Maandag 15 juni 2015

NAVO: terugslaan met een digitale aanval?

“In een reactie op de aanval van de Russische luchtmacht heeft de cyberdivisie van de NAVO Taskforce met een gerichte virusinjectie een deel van het Russische elektriciteitsnetwerk platgelegd.” Dit zou zo maar een headline op NOS.nl kunnen zijn. Mocht een vijand van de NAVO besluiten om een van de lidstaten aan te vallen, dan heeft de NAVO sinds enige tijd de mogelijkheid om digitaal terug te slaan. Secretaris Generaal van de NAVO Rasmussen zei in september 2014 tijdens een toespraak dat de NAVO heeft erkend dat een digitale aanval op een van de lidstaten een reden kan zijn om terug te slaan.¹Wales Summit Declaration 2014, onder 72 www.nato.int/cps/en/natohq/official_texts_112964.htm.
Het standpunt van de NAVO volgt logischerwijs uit de ICT-ontwikkelingen van de afgelopen decennia. Niet alleen zijn de mogelijkheden voor het gebruik van technologie enorm gegroeid, maar daarnaast is ICT een steunpilaar van de westerse economieën geworden. Nu ‘cyber warfare’ een reële mogelijkheid is, komt de vraag naar voren hoe het internationale recht naar deze ontwikkeling dient te kijken. Deze bijdrage gaat beknopt in op de vraag wanneer een staat zichzelf mag verdedigen tegen een digitale aanval.

Digitale oorlogsvoering?

Een groep experts van de NAVO heeft een ‘handleiding’ geschreven waarin zij hun visie uiteenzetten over de regulering van digitale oorlogsvoering. Hun definitie van een digitale aanval: “A cyber operation, whether offensive or defensive, that is reasonably expected to cause injury or death to persons or damage or destruction to objects.”²Schmitt e.a., ‘Tallinn Manual on The International Law applicable to Cyber Warfare’ 2014. Deze definitie is heel breed. Om te beginnen moet onderscheid worden gemaakt tussen digitale aanvallen en digitale spionage. Hoewel beide doelen met dezelfde middelen bereikt kunnen worden is het verschil dat digitale spionage geen schade hoeft te veroorzaken. Is er geen schade, dan is ook geen sprake van een digitale aanval waartegen verdedigd mag worden.³H.S. Lin, ‘Offensive Cyber Operations and the Use of Force’ 2010, p. 63. Voorts kunnen in grote lijnen drie soorten ‘cyber attacks’ worden onderscheiden: kwaadaardige software, ongewenst binnendringen in systemen en (Distributed) Denial of Service-aanvallen (DDOS).⁴M.J. Sklerov, ‘Solving the dilemma of state responses to cyberattacks: a justification for the use of active defenses against states who neglect their duty to prevent’ 2009, p. 15 e.v.

Verschillende ‘cyber attacks’

De eerste categorie aanvallen is kwaadaardige software. Onder kwaadaardige software valt alle programmatuur die doelbewust schade veroorzaakt op een geïnfecteerde computer. Infectie vindt plaats door besmetting via gegevensdragers (zoals USB-sticks), door het bezoeken van een besmette website of door het gebruiken van een zwakke plek in de software door middel van een exploit.⁵Een exploit is software die specifiek geschreven is om een bestaande bug in de software te misbruiken.⁶Sklerov 2009, p. 16. Daarbij valt te denken aan virussen, wormen, trojaanse paarden, rootkits, etc.⁷Het strekt te ver om in deze bijdrage in te gaan op de functies van en de verschillen tussen deze verschillende soorten kwaadaardige software. Een uitgebreide uitleg kan gevonden worden op de volgende website http://usa.kaspersky.com/internet-security-center/internet-safety/faq.
De tweede categorie bevat alle hackpogingen. Hier gaat het om hackers die in dienst van een staat inbreken op systemen van een andere staat. Hackers breken in op belangrijke of minder belangrijke systemen om de infrastructuur van de andere staat te ontregelen. Bij hacken gaat het om het op afstand inbreken in de systemen van een andere staat. Hierbij richt men zich voornamelijk op belangrijke infrastructurele systemen en systemen die van strategisch belang zijn. Hackers kunnen gebruik maken van gestolen of gekraakte wachtwoorden of bestaande fouten in de software van de andere staat misbruiken (de zogenaamde exploits).
De derde categorie is het met bruut digitaal geweld proberen om de infrastructuur van de andere staat te overbelasten. Een dergelijke aanval heet een (Distributed) Denial of Service-attack. Hackers maken gebruik van bepaalde inherente functies van het internet om de servers van de andere staat dicht te laten slibben.

Juridisch kader

Art. 2 lid 4 van het VN-Handvest stelt dat geen enkele lidstaat (de facto alle staten) geweld mag gebruiken tegen de territoriale integriteit of de politieke onafhankelijkheid van een andere staat. Algemeen geaccepteerd wordt dat een militaire operatie inbreuk maakt op dat beginsel.⁸IGH 27 juni 1986, Military and paramilitary activities in and against Nicaragua (Nicaragua vs. United States of America). Er zijn slechts twee uitzonderingen op deze regel. Ten eerste kan de VN-Veiligheidsraad militair ingrijpen door VN-leden legitimeren (art. 42 VN-Handvest). Daarnaast laat het verdrag het zelfverdedigingsrecht onverlet (art. 51 VN-Handvest). Dat houdt in dat een staat zich altijd mag verdedigen tegen een ‘armed attack’ van een andere staat.
Het eerste probleem is de vraag waar een aanval eigenlijk vandaan komt. De oorsprong van een digitale aanval zal vaak onduidelijk zijn en soms zelfs onmogelijk om vast te stellen. Er zullen wel vermoedens zijn, maar zijn die vermoedens voldoende om de aanval aan een andere staat toe te schrijven? De zeer complexe, maar tegelijkertijd relatief goedkope aard van dit soort aanvallen zal ertoe kunnen leiden dat zij door private partijen uitgevoerd worden. Een aanval door een private partij (ook wel none state actor genoemd) kan onder normale omstandigheden geen reden zijn om jegens een andere staat militair in te grijpen. Dat zou anders kunnen zijn wanneer de private partij door de staat werd geïnstrueerd of gesteund. In de jurisprudentie zijn twee toetsen ontwikkeld aan de hand waarvan kan worden bepaald of een private partij in opdracht van of onder instructie van een staat heeft gehandeld. Dit zijn de ‘effective control’- en de ‘overall control’ toetsen.
In de Nicaragua-zaak van het Internationaal Gerechtshof (IGH) ging het onder andere over de vermeende steun die de VS aan paramilitaire groeperingen in Nicaragua hadden gegeven.⁹IGH 27 juni 1986, Military and paramilitary activities in and against Nicaragua (Nicaragua vs. United States of America). Was onder internationaal recht het handelen van deze beweging gelijk te stellen aan het handelen van een orgaan van de VS? Het Internationaal Gerechtshof geeft als toets daarvoor de ‘effective-control’-test. Deze houdt in dat het handelen van de non state actor aan de staat kan worden toegeschreven, wanneer de private partij op instructie of onder controle van de staat handelde.
In Tadić heeft het Hof een andere toets gebruikt om de attributie vast te stellen, namelijk de ‘overall control’-theorie.¹⁰ICTY 15 juli 1999, Appeal in the case of Prosecutor vs. Tadić, IT-94-1. Hoewel voor het Hof de attributievraag niet direct aan de orde kwam, wordt in de literatuur betoogd dat in de uitspraak toch een algemene attributietest kan worden gezien.¹¹A. Cassese, ‘The Nicaragua and Tadić Tests Revisited in Light of the ICJ Judgment on Genocide in Bosnia’, EJIL 2007, vol. 18 nr. 4. In de kern komt de toets erop neer dat de aanval aan een staat kan worden toegeschreven, indien de feitelijke daders (non state actors) door een andere staat zijn geholpen in hun handelen. De ‘overall control’-toets is ruimer dan de ‘effective control’-toets en een aanval zal dan ook sneller aan de andere staat kunnen worden toegerekend. Ook als de ‘overall control’ theorie wordt gevolgd moet de staat een zekere vinger in de pap hebben gehad. Het is dus niet zo dat het enkel uitspreken van steun voldoende is.
In de Tallinn Handleiding wordt het bovenstaande probleem ook geadresseerd. De auteurs stellen dat de toetsen uit Nicaragua en Tadić van belang zijn in het kader van digitale oorlogsvoering. Volgens hen kan een aanval uitgevoerd door een private partij aan een staat worden toegerekend, indien deze onder een zekere mate van instructie van die staat heeft gehandeld.¹²Tallinn Manual 2014, p. 37 onder 9 en 10. Volgens de auteurs dient bovendien te worden opgemerkt dat handelingen van individuen of groeperingen die niet onder instructie staan van de staat (bijv. zogenaamde ‘hacktivists’), in beginsel niet aan de staat toegeschreven kunnen worden.¹³Dat kan onder omstandigheden veranderen op het moment dat de staat weigert om actie te ondernemen tegen deze individuen.

Slechts verdedigen tegen een ‘armed attack’

Als een digitale ‘aanval’ kan worden toegeschreven aan een andere staat, dan moet vervolgens bekeken worden of die aanval wel als een ‘armed attack’ kwalificeert. Art. 51 VN-Handvest stelt dat slechts verdedigd mag worden tegen een ‘armed attack’. Uit het Nicaragua-arrest blijkt dat niet elke ‘use of force’ ook een ‘armed attack’ is. Of de ‘use of force’ ook een ‘armed attack’ is, moet worden beoordeeld aan de hand van de ‘scale and effects’ van de aanval.¹⁴IGH 27 juni 1986, Military and paramilitary activities in and against Nicaragua (Nicaragua vs. United States of America), par. 195. Volgens de auteurs van de Tallinn Handleiding zal normaliter van een ‘armed attack’ sprake zijn wanneer de aanval direct tot menselijke slachtoffers leidt.¹⁵Tallinn Manual 2014, p. 55 onder 6. Zo zal het op afstand ontregelen van een waterkeringssysteem waardoor een stad onder water loopt als een ‘armed attack’ gelden. Onduidelijkheid bestaat vooral op het moment dat een digitale aanval geen doden of fysieke schade tot gevolg heeft, maar bijvoorbeeld wel de economie ernstig benadeelt. Denk aan het laten crashen van de beurs of het ontregelen van internet- en telefoonverkeer. Binnen de literatuur bestaat dan ook discussie over de vraag of de ‘scale and effects’-leer wel de juiste gevallen dekt. Een (op kleine schaal uitgevoerde) cyberaanval kan zonder directe fysieke schade of dodelijke slachtoffers toch zeer grote gevolgschade opleveren. Schmitt pleit ervoor om in plaats van de kwantitatieve benadering van het IGH (‘scale and effects’) een kwalitatieve benadering te kiezen.¹⁶M.N. Schmitt, ‘”Attack” as a Term of Art in International Law: The Cyber Operations Context’, Cyber Conflict (CYCON) 2012, p. 6.
Als een staat reageert op een aanval dan moet hij rekening houden met de noodzakelijkheid en de proportionaliteit van de tegenaanval.¹⁷De ‘necessity and proportionality’ zijn door het IGH bevestigd in de Nicaragua- en Oil Platforms-zaken. ‘Noodzakelijkheid’ houdt in dat de aangevallen staat redelijkerwijs geen mogelijkheid heeft, om de aanval van de andere staat te doen stoppen. Bijvoorbeeld via de diplomatiek of economische sancties.¹⁸Sklerov 2009, p. 38-39. Noodzakelijkheid houdt uiteraard ook in dat een staat geboden is om snel onderzoek te doen naar de aard en gevolgen van de aanval. Immers, na het verstrijken van een bepaalde tijd zal de noodzakelijkheid van een tegenaanval afnemen. Als de verdediging noodzakelijk is, dan mag deze vervolgens niet groter zijn dan nodig is om de aanval te doen stoppen. Dat is de zogenaamde proportionaliteit. Dit betekent niet dat de schaal van de tegenaanval niet groter mag zijn dan die van de oorspronkelijke aanval.¹⁹M.N. Schmitt, ‘Preemptive strategies in International Law’ 2003, p. 532. Een grootschalige verdediging kan nodig zijn om de aanval te doen stoppen.²⁰N.B. Er bestaat discussie over de vraag of in de verdediging een doelwit geraakt mag worden dat enerzijds privaat eigendom is, bijv. het netwerk van een internetprovider, maar tegelijkertijd wordt gebruikt om een andere staat aan te vallen.

De tussenstand?

Digitale oorlogsvoering is een reële mogelijkheid en kan veel indirecte, maar ook directe schade veroorzaken. De NAVO neemt de mogelijkheid om al dan niet digitaal te reageren op een digitale aanval van een vijandige staat serieus. In het internationaal recht is er nog veel discussie over de vraag hoe staten met deze nieuwe dimensie van oorlogsvoering om moeten gaan. Het is in ieder geval duidelijk dat een ‘cyber attack’ grond kan opleveren om een tegenreactie te legitimeren. De Tallinn Manual is een handreiking om na te denken over het oorlogsrecht in een tijdperk waar de eerste aanval misschien niet bestaat uit het overvliegen van gevechtsvliegtuigen, maar uit het hacken van een energiecentrale.