2007 áprilisában Észtországban olyan események történtek, amelyre korábban nem volt példa. Orosz hackerek, akik vélhetően a Felderítő Csoportfőnökség ügynökei voltak, a történelem egyik legsúlyosabb kibertámadását hajtották végre. A támadás nem volt előzmények nélküli. Az ügy középpontjában egy 1947-ben felavatott szobor állt, amely eredetileg a Vörös Hadsereg katonáinak állított emléket. 2007-ben az akkori észt vezetés úgy döntött, hogy a bronzszobrot a főváros, Tallinn központjából, egy kevésbé frekventált helyre, egy városszéli katonai temetőbe költöztetik át. A döntés nagy vihart kavart az orosz nyelvű médiában, ami annak is köszönhető, hogy a szobor elmozdításának folyamatát orosz álhírek is befolyásolták. Hamarosan zavargások törtek ki, egy ember pedig életét vesztette. Ahogy már említettem, a kibertámadások áprilisban kezdődtek, és nemegyszer hetekig tartottak. Az események főként észt sajtóorgánumokat, bankokat és a kormányzati szférát érintették. Konkrét bizonyíték azóta sincs arra vonatkozóan, hogy a támadásokat valóban Oroszország követte el, ugyanakkor beszédes, hogy a támadások orosz IP címekről történtek, és Oroszország nem reagált az észt segítségkérésre.[1]
Hasonló jelentőségű volt az az esemény, amikor 1010 novemberében Irán leállítani kényszerült a Natanz városában található urándúsítóját. Ennek oka az volt, hogy az izraeli és amerikai titkosszolgálatok kifejlesztették a Stuxnet névre hallgató számítógépes vírust. A vírus behatolva a létesítménybe tönkretette az urándúsító turbinákat, miközben a vezérlőpultban a normális adatok jelentek meg, ezért az operátorok sokáig nem vették észre a hibás működést. Ez volt az első olyan eset, amikor egy kibertámadás fizikai károkat okozott.[2]
2015 is újabb mérföldkőnek tekinthető a kibertérben. Ebben az évben, december 23-án Oroszországhoz köthető hackerek feltörték a nyugat-ukrajnai villamosenergia rendszert. Az eset nem kontextus nélküli, ugyanis eddigre már folytak az aktív harcok Kelet-Ukrajnában.[3] A több szolgáltatót ért támadás miatt az áramszolgáltatás nagyjából 6 órán keresztül volt elérhetetlen, mintegy 130.000 háztartásban.[4] Egy évvel később hasonló események játszódtak le az országban. Ekkor Kijev volt a cél-
- 42/43 -
pont, az akciónak köszönhetően pedig a főváros órákra sötétségbe borult.[5]
2017-et nevezhetnénk akár a zsarolóvírusok évének is. Először az Oroszországhoz köthető NotPetya nevű vírus pusztított végig a kibertérben, főként Ukrajnában.[6] Hetekkel később érkezett a másik híres zsarolóvírus, a WannaCry. Az előzővel ellentétben ez nem orosz, hanem észak-koreai kötődésű, és jóval nagyobb károkat okozott. Több nemzetközi nagyvállalat is érintett volt a támadásban, de a leglátványosabb fennakadást talán az Egyesült Királyság egészségügyi rendszere szenvedte el.[7] Mindkét vírus hasonló módon okozott károkat: először zárolta a számítógépes rendszerben lévő adatokat, majd pénzt követelt a titkosítás feloldásáért.[8]
A fenti események csupán kiragadott példák az elmúlt években rögzített több száz kibertámadás közül. A Center For Strategic and International Studies nevű szervezet csak a 2021-es évben több mint 110 különböző intenzitású és fajtájú támadást rögzített.[9] A Council on Foreign Relations is létrehozta a saját, bárki számára hozzáférhető adatbázisát, amelyben 2005 óta regisztrált események találhatók. Az ő adataik szerint 2005 óta 34 különböző állam gyanúsítható kibertámadás elkövetésével, amelyek közül Kína, Oroszország, Irán és Észak-Korea támogatta az összes művelet nagyjából 75%-át. A szervezet statisztikája szerint 2020 volt a legaktívabb év a kibertérben, amikor is az adatbázisuk több mint 100 eseményt rögzített, főként kémcselekményeket.[10]
Jogosan merülhet fel a kérdés, hogy a nemzetközi jog hogyan értékeli a fentiekben példálózó jelleggel felvetett eseményeket, különös tekintettel a jus ad bellum, azaz az erőszak alkalmazásának szempontjából. Tanulmányomban olyan kérdésekre keresem a választ, minthogy minősülhet-e valamely kiberművelet erőszak alkalmazásának, illetve tekinthető-e egy kiberművelet fegyveres támadásnak, ami az erőszak alkalmazásának legsúlyosabb formája és amely egyben lehetőséget ad a sértett államnak az önvédelem alkalmazására?
A hatályos nemzetközi jog egyik kulcsnormája az erőszak tilalma. Ez a norma megtalálható egyfelől az ENSZ Alapokmányában, mégpedig a következő formában: "A Szervezet összes tagjainak nemzetközi érintkezéseik során más Állam területi épsége, vagy politikai függetlensége ellen irányuló vagy az Egyesült Nemzetek céljaival össze nem férő bármely más módon megnyilvánuló erőszakkal való fenyegetéstől vagy erőszak alkalmazásától tartózkodniuk kell."[11] Másfelől a norma szerződéses jellege mellett szokásjogi természetű is[12], valamint elérte a nemzetközi jog feltétlen alkalmazást igénylő szabályainak szintjét is.[13]
Az ENSZ Alapokmányával az erőszak tilalma szélesebb körben érvényesül, mint korábban bármikor, ugyanis már nem csak a háború indítása, hanem az erőszak bármilyen formájának alkalmazása, és az azzal való fenyegetés is tiltott.[14]
- 43/44 -
A tilalom mégsem érvényesül abszolút jelleggel, hiszen létezik kettő, valamennyi állam által elfogadott kivétele. Ezek az önvédelem joga, valamint az ENSZ Biztonsági Tanácsának határozatai, amelyek az Alapokmány VII. Fejezete alapján felhatalmazást adhatnak erőszak alkalmazására.[15]
Az önvédelem jogáról így rendelkezik az Alapokmány: "[a] jelen Alapokmány egyetlen rendelkezése sem érinti az Egyesült Nemzetek valamelyik tagja ellen irányuló fegyveres támadás esetén az egyéni vagy kollektív önvédelem természetes jogát mindaddig, amíg a Biztonsági Tanács a nemzetközi béke és biztonság fenntartására szükséges rendszabályokat meg nem tette."[16] Az önvédelem alkalmazásnak elengedhetetlen feltétele a fegyveres támadás. E támadás kapcsán kiemelendő, hogy megfelelően súlyosnak kell lennie[17] és egy államtól kell, hogy származzon.[18] Fontos leszögezni, hogy az önvédelem jogát csak egy ténylegesen bekövetezett fegyveres támadással szemben lehet alkalmazni, potenciális, látens fenyegetéssekkel szemben nem.[19] Végezetül pedig meg kell említeni azt is, hogy az állam csak és kizárólag a támadás elhárítása és visszaverése érdekében gyakorolhat önvédelmet. A fegyveres erőszak nem lehet megtorló, represszív, vagy megelőző jellegű.[20]
A VII. fejezet alkalmazására akkor kerülhet sor, ha egy vagy több állam magatartása közvetlen veszélyt jelent a nemzetközi békére és biztonságra vagy előbbit megszegi, illetve, ha agressziót hajtottak végre egy másik állam vagy államok ellen. A Biztonsági Tanács ilyenkor nem csak ajánlást tehet a feleknek, hanem kötelező erejű határozatokat is hozhat. Ez utóbbiak a jogsértő állammal vagy államokkal szemben szükség esetén kényszerintézkedéseket is előírhatnak.[21]
Részben a bevezetőben említett Észtország ellen végrehajtott 2007-es kibertámadás jelentette a 2013-ban megjelent Tallinni Kézikönyv (Tallinn Manual) kiadásának indokát. A Kézikönyv egy tudományos mű, amely nem kötelező jellegű szabályokat tartalmaz az államok számára arról, hogy a nemzetközi jog miként viszonyul a kibertámadásokhoz és a különböző kiberkonfliktusokhoz. 2017-ben egy átdolgozási folyamatot követően megjelent a Kézikönyv bővített kiadása a "Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations" című könyv. A művet egy 19 fős szakértői csoport hozta létre a NATO Kooperatív Kibervédelmi Kiválósági Központ[22] megbízásából.[23]
A Tallinni Kézikönyv nem tükrözi az egyes államok vagy államcsoportok álláspontjait. A szakértői gárda tagjai igyekeztek saját személyes minőségben eljárni és megalkotni a könyvet. Felépítését tekintve a mű kétféle szövegből áll: az úgynevezett fekete betűs szabályok egyhangúságot igényelnek, és lex lata természetűek, azaz a hatályos nemzetközi jogot szeretnék leírni, az
- 44/45 -
egyes szabályokat pedig a kommentár követi.[24]
A Kézikönyv ekként rendelkezik az erőszak alkalmazásáról: "[a] kiberművelet, amely fenyegetést vagy erőszak alkalmazását jelentené bármely állam területi integritása vagy politikai függetlensége ellen, vagy bármely más módon összeegyeztethetetlen lenne az Egyesült Nemzetek céljaival, törvénytelen."[25]
A Kézikönyvben meghatározott norma egyértelműen visszautal az ENSZ Alapokmány 2. cikkének (4.) bekezdésére, amely a hatályos erőszaktilalmi norma. Minden vizsgálódás középpontjában tehát a generális erőszaktilalom áll.
A szabályhoz tartozó kommentár leszögezi, hogy az erőszakos cselekménynek nem feltétlenül kell az állam fegyveres erőitől származnia. Az államnak betudható lesz a támadás akkor is, ha azt az állami hírszerző szolgálatok vagy pedig olyan magánvállalatok hajtják végre, amelyek tevékenysége betudható az államnak.[26] Ehhez hozzátenném, hogy véleményem szerint ritka, amikor egy kibertámadásért konkrétan az adott állam fegyveres erői a felelősek. Gyakoribbak azok az esetek, amikor egy-egy hackercsoport az adott állam titkosszolgálataihoz köthető. Az előző évtized közepén elkövetett Ukrajna elleni kibertámadások mögött vélhetően a "Fancy Bear" nevű orosz csoport állt.[27] Egyes elemzések pedig rámutattak arra, hogy a csoport az orosz titkosszolgálat egyik ágához, a GRU-hoz köthető.[28] Gyakorlati szempontból azonban ennek nincs jelentősége, hiszen, ha a titkosszolgálatokhoz köthető valami, akkor - mint állami szerv - a betudhatóság államfelelősségi szempontból továbbra is fennáll.[29]
Arra a kérdésre, hogy a kibertérben pontosan mi minősülhet erőszak alkalmazásának a szakértői csoport ezt a választ adta: "[a] kiberművelet akkor éri el az erőszak alkalmazásának szintjét, amikor annak mértéke és hatásai összehasonlíthatóak lesznek egy nem a kibertérben történő erőszak alkalmazásához."[30]
A szabályt követő kommentárban számos alkalommal előkerül az úgynevezett Nicaragua-ügy. Az ügyben a hágai Nemzetközi Bíróság azt a megállapítást tette, hogy amikor azt vizsgáljuk, hogy egy akció fegyveres támadásnak minősül-e, akkor annak "mértékét és a hatásait" (scales and effects) kell figyelembe venni.[31] A Kézikönyvet létrehozó szakértői testület szerint ugyanazokat a kritériumokat kell elemezni egy kibertámadás során, mint amiket a fizikai térben történő akciók esetén is. Ha a kibertérben megvalósuló művelet mértéke és annak hatásai összehasonlíthatók egy nem a kibertérben végrehajtott akcióval, és ezutóbbi erőszak alkalmazásnak minősülne, akkor ez a kiberműveletre is igaz lesz.[32]
A Kézikönyv kommentárjában számos példát láthatunk, amelyben a szakértők a Nicaragua-ügy analógiájára megállapítják, hogy az adott akció erőszak alkalmazásnak minősül-e, avagy sem. Nem minősülnek a kibertérben erőszak alkalmazásának a különböző kiberpszichológiai műveletek, amelyek valamely kormány aláásására törekednek, de a puszta finanszírozás sem, amikor a finanszírozás egy olyan ha-
- 45/46 -
ckercsoportra vonatkozik, akik egy felkelés keretében hajtanak végre kibertámadást egy kormány ellen.[33]
Erőszak alkalmazásának minősül a kibertérben ezzel szemben - szintén a Nicaragua-ügy alapján - amikor egy állam valamilyen szervezett fegyveres csoportot különböző számítógépes kártevőkkel lát el, vagy pedig a csoport tagjait kibertámadások elkövetésére kiképezi. Az erőszak alkalmazása mindaddig fennáll amíg ez az ellátás vagy kiképzés lehetővé teszi, hogy a fegyveres csoport kibertámadásokat hajtson végre.[34]
A kommentár megjegyzi, hogy bizonyos esetekben kétségkívül megállapítható, hogy a kiberművelet erőszak alkalmazásnak minősül, ha annak következtében emberek megsebesülnek, illetve meghalnak vagy fizikailag károsítanak, illetve elpusztítanak valamilyen objektumot. A Kézikönyv szerzői akként vélekednek, hogy a fentebb felsorolt eseteket leszámítva minden esetben kétséges, hogy valóban fennáll-e erőszakalkalmazás. Meghatároznak viszont különböző tényezőket, amelyeket vizsgálni kell egy-egy eset kapcsán. Ezek az indikátorok a következők: súlyosság, azonnaliság, közvetlenség, invazivitás, a hatások mérhetősége, a művelet katonai karaktere, az állami érintettség, valamint a feltételezett jog-szerűség.[35]
Érdemes még említést tenni a Nemzetközi Bíróság a nukleáris fegyverek alkalmazása tárgyában 1996-ban hozott tanácsadó véleményéről, amelyben a Bíróság amellett foglalt állást, hogy az erőszak alkalmazásának tilalma teljesen független az alkalmazott fegyvertől, nincsenek tehát kizárólagosan meghatározott módok, amelyekkel a tilalmat meg lehet szegni.[36] Ebből is következik, hogy a generális erőszaktilalmat kibertámadás útján is meg lehet sérteni.
Az ENSZ Alapokmány 2. cikk (4.) bekezdésében található erőszaktilalmi norma nem csak az erőszak alkalmazását, hanem az azzal történő fenyegetést is tiltja. A Kézikönyv a következő választ adja a fenyegetés problematikájára: "[a] kiberművelet, vagy a kiberművelettel történő fenyegetés akkor keletkeztet jogellenes fenyegetést, ha az akció, amivel fenyegetnek, megvalósulna, jogellenes erőszak alkalmazásnak minősülne."[37] A kommentár megjegyzi, hogy alapvetően két szituációról van szó: az első, amikor a kiberműveleten keresztül valósul meg a jogellenes fenyegetés, a másik esetben pedig olyan kijelentésekről van szó, ami erőszak alkalmazásnak minősülő kiberműveletek elkövetésével fenyeget. Kiemelik továbbá a kommentárban, hogy nincs egyetértés a szakértők között abban, hogy mi a helyzet akkor, ha egy állam nyilvánvalóan nem képes erőszakalkalmazásnak minősülő kiberművelet végrehajtására, viszont annak elkövetésével fenyeget. A fordítottja sem eldöntött kérdés: mi a helyzet akkor, ha egy állam rendelkezik a szükséges kapacitásokkal, kommunikálja is a fenyegetést, viszont nyilvánvaló, hogy nem áll szándékában a művelet kivitelezése?[38]
Duncan Hollis és Tsvetelina van Bentham némileg más tipológiát használ a fenyegetések esetén. A szerzőpáros különbséget tesz kifejezett fenye-
- 46/47 -
getés, amely jellemzően különböző ultimátumokon keresztül valósul meg és hallgatólagos fenyegetés között, valamint olyan egyéb fenyegetések között mint, például a zsarolóvírusok. Ugyanakkor itt is azt láthatjuk, hogy kifejezett fenyegetések alatt a különböző állami szereplők által tett kijelentéseket értik, a példának hozott zsarolóvírusok pedig azt az esetet jelentik, amikor a ki-bertámadáson keresztül valósul meg a fenyegetés. Az utolsó pedig a rejtett fenyegetések csoportja, amikor a támadóknak sikerül jogosulatlan hozzáférést szerezni bizonyos adatokhoz, és ezen keresztül bármikor lehetőségük van kárt okozni.[39] A szerzők megjegyzik, hogy esetről estre vizsgálni kell azt is, hogy a fenyegetésekben tényleg megvan-e a valódi potenciál arra, hogy erőszak alkalmazásnak minősüljön. A zsarolóvírusok alkalmazása sem vonja automatikusan maga után az erőszak alkalmazás minősítést, azonban, ha károsítják a kritikus infrastruktúra működését, már erőszakos fenyegetést jelenthetnek.[40]
Az önvédelem jogának vizsgálatához célszerű ismételten a Tallinni Kézikönyv szabályaiból kiindulni, amely így rendelkezik az önvédelemről: "[a]z állam, amely olyan kiberművelet célpontja, amely eléri a fegyveres támadás szintjét, gyakorolhatja az önvédelem jogát."[41] A tanulmány elején már ismertettem azokat a kritériumokat, amelyek a fizikai térben történő önvédelem alkalmazásához szükségesek. Ezek a feltételek a kibertérben is azonosak. A Kézikönyv feketebetűs szabályai között találhatjuk a szükségesség és arányosság, valamint az azonnaliság követelményét is.[42] Mindezek mellett a fegyveres támadás, mint elengedhetetlen önvédelmi feltétel esetében is meg kell említeni, hogy a támadásnak betudhatónak kell legyen valamely államnak, illetve megfelelően súlyosnak is kell lennie.[43]
Vannak esetek, amelyek kapcsán egyszerű megállapítani, hogy az adott kiberművelettel szemben helye van-e önvédelem alkalmazásának. Egyértelmű, hogy a különböző információgyűjtés, vagy a kibertérben történő lopás, vagy a nem alapvető fontosságú online szolgáltatások időszakos elérhetetlenné tétele nem éri el azt a szintet, amivel szemben önvédelmi cselekmény gyakorolható. Ezzel szemben, ha a kiberművelet következtében emberek veszítik életüket, vagy sérülnek meg súlyosan, illetve az valamely jelentős kárt okoz vagy a tulajdon megsemmisülésével jár, gyakorolható az önvédelem joga, ha egyidejűleg teljesülnek a fent bemutatott egyéb feltételek is.[44] A szakértők ugyanakkor megosztottak abban a kérdésben, hogy a kiberkémkedés elérheti-e azt a súlyossági szintet, ami már fegyveres támadásnak minősül.[45]
Nem lehetne teljes az elemzés az állami gyakorlat vizsgálata nélkül. Az elmúlt években számos állami állásfoglalás született a nemzetközi jog kibertérben történő alkalmazásáról, és várhatóan hamarosan egyre több fog érkezni. A tanulmányban igyekeztem a legrele-
- 47/48 -
vánsabb állami állásfoglalásokat ismertetni, lehetőleg azokét az államokét, akik a kibertérben is meghatározó erőt tudnak képviselni, illetve azon államokét, akik az erőszak alkalmazásával és az önvédelem jogával kapcsolatos állásfoglalást is tettek. Az utóbbi években a megszólalok sorát a holland védelmi miniszter nyitotta meg, egy érdekes nyilatkozattal még 1018-ban a Tallinni Kézikönyv egyéves évfordulója alkalmából szervezett konferencián, az erőszak alkalmazásával kapcsolatban: "ha egy kibertámadás az egész holland pénzügyi rendszert célozza, vagy ha megakadályozza a kormányt olyan alapvető feladatok ellátásban, mint az adóztatás vagy a rendfenntartás, az fegyveres támadásnak minősülne."[46]
Jeremy Wright brit főügyész 2018-ban a brit parlament előtt ismertette az Egyesült Királyság álláspontját a kibertámadások kapcsán. A főügyész beszédében leszögezte, hogy "az Egyesült Királyság egyértelműnek tartja, hogy azok a kiberműveletek, amelyek a valós térben történő fegyveres támadáshoz hasonló halált és pusztítást visznek végbe, vagy ezek közvetlen veszélyét jelentik, az önvédelem gyakorlását fogják eredményezni."[47] A nyilatkozatban a főügyész példálózó összehasonlítást ad a kibertérben és a fizikai térben elkövetett támadások között. Kijelentette, hogy nincs különbség aközött, ha egy légiforgalomirányító tornyot lebombáznak, ezzel bénítva meg a légi közlekedést, és aközött, ha a forgalomirányítás számítógépes rendszereit támadják meg. Mindkettő erőszak alkalmazásnak minősülhet.[48]
Az állami állásfoglalások közül az egyik legjelentősebb a Francia Hadügyminisztérium 2019-es állásfoglalása volt. A dokumentumban 10 oldalon keresztül értekeznek többek közt az erőszak alkalmazásának kérdéséről és a kibertérben megvalósuló állami szuverenitásról.[49] A francia álláspont az erőszak alkalmazásának tekintetében a Tallinni Kézikönyv megközelítését alkalmazza. Ahogy a Kézikönyv, úgy Franciaország sem határoz meg konkrét küszöböt, amelyet átlépve erőszakalkalmazásról beszélhetünk, hanem indikátorokat határoz meg, amelyeket esetről-esetre szükséges vizsgálni. Például erőszak alkalmazásnak minősülhet a katonai rendszerekbe való behatolás, ha azt a francia védelmi képességek gyengítése érdekében követik el, de erőszak alkalmazásnak minősülhet a Franciaország elleni kibertámadásokat végrehajtó csoportok kiképzése és támogatása is.[50] A francia nyilatkozat a Nicaragua-ügy álláspontját teszi magáévá, miszerint a fegyveres támadás az erőszak alkalmazásának legsúlyosabb formája. Az önvédelem jogának gyakorlása kapcsán elmondható, hogy a francia értelmezés szerint önvédelem olyan kiberműveletek esetében alkalmazható, amelyek emberéletet követelnek, vagy jelentős gazdasági vagy fizikai károkat okoznak. Példaként hozzák erre a kritikus infrastruktúrák elleni jelentős támadást, vagy az egyes gazdasági szektorokat teljesen megbénító kiberműveleteket.[51]
A kibertérben az egyik legaktívabb állam Izrael. A Council on Foreign Relations kiberműveleteket rögzítő adatbázisában a közel-keleti állam az elmúlt
- 48/49 -
években legalább 8 támadás mögött állhatott a háttérben.[52] 2020-ban Izrael nemzetközi jogi ügyekkel foglalkozó főügyész-helyettese egy konferencián ismertette országa álláspontját a kiberműveletek és a nemzetközi jog kapcsolatát tekintve. Abban a tekintetben Izrael sem lóg ki a sorból a nyilatkozó államok közül, hogy elismeri: az erőszak alkalmazásának tilalma a kibertérben is érvényes, csakúgy, mint az önvédelemhez való jog egy fegyveres támadás esetében.[53] Két esetben Izrael némileg eltér a többi államtól. Először is, Izrael úgy értelmezi az önvédelem jogát, hogy az nem csak államoknak betudható fegyveres támadással szemben lehetséges, hanem közvetlenül a nem állami szereplők által elkövetett támadások kapcsán is, azaz akkor is, ha a nem állami szereplő a tevékenységét nem valamely állam nevében, vagy részvételével hajtja végre. Ez igaz a kibertérben elkövetett fegyveres támadásokra és érvényes azon kívül is.[54] A másik különbség, hogy amíg számos állam meghatároz különböző feltételeket és kritériumokat, amelyek megvizsgálásával eldönthető, hogy az adott művelet erőszakalkalmazás vagy fegyveres támadásnak minősülhet-e, Izrael nem tesz ilyet, csupán utal arra, hogy "a fizikai károkat nem okozó kiberműveletek esetében, lehet, hogy tovább vizsgáljuk, hogy eléri-e az erőszak alkalmazás szintjét."[55]
Még ebben az évben az Iráni Iszlám Köztársaság - Izrael nagy stratégiai és geopolitikai ellenfele - is megjelentetett egy közleményt, amely a fegyveres erők vezérkarától származik. A dokumentum így fogalmaz az erőszak alkalmazásával kapcsolatban: "Az Iráni Iszlám Köztársaság fegyveres erői úgy vélik, hogy minden bizonnyal erőszak alkalmazásnak minősülnek azok a kiberműveletek, amelyek széleskörben és súlyos anyagi károkat okoznak a vagyonban és/vagy személyekben, vagy logikusan elképzelhető, hogy ilyen következménnyel járnak." Az állásfoglalás leszögezi azt is, hogy Irán fenntartja magának az önvédelemhez való jog alkalmazását, ha az állam létfontosságú infrastruktúrája elleni kiberművelet súlya felér a kibertéren kívüli fegyveres támadás súlyával."[56]
Az Egyesült Államok vonatkozásában is egy 2020-as nyilatkozatot szeretnék kiemelni. A nyilatkozat egy beszéd volt, amely az Egyesült Államok Kiberparancsnoksága által szervezett konferencián hangzott el a Védelmi Minisztérium egyik tanácsadójának előadásában. A beszédben elhangzott, hogy az Egyesült Államok is elismeri azt, hogy az erőszaktilalmi norma és az Alapokmány 51. cikke is érvényesül kiberkontextusban is, pont úgy, mint a fizikai térben. Ezen felül annak értékelése során, hogy egy kiberművelet erőszak alkalmazásnak minősül-e, a minisztérium tanácsadói azt mérlegelik, hogy a művelet okoz-e olyan károkat vagy személyi sérülést, mint ami akkor keletkezne, ha a támadást a kibertéren kívül követik el.[57]
Az egyik legfrissebb állami állásfoglalás 2021 tavaszán jelent meg, és Japánhoz köthető. A Japán álláspont is leírja, hogy bizonyos körülmények között a kiberműveletek is sérthetik az ENSZ Alapokmányban meghatározott általános erőszaktilalmat. Ezen felül az
- 49/50 -
önvédelemhez való jogot is elismerik, ha a kibertámadás eléri a fegyveres támadás szintjét.[58]
Szintén a 2021-es év elején Németországban jelent meg három minisztérium közös, részletes állásfoglalása a nemzetközi jog kibertérben történő alkalmazásáról.[59] Az erőszakalkalmazás tekintetében a német állásfoglalás szintén a korábban már a Nicaragua-ügyben megalkotott és a Tallinni Kézikönyv által is átvett "mértéke és hatása" koncepciót alkalmazza. A német állásfoglalás is eseti alapon rendeli megvizsgálni az egyes támadásokat, és különféle minőségi kritériumokat vizsgálnak annak érdekében, hogy eldönthető legyen a kiberművelet osztályozása. Ezen feltételek közül a dokumentum kiemeli a Kézikönyv által is rögzített súlyosság, közvetlenség kritériumát, és a behatolás mértékét. Nóvumként jelenik meg a német dokumentumban a "szervezett és koordinációs fok", mint vizsgálati faktor.[60] Az önvédelem alkalmazásának kapcsán Németország a következő állásponton van: "a rosszindulatú kiberműveletek fegyveres támadásnak minősülhetnek, ha méretüket és hatásukat tekintve összemérhetőek a hagyományos (kibertéren kívüli) fegyveres támadásokkal."[61] Németország tehát mind az erőszakalkalmazás mind pedig az önvédelem jogával kapcsolatban osztja a Tallinni Kézikönyv álláspontját.
Végül, de nem utolsó sorban a fent bemutatott szabályok illusztrálására a bevezetőben említett kiberműveleteket értékelem az erőszak alkalmazásának nemzetközi joganyaga alapján.
A 2007-es események során a támadások következtében sajtóorgánumokat, bankokat és a kormányzati szférát érték támadások. Véleményem szerint a példaként hozott esetek közül ebben az esetben a legnehezebb az eldöntése annak, hogy történt-e erőszakalkalmazás, vagy adott esetben fegyveres támadás. Utóbbi kérdésre egy határozott nemmel felelhetünk. A kibertámadás-sorozat emberi életet nem követelt.[62] Az átlagos észt állampolgárok annyit észleltek a támadásból, hogy bizonyos banki szolgáltatások rövid ideig nem működtek, a műsorszolgáltatók egy ideig nem tudták továbbítani a híreket, a kormányzati alkalmazottak levelezési rendszere egy időre leállt.[63] A hatások tehát enyhék voltak, nem beszélhetünk egész szektorális leállásokról, sem pedig a kritikus infrastruktúra elleni támadásról. Ezek függvényében azt gondolom, hogy nemcsak a fegyveres támadás szintjét nem érték el az események, de az erőszak alkalmazásának szintjét sem.
Más a helyzet véleményem szerint a Stuxnet vírus által végrehajtott támadásról. Ahogy már említettem, a támadást követően leálltak az urándúsító turbinák és jelentős fizikai károk keletkeztek az urándúsító épületében. A jelentős fizikai károk, a tény, hogy
- 50/51 -
egy urándúsító üzemet ért a támadás, valamint az emberi életek veszélyeztetése miatt, véleményem szerint az erőszak alkalmazása egyértelműen megállapítható, és a példaként említett kiberműveletek közül ez áll a legközelebb a fegyveres támadás szintjéhez. A Tallinni Kézikönyv szerkesztői szerint az esemény eléri a fegyveres támadás szintjét, bár nem egyhangúlag jutottak erre az álláspontra. A Kézikönyv megemlíti, hogy egyes szakértők más állásponton vannak, ugyanakkor ők sem vonják kétségbe, hogy az erőszak tilalma mindenképpen sérült.[64]
Véleményem szerint az erőszak tilalmát sérti a 2015-ös Ukrajnát ért kibertámadás is. Külön tanulmány tartalmát képezhetné a 2015-ös ukrán-orosz konfliktus vizsgálata, azonban, ha az akkor már aktívan folyó harcoktól eltekintünk, és pusztán önmagában értékeljük a kibertámadást, akkor is megállapítható az erőszak tilalmának megsértése, tekintettel arra, hogy több mint 200.000 háztartásban maradt ki az áramszolgáltatás, a célpont pedig egy villamosenergia-irányító rendszer volt, ami véleményem szerint a kritikus infrastruktúra[65] körébe sorolható.
Az utolsó említett események a NotPetya és a WannaCry zsarolóvírusok elszabadulása volt. Ahogy a tanulmányban megállapításra került, nem csak az erőszak alkalmazása, hanem az azzal való fenyegetés is tiltott az ENSZ Alapokmány alapján. A zsarolóvírusok esetében közvetlenül a kiberműveleteken keresztül valósul meg a fenyegetés, ebben rejlik a lényegük. Az erőszak tilalma ilyen esetben tehát mindenképpen sérül. A WannaCry vírus komoly fennakadásokat okozott a brit egészségügyben. Több mint 200.000 számítógépen kerültek zárolásra az adatok. Ez 80 kórházi trösztöt és a háziorvosi praxisok kb. 8%-át jelentette. A kár meghaladta a 90 millió fontot.[66] Tekintettel arra, hogy a kár jelentős volt, a támadás az egészségügyi rendszert érintette és a zárolás által a betegek élete is veszélyben foroghatott, véleményem szerint a támadás közel állt ahhoz, hogy akár a fegyveres támadás szintjét is elérje.
A tanulmányomban említettem különböző szervezeteket, amelyek kiberműveletek rögzítésével foglalkoznak. Az ő statisztikáikból azt láthatjuk, hogy az elmúlt években fokozatosan nő a kiberműveletek száma.[67] Nem kérdés, hogy a kibertér jelentősége óriásivá vált az elmúlt években. A Tallinni Kézikönyv is folyamatos fejlesztés alatt áll, jelenleg is zajlik a Kézikönyv 3.0 kiadásának folyamata.[68] A Kézikönyv fejlesztése mellett az elmúlt években megnőtt a kibertérre vonatkozó állami állásfoglalások száma, amely véleményem szerint a következő években csak nőni fog. Úgy gondolom, hamarosan eljön az-az idő, hogy Magyarországnak is meg kell nyilvánulnia a témában, és a fenti államokhoz hasonló nyilatkozatot kell tennie. Mind a Kézikönyv, mind pedig a nyilatkozó államok elismerik, hogy az erőszaktilalom megsértése, de még a fegyveres támadás is elkövethető a kibertéren keresztül. A felvázolt példákból az látható, hogy egyes kiberműveletek valóban elérik az erőszak
- 51/52 -
szintjét, azonban a fegyveres támadás kibertéren keresztüli elkövetése ritka, majdhogynem példa nélküli volt mindeddig. Nem lehet kizárni azonban, hogy akár a közeljövőben megtörténik egy hasonló eset, addigra pedig az államoknak fel kell készülniük, hogy a megfelelő választ tudják adni. ■
JEGYZETEK
* Jelen tanulmány a Magyar Jogász Egylet Ösztöndíjprogram támogatásával készült. A tanulmány a Magyar Jogász Egylet és a PTE ÁJK által 2021-ben kiírt pályázaton (megosztott) II. helyezést ért el.
[1] Damien McGuinness: How a Cyber attack transformed Estonia. BBC News. https://www.bbc.com/news/39655415 (2021.12.15) valamint Hybrid Threats: 2007 Cyber Attacks on Estonia (NATO Strategic Communications Centre of Excellence) A dokumentum elérhető az alábbi linken: https://stratcomcoe.org/publications/hybrid-threats-2007-cyber-attacks-on-estonia/86 (2021.12.15)
[2] Összefoglaló dokumentum a 2010-es akcióról elérhető a Council on Foreign Relations adatbázisában: https://www.cfr.org/cyber-operations/#Timeline (2021.12.15)
[3] A problémák Ukrajnában 2013-ban kezdődtek, miután Janukovics elnök elutasította az EU-hoz való közeledést. A hírre tüntetések robbantak ki országszerte. 2014-ben orosz fegyveresek megszállták a Krím-félszigetet, miután egy vitatott népszavazás keretében a krími lakosok az Oroszországhoz való csatlakozásra szavaztak. Eközben két kelet-ukrán megyében Donyeckben és Luhanszkban is oroszbarát szeparatisták tartottak népszavazást, azonban az ukrán kormány a két megyét már nem akarta elengedni, ezáltal fegyveres harcok törtek ki az ukrán hadsereg és az orosz szeparatisták között, amely azóta sem tudott nyugvópontra jutni. Forrás: Global Conflict Tracker: Conflict in Ukraine. https://www.cfr.org/global-conflict-tracker/conflict/conflict-ukraine (2021.12.15)
[4] Hackers behind Ukraine power cuts - says US report. BBC News. https://www.bbc.com/news/technology-35667989 (2021.12.15)
[5] Ukraine power cut 'was cyber-attack'. BBC News. https://www.bbc.com/news/technology-38573074 (2021.12.15)
[6] UK and US blame Russia for 'malicios' NotPetya cyber-attack. BBC News. https://www.bbc.com/news/uk-politics-43062113 (2021.12.15)
[7] Cyber-attack: US and UK Blames North Korea for WannaCry. BBC News. https://www.bbc.com/news/world-us-canada-42407488 (2021.12.15)
[8] Alex Hern: WannaCry,Petya,NotPetya: how ransomware hit the big time in 2017. TheGuardian. https://www.theguardian.com/technology/2017/dec/30/wannacry-petya-notpetya-ransomware (2021.12.15)
[9] Significant Cyber Incidents. Center for Strategic & International Studies https://www.csis.org/programs/strategic-technologies-program/significant-cyber-incidents (2021.12.15)
[10] Council on Foreign Relations. Cyber Operations Tracker. https://www.cfr.org/cyber-operations/ (2021.12.15)
[11] ENSZ Alapokmány 2. cikk 4. bekezdés.
[12] Kende Tamás - Nagy Boldizsár - Sonnevend Pál - Valki László: Nemzetközi jog. Wolters Kluwer Kiadó, Budapest 2018. 769. oldal
[13] Lásd: Military and Paramilitary Activities in and aguinst Nicaragua (Nicaragua v. United States of America). Merits, Judgment. I.C.J. Reports 1986 p. 14. [190] valamint Fourth report on peremptory norms of general international law (ius cogens) / by Dire Taldi, Special Rapporteur. 24. oldal
[14] Kende - Nagy - Sonnevend - Valki: Nemzetközi jog. 768. oldal
[15] ENSZ Alapokmány VII. fejezet
[16] ENSZ Alapokmány 51. cikk 1. fordulat
[17] Kajtár Gábor: A nem állami szereplők elleni önvédelem a nemzetközi jogban. ELTE Eötvös Kiadó, Budapest 2015. 73. oldal
[18] Lásd ugyanott 82. oldal
[19] Bővebben lásd: Tibori-Szabó Kinga: Anticipatory Action in Self-Defence. Essence and Limits under International Law. T.M.C. Asser Press, The Hague 2011.
[20] Kis Kelemen Bence: Célzott likvidálás a nemzetközi jogban különös tekintettel a fegyveres, pilóta nélküli repülőgépek alkalmazására. Doktori értekezés. 80. oldal
[21] Kende - Nagy - Sonnevend - Valki: Nemzetközi jog. 796. oldal
[22] Eredeti nevén: NATO Cooperative Cyber Defence Centre of Excellence. A nevével ellentétben ez nem egy NATO szervezet, az csupán az akkreditációt biztosítja a központ számára, akik a különböző kutatások által támogatják az egyes NATO missziókat.
[23] Michael N. Schmitt: Tallinn Manual 2.0. on the International Law of Cyber Operations: What It Is and Isn't. JustSecurity. https://www.justsecurity.org/37559/tallinn-manual-2-0-international-law-cyber-operations/ (2021.12.23)
[24] Lásd ugyanott.
[25] Michael N. Schmitt: Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations. Cambridge University Press. New York, 2017. Rule 68, 329. oldal
- 52/53 -
[26] Lásd ugyanott. 330. oldal
[27] Jamie Condliffe: Ukraine's Power Grid Gets Hacked Again, a Worrying Sign for Infrastructure Attacks. Technology Reniew. https://www.technologyreview.com/2016/12/22/5969/ukraines-power-grid-gets-hacked-again-a-worrying-sign-for-infrastructure-attacks/ (2021.12.23)
[28] Többek között a Nemzeti Kibervédelmi Intézet is a GRU-hoz köti az Ukrajna elleni támadásokat. https://nki.gov.hu/it-biztonsag/hirek/nem-alltak-le-a-fancy-bear-kibermuveletek/ (2021.12.23)
[29] Kende - Nagy - Sonnevend - Valki: Nemzetközi jog. 698. oldal
[30] Michael N. Schmitt: Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations. Rule 69, 330. oldal
[31] Military and Puramilitary Activities in aund against Nicaragua (Nicaragua v. United States of America). Merits, Judgment. I.C.J. Reports 1986, para [195]
[32] Michael N. Schmitt: Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations 330. oldal
[33] Lásd ugyanott.
[34] Lásd ugyanott.
[35] Michael N. Schmitt: Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations 333-336. oldal
[36] Legality of the Threat or Use of Nuclear Weapons, Advisary Opinion, I.C.J. Reports 1996, p. 226 [39]
[37] Michael N. Schmitt: Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations Rule 70. 338. oldal
[38] Lásd ugyanott. 338-339. oldal
[39] Duncan B. Hollis - Tsvetelina van Benham: Threatening Force in Cyberspace in. Laura Dickinson - Edward Berg (szerk.) Big Data and Armed Conflict: Legal Issues Above and Below the Armed Conflict Threshold (Oxford University Press, várható megjelenés: 2022) 22. oldal
[40] Lásd ugyanott 23. oldal
[41] Michael N. Schmitt: Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations Rule 71. 339. oldal
[42] Michael N. Schmitt: Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations Rule 72-73.
[43] Lásd ugyanott 340. oldal
[44] Lásd ugyanott 341. oldal
[45] Lásd ugyanott 342. oldal
[46] Keynote address by the Minister of Defence, Ms. Ank Bijleveld, marking the first anniversary of the Tallinn Manual 2.0 on the 20th of June 2018. https://english.defensie.nl/downloads/speeches/2018/06/21/keynote-address-by-the-minister-of-defence-ms.-ank-bijleveld-marking-the-first-anniversary-of-the-tallinn-manual-2.0-on-the-20th-of-june-2018 (2022.01.01)
[47] Cyber and International Law in the 21st Century. https://www.gov.uk/government/speeches/cyber-and-international-law-in-the-21st-century (2022.01.01)
[48] Lásd ugyanott.
[49] Droit International Appliqué Aux Opérations Dans Le Cyberspace. Letölthető a Francia Hadügyminisztérium webolaláról.
[50] Michael Schmitt: France's Major Statement on International Law and Cyber: An Assessment. JustSecurity. https://www.justsecurity.org/66194/frances-major-statement-on-international-law-and-cyber-an-assessment/ (2022.01.01)
[51] Lásd ugyanott.
[52] https://www.cfr.org/cyber-operations/ (2022.01.07)
[53] Michael Schmitt: Israel's Cautious Perspective on International Law in Cyberspace: Part II (ius ad bellum and ius in bello). EJIL:Talk! https://www.ejiltalk.org/israels-cautious-perspective-on-international-law-in-cyberspace-part-ii-jus-ad-bellum-and-jus-in-bello/ (2022.01.07)
[54] Lásd ugyanott.
[55] Lásd ugyanott.
[56] General Staff of Iranian Armed Forces Warns of Tough Reactions to Any Cyber Threat. Nournews. https://nournews.ir/En/News/53144/General-Staff-of-Iranian-Armed-Forces-Warns-of-Tough-Reaction-to-Any-Cyber-Threat (2022.01.07)
[57] DOD General Counsel Remarks at U.S. Cyber Command Legal Conference https://www.defense.gov/News/Speeches/Speech/Article/2099378/dod-general-counsel-remarks-at-us-cyber-command-legal-conference/ (2022.01.17)
[58] Ministry of Foreign Affairs of Japan, Basic Position of the Government of Japan on International Law Applicable to Cyber Operations elérhető: https://www.mofa.go.jp/files/100200935.pdf (2022.01.01)
[59] On The Application of International Law in Cyberspace. elérhető: https://www.auswaertigesamt.de/blob/2446304/32e7b2498e10b74fb17204c54665bdf0/on-the-application-of-international-law-in-cyberspace-data.pdf (2022.01.07)
[60] Michael Schmitt: Germany's Position on International Law in Cyberspace Part II. JustSecurity. https://www.justsecurity.org/75278/germanys-positions-on-international-law-in-cyberspace-part-ii/ (2022.01.07)
- 53/54 -
[61] Lásd ugyanott.
[62] Az azt megelőző orosz dezinformációs kampány, valamint az orosznyelvű média által generált feszültségben kirobbant tüntetések során egy ember életét vesztette.
[63] Damien McGuinness: How a Cyber attack transformed Estonia. BBC News. https://www.bbc.com/news/39655415 (2022.01.01)
[64] Michael N. Schmitt: Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations 342. oldal
[65] A kritikus infrastruktúra védelméről szóló 2008/114/EK irányelv alapján a azon eszközök vagy rendszerek, amelyek elengedhetetlenek a létfontosságú társadalmi feladatok ellátásához, az egészségügyhöz, a biztonsághoz, valamint az emberek gazdasági és szociális jólétéhez.
[66] WannaCry cyber-attack cost the NHS £92m after 19.000 appointments were cancelled. National Health Executive.
[67] A Council on Foreign Relations adatbázisában 2017-ben 43, 2018-ban 72, 2019-ben 76, 2020-ban pedig már 100-nál is több incidens regisztráltak.
[68] CCDCOE to Host the Tallinn Manal 3.0 Process https://ccdcoe.org/news/2020/ccdcoe-to-host-the-tallinn-manual-3-0-process/ (2022.01.07)
Lábjegyzetek:
[1] A szerző joghallgató, Pécsi Tudományegyetem Állam- és Jogtudományi Kar.
Visszaugrás
