבינתיים, המונח "לוחמת סייבר" ישמש כאן לתיאור פעולות הסייבר שמתפתחות לכדי עימות מזויין, או שמבוצעות במסגרתו. פעולות אלה, מבוצעות על ידי או כנגד מחשב או מערכת מחשבים, כדי לאסוף, לייצא, להרוס, לשנות או להצפין נתונים, או כדי להפעיל לעוות או לבצע מניפולציה, במערכת שנפרצה.³

כיום יש קונצנזוס רחב בין משפטנים שדיני הלחימה חלים גם על לוחמת סייבר,⁴ ולוחמה זו אינה פועלת בוואקום משפטי. טענה זו נתמכת על ידי סעיף 36 לפרוטוקול הראשון לאמנות ז'נבה,⁵ לפיו בכל אימוץ של נשק, שיטה או אמצעי לחימה חדש (בהנחה שהשימוש בסייבר עונה על אחד מאלה), המדינות מחויבות לוודא ששימוש בו יהיה בהתאם לדין הבין-לאומי. גישה דומה הובעה גם בחוות הדעת המייעצת של ה-ICJ בדבר החוקיות של השימוש בנשקים גרעיניים.⁶ עם זאת, החלת דיני הלחימה על לוחמת הסייבר אינה טבעית ומעוררת קשיים. אם בלחימה מוחשית בעולם הממשי קיים קושי להגדיר באופן מוחלט מושגים משפטיים מהותיים כמו "יעד צבאי", "התקפה" או "השתתפות ישירה בפעולות איבה",⁷ הדבר נכון על אחת כמה וכמה בלוחמת סייבר.

מתוך הניסיון לתווך את המשפט ההומניטרי בצורה שמתאימה יותר לאופי של לוחמת הסייבר, יזם המרכז להגנת סייבר של נאט"ו היושב בבירת אסטוניה, טאלין, מדריך שנוסח על ידי קבוצה של 20 מומחים למשפט בין-לאומי, שמטרתו לזהות את המשפט הבינלאומי הישים ללוחמת סייבר.⁸ חשוב לציין שלמדריך לכשעצמו אין אופי מחייב.

בהקשר של המונח התקפה למשל, סעיף 49 לפרוטוקול הראשון לאמנות ז'נבה, מגדיר התקפה כ"פעולות של אלימות נגד האויב, בין אם בהתקפה או בהגנה". על אף שההגדרה בסעיף היא רחבה, השימוש בביטוי "פעולות של אלימות" לא מכיל, במשמעות הרגילה של הדברים, גלישה באינטרנט או פיצוח קוד קיברנטי, ולכן קשה ליישם אותו כמו שהוא על לוחמת סייבר. כלל 30 במדריך טאלין, מתגבר על הבעייתיות בכך שהוא מגדיר התקפת סייבר כ"מבצע סייבר, בין בהתקפה או בהגנה, שבאופן סביר צפוי לגרום פציעה או מוות לאנשים או נזק או הרס לאובייקטים". בכך, הכלל נותן ביטוי להנחה הרווחת, לפיה השימוש במונח "אלימות" מתייחס לא לאמצעי אלא אם כי לתוצאה. לפיכך, השימוש בסייבר אינו מהווה פעילות אלימה לכשעצמו, אך עשויות להיות לו תוצאות אלימות, ובמצבים מסוימים, אף עלול להוות התקפה על כל המשתמע מכך מבחינת הדין הבין-לאומי.⁹

ניתוח משפטי של האירועים באוקראינה

כעת, ננסה לבחון האם השבתת רשת החשמל באוקראינה, עשויה להוות הפרה של העקרונות המרכזיים של המשפט ההומניטרי. לצורך כך, אניח שרוסיה עומדת מאחורי המתקפה או אחראית עליה בצורה כזאת או אחרת.¹⁰ תהיה זו גם דוגמא טובה לקושי שבהחלת הדין ההומניטרי על לוחמת הסייבר. בדיון שלהלן, אצא מנקודת הנחה שהדין ההומניטרי חל מכיוון שבין רוסיה ואוקראינה מתקיים סכסוך בין-לאומי במסגרתו בוצעו גם התקפות הסייבר, אם כי לא מן הנמנע שהדין ההומניטרי יחול גם רק כתוצאה מתקיפות סייבר הדדיות בין צדדים לסכסוך.¹¹

הבחנה – עקרון זה מחייב את הצדדים לקונפליקט להבחין בכל עת בין האוכלוסייה האזרחית לבין הכוחות הלוחמים, וכן בין אובייקטים אזרחיים ואובייקטים צבאיים ולכוון את התקפותיהם רק נגד מטרות צבאיות.¹² מטרות אלה, יצוין, מוגדרות ככאלה שבטבען, מיקומן, ייעודן ושימושן מהוות תרומה אפקטיבית לפעולה הצבאית.¹³ עם זאת, לא ניתן להתעלם מהעובדה שגם הכוחות הלוחמים נשענים בפעולותיהם על רשת החשמל. האם במצב כזה של יעד כפול-שימוש (Dual use), שמאפיין כנראה מטרות סייבר רבות, התקיפה היא חוקית? תשובה חיובית עשויה לרוקן את עקרון ההבחנה מתוכן, בעוד תשובה שלילית מגבילה באופן ניכר את התוקף באמצעות הסייבר. לחילופין, אם ההתקפה כוונה לרשת חשמל שמשמשת ברובה את הצבא, אך בשל היות התשתיות האזרחיות והצבאיות קשורות זו לזו חדרה התוכנה הזדונית גם לתשתית האזרחית והשביתה גם אותה, האם עדיין ניתן לכנות את ההתקפה חסרת הבחנה? על מצבים כאלה מנסה סעיף 51(4)(b) לפרוטוקול הראשון לענות בקבעו כי התקפות בלתי מובחנות הם אלה שמפעילות שיטה או אמצעי לחימה שלא ניתן לכוונו למטרה צבאית ספציפית. בהקשר זה מעניין לציין את ""stuxnet כדוגמא לאמצעי שתוכנת כך שיבחין בין מטרות כחלק ממתקפת סייבר. המטרה של stuxnet הייתה לפגוע במחשבי תכנית הגרעין של איראן, ובעיקר ביכולתה להעשיר אורניום. עם זאת, כאשר הדביקה מחשבים אחרים באיראן ובעולם, היא לא פגעה בהם.

מידתיות – עקרון זה קובע כי התקפה אסורה אם ניתן לצפות כי תגרום לאובדן נלווה של חיי אזרחים, פציעה נלווית של אזרחים, נזק נלווה לאובייקטים אזרחיים, או שילוב של כל אלה, אשר יהיו מופרזים ביחס ליתרון הצבאי הקונקרטי והישיר הצפוי.¹⁴ כלל 51 במדריך טאלין מוסיף כי גם השפעות לא ישירות של ההתקפה צריכות להילקח בחשבון תחת נוסחת המידתיות. בהקשר של התקיפה באוקראינה, אם ההשבתה שארעה למשך כמה שעות אינה מופרזת ביחס ליתרון שהושג כחלק מהתקיפה, היא עשויה להיחשב מידתית. השאלה המרכזית היא איזה נזק נלווה, ישיר או עקיף, נלקח בחשבון על ידי התוקף לפני שהתקיפה יצאה לפועל. יצוין שאי נוחות, לחץ או פחד שעשויים להיגרם כתוצאה מהפלת רשת החשמל, אינם נחשבים נזק אגבי מכיוון שאלה לא עולים כדי אובדן חיי אדם, פציעה של אזרחים או נזק לאובייקטים אזרחיים.¹⁵ עם זאת, נזק לאובייקטים אזרחיים עשוי להיות גם, במקרים מסוימים, מניעה של תפקודם,¹⁶ וככל שזה המצב (כמו בהשבתה של רשת החשמל), הדבר צריך להילקח בחשבון תחת עקרון המידתיות.

אמצעי זהירות – מספר הוראות במשפט ההומניטרי מחייבות את הצדדים לעימות לנקוט באמצעי זהירות בזמן התקפה ועל מנת להגן על האוכלוסייה האזרחית ועל יעדים אזרחיים¹⁷ כמו גם להשתמש באמצעים ושיטות שימנעו ובכל מקרה ימזערו נזק אגבי לאזרחים.¹⁸ בשל פערי המידע קשה לדעת אם התוקף אכן נקט באמצעי זהירות ומה אלה בדיוק היו. בינתיים, נזכיר שבהנתן העובדה שרשת החשמל היא תשתית קריטית עבור האזרחים, תקיפתה לאחר נקיטת כלל אמצעי הזהירות הקבועים בדין ההומניטרי יכולה להיות מוצדקת רק עבור יתרון משמעותי מאוד. אם כי לא מן הנמנע, שזמן ההתאוששות שארך כאמור מספר שעות ולא גרם לנזק בלתי הפיך, נלקח בחשבון.

מסקנות ונקודות נוספות למחשבה

אין ספק שהבעיה המרכזית שעומדת בפני המשפט ההומניטרי בכל הקשור ללוחמת סייבר היא בעיית האחריותיות. מטבע הדברים, השימוש בלוחמת סייבר נעשה בשל היכולת לגרום נזק כבד מבלי לשאת באחריות להפרה של הדין ההומניטרי. מעטה החשאיות המאפיין את סוג לוחמה זו, הביא את המומחים בטאלין להוסיף סעיפים בדבר אחריות מדינה.¹⁹ כך לדוגמא, העובדה שמקור ההתקפה בתשתית סייבר ממשלתית אינו מספיק כדי לייחס את הפעולה למדינה, אך עשוי להוות אינדיקציה לכך שהמדינה קשורה בה.²⁰

בעיה נוספת שקיימת בלוחמת הסייבר, ומקבלת משנה תוקף לאחר האירועים באוקראינה, היא היעדר יכולת לזהות נורמות מנהגיות. המשפט המנהגי כידוע, מורכב מפרקטיקה מדינתית ומהתפיסה המשפטית של המדינות שנוהגות לפי פרקטיקות אלה ²¹(opinio juris). בענייננו, השאלות האם תקיפת רשת החשמל והשבתתה למשך כמה שעות נחשבת להתקפה כנגד יעד לגיטימי ואו כמתקפה מידתית היו מתקיימות גם אם היה מדובר בתקיפה באמצעות כוח קינטי. אך נורמה מנהגית בעניין, הייתה עוזרת לדעת האם המשפט ההומניטרי חל כאשר מדובר בהתקפת סייבר שלא גרמה הרס פיזי.

בעיה נוספת, היא בעיה שאני מבקש לכנותה בשם "הבעיה האזרחית הכפולה". לוחמת סייבר מאופיינת בפוטנציאל רב של נזק שעשוי להיגרם לתשתיות אזרחיות חיוניות, בשל הקישוריות הרבה של מרחב הסייבר. הפרדה בין תשתיות הסייבר הצבאיות לאלו האזרחיות, לפיכך, קשה מאוד. הצד השני של הבעיה, בה לא נגעתי בהרחבה ברשימה זאת, הוא הנגישות של לוחמת הסייבר, שהופכת כל אזרח עם מחשב וחיבור לאינטרנט למפגע פוטנציאלי. ככל שהכניסה למעגל הלחימה הופך פשוט ומהיר יותר, כך גוברת הסכנה לנזק הדדי גדול יותר. מה גם, שאותם האקרים, אם מעשיהם עולים כדי לקיחת חלק ישיר במעשי האיבה, הופכים גם מטרה חוקית.

סיכום

כפי שראינו, הדיון על החלת הדין ההומניטרי על לוחמת הסייבר טרם מיצה את עצמו ונראה שהאתגרים עוד עומדים לפתחם של המשפטנים הצבאיים והאזרחיים שעוד יעסקו במלאכה. ניתן לסכם בכך שהתיווך בין הדין ההומניטרי ללוחמת הסייבר, דורש כללים קוהרנטיים יותר, שמדריך טאלין בהקשר זה היה צעד בכיוון הנכון,²² אך אף יותר מזה, דרוש שיתוף פעולה הדוק יותר של מדינות, שהן היוצרות של הדין הבין-לאומי. אמנות ז'נבה נחתמו כארבע שנים לאחר המלחמה המזוויעה ביותר שעברה על המין האנושי. נקווה רק, שהמדינות יבינו את פוטנציאל ההרס הטמון בשימוש בלוחמת הסייבר ויפעלו למניעתו ולצמצומו, טרם פוטנציאל זה אכן יתממש ולא בדיעבד.

* רן יוסף הוא סטודנט למשפטים במרכז הבינתחומי הרצליה. הכותב מבקש להודות לעדו רוזנצוייג ועידו קילובטי על הערותיהם.

תגובות: info@alma-ihl.org

הערות

1. ראו באתר "הארץ" ובאתר של סוכנות הידיעות רויטרס.

2. ברשימה, אני משתמש לסירוגין במונחים משפט הומניטרי ודיני לחימה. נהוג להתייחס לאלו כמונחים חופפים. לדיון ביחס בין השניים ראו:

ELIAV LIEBLICH AND OWEN ALTERMAN, TRANSNATIONAL ASYMMETRIC ARMED CONFLICT UNDER INTERNATIONAL HUMANITARIAN LAW: KEY CONTEMPORARY CHALLENGES (The Institute for National Security Studies 2015) p. 32-33.

3.

Cordula Droege, get off my Cloud: Cyber Warfare, International Humanitarian Law and The Protection of Civilians, 94(886) INTERNATIONAL REVIEW RED CROSS 533, 538 (2012).

4.

Harold Koh, Legal Adviser, Department of State, International Law in Cyberspace: Remarks. 54 HARVARD INTERNATIONAL LAW JOURNAL, 3 (2012);

Michael N. Schmitt, Classification of Cyber Conflict, 17(2) JOURNAL OF CONFLICT AND SECURITY LAW 251 (2012);

Knut Dörmann, Applicability of the Additional Protocols to Computer Network Attacks, INTERNATIONAL COMMITTEE OF THE RED CROSS 3 (2004).

5. סעיף 36 לפרוטוקול הנוסף לאמנות ז'נבה בנוגע לסכסוכים מזויינים בינלאומיים משנת 1977.

6.

International Court of Justice, Legality of the Threat or Use of Nuclear Weapons, Advisory Opinion, ICJ Reports 1996, para. 72-87.

7. איתן דיאמונד "החלת המשפט הבין-לאומי ההומניטרי על לוחמת הסייבר" משפט וביטחון לאומי: סוגיות נבחרות מזכר 133 (פנינה שרביט ברוך וענת קורץ עורכות, 2014) 57, 60.

8.

TALLINN MANUAL ON THE INTERNATIONAL LAW APPLICABLE TO CYBER WARFARE (Michael N. Schmitt, gen. ed., 2013).

9. לדוגמא, התקפת סייבר, עשויה להיות מקבילה ל"התקפה חמושה" כפי שזו מנוסחת בסעיף 51 למגילת האו"ם ולהקים למדינה המותקפת, זכות להגנה עצמית. ראו גם כלל 13 למדריך טאלין.

10. מומחים לאבטחת מידע מעריכים שמאחורי ההתקפה עומדת קבוצת האקרים רוסית בשם Sandwarm"". ייתכן והם עבדו עבור הממשל הרוסי וייתכן שהם עשו זאת על דעת עצמם. בכל מקרה, שאלת ייחוס האחריות למדינה, כאשר המבצע הוא ארגון לא-מדינתי, היא שאלה מרכזית במשפט הבינלאומי ההומניטרי בכלל ובלוחמת סייבר בפרט. לדיון מורחב יותר בנושא ראו: Schmitt, ה"ש 5 לעיל, עמ' 252-254.

11. כללים 22-23 למדריך טאלין.

12. סעיף 48 לפרוטוקול הראשון.

13. סעיף 52(2) לפרוטוקול הראשון.

14. סעיף 51(5)(b) לפרוטוקול הראשון.

15. עם זאת, גרימה מכוונת של אלה אסורה לפי עקרון ההבחנה. ראו סעיף 52(2) לפרוטוקול הראשון.

16. .TALLINN MANUAL, Commentary on Rule 51, para. 5

17. סעיף 57(1) לפרוטוקול הראשון.

18. סעיף 57(2)(ii)(a) לפרוטוקול הראשון.

19. כללים 6-9 למדריך טאלין.

20. כלל 7 למדריך טאלין.

21.

International Court of Justice, North Sea Continental Shelf cases, Judgment of 20 February 1969, ICJ Reports, 1969, p. 44, para. 77.

22. בימים אלה עובד המרכז להגנת סייבר של נאט"ו על מדריך טאלין 2.0 שמטרתו להרחיב את אופן התחולה של המדריך גם למקרים שאינם עולים כדי התקפה חמושה, כמו פגיעה בריבונות והפרה של זכויות אדם, ושמהווים אתגר עכשווי יותר לשימוש שנעשה במרחב הסייבר.