تعبیر «جنگ سایبری» از منظر تخصصی و در ادبیات حقوق بین‌الملل، غالباً تداعی‌کنندۀ وضعیت «توسل به زور» (Use of Force) است. این مفهوم ناظر بر شرایطی است که در آن، استفاده از ابزارهای سایبری عملاً منجر به ایجاد جنگ یا درگیری مسلحانه شود و یا آنکه شدت، گستردگی و آثار مخرب این عملیات‌ها به آستانۀ تحقق توسل به زور (موضوع بند ۴ ماده ۲ منشور ملل متحد) برسد. با این حال، باید توجه داشت که با وقوع یک جنگ مسلحانه، قواعد حاکم بر این گونه فعالیت‌ها کاملاً تغییر می‌کند؛ زیرا قواعد حقوقیِ حاکم در زمان مخاصمات مسلحانه که تحت عنوان «حقوق جنگ» یا در مفهومی عام‌تر، «حقوق بین‌الملل بشردوستانه» (International Humanitarian Law) شناخته می‌شوند تنها در وضعیت جنگی قابلیت اِعمال دارند و در موقعیت‌های خارج از این حالت (زمان صلح) حاکم نخواهند شد. این در حالی است که در عمل، ممکن است یک «عملیات سایبری» هرگز به آستانۀ لازم برای تحقق توسل به زور و به عبارتی آغازگر یک «جنگ سایبری» نرسد. در واقع، در اغلب موارد مشاهده می‌شود که این عملیات‌ها در حدود آستانه‌ای بسیار پایین‌تر از آغاز جنگ یا درگیری مسلحانه باقی می‌مانند.

در این حالتِ خاص، برای بررسی قانونی پدیده‌ها، نیازمند اِعمال نظام حقوقی دیگری غیر از حقوق جنگ (نظیر حقوق مسئولیت بین‌المللی دولت‌ها) هستیم. عبارت «حملۀ سایبری» (Cyber Attack) نیز در مقررات بین‌المللی و اسناد حقوقی، واژه‌ای با مفهوم کاملاً خاص است که به معنای اعمال زور در نظر گرفته شده و غالباً در بستر حقوق مخاصمات مسلحانه به کار برده می‌شود. به عبارت دقیق‌تر، واژۀ «حمله» همواره تداعی‌کنندۀ اِعمال میزانی از خشونت، چه در قالب اقدامات تهاجمی و چه در قالب اقدامات دفاعی است. نکتۀ اساسی و چالش‌برانگیز در این رابطه نیز دقیقاً همین است که امروزه مرز میان «حمله» در جهان سایبر و «حمله» در جهان واقع و فیزیکی به هیچ‌وجه یکسان و منطبق بر یکدیگر نیست. آن‌گونه که می‌توان در جهان واقع، تفکیک و مرزبندی مشخصی میان بروز یک «جنگ» تمام‌عیار و وقوع یک «حملۀ» محدود در نظر گرفت، در فضای پیچیدۀ سایبر چنین امکان شفافی برای تفکیک وجود ندارد.

با در نظر گرفتن این ظرایف و چالش‌های حقوقی، شاید بتوان در یک جمع‌بندی استدلال کرد که جنگ سایبری، اساساً عبارت است از مجموعه‌ای از حملات سایبری پیوسته و استراتژیک. خود این حملات سایبری نیز در تعریف فنی، عبارت‌ از استعمال و بهره‌برداری از ظرفیت‌ها یا امکانات فضای مجازی، با هدف دستیابی به اهداف اساسی هستند که ممکن است مستقیماً «در» و یا «از طریق» فضای سایبری، اهداف و زیرساخت‌های حیاتی را نشانه برود. بر این اساس، اصلی‌ترین و بارزترین ویژگی یک عملیات‌ سایبری، وقوع و هدایت آن از طریق شبکه‌های اطلاعاتی و با توسل مستقیم به ابزارها و کدهای مخرب سایبری است.

اهداف و شیوه‌های اجرای عملیات سایبری؛ از جاسوسی تا اختلال در خدمات

یک عملیات سایبری می‌تواند دارای اهداف بسیار متنوعی باشد؛ این اهداف طیف گسترده‌ای را شامل می‌شوند که از نفوذ پنهان به شبکۀ هدف برای مقاصد جاسوسی سایبری (Cyber Espionage) و جمع‌آوری داده‌ها آغاز شده و تا ایجاد اختلالات گسترده در عملکرد سامانه‌ها، ممانعت از ارائۀ خدمات (Distributed Denial of Service یا به اختصار DDoS) و در نهایت، نابودی کامل و فیزیکی سامانۀ هدف را در بر می‌گیرند. این اعمال سایبری، بسته به اینکه هدف عملیات صرفاً ایجاد اختلال باشد یا تخریب کامل، ممکن است به نفوذ عمیق در لایه‌های امنیتیِ سامانۀ هدف نیاز داشته باشند یا اساساً نیازی به این نفوذ پیدا نکنند. به عنوان مثال، اعمال سایبری با هدف ممانعت از ارائۀ خدمات (DDoS) غالباً نیاز مستقیمی به نفوذ و شکستن قفل‌های امنیتیِ سامانۀ هدف ندارند؛ بلکه در این روش، مهاجم با ارسال انبوهی از درخواست‌های ساختگی و ترافیک کاذب، تأثیر مخرب خود را که شامل ایجاد، سربار و فلج کردن کار سیستم است، بر سامانۀ هدف می‌گذارد. البته باید در نظر داشت که امروزه بسیاری از این درخواست‌های ساختگی توسط فایروال‌ها و سامانه‌های مدیریت ترافیک هدف، قابل شناسایی و کنترل هستند. از طرف دیگر، بدافزارها (Malwares) یا کرم‌های رایانه‌ای (Worms) غالباً برای اثرگذاری بر سیستم هدف، نیازمند نفوذ و عبور از موانع امنیتی آن هستند.

در خصوص عملیات‌ ممانعت از ارائۀ خدمات که عموماً برای اجرای آن‌ها از شبکه‌هایی موسوم به «بات‌نت» (Botnet) استفاده می‌شود، دو سناریوی مجزا شکل می‌گیرد. مورد اول شامل موقعیتی است که کامپیوترهای کاربرانِ بی‌اطلاع (قربانیان اولیه) به بدافزاری آلوده می‌شوند که این بدافزار به عامل اصلیِ عملیات امکان می‌دهد تا کنترل این سیستم‌ها را از راه دور به دست گیرد. سناریوی دوم شامل حالتی است که عامل حمله پس از تسخیر، از طریق همین کامپیوترهای قربانی (به عنوان سیستم‌های واسطه یا زامبی) عملیات تهاجمی خود را علیه هدف نهایی اجرا و پیاده‌سازی می‌کند.امروزه، در تحلیل وضعیت حاکم بر عملیات‌های موجود در فضای سایبری باید اذعان کرد که اتمسفر موجود فعلی، عموما نه نشان‌دهندۀ حالت «جنگ» رسمی است و نه بازتاب‌دهندۀ حالت «صلح» مطلق. دلیل این امر آن است که هرچند غالب این فعالیت‌ها منجر به خشونت و بروز خسارات فیزیکی ملموس نمی‌شوند و در آستانه‌ای پایین‌تر از تحقق اصل توسل به زور قرار دارند، اما از سوی دیگر، آثار مخرب و حجم خساراتی که ایجاد می‌کنند، بسیار فراتر از آستانۀ تحمل معمول در وضعیت صلح است.

بنابراین، می‌توان گفت که در این فضا، موقعیتی متناقض‌نما و «بدون صلح» (وضعیتی خاکستری) حاکم است. افزون بر این، باید توجه داشت که ورود و استفاده از فناوری هوش مصنوعی در این عرصه، به‌عنوان متغیری توسعه‌دهنده، معادلات مستقلی به حملات سایبری افزوده است که پیچیدگی آن‌ها را به‌شدت بالا می‌برد؛ لذا در این حوزه خاص، نیازمند آن هستیم که با تفصیل، تمرکز و دقت نظر حقوقی بیشتری به بحث بپردازیم.

نظام حقوقی حاکم؛ از خلأ «قوانین الزام‌آور» تا جایگاه «راهنمای تالین»

از منظر قانون‌گذاری بین‌المللی، از آنجا که عموماً کشورها تمایلی به محدود کردن آزادی عمل خود ندارند و اقدام به ایجاد قوانین الزام‌آور یا اصطلاحاً «قوانین سخت» (Hard Law) در این حوزه نمی‌کنند، لذا تاکنون قانونی دارای ضمانت اجرایی بین‌المللی به‌صورت متقن، جامع و واضح نگاشته نشده است. هرچند ممکن است در برخی حوزه‌های جزئی، مقررات یا توافقاتی دیده شود، اما تاکنون، با امعان نظر به تلاش‎های صورت گرفته، معاهدۀ بین‌المللی یا قاعدۀ عرفی تثبیت‌شده‌ای در ابعاد کلان ایجاد نشده است.با این وجود، این خلأ قانونی هرگز مانع از ایجاد رویه‌ها و تلاش‌های دکترین در راستای تنظیم قواعد حاکم بر عملیات‌ سایبری نشده است. از جملۀ مهم‌ترین و برجسته‌ترین این تلاش‌ها در سطح جهانی، تدوین و انتشار «راهنمای تالین» (Tallinn Manual) است. این اسناد، مجموعه‌ای ارزشمند از نظرات و اجماعِ برجسته‌ترین حقوق‌دانان و متخصصان این حوزه جهت تنظیم قواعد حاکم بر فضای سایبر است. البته باید تأکید کرد که این تلاش‌ها لزوماً به معنای خلقِ قواعد و نظام حقوقیِ جدید نبوده‌اند؛ بلکه بر مبنای تشابهات موجود میان فضای سایبری و فعالیت‌های جهان واقع، و به‌صورت «تفسیر و تطبیق» چارچوب‌های حقوقی موجود با شرایط جدید صورت گرفته‌اند. این شباهت‌های بنیادین که مبنای تطبیق قواعد قرار گرفته‌اند، شامل مواردی کلیدی است؛ از جمله: بروز آثار مخرب جانی و مالی، آثار فرامرزی فعالیت‌های سایبری، اعمال حق حاکمیت دولت‌ها بر آن بخش از زیرساخت‌های مستقر در سرزمینشان، امکان تحقق آستانۀ توسل به زور و تبدیل شدن حملات به مخاصمات مسلحانه و نهایتا، لزوم تنظیم مسائل مربوط به «قابلیت انتساب» (Attribution) عملیات‌ها به دولت‌ها. این انتساب رفتار، به دلیل آثار فرامرزیِ حملات، باید در چارچوب قواعد بنیادین مسئولیت بین‌المللی دولت‌ها سنجیده شود. دقیقاً بر همین مبنا است که راهنمای تالین ۲ در تلاش است تا الگویی جامع و تفسیرشده از قواعد را جهت تنظیم فعالیت‌های بازیگران در فضای سایبری ارائه کند.

منابع:

• قنواتی، پردیس، «قابلیت انتساب عملیات‌های سایبری بر دولت‌ها»، دانشکدۀ حقوق دانشگاه شهید بهشتی، 1402.
• Blauth, Taís Fernanda, and Oskar J. Gstrein. “How can evidentiary standards be regulated at the international level for verifiable and transparent attributions of cyberattacks to states?” (2021).