Cyberwojna
(ang. cyberwar) jest terminem budzącym znaczne naukowe zainteresowanie, o czym świadczy duża liczba publikacji, w których podjęto próby zgłębienia jego istoty. Właściwie każdy badacz w inny sposób próbuje określić, co jest istotą cyberwojny, przy czym często nie podejmuje się trudu określenia jej systemowej definicji, lecz tłumaczy się ją poprzez podanie przykładów oraz liczby cyberataków bądź ogólne podkreślenie braku zgody co do zakresu tego pojęcia.
Definicje wartościowe merytorycznie można podzielić na dwie grupy. Pierwsza koncentruje się na określeniu wskaźników zjawiska cyberwojny (np. R. Stiennon wyróżnił cztery istotne dla niej filary: inteligencję, technologię, logistykę, dowództwo), druga – na aspekcie powiązania cyberprzestrzeni, wojny i cyberataku (np. S. Winterferd i J. Andress). Tego typu ujęcie, choć nie jest wyczerpujące, zwraca uwagę m.in. na brak wypowiedzenia cyberwojny w międzynarodowych stosunkach politycznych lub ewentualnego zgłaszania incydentów cyberbezpieczeństwa na arenie międzynarodowej – jak w wypadku cyberataku na Estonię w 2007 r. czy konfliktu zbrojnego w Gruzji w 2008 r. – co sprowadza te incydenty do kategorii cyberprzestępstw.
Zasadniczym utrudnieniem, jeśli chodzi o zrozumienie istoty cyberwojny, pozostaje trudność ze wskazaniem granic analizowanego zjawiska. F.B. Huyghe podkreśla, że cyberwojna sensu stricto pozbawiona jest realnego miejsca, gdyż nie można z całą pewnością określić jej lokalizacji. Zrozumienie cyberwojny utrudnia istnienie podwójnej granicy:
- ontologicznej – Czy to naprawdę wojna? Jakie są granice między tą kategorią a innymi, takimi jak przestępczość, konflikt, agresja, sabotaż itp.?;
- topologicznej – wojna ma miejsce i odbywa się na terytorium tego lub innego państwa. W jaki sposób można transponować lub zreinterpretować pojęcie wojny do epoki cyfrowej?
Podkreślić należy, że nigdy nie było cyberwojny z jawnym otwarciem i zamknięciem działań wojennych, powiązaniem strategii własnej i strategii przeciwnika, odwrotu i ofensywy, śmierci, terytoriów okupowanych, zawieszenia broni i pokoju, rozbrojenia itp. Ta odmienność działań odbywanych w cyberprzestrzeni sprawia, że według części badaczy nie kwalifikują się one do miana wojny. Artykuł, a następnie książka T. Rida pod tym samym tytułem – Cyber War Will Not Take Place – stawiają tezę, że konflikt, w którym brak jest ofiar w ludziach, w którym nie sformułowano jasnego celu i nie da się udowodnić politycznych motywacji atakujących, nie może być określany mianem wojny.
Kluczową przeszkodą w zrozumieniu istoty cyberwojny, jej rzeczywistego stanu i potencjalnych implikacji jest brak niezbędnego interdyscyplinarnego spojrzenia, które posłużyłoby do analizy problemu o również złożonym charakterze. Trudności te trafnie określił J.A. Green, wskazując, że prawnicy nie mają pojęcia o technologii, której uwarunkowania powinni regulować, stratedzy nie zwracają uwagi na szerzej rozumiane kwestie etyczne i prawne, informatycy zaś koncentrują się na technicznych uwarunkowaniach cyberagresji bez głębszej analizy jej implikacji politycznych czy strategicznych.
Za szczególnie cenną i mogącą stanowić punkt dalszych dyskusji i odniesień uznać można definicję cyberwojny zaproponowaną przez P. Shakariana, J. Shakarian i A. Ruefa. Wskazują oni, że cyberwojna jest rozszerzeniem polityki na działania podejmowane w cyberprzestrzeni przez podmioty państwowe (lub przez podmioty niepaństwowe o znacznym ukierunkowaniu lub wsparciu państwa), które stanowią poważne zagrożenie dla bezpieczeństwa innego państwa, lub działanie o takim samym charakterze podejmowane w odpowiedzi na poważne zagrożenie dla bezpieczeństwa państwa (rzeczywiste lub postrzegane).
Analiza relacji zachodzących pomiędzy podmiotami uczestniczącymi w cyberatakach jest istotna dla postrzegania zjawiska cyberwojny i stwarza możliwość określenia jej cech charakterystycznych. Na jej podstawie wyróżniono modele czterech dominujących form cyberataków – aktualnie stosowane w symulacjach teoretycznych gier – pozwalające na stworzenie obrazu dynamiki aktorów „cyberareny politycznej”:
- wojna mediów społecznościowych, ukierunkowana na wywołanie niepokojów i rozłamów w społeczeństwie, ma wpłynąć na wewnętrzną sytuację polityczną danego państwa
- wojna strategiczna, którą można zdefiniować jako akt fizycznego niszczenia, grabieży danych, a także nabywania i rozwijania umiejętności ofensywnych i defensywnych w celu przeprowadzenia ataku na infrastrukturę krytyczną aktorów państwowych;
- bitwa ideologiczna, polegająca na wykorzystaniu cyberprzestrzeni przez organizacje radykalne czy fundamentalistyczne do popularyzowania swoich ideologii i rekrutowania nowych członków;
- wojna inicjowana przez obywateli, w ramach której ataki osób cywilnych na inne osoby cywilne w danym państwie oraz na instytucje innego państwa są częścią konfliktu o szerszym wymiarze ideologicznym lub kinetycznym.
Kolejnym problemem, oprócz definicyjnego, jest odróżnienie cyberwojny od innych zagrożeń występujących w cyberprzestrzeni, takich jak: cyberterroryzm, cyberprzestępczość, cyberszpiegostwo.
Brak aktów prawa międzynarodowego znajdujących zastosowanie bezpośrednio do cyberwojny nie oznacza jednak, że działania w cyberprzestrzeni nie wywołują żadnych prawnych konsekwencji lub że nie mogą być oceniane z perspektywy prawa. Niektórzy autorzy nie traktują braku regulacji prawnej jako mankamentu obecnej sytuacji, wskazując, że wystarczające są obecnie obowiązujące umowy międzynarodowe. S. Shackleford wymienia kilka traktatów użytecznych dla prawnej oceny cyberataków: układ o nierozprzestrzenianiu broni jądrowej, Układ Antarktyczny, międzynarodowe prawo kosmiczne, Konwencję Narodów Zjednoczonych o prawie morza oraz międzypaństwowe układy o wzajemnej pomocy prawnej (MALT lub MLAT).
Próba udzielenia kompleksowej odpowiedzi na wątpliwości, jakie rodzi prawna kwalifikacja cyberwojen, została podjęta przez ekspertów z Centrum Eksperckiego NATO ds. Komunikacji Strategicznej, międzynarodowej instytucji badawczej stworzonej przez państwa Sojuszu Północnoatlantyckiego w celu badania zagrożeń cyberprzestrzeni (nie jest to oficjalna placówka należąca do NATO – ma ona charakter naukowo-szkoleniowy). Efektem ich prac jest dwukrotnie już wydawany Tallin Manual on the International Law Applicable to Cyber Operations. Książka nie odzwierciedla oficjalnej doktryny NATO, jest jednak czymś więcej niż próbą odniesienia zasad wyrażonych w umowach międzynarodowych do cyberwojny, ponieważ zawiera szerokie odwołania do orzecznictwa.
Najczęściej prawne implikacje cyberwojny analizowane są na płaszczyznach ius ad bellum, ius in bellum, prawa do neutralności czy prawa do samoobrony. Odpowiadając na pytanie o prawną kwalifikację cyberwojny, wskazuje się na możliwość stosowania do niej regulacji prawnych odnoszących się do międzynarodowego prawa humanitarnego konfliktów zbrojnych, praw człowieka, umów międzynarodowych składających się na prawo dyplomatyczne i konsularne, prawa morskiego, prawa lotniczego, prawa przestrzeni kosmicznej czy międzynarodowego prawa telekomunikacyjnego – w drodze analogii czy też przy zastosowaniu wykładni dynamicznej. Innym rozwiązaniem problemu braku regulacji jest odwołanie się do zwyczaju międzynarodowego, przy czym wątpliwości w literaturze budzi to, czy w odniesieniu do cyberwojny ukształtowały się już zwyczaje, które można byłoby uznać za źródło norm. Z jednej strony podkreśla się niewielką ilość ujawnianych informacji dotyczących praktyki przyjmowanej przez państwa w odniesieniu do cyberataków oraz reakcji na nie. Z drugiej liczba rozmaitych dokumentów dotyczących szeroko rozumianego cyberbezpieczeństwa stale rośnie, co daje podstawy do tego, by oczekiwać, że w niedalekiej przyszłości będzie można mówić o ukształtowaniu się takich norm zwyczajowych.
Odrębnym zagadnieniem jest problem prawnej kwalifikacji działań podejmowanych w cyberprzestrzeni przez podmioty niebędące państwami, ponieważ co do zasady nie stosuje się do nich umów międzynarodowych. Przyjmuje się, że operacje w cyberprzestrzeni, jeśli są przeprowadzane przez podmioty niepaństwowe, a nie naruszają suwerenności państwa zaatakowanego, nie stanowią realizacji prawa do interwencji ani prawa do użycia siły, ponieważ te dotyczyć mogą tylko państw, niezależnie od potencjalnych następstw cyberataków. Jeśli cyberataku nie można w sposób jednoznaczny przypisać państwu, nie można też stosować działań odwetowych na warunkach i zasadach dotyczących państw. Zaatakowany kraj może natomiast skorzystać z prawa do samoobrony lub postawić państwu, z którego terytorium przeprowadzono cyberatak, zarzut niezachowania reguł należytej staranności w nadzorze nad infrastrukturą cybernetyczną znajdującą się na jego terenie. Wątpliwości budzi status osób biorących udział w cyberatakach i możliwość stosowania względem nich regulacji międzynarodowego prawa humanitarnego.
Cyberwojna, mimo etymologiiwskazującej na ścisły związek z wojną, prezentuje wiele odmiennych cech w porównaniu do wojny tradycyjnej. Środki służące do prowadzenia ataku w cyberprzestrzeni odznaczają się znacznie większą różnorodnością niż broń konwencjonalna, nie pozostawiają trwałych śladów materialnych, a dane cyfrowe stosunkowo łatwo jest sfałszować czy odpowiednio zmodyfikować, by utrudnić lub uniemożliwić identyfikację atakującego. Dlatego też jednym z najbardziej istotnych zagadnień dotyczących cyberataków jest ustalenie podmiotów za nie odpowiedzialnych, co zwykle wyznacza dalszy tok postępowania i ma decydujące znaczenie dla podjęcia działań odwetowych w cyberprzestrzeni lub poza nią. Prowadzenie cyberwojny nie wymusza konieczności tworzenia organizacji zdolnej do zorganizowania ataku – może go bowiem przeprowadzić zarówno pojedynczy człowiek, jak i niesformalizowana grupa. Ponieważ sztuką staje się ukrywanie tożsamości w cyberprzestrzeni, rację bytu straciły tak istotne w tradycyjnej wojskowości sposoby uzewnętrzniania przynależności do organizacji militarnej. W wypadku cyberwojny zawodzi tradycyjne rozumienie pojęć takich jak wróg, strony zaangażowane w wojnę i neutralne czy zwycięstwo. Niemożliwe do zastosowania są ustalone przez prawo międzynarodowe formy prowadzenia działań odwetowych, negocjacji, zawarcia pokoju czy poddania się. Pierwszoplanowym celem cyberwojny nie jest fizyczne unicestwienie przeciwnika. W porównaniu z wojną tradycyjną charakteryzuje się ona bardziej zróżnicowaną plejadą potencjalnych uczestników, przy czym stale wzrasta znaczenie aktorów niepaństwowych.
J. Carr, Inside Cyber Warfare: Mapping the Cyber Underword, O’Reilly, Beijing–Cambridge–Farnham–Köln–Sebastopol–Taipei–Tokyo 2010; W. Cendrowski, Cyberwojna i jej znaczenie dla bezpieczeństwa NATO w kontekście przypadków i dokumentów strategicznych, [w:] Walka informacyjna. Uwarunkowania – incydenty – wyzwania, H. Batorowska (red.), Uniwersytet Pedagogiczny im. KEN w Krakowie, Kraków 2017; J. Green, Introduction, [w:] Cyber Warfare: A Multidisciplinary Analysis, J. Green (ed.), Routledge, London–New York 2015; S. Goel, Y. Hong, Cyber War Games: Strategic Jostling Among Traditional Adversaries, [w:] CyberWarfare: Building the Scientific Foundation, S. Jajodia i in. (eds.), Springer, Heidelberg–New York–Dordrecht–London 2015; F. Huyghe, Cyberwar and its Borders, [w:] Cyberwar and Information Warfare, D. Ventre (ed.), Wiley, London–New York 2011; P. Parks, Cyberwarfare, Reference Point Press, San Diego 2013; M. Roscini, Cyber Operations and the Use of Force in International Law, Oxford University Press, Oxford 2014; P. Shakarian, J. Shakarian, A. Ruef, Introduction to Cyber-warfare: A Multidisciplinary Approach, Elsevier, Amsterdam–Boston–Heidelberg–London–New York–Oxford–Paris–San Diego–San Francisco–Singapore–Sydney–Tokyo 2013; R. Stiennon, Surviving Cyberwar, Government Institutes, Lanham–Toronto–Plymouth 2010; S. Winterfeld, J. Andress, The Basics of Cyber Warfare: Understanding the Fundamentals of Cyber Warfare in Theory and Practice, Elsevier, Waltham 2013.