Faculteit Rechtsgeleerdheid Universiteit Gent Academiejaar 2013-­‐2014 Cyberoorlog en het internationaal humanitair recht Masterproef van de opleiding ‘Master in de rechten’ Ingediend door Ellen Buys Stamnummer: 00801174 Promotor: Professor Dr. Vermeulen, Gert Commissaris: Professor Dr. De Ruyver, Brice II “So cyberspace is real. And so are the risks that come with it.” -­‐Barack Obama-­‐ III WOORD VOORAF Het avontuur van deze masterproef startte pas in april 2014. Nadat ik op een verkeerd pad was geraakt met een ander onderwerp raadde professor Vermeulen me aan om opzoek te gaan naar een nieuw onderwerp. Dit advies sloeg in als een donderslag bij heldere hemel. De vraag die meteen door mijn hoofd spookte was hoe ik op een paar maanden tijd een hele masterproef diende te schrijven terwijl daar in principe twee jaar is voor voorzien. Hierdoor zag ik even mijn masterdiploma aan mijn neus voorbij vliegen. Eigen aan mijn karakter ben ik niet lang bij de pakken blijven zitten en ben ik de avond zelf nog in het wilde weg opzoek gegaan naar een nieuw onderwerp. Deze zoektocht leverde echter al snel resultaat op. Ik botste op mijn computer op een werkstuk dat ik voor het vak strafrechtelijk beleid van professor De Ruyver had moeten maken. Bij dit werkstuk diende te worden nagedacht over het uitwerken van een beleid inzake cybercriminalteit. Gezien dit thema mij enorm aansprak ben ik op het internet verdere opzoekingen beginnen doen en zo kwam ik terecht bij het fenomeen van de cyberoorlog. Na wat dieper te hebben gegraven, viel me meteen op hoe ver het hele cybergebeuren in ons leven binnendringt en hoe vaak we daar zelfs niets van merken. Het gaat zelfs zo ver dat er op termijn een ‘oorlog’ mee kan worden gevoerd zoals zal blijken uit deze masterproef. Het internet dat voor de mens en de samenleving heel belangrijk is geworden, in die mate dat het zelfs bijna ons hele leven bepaald, vormt tegelijkertijd een enorm gevaarlijk wapen binnen het strijdtoneel van oorlogen en conflicten. Deze vaststelling nodigde me meteen uit om dit fenomeen verder te onderzoeken en na te gaan in welke mate er al regelgeving bestaat binnen dit kader. Het is een race tegen de tijd geweest om deze masterproef tot een (hopelijk) goed einde te brengen, maar ik heb op heel korte tijd enorm veel bijgeleerd en dat is waar het bij de rechtenopleiding en deze masterproef allemaal om draait. Ik heb getracht dit werk in een vlot en duidelijk taalgebruik te schrijven zonder afbreuk te doen aan het juridisch-­‐wetenschappelijke gehalte. IV Langs deze weg wens ik ook graag enkele personen te bedanken. In het bijzonder wil ik professor Vermeulen bedanken omdat hij meteen enthousiast was over mijn nieuw onderwerp, voor het doorsturen van enkele heel interessante sites en forums en voor de feedback die hij heeft gegeven. Ik ben echter niet vaak de professor langs geweest omdat ik persoonlijk van het idee ben dat ik deze masterproef op eigen houtje tot stand diende te brengen, zonder al te veel afhankelijk te zijn van anderen. Wel kreeg ik steeds een duidelijk antwoord op mijn vragen wanneer ik deze stelde, dank daarvoor. Daarnaast wens ik ook nog mijn vriend en vrienden te bedanken die steeds in mij hebben geloofd en mij doorheen mijn hele schoolcarrière hebben gesteund, mijn moeder die mij de kans heeft gegeven om deze opleiding te volgen en die er nooit aan heeft getwijfeld dat ik het tot een goed einde zou brengen. Tenslotte wens ik deze masterproef op te dragen aan Buys Luc, mijn overleden vader. V INHOUDSOPGAVE WOORD VOORAF ................................................................................................................................. IV INHOUDSOPGAVE ................................................................................................................................ VI INLEIDING ............................................................................................................................................. 1 DEEL I: ‘CYBEROORLOG’: ALGEMENE SITUERING EN OMSCHRIJVING ........................................... 3 HOOFDSTUK 1: VAN SCIENCEFICTION NAAR REALITEIT .......................................................................................... 3 1.1. Wat kan er mis gaan? ................................................................................................................... 3 1.2. Is de oorlog al begonnen? ............................................................................................................. 4 1.2.1. Bekende cyberconflicten ........................................................................................................ 5 A. ESTLAND: DDOS-­‐AANVALLEN ....................................................................................................... 5 B. GEORGIË: COMBINATIE CYBERWAR EN KLASSIEKE OORLOG ................................................................. 7 C. IRAN: STUXNET EN FLAME ............................................................................................................ 8 D. OEKRAÏNE? ............................................................................................................................. 10 1.2.2. Definitie: Cyberoorlog ........................................................................................................... 11 A. DISCUSSIE: CYBERSPROOKJE OF REËLE CYBEROORLOG ..................................................................... 12 1) SCEPTICI: MISLEIDENDE HYPE EN FOUTE TERMINOLOGIE ................................................................. 13 2) BELIEVERS .............................................................................................................................. 16 B. VASTSTELLINGEN ...................................................................................................................... 17 HOOFDSTUK 2: VERBAND MET INFORMATIEOORLOG ......................................................................................... 18 HOOFDSTUK 3: DE NIEUWE OORLOG 2.0 ........................................................................................................ 20 3.1. Domein: cyberspace .................................................................................................................... 21 3.2. Actoren ........................................................................................................................................ 24 3.2.1. Niet-­‐statelijke actoren .......................................................................................................... 24 A. BURGERS ................................................................................................................................ 25 B. HACKTIVISTEN ......................................................................................................................... 25 C. HACKERS ................................................................................................................................. 26 D. CYBERTERRORISTEN .................................................................................................................. 27 E. CYBERSPIONNEN ...................................................................................................................... 27 3.2.2. Statelijke actoren: cybermilitairen ........................................................................................ 28 VI 3.2.3. Attributieproblematiek ......................................................................................................... 29 3.3. Middelen ..................................................................................................................................... 32 HOOFDSTUK 4: AFSCHRIKKING EN VERDEDIGING ............................................................................................... 36 4.1. Cyberafschrikking ........................................................................................................................ 36 4.1.1. Voorwaarden voor succesvolle afschrikking ........................................................................ 37 4.1.2. Moeilijkheden voor afschrikking in een cyberoorlog ........................................................... 38 4.2. Cyberverdediging ........................................................................................................................ 40 4.2.1. Passieve verdediging ............................................................................................................. 41 4.2.2. Actieve verdediging .............................................................................................................. 42 DEEL II: CYBEROORLOG EN HET INTERNATIONAAL HUMANITAIR RECHT ................................... 45 HOOFDSTUK 1: INTERNATIONAAL HUMANITAIR RECHT: ALGEMEEN ...................................................................... 46 1.1. Jus in bello vs. jus ad bellum ....................................................................................................... 46 1.2. Eigenlijke internationaal humanitair recht: jus in bello ............................................................ 48 1.2.1. Regels .................................................................................................................................... 49 1.2.2. Fundamentele principes ....................................................................................................... 50 HOOFDSTUK 2: CYBEROPERATIES EN HET JUS AD BELLUM ................................................................................... 51 2.1. Artikel 2(4) Handvest Verenigde Naties: Geweldverbod ........................................................... 53 2.1.1. Gebruik van geweld .............................................................................................................. 54 2.1.2. Dreigen met het gebruik van geweld .................................................................................... 62 2.2. Artikel 51 Handvest Verenigde Naties: Recht op zelfverdediging ............................................. 63 2.2.1. Digitale aanval = gewapende aanval? ................................................................................... 64 A. ‘GEWAPENDE’ AANVAL .............................................................................................................. 66 B. OMVANG EN GEVOLGEN ............................................................................................................ 68 C. ATTRIBUTIE ............................................................................................................................. 72 2.2.2. Noodzakelijkheid en proportionaliteit .................................................................................. 77 2.2.3. Onmiddellijkheid ................................................................................................................... 80 HOOFDSTUK 3: CYBEROPERATIES EN HET JUS IN BELLO ....................................................................................... 82 3.1. Gewapend conflict? .................................................................................................................... 85 3.1.1. Internationaal gewapend conflict ......................................................................................... 86 3.1.2. Niet-­‐internationaal gewapend conflict ................................................................................. 89 3.1.3. Interpretatief? ...................................................................................................................... 91 3.2. Cyber “aanvallen” ....................................................................................................................... 92 VII 3.2.1. Parallel met conventionele operatie .................................................................................... 92 3.2.2. Onafhankelijke cyberaanval: aanval vs. vijandelijkheden ..................................................... 93 3.3. Fundamentele principes van het jus in bello .............................................................................. 95 3.3.1. Militaire noodwendigheid .................................................................................................... 96 3.3.2. Menselijkheid ....................................................................................................................... 98 3.3.3. Onderscheid .......................................................................................................................... 99 A. STRIJDERS ............................................................................................................................. 100 B. BURGERS EN RECHTSTREEKSE DEELNAME AAN VIJANDELIJKHEDEN .................................................... 101 C. DUAL-­‐USE OBJECTEN ............................................................................................................... 106 3.3.4. Proportionaliteit ................................................................................................................. 108 3.3.5. Verraad ............................................................................................................................... 110 3.3.6. Neutraliteit ......................................................................................................................... 113 DEEL III: ALGEMEEN BESLUIT ............................................................................................................. 117 BIBLIOGRAFIE ..................................................................................................................................... XII VIII INLEIDING De digitale wereld en het internet… Iedereen ziet er het nut wel van in. Zo is het een handig middel om onder andere sociale-­‐ en zakenrelaties te onderhouden, voor het plezier, om jobs uit te oefenen, voor studies, om aankopen te doen, om te bankieren, enzovoort. Zelfs het in leven houden van mensen, het melken van koeien en de werking en beveiliging van belangrijke infrastructuren (water, elektriciteit, gas,…) is vandaag afhankelijk van digitale apparatuur. Kortom, alle aspecten van het dagelijkse leven hebben tegenwoordig betrekking op het digitale domein. De samenleving geniet volop van de voordelen die het hele cybergebeuren met zich meebrengt maar staat onvoldoende stil bij wat de negatieve gevolgen hiervan kunnen zijn. Hoe meer we de digitale wereld in ons leven integreren, hoe afhankelijker we er van worden en hoe gevoeliger we zijn voor digitale storingen. Naarmate het digitale gebruik toeneemt zal ook het misbruik hiervan toenemen, misbruik dat voornamelijk betrekking heeft op het stelen van gevoelige informatie, het veroorzaken van storingen op netwerken, etc. In de media wordt wel eens gesproken over hackers die informatie stelen van computers om vervolgens bankrekeningen te plunderen of die websites lamleggen van belangrijke instanties, iedereen heeft ook wel al eens gehoord van het virus Trojaanse Paard,… Op het eerste zicht allemaal nog redelijk onschuldig en eenvoudig op te lossen door het installeren van beveiligingsprogramma’s of anti-­‐virussoftware. Was het allemaal maar zo eenvoudig. Ten eerste is het alles behalve onschuldig en ten tweede is het niet op te lossen met het installeren van programma’s of software, aangezien deze steeds achterlopen op nieuwe ontwikkelingen. De gevaren die cyberspace met zich meebrengt zijn in bijna niets nog te vergelijken met de gevaren die we vandaag al kennen. Hackers kunnen namelijk vanop iedere plaats ter wereld hun slag slaan zonder dat het slachtoffer er ook maar iets van merkt, bovendien handelen ze meestal anoniem waardoor het onbegonnen werk is om hen op te sporen en te vervolgen. En het blijft niet alleen bij hackers. Daarnaast bestaan er nog tal van andere nieuwe actoren in het digitale domein die steeds nieuwe cyberwapens en methoden ontwikkelen om digitale netwerken en 1 systemen schade toe te brengen. Schade die tevens aanzienlijke gevolgen kan teweegbrengen voor de burgerbevolking. Dergelijke actoren en hun cyberwapens worden heden ten dage ook ingezet om conflicten (internationaal als niet-­‐internationaal) uit te vechten, al dan niet in combinatie met traditionele middelen en methoden van oorlogvoering. Vandaar dat ook wel wordt gesproken van ‘Cyberoorlog’. Zonder er van op de hoogte te zijn kan elk van ons op dit ogenblik deel uitmaken van zo een cyberoorlog. Om als voorbeeld te geven de computers die besmet zijn met het virus Trojaanse Paard. Deze computers worden namelijk gebruikt om grootschalige cyberaanvallen te lanceren. Hierdoor worden ook onschuldige burgers betrokken in deze cyberoorlog. Enerzijds worden onschuldige burgers slachtoffer van zo een cyberaanvallen, anderzijds worden onschuldige burgers ook betrokken bij het lanceren van dergelijke cyberaanvallen. Hieruit blijkt duidelijk dat er dringend nood is aan regels die het gebruik van deze cyberwapens inperken. Een legaal vacuüm op dit gebied zal op termijn voor onaanzienlijke chaos en ellende zorgen. Deze masterproef behandelt het onderwerp ‘Cyberoorlog en het internationaal humanitair recht’ in twee delen waarin steeds een afzonderlijke onderzoeksvraag wordt behandeld. Deel I is eerder een beschrijvend deel waarin wordt getracht een situering en omschrijving te geven van het fenomeen ‘cyberoorlog’. Hierin wordt onderzocht in welke mate de ‘cyberoorlog’ een reëel fenomeen is. De reden waarom deze vraag wordt onderzocht, is omdat het pas nuttig is om de tweede onderzoeksvraag te onderzoeken wanneer het gaat om een fenomeen dat effectief kan bestaan. Iets onderzoeken dat louter fictie is, levert namelijk geen enkele meerwaarde op. Deel II gaat in op het juridische aspect, namelijk de vraag of de regels van het internationaal humanitair recht ook kunnen worden toegepast op de nieuwe actoren, middelen en methoden van oorlogvoering in het digitale domein. Gezien de gevaren die cyberwapens met zich meebrengen, is het noodzakelijk dat het gebruik hiervan wordt gereguleerd. Bij gebrek aan regelgeving hieromtrent wordt onderzocht of reeds bestaande regels op het fenomeen kunnen worden toegepast om al dan niet voor een tijdelijk juridisch kader te zorgen in afwachting van de totstankoming van een eventuele specifieke cyberregulering. 2 DEEL I: ‘CYBEROORLOG’: ALGEMENE SITUERING EN OMSCHRIJVING In deel I van deze masterproef wordt vooreerst kennisgemaakt met het fenomeen ‘cyberoorlog’. Gezien dit een heel recent verschijnsel is, is het van groot belang een duidelijk beeld te schetsen van wat dit nu precies inhoudt. Parallel met de beschrijving van het fenomeen wordt getracht een antwoord te geven op een eerste onderzoeksvraag, namelijk in welke mate cyberoorlog een reëel fenomeen is. Naast het beantwoorden van deze eerste onderzoeksvraag speelt dit eerste deel ook een belangrijke rol voor het verdere vervolg van deze masterproef. Er wordt hier namelijk ingegaan op allerlei incidenten die hebben plaatsgevonden, wat de nieuwe actoren en middelen zijn in het digitale domein, etc. Dit zijn aspecten die later terugkeren in deel II en waarover eerst enige duidelijkheid dient te worden geschept alvorens in te gaan op de tweede onderzoeksvraag, nl. of het internationaal humanitair recht ook kan worden toegepast op cyberoperaties. HOOFDSTUK 1: VAN SCIENCEFICTION NAAR REALITEIT 1.1. WAT KAN ER M IS GAAN? “Het begint allemaal met stroomstoringen om ons te pesten. Het betalingsverkeer ligt plat en banken worden geplunderd. Gevolg: massa’s mensen bestormen de bankautomaten en winkels worden geplunderd. E-­‐bommen brengen de computer-­‐ en back-­‐upsystemen van de banken tot ontploffing. De beurs? Die is reeds verdwenen. Het vliegverkeer en openbaar vervoer ligt plat. Communicatie is niet meer mogelijk. Industriële productiesystemen werken niet meer. Er komen gasexplosies door het knoeien met de instellingen van de gasdruk in de leidingen. Dijken zijn oncontroleerbaar. Hulp inschakelen? Onmogelijk, want ook de hulpdiensten zijn reeds onbereikbaar. Kortom: alle computersystemen en infrastructuren vallen weg.”1 1 N. PÉREZ, “De cyberoorlog is begonnen en ook uw computer doet mee”, 2013, www.scientias.nl/de-­‐cyberoorlog-­‐is-­‐ begonnen-­‐en-­‐zonder-­‐dat-­‐u-­‐het-­‐weet-­‐wordt-­‐uw-­‐computer-­‐ervoor-­‐gebruikt/81967. 3 Veel mensen zullen het idee hebben dat dit een scenario is uit een of andere horror/sciencefiction film. Was dat maar het geval… Dit is echter de beschrijving van een mogelijk cyberdoemscenario, een digitale ‘Pearl Harbor’, dat laat zien wat er kan gebeuren wanneer een vijandige staat beslist om een andere staat met alle denkbare cyberwapens tegelijkertijd aan te vallen en wanneer bij het verdedigen van de computersystemen en infrastructuren alles fout gaat wat er fout kan gaan.2 En dit alles gebeurt zonder enige fysieke aanwezigheid van de vijandige staat in de doelwitstaat. Dergelijk cyberdoemscenario toont aan hoe afhankelijk de moderne samenleving (burgers, overheid en bedrijven) is geworden van het goed functioneren van digitale netwerken, die op zich heel wat nieuwe veiligheidsrisico’s hebben meegebracht. Het beschrijft in de meeste gevallen de meest extreme en ergste situaties die zouden kunnen plaatsvinden, wat er allemaal kan misgaan zal ook effectief misgaan. Tot op heden is er nog geen enkel beschreven cyberdoemscenario in zijn geheel werkelijkheid geworden, bepaalde aspecten die in deze scenario’s worden beschreven hebben zich daarentegen wel al effectief voorgedaan. Een cyberdoemscenario heeft voornamelijk een waarschuwingsfunctie. Het probeert zicht te geven op potentiële kwetsbaarheden van kritieke infrastructuren zoals energie, water, communicatie, transport en het gevaar van cyberwapens.3 Dat maakt het voor staten of bedrijven mogelijk om bepaalde situaties beter in te schatten en gepaste maatregelen te nemen. 1.2. IS DE OORLOG AL BEGONNEN? Op deze vraag kan (nog) niet met volle zekerheid een antwoord worden geformuleerd. Wat wel met zekerheid geweten is, is dat er zich al cyberconflicten hebben voorgedaan die een duidelijk beeld scheppen van de gevaren in het digitale domein. 2 3 A. BENSCHOP, Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 25-­‐26. A. BENSCHOP, Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 327-­‐332. 4 1.2.1. BEKENDE CYBERCONFLICTEN Hieronder wordt een overzicht gegeven van een aantal opvallende cyberconflicten die een grote impact hebben gehad op het hele cybergebeuren. Naast de cyberincidenten die hier worden besproken, hebben er zich nog tal van andere gelijkaardige – wellicht op kleinere schaal – cyberincidenten afgespeeld, of zijn dergelijke incidenten zich op heden aan het afspelen zonder dat het geweten is. A. ESTLAND: DDOS-­‐AANVALLEN Eind april 2007 werd Estland het slachtoffer van grootschalige cyberaanvallen. De aanleiding hiertoe was de verplaatsing van een oorlogsmonument uit het Sovjettijdperk, ‘De Bronzen Soldaat’, van het centrum van de hoofdstad Tallinn naar een militair kerkhof.4 Deze verhuis leidde tot hevige protesten en demonstraties van de Russische minderheid en werd door de Russische autoriteiten aanzien als een schending van de mensenrechten. De Russische president Poetin reageerde: ”Wie monumenten schendt, beledigt zijn eigen bevolking en zaait nieuwe onenigheid en wantrouwen tussen staten en mensen”. 5 Vervolgens werden vanaf 27 april massale DDos-­‐aanvallen6 gelanceerd die gericht waren op het Estse parlement, de ministeries, 4 A. BENSCHOP, Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 210; A. JENIK, “Cyberwar in Estonia and the Middle East”, Network Security 2009, 4; I. TRAYNOR, “Russia accused of unleashing cyberwar to disable Estonia”, The Guardian 2007, www.theguardian.com/world/2007/may/17/topstories3.russia. 5 B. VANACKER, “Russen voeren cyberaanval tegen Estland”, 2007, www.mo.be/artikel/russen-­‐voeren-­‐cyberaanval-­‐ tegen-­‐estland. 6 Bij een DDos-­‐aanval (of Distributed Denial-­‐of-­‐Service attack) maken heel veel computers –vaak vanaf verschillende locaties ter wereld -­‐ verbinding met één server. Deze server is het doelwit: de mensen achter de computers proberen deze server traag of in het ergste geval onbereikbaar te maken. Dit wordt veroorzaakt door de server te overspoelen met webverkeer. Om dat voor elkaar te krijgen worden vaak botnetwerken (of botnets) ingezet. Deze botnetwerken bestaan uit computers die elk extern kunnen worden aangestuurd (bijvoorbeeld via een Trojaans paard). Om het doelwit te laten crashen, zal de externe bestuurder alle computers in het botnet tegelijkertijd bestanden laten verzenden naar het doelwit, zie P. MULLER, “Wat is een DDos attack en wat zijn de gevolgen?”, http://info.widexs.nl/blog/bid/210184/Wat-­‐is-­‐een-­‐DDoS-­‐attack-­‐en-­‐wat-­‐zijn-­‐de-­‐gevolgen. 5 de banken, enkele grote bedrijven en de media in Estland.7 Daar DDos-­‐aanvallen in principe niet lang duren, was het anders in het geval van Estland. Honderden sites werden week na week aangevallen, om te vermijden dat ze zich opnieuw zouden herstellen. Het hele communicatiesysteem in Estland werd ontregeld en het bracht tevens zware nefaste gevolgen voor de handel met zich mee.8 Deze DDos-­‐aanval, waarbij op een bepaald moment meer dan een miljoen computers betrokken waren, is tot op heden de grootste in de geschiedenis van het internet. Hetgeen Estland tot een ideaal doelwit maakte voor een cyberaanval, was het feit dat het één van de meest bekabelde landen in Europa is, een pionier in ‘e-­‐government’ (het functioneren van de Estse staatsinstellingen was al zo sterk afhankelijk van het internet dat al werd gesproken van een ‘papierloze overheid’; Estland wordt daarom ook wel ‘E-­‐stonia’ genoemd) en één van de meest geavanceerde landen ter wereld inzake het gebruik van internettechnologie.9 Na drie weken, op 19 mei, kwam er uiteindelijk een einde aan de DDos-­‐aanvallen nadat de Estse regering had beslist om een groot deel van het Estse netwerk af te sluiten van een deel van het internationale verkeer. Estland werd met andere woorden volledig afgesloten van de rest van de wereld. Door deze blokkering konden de geviseerde sites, en dus heel Estland, zich opnieuw herstellen.10 De vraag die toen nog restte, was wie er aan de basis lag van deze cyberaanval. Al snel werd er door de Estse regering met een beschuldigende vinger naar Rusland gewezen. Ten eerste, omdat Rusland duidelijk ongenoegen had geuit ten aanzien van de beslissing van Estland om het oorlogsmonument van ‘De Bronzen Soldaat’ te verplaatsen door onder andere de straatprotesten in Tallinn te steunen. De cyberaanvallen zouden een ‘tweede golf’ kunnen 7 A. BRIGHT, “Estonia accuses Russia of 'cyberattack'”, 2007, www.csmonitor.com/2007/0517/p99s01-­‐duts.html. A. BENSCHOP, Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 211. 9 A. BENSCHOP, Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 211; R.R. GELINAS, Cyberdeterrence and the problem of attribution, thesis Faculty of the Graduate School of Arts and Sciences of Georgetown University, 2010, 7; J. RICHARDS, “Denial-­‐of-­‐Service: The Estonian Cyberwar and Its Implications for U.S. National Security”, The George Washington University Elliott School of International Affairs, www.iar-­‐ gwu.org/node/65. 10 J. RICHARDS, “Denial-­‐of-­‐Service: The Estonian Cyberwar and Its Implications for U.S. National Security”, The George Washington University Elliott School of International Affairs, www.iar-­‐gwu.org/node/65. 8 6 geweest zijn om nog meer chaos te creëren in Estland.11 Ten tweede, beweerde de Estse minister van Buitenlandse Zaken, Urmas Paet, dat de cyberaanvallen gelanceerd werden vanuit IP-­‐adressen in Rusland, waarvan zelfs enkele van de aanvalscomputers rechtstreeks met het Kremlin waren verbonden.12 Er kon echter geen enkel bewijs worden gevonden van een link tussen de cyberaanvallen en de Russische autoriteiten. Later gaf een Estse student, die behoorde tot de Russische minderheid in Estland, toe dat hij achter de aanslagen zat. Vanuit zijn eigen computer initieerde hij de DDos-­‐aanvallen (waarbij de Russische overheidscomputers slechts als zombies fungeerden), om te protesteren tegen de beslissing van de Estse regering om het oorlogsmonument te verplaatsen.13 Moraal van het verhaal: zelfs een doodgewone student is in staat om een heel land plat te leggen. “Als één individu die een persoonlijke computer gebruikt een aanval op belangrijke nationale of internationale doelwitten kan uitvoeren dan worden individuen de gelijken van staten in cyberspace.”14 B. GEORGIË: COMBINATIE CYBERWAR EN KLASSIEKE OORLOG Georgië heeft na zijn onafhankelijkheidsverklaring in 1991 de regio’s Zuid-­‐Ossetië en Achbazië verloren aan pro-­‐Russische lokale regeringen. In 2008 deed Georgië een poging om opnieuw de macht te verkrijgen in deze twee regio’s, wat echter niet met open armen werd ontvangen door Rusland. Rusland viel Georgië binnen met tanks en artillerie, terwijl ze tegelijkertijd grootschalige cyberaanvallen (DDos-­‐aanvallen) lanceerde op de websites en netwerkstructuur 11 Ibid. T. HALPIN, “Estonia Accuses Russia of ‘Waging Cyber War’”, Times Online 2009, www.thetimes.co.uk/tto/news/world/europe/article2595189.ece; A. JENIK, “Cyberwar in Estonia and the Middle East”, Network Security 2009, 4. 13 A. BENSCHOP, Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 212-­‐213; J. RICHARDS, “Denial-­‐of-­‐ Service: The Estonian Cyberwar and Its Implications for U.S. National Security”, The George Washington University Elliott School of International Affairs, www.iar-­‐gwu.org/node/65. 14 W. GOODMAN, “Cyber Deterrence: Tougher in Theory than in Practice?”, Strategic Studies Quarterly 2010, 112. 12 7 van Georgië.15 Één van de gevolgen was onder andere dat de militaire communicatie in Georgië werd verstoord, wat erg gunstig was voor de Russische gewapende offensieven.16 Met andere woorden, het digitale domein kan een heel gevaarlijk wapen vormen binnen de klassieke oorlogsvoering. C. IRAN: STUXNET EN FLAME Stuxnet In juni 2010 werd een aanval ontdekt die de naam ‘Stuxnet’ draagt. Het virus Stuxnet richtte zich op industriële (procesbesturing)systemen (m.n. specifieke Siemens systemen)17. Voor het eerst in de geschiedenis van de moderne oorlogsvoering vochten nationale staten hun militaire conflicten uit in cyberspace, met nucleaire apparatuur als inzet. Stuxnet werd namelijk door de Israëlische en Amerikaanse inlichtingendiensten gecreëerd met als specifiek militair doel het beschadigen van de Iraanse nucleaire verrijkingsinstallaties in Natanz.18 Amerika verzette zich echter al een hele tijd tegen het nucleaire programma van Iran omdat ze niet voldoende openheid wouden geven over hun wapenprogramma’s. De Stuxnet-­‐worm diende zich in principe enkel in te graven in het door Siemens gefabriceerde SCADA-­‐systeem, hetgeen de ultracentrifuges aanstuurt voor het verrijken van uranium in het kader van het nucleaire programma van Iran.19 Door een computerfout kwam het virus echter ook terecht op het internet, waarbij het tussen de 40.000 en de 60.000 computers infecteerde 15 A. BENSCHOP, Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 217; L. SWANSON, “The Era of Cyber Warfare: applying International Humanitarian Law to the 2008 Russian-­‐Georgian cyber conflict”, Loy. L.A. Int’l & Comp. L. Rev. 2010, 303-­‐304. 16 D.M. HOLLIS, “Cyberwar Case Study: Georgia 2008”, Small Wars Journal 2011, 1-­‐9; A.R. LODDER EN L.J.M. BOER, “Cyberwar? What war?”, JV 2012, nr. 1, 53. 17 GOVCERT.NL, Nationaal Trendrapport Cybercrime en Digitale Veiligheid 2010, 2010, 19. (hierna: Nationaal Trendrapport Cybercrime 2010) 18 A. KAMPHUIS, “Cyberoorlog: het Westen is begonnen (column)”, http://webwereld.nl/beveiliging/912-­‐ cyberoorlog-­‐het-­‐westen-­‐is-­‐begonnen-­‐column; A.R. LODDER en L.J.M. BOER, “Cyberwar?What war?”, JV 2012, nr. 1, 54; J.C. RICHARDSON, Stuxnet as cyberwarfare: Applying the Law of War to the Virtual Battlefield, paper, 2011, 6. 19 A. BENSCHOP, Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 219. 8 waarvan meer dan de helft in Iran 20 . 21 Het virus werd met andere woorden heel ongelijk verdeeld, waardoor nogmaals duidelijk werd dat het Iran was dat geviseerd werd. Opmerkelijk: de Stuxnet-­‐worm kan op diverse sites door eenieder worden gedownload. Dit zal in de toekomst leiden tot varianten die nog slimmer, nog efficiënter, nog complexer en nog kwaadaardiger zullen zijn dan het originele Stuxnet-­‐virus.22 Flame In 2012 werd opnieuw een virus ontdekt dat tot doel had het vertragen van het Iraanse nucleaire programma. Het spionagevirus 23 ‘Flame’ viseerde de computers van de Iraanse overheid, waarbij het screenshots nam van de besmette computers, het netwerkverkeer afluisterde, audioconversaties vastlegde, camera/microfoon aan-­‐ en uitzette, documenten stal, etc.24 Flame was een technisch zeer sterk en complex virus, daar het over een mechanisme beschikte om zichzelf te verspreiden en te vernietigen, waarbij alle sporen werden uitgewist. Dit virus werd naar alle waarschijnlijkheid opnieuw ontwikkeld door de VS en/of Israël, gezien delen van Flame zijn afgeleid van Stuxnet.25 “Het heeft de manier waarop we denken over cyberoorlog in één klap veranderd. Wat voorheen louter het onderwerp van speculatie was is nu een feit.” (David Lindahl)26 20 Andere landen die met het virus in aanraking kwamen, waren: Indië, Indonesië, China, Azerbeidzjan, Zuid-­‐Korea, Maleisië, VS, Engeland, Australië, Finland en Duitsland. 21 J.P. FARWELL en R. ROHOZINSKI, “Stuxnet and the Future of Cyber War”, Survival 2011, 23. 22 A. BENSCHOP, Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 229. 23 D. DECKMYN, “Computers als spion”, 2012, www.standaard.be/cnt/io3ql6h1. 24 T. RID, Cyber War Will Not Take Place, Oxford, Oxford University Press, 2013, 95. 25 A. BENSCHOP, Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 225-­‐227. 26 A. BENSCHOP, Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 230. 9 D. OEKRAÏNE? In 2014 is er heel wat onrust ontstaan op het Oekraïense schiereiland, de Krim, waar tevens heel veel mensen van Russische origine wonen. Rusland eiste dat de Krim aan hen werd toegekend vanwege de vele Russen die op het schiereiland wonen en omdat een groot deel van de Russische Zwarte Zeevloot zich rond de Krim bevindt. Ook in Oekraïne laten de Russen zich niet onbetuigd op het cyberslagveld: internet-­‐ en telefonieproblemen op de Krim, een ‘denial-­‐of-­‐service’-­‐aanval op de Oekraïense Raad voor Nationale Veiligheid en Defensie, een virus dat circuleert bij andere overheidsdiensten27,… 28 Toch is het niet (meteen) van hetzelfde kaliber als de massale cyberaanvallen in Estland en Georgië. Is er dan al wel sprake van een cyberoorlog? Als Rusland Oekraïne echt een vernietigende klap had willen uitdelen, dan had ze gelijkaardige DDos-­‐aanvallen gecreëerd zoals ze deed in Estland en Georgië.29 Of hebben de Russen een nieuw geheim cyberwapen achter de rug? Volgens verschillende experts zou het hier eerder gaan om een informatieoorlog (Infra 18-­‐20) in plaats van een cyberoorlog. “De reden voor de relatieve cyberrust in de huidige crisis zou kunnen betekenen dat het Russische instrumentarium stilaan zo gesofisticeerd en precies is dat een massaal cyberbombardement zelfs niet meer nodig is.”30 27 Ook België is slachtoffer geworden van een kwaadaardig virus dat het diplomatieke computernetwerk van FOD Buitenlandse zaken besmette. Het virus kopieert bestanden en stuurt deze door naar een onbekend adres. In het geval van België ging het over vertrouwelijke documenten van de Europese Unie en de NAVO waarin de standpunten van de leden over de crisis in Oekraïne stonden neergeschreven, zie P. GHYSENS, “Zorg dat hackers bij buren gaan”, Het Laatste Nieuws 12 mei 2014, 4. 28 S. GROMMEN, “Waarom Rusland deze keer niet inzet op een massale cyberoorlog met Oekraïne”, 2014, www.hln.be/hln/nl/18262/Onrust-­‐in-­‐Oekraine/article/detail/1810974/2014/03/13/Waarom-­‐Rusland-­‐deze-­‐keer-­‐ niet-­‐inzet-­‐op-­‐een-­‐massale-­‐cyberoorlog-­‐met-­‐Oekraine.dhtml. 29 K. GILES, “With Russia and Ukraine, is all really quiet on the cyber front? Op-­‐ed: Unlike recent conflicts, RUS hasn't used high-­‐profile, public cyberattacks yet”, 2014, http://arstechnica.com/tech-­‐policy/2014/03/with-­‐russia-­‐and-­‐ ukraine-­‐is-­‐all-­‐really-­‐quiet-­‐on-­‐the-­‐cyber-­‐front/. 30 S. GROMMEN, “Waarom Rusland deze keer niet inzet op een massale cyberoorlog met Oekraïne”, 2014, www.hln.be/hln/nl/18262/Onrust-­‐in-­‐Oekraine/article/detail/1810974/2014/03/13/Waarom-­‐Rusland-­‐deze-­‐keer-­‐ niet-­‐inzet-­‐op-­‐een-­‐massale-­‐cyberoorlog-­‐met-­‐Oekraine.dhtml. 10 1.2.2. DEFINITIE: CYBEROORLOG Als onder cybercrime wordt verstaan criminele activiteiten waarbij ICT wordt gebruikt, zou, naar taalkundige logica, cyberoorlog moeten worden gedefinieerd als oorlogsvoering waarbij gebruik wordt gemaakt van ICT. Die logica gaat niet geheel op. Allereerst omdat bij oorlogsvoering al decennia lang gebruik wordt gemaakt van computertechnologie.31 Cyberoorlog is dus meer dan een oorlog waarbij technologie wordt gebruikt. Albert Benschop definieert in zijn boek Cyberoorlog: slagveld internet een ‘cyberoorlog’ als: “Een militair conflict tussen nationale staten dat in de virtuele ruimte wordt uitgevochten met middelen van de informatie-­‐ en communicatietechnologie. Een cyberoorlog bestaat uit militaire operaties die zich met zuiver digitale middelen richten op het manipuleren, ontregelen, degraderen of vernietigen van computersystemen en –netwerken van een vijandige macht of mogendheid”.32 De belangrijkste criteria om te bepalen of er sprake is van een cyberoorlog zijn33: 1. het betreft een militaire operatie met als doelstelling het behalen van politiek en militair voordeel; 2. het gaat om het berokkenen van schade aan de digitale infrastructuur van de tegenstander, en; 3. door middel van de inzet van digitale middelen (aangezien ook met behulp van kinetische middelen computersystemen kunnen worden vernietigd). Vandaag wordt ‘cyberoorlog’ gebruikt als een containerbegrip voor zowat alle incidenten die zich in cyberspace voordoen.34 Daarom is het op internationaal niveau noodzakelijk om tot een duidelijke en uniforme begripsomschrijving te komen. Willen overheden en organisaties in staat 31 J. SPAANS, De Cybersamenleving: ethische en praktische kanttekeningen, Hoogeveen, Jaap Spaans Publicist, 2013, 26. 32 A. BENSCHOP, Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 31. 33 ADVIESRAAD INTERNATIONALE VRAAGSTUKKEN (AIV) & COMMISSIE VOOR ADVIES INZAKE VOLKENRECHTELIJKE VRAAGSTUKKEN (CAVV), Digitale oorlogsvoering, 2011, 8, http://cms.webbeat.net/ContentSuite/upload/cav/doc/cavv-­‐advies-­‐22-­‐ digitale-­‐oorlogvoering(3).pdf. (hierna: Advies AIV/CAVV) 34 J.A. LEWIS, “Cyberwar Tresholds and Effects”, IEEE Security & Privacy 2011, 23. 11 zijn om internationale afspraken te maken over de aanpak van digitale dreigingen, dienen zij tot een eensluidende interpretatie te komen van het begrip ‘cyberoorlog’.35 Nog lastiger dan het bepalen van een definitie van een cyberoorlog, is het bepalen wanneer een cyberoorlog begint en eindigt.36 Het begin van een cyberoorlog wordt namelijk niet officieel verklaard, wanneer deze definitief beëindigd wordt is al evenmin makkelijk te bepalen. A. DISCUSSIE: CYBERSPROOKJE OF REËLE CYBEROORLOG Hoewel er geen twijfel meer bestaat over het bestaan van digitale dreigingen, is er wel onduidelijkheid over de omvang en invloed hiervan. Digitale criminaliteit wordt alsmaar gerichter en geavanceerder en omvat de meerderheid van alle cyberincidenten. Overheden en bedrijven zijn regelmatig slachtoffer van digitale spionage en recente wereldwijde incidenten duiden op een toenemende dreiging.37 De digitale oorlogvoering als dreigingsvorm manifesteert zich het minst, maar het ‘potentiële effect’ is waarschijnlijk het grootst vanwege het doel (verstoring, vernietiging) en de doelwitten in de vitale voorzieningen (elektriciteit, financieel stelsel en communicatie). 38 Uit enkele sensationele publicaties van sommige buitenlandse toekomstvoorspellers valt te beluisteren dat de toekomstige oorlog in het digitale domein zal worden uitgevochten en beslecht.39 Anderzijds zijn er experten die verklaren dat de kans op een dergelijke ‘cyberoorlog’, die uitsluitend in het digitale domein wordt uitgevochten, heel gering is. 40 35 Advies AIV/CAVV, 7. P.W. SINGER en A. FRIEDMAN, Cybersecurity and Cyberwar: what everyone needs to know, Oxford, Oxford University Press, 2014, 121. 37 Advies AIV/CAVV, 9-­‐10. 38 Nationaal Trendrapport Cybercrime 2010, 37. 39 R.A. CLARKE en R.K. KNAKE, Cyber War: The next threat to national security and what to do about it, New York, HarperCollins Publishers, Inc., 2010. (google eBoek zonder pagina-­‐aanduiding) 40 Advies AIV/CAVV, 10. 36 12 1) SCEPTICI: M ISLEIDENDE HYPE EN FOUTE TERMINOLOGIE Heel wat sceptici zijn van mening dat de cyberdoemscenario’s die door bepaalde auteurs in boeken werden/worden verwerkt, of de voorspellingen die worden gedaan door bedrijven die gespecialiseerd zijn in computerbeveiligingsprogramma’s zoals bijvoorbeeld McAfee, in hoge mate overdreven zijn. Zo is er het boek Cyberwar, waarin dergelijke scenario’s worden besproken, dat geschreven is door Richard Clarcke. Clarcke heeft geruime tijd bij de Amerikaanse overheid gewerkt als coördinator Security, Infrastructure protection and Counterterrorism, en is vandaag hoofd van een bedrijf dat risicoanalyses maakt voor bedrijven en overheidsdiensten op het gebied van cyberveiligheid.41 Sceptici wijzen op de combinatie van de apocalyptische scenario’s in zijn boek en het feit dat Clarcke zijn geld verdient met het adviseren van de overheid op het terrein van cybersecurity.42 Zo is er ook McAfee die door onderzoekers een rapport heeft laten opmaken waarin voorspellingen werden gedaan voor 2012. Er werd geschreven: “de toenemende onstabiele situaties in de afgelopen jaren zorgt ervoor dat een uiteindelijke cyberoorlog vrijwel onvermijdelijk is”. Ook waarschuwden ze voor meer ‘hacktivisme’ en een nieuwe vorm van spam.43 Om vergelijkbare redenen als bij het boek van Clarcke werd ook het rapport van McAfee als overdreven en niet realistisch beschouwd wegens gebrek aan bewijzen en cijfers. Carl von Clausewitz wees op het feit dat een onderscheid dient te worden gemaakt tussen de ‘ware aard van de oorlog’ en zijn ‘karakter’. Daar het karakter van de oorlog kan veranderen zoals een kameleon dat doet44, verandert de aard van de oorlog erg langzaam, of in het geheel niet. Volgens sceptici is het dan ook aannemelijk dat de komst van militaire digitale capaciteiten het karakter van de oorlog verandert, maar niet de wezenlijke aard. In toenemende mate groeit 41 K. HOMAN, “Oorlogvoering in de digitale ruimte: tussen sceptici en alarmisten”, Internationale Spectator 2012, nr. 2, 85; F. VUIJST en M. MARTIJN, “De volgende oorlog: Cybergeddon!”, 2011, www.vn.nl/Archief/Politiek/Artikel-­‐ Politiek/De-­‐volgende-­‐oorlog-­‐Cybergeddon.htm. 42 A.R. LODDER en L.J.M. BOER, “Cyberwar? What war?”, JV 2012, nr. 1, 60-­‐61. 43 C. VAN HOEK, “McAfee vreest echte cyberoorlog”, 2011, www.nu.nl/internet/2703008/mcafee-­‐vreest-­‐echte-­‐ cyberoorlog.html. 44 J. ARQUILLA en D. RONFELDT, “Cyberwar is coming!” in J. ARQUILLA en D. RONFELDT, In Athena’s Camp: Preparing for Conflict in the Information Age, Santa Monica, RAND Corporation, 1997, 43. 13 bij hen dan ook het vermoeden dat de cyberdreiging, gepresenteerd in termen van oorlog, teveel een hype is geworden die voor onnodig veel angst zorgt en die gestimuleerd wordt door experts en ondernemingen met een gevestigd belang in het verkopen van diensten om de dreiging het hoofd te bieden.45 Een ander argument dat door de sceptici werd aangehaald, was dat er zich nauwelijks cyberincidenten manifesteerden waardoor de dreiging van een cyberoorlog heel gering zou zijn. Een visie die na de conflicten in Estland, Georgië, Iran en talrijke kleinere incidenten nog moeilijk te volharden is. Om van een cyberoorlog te kunnen spreken dient er volgens Carl von Clausewitz te worden voldaan aan de volgende drie voorwaarden:46 1. Het moet als een gewapende aanval gelden: als het niet kan verwonden of doden, kan het geen oorlog zijn. 2. De cyberaanval moet instrumenteel zijn: de aanvallende partij moet de andere partij via de cyberaanval dwingen om iets te doen wat het anders niet zou doen. 3. Het moet ook politiek47 zijn: de cyberaanval kan gebruikt worden als dreigement. Thomas Rid kwam in zijn werk Cyber war will not take place tot het besluit dat er nog nooit een cyberincident heeft plaatsgevonden dat voldoet aan de drie criteria voorgeschreven door von Clausewitz.48 In Estland en Georgië vielen er namelijk geen doden en was er geen grootschalige aan of definitieve uitschakeling van kritische infrastructuren. Cyberaanvallen veroorzaken slechts tijdelijke ‘soft kills’ van infrastructuren of bepaalde (militaire) doelwitten en hebben geen langdurige gevolgen voor een land zoals dat wel het geval is bij een klassieke oorlog. Tenzij cyberoorlog kan gebruikt worden ter vervanging van fysieke verrassingsaanvallen, is er volgens 45 K. HOMAN, “Oorlogvoering in de digitale ruimte: tussen sceptici en alarmisten”, Internationale Spectator 2012, nr. 2, 86. 46 D.R. CANABARRO en T. BORNE, Reflections on The Fog of (Cyber) War, NCDG Policy Working Paper 2013, No.13-­‐001, 10-­‐11; T. RID, Cyber War Will Not Take Place, Oxford, Oxford University Press, 2013, 37. 47 J.A. LEWIS, “Cyberwar Tresholds and Effects”, IEEE Security & Privacy 2011, 23. 48 T. RID, “Cyber War Will Not Take Place”, Journal of Strategic Studies 2012, 7-­‐10. 14 sceptici geen reden om te geloven dat het zal worden gebruikt in de plaats van de gewoonlijke manier van oorlogvoering. 49 Hetgeen wel in de buurt kwam van een cyberoorlog en sceptici aan het twijfelen zette, was de Stuxnet-­‐worm in Iran, maar deze valt volgens hen eerder onder de noemer van sabotage.50 Ook Flame, het spionagevirus, kan niet worden beschouwd als een cyberoorlog. Daar spionage geen oorlog is, kan ook cyberspionage geen cyberoorlog zijn. Wel zullen cyberincidenten onderdeel uitmaken van klassieke gewapende conflicten waarbij ze de conventionele militaire handelingen ondersteunen, zoals duidelijk het geval was in Georgië in 2008.51 Rid argumenteerde in zijn boek dat alle politiek gemotiveerde cyberaanvallen slechts geavanceerde vormen zijn van drie activiteiten die net zo oud zijn als de oorlog zelf, nl. sabotage, spionage en ondermijning.52 De kans dat ooit een oorlog enkel en alleen zal worden uitgevochten in cyberspace lijkt voor sceptici onbestaand. Er zal altijd interactie zijn met de andere operatiedomeinen (land, zee, lucht of ruimte).53 “Je kunt in cyberspace niet je uiteindelijke wil aan de tegenstander opleggen. Je kunt wel een slag winnen, maar niet de oorlog. Er zal altijd interactie zijn met de andere domeinen”54 Bovendien, waarom zou een staat zich beperken tot één enkel wapen, wanneer zij over meerdere opties beschikt? De cyberoorlog zal een ondersteunende functie vervullen in het kader van andere vormen van oorlogvoering, bijvoorbeeld door het ontwapenen van de vijand.55 Met andere woorden, is de kans dat de Pearl Harbor zich nogmaals herhaalt op Hawaï 49 E. GARTZKE, “The Myth of Cyberwar: Bringing War in Cyberspace Back Down to Earth”, International Security 2013, 62. 50 C.C. DEMCHAK en P. DOMBROWSKI, “Rise of a Cybered Westphalian Age”, Strategic Studies Quarterly 2011, 32-­‐61; REDACTIE, “Cyberoorlog zal nooit plaatsvinden”, 2013, www.security.nl/posting/362810/%22Cyberoorlog+zal+nooit+plaatsvinden%22. 51 L. VAN DEN HERIK, “De digitale oorlog: waan of werkelijkheid?”, Nederlands Juristenblad 2013, afl. 6, 349. 52 T. RID, “Cyber War Will Not Take Place”, Journal of Strategic Studies 2012, 6. 53 M.D. CAVELTY, “Unraveling the Stuxnet Effect: Of Much Persistence and Little Change in the Cyber Threats Debate”, Military and Strategic Affairs 2011, 15; REDACTIE, “Defensie: zuivere cyberoorlog bestaat niet”, 2012, https://www.security.nl/posting/38694/Defensie%3A+zuivere+cyberoorlog+bestaat+niet. 54 REDACTIE, “Defensie: zuivere cyberoorlog bestaat niet”, 2012, https://www.security.nl/posting/38694/Defensie%3A+zuivere+cyberoorlog+bestaat+niet. 55 M.C. LIBICKI, Cyberdeterrence and Cyberwar, Santa Monica, Rand Corporation, 2009, xv. 15 volgens sceptici veel groter dan de kans dat er zich ooit een Pearl Harbor zal afspelen in cyberspace. Daarom dient eerder te worden gesproken van ‘digitale oorlogvoering’, in plaats van digitale oorlog, als onderdeel van een militaire operatie die ook andere (niet digitale) dimensies kan omvatten. 56 Digitale oorlogvoering wordt in het Nederlandse Nationaal Trendrapport Cybercrime gedefinieerd als: “Cyberwarfare is ongeoorloofde penetratie door, namens of met ondersteuning van een overheid in informatiesystemen en/of netwerken van een andere natie, of elke andere activiteit richting informatiesystemen met als doel toevoeging, verandering of vervalsen van data, of het verstoren of beschadigen van een informatiesysteem, netwerk of het object dat het informatiesysteem controleert. Cyberwarfare is, net als andere vormen van oorlogsvoering, onderdeel van het diplomatieke arsenaal van een staat.”57 2) BELIEVERS Diegene die geloven dat er ooit een echte cyberoorlog zal plaatsvinden, hebben een heel andere visie op de oorlog van de toekomst, dan diegene die denken dat een cyberoorlog een onrealistische hype is. Volgens de believers is er nood aan een echt cyberleger, een aparte militaire eenheid die zich enkel en alleen bezighoudt met de dreigingen in cyberspace. Dit cyberleger moet in staat zijn om aanvallen van andere staten af te slaan, alsook zelf digitale precisiebombardementen uit te voeren.58 Stuxnet was voor de believers het ultieme bewijs dat er een reële dreiging is voor een cyberoorlog. Het bestaan van zulk cyberwapen dat zo gericht, efficiënt, professioneel en precies op een specifiek probleem toegesneden was, werd vóór de ontdekking van Stuxnet door geen enkele expert voor mogelijk gehouden. Het was louter theorie, sciencefiction.59 56 Advies AIV/CAVV, 11. Nationaal Trendrapport Cybercrime 2010, 36. 58 F. VUIJST en M. MARTIJN, “De volgende oorlog: Cybergeddon!”, 2011, www.vn.nl/Archief/Politiek/Artikel-­‐ Politiek/De-­‐volgende-­‐oorlog-­‐Cybergeddon.htm. 59 Ibid. 57 16 “ In the very near future, many conflicts will not take place in the open field of battle, but rather in spaces on the Internet, fought with the aid of information soldiers”60 B. VASTSTELLINGEN Het debat over het bestaan van een cyberoorlog werd in de jaren ‘90 voornamelijk gevoerd op basis van hypothetische scenario’s en abstracties. Na de incidenten van Estland (2007), Georgië (2008) en Iran (2010) woedde het internationale wetenschappelijke en maatschappelijke debat weer op en diende een aantal visies te worden bijgeschaafd.61 Hetgeen aan de basis van de discussie ligt, zijn de verschillende visies van sceptici en believers op de toekomst van het worldwide web. Sceptici ergeren zich vooral aan de angstaanjagende verhalen van beveiligingsbedrijven en functionarissen van veiligheidsdiensten die iets te verkopen hebben. Ze geloven niet dat er ooit een echte cyberoorlog zal plaatsvinden die uitsluitend in cyberspace wordt uigevochten. De believers daarentegen wijzen op de ernstige cyberincidenten die zich al hebben gemanifesteerd en die een toekomstige dreiging voor een echte cyberoorlog reëel maken. Wie heeft er nu gelijk? Hierop kan geen sluitend antwoord worden geformuleerd. 62 Wel staat vast dat heel wat scenario’s, beschreven in boeken of rapporten, overdreven zijn. Echter, sceptici bekijken dit te eenzijdig. Het is dan misschien wel overdreven, maar met die overdrijving proberen de auteurs net de aandacht te vestigen op eventuele gebeurtenissen die ‘ooit’ zouden kunnen plaatsvinden.63 Bovendien is het zinloos om te blijven discussiëren over het feit of er ooit een zuivere cyberoorlog zal plaatsvinden die zich enkel en alleen in cyberspace afspeelt. Wat zeker is, is dat er een ernstige bedreiging bestaat 60 S.W. KORNS en J.E. KASTENBERG, “Georgia’s Cyber Left Hook”, Parameters 2009, 60. L. VAN DEN HERIK, “De digitale oorlog: waan of werkelijkheid?”, Nederlands Juristenblad 2013, afl. 6, 349. 62 P. SMITH, “How Seriously Should the Threat of Cyber Warfare be Taken?”, 2014, http://www.e-­‐ ir.info/2014/01/17/how-­‐seriously-­‐should-­‐the-­‐threat-­‐of-­‐cyber-­‐warfare-­‐be-­‐taken/. 63 S. LAWSON, Beyond Cyber-­‐Doom: Cyberattack Scenarios and the Evidence of History, working paper Mercatus Center George Mason University (Utah) 2011, no.11-­‐01, 4. 61 17 afkomstig uit cyberspace.64 De discussie of deze dreiging een rol speelt in een klassieke oorlog of een cyberoorlog vormt an sich is hier niet echt aan de orde. Waar het om gaat, is het gevaar dat cyberspace met zich meebrengt en het idee dat dit mogelijk misbruikt wordt door partijen met slechte bedoelingen. Met andere woorden, cyberoorlog dient geen oorlog te zijn om de klassieke manier van oorlogvoering overbodig te maken.65 “A digital Pearl Harbor would cost fewer lives than the attack 70 years ago”66 De cyberoorlog tussen nationale staten staat niet op het punt van uitbreken, maar is in zeker zin al lang aan de gang. Het is een koude cyberoorlog die dagelijks wordt gevoerd zonder dat de meeste mensen er enig besef van hebben.67 HOOFDSTUK 2: VERBAND MET INFORMATIEOORLOG De term ‘informatie’ neemt een centrale rol in wanneer wordt gesproken over cyberoorlog. Informatie is een noodzakelijk onderdeel bij het opstellen van zowel een sociaalmaatschappelijk als een militair beleid.68 Digitale systemen die informatie verwerken of bewaren, zijn dan ook een aantrekkelijk strategisch doelwit binnen een conflict tussen verschillende staten. Het juist organiseren van de eigen informatie en de controle van die van de vijand, levert heel wat voordeel op in het kader van militaire operaties.69 Het vijfde domein is dan ook ontstaan vanuit 64 E. GARTZKE, “The Myth of Cyberwar: Bringing War in Cyberspace Back Down to Earth”, International Security 2013, 43-­‐44. 65 E. GARTZKE, “The Myth of Cyberwar: Bringing War in Cyberspace Back Down to Earth”, International Security 2013, 49. 66 T. MAURER, “The Case for Cyberwarfare”, Foreign Policy 2011, http://www.foreignpolicy.com/articles/2011/10/19/the_case_for_cyberwar. 67 A. BENSCHOP, Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 20. 68 N. UNGERER, Zeventien Jaar Cyberwarfare: Een exploratieve discourseanalyse naar de verbeelding van het begrip cyberwarfare in de literatuur van 1993 tot het heden, bachelor thesis geesteswetenschappen Universiteit Utrecht, 2011, 6. 69 J. ARQUILLA en D. RONFELDT, “Cyberwar is coming!” in J. ARQUILLA en D. RONFELDT, In Athena’s Camp: Preparing for Conflict in the Information Age, Santa Monica, RAND Corporation, 1997, 25-­‐27. 18 de militaire noodzaak om middels een innovatieve informatietechnologie een zogenaamde ‘force multiplier’, een strategisch fysiek voordeel op het slagveld te behalen.70 “Today’s modern information infrastructure as the most essential pillar of transnational economic systems is not only the highest-­‐priority target of potential aggression, but has also become –due to the computer’s inherent capability of automating intelligence and to be Medium and Message simultaneously-­‐ the weapon and the battlefield all in one.”71 Het is niet noodzakelijk om een oorlog te winnen door de vijand te vernietigen. Een andere optie is via geweldloze middelen de tegenstander, voorafgaand aan de fysieke strijd, ervan te overtuigen dat het aangaan van een gewapend conflict voor hem een verloren zaak is, ook al is dat niet effectief het geval. In cyberspace draait alles om de kunst van de misleiding (Infra 44). Met andere woorden, een cyberoorlog is een onderdeel van een meer omvattende informatieoorlog.72 Voor het verwerven van informatie in het kader van een informatieoorlog kunnen drie aanvalsmethodes worden aangewend:73 • Via bommen en raketten fysieke beschadigingen aanbrengen aan computers en communicatielijnen; • Via elektromagnetische straling chips vernietigen; • Via kwaadaardige software computers en netwerken manipuleren (= cyberoorlog) Voor het bestaan van het internet was het veel eenvoudiger om informatie te verbergen. Vandaag kan iemand die in het bezit is van een computer en die over een beetje technische kennis beschikt al heel wat (geheime) informatie verwerven over zaken waar men voor het bestaan het internet absoluut geen toegang tot had, om maar het voorbeeld van de site Wikileaks te geven. Cyberspionage is binnen deze informatieoorlog een handig instrument voor 70 N. UNGERER, Zeventien Jaar Cyberwarfare: Een exploratieve discourseanalyse naar de verbeelding van het begrip cyberwarfare in de literatuur van 1993 tot het heden, bachelor thesis geesteswetenschappen Universiteit Utrecht, 2011, 4. 71 N. UNGERER, Zeventien Jaar Cyberwarfare: Een exploratieve discourseanalyse naar de verbeelding van het begrip cyberwarfare in de literatuur van 1993 tot het heden, bachelor thesis geesteswetenschappen Universiteit Utrecht, 2011, 6. 72 D. BRADBURY, “Information warfare: a battle waged in public”, Computer Fraud & Security 2013, 15. 73 A. BENSCHOP, Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 30. 19 het bekomen van gevoelige informatie om er politiek, militair of economisch voordeel uit te halen. 74 Daar vroeger de geschiedenis werd geschreven door de overwinnaars van grote veldslagen/oorlogen, hangt vandaag het winnen of verliezen van de informatieoorlog enkel af van het hebben van goede connecties.75 HOOFDSTUK 3: DE NIEUWE OORLOG 2.0 Cyberspace vormt een revolutie binnen het militaire domein en zal een enorme impact hebben op de klassieke domeinen van oorlogsvoering, nl. : het land, de zee, de lucht en de ruimte. Het is niet enkel een revolutie op vlak van strijdwapens, strategieën en tactieken, maar zou ook wel eens een heruitvinding of herformulering van de essentie van oorlog tot gevolg kunnen hebben. Hierdoor kan het nog maar moeilijk worden vergeleken met de klassieke manier van oorlogsvoering.76 Tegenwoordig wordt het begrip “cyber” op tal van begrippen geplakt, bijvoorbeeld: cyberoorlog, cyberwapens, cyberterrorist, …. Daardoor is het moeilijk te bepalen waarover het precies gaat. Dit bemoeilijkt tevens het opstellen van een goed beleid en creëert onnodig veel angst, terwijl er tot vandaag nog altijd geen enkel dodelijk slachtoffer is gevallen ten gevolge van een cyberaanval.77 Door de onzekerheid en onduidelijkheid die heel het cybergebeuren met zich meebrengt, dienen er een aantal aspecten nauwer te worden geanalyseerd. 74 J.A. LEWIS, “Cyberwar Tresholds and Effects”, IEEE Security & Privacy 2011, 23. D. BRADBURY, “Information warfare: a battle waged in public”, Computer Fraud & Security 2013, 15-­‐16. 76 A. BENSCHOP, Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 41. 77 C. HOUTEKAMER, “Wanneer begint nou die cyberoorlog?”, 2014, http://www.nrcreader.nl/artikel/5983/wanneer-­‐ begint-­‐nou-­‐die-­‐cyberoorlog. 75 20 3.1. DOMEIN: CYBERSPACE Cyberspace wordt ook wel eens beschreven als het ‘vijfde domein van de oorlogsvoering’. Naast het land, de zee, de lucht en de ruimte vormt het digitale domein een vijfde operatiegebied voor krijgsmachten. Er dient te worden opgemerkt dat cyberspace het enige domein is dat door de mens is gecreëerd78 en dat tevens de laatste nieuwe ontwikkeling is binnen de militaire innovatie.79 Wanneer militaire operaties worden uitgevoerd in het vijfde domein, zal er in de meeste gevallen interactie plaatsvinden met de overige vier domeinen. Bovendien kan men nog nauwelijks opereren in de vier andere domeinen zonder gebruik te maken van digitale middelen. Militairen zijn namelijk heel erg afhankelijk geworden van de nieuwe technologische ontwikkelingen om onder andere te kunnen communiceren, coördineren, informatie te verzamelen, etc. Wanneer wordt gesproken over ‘cyberspace’, wordt soms gesuggereerd dat het een losgekoppelde ‘ruimte’ betreft, die geen verband houdt met tijd, plaats en menselijk handelen.80 Onder het digitale domein dient echter niets anders te worden verstaan dan het geheel van ICT-­‐middelen en –diensten. Dit heeft niet alleen betrekking op het internet an sich, maar het betreft ook alle andere netwerken of digitale apparaten die los van het internet fungeren, bijvoorbeeld digitale systemen in wagens, fabrieken, wapen-­‐ en sensorsystemen etc.81 Een oorlog die uitgevochten wordt in cyberspace is een ‘oorlog op afstand’ waarbij de vijand onzichtbaar is en schade kan berokkenen vanop enorme afstand. 78 P.W. SINGER en A. FRIEDMAN, Cybersecurity and Cyberwar: what everyone needs to know, Oxford, Oxford University Press, 2014,14. 79 D.R. CANABARRO en T. BORNE, Reflections on The Fog of (Cyber) War, NCDG Policy Working Paper 2013, No.13-­‐001, 6; J.A. LEWIS, “Cyberwar Tresholds and Effects”, IEEE Security & Privacy 2011, 24. 80 K. SPOOR, “Introductie: Fysieke grenzen virtuele (on)mogelijkheden” in L. MANDEMAKERS, P. DE NOOIJ, K. POELHEKKE, I. POUW, D. VAN TOOR en K. SPOOR, Fysieke grenzen virtuele (on)mogelijkheden, 2, http://issuu.com/karlijnspoor/docs/definitieve_tijdschrift_fysieke_grenzen_virtuele_o. 81 Advies AIV/CAVV, 10; P.W. SINGER en A. FRIEDMAN, Cybersecurity and Cyberwar: what everyone needs to know, Oxford, Oxford University Press, 2014, 13-­‐14; J.P.G. VERHAGEN, “Een beschouwing van de overeenkomsten en verschillen tussen cyber en EOV naar aanleiding van het 25 jarig bestaan van 102 EOVCie”, Intercom 2014, 35. 21 Het digitale domein bestaat uit een aantal ‘lagen’ of onderdelen. De belangrijkste zijn:82: • Fysieke laag: bestaat uit geografische locaties en fysieke objecten, zoals hardware (computers, servers, routers, smartphones) en hun fysieke verbindingen (zoals zendmasten). Tot de fysieke dimensie worden ook mensen gerekend: de gebruikers en bedieners van de middelen; • Virtuele laag: bestaat uit protocollen, software en digitale verbindingen tussen fysieke knooppunten en onderdelen in het netwerk. Deze laag bevat tevens de applicaties en software binnen de onderdelen van het netwerk zelf. De virtuele laag maakt het mogelijk dat de objecten en personen binnen een fysieke netwerkinfrastructuur met elkaar kunnen communiceren en dat data-­‐overdracht mogelijk is. Het bevat ook data in de vorm van de cyberidentiteit van mensen (e-­‐mailadressen, accounts op Facebook, Linkedin, etc.) Het is met andere woorden de kwetsbare laag die door hackers kan worden gemanipuleerd; Een specifiek kenmerk van het vijfde domein is het gebrek aan geografische of fysieke grenzen die verdedigd kunnen worden.83 In cyberspace zijn er geen afgebakende frontlijnen zoals dat wel het geval is bij de overige vier domeinen.84 Potentiële slagvelden zijn overal waar men toegang kan krijgen tot elektronische netwerken. 85 Velen denken dat omdat het internet wereldwijd is, dat het automatisch ook staatloos is. Dit is echter een foutieve redenering. Net zoals de mens de wereld heeft ingedeeld in verschillende staten en nationaliteiten, kan hetzelfde worden gedaan in cyberspace. Het zijn dan de fysieke infrastructuren en de gebruikers van het internet die de indeling in cyberspace bepalen. Om het anders te zeggen, de indelingen 82 P.A.L. DUCHEINE en J. VAN HAASTER, “Cyber-­‐operaties en militair vermogen”, Militaire Spectator 2013, nr. 9, 374; M.C. Libicki, Cyberdeterrence and Cyberwar, Santa Monica, Rand Corporation, 2009, 12-­‐13. 83 P.A.L. Ducheine en J. Van Haaster, “Cyber-­‐operaties en militair vermogen”, Militaire Spectator 2013, nr. 9, 374. 84 S. WINTERFELD en J. ANDRESS, The Basics of Cyber Warfare: Understanding the Fundamentals of Cyber Warfare in Theory and Practice, Waltham, Syngress ebook, 2012, 15. 85 A. BENSCHOP, Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 32; J. SIMONS, Interface en cyberspace: inleiding in de nieuwe media, Amsterdam, Amsterdam University Press, 2002, 214. 22 in cyberspace zijn net zo echt als de denkbeeldige lijnen die de Verenigde Staten afscheidt van Canada, of Noord-­‐ van Zuid-­‐Carolina.86 Hoewel op het digitale slagveld niet meteen moet gevreesd worden voor dodelijke slachtoffers, dient er wel rekening te worden gehouden met de mogelijke effecten van een cyberoorlog. De effecten van een cyberoorlog kunnen veel destructiever zijn en veel meer mensenlevens kosten dan de effecten van een klassieke oorlog. Denk bijvoorbeeld maar aan de grootschalige gevolgen van het uitschakelen van het hele elektriciteitsnet in een land: wat met de mensen die in ziekenhuizen in leven worden gehouden met apparatuur? Hoe voedsel bewaren? Wat met de beveiliging in gevangenissen? Het grote probleem hierbij is dat het moeilijk in te schatten is wat de effectieve gevolgen zullen zijn van dergelijke cyberoorlog. “ A new sort of conflict is dominating the world stage: cyberwar. It doesn’t matter the size and the available resources of the opponents. With an adequate IT capacity, the aftermath can be lethal and irreparable.”87 Het digitale domein kan zowel strategisch als operationeel worden ingeschakeld. Er is sprake van een strategische cyberoorlog88 wanneer digitale middelen worden ingezet om tot strijd te komen en er dus geen fysieke troepen aan te pas komen en geweld wordt vermeden. Bij een operationele cyberoorlog89 worden digitale middelen ingezet in de context van een traditioneel fysiek strijdtoneel. Het fenomeen kent in dit scenario een ondersteunende functie, die kan leiden tot een expliciet voordeel in het conflict aan de hand van het verrassingseffect van de cyberaanvallen. 90 86 P.W. SINGER en A. FRIEDMAN, Cybersecurity and Cyberwar: what everyone needs to know, Oxford, Oxford University Press, 2014,14. 87 L. NORO, “Cyber War: La Guerra Silente”, 2012, www.defonline.com.ar/?p=9064. 88 M.C. LIBICKI, Cyberdeterrence and Cyberwar, Santa Monica, Rand Corporation, 2009, 117. 89 M.C. LIBICKI, Cyberdeterrence and Cyberwar, Santa Monica, Rand Corporation, 2009, 139. 90 N. UNGERER, Zeventien Jaar Cyberwarfare: Een exploratieve discourseanalyse naar de verbeelding van het begrip cyberwarfare in de literatuur van 1993 tot het heden, bachelor thesis geesteswetenschappen Universiteit Utrecht, 2011, 10-­‐11. 23 3.2. ACTOREN Cyberspace is een wereldwijd domein, toegankelijk voor bijna iedereen die toegang heeft tot een met het internet verbonden computer, smartphone of elk ander type van multimedia apparaten. In dit domein bestaan heel wat verschillende actoren die naast elkaar opereren en die verschillende behoeften, doelen en intenties hebben. Sommigen handelen alleen, anderen werken via netwerken of meer formele structuren. 91 Het is de strategische inzet van de middelen die een partij voorhanden heeft die zorgt voor het effect op een tegenstander en niet per se de kwantiteit van de middelen. Dit blijkt duidelijk uit het feit dat een kleine groep hackers relatief veel schade kan aanrichten, in zowel het bedrijfsleven als bij de overheid, door het eenvoudig stelen van gevoelige informatie.92 Het aantal cyberincidenten gepleegd door niet-­‐statelijke actoren is gelijkwaardig aan het aantal incidenten waarbij enkel statelijke actoren betrokken zijn.93 Hieruit blijkt het asymmetrische, gedecentraliseerde karakter van deze nieuwe dreiging. Voor nationale staten is het al heel moeilijk om zich te verdedigen tegen cyberaanvallen van andere nationale staten, maar wat nog veel complexer is, is het adequaat reageren op cyberaanvallen van niet-­‐statelijke actoren. Niet-­‐ statelijke actoren zijn in de meeste gevallen zeer moeilijk te identificeren, waardoor ze weinig risico lopen om gevonden en vervolgd te worden. 3.2.1. NIET-­‐STATELIJKE ACTOREN Het is net doordat er in het digitale domein veel meer actoren actief zijn in vergelijking met een traditionele oorlog, dat een cyberoorlog zo een gevaarlijk fenomeen is. Vandaag is bijna 91 J. SIGHOLM, “Non-­‐state actors in cyberspace operations”, Journal of Military Studies 2013, 13. N. UNGERER, Zeventien Jaar Cyberwarfare: Een exploratieve discourseanalyse naar de verbeelding van het begrip cyberwarfare in de literatuur van 1993 tot het heden, bachelor thesis geesteswetenschappen Universiteit Utrecht, 2011, 7. 93 D.R. CANABARRO en T. BORNE, Reflections on The Fog of (Cyber) War, NCDG Policy Working Paper 2013, No.13-­‐001, 7. 92 24 iedereen op zichzelf in staat om een cyberoorlog te beginnen tegen een sterke staat. Naast diegene die virussen, spam, malware, etc. tot stand brengen, zijn er nog een aantal andere actoren in cyberspace die een opmerkelijke rol vervullen in een cyberoorlog. A. BURGERS De meest voorkomende actor in het digitale domein is logischerwijs de gewone burger die het internet gebruikt voor allerlei doeleinden. Het gaat hier om mensen die thuis gebruik maken van het internet, maar ook werknemers van bedrijven, organisaties of overheden, met als gemeenschappelijk kenmerk dat hun handelingen en motieven puur individueel zijn en in de meeste gevallen met goede bedoelingen. Deze actor vervult in het kader van cyberacties meestal een passieve of indirecte rol, bijvoorbeeld wanneer hun computer deel uitmaakt van een botnet94. Maar ze kunnen ook bewust hun computer door anderen laten gebruiken in het kader van een cyberactie. Burgers worden steeds meer betrokken bij het ontwikkelen van cyberwapens en het uitvoeren van cyberaanvallen in het kader van conflicten, waarover later meer uitleg volgt. B. HACKTIVISTEN Hacktivisten zijn in principe activisten die hun computerkennis en het internet gebruiken om te protesteren of om een bepaalde ideologie of politieke overtuiging aan de buitenwereld bekend te maken.95 Ze vallen informaticasystemen aan met als doel deze buiten werking te stellen of om informatie te stelen. Zo kunnen ze op een indirecte manier meewerken aan het bereiken van bepaalde politieke of militaire doeleinden. Een duidelijk voorbeeld van hacktivisme zijn de 94 Zie uitleg voetnoot nr. 6. T. JORDAN en P.A. TAYLOR, Hacktivism and Cyberwars: Rebels with a Cause?, Londen, Routledge, 2004, 110-­‐111; P.W. SINGER en A. FRIEDMAN, Cybersecurity and Cyberwar: what everyone needs to know, Oxford, Oxford University Press, 2014, 77. 95 25 acties van de groep ‘Anonymous’.96 Anonymous heeft bekend dat ze verantwoordelijk zijn voor een aantal cyberaanslagen zoals onder andere op de geestelijke beweging Scientology, het bedrijf Louis Vuitton, Sony, Mastercard en websites van de Amerikaanse overheid,… waarmee ze wereldwijde aandacht verworven.97 Hacktivisme wordt vaak verward met ‘cyberoorlog’.98 Het is geen cyberoorlog op zich, maar het kan er wel een belangrijke rol in spelen. C. HACKERS Hackers zijn specialisten op het vlak van computertechnologie en de werking van netwerken en worden getypeerd door het inbreken in computersystemen. Ze worden gedreven door diverse drijfveren zoals nieuwsgierigheid, economisch doel, politieke agenda’s, technische uitdaging of ze handelen louter uit verveling.99 Ook zij worden steeds meer ingezet door staten binnen het kader van een conflict. Tevens zijn er tal van hackers die uit eigen initaitief deelnemen aan een dergelijk conflict. Hierbij kan specifiek verwezen worden naar de ‘vaderland-­‐hacker’ of ‘patriot-­‐ hacker’.100 Een voorbeeld van zo een ‘patriot-­‐hacker’ is onder andere de student die massale DDos-­‐aanvallen lanceerde op Estland. Deze student behoorde tot Russische minderheid in Estland en voerde de aanvallen uit ter ondersteuning van het ongenoegen van Rusland ten aanzien van het verplaatsen van het standbeeld van ‘De Bronzen Soldaat’ (Supra 5-­‐7). 96 P.W. SINGER en A. FRIEDMAN, Cybersecurity and Cyberwar: what everyone needs to know, Oxford, Oxford University Press, 2014, 80-­‐84. 97 S. MANSFIELD-­‐DEVINE, “Anonymous: serious threat or mere annoyance”, Network Security 2011, 4-­‐10; P. OLSON, We Are Anonymous: Inside the Hacker World of LulzSec, Anonymous, and the Global Cyber Insurgency, New York/Boston/Londen, Little, Brown and Company, 2013, (google eboek zonder pagina-­‐aanduiding). 98 E. WILLEMS, Cybergevaar: hoe we ons kunnen wapenen tegen online misdaad en terreur, Tielt, Lannoo Meulenhoff, 2013 ( google eboek zonder pagina-­‐aanduiding). 99 J. SIGHOLM, “Non-­‐state actors in cyberspace operations”, Journal of Military Studies 2013, 15. 100 J. ANDRESS en S. WINTERFELD, Cyber Warfare: Techniques, Tactics and Tools for Security Practitioners, Waltham, Elsevier, 2014, 211; P.W. SINGER en A. FRIEDMAN, Cybersecurity and Cyberwar: what everyone needs to know, Oxford, Oxford University Press, 2014, 110-­‐123. 26 D. CYBERTERRORISTEN Terroristen zijn extremisten die in het kader van hun politieke overtuiging of ideologische agenda gebruik maken van extreem geweld ten aanzien van onschuldige slachtoffers of die massa-­‐destructie plegen op staatseigendommen.101 Cyberterroristen zijn terroristen die gebruik maken van computers en technologie om hun aanvallen uit te voeren en die paniek en chaos willen creëren onder de burgers.102 Tot op vandaag bestaat er nog steeds discussie over de vraag of ‘cyberterroristen’ daadwerkelijk bestaan en of het niet louter gaat om gewone hackers of andere actoren die verward worden met terroristen.103 E. CYBERSPIONNEN Heimelijke informatieverweving of spionage gebeurt niet alleen tussen staten die feitelijk met elkaar in oorlog zijn of zich daarop voorbereiden, maar ook tussen staten die elkaar als bondgenoten beschouwen. Daar spionnen vroeger werden getraind om ongezien op plaatsen binnen te dringen waar geheime, vertrouwelijke of gevoelige informatie is opgeslagen, gaat het er vandaag de dag anders aan toe. Tegenwoordig wordt deze belangrijke informatie opgeslagen op computers en in netwerken. Cyberspionnen dienen te kunnen inbreken in computersystemen en moeten kunnen infiltreren in digitale netwerken. Het wordt ook wel eens ‘spionage op afstand’ genoemd.104 101 E. GARTZKE, “The Myth of Cyberwar: Bringing War in Cyberspace Back Down to Earth”, International Security 2013, 68-­‐69. 102 J. SIGHOLM, “Non-­‐state actors in cyberspace operations”, Journal of Military Studies 2013, 18. 103 G. WEIMANN, Cyberterrorism, How Real is the Threat?, special report United States Institute of Peace, 2004, 10-­‐ 11. 104 A. BENSCHOP, Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 81-­‐82. 27 Cyberspionnen verschillen van de andere actoren in het digitale domein, daar zij handelen conform de wet of handelen met een stilzwijgende goedkeuring van een ondersteunde staat (en volgens de wet van die staat).105 3.2.2. STATELIJKE ACTOREN: CYBERMILITAIREN In een interstatelijke cyberoorlog hebben we te maken met een nieuwe categorie van beroepsmilitairen, nl. cybermilitairen, die hoog gekwalificeerd en goed georganiseerd zijn en die over zeer omvangrijke hulpbronnen beschikken.106 Heel wat nationale staten zoals Amerika, China, Iran, Israël, Nederland, Rusland, Japan, Zuid-­‐ en Noord Korea, Groot-­‐Brittannië 107 ,… beschikken heden ten dage al over een cyberleger – of hebben reële plannen om er een op te richten – dat zich toespitst op het voeren van een cyberoorlog.108 Tot de taak van de cybermilitairen behoort onder andere109: • Cyberverdediging (defensief): verdedigen van de nationale infrastructuren tegen vijandige aanvallen van andere staten; • Cyberspionage110 (preventief): via het infiltreren in computersystemen en netwerken van vijandige staten trachten tijdig op de hoogte te zijn van eventuele voorbereidingshandelingen voor een cyberaanval; • Cyberaanval (offensief): bij een daadwerkelijk conflict de computers en netwerken, of de daarop aanwezige informatie, van de vijand ontregelen, beschadigen of vernietigen Dit zijn bovendien de drie acties waaruit een operationale (cyber)oorlog bestaat. 105 J. SIGHOLM, “Non-­‐state actors in cyberspace operations”, Journal of Military Studies 2013, 22. A. BENSCHOP, Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 71. 107 J. KRAAN, “Groot-­‐Brittannië krijgt cyberleger”, 2013, www.nieuwsbreak.nl/nieuws/7758916. 108 J.A. LEWIS, “Cyberwar Tresholds and Effects”, IEEE Security & Privacy 2011, 24; Nationaal Trendrapport Cybercrime 2010, 35. 109 Advies AIV/CAVV, 14. 110 M.A.J. SCHAAP, “Cyber warfare operations: development and use under international law”, Air Force Law Review 2009, 139-­‐142. 106 28 Om deze acties te kunnen realiseren in het kader van het digitale domein, heeft een staat nood aan cybermilitairen met een hoog niveau van kennis van de structuur en de werking van computersystemen en –netwerken, gecombineerd met praktische vaardigheden uit de sfeer van het offensieve hacken.111 Met andere woorden, staten gaan geen amateurhackers rekruteren daar deze niet beschikken over de vereiste kennis en vaardigheden die nodig zijn voor een hoogwaardige cyberkrijgsmacht. Een welvarende cyberstrategie zal door staten enkel worden verwezenlijkt wanneer zij in ruime mate investeren in de kwaliteit (opleidingen en trainingen) en de kwantiteit (de aantallen) van cybermilitairen.112 Bovendien zijn het strijdkrachten die een stuk goedkoper zijn dan militairen in een fysieke oorlog, die moeten voorzien worden van wapens en uitrustingen. Het enige wat cybermilitairen nodig hebben om hun acties uit te voeren, zijn een paar snelle en goed afgeschermde computers, geavanceerde software, een laboratoriumomgeving en hier en daar een internetverbinding.113 3.2.3. ATTRIBUTIEPROBLEMATIEK “One of the things that scares U.S. military officials the most about cyberwar is that, if an attack comes, they may not know who the enemy is. Cyberexperts say the thoughets problem of all is attribution – knowing who’s breaking into your grid and where they are if you wish to retaliate.”114 Het wellicht meest delicate vraagstuk inzake cyberoorlog is de problematiek van de toewijzing of ‘attributie’ van de aanval.115 Het is een heel moeilijke opdracht om allereerst de aanval toe te 111 A. BENSCHOP, Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 72. Advies AIV/CAVV, 16-­‐17. 113 A. BENSCHOP, Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 76. 114 F. FRANCEUS, “Cyberaanvallen en het recht van de gewapende conflicten: bemerkingen bij een juridische primeur in België en de Verenigde Staten” in M. COOLS, E. DEBRUYNE, F. FRANCEUS e.a. (eds.), Cahiers Inlichtingenstudies -­‐ BISC nr. 2, Apeldoorn-­‐Antwerpen, Maklu, 2012, 123-­‐124. 115 E. GARTZKE, “The Myth of Cyberwar: Bringing War in Cyberspace Back Down to Earth”, International Security 2013, 46; R.R. GELINAS, Cyberdeterrence and the problem of attribution, thesis Faculty of the Graduate School of Arts and Sciences of Georgetown University, 2010, 1; P.W. SINGER en A. FRIEDMAN, Cybersecurity and Cyberwar: what everyone needs to know, Oxford, Oxford University Press, 2014, 73. 112 29 wijzen en vervolgens om de verantwoordelijke juist te identificeren. De voornaamste problemen inzake attributie zijn: • Probleem 1: Karakterisering van de aanval Om te kunnen bepalen wie er verantwoordelijk is voor een cyberaanval dient vooreerst het politiek-­‐strategische doel te worden achterhaald van de aanval en de aanvaller. Dit vormt namelijk een constitutief element van het fenomeen ‘oorlog’ en dus logischerwijze ook van cyberoorlog. De identiteit van de aanvaller zal al veel vertellen over het beoogde doel van de aanval. Aan een tegenstander die onbekend is en dat ook blijft, kan geen politiek doel worden aangekleefd.116 Op basis van het karakter van de aanval kan worden bepaald welke middelen en onder welke voorwaarden een slachtoffer kan terugslaan.117 • Probleem 2: Identificatie tegenstander Binnen het digitale domein opereert de vijand anoniem, virussen, wormen en dergelijke dragen namelijk geen uniform. Vaak gaan de aanvallen schuil achter kwaadaardige of zombienetwerken, waardoor ook de geografische oorsprong van de aanval in de meeste gevallen niet te achterhalen is.118 Het achterhalen van de identiteit van de aanvaller is een complexe en zeer tijdrovende opdracht. Attributie speelt een heel belangrijke rol in het bepalen van het doelwit voor de tegenaanval. Het is van groot belang dat de oorsprong van de aanval duidelijk en met zekerheid kan worden toegewezen, gezien een blinde tegenaanval niet wordt gerechtvaardigd. Daarenboven kan de aard van de tegenaanval verschillen wanneer het gaat om een statelijke actor of een niet-­‐ statelijke actor. Bij een cyberaanval mag het slachtoffer zijn tegenreactie afstemmen op de aard van de bedreiging en het getroffen doelwit, en niet op de aanvaller of de door hem ingezette 116 F. FRANCEUS, “Cyberaanvallen en het recht van de gewapende conflicten: bemerkingen bij een juridische primeur in België en de Verenigde Staten” in M. COOLS, E. DEBRUYNE, F. FRANCEUS e.a. (eds.), Cahiers Inlichtingenstudies -­‐ BISC nr. 2, Apeldoorn-­‐Antwerpen, Maklu, 2012, 123-­‐124. 117 N. UNGERER, Zeventien Jaar Cyberwarfare: Een exploratieve discourseanalyse naar de verbeelding van het begrip cyberwarfare in de literatuur van 1993 tot het heden, bachelor thesis geesteswetenschappen Universiteit Utrecht, 2011, 1. 118 A. BENSCHOP, Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 34. 30 middelen. 119 Ook in het kader van de karakterisering van de aanval speelt attributie een belangrijke rol. Volgens bepaalde auteurs laat het unieke karakter van de digitale oorlog toe dat een staat, gelet op de snelheid waarmee cyberaanvallen plaatsvinden, te goeder trouw een tegenaanval mag lanceren zonder dat ze het politiek-­‐strategische doel van de aanval en de identiteit van de aanvaller kent.120 Vervolgens vormt de attributieproblematiek ook een hinderpaal inzake de neutraliteit van derde staten. Een van de basisprincipes die geldt binnen de regels van een oorlog is, dat de getroffen staat de neutraliteit van landen en burgers die niet bij de aanval betrokken waren dient te respecteren. Laat nu net daar het schoentje knellen bij een cyberaanval. Bij het opzetten van een cyberaanval maken de aanvallers vaak gebruik van de computersystemen van onschuldige burgers die in andere landen gevestigd zijn.121 Dergelijke manier van werken brengt in de meeste gevallen de getroffen staat in verwarring doordat zij niet met zekerheid kan bepalen door wie de aanval is opgezet en van waar de aanval juist afkomstig is.122 Hierover volgt meer informatie in deel II van deze masterproef. De in dit onderdeel besproken problemen zorgen ervoor dat de attributieproblematiek op gespannen voet staat met het internationaal recht, daar een tegenaanval tegen andere staten of niet-­‐statelijke actoren die niet met zekerheid kunnen worden geïdentificeerd als dader moeilijk te verdedigen is. Toch vormt het attributieprobleem geen absolute rem voor een 119 F. FRANCEUS, “Cyberaanvallen en het recht van de gewapende conflicten: bemerkingen bij een juridische primeur in België en de Verenigde Staten” in M. COOLS, E. DEBRUYNE, F. FRANCEUS e.a. (eds.), Cahiers Inlichtingenstudies -­‐ BISC nr. 2, Apeldoorn-­‐Antwerpen, Maklu, 2012, 124; N. UNGERER, Zeventien Jaar Cyberwarfare: Een exploratieve discourseanalyse naar de verbeelding van het begrip cyberwarfare in de literatuur van 1993 tot het heden, bachelor thesis geesteswetenschappen Universiteit Utrecht, 2011, 12. 120 F. FRANCEUS, “Cyberaanvallen en het recht van de gewapende conflicten: bemerkingen bij een juridische primeur in België en de Verenigde Staten” in M. COOLS, E. DEBRUYNE, F. FRANCEUS e.a. (eds.), Cahiers Inlichtingenstudies -­‐ BISC nr. 2, Apeldoorn-­‐Antwerpen, Maklu, 2012, 124; M. HOISINGTON, “Cyberwarfare and the Use of Force Giving Rise to the Right of Self-­‐Defense”, Boston College International & Comparative Law Review 2009, 439-­‐454. 121 R.R. GELINAS, Cyberdeterrence and the problem of attribution, thesis Faculty of the Graduate School of Arts and Sciences of Georgetown University, 2010, 21; C. HOUTEKAMER, “Wanneer begint nou die cyberoorlog?”, 2014, http://www.nrcreader.nl/artikel/5983/wanneer-­‐begint-­‐nou-­‐die-­‐cyberoorlog; M.C. LIBICKI, Cyberdeterrence and Cyberwar, Santa Monica, Rand Corporation, 2009, 43-­‐44. 122 F. FRANCEUS, “Cyberaanvallen en het recht van de gewapende conflicten: bemerkingen bij een juridische primeur in België en de Verenigde Staten” in M. COOLS, E. DEBRUYNE, F. FRANCEUS e.a. (eds.), Cahiers Inlichtingenstudies -­‐ BISC nr. 2, Apeldoorn-­‐Antwerpen, Maklu, 2012, 125. 31 tegenreactie. Het internationaal recht vergt niet dat de attributie op zich ‘elektronisch’ gebeurt, maar wel dat de dader geïdentificeerd wordt. De identificatie van de dader zal weldegelijk mogelijk zijn wanneer de cyberaanval een onderdeel vormt van een conventionele aanval waar de aanvaller ook fysiek optreedt en fysieke sporen achterlaat. Is de aanvaller bij een conventionele aanval reeds verdwenen voor hij kan worden geïdentificeerd? Dan kan er nog beroep worden gedaan op onder andere de trukendoos van inlichtingendiensten om de identiteit van de aanvaller te achterhalen. De attributieproblematiek is tevens de reden waarom het voor staten zeer moeilijk is om een cyberstrategie op te stellen.123 3.3. MIDDELEN De middelen waarmee een cyberoorlog wordt gevoerd, worden ook wel eens cyberwapens genoemd. Daar de cyberoorlog een logisch gevolg is van de evolutie binnen de wereld van de technologie, is ook het bestaan van cyberwapens daar een logisch gevolg van. Het gebruik van geweer of kanon zijn vervlogen tijden, vandaag worden staatsconflicten uitgevochten met cyberwapens. Bij gebrek aan een internationale definitie dient onder een ‘cyberwapen’ te worden verstaan: een computercode die wordt gebruikt, of die is gecreëerd om te gebruiken, om te dreigen met of het aanrichten van fysieke, functionele, of geestelijke schade aan gebouwen, systemen, of levende wezens. 124 Voorbeelden van cyberwapens zijn onder andere: malware, virussen, Trojaanse paarden, afluisterpraktijken, botnets, … Cybercriminelen zijn steeds op zoek naar onbekende zwakheden in systemen, netwerken en applicaties; door deze te combineren of aan te passen vermijden ze dat ze worden onderschept door beveiligingsprogramma’s.125 123 R.R. GELINAS, Cyberdeterrence and the problem of attribution, thesis Faculty of the Graduate School of Arts and Sciences of Georgetown University, 2010, 2. 124 T. RID en P. MCBURNEY, “Cyber-­‐Weapons”, Rusi Journal 2012, 7. 125 Toelichting bij het voorstel van resolutie ter beveiliging van elektronische informatie en bescherming tegen cyberaanvallen, Parl.St. Senaat 2012-­‐2013, nr. 5-­‐1855/1. 32 Cyberwapens kunnen worden gegroepeerd binnen een spectrum gaande van algemene, low-­‐ potential cyberwapens tot specifieke, high-­‐potential cyberwapens: • Algemene low-­‐potential cyberwapens: deze kunnen worden vergeleken met paintballwapens. Ze worden vaak verward met echte wapens, zijn eenvoudig en commercieel te verkrijgen, door velen gebruikt om te ‘spelen’, en het is duidelijk zichtbaar wanneer men geraakt wordt. Maar bij het nader bestuderen van de wapens zullen al snel elementen worden opgemerkt die het dreigende karakter wegnemen. Vb. Malware die in staat is om een systeem zichtbaar te beïnvloeden (verf van het paintball balletje), zonder in staat te zijn om in het systeem binnen te dringen en directe schade aan te richten (met een paintball geweer kan men niet iemand doodschieten). DDos-­‐aanvallen zijn makkelijk te installeren en te gebruiken, relatief gemakkelijk om er zich tegen te verdedigen en zijn zeer zichtbaar. De schade die deze aanvallen met zich meebrengen, zoals economische schade nadat een banksite werd platgelegd, is het indirecte gevolg van de aanslag met een cyberwapen.126 • Specifieke high-­‐potential cyberwapens: deze kunnen worden vergeleken met gesofisticeerde fire-­‐and-­‐forget wapens zoals anti-­‐radar raketten. Ze vereisen specifieke kennis van het doelwit, die tevens wordt geprogrammeerd in het wapensysteem. Deze wapens openen veel nieuwe deuren, maar bevatten ook heel wat beperkingen.127 Bv. Malware die als een geheime agent in een systeem binnen treedt en directe schade veroorzaakt. Stuxnet is hiervan een duidelijk voorbeeld, deze worm was specifiek gecreëerd om binnen te dringen in de procesbesturingssystemen van nucleaire installaties.128 Het maximaliseren van het destructieve potentieel van een cyberwapen zal een dubbel effect met zich meebrengen. Enerzijds vereist het meer middelen, kennis en tijd om zo’n wapen tot stand te brengen, anderzijds zal meer destructief potentieel het aantal doelwitten en het risico op bijkomende en onbedoelde schade doen afnemen. 126 T. RID en P. MCBURNEY, “Cyber-­‐Weapons”, Rusi Journal 2012, 8. T. RID en P. MCBURNEY, “Cyber-­‐Weapons”, Rusi Journal 2012, 6. 128 T. RID en P. MCBURNEY, “Cyber-­‐Weapons”, Rusi Journal 2012, 9. 127 33 Omwille van de volgende drie redenen is het belangrijk dat een duidelijke lijn wordt getrokken tussen wat een cyberwapen is en wat niet: 129 • Veiligheid: wanneer een bepaald instrument geen potentieel heeft om te worden gebruikt als wapen en niet in staat is om schade aan te richten, dan is het veel minder gevaarlijk dan een instrument dat wel als wapen kan worden gebruikt en wel schade kan aanrichten; • Politiek: een ongewapende aanval heeft politiek gezien minder gevolgen dan gewapende interventies; • Wettelijk: wanneer een instrument wordt beschouwd als een wapen, dan is het in principe onwettelijk en kunnen diegene die dergelijke instrumenten ontwikkelen of er in het bezit van zijn, worden bestraft.130 Stuxnet was duidelijk een cyberwapen, maar Duqu, een virus dat een jaar na Stuxnet werd ontdekt, was dan weer geen cyberwapen. Waar zit het verschil? Duqu was een virus dat informatie verzamelde op grote computernetwerken.131 In tegenstelling tot Stuxnet had Duqu helemaal niet de intentie en werd het ook niet gebruikt om enige schade aan te richten, het was louter en alleen ingesteld om informatie te verwerven. Aan de digitale wapens waarmee wordt gestreden op het digitale strijddomein zijn een aantal specifieke kenmerken verbonden. Allereerst kennen digitale aanvallen veelal indirecte effecten. Op het internet is alles nauw met elkaar verbonden, waardoor een aanval op bijvoorbeeld een militair systeem gevolgen kan hebben voor civiele netwerken zonder dat van te voren is vast te stellen wat de omvang en ernst van die gevolgen is. Daarnaast is het vereiste materieel eenvoudiger en goedkoper aan te schaffen dan fysieke wapens, gevechtstanks, gevechtsvliegtuigen. Maar dit wil niet zeggen dat elke cyberaanval louter en alleen met digitale wapens kan worden gerealiseerd, in de meeste gevallen is er ook nood aan gespecialiseerde kennis. Voorts hebben digitale wapens een beperkte houdbaarheidsduur. Wanneer digitale wapens worden gebruikt, of op een andere manier openbaar worden, kunnen anderen 129 T. RID en P. MCBURNEY, “Cyber-­‐Weapons”, Rusi Journal 2012, 11. Ibid. 131 A. BENSCHOP, Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 231. 130 34 kennisnemen van de gebruikte kwetsbaarheden van systemen. Wanneer de kwetsbaarheden zijn gekend, kunnen deze worden verholpen waardoor het digitale wapen geen effect meer kan hebben. 132 Met andere woorden, een cyberwapen blijft enkel succesvol wanneer bekende kwetsbaarheden niet worden weggenomen. 133 Bedrijven, burgers en staten staan veruit machteloos tegenover cybercriminelen, ookal reageren ze op bekende kwetsbaarheden in hun systeem door het installeren van beveiligingsprogramma’s, dan nog zijn cybercriminelen hen in de meeste gevallen te vlug af door hun cyberwapens aan te passen of te combineren om zo de beveiliging opnieuw te omzeilen. Aanval en verdediging staan in cyberspace in een ongelijke verhouding tegenover elkaar. Daar de verdediging steeds succesvolle maatregelen moet nemen wanneer de vijand een cyberactie onderneemt, dient een vijandige aanval maar eenmaal succesvol te zijn. Dit is dan ook de reden waarom de verdediging in het digitale domein altijd achterloopt op de vijandige aanvaller (Infra 40-­‐45). Cyberwapens zijn bovendien heel makkelijk te verbergen en worden in de meeste gevallen in het grootste geheim ontwikkeld en getest. Dit zorgt ervoor dat het reguleren van het toezicht op het gebruik van digitale wapens alles behalve een makkelijke zaak is.134 In de handen van sterke staten zullen cyberwapens het meest effectief worden aangewend, maar omwille van de lage toegangsprijs, de anonimiteit en de asymmetrie in kwetsbaarheid zijn het ook heel nuttige en sterk gewilde strijdmiddelen voor de zwakkere staten. 135 Zwakke staten kunnen aan de hand van cyberwapens de militaire kracht van sterke staten, die erg afhankelijk zijn van computers en netwerken, in sterkere mate weerstaan of omzeilen dan in de meer traditionele domeinen.136 132 Advies AIV/CAVV, 12. Nationaal Trendrapport Cybercrime 2010, 23. 134 Advies AIV/CAVV, 13. 135 M. MURPHY, “War in the fifth domain: Are the mouse and keyboard the new weapons of conflict?”, 2010, http://www.economist.com/node/16478792. 136 J.S. NYE JR., Cyber Power, Cambridge, research Belfer Center for Science and International Affairs Cambridge (Harvard Kennedy School), 2010, 1. 133 35 HOOFDSTUK 4: AFSCHRIKKING EN VERDEDIGING 4.1. CYBERAFSCHRIKKING “Deterrence is the art of producing in the mind of the enemy the fear to attack.”137 Aangezien het zeer moeilijk is om zich te verdedigen tegen een cyberaanval (Infra 40-­‐45), is de (enige) oplossing om hieraan tegemoet te komen er voor zorgen dat potentiële vijanden op voorhand worden afgeschrikt. Het gebruik van afschrikking binnen een conflict is niet nieuw, zo speelde het een zeer belangrijke rol tijdens de Koude Oorlog tussen de Verenigde Staten en de Sovjet-­‐Unie. Ten tijde van de Koude Oorlog lag de focus voornamelijk op de afschrikking tussen staten en supermachten en nucleaire afschrikking. Door de jaren heen is hetgeen waarvoor moet worden afgeschrikt sterk geëvolueerd.138 Vandaag draait het niet enkel meer om staten of supermachten, maar vormen ook gewone burgers een ernstige bedreiging. Dit terwijl nucleaire en traditionele wapens meer en meer op de achtergrond verdwijnen en het digitale domein stilaan overheerst. Waar vroeger slechts enkele staten over nucleaire wapens beschikten, beschikken vandaag bijna alle landen over gevaarlijke cyberwapens.139 Het bestaan van de mogelijkheid voor niet-­‐statelijke actoren om deze cyberwapens te gebruiken en enorme schade aan te richten, hebben een serieuze impact op afschrikking terwijl dit in het kader van nucleaire wapens nooit een probleem is geweest. Bij het gebruik van nucleaire wapens was attributie geen enkel probleem, de impact van een aanval was duidelijk voorspelbaar, er waren geen derde partijen bij betrokken, private bedrijven werden niet geacht zichzelf te verdedigen, etc.140 Dit toont aan dat het gebruik van cyberwapens veel complexere gevolgen met zich meebrengt dan de gevolgen bij het gebruik van traditionele wapens. Afschrikking in cyberspace moet 137 E.T. JENSEN, “Cyber Deterrence”, Emory International Law Review 2012, 775. E.T. JENSEN, “Cyber Deterrence”, Emory International Law Review 2012, 779; A. LUPOVICI, “Cyber Warfare and Deterrence: Trends and Challenges in Research”, Military and Strategic Affairs 2011, 49. 139 E.T. JENSEN, “Cyber Deterrence”, Emory International Law Review 2012, 780. 140 M.C. Libicki, Cyberdeterrence and Cyberwar, Santa Monica, Rand Corporation, 2009, xvi. 138 36 betrekking hebben op het hele spectrum van actoren, types cyberaanvallen, alle soorten cyberwapens, …141 4.1.1. VOORWAARDEN VOOR SUCCESVOLLE AFSCHRIKKING Er bestaan verschillende manieren waarop een potentiële vijand kan worden afgeschrikt.142 Zo is er de strategie om af te schrikken via de mogelijkheid tot vergelding van de potentiële aanvaller. Hierbij zal de vijand eerst afwegen of het voordeel dat hij haalt uit de aanval opweegt tegen het nadeel van een eventuele vergelding, vooraleer hij over gaat tot actie. Een andere mogelijkheid is afschrikking door de vijand er van te overtuigen dat hij geen schijn van kans maakt.143 Met andere woorden: “Fire all the weapons you want, but I can shoot them all down before they hurt me”.144 Volgens Albert Benschop zal afschrikking, ongeacht welke vorm, maar succesvol zijn wanneer het voldoet aan de volgende vier voorwaarden:145 • Beide partijen moeten toegang hebben tot gelijkaardige informatie over elkaars intenties, capaciteiten en vastberadenheid. Er moet een continue dialoog plaatsvinden tussen de partijen waarbij afschrikkingsberichten worden uitgewisseld; 146 • Beide partijen dienen over voldoende tijd te beschikken om de juiste afwegingen te maken (o.a. juiste inschatting maken van de gevolgen van een aanval); • Beide partijen dienen te beseffen dat wanneer de afschrikking geen effect teweegbrengt dat ze iets van identieke waarde kunnen verliezen en dat ze weinig of niets te winnen hebben. De beslissing om een aanval al dan niet uit te voeren is gebaseerd op enerzijds 141 E.T. JENSEN, “Cyber Deterrence”, Emory International Law Review 2012, 783. W. GOODMAN, “Cyber Deterrence: Tougher in Theory than in Practice?”, Strategic Studies Quarterly 2010, 105. 143 A. LUPOVICI, “Cyber Warfare and Deterrence: Trends and Challenges in Research”, Military and Strategic Affairs 2011, 50. 144 E. T. JENSEN, “Cyber Deterrence”, Emory International Law Review 2012, 808. 145 A. BENSCHOP, Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 244. 146 W. GOODMAN, “Cyber Deterrence: Tougher in Theory than in Practice?”, Strategic Studies Quarterly 2010, 107-­‐ 108; E. T. JENSEN, “Cyber Deterrence”, Emory International Law Review 2012, 788. 142 37 de vraag of de kosten van de aanval opwegen tegen de voordelen die er mee kunnen worden bekomen, en anderzijds de vraag of de voordelen van terughoudendheid opwegen tegen de kosten; 147 • Beide partijen moeten op een betrouwbare manier met hun eigen systemen en met elkaar kunnen communiceren zodat ze in staat zijn om controle over de crisis te behouden en nieuwe informatie op een zorgvuldige manier kunnen beoordelen. Afschrikking kan slechts effectief werken wanneer de informatiehuishouding van beide kampen ongedeerd blijven.148 4.1.2. MOEILIJKHEDEN VOOR AFSCHRIKKING IN EEN CYBEROORLOG De vier criteria die Albert Benschop beschrijft als noodzakelijk voor een effectieve afschrikking in een conventionele oorlog vormen een groot struikelblok in een cyberoorlog. Bij een cyberoorlog zijn net de informatie en de informatienetwerken de doelwitten van aanvallen. Wanneer een staat het informatienetwerk van een andere staat plat legt, dan is de getroffen staat meteen ook haar capaciteit kwijt om een effectieve afschrikking of verdediging te lanceren ten aanzien van de vijandige staat. Een andere reden waarom afschrikking binnen een cyberoorlog een complexe zaak is, is de snelheid en anonimiteit waarmee cyberaanvallen worden uitgevoerd. 149 Daar bij een conventionele aanval het geviseerde doelwit meestal op voorhand over getrouwe informatie beschikt over de dreiging, het tijdstip en de omvang van de aanval via waarschuwingen (bv. radarsignalen van vliegtuigen of raketten) van de vijand, is dat niet het geval bij cyberaanvallen. Bij een cyberoorlog kunnen aanvallen worden gelanceerd zonder waarschuwing, op elke moment, vanop elke plaats ter wereld en in de meeste gevallen beseft het slachtoffer niet eens dat het wordt aangevallen, laat staan dat geweten is door wie. Wanneer niet geweten is wie de 147 W. GOODMAN, “Cyber Deterrence: Tougher in Theory than in Practice?”, Strategic Studies Quarterly 2010, 108. A. BENSCHOP, Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 244. 149 A. LUPOVICI, “Cyber Warfare and Deterrence: Trends and Challenges in Research”, Military and Strategic Affairs 2011, 53. 148 38 vijand is, kan ook geen effectieve afschrikking tegen deze vijand worden opgezet. 150 De verkeerde persoon raken tast niet enkel het principe van afschrikking aan maar maakt ook een nieuwe vijand.151 Ongeacht alle moeilijkheden in het digitale domein, is het niet zo dat op geen enkele manier afschrikking kan worden verwezenlijkt. Alles draait namelijk om ‘geloofwaardigheid’. 152 Een staat zal een vijandige staat demotiveren om aan te vallen, wanneer ze er in slaagt op een geloofwaardige manier de potentiële tegenstander er van te overtuigen dat ze zelf over aanzienlijke cyberwapens beschikt en bereid is deze in te zetten teneinde een aanval te vergelden of een dreigende aanval te voorkomen.153 Maar zoals reeds eerder aangegeven zijn een cyberoorlog en klassieke oorlogsvormen nauw met elkaar verbonden. Achter de fluwelen handschoen van de cyberafschrikking gaat altijd de ijzeren vuist van de conventionele of nucleaire vergelding schuil. Cyberspace is dan zogezegd wel een ‘staatloos’ domein, maar diegene die de aanvallen organiseren doen dat wel zittend in een land waar zij onder het gezag van een staat vallen.154 Een andere optie om staten af te schrikken is via de juridische weg (internationaal recht en het nationaal strafrecht).155 Via het recht zouden staten aansprakelijk kunnen worden gesteld voor cyberaanslagen afkomstig van hun grondgebied. Maar zover is het recht vandaag nog niet. Wil men in cyberspace effectieve afschrikking ontwikkelen dan dienen staten voortdurend met elkaar te communiceren over conflicten in het digitale domein. Enkel via communicatie kunnen ze zeker weten dat waarschuwingen worden ontvangen en begrepen.156 Wanneer een staat een andere staat wil afschrikken dan moet ze minstens over evenveel en even sterke middelen beschikken als de vijandige staat. 150 E. T. JENSEN, “Cyber Deterrence”, Emory International Law Review 2012, 786. M.C. Libicki, Cyberdeterrence and Cyberwar, Santa Monica, Rand Corporation, 2009, 41. 152 W. GOODMAN, “Cyber Deterrence: Tougher in Theory than in Practice?”, Strategic Studies Quarterly 2010, 106; A. LUPOVICI, “Cyber Warfare and Deterrence: Trends and Challenges in Research”, Military and Strategic Affairs 2011, 49. 153 Advies AIV/CAVV, 15. 154 A. BENSCHOP, Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 248. 155 G.F. WHEATLEY en R.E. HAYES, Information Warfare and Deterrence, report NDU Press Book, 1996, 13. 156 W. GOODMAN, “Cyber Deterrence: Tougher in Theory than in Practice?”, Strategic Studies Quarterly 2010, 109. 151 39 Een effectieve afschrikking zal tevens een gunstig effect hebben op de kosten voor het creëren van beveiligingssystemen. Wanneer een potentiële bedreiging verdwijnt moet ook niet verder worden geïnvesteerd in extra beveiligingsmaatregelen.157 4.2. CYBERVERDEDIGING Doordat het, in tegenstelling tot een traditionele oorlog, in een cyberoorlog heel complex en tijdrovend is om de vijand te identificeren loopt de verdediging altijd structureel en temporeel achter op de aanvaller, waardoor tegenmaatregelen in bijna alle gevallen te laat komen. De aanvallers beschikken over het voordeel dat ze kunnen bepalen waar en wanneer ze aanvallen, terwijl de verdediging zich voortdurend op elk moment en overal dient te beschermen. 158 Vandaar dat een cyberoorlog beschreven wordt als een asymmetrisch fenomeen (de aanval is heel makkelijk tot stand te brengen, terwijl de verdediging zo goed als onmogelijk is). Vanwege de asymmetrie is het in de meeste gevallen beter om meteen een tegenaanval te lanceren dan dat tijd, geld en energie wordt gestoken in de beveiliging van systemen (offensieve dominantie).159 “It will be cheaper and easier to attack information systems than it will be to detect and defend against attacks.”160 Verdedigen tegen een cyberaanval kan op twee verschillende wijzen: actief en passief.161 157 M.C. Libicki, Cyberdeterrence and Cyberwar, Santa Monica, Rand Corporation, 2009, 33. P.W. SINGER en A. FRIEDMAN, Cybersecurity and Cyberwar: what everyone needs to know, Oxford, Oxford University Press, 2014, 154. 159 A. BENSCHOP, Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 248. 160 P.W. SINGER en A. FRIEDMAN, Cybersecurity and Cyberwar: what everyone needs to know, Oxford, Oxford University Press, 2014, 154. 161 Advies AIV/CAVV, 15. 158 40 4.2.1. PASSIEVE V ERDEDIGING Netwerken en systemen zijn kwetsbaar voor aanvallen en verstoringen, zowel van buitenaf als van binnenuit. De verdediging hiertegen behelst onder andere de bescherming van netwerken, het monitoren en het analyseren van dataverkeer.162 Wil een staat zich beschermen tegen cyberaanvallen dan dient zij de kwetsbaarheden van haar eigen netwerken en systemen te kennen. Bij deze defensieve vorm van verdediging gaat de verdediger proberen een muur te bouwen rond zijn systeem waardoor het voor de vijand moeilijker wordt om in een systeem binnen te dringen. Voorbeelden hiervan zijn onder andere wachtwoorden, firewalls, antivirussoftware, etc. Maar, cybercriminelen slagen er heel vaak in om ook deze beschermingssystemen te doorbreken. Één van de redenen waarom cybercriminelen er meestal in slagen om beschermingssystemen te doorbreken, is dat deze doorgaans reactief en niet proactief worden ingezet.163 Hierdoor worden systemen niet beschermd tegen mogelijk toekomstige aanvallen, maar wordt enkel gekeken naar de aard van de aanvallen die reeds hebben plaatsgevonden. Ter verduidelijking het voorbeeld van antivirussoftware. Om antivirussoftware tot stand te brengen moet het virus waartegen de software moet beschermen alreeds bekend zijn. De software zal echter enkel bescherming bieden tegen dat specifieke virus waarvoor het ontwikkeld is en niet tegen nieuwe, onbekende of varianten van bekende virussen. Door eenvoudigweg een beetje te sleutelen aan een bestaand virus slagen cybercriminelen er al in om de muur rond een systeem te doorbreken. Binnen de tijd dat een slachtoffer een aanval heeft ontdekt, de aard ervan heeft bepaald en beschermingsmechanismen heeft ontwikkeld, hebben cybercriminelen al een hele 162 MINISTERIE VAN DEFENSIE, Defensie Cyber Strategie, Defensie strategie voor het opereren in het digitale domein, 2012, 9. 163 A. BENSCHOP, Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 56-­‐61. 41 reeks nieuwe cyberwapens tot stand gebracht.164 Het grootste probleem voor de verdediging is met andere woorden de snelheid waarmee de technologie evolueert.165 Indien een beveiligingsmuur proactief zou worden opgetrokken, dan nog kunnen cybercriminelen erin slagen deze te doorbreken. Stel dat een systeem wordt ingesteld dat alle datastromen binnen een bepaald computersysteem en binnen de interactie met andere systemen filtert. Om te vermijden dat al te vaak alarm wordt gegeven voor abnormale data wordt in deze filters meestal een bepaalde speling voorzien op hetgeen als abnormale data wordt aanzien.166 Deze speling is voor cybercriminelen al voldoende om langs de beveiliging heen te lopen. Passieve cyberverdedigingsmaatregelen hebben geen rechtstreeks effect op de aanvaller en zijn aanval. De aanvaller kan zijn aanval verder blijven organiseren en uitvoeren. 167 Echter, defensieve cyberverdediging tracht enkel het uitvoeren van de aanval te bemoeilijken. 4.2.2. ACTIEVE VERDEDIGING Uit de bespreking van de passieve cyberverdedigingsmaatregelen blijkt duidelijk dat deze weinig soelaas bieden op het vlak van cyberverdediging, daarom is er nood aan actievere vormen van cyberverdediging die naast de passieve cyberverdedigingsmechanismen bestaan.168 Offensieve 164 P.W. SINGER en A. FRIEDMAN, Cybersecurity and Cyberwar: what everyone needs to know, Oxford, Oxford University Press, 2014, 61. 165 Toelichting bij het voorstel van resolutie ter beveiliging van elektronische informatie en bescherming tegen cyberaanvallen, Parl.St. Senaat 2012-­‐2013, nr. 5-­‐1855/1. 166 P.W. SINGER EN A. FRIEDMAN, Cybersecurity and Cyberwar: what everyone needs to know, Oxford, Oxford University Press, 2014, 61. 167 S. CHABINSKI, “Passive Cyber Defense: The Laws of Diminishing and Negative Returns”, 2013, http://econwarfare.org/passive-­‐cyber-­‐defense-­‐the-­‐laws-­‐of-­‐diminishing-­‐and-­‐negative-­‐returns/; J.A. LEWIS, Cyber Security: Turning National Solutions Into International Cooperation, Washington, Center for Strategic and International Studies, 2003, 66. 168 Z. FRYER-­‐BIGGS, “Passive Defenses Not Enough: U.S. Cyber Commander”, 2011, www.defensenews.com/article/20110914/DEFSECT04/109140315/Passive-­‐Defenses-­‐Not-­‐Enough-­‐U-­‐S-­‐Cyber-­‐ Commander; I. LACHOW, Active Cyber Defense: A Framework for Policymakers, Policy brief Center for a New American Security, 2013, 1. 42 cyberverdediging heeft tot doel het handelen van de tegenstander te beïnvloeden of onmogelijk te maken. 169 Om dit te realiseren dient gebruik te worden gemaakt van offensieve maatregelen. 170 Er kunnen vier verschillende vormen van offensieve maatregelen worden onderscheiden:171 • Preëmptieve aanval: Preëmptief dient te worden onderscheiden van preventief. Een preventieve aanval wordt gelanceerd om een potentiële aanval te voorkomen terwijl er op dat moment nog geen aanval wordt uitgevoerd, gepland of wordt voorbereid. Terwijl een preëmptieve aanval wordt gelanceerd in anticipatie van een directe vijandelijke agressie. Bijvoorbeeld een preëmptieve aanval op de informatiesystemen van de vijand verhindert dat deze worden gebruikt om een aanval te lanceren.172 Echter, dergelijke aanval dient aan een aantal voorwaarden te voldoen om te worden gerechtvaardigd. Zo dient de vijand en/of zijn ondersteuningsstructuren met zekerheid te worden gelokaliseerd en dienen zijn kwetsbaarheden te worden nagegaan.173 • Tegenaanval: Een tegenaanval wordt meestal gelanceerd tijdens of na een eerste cyberaanval en is gericht op de informatiesystemen van de vijand. Het doel is het vernietigen of blokkeren van het voordeel dat de vijand heeft bekomen door de aanval. Ook de tegenaanval is verbonden aan een aantal voorwaarden: lokaliseren en identificeren van de vijand, nagaan van de aard en de intenties van de aanval, proportioneel174 aan de intensiteit van de oorspronkelijke aanval en het evalueren van de effectiviteit van de tegenaanval. Een nadeel van een tegenaanval is dat zij een directe oplossing is voor een directe aanval, 169 MINISTERIE VAN DEFENSIE, Defensie Cyber Strategie, Defensie strategie voor het opereren in het digitale domein, 2012, 11. 170 J. CARR, Inside Cyber Warfare: Mapping the Cyber Underworld (second edition), Sebastopol, O’Reilly Media, 2012, 274. 171 A. BENSCHOP, Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 62-­‐70; P.W. SINGER en A. FRIEDMAN, Cybersecurity and Cyberwar: what everyone needs to know, Oxford, Oxford University Press, 2014,14. 172 E. NAKASHIMA, “Pentagon considers preemptive strikes as part of cyber-­‐defense strategy”, 2010, www.washingtonpost.com/wp-­‐dyn/content/article/2010/08/28/AR2010082803849.html. 173 A. BENSCHOP, Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 62-­‐63. 174 E. T. JENSEN, “Cyber Deterrence”, Emory International Law Review 2012, 799. 43 maar het doet niets aan de onderliggende problemen (onveilige computernetwerken en gebreken in de beveiliging).175 • Misleiding: Misleiding is altijd al een belangrijk en doorslaggevend element geweest bij een traditionele oorlog.176 Bijvoorbeeld de tegenstrever laten geloven dat men niet in staat is om aan te vallen wanneer men dat wel is, laten blijken dat men nog ver weg is terwijl men al heel dichtbij is,… Deze misleiding speelt ook een prominente rol bij een cyberoorlog. Wanneer een doelwit er van op de hoogte is dat een vijand een aanval aan het plannen is, dan kan de verdediging een kwetsbaarheid in haar systeem instellen dat zeker ontdekt zal worden door de vijand, maar waardoor de vijand naar een nepnetwerk wordt geleid. In dit nepnetwerk zal de vijand geen effectieve aanval meer kunnen realiseren, ookal denkt hij dat het wel het geval is.177 • Afschrikking: Een vijand kan worden afgeschrikt door de wapens waarover de verdediger beschikt. Op basis van een kosten-­‐baten analyse zal de aanvaller bepalen of hij al dan niet de verdediger zal aanvallen. Het doel van afschrikking is dan ook het aanbrengen van wijzigingen in deze kosten-­‐batenanalyse door bijvoorbeeld het bestaan van internationale rechtsafspraken of forensisch onderzoek naar digitale sporen waardoor de aanvaller kan worden geïdentificeerd en daadwerkelijk vergelding kan volgen.178 Om effectief op te treden tegen sterk georganiseerde en professionele cyberaanvallen dienen passieve en actieve verdedigingsmaatregelen met elkaar te worden gecombineerd. Daar ze op zichzelf weinig effectief zijn kunnen ze samen wel een sterke verdedigingsmuur vormen. Tevens kan een wisselwerking worden vastgesteld tussen cyberafschrikking en cyberverdediging. Enerzijds zal een succesvolle cyberafschrikking tot gevolg hebben dat bespaard kan worden op 175 A. BENSCHOP, Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 65. J.A. LEWIS, “Cyberwar Tresholds and Effects”, IEEE Security & Privacy 2011, 25. 176 177 A. BENSCHOP, Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 66-­‐67. Nationaal Trendrapport Cybercrime 2010, 42; P.W. SINGER en A. FRIEDMAN, Cybersecurity and Cyberwar: what everyone needs to know, Oxford, Oxford University Press, 2014, 145. 178 44 de kosten voor het opzetten van verdedigingsmaatregelen, terwijl anderzijds cyberverdedigingsmaatregelen de geloofwaardigheid vergroten van de cyberafschrikking.179 DEEL II: CYBEROORLOG EN HET INTERNATIONAAL HUMANITAIR RECHT In deel I van deze masterproef werd het fenomeen ‘cyberoorlog’ nauwer bestudeerd. Uit deze studie is duidelijk gebleken dat cyberactiviteiten een steeds grotere rol spelen bij het uitvechten van interstatelijke conflicten. Tot op heden bestaat er nog geen specifieke regulering inzake het domein ‘cyberspace’, die de regels vastlegt voor het gebruik van cyberwapens in dergelijke conflicten. Gezien het bestaan van een cyberoorlog niet langer een fictie is, zoals duidelijk werd aangegeven in deel I, is er dringend nood aan een (nieuw) juridisch kader voor dit fenomeen. Terwijl er een consensus bestaat over het feit dat er naar alle waarschijnlijkheid ooit een specifiek cyberrecht zal worden gecreëerd, is het niet zo dat dit in de nabije toekomst reeds zal worden verwezenlijkt.180 Een mogelijk aanknopingspunt voor het tot stand brengen van een internationale regulering is het traditionele oorlogsrecht, of het internationaal humanitair recht (IHR). 181 Het IHR is ontworpen door de internationale gemeenschap als reactie op het gebruik van kinetische technologieën binnen het oorlogsgebeuren. Daar oorlogsvoering evolueert door het ontdekken van nieuwe technologieën, evolueert ook de wijze waarop deze internationale regels dienen te worden geïnterpreteerd. Hoewel beleidsmakers onzeker zijn over de wijze waarop het IHR kan worden toegepast op cyberaanvallen, wijzen eerder besproken recente gebeurtenissen op het operationele karakter van de cyberoorlog.182 Daarom dient er dringend duidelijkheid te worden geschept over de rechtmatigheid van het gebruik van cyberaanvallen en cyberwapens. 179 M.C. Libicki, Cyberdeterrence and Cyberwar, Santa Monica, Rand Corporation, 2009, 73. C.J. DUNLAP, “Perspectives for Cyber Strategists on Law for Cyberwar”, Strategic Studies Quarterly 2011, 83. 181 A. BENSCHOP, Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 251. 182 M. GERVAIS, “Cyber Attacks and the Laws of War”, Berkeley Journal of International Law 2012, 526. 180 45 Om te vermijden dat het gebruik van cyberwapens ongeregeld blijft en het gebruik ervan escaleert in afwachting van de totstandkoming van een specifiek cyberrecht, wordt in deze masterproef een onderzoek gevoerd naar de toepasbaarheid van reeds bestaande regels op het recente fenomeen van de ‘cyberoorlog’. De uitkomst van dit onderzoek zal tevens weergeven of er echt nood is aan volledige nieuwe regeling, of dat – mits een flexibele toepassing – oudere regels soelaas kunnen bieden. Bij deze laatste gedachte kan worden verwezen naar het volgende citaat: “You go to war with the Law of Armed Conflict you have, not the Law of Armed Conflict you may want.”183 HOOFDSTUK 1: INTERNATIONAAL HUMANITAIR RECHT: ALGEMEEN Het internationaal humanitair recht, ook wel oorlogsrecht of recht van gewapende conflicten genoemd, schrijft de regels neer die van toepassing zijn op oorlogen of gewapende conflicten (niet in het geval van loutere spanningen of onrust). De term ‘humanitair’ kan voor verwarring zorgen daar het IHR niet enkel gaat over de bescherming van individuen gedurende een gewapend conflict, maar het ook beperkingen oplegt aan de methoden en middelen van oorlogvoering.184 1.1. JUS IN BELLO VS. JUS AD BELLUM Binnen het IHR wordt een onderscheid gemaakt tussen het jus in bello en het jus ad bellum. Daar het jus in bello gaat over het recht van toepassing tijdens een oorlog of conflict, gaat het jus ad bellum over het recht om tot een oorlog of tot geweld te mogen overgaan. Het jus in 183 C.J. DUNLAP, “Perspectives for Cyber Strategists on Law for Cyberwar”, Strategic Studies Quarterly 2011, 82. A. VAN DE VELDE, Het verband tussen Mensenrechten en Internationaal Humanitair Recht, masterproef Rechten Ugent, 2008-­‐2009, 47. 184 46 bello, dat beschouwd wordt als het eigenlijke internationaal humanitair recht185, heeft tot doel het oorlogsleed te beperken door de slachtoffers waar mogelijk te beschermen en bij te staan. Gewapende conflicten worden binnen het jus in bello beschouwd als een realiteit, zonder dat gekeken wordt naar de redenen of rechtmatigheid van het overgaan tot geweld zoals bij het jus ad bellum. De regels hebben uitsluitend betrekking op de humanitaire factoren van een gewapend conflict186 en bindt automatisch alle betrokken partijen.187 Daarentegen wordt in het jus ad bellum nagegaan of de heersende omstandigheden het gebruik van geweld rechtvaardigen. Daar het in de meeste gewapende conflicten een onmogelijke opdracht is om te bepalen welke partij het eerst de regels overtrad, houdt het internationaal humanitair recht zich niet bezig met het aanduiden van de schuldige. Dit zou namelijk sowieso betwist worden en iedere partij zou claimen slachtoffer te zijn van geweld, hetgeen nefast zou zijn voor de goede werking van het IHR. Het IHR is er op gericht oorlogsslachtoffers en hun grondrechten tebeschermen, ongeacht de zijde waartoe ze behoren. Daarom dient het jus in bello gescheiden te blijven van het jus ad bellum.188 In de zaak prosecutor vs. Tadic heeft het Joegoslavië-­‐tribunaal bovendien bepaald dat het IHR behoort te worden toegepast op niet enkel internationale gewapende conflicten, zoals oorspronkelijk het geval was, maar tevens op niet-­‐internationale gewapende conflicten.189 185 D. FLECK (ed.), The Handbook of International Humanitarian Law, 2nd edition, New York, Oxford University Press, 2008, sectie 103, 13. 186 M. COGEN, The Comprehensive Guide to International Law, Brugge, Die Keure, 2008, 484-­‐486. 187 A. AUST, Handbook of International Law, New York, Cambridge University Press, 2005, 252. 188 http://ihr.rodekruis.be/ref/home-­‐ihrOLD/Over-­‐Internationaal-­‐Humanitair-­‐RechtOLD/A-­‐tot-­‐Z-­‐van-­‐het-­‐ internationaal-­‐humanitair-­‐rechtOLD/Jus-­‐ad-­‐bellum-­‐en-­‐jus-­‐in-­‐bello.html. 189 Art. 3 Verdrag van Genève betreffende de bescherming van burgers in oorlogstijd van 12 augustus 1949, United Nations Treaty Series, vol. 75, 287; Joegoslaviëtribunaal, The Prosecutor v. Dusko Tadic, Decision on the Defence Motion for Interlocutory Appeal on Jurisdiction, Case No. IT-­‐94-­‐1-­‐A (2 oktober 1995), para. 139. 47 1.2. EIGENLIJKE INTERNATIONAAL HUMANITAIR RECHT: JUS IN BELLO Het jus in bello kan worden opgesplitst in twee delen. Een eerste deel spitst zich toe op het opleggen van beperkingen aan de gebruikte methoden en middelen van oorlogvoering. Deze aspecten worden geregeld door het recht van Den Haag. Het tweede deel betreft de bescherming van personen die niet of niet meer betrokken zijn bij een gewapend conflict, en wordt geregeld door het recht van Genève.190 Ook de Aanvullende Protocollen bij de verdragen van Genève spelen en internationeel gewoonterecht spelen in het jus in bello een aanzienlijke rol. Heden ten dage kan het IHR enkel worden toegepast op gewapende conflicten. Waar vroeger het gebruik van het internationaal recht bepaald werd door de scheidingslijn tussen oorlog en vrede, is dit vandaag anders. Na de Tweede Wereldoorlog hebben nog maar weinig staten verklaard in oorlog te zijn met een andere staat of staten. Daarom treedt tegenwoordig het IHR in werking van zodra er sprake is van een gewapend conflict.191 Het is met andere woorden niet meer noodzakelijk dat er effectief sprake is van een oorlog om de regels van het IHR toe te passen. “In addition to the provisions which shall be implemented in peace time, the present Convention shall apply to all cases of declared war or of any other armed conflict which may arise between two or more of the High Contracting Parties, even if the state of war is not recognized by one of them.”192 190 C.D. DELUCA, “The need for International Laws of War to include Cyber Attacks involving state and non-­‐state actors”, Pace International Law Review Online Companion 2013, 299; F. FRANCEUS, “Cyberaanvallen en het recht van de gewapende conflicten: bemerkingen bij een juridische primeur in België en de Verenigde Staten” in M. COOLS, E. DEBRUYNE, F. FRANCEUS e.a. (eds.), Cahiers Inlichtingenstudies -­‐ BISC nr. 2, Apeldoorn-­‐Antwerpen, Maklu, 2012, 116; N. HORBACH, R. LEFEBER en O. RIBBELINK, Handboek Internationaal Recht, Den Haag , T.M.C. Asser Press, 2007, 556-­‐ 557; L. SWANSON, “The Era of Cyber Warfare: applying International Humanitarian Law to the 2008 Russian-­‐Georgian cyber conflict”, Loy. L.A. Int’l & Comp. L. Rev. 2010, 312. 191 A. VAN DE VELDE, Het verband tussen Mensenrechten en Internationaal Humanitair Recht, masterproef Rechten Ugent, 2008-­‐2009, 55. 192 Art. 2 Verdrag van Genève betreffende de bescherming van burgers in oorlogstijd van 12 augustus 1949, United Nations Treaty Series, vol. 75, 287. 48 Deze bepaling levert echter al een groot voordeel op in het kader van het onderzoek naar de toepasbaarheid van het IHR op de cyberoorlog, gezien cyberoorlogen niet officieel worden verklaard (Supra 12). 1.2.1. REGELS De regels van het IHR leggen beperkingen op aan de methoden en middelen van oorlogvoering en beschermen personen die niet of niet langer aan vijandelijkheden deelnemen.193 • Regels i.v.m. de manier van oorlogvoeren:194 o Methoden: er mogen geen oorlogsmethoden worden gebruikt die onnodig veel lijden veroorzaken, die ernstige of langdurige schade veroorzaken aan het milieu en die geen onderscheid kunnen maken tussen strijders en burgers. o Wapens: het is verboden om chemische wapens, biologische wapens, blindmakende laserwapens en antipersoonsmijnen te gebruiken in tijden van oorlog. • Regels i.v.m. de bescherming van personen:195 Onder personen die niet deelnemen aan de oorlog dienen burgers, medisch en religieus militair personeel te worden verstaan. Bij personen die niet langer deelnemen aan het conflict gaat het over gewonden en zieke strijders, schipbreukelingen en krijgsgevangenen. Deze personen genieten bescherming op diverse vlakken, zo moet er respect zijn voor hun leven en voor hun fysieke en mentale integriteit, genieten ze van procedurele garanties wanneer ze van hun vrijheid worden beroofd, dienen ze in alle omstandigheden op een menselijke te worden behandeld, etc. 193 http://ihr.rodekruis.be/ref/home-­‐ihr/Over-­‐Internationaal-­‐Humanitair-­‐Recht/Wie,-­‐Wat,-­‐Hoe.html. Ibid. 195 Ibid. 194 49 1.2.2. FUNDAMENTELE PRINCIPES De regels van het internationaal humanitair recht zoals in het vorige punt besproken, zijn gebaseerd op vier fundamentele principes:196 • Principe van militaire noodwendigheid: Het principe van de ‘militaire noodwendigheid’ is terug te vinden in artikel 22 van het Verdrag van Den Haag en in artikel 35 paragraaf 1 van het Eerste Additioneel Protocol bij de Geneefse verdragen.197 Hieruit volgt dat enkel die wapens en krijgsmethoden mogen worden gebruikt die noodzakelijk zijn om een bepaald militair doel te verwezenlijken, met als ultieme doel de vijandelijke troepen te overmeesteren. 198 Iedere vorm van geweld die niet noodzakelijk, lichtzinnig is of extreme schade veroorzaakt aan burgers, is verboden.199 • Principe van menselijkheid: Dit principe wijst erop dat ieder individu in ongeacht welke omstandigheden humanitair dient te worden behandeld.200 Het aanbrengen van leed, verwondingen en vernieling zijn enkel gerechtvaardigd indien zij noodzakelijk zijn voor het nastreven van een bepaald militair doel. • Principe van onderscheid: Bij een gewapend conflict dient steeds een onderscheid te worden gemaakt tussen diegene die deelnemen aan de strijd en de onschuldige burgers.201 Geweld mag enkel worden gebruikt ten aanzien van strijders en militaire doelwitten, en is in geen geval 196 V. LOWE, Internationaal Law, New York, University Press, 2007, 283. A. VAN DE VELDE, Het verband tussen Mensenrechten en Internationaal Humanitair Recht, masterproef Rechten Ugent, 2008-­‐2009, 59. 198 M. COGEN, Handboek internationaal recht, derde uitgave, Mechelen, Kluwer, 2003, 442. (totaal 490) 199 D. FLECK (ed.), The Handbook of International Humanitarian Law, 2nd edition, New York, Oxford University Press, 2008, sectie 131, 35. 200 F. BOUCHET-­‐SAULNIER, The Practical Guide to Humanitarian Law, Lanham, Rowman & Littlefield Publishers, 2007, 155. 201 F. BOUCHET-­‐SAULNIER, The Practical Guide to Humanitarian Law, Lanham, Rowman & Littlefield Publishers, 2007, 43-­‐44. 197 50 gelegitimeerd ten aanzien van burgers.202 Wapens of oorlogsmethoden die niet in staat zijn een onderscheid te maken tussen strijders en burgers mogen niet worden gehanteerd bij een gewapend conflict. • Principe van proportionaliteit: Het principe van proportionaliteit vormt een link tussen de principes van militaire noodwendigheid en menselijkheid.203 Zo dienen de gevolgen van een militaire aanval in verhouding te staan met het vereiste militaire doel en mogen niet onnodig veel burgers het slachtoffer worden van een militaire actie. Echter, het doden of verwonden van burgers of het schaden van burgerlijke eigendommen is niet illegaal indien het accidenteel of onvermijdelijk is.204 HOOFDSTUK 2: CYBEROPERATIES EN HET JUS AD BELLUM Om een goed en duidelijk antwoord te kunnen geven op de vraag of het jus in bello kan worden toegepast op digitale operaties, moet in hetzelfde kader eerst worden ingegaan op jus in bellum. Immers, moet eerst geweten zijn wanneer een staat op een legale manier geweld kan gebruiken als reactie op een cyberaanval en er dus sprake is van een legaal gewapend conflict, alvorens iets kan bepaald worden inzake de rechten die gelden binnen een ‘gewapend’ cyberconflict.205 Het jus ad bellum betreft met name de problematiek van het gewapend optreden op zich: welke omstandigheden wettigen in het internationaal recht dat men een tegenstander gewapend aanvalt of dat men in het kader van zelfverdediging terugslaat? Internationaalrechtelijk gaat het 202 Art. 48 Aanvullend Protocol bij de Conventies van Genève van 12 augustus 1949 inzake de bescherming van de slachtoffers van internationale gewapende conflicten (Protocol I) van 8 juni 1977, United Nations Treaty Series, vol. 1125, 3. (Hierna: AP I) 203 MINISTERIE VAN DEFENSIE VAN HET VERENIGDE KONINKRIJK, Manual on the Law of Armed conflict, Oxford, Oxford University Press, 2004, 25. 204 A. VAN DE VELDE, Het verband tussen Mensenrechten en Internationaal Humanitair Recht, masterproef Rechten Ugent, 2008-­‐2009, 65. 205 D.E. GRAHAM, “Cyber Threats and the Law of War”, Journal of National Security Law & Policy 2010, 87. 51 om de toepassing van de artikel 2(4) en 51 van het Handvest van de Verenigde Naties (hierna: VN Handvest).206 Met de ontwikkeling van cyberspace is een nieuw wapen tot stand gekomen dat in staat is om de manier waarop statelijke en niet-­‐statelijke actoren oorlog voeren aanzienlijk te veranderen. Het unieke karakter van deze nieuwe soort bedreiging en de mogelijkheid om via cyberwapens letsels, dood en fysieke schade of vernielingen te veroorzaken, staat op gespannen voet met de klassieke definitie van ‘het gebruik van geweld’ (artikel 2(4) VN Handvest). Om de rechten te kunnen afbakenen van de betrokken partijen in een gewapend conflict, inclusief het recht op zelfverdediging (artikel 51 VN Handvest), dient op internationaal vlak een consensus te worden bereikt over de betekenis van de cyberoorlog binnen het bestaande paradigma van het jus ad bellum.207 Het is namelijk niet omdat cyberaanvallen al dan niet als een ‘oorlog’ kunnen worden beschouwd, dat ze volgens het internationaal recht automatisch een ‘gebruik van gewapend geweld’ vormen en het ‘recht op zelfverdediging’ uitlokken.208 Het VN Handvest vormt tevens de belangrijkste bron van het jus ad bellum. Dit Handvest werd vlak na de Tweede Wereldoorlog ondertekend door 51 staten. Artikel 2(4) en het artikel 51 van dit Handvest spelen een belangrijke rol in het onderzoek naar de toepasbaarheid van het internationaal humanitair recht op de digitale oorlogvoering. Artikel 2(4) van het VN Handvest legt een geweldverbod op waarbij gewelddadige extraterritoriale militaire operaties verboden zijn en dus ook cyberoperaties voor zover deze als ‘geweldgebruik’ kunnen worden opgevat. Gezien de grote verschillen tussen de instrumenten waarmee een digitale oorlog wordt uitgevochten en de traditionele oorlogsinstrumenten, is de centrale vraag die hier dient te worden gesteld: in welke mate kunnen cyberoperaties als 206 F. FRANCEUS, “Cyberaanvallen en het recht van de gewapende conflicten: bemerkingen bij een juridische primeur in België en de Verenigde Staten” in M. COOLS, E. DEBRUYNE, F. FRANCEUS e.a. (eds.), Cahiers Inlichtingenstudies -­‐ BISC nr. 2, Apeldoorn-­‐Antwerpen, Maklu, 2012, 116. 207 M. HOISINGTON, “Cyberwarfare and the Use of Force giving rise to the Right of Self-­‐Defense”, Boston College International & Comparative Law Review 2009, 439. 208 F. FRANCEUS, “Cyberaanvallen en het recht van de gewapende conflicten: bemerkingen bij een juridische primeur in België en de Verenigde Staten” in M. COOLS, E. DEBRUYNE, F. FRANCEUS e.a. (eds.), Cahiers Inlichtingenstudies -­‐ BISC nr. 2, Apeldoorn-­‐Antwerpen, Maklu, 2012, 115. 52 ‘gewapend geweld’ worden beschouwd en dus onder artikel 2(4) van het VN Handvest vallen? 209 Om het IHR te kunnen toepassen op gedragingen in het digitale domein is vereist dat deze gedragingen minimum de drempel van een gewapend conflict bereiken, gezien het IHR alleen van toepassing is in de context van een gewapend conflict, in internationaal of niet-­‐ internationaal verband. Om te worden gekwalificeerd als een gewapend conflict dient een cyberoperatie meer te zijn dan een louter sporadisch, geïsoleerd gewapend incident en dood, letsel, vernietiging of langdurige schade aan fysieke objecten tot gevolg (kunnen) hebben. Dit is al zeker het geval bij cyberaanvallen die worden gecombineerd met de inzet van kinetische wapens. Desalniettemin kunnen digitale aanvallen die zonder inzet van kinetische middelen vernietiging of langdurige en ernstige schade aanbrengen aan computersystemen voor het beheer van kritieke militaire of civiele infrastructuren, of die het vermogen van de staat om essentiële overheidsfuncties te vervullen ernstig aantasten en daarbij ernstige en langdurige schade toebrengen aan de economische of financiële stabiliteit van de staat en zijn bevolking, ook als gewapend conflict worden gekwalificeerd.210 Voldoet een cyberaanval aan alle criteria om als een gewapend conflict te worden beschouwd, dan kan de getroffene een beroep doen op het recht van zelfverdediging en een gerechtigde tegenaanval lanceren, zoals beschreven in artikel 51 van het VN Handvest. 2.1. ARTIKEL 2(4) HANDVEST VERENIGDE NATIES: GEWELDVERBOD In artikel 2(4) van het Handvest van de Verenigde Naties staat geschreven: “In hun internationale betrekkingen onthouden alle Leden zich van bedreiging met of het gebruik van geweld tegen de territoriale integriteit of de politieke onafhankelijkheid van een 209 A. BENSCHOP, Cyberoorlog: slagveld internet, Uitgeverij De Wereld, Tilburg, 2013, 252; M. HOISINGTON, “Cyberwarfare and the Use of Force giving rise to the Right of Self-­‐Defense”, Boston College International & Comparative Law Review 2009, 446. 210 Advies AIV/CAVV, 39. 53 staat, en van elke andere handelwijze die onverenigbaar is met de doelstellingen van de Verenigde Naties.”211 Het is met andere woorden voor staten verboden om onderling geweld tegen elkaar te gebruiken of te dreigen met het gebruik van geweld. Het geweldverbod wordt vaak beschouwd als een regel van dwingend internationaal recht, waarop geen uitzonderingen zijn toegestaan, behalve in de erkende uitzonderingsgevallen.212 Deze uitzonderingsgevallen liggen vervat in (1) artikel 51 van het VN Handvest dat betrekking heeft op het recht op zelfverdediging tegen een gewapende aanval, en (2) artikel 39 van het VN Handvest dat gaat over maatregelen die de VN Veiligheidsraad kan nemen wanneer er sprake is van een bedreiging van de vrede, een verbreking van de vrede of een daad van agressie.213 2.1.1. GEBRUIK VAN GEWELD Vooreerst dient te worden onderzocht wat het IHR precies onder ‘geweld’ begrijpt, om vervolgens na te gaan wanneer er bij digitale aanvallen sprake is van ‘geweld’ en dus van schending van het artikel 2(4) van het VN Handvest. Hetgeen onder ‘geweld’ dient te worden verstaan is doorheen de jaren sterk geëvolueerd. Daar het vroeger louter ging om het gebruik van traditionele militaire instrumenten zoals bommen of vuurgevechten, bestaan er op heden met de evolutie van de technologie veel meer mogelijkheden om geweld te realiseren. Zo was ‘cyberspace’ een begrip dat in 1945 nog onbekend was, maar dat tegenwoordig niet meer weg te denken is uit onze samenleving.214 In artikel 2(4) van het VN Handvest wordt niet gespecificeerd om wat voor soort geweld het precies gaat. Dit in tegenstelling tot de artikelen 41 en 46 van hetzelfde Handvest die betrekking hebben op de uitzondering van artikel 39 op het geweldverbod en waarin staat dat het gaat om 211 Art. 2(4) van het Handvest van de Verenigde Naties van 26 juni 1945, Can TS 1945 nr. 7. Advies AIV/CAVV, 19; M. HOISINGTON, “Cyberwarfare and the Use of Force giving rise to the Right of Self-­‐ Defense”, Boston College International & Comparative Law Review 2009, 446. 213 C.J. DUNLAP, “Perspectives for Cyber Strategists on Law for Cyberwar”, Strategic Studies Quarterly 2011, 84. 214 www.rechten.vu.nl/nl/onderzoek/onderzoek-­‐uitgelicht/lianne-­‐boer/index.asp. 212 54 ‘gewapend geweld’.215 Inzake de analyse van de betekenis van het begrip ‘geweld’ dient ook te worden verwezen naar het Verdrag van Wenen inzake Verdragenrecht (1969). Dit verdrag bepaalt de regels omtrent de interpretatie van verdragen. Diverse experten in het internationaal recht zijn het er over eens dat het Verdrag van Wenen louter een weerspiegeling is van het internationaal gewoonterecht, hetgeen een belangrijke bron vormt voor het internationaal humanitair recht.216 In artikel 31 van het Verdrag van Wenen staat geschreven: “Een verdrag moet te goeder trouw worden uitgelegd overeenkomstig de gewone betekenis van de termen van het Verdrag in hun context en in het licht van voorwerp en doel van het Verdrag.”217 De gewone betekenis van geweld is in principe heel breed en omvat naast traditionele kinetische middelen van oorlogvoering ook nog andere dwangmaatregelen (o.a. economisch, diplomatiek en politiek). Maar gezien het ‘voorwerp en het doel’ van het VN Handvest dient er een engere betekenis te worden gegeven aan het begrip ‘geweld’. De gebruikelijke uitleg van de bepaling in artikel 2(4) is dan ook dat alle vormen van ‘gewapend’ geweld onder het geweldverbod vallen, maar dat puur economische218, diplomatieke en politieke druk of dwang niet onder de betekenis van geweld worden gekwalificeerd, zoals bedoeld in artikel 2(4) van het Handvest van de Verenigde Naties.219 Deze andere vormen van druk of dwang worden geregeld door het non-­‐interventiebeginsel en andere internationale regels betreffende niet-­‐militair optreden. 220 Geweld is met andere woorden meer dan louter economische, diplomatieke of politieke druk of dwang. Daardoor worden cyberoperaties die geen destructief doel hebben en louter gericht zijn op het ondermijnen van het vertrouwen in de overheid of de economie, niet 215 F. FRANCEUS, “Cyberaanvallen en het recht van de gewapende conflicten: bemerkingen bij een juridische primeur in België en de Verenigde Staten” in M. COOLS, E. DEBRUYNE, F. FRANCEUS e.a. (eds.), Cahiers Inlichtingenstudies -­‐ BISC nr. 2, Apeldoorn-­‐Antwerpen, Maklu, 2012, 117. 216 M. GERVAIS, “Cyber Attacks and the Laws of War”, Berkeley Journal of International Law 2012, 536. 217 Art. 31 verdrag van Wenen inzake het verdragenrecht van 23 mei 1969, BS 25 december 1993. 218 V.M. ANTOLIN-­‐JENKINS,”Defining the parameters of cyberwar operations: looking for law in all the wrong places?”, Naval Law Review 2005, 134-­‐135. 219 V.M. ANTOLIN-­‐JENKINS,”Defining the parameters of cyberwar operations: looking for law in all the wrong places?”, Naval Law Review 2005, 153. 220 V.M. ANTOLIN-­‐JENKINS,”Defining the parameters of cyberwar operations: looking for law in all the wrong places?”, Naval Law Review 2005, 169; L. VAN DEN HERIK, “De digitale oorlog: waan of werkelijkheid?”, Nederlands Juristenblad 2013, afl. 6, 351. 55 gekwalificeerd als geweld. Hieronder vallen onder andere de activiteiten van hacktivisten die via het hacken sites hun politieke of ideologische overtuiging de wereld willen insturen. Gezien artikel 2(4) het begrip ‘geweld’ niet verder heeft gespecifieerd dient te worden aangenomen dat het toch verder gaat dan louter en alleen ‘gewapend’ geweld, uitgevoerd met kinetische, chemische, biologische of nucleaire wapens. 221 Of zoals het Internationaal Gerechtshof het heeft geformuleerd: “to any use of force, regardless of the weapons employed”. 222 Andere vormen van geweld zijn namelijk ook in staat om enorme schade, vernieling, leed of dood te veroorzaken. Daarom moet gekeken worden in welke mate deze andere vormen van geweld het niveau van een kleinschalig incident overschrijden (omvang) en een vergelijkbaar effect (gevolgen) teweegbrengen als een gewapende aanval met kinetische, chemische, biologische of nucleaire wapens. 223 Het is het Internationaal Gerechtshof die in de Nicaragua Zaak van 1986 heeft bepaald dat naar deze twee factoren van ‘omvang en gevolgen’ dient te worden gekeken om te bepalen of het gaat om een ‘gewapende aanval’, bij gebrek aan dergelijke regels in het artikel 2(4) van het VN Handvest. 224 Het zijn de kwalitatieve en kwantitatieve factoren die bepalen of een handeling kan worden gekwalificeerd als ‘geweld’ of niet. Wel behoort te worden opgemerkt dat er een verschil bestaat tussen ‘geweld’ en een ‘gewapende aanval’. Daar het begrip ‘geweld’ wordt gebruikt om te bepalen of een handeling van een staat het geweldverbod en het daarmee samenhangende gewoonterecht overtreedt, heeft het begrip ‘gewapende aanval’ te maken met de vraag of een staat gerechtvaardigd is om te reageren met geweld na een handeling van een andere staat zonder zelf het geweldverbod te overtreden (artikel 51 VN Handvest). Volgens deskundigen komt het op het volgende neer: niet alle cyberaanvallen maken een daad van ‘geweld’ uit, om te kunnen spreken van ‘geweld’ is het niet noodzakelijk dat gebruik wordt gemaakt van gewapend geweld door een staat, dit terwijl 221 F. FRANCEUS, “Cyberaanvallen en het recht van de gewapende conflicten: bemerkingen bij een juridische primeur in België en de Verenigde Staten” in M. COOLS, E. DEBRUYNE, F. FRANCEUS e.a. (eds.), Cahiers Inlichtingenstudies -­‐ BISC nr. 2, Apeldoorn-­‐Antwerpen, Maklu, 2012, 117. 222 IGH, Legality of the Threat or Use of Nuclear Weapons, Advisory Opinion, ICJ Reports 1996, para. 39. 223 Advies AIV/CAVV, 19. 224 IGH, Case concerning Military and Paramilitary Activities in and against Nicaragua (Nicaragua v. Verenigde Staten van Amerika), Judgement, ICJ Reports 1986, para. 195; C.J. DUNLAP, “Perspectives for Cyber Strategists on Law for Cyberwar”, Strategic Studies Quarterly 2011, 86. 56 alle gewapende aanvallen automatisch wel een daad van ‘geweld’ uitmaken.225 De vraag die dan nog rest is welke handelingen die dicht aanleunen bij een ‘gewapende aanval’ als ‘geweld’ moeten worden gekwalificeerd. 226 Cyberwapens zijn nu eenmaal geen soort van wapens waarvan het gebruik duidelijk in strijd is met het geweldverbod. Ze kunnen heel diverse gevolgen teweegbrengen gaande van louter wat verstoringen in het internetverkeer tot enorme ravage en dodelijke slachtoffers, ookal zijn deze gevolgen op het eerste zich niet altijd duidelijk zichtbaar. 227 Dit maakt het reguleren van acties in het digitale domein zo moeilijk. Cyberaanvallen die verwonden of doden, of die beschadigen of vernietigen moeten onmiskenbaar als ‘geweld’ worden gekwalificeerd. Voor andere cyberoperaties waarbij het moeilijker is om dit alles te bepalen, heeft Michael Schmitt een aantal criteria ontwikkeld aan de hand waarvan kan worden bepaald of een cyberaanval te classificeren is als een ‘gewapende aanval’ en dus ook als ‘geweld’.228 Zoals eerder vermeld, dient te worden gekeken naar de omvang en de gevolgen van een aanval om te bepalen of het gaat om een ‘gewapende aanval’. Schmitt’s theorie wordt dan ook wel eens beschreven als de ‘consequentiële-­‐ of effectenbenadering van geweld’.229 Deze consequentiële benadering bestaat uit de volgende criteria:230 • Ernst van de gevolgen: Dit moet worden begrepen in termen van fysiek geweld en vernietiging van leven of eigendom. Het vormt veruit de belangrijkste factor om te bepalen of een cyberoperatie als een daad van ‘geweld’ moet worden gekwalificeerd. Om de ernst van een cyberaanval te kunnen inschatten dient te worden gekeken naar de omvang, de duur en 225 C.J. DUNLAP, “Perspectives for Cyber Strategists on Law for Cyberwar”, Strategic Studies Quarterly 2011, 85. M.N. SCHMITT, Tallinn Manual on the International Law applicable to Cyber Warfare, Cambridge, Cambridge University Press, 2013, 48-­‐49. (hierna: Tallinn Manual) 227 M. GERVAIS, “Cyber Attacks and the Laws of War”, Berkeley Journal of International Law 2012, 537. 228 M. HOISINGTON, “Cyberwarfare and the Use of Force giving rise to the Right of Self-­‐Defense”, Boston College International & Comparative Law Review 2009, 448; Tallinn Manual, 49. 229 M. HOISINGTON, “Cyberwarfare and the Use of Force giving rise to the Right of Self-­‐Defense”, Boston College International & Comparative Law Review 2009, 448; L. VAN DEN HERIK, “De digitale oorlog: waan of werkelijkheid?”, Nederlands Juristenblad 2013, afl. 6, 352-­‐353. 230 J.E. MCGHEE, “Cyber Redux: The Schmitt Analysis, Tallinn Manual and US Cyber Policy”, Journal of Law & Cyber Warfare 2013, 70-­‐72; J.C. RICHARDSON, Stuxnet as cyberwarfare: Applying the Law of War to the Virtual Battlefield, paper, 2011, 18-­‐19; Tallinn Manual, 49-­‐52. 226 57 de intensiteit van de aanval. Een cyberaanval die schade, vernieling, letsel of dood teweegbrengt zal beschouwd worden als ‘geweld’ in de zin van artikel 2(4) van het Handvest van de Verenigde Naties.231 • Onmiddellijkheid van de gevolgen: Hoe sneller de gevolgen van een aanval zich voordoen, hoe minder kans de doelwitstaat heeft om het conflict op een vredige manier op te lossen of om de schadelijke gevolgen te voorkomen. Het is ook daarom dat staten aanvallen, die directe gevolgen teweegbrengen, het meeste vrezen. Cyberaanvallen die meteen gevolgen teweegbrengen worden sneller als ‘geweld’ beschouwd dan cyberaanvallen die pas na verloop van tijd hun beoogde effecten realiseren.232 • Directheid van de gevolgen: Directheid moet worden onderscheiden van onmiddellijkheid. Daar de onmiddellijkheid betrekking heeft op het temporele aspect van de gevolgen van de aanval, gaat het bij directheid over de vraag of er een oorzakelijk verband bestaat tussen de aanval en zijn gevolgen. Cyberaanvallen waarbij er duidelijk een oorzakelijk verband bestaat worden sneller als ‘geweld’ gekwalificeerd, dan cyberaanvallen waarbij de gevolgen slechts indirect volgen uit de aanval.233 • Het indringende karakter van de aanval: Hierbij gaat het over de mate waarin de cyberaanval inbreekt in de doelwitstaat of haar cybersystemen en daarbij de belangen van die staat raakt. Cyberaanvallen die slechts beperkt zijn tot een bepaalde staat hebben een groter indringend karakter dan cyberaanvallen die zich richten op verschillende staten. Hoe groter het indringende karakter, hoe waarschijnlijker het is dat een cyberaanval als ‘geweld’ zal worden gekwalificeerd.234 231 J.E. MCGHEE, “Cyber Redux: The Schmitt Analysis, Tallinn Manual and US Cyber Policy”, Journal of Law & Cyber Warfare 2013, 70-­‐72; J.C. RICHARDSON, Stuxnet as cyberwarfare: Applying the Law of War to the Virtual Battlefield, paper, 2011, 18-­‐19; Tallinn Manual, 49-­‐52. 232 Ibid. 233 Ibid. 234 Ibid. 58 • Meetbaarheid van de gevolgen: Deze factor volgt uit het feit dat staten sneller geneigd zijn om een handeling als geweld te kwalificeren wanneer de gevolgen duidelijk zichtbaar en meetbaar zijn. Zoals eerder aangegeven zijn de gevolgen van een cyberaanval niet altijd even duidelijk, in tegenstelling tot de gevolgen van het gebruik van traditionele wapens. Hoe makkelijker de gevolgen te identificeren en te kwantificeren zijn, hoe eenvoudiger het voor een staat is om te bepalen of het al dan niet gaat over een daad van ‘geweld’. Cyberaanvallen waarvan duidelijk te bepalen is hoeveel data er beschadigd is, het percentage servers die zijn uitgeschakeld, etc. hebben meer kans om te worden beschouwd als ‘geweld’, dan aanvallen waarbij dit allesbehalve duidelijk te bepalen is.235 • Militaire karakter: Wanneer er een verband bestaat tussen een cyberaanval en een militaire operatie is de kans groter dat de cyberaanval als ‘geweld’ zal worden gekwalificeerd. Dit criterium volgt grotendeels uit het feit dat het VN Handvest zich bezighoudt met militaire acties.236 • Betrokkenheid van een staat: Hoe duidelijker en dichter er een band bestaat tussen een cyberaanval en een staat, hoe waarschijnlijker het is dat andere staten deze staat zullen erkennen als een staat die gebruik maakt van geweld.237 • Aangenomen legitimiteit: Bij dit criterium dient te worden verwezen naar de Lotus Zaak238 van 1927 waarin het Internationaal Gerechtshof heeft bepaald dat alles wat niet expliciet door het internationaal recht is verboden, wordt toegelaten. De afwezigheid van een uitdrukkelijk verdrag of gewoonterechtelijk verbod, maakt dat een handeling vermoedelijk legaal is. Zo voorziet het internationaal recht geen expliciet verbod op propaganda, 235 J.E. MCGHEE, “Cyber Redux: The Schmitt Analysis, Tallinn Manual and US Cyber Policy”, Journal of Law & Cyber Warfare 2013, 70-­‐72; J.C. RICHARDSON, Stuxnet as cyberwarfare: Applying the Law of War to the Virtual Battlefield, paper, 2011, 18-­‐19; Tallinn Manual, 49-­‐52. 236 Tallinn Manual, 51. 237 Ibid. 238 IGH, The case of S.S.Lotus (Frankrijk v. Turkije), Judgement, ICJ Reports 1927, 26-­‐30. 59 psychologische operaties, espionage, of louter economische druk, waardoor deze handelingen vermoedelijk als legaal worden beschouwd en ze ook in mindere mate erkend worden als daden van ‘geweld’.239 Deze acht criteria zijn echter niet exhaustief. Afhankelijk van de omstandigheden waarin een cyberaanval zich verwezenlijkt kan ook nog worden gekeken naar de politieke achtergrond van de aanval, de identiteit van de aanvaller, de aard van het doel zoals bv. kritieke infrastructuren, etc., om te bepalen of het gaat om een daad van ‘geweld’. 240 Indien een cyberaanval toch niet het niveau bereikt om te worden gekwalificeerd als ‘geweld’, dan betekent dit nog niet dat de aanval gerechtvaardigd is. Hierbij dient opnieuw te worden gewezen op het eerder vermeldde non-­‐interventiebeginsel dat impliciet is opgenomen in artikel 2(1) van het VN Handvest, dat gaat over de soevereine gelijkheid tussen staten. Het Internationaal Gerechtshof beschouwt het non-­‐interventiebeginsel als een onderdeel van het internationaal gewoonterecht. Volgens dat beginsel is het verboden dat staten zich inmengen met aangelegenheden die wezenlijk tot de binnenlandse jurisdictie behoren van een andere staat.241 Opnieuw in de Nicaragua Zaak, heeft het Internationaal Gerechtshof bepaald dat er slechts sprake kan zijn van ‘interventie’ in de zin van het non-­‐interventiebeginsel wanneer gebruik wordt gemaakt van dwangmethoden.242 Hierdoor kan onder andere cyberspionage al meteen worden uitgesloten van het non-­‐interventiebeginsel gezien daar geen enkele dwang bij aan te pas komt.243 De bepaling dat bij het non-­‐interventiebeginsel steeds sprake moet zijn van dwang maakt het moeilijk om cyberoperaties – die niet als geweld kunnen worden gekwalificeerd – onder te brengen onder dit beginsel aangezien slechts bij weinig van die cyberoperaties sprake is van dwang. 239 J.E. MCGHEE, “Cyber Redux: The Schmitt Analysis, Tallinn Manual and US Cyber Policy”, Journal of Law & Cyber Warfare 2013, 70-­‐72; J.C. RICHARDSON, Stuxnet as cyberwarfare: Applying the Law of War to the Virtual Battlefield, paper, 2011, 18-­‐19; Tallinn Manual, 49-­‐52. 240 Tallinn Manual, 52. 241 K. COGHE, Respect voor staatssoevereiniteit versus bescherming van de mensenrechten: Een vraag naar de (on)rechtmatigheid van humanitaire interventies, masterproef Rechten Ugent, 2011-­‐2012, 6. 242 IGH, Case concerning Military and Paramilitary Activities in and against Nicaragua (Nicaragua v. Verenigde Staten van Amerika), Judgement, ICJ Reports 1986, para. 205. 243 Tallinn Manual, 46-­‐47. 60 Zowel het artikel 2(4) van het VN Handvest als het internationaal gewoonterecht richten zich enkel op de handelingen van staten en zijn niet van toepassing op handelingen van niet-­‐ statelijke actoren zoals burgers, georganiseerde groeperingen en terroristische organisaties, tenzij hun handelingen specifiek aan een staat kunnen worden toegewezen omdat ze werken in opdracht van.244 In het laatste geval draagt de staat de volledige verantwoordelijkheid wanneer deze personen in hun opdracht gebruik maken van geweld. Het gebeurt ook vaak dat staten louter steun verlenen aan niet-­‐statelijke actoren. Derhalve, is de staat verantwoordelijk voor het verlenen van steun, maar is zij allesbehalve verantwoordelijk voor het geweld dat deze niet-­‐ statelijke actoren teweegbrengen dankzij die steun. Een staat zal pas kunnen verantwoordelijk worden gesteld voor daden van niet-­‐statelijke actoren wanneer zij over de controle beschikt. Acties van niet-­‐statelijke actoren kunnen met andere woorden bijna nooit in strijd worden bevonden met het geweldverbod, maar wel met het internationaal recht of het nationaal recht van een staat. Vervolgens is het het geen noodzakelijke vereiste dat een handeling wordt uitgevoerd door de strijdkrachten van een staat om in aanmerking te komen als een daad van ‘geweld’. Cyberaanvallen uitgevoerd door overheidsfunctionarissen zoals de agenten van een inlichtingendienst of door personen die optreden namens een staat, kunnen evengoed gekwalificeerd worden als ‘geweld’ in de zin van artikel 2(4) van het VN Handvest.245 Op dit aspect van wie verantwoordelijk kan worden gesteld voor een (gewelddadige) cyberaanval wordt uitgebreider ingegaan in het onderdeel over artikel 51 van het VN Handvest. Opvallend in dit onderdeel – en in volgende delen – is dat regelmatig wordt verwezen naar het internationaal gewoonterecht. Het Internationaal Gerechtshof is namelijk van mening dat het VN Handvest niet de gehele regulering omvat inzake het gebruik van geweld, en dat ter aanvulling ook moet worden gekeken naar het internationaal gewoonterecht.246 Zo zou het artikel 2(4) van het VN Handvest in zijn letterlijke betekenis enkel van toepassing zijn op staten 244 D.E. GRAHAM, “Cyber Threats and the Law of War”, Journal of National Security Law & Policy 2010, 95. Tallinn Manual, 46. 246 M. GERVAIS, “Cyber Attacks and the Laws of War”, Berkeley Journal of International Law 2012, 537; M.A.J. SCHAAP, “Cyber warfare operations: development and use under international law”, Air Force Law Review 2009, 142. 245 61 die lid zijn van de Verenigde Naties, maar op grond van het internationaal gewoonterecht is het geweldverbod ook van toepassing op niet-­‐leden. 2.1.2. DREIGEN M ET HET GEBRUIK VAN GEWELD Het VN Handvest heeft eveneens niets gespecifieerd in verband met wat onder de term ‘bedreiging’ dient te worden begrepen in het kader van artikel 2(4). Opnieuw is het, het Internationaal Gerechtshof die hier duidelijkheid wenste te scheppen, met de bepaling: “The notions of “threat” and “use” of force under Article 2, paragraph 4, of the Charter stand together in the sense that if the use of force itself in a given case is illegal – for whatever reason – the threat to use such force will likewise be illegal. In short, if it is to be lawful, the declared readiness of a state to use force must be a use of force that is in conformity with the Charter”.247 Het komt erop neer dat wanneer een staat dreigt met een cyberaanval, deze aanval slechts een verboden gebruik van geweld inhoudt wanneer de bedreigende actie, indien ze zou worden uitgevoerd, een ongerechtvaardigd gebruik van geweld uitmaakt. Cyberoperaties kunnen op twee verschillende manieren worden gehanteerd in het kader van een ‘bedreiging’. Zo kan enerzijds een cyberoperatie worden gebruikt om een dreiging met het gebruik van (kinetisch of cyber) geweld tot uiting te brengen, anderzijds kan ook gedreigd worden, via allerhande andere middelen zoals een openbare uitspraak, met het uitvoeren van een cyberaanval die als geweld kan worden gekwalificeerd. Zoals hier duidelijk blijkt dient een dreiging expliciet te zijn of tenminste tot uiting te zijn gebracht om onder artikel 2(4) van het Handvest van de Verenigde Naties te kunnen worden ondergebracht. Het louter ontwikkelen door een staat van vermogen om cyberaanvallen te kunnen uitvoeren, vormt onder meer geen bedreiging. Deelt deze staat echter aan een andere staat mee dat zij dat vermogen daadwerkelijk zal aanwenden om een 247 IGH, Legality of the Threat or Use of Nuclear Weapons, Advisory Opinion, ICJ Reports 1996, para. 47. 62 bepaald doel te verwezenlijken, dan is er wel sprake van een overtreding in de zin van artikel 2(4) VN Handvest.248 2.2. ARTIKEL 51 HANDVEST VERENIGDE NATIES: RECHT OP ZELFVERDEDIGING Het recht van een staat om zich te verdedigen tegen een gewelddadige aanval van een andere staat is gecodificeerd in artikel 51 van het VN Handvest en bestaat daarnaast parallel onder het internationaal gewoonterecht. 249 Artikel 51 en het daarbij horende internationaal gewoonterecht vormen zoals reeds eerder vermeld één van de voornaamste uitzonderingen op het besproken geweldverbod in artikel 2(4) van het Handvest van de Verenigde Naties (Supra 54). In artikel 51 staat geschreven: “Geen enkele bepaling van dit Handvest doet afbreuk aan het inherente recht tot individuele of collectieve zelfverdediging in geval van een gewapende aanval tegen een Lid van de Verenigde Naties, totdat de Veiligheidsraad de noodzakelijke maatregelen ter handhaving van de internationale vrede en veiligheid heeft genomen...”250 Het betreft een tijdelijk recht dat mag worden uitgeoefend totdat de Veiligheidsraad geëigende maatregelen heeft getroffen. In het artikel 51 van het VN Handvest wordt niet verduidelijkt uit welke vormen van geweld een gewapende aanval kan bestaan of hoe vastgesteld kan worden wanneer een dergelijke aanval is begonnen.251 Om op deze vragen een antwoord te kunnen formuleren dient te worden gekeken naar het gewoonterecht dat bestaat inzake de uitoefening van zelfverdediging. Naar gewoonterecht bestaat een gewapende aanval uit een aanzienlijke inzet van gewapend geweld (zoals bestudeerd bij artikel 2(4) VN Handvest) die het niveau van een kleinschalig gewapend incident of criminele activiteit te boven gaat en is het 248 Tallinn Manual, 52-­‐53. Advies AIV/CAVV, 19; L. VAN DEN HERIK, “De digitale oorlog: waan of werkelijkheid?”, Nederlands Juristenblad 2013, afl. 6, 352. 250 Art. 51 van het Handvest van de Verenigde Naties van 26 juni 1945, Can TS 1945 nr. 7. 251 V.M. ANTOLIN-­‐JENKINS,”Defining the parameters of cyberwar operations: looking for law in all the wrong places?”, Naval Law Review 2005, 162. 249 63 gerechtvaardigd dat een staat reageert in geval van een directe en klaarblijkelijke dreiging van een gewapende aanval. 252 Om het recht op zelfverdediging in artikel 51 VN Handvest te kunnen uitoefenen, dient vooreerst te worden voldaan aan een aantal inhoudelijke vereisten. Het moet gaan om een 1) gewapende aanval die aan een staat of persoon kan worden toegewezen, die voldoet aan de gewoonterechtelijke principes van 2) noodzakelijkheid, proportionaliteit, en 3) onmiddellijkheid.253 In een eerste onderdeel wordt nagegaan in welke mate een digitale aanval een ‘gewapende aanval’ kan uitmaken, daarna wordt ingegaan op de vraag of dergelijke digitale gewapende aanval kan voldoen aan de vereisten van noodzakelijkheid, proportionaliteit en onmiddellijkheid. Vooraleer aan de bespreking van artikel 51 VN Handvest te beginnen, dient er op te worden gewezen dat een gewapende aanval in de zin van artikel 51 van het VN Handvest steeds een interstatelijk of transnationaal element vereist. 254 Hier is steeds aan voldaan wanneer een cyberaanval afkomstig is van een staat of van niet-­‐statelijke actoren die handelen onder het gezag of controle van een staat. Complexer is de situatie waarbij een cyberaanval wordt uitgevoerd door een niet-­‐statelijke actor die volledig zelfstandig handelt. Hierover volgt meer duidelijkheid in het vervolg van deze masterproef. 2.2.1. DIGITALE AANVAL = GEWAPENDE AANVAL? De vraag die in dit onderdeel centraal staat is of een digitale aanval op een computer-­‐ of informaticasysteem van een andere staat, zonder inzet van kinetische middelen, als een 252 Advies AIV/CAVV, 19. M. HADJI-­‐JANEV en S. ALEKSOSKI, “Use of Force in Self-­‐Defense Against Cyber-­‐Attacks and the Shockwaves in the Legal Community: One more Reason for Holistic Legal Approach to Cyberspace”, Mediterranean Journal of Sociale Sciences 2013, 117; T.C. WINGFIELD, The Law of Information Conflict: National Security Law in Cyberspace, Falls Church, Aegis Research Corp, 2000, 41-­‐44. 254 L. VAN DEN HERIK, “De digitale oorlog: waan of werkelijkheid?”, Nederlands Juristenblad 2013, afl. 6, 354. 253 64 ‘gewapende aanval’ kan aanschouwd worden in de zin van artikel 51 van het Handvest van de Verenigde Naties.255 Alvorens in te gaan op het beantwoorden van deze vraag, moet vooreerst duidelijk worden vermeld dat de begrippen ‘geweld’ en ‘gewapende aanval’ geen synoniemen zijn. 256 Het toepassingsgebied van het artikel 2(4) van het VN Handvest is in eerste instantie veel ruimer dan het toepassingsgebied van artikel 51 van hetzelfde Handvest, gezien het niet enkel gewapend, maar ook andere soorten van geweld inhoudt en het niet enkel gericht is op het effectieve gebruik van geweld, maar ook op het dreigen met het gebruik van geweld. Met andere woorden, niet elke bedreiging met of het gebruik van geweld in de zin van artikel 2(4) van het VN Handvest is automatisch ook een gewapende aanval in de zin van artikel 51 van hetzelfde Handvest. 257 Wel veronderstelt een gewapende aanval minstens een gebruik van geweld zoals in artikel 2(4), maar niet elk gebruik van geweld bereikt de noodzakelijke drempel (omvang en gevolgen) om te kunnen spreken van ‘gewapend geweld’. Alleen in de gevallen dat een gebruik van geweld het niveau bereikt van een gewapende aanval mag met geweld worden gereageerd in het kader van het recht op zelfverdediging. 258 De drempel om een bepaalde daad aan te merken als een gewapende aanval ligt een stuk hoger dan die voor geweld, waarbij de enige vereisten zijn: het niveau van een geïsoleerd kleinschalig incident overschrijden en een vergelijkbaar effect teweegbrengen als een gewapende aanval met conventionele wapens.259 Het Internationaal Gerechtshof heeft in de Nicaragua Zaak260 immers het volgende bepaalde: “It will be necessary to distinguish the most grave forms of the use of force (those constituting an armed attack) from other less grave forms”.261 255 Advies AIV/CAVV, 20. M. GERVAIS, “Cyber Attacks and the Laws of War”, Berkeley Journal of International Law 2012, 542. 257 V.M. ANTOLIN-­‐JENKINS,”Defining the parameters of cyberwar operations: looking for law in all the wrong places?”, Naval Law Review 2005, 151. 258 Tallinn Manual, 54. 259 L. VAN DEN HERIK, “De digitale oorlog: waan of werkelijkheid?”, Nederlands Juristenblad 2013, afl. 6, 352. 260 Het was de eerste zaak waarin het Internationaal Gerechtshof zich boog over het recht op zelfverdediging. 261 IGH, Case concerning Military and Paramilitary Activities in and against Nicaragua (Nicaragua v. Verenigde 256 65 Het Internationaal Gerechtshof maakt een onderscheid tussen de ‘meest ernstige’ vormen van geweld en andere, ‘minder ernstige’ vormen. Waarbij alleen de eerste categorie het recht op zelfverdediging ‘activeert’. Het Hof vereist met andere woorden een zekere ernst en legt een de minimis-­‐drempel op. Hieruit kan worden afgeleid dat een gewapende aanval ‘minstens’ geweld moet omvatten dat ernstige gevolgen teweegbrengt of kan teweegbrengen, onder de vorm van grensoverschrijdingen, menselijke slachtoffers en/of zware materiële schade.262 A. ‘GEWAPENDE’ AANVAL Een algemene definitie van het concept ‘gewapende aanval’ bestaat tot op heden nog niet. Wel heeft er al heel wat discussie plaatsgevonden over de vraag in welke mate het begrip ‘gewapende aanval’ het gebruik van wapens noodzakelijk acht.263 Bij gebrek aan een algemene definitie van het concept ‘gewapende aanval’, worden er ook geen specifieke soort wapens of wapensystemen uitgesloten, waardoor er geen enkele reden bestaat om aan te nemen dat een digitale aanval niet als een gewapende aanval kan gelden wanneer de gevolgen ervan vergelijkbaar zijn met die van een aanval met traditionele militaire wapens.264 Thomas Rid en Peter McBurney beschrijven een wapen immers als: “a tool that is used, or designed to be used with the aim of threatening or causing physical, functional, or mental harm to structures, systems or living things”.265 Aan de hand van deze beschrijving kan worden besloten dat ook de instrumenten waarmee cyberaanvallen worden uitgevoerd, als wapens kunnen worden beschouwd gezien ook zij over Staten van Amerika), Judgement, ICJ Reports 1986, para. 191. 262 J. WOUTERS EN T. RUYS, Internationaal recht en het unilateraal gebruik van geweld door Staten: het Jus ad Bellum onder vuur, paper Faculteit Rechten K.U. Leuven, 2007, 14. 263 Tallinn Manual, 54. 264 F. FRANCEUS, “Cyberaanvallen en het recht van de gewapende conflicten: bemerkingen bij een juridische primeur in België en de Verenigde Staten” in M. COOLS, E. DEBRUYNE, F. FRANCEUS e.a. (eds.), Cahiers Inlichtingenstudies -­‐ BISC nr. 2, Apeldoorn-­‐Antwerpen, Maklu, 2012, 117; Advies AIV/CAVV, 20. 265 T. RID en P. MCBURNEY, “Cyber-­‐Weapons”, Rusi Journal 2012, 7. 66 het potentieel beschikken om letsel, dood, schade en vernieling te veroorzaken. Of anders gezegd: “It is neither the designation of a device, nor its normal use, which make it a weapon but the intent with which it is used and its effect. The use of any device, of number of devices, which results in a considerable loss of life and/or extensive destruction of property must therefore be deemed to fulfil the conditions of an “armed” attack.”266 Dit is tevens in overeenstemming met wat het Internationaal Gerechtshof heeft bepaald in haar advies inzake de legaliteit van het gebruik van kernwapens, namelijk dat de keuze van de middelen waarmee een aanval wordt uitgevoerd irrelevant is om te bepalen of een aanval een gewapende aanval betreft of niet. 267 Zo wordt ook algemeen aanvaard dat aanvallen, uitgevoerd met chemische, biologische of nucleaire middelen, die de vereiste omvang en gevolgen bereiken om te worden gekwalificeerd als een gewapende aanval het recht op zelfverdediging in artikel 51 van het VN Handvest activeren. Dit is het geval omdat ze ondanks hun niet-­‐kinetische karakter effecten teweegbrengen die letsels, dood, schade of vernieling met zich (kunnen) meebrengen. Diezelfde redenering dient ook te worden doorgetrokken in het geval van cyberaanvallen.268 Het feit dat er zich tot dusver nog geen enkele cyberaanval heeft voorgedaan die gevolgen teweegbracht vergelijkbaar met die van een traditionele gewapende aanval, doet geen afbreuk aan de hierboven beschreven gedachte. 266 N. MELZER, Cyberwarfare and International Law, Unidir Resources – United Nations Institute for Disarmament Research, 2011, 13. 267 IGH, Legality of the Threat or Use of Nuclear Weapons, Advisory Opinion, ICJ Reports 1996, para. 39; M. GERVAIS, “Cyber Attacks and the Laws of War”, Berkeley Journal of International Law 2012, 542. 268 Advies AIV/CAVV, 20; Tallinn Manual, 54. 67 B. OMVANG EN GEVOLGEN Het Internationaal Gerechtshof heeft in de Nicaragua-­‐Zaak de factoren ‘omvang en gevolgen’ aangeduid als noodzakelijk om een onderscheid te maken tussen de meest ernstige vormen van gebruik van geweld en de minder ernstige en dus om te bepalen of het gaat om een gewapende aanval. Het is algemeen aanvaard dat een aanval die letsel of dood veroorzaakt bij personen of die eigendommen beschadigt of vernielt, voldoet aan de vereiste omvang en gevolgen om te worden gekwalificeerd als een ‘gewapende aanval’. In de Nicaragua-­‐Zaak heeft het Hof vervolgens een onderscheid gemaakt tussen ‘gewapende aanvallen’ en loutere ‘grensincidenten’, met het oog op het vermijden van escalatie van kleinere incidenten. Letsel, dood, schade of vernieling die het gevolg zijn van een grensincident geven in de meeste gevallen geen recht op zelfverdediging in de zin van artikel 51 van het VN Handvest. Het is echter niet volledig uitgesloten dat ‘gewapende incidenten’ ter hoogte van een grens toch de drempelvereisten van een gewapende aanval kunnen bereiken.269 Zo heeft het Internationaal Gerechtshof bepaald dat een (cyber)aanval op een militair platform of installatie in het kader van een grensincident kan worden beschouwd als een ‘gewapende aanval’. 270 Hierbij dient naast de ‘omvang en gevolgen’ ook te worden gekeken naar de mate waarin de aanval de specifieke bedoeling van de militaire of politieke leiders van een staat weerspiegelt om de soevereiniteit van een andere staat te schenden.271 Dit alles toegepast op een digitale aanval geeft als resultaat dat een digitale aanval die leidt tot een aanmerkelijk aantal dodelijke slachtoffers of grootschalige vernietiging van of schade aan vitale , militaire platforms of installaties of civiele goederen, evenzeer kan worden gekwalificeerd als een ‘gewapende aanval’ 269 J. WOUTERS en T. RUYS, Internationaal recht en het unilateraal gebruik van geweld door Staten: het Jus ad Bellum onder vuur, paper Faculteit Rechten K.U. Leuven, 2007, 15. 270 IGH, Case concerning Oil Platforms (Islamitische Republiek Iran v. Verenigde Staten van Amerika), Judgement, ICJ Reports 2003, paras. 57 en 61. 271 IGH, Case concerning Oil Platforms (Islamitische Republiek Iran v. Verenigde Staten van Amerika), Judgement, ICJ Reports 2003, para. 64; N. MELZER, Cyberwarfare and International Law, Unidir Resources – United Nations Institute for Disarmament Research, 2011, 16. 68 in de zin van artikel 51 van het Handvest van de Verenigde Naties.272 Cyberacties die louter tot doel hebben informatie te verzamelen of te stelen, of die slechts een korte of periodieke verstoring veroorzaken van een niet-­‐essentiële cyberdienst kunnen daarentegen niet worden gekwalificeerd als een gewapend aanval.273 Uit onderzoek is trouwens gebleken dat in de praktijk de neiging bestaat om naar een lagere drempel te gaan voor het aannemen van een gewapende aanval. Deze lagere drempel komt onder andere tot uiting via de accumulatietheorie van het Internationaal Gerechtshof waarbij een reeks kleinere aanvallen worden samengenomen en zo een gewapende aanval kunnen vormen in de zin van artikel 51 VN Handvest.274 Hierbij kan verwezen worden naar de woorden van Richard Clarcke: “Death of a thousand cuts”, volgens welke duizend kleine messneden, waarbij elke snede op zich niet fataal is, dat in zijn geheel wel kan zijn.275 De accumulatietheorie kan een bijzonder belangrijke rol spelen in het kader van een cyberoorlog die meestal bestaat uit diverse kleinere cyberaanvallen. 276 Heel wat van die kleinere cyberaanvallen bereiken individueel niet het niveau om te worden gekwalificeerd als een gewapende aanval, maar wanneer ze worden samengevoegd bereiken ze dat niveau wel waardoor ze een staat de mogelijkheid geven om beroep te doen op het recht van zelfverdediging. De enige vereiste hierbij is dat de diverse cyberaanvallen afkomstig zijn van eenzelfde persoon/staat of van personen die werken in opdracht van eenzelfde opdrachtgever.277 Maar wat met een aanval waarbij geen sprake is van gewonden, dodelijke slachtoffers of fysieke schade of vernieling? In dat geval moet voornamelijk gekeken worden naar de omvang van de gevolgen – eerder dan naar de ernst van de gevolgen – en dient te worden nagegaan in welke mate dergelijke aanval leidt tot ernstige verstoring van het functioneren van een staat of 272 Advies AIV/CAVV, 20; L. VAN DEN HERIK, “De digitale oorlog: waan of werkelijkheid?”, Nederlands Juristenblad 2013, afl. 6, 353. 273 Tallinn Manual, 55. 274 C. TAMS, “The use of force against non-­‐state actors”, European Journal of International Law 2009, 387-­‐389. 275 F. FRANCEUS, “Cyberaanvallen en het recht van de gewapende conflicten: bemerkingen bij een juridische primeur in België en de Verenigde Staten” in M. COOLS, E. DEBRUYNE, F. FRANCEUS e.a. (eds.), Cahiers Inlichtingenstudies -­‐ BISC nr. 2, Apeldoorn-­‐Antwerpen, Maklu, 2012, 120. 276 L. VAN DEN HERIK, “De digitale oorlog: waan of werkelijkheid?”, Nederlands Juristenblad 2013, afl. 6, 352. 277 Tallinn Manual, 55. 69 ernstige en langdurige gevolgen teweegbrengt voor de stabiliteit van een staat. Om hierbij te kunnen spreken van een ‘gewapende aanval’, dient het te gaan om een aanval die een (aanhoudende poging tot) ontwrichting van de staat en/of de samenleving veroorzaakt en niet slechts een belemmering of vertraging bij het normaal uitvoeren van taken. 278 Het gaat voornamelijk om aanvallen die gericht zijn op de essentiële functies van een staat of op de systemen van kritieke nationale infrastructuren (water, elektriciteit, transport,...).279 In principe kan iedere aanval op een kritische infrastructuur tot een militaire tegenaanval leiden, ongeacht de doelstelling of aard van de aanvaller, en zelfs indien de aanvaller een niet-­‐statelijke actor is die in principe enkel onder het nationale rechtssysteem zou vallen en dus niet in het kader van het internationaal humanitair recht zou kunnen worden aangevallen. Anders geformuleerd: “The nature of the threat requires a reversal of the presumption that a cyber attack on critical infrastructure is a criminal matter. The new presumption must 70et hat a cyber attack on critical infrastructure is a national security threat”.280 Zo zou een digitale aanval die gericht is op het gehele financiële stelsel 281 of het elektriciteitsnetwerk, of een cyberaanval waardoor de overheid niet meer in staat zou zijn om essentiële taken uit te voeren – bijvoorbeeld een aanval op het gehele militaire communicatie-­‐ en commandonetwerk, waardoor een staat niet meer bij machte is om haar krijgsmacht aan te sturen – moeten gelijk gesteld worden met een gewapende aanval.282 Een mogelijk probleem dat kan opsteken bij de toepassing van deze bepaling, is het feit dat staten individueel bepalen welke infrastructuren als ‘kritiek’ dienen te worden beschouwd. Wat ‘kritisch’ precies is, ligt internationaal immers niet vast.283 Dit brengt het risico mee dat staten bijna alle infrastructuren 278 Advies AIV/CAVV, 20; Tallinn Manual, 55. D.E. GRAHAM, “Cyber Threats and the Law of War”, Journal of National Security Law & Policy 2010, 91; E.T. JENSEN, “Computer Attacks on Critical National Infrastructure: A Use of Force Invoking the Right of Self-­‐Defense”, Stanford Journal of International Law 2002, 208-­‐209. 280 F. FRANCEUS, “Cyberaanvallen en het recht van de gewapende conflicten: bemerkingen bij een juridische primeur in België en de Verenigde Staten” in M. COOLS, E. DEBRUYNE, F. FRANCEUS e.a. (eds.), Cahiers Inlichtingenstudies -­‐ BISC nr. 2, Apeldoorn-­‐Antwerpen, Maklu, 2012, 127. 281 D.E. GRAHAM, “Cyber Threats and the Law of War”, Journal of National Security Law & Policy 2010, 91. 282 Advies AIV/CAVV, 20. 283 M. BENATAR, “The Use of Cyber Force: Need for Legal Justification?”, Goettingen Journal of International Law 2009, 394. 279 70 als kritiek gaan beschouwen, waardoor zij overmatig beroep kunnen doen op het recht op zelfverdediging. Een typisch kenmerk van heel wat cyberaanvallen is dat de gevolgen niet meteen zichtbaar zijn doordat ze zich pas voordoen op langere termijn. Toch dienen ook deze langetermijngevolgen in overweging te worden genomen om te bepalen of de cyberaanval kan worden gekwalificeerd als een gewapende aanval. Omdat het verschijnen van deze gevolgen lang kan uitblijven en het voor staten van groot belang is dat snel kan worden bepaald of het gaat om een gewapende aanval, dient te worden gekeken naar ‘alle redelijk te verwachten gevolgen’ van de cyberaanval. Ter verduidelijking het voorbeeld van een cyberaanval die het systeem van een waterzuiveringsinstallatie saboteert. De redelijk te verwachten gevolgen hiervan zijn namelijk dat mensen ziek worden of dood gaan na het drinken van het water.284 Deze cyberaanval zal met andere woorden met zekerheid kunnen worden gekwalificeerd als een ‘gewapende aanval’ in de zin van artikel 51 van het VN Handvest. Vervolgens kan in het kader van de factoren ‘omvang en gevolgen’ ook nog de vraag worden gesteld wat er dient te gebeuren bij het optreden van onverwachte gevolgen en gevolgen voor een partij die niet bij het conflict betrokken was. Er bestaat een meerderheidsopvatting dat bij het optreden van onverwachte gevolgen de ‘intentie’ van de aanvaller geen enkele rol speelt om te bepalen of het gaat om een gewapende aanval. In dat kader dient er enkel te worden gekeken naar de omvang en de gevolgen van de aanval. Wanneer een cyberaanval tevens gevolgen zou hebben voor een derde partij in het conflict en deze gevolgen bereiken de vereiste drempel om te worden gekwalificeerd als een gewapende aanval, ook al bereiken de gevolgen tussen de oorspronkelijk betrokken partijen bij het conflict die drempel niet, dan mag deze derde partij een beroep doen op het recht op zelfverdediging zoals beschreven in artikel 51 van het Handvest van de Verenigde Naties.285 284 Tallinn Manual, 56. Ibid. 285 71 C. ATTRIBUTIE Zoals eerder aangegeven in het eerste deel van deze masterproef is de toewijzing of attributie van een cyberaanval wellicht het meest delicate vraagstuk inzake de cyberoorlog (Supra 29). Deze attributieproblematiek zou zelfs het grootste struikelblok kunnen vormen voor de toepassing van het internationaal humanitair recht op cyberaanvallen: “As long as there is no state attribution of cyber attacks, Law of Armed Conflicts will offer no remedies and the particular incident must be managed under a different area of law”. 286 Het feit dat een cyberaanval aan een bepaalde staat of persoon kan worden toegewezen speelt in het kader van artikel 51 van het VN Handvest een cruciale rol. Geen enkele vorm van zelfverdediging mag namelijk worden uitgevoerd zonder voldoende bewijs omtrent de herkomst en bron van de aanval. Er wordt een overtuigend bewijs vereist dat een bepaalde staat of bepaalde staten, of een niet-­‐statelijke actor die handelt onder het gezag of controle van een staat, verantwoordelijk is voor de uitvoering van een aanval of daarop de controle heeft.287 Bovendien kan de aard van de tegenaanval sterk verschillen naargelang de aanval aan een statelijke of niet-­‐statelijke actor kan worden toegewezen.288 In de meeste gevallen is het bij een cyberaanval zeer moeilijk om een specifieke staat of persoon als verantwoordelijke aan te duiden omdat het digitale domein enerzijds de mogelijkheid biedt om anoniem te handelen en anderzijds gelaagde aanvallen kunnen worden gelanceerd vanuit diverse landen.289 In wat volgt wordt verder ingegaan op de vraag in welke mate een cyberaanval aan een staat of een niet-­‐ 286 F. FRANCEUS, “Cyberaanvallen en het recht van de gewapende conflicten: bemerkingen bij een juridische primeur in België en de Verenigde Staten” in M. COOLS, E. DEBRUYNE, F. FRANCEUS e.a. (eds.), Cahiers Inlichtingenstudies -­‐ BISC nr. 2, Apeldoorn-­‐Antwerpen, Maklu, 2012, 123. 287 Advies AIV/CAVV, 21; D.E. GRAHAM, “Cyber Threats and the Law of War”, Journal of National Security Law & Policy 2010, 92; M. HOISINGTON, “Cyberwarfare and the Use of Force giving rise to the Right of Self-­‐Defense”, Boston College International & Comparative Law Review 2009, 451. 288 F. FRANCEUS, “Cyberaanvallen en het recht van de gewapende conflicten: bemerkingen bij een juridische primeur in België en de Verenigde Staten” in M. COOLS, E. DEBRUYNE, F. FRANCEUS e.a. (eds.), Cahiers Inlichtingenstudies -­‐ BISC nr. 2, Apeldoorn-­‐Antwerpen, Maklu, 2012, 124; E.T. JENSEN, “Computer Attacks on Critical National Infrastructure: A Use of Force Invoking the Right of Self-­‐Defense”, Stanford Journal of International Law 2002, 208 en 232-­‐233. 289 M. HOISINGTON, “Cyberwarfare and the Use of Force giving rise to the Right of Self-­‐Defense”, Boston College International & Comparative Law Review 2009, 451. 72 statelijke actor kan worden toegewezen. Heel wat geleerden zijn van mening dat elk gebruik van geweld door de officiële strijdkrachten van een staat sowieso een gewapende aanval uitmaakt in de zin van artikel 51 van het VN Handvest. In dat opzicht, vormt elke offensieve actie door een militaire cybereenheid een gewapende aanval, omdat het uitgaat van de krijgsmacht van een staat. De Verenigde Staten, China, Iran, Israël, en tal van andere staten beschikken op heden al over een militaire eenheid die bestaat uit cybermilitairen.290 Een staat draagt tevens de verantwoordelijkheid voor alle acties uitgevoerd door haar strijdkrachten: “a party to an armed conflict shall be responsible for all acts by persons forming part of its armed forces”291 Een staat is niet enkel verantwoordelijk voor de acties die rechtstreeks door haar strijdkrachten worden uitgevoerd, maar ook voor iedere handeling of (gewapende) cyberaanval uitgevoerd door een overheidsorgaan292, zelfs wanneer deze functionaris zich buiten de reikwijdte van zijn functie bevindt. Of anders gezegd: “The conduct of any State organ shall be considered an act of that State under international Law”.293 Soms doet een staat echter ook beroep op private of publieke entiteiten, ook wel niet-­‐statelijke actoren genoemd, die dan de bevoegdheid krijgen om onder het gezag of controle van die staat functies uit te oefenen die in principe toebehoren aan de overheidsfunctionarissen of de officiële strijdkrachten.294 Zo kan een staat bijvoorbeeld een beroep doen op private hackers of zelfs op een andere staat om in zijn naam een cyberaanval uit te voeren op nog een andere 290 M. GERVAIS, “Cyber Attacks and the Laws of War”, Berkeley Journal of International Law 2012, 542. Onder een ‘overheidsorgaan’ dient te worden begrepen elk individu of elke georganiseerde groep die instaat voor de organisatie van de staat en die werken onder gezag of controle van een staat, ook wel overheidsfunctionarissen genoemd, zie Advies AIV/CAVV, 21; IGH, Case concerning Armed Activities on the Territory of the Congo (Dem. Rep. Congo v. Oeganda), Judgement, ICJ Reports 2005, para. 214. 292 S.J. SHACKELFORD, “From Nuclear War to Net War: Analogizing Cyber Attacks in International Law”, Berkley Journal of International Law 2009, 233. 293 Ibid. 294 Advies AIV/CAVV, 21; M. GERVAIS, “Cyber Attacks and the Laws of War”, Berkeley Journal of International Law 2012, 545. 291 73 staat. Dergelijke aanval wordt ook wel beschreven als een indirecte (cyber)aanval van een staat. Kan de getroffen staat bewijzen dat de cyberaanval afkomstig is van een militaire cybereenheid, een overheidsorgaan of een private of publieke entiteit die handelt onder het gezag en de controle van een opdrachtgevende staat, dan draagt deze laatste de volledige verantwoordelijkheid voor de aanval.295 Een staat is dus verantwoordelijk voor daden van niet-­‐statelijke actoren wanneer deze handelen volgens haar instructies, of wanneer deze actoren onder het gezag of de controle staan van die staat.296 Maar over hoeveel controle dient een staat te beschikken om verantwoordelijk te kunnen worden gesteld voor acties van niet-­‐statelijke actoren? In dit kader dient opnieuw te worden verwezen naar de Nicaragua-­‐Zaak waarin het Internationaal Gerechtshof de “effectieve controle test” heeft vastgesteld om te bepalen of een staat daadwerkelijk verantwoordelijk kan worden gesteld voor acties van niet-­‐statelijke actoren. In deze zaak weerhield het Internationaal Gerechtshof om de Verenigde Staten verantwoordelijk te stellen voor de acties van een rebellengroep tegen de Nicaraguaanse regering , hoewel de VS deze groep had gefinancierd, georganiseerd, getraind en van materiaal en uitrustingen had voorzien. Het standpunt van het Internationaal Gerechtshof was dat ongeacht het feit dat de VS daadwerkelijk steun had verleend aan de rebellengroep, zij toch niet verantwoordelijk kon worden gesteld voor de daden van die niet-­‐statelijke actoren tenzij de VS “effectieve controle had over de militairen en paramilitaire operaties” van die rebellengroep.297 Echter, het Joegoslavië-­‐tribunaal kwam bij zijn vonnis in de zaak Tadic tot een ruimere “algehele controle”-­‐norm.298 Een staat kon volgens deze norm slechts verantwoordelijk worden gesteld voor acties van niet-­‐statelijke actoren wanneer zij een rol heeft gespeeld in de coördinatie van, of bijstand heeft verleend aan de algemene planning van de militaire activiteiten van deze actoren.299 Vandaag volgt de meerderheidsvisie 295 M. GERVAIS, “Cyber Attacks and the Laws of War”, Berkeley Journal of International Law 2012, 546. Art. 8 Ontwerp Artikelen inzake Staatsaansprakelijkheid voor Internationale Onrechtmatige Daden, http://legal.un.org/ilc/texts/instruments/english/commentaries/9_6_2001.pdf. 297 IGH, Case concerning Military and Paramilitary Activities in and against Nicaragua (Nicaragua v. Verenigde Staten van Amerika), Judgement, ICJ Reports 1986, para. 115; D.E. GRAHAM, “Cyber Threats and the Law of War”, Journal of National Security Law & Policy 2010, 95. 298 Advies AIV/CAVV, 19-­‐20. 299 D.E. GRAHAM, “Cyber Threats and the Law of War”, Journal of National Security Law & Policy 2010, 95. 296 74 nog steeds de “effectieve controle test” en komt het in principe op het volgende neer: “If a state organized, assisted, and controlled hacktivists as proxies, responsibility for their agents’ actions is imputed to the state with respect to the specific operations “controlled” by the state, wherever they might occur”.300 Noch het gewoonterecht in het kader van zelfverdediging noch het artikel 51 van het VN Handvest sluit de mogelijkheid uit dat tot zelfverdediging wordt overgegaan in antwoord op een aanval door een niet-­‐statelijke actor die op volledig zelfstandige wijze, zonder enige ondersteuning of betrokkenheid van een staat, in staat is een cyberaanval uit te voeren met gevolgen die vergelijkbaar zijn met die van een aanval die direct of indirect wordt uitgevoerd door een staat.301 Een typisch voorbeeld van dergelijke niet-­‐statelijke actor is een hacktivist. Hacktivisten opereren meestal vanuit hun eigen ideologische en politieke overtuigingen, onafhankelijk van een staat. Het digitale domein vormt voor hen dan ook een grote speeltuin gezien zij over de mogelijkheid beschikken om vanop iedere plaats ter wereld cyberaanvallen te lanceren met als doel hun overtuigingen de wijde wereld in te sturen. Er bestaat in de praktijk heel wat discussie over welke acties mogen worden ondernomen tegen dergelijke niet-­‐statelijke actoren. Zo wordt de vraag gesteld of tegenreacties ten aanzien van bijvoorbeeld een hacktivist op het grondgebied van een bepaalde staat geen inbreuk vormt in de soevereiniteit van die staat, gezien zij geen enkele verantwoordelijkheid draagt voor de daden van dergelijke niet-­‐ statelijke actor.302 Eerder in het verleden hebben staten al met geweld gereageerd op aanvallen van niet-­‐statelijke actoren, hierbij verwijzend naar de aanslagen van 11 september 2001. Toen geweten was dat de aanslagen gepleegd waren door niet-­‐statelijke actoren (o.a. terroristen) kreeg de Verenigde Staten wereldwijde steun, inclusief van de Veiligheidsraad van de Verenigde Naties, toen ze er voor koos om beroep te doen op haar recht op zelfverdediging en gewapende aanvallen 300 Resolutie 2734 (XXV) van de Algemene Vergadering van de Verenigde Naties (10 december 1970), Declaration ste on the Strenghtening of International Security, 25 Sess., UN Doc. A/RES/25/2734 (XXV) (1970); M. GERVAIS, “Cyber Attacks and the Laws of War”, Berkeley Journal of International Law 2012, 547. 301 Advies AIV/CAVV, 21. 302 Ibid. 75 uitvoerde op Afghanistan.303 Van een staat mag immers worden verwacht worden dat zij redelijke maatregelen neemt om te voorkomen dat haar systemen en/of grondgebied wordt gebruikt als lanceerplatform voor (digitale) aanvallen door onafhankelijke niet-­‐statelijke actoren. Dergelijke maatregelen hebben onder andere betrekking op het formuleren van strenge straffen inzake het uitvoeren of organiseren van cyberaanvallen vanop het grondgebied van de betreffende staat, het ondernemen van alle mogelijke acties die noodzakelijk zijn om een andere staat te beschermen tegen een voorzienbare cyberaanval; met andere woorden, al het nodige doen om de aanval te stoppen, de aanvallers te vervolgen of verdere aanvallen te voorkomen.304 Keurt een staat de aanval goed of geeft ze richtlijnen dan draagt zij de verantwoordelijkheid en mag ze worden aangevallen; neemt ze de nodige maatregelen en kan de aanval toch worden verwezenlijkt dan is het niet toegestaan een tegenaanval uit te voeren op haar grondgebied ten aanzien van de schuldige niet-­‐statelijke actor.305 Ter illustratie opnieuw het voorbeeld van de aanslagen van 11 september 2001. Hoewel de terroristen van Al Qaida die de aanslagen pleegden op de WTC-­‐ torens afkomstig waren van Afghanistan, was er geen enkele aanwijzing dat Afghanistan effectieve of algehele controle had over Al Qaida. Maar omdat Afghanistan zich op geen enkele manier verzette dat Al Qaida zich settelde op haar grondgebied, werd zij toch verantwoordelijk gesteld voor de aanslagen.306 Deze regel staat beschreven in de Resolutie van de Veiligheidsraad van 1368: “Those who aided, supported, or harbored the perpetrators of the 9/11 attacks would be held accountable”.307 Wanneer een tegenaanval wordt uitgevoerd tegen een niet-­‐statelijk actor op het grondgebied van een staat die niet verantwoordelijk is, dan moet rekening worden gehouden met de 303 M. GERVAIS, “Cyber Attacks and the Laws of War”, Berkeley Journal of International Law 2012, 546-­‐547. D.E. GRAHAM, “Cyber Threats and the Law of War”, Journal of National Security Law & Policy 2010, 93-­‐94. 305 Advies AIV/CAVV, 22-­‐23; D.E. GRAHAM, “Cyber Threats and the Law of War”, Journal of National Security Law & Policy 2010, 96. 306 D.E. GRAHAM, “Cyber Threats and the Law of War”, Journal of National Security Law & Policy 2010, 94-­‐96. 307 Resolutie 1368 van de Veiligheidsraad van de Verenigde Naties (12 september 2001), UN Doc. S/RES/1368 (2001). 304 76 soevereiniteit van die staat. De meerderheidsopvatting is dat dergelijke tegenaanval enkel mag in het geval dat die staat in de onmogelijkheid is of niet bereid is in te grijpen wanneer ze op de hoogte is van het feit dat een cyberaanval op haar grondgebied wordt voorbereid of uitgevoerd.308 Heel deze regeling toont aan dat staten over de wil beschikken om ook niet-­‐statelijke actoren onder te brengen in de regeling inzake het recht op zelfverdediging, daar artikel 51 en het bijhorende gewoonterecht enkel betrekking hebben op staten.309 In het kader van artikel 51 van het VN Handvest dient met andere woorden eerst de dader te worden geïdentificeerd waarna de juridische toerekeningsvraag aan de orde komt, namelijk of de aanval aan een staat kan worden toegerekend. Kan de aanval niet worden toegerekend aan een staat dan rijst de vervolgvraag, namelijk of een zelfverdedigingsactie tegen een niet-­‐ statelijke entiteit onder het internationaal recht is toegestaan gezien niet-­‐statelijke actoren in principe enkel onder het nationaal recht vallen.310 2.2.2. NOODZAKELIJKHEID EN PROPORTIONALITEIT Een staat mag enkel gewapend geweld gebruiken als reactie op een cyberaanval van een andere staat in het kader van het recht op zelfverdediging wanneer de tegenaanval voldoet aan de gewoonterechtelijke voorwaarden van noodzakelijkheid en proportionaliteit uit het jus ad bellum.311 308 M. GERVAIS, “Cyber Attacks and the Laws of War”, Berkeley Journal of International Law 2012, 548; Tallinn Manual, 58. 309 Tallinn Manual, 57. 310 L. VAN DEN HERIK, “De digitale oorlog: waan of werkelijkheid?”, Nederlands Juristenblad 2013, afl. 6, 354. 311 M. HADJI-­‐JANEV en S. ALEKSOSKI, “Use of Force in Self-­‐Defense Against Cyber-­‐Attacks and the Shockwaves in the Legal Community: One more Reason for Holistic Legal Approach to Cyberspace”, Mediterranean Journal of Sociale Sciences 2013, 120 ; O.A. HATHAWAY, R. CROOTOF, P. LEVITZ, H. NIX, A. NOWLAN, W. PERDUE en J. SPIEGEL, “The Law of Cyber-­‐Attack”, California Law Review 2012, 35. 77 Deze twee criteria zijn niet specifiek opgenomen in artikel 51 van het VN Handvest, maar hun toepasbaarheid is herhaaldelijk bevestigd door het Internationaal Gerechtshof in onder andere de Nicaragua-­‐Zaak en het Olieplatform-­‐arrest van eind jaren ‘80.312 Tevens zijn ze uitdrukkelijk erkend door het Nuremberg Tribunaal. Hieruit kan duidelijk het gewoonterechtelijke karakter van deze twee principes worden afgeleid.313 Het noodzakelijkheidsprincipe vereist dat geweld – inclusief cyberaanvallen die als geweld kunnen worden gekwalificeerd – enkel als zelfverdedigingsactie wordt gebruikt wanneer er geen andere alternatieven bestaan om een gewapend conflict op te lossen. Bovendien moet er sprake zijn van het effectief bestaan van een gewapende aanval of een duidelijke en onmiskenbare dreiging van een aanval in de nabije toekomst, aangezien een tegenaanval die enkel tot doel heeft te ‘straffen’ niet is toegestaan in het kader van het recht op zelfverdediging.314 Het gebruik van geweld als tegenreactie in de zin van artikel 51 van het VN Handvest moet dan ook tot doel hebben een dreigende aanval af te weren of een aanval die reeds aan de gang is te beëindigen.315 Op dit tijdsaspect wordt verder ingegaan in een volgend punt (Infra 80). In het deel I van deze masterproef zijn de verschillende verdedigingsmogelijkheden (passief/actief) aan bod gekomen, die bestaan in het kader van digitale aanvallen (Supra 40-­‐45). In eerste instantie kunnen passieve verdedigingsmaatregelen worden genomen zoals het installeren van een firewall of antivirussoftware. Indien deze maatregelen voldoende zijn om een cyberaanval te voorkomen of te beëindigen, dan mag de geviseerde staat niet reageren met 312 IGH, Case concerning Military and Paramilitary Activities in and against Nicaragua (Nicaragua v. Verenigde Staten van Amerika), Judgement, ICJ Reports 1986, paras. 176 en 194; IGH, Case concerning Oil Platforms (Islamitische Republiek Iran v. Verenigde Staten van Amerika), Judgement, ICJ Reports 2003, 43, 73-­‐74 en 76; J. WOUTERS en T. RUYS, Internationaal recht en het unilateraal gebruik van geweld door Staten: het Jus ad Bellum onder vuur, paper Faculteit Rechten K.U. Leuven, 2007, 24. 313 Tallinn Manual, 59. 314 Advies AIV/CAVV, 22; F. FRANCEUS, “Cyberaanvallen en het recht van de gewapende conflicten: bemerkingen bij een juridische primeur in België en de Verenigde Staten” in M. COOLS, E. DEBRUYNE, F. FRANCEUS e.a. (eds.), Cahiers Inlichtingenstudies -­‐ BISC nr. 2, Apeldoorn-­‐Antwerpen, Maklu, 2012, 122; N. MELZER, Cyberwarfare and International Law, Unidir Resources – United Nations Institute for Disarmament Research, 2011, 18. 315 N. MELZER, Cyberwarfare and International Law, Unidir Resources – United Nations Institute for Disarmament Research, 2011, 17. 78 een kinetische of cyber tegenaanval die kan worden gekwalificeerd als geweld. Idem in het geval van actieve verdedigingsmaatregelen. Kan een staat reageren met een tegenaanval die niet de drempel bereikt om te worden gekwalificeerd als geweld, en is deze tegenaanval voldoende om een (gewapende) cyberaanval te voorkomen of te beëindigen, dan zijn alternatieve cyber of kinetische tegenaanvallen die wel de drempel van geweld behalen, verboden in de zin van artikel 51 van het VN Handvest. Schieten de actieve of passieve verdedigingsmaatregelen echter te kort in het voorkomen of beëindigen van een cyberaanval, dan is het volgens het recht op zelfverdediging in artikel 51 wel gerechtvaardigd dat een staat een kinetische-­‐ of cybertegenaanval uitvoert die het niveau bereikt om te worden gekwalificeerd als geweld.316 De noodzaak van een staat om met geweld te reageren op een gewapende aanval van een andere staat, dient op een redelijke manier te worden beoordeeld vanuit het oogpunt van de geviseerde staat. Hierbij een voorbeeld ter verduidelijking: Stel dat staat A een cyberaanval uitvoert op staat B, waarbij heel wat schade wordt veroorzaakt en er enkele dodelijke slachtoffers vallen. Eerdere onderhandelingspogingen liepen uit op een sisser. Ter verdediging voert staat B een cyberaanval uit op staat A. Echter, waarvan staat B niet op de hoogte was, was dat staat A op het moment van de tegenaanval al had besloten om te stoppen met het uitvoeren van aanvallen op staat B. Hierdoor kunnen de tegenaanvallen van B, vanuit een redelijk opzicht niet worden gekwalificeerd als een gerechtvaardigde tegenaanval.317 Bovendien vereist het proportionaliteitsbeginsel dat een zelfverdedigingsactie van een staat qua omvang in verhouding staat met de originele cyberaanval en enkel gericht is op het tegenhouden van de aanval en het voorkomen van verdere aanvallen. 318 Wat het proportionaliteitsbeginsel niet vereist, is een specifieke respons op een aanval, noch dat de tegenreactie van dezelfde aard is als de oorspronkelijke aanval. Het gaat louter om de vraag 316 Tallinn Manual, 59-­‐60. Tallinn Manual, 60. 318 M. HOISINGTON, “Cyberwarfare and the Use of Force giving rise to the Right of Self-­‐Defense”, Boston College International & Comparative Law Review 2009, 450 ; R.D. SLOANE, “The Cost of Conflation: Preserving the Dualism of Jus Ad Bellum and Jus in Bello in the Contemporary Law of War”, Yale Journal of International Law 2009, 108-­‐109; L. VAN DEN HERIK, “De digitale oorlog: waan of werkelijkheid?”, Nederlands Juristenblad 2013, afl. 6, 354. 317 79 hoeveel geweld gebruikt mag worden, wanneer het gebruik van geweld noodzakelijk blijkt in de zin van het recht op zelfverdediging in artikel 51. Zo is het rechtvaardig om op een digitale aanval, die gelijkaardige gevolgen teweegbrengt als een traditionele gewapende aanval, te reageren met digitale-­‐ of conventionele gewapende middelen, indien het afslaan van de aanval het doel is, de maatregelen evenredig zijn met het doel en er geen haalbare alternatieven bestaan. De vereiste van proportionaliteit sluit met andere woorden maatregelen uit die het conflict kunnen laten escaleren en die niet strikt noodzakelijk zijn om de aanval af te slaan en aanvallen in de nabije toekomst te voorkomen.319 2.2.3. ONMIDDELLIJKHEID Over het toepassingsgebied van artikel 51 van het VN Handvest bestaat heel wat controverse. Een van de voornaamste discussies gaat namelijk over het temporele aspect van een tegenaanval. Enerzijds is er een groep geleerden die ervan uitgaan dat het artikel 51 van het VN Handvest heel strikt moet worden geïnterpreteerd zodat een staat niet mag reageren met een zelfverdedigingsactie zolang zij niet daadwerkelijk getroffen is door een gewapende aanval. Binnen deze visie mag een staat namelijk geen enkele actie ondernemen in afwachting van een gewapende aanval, dit met het oog op het vermijden van het risico op escalatie van het conflict. 320 Dit kadert ook binnen de logica van een ‘tegen’aanval, waarbij een staat eerst slachtoffer moet worden van een gewapende aanval alvorens een ‘tegen’aanval te kunnen uitvoeren.321 Anderzijds bestaat er ook een groep geleerden die van mening zijn dat het in bepaalde omstandigheden toch rechtvaardig kan zijn om geweld te gebruiken voorafgaand aan 319 Advies AIV/CAVV, 22. M. HOISINGTON, “Cyberwarfare and the Use of Force Giving Rise to the Right of Self-­‐Defense”, Boston College International and Comparative Law Review 2009, 449-­‐450. 321 F. FRANCEUS, “Cyberaanvallen en het recht van de gewapende conflicten: bemerkingen bij een juridische primeur in België en de Verenigde Staten” in M. COOLS, E. DEBRUYNE, F. FRANCEUS e.a. (eds.), Cahiers Inlichtingenstudies -­‐ BISC nr. 2, Apeldoorn-­‐Antwerpen, Maklu, 2012, 122. 320 80 een daadwerkelijke gewapende aanval.322 Volgens hen is het absurd dat van een staat wordt verwacht dat zij doodgewoon afwacht tot wanneer een andere staat een enorme aanval met grootschalige gevolgen op haar uitvoert, alvorens zij zich hiertegen kan verzetten. Bij dit laatste standpunt dient te worden verwezen naar de Caroline-­‐doctrine van 1837: “necessity of that self-­‐defence is instant, overwhelming and leaving no choice of means, and no moment for deliberation”323 Volgens deze theorie kan een anticipatorische aanval worden opgezet, bij wijze van zelfverdediging, wanneer het de enige mogelijkheid is om een geplande gewapende aanval op het eigen grondgebied te vermijden.324 Tot op heden zijn de meeste deskundige van mening dat een staat niet moet wachten tot de vijand daadwerkelijk aanvalt, alvorens zij maatregelen mag nemen in de zin van artikel 51 van het VN Handvest. Bij zo een anticipatorische tegenaanval is wel vereist dat de oorspronkelijk geplande gewapende cyberaanval een onmiddellijke bedreiging vormt voor de geviseerde staat.325 Om te bepalen of het gaat om een onmiddellijke bedreiging, moet een onderscheid worden gemaakt tussen de voorbereidende acties van een aanval en deze die zich in een fase van daadwerkelijke uitvoering bevinden. De situatie waarin een staat louter het vermogen creëert om in de toekomst eventueel een gewapende cyberaanval te kunnen uitvoeren, verschilt van de situatie waarin die staat daadwerkelijk beslist om kwaadaardige malware te gaan gebruiken ten aanzien van een andere staat. Pas in de laatste situatie is een staat gerechtigd om een anticipatorische tegenaanval uit te voeren. Echter, een mogelijk probleem hierbij is dat staten niet altijd over de juiste en voldoende informatie beschikken om de situatie 322 M. HOISINGTON, “Cyberwarfare and the Use of Force Giving Rise to the Right of Self-­‐Defense”, Boston College International and Comparative Law Review 2009, 449-­‐450; J. WOUTERS EN T. RUYS, Internationaal recht en het unilateraal gebruik van geweld door Staten: het Jus ad Bellum onder vuur, paper Faculteit Rechten K.U. Leuven, 2007, 15. 323 D.E. GRAHAM, “Cyber Threats and the Law of War”, Journal of National Security Law & Policy 2010, 89-­‐90. 324 F. FRANCEUS, “Cyberaanvallen en het recht van de gewapende conflicten: bemerkingen bij een juridische primeur in België en de Verenigde Staten” in M. COOLS, E. DEBRUYNE, F. FRANCEUS e.a. (eds.), Cahiers Inlichtingenstudies -­‐ BISC nr. 2, Apeldoorn-­‐Antwerpen, Maklu, 2012, 122. 325 Tallinn Manual, 60. 81 juist in te schatten.326 Deze regeling inzake een anticipatorische tegenaanval valt volledig onder het internationaal gewoonterecht, gezien deze erg afwijkt van de regeling die is voorzien in artikel 51 van het VN Handvest.327 HOOFDSTUK 3: CYBEROPERATIES EN HET JUS IN BELLO In het voorgaande hoofdstuk werd aangetoond dat digitale aanvallen kunnen voldoen aan de vereisten om te worden gekwalificeerd als ‘geweld’ en ‘gewapend aanvallen’, volgens het Handvest van de Verenigde Naties. Dat wil zeggen dat cyberaanvallen kunnen worden gebruikt om schade aan te richten aan een vijandige partij, waardoor dergelijke aanval ontegensprekelijk als een methode of middel van oorlogvoering kan worden beschouwd.328 De logische volgende stap in het onderzoek naar de toepasbaarheid van het IHR op digitale aanvallen is dan ook het nagaan of dergelijke aanvallen onder de toepassing kunnen vallen van de bestaande principes van het jus in bello. Het jus in bello, oorlogsrecht of het recht van gewapende conflicten bestaat al veel langer dan dat er sprake is van cyberoperaties, cyberaanvallen en dergelijke. Dat brengt ook op dit vlak interpretatievraagstukken met zich mee.329 Binnen het recht van gewapende conflicten bestaat geen enkele regel die specifiek gericht is op het reguleren van cyberactiviteiten. Deze lacune kan worden bekeken vanuit twee standpunten. Enerzijds kan er van worden uitgegaan dat bij gebrek aan enige regulering, staten volledig vrij 326 Tallinn Manual, 62. M. HADJI-­‐JANEV en S. ALEKSOSKI, “Use of Force in Self-­‐Defense Against Cyber-­‐Attacks and the Shockwaves in the Legal Community: One more Reason for Holistic Legal Approach to Cyberspace”, Mediterranean Journal of Sociale Sciences 2013, 121. 328 V.M. PADMANABHAN, “Cyber Warriors and the Jus in Bello”, International Law Studies 2013, 288; M.A.J. SCHAAP, “Cyber warfare operations: development and use under international law”, Air Force Law Review 2009, 149. 329 P.A.L. DUCHEINE, “Cyberoperaties: naar een juridisch raamwerk”, Militaire Spectator 2011, nr.6, 283. 327 82 zijn om cyberaanvallen uit te voeren.330 Het verdedigen van een dergelijk standpunt staat echter op gespannen voet met het gezond verstand. Anderzijds kan worden verwezen naar de Martens Clausule die door het Internationaal Gerechtshof is geïntroduceerd. Deze clausule tracht de lacune op te vullen via interpretatie en analogie.331 In deze clausule, die terug te vinden is in de Vierde Haagse Conventie, in de Geneefse Conventies en in het Eerste Aanvullend Protocol bij de verdragen van Genève, staat geschreven dat: "In gevallen waarin niet wordt voorzien door de Reglementen aanvaard door de Hoge Verdragsluitende partijen blijft de bevolking en blijven de belligerenten beschermd door en onderworpen aan de beginselen van het internationaal recht, die voortvloeien uit de gevestigde gebruiken, de beginselen van menselijkheid en de eisen van het openbare rechtsbewustzijn."332 De Martens Clausule zorgt ervoor dat cyberactiviteiten die worden uitgevoerd gedurende een gewapend conflict, niet binnen een legaal vacuüm blijven zweven.333 Met andere woorden, ook al staat er in de hedendaagse verdragen of regelgevingen niets beschreven over cyberoperaties, dan nog bestaan er een aantal fundamentele beperkingen op dergelijke acties, die kunnen worden afgeleid uit het bestaande recht van de gewapende conflicten.334 Tevens staat het recht van gewapende conflicten bekend als een rechtstak die zich makkelijk aanpast aan nieuwe ontwikkelingen, verwijzend naar onder andere de regelingen die tot stand kwamen inzake het gebruik van chemische, biologische of nucleaire wapens. Deze flexibiliteit is enerzijds te wijten aan de fundamentele beginselen van het jus in bello – militaire noodwendigheid, menselijkheid, proportionaliteit en onderscheid – die in alle gevallen van gewapend conflict gelden, waardoor het recht van gewapende conflicten feitelijk techniek onafhankelijk is en daarmee toepasbaar op nieuwe ontwikkelingen, zoals onder andere 330 Hierbij kan opnieuw verwezen worden naar hetgeen bepaald is in de Lotus Zaak: “wat niet expliciet door het internationaal recht is verboden, is toegestaan”, zie pagina 59. 331 E. KODAR, “Applying the Law of Armed Conflict to Cyber Attacks: from the Martens Clause to Additional Protocol I”, ENDC Proceedings 2012, 109-­‐110. 332 In de preambule van Verdrag (IV) nopens de wetten en gebruiken van de oorlog te land van 18 oktober 1907, www.icrc.org/ihl.nsf/full/195. 333 Tallinn Manual, 70. 334 E. KODAR, “Applying the Law of Armed Conflict to Cyber Attacks: from the Martens Clause to Additional Protocol I”, ENDC Proceedings 2012, 110. 83 cyberoperaties. 335 Anderzijds kan hierbij ook worden verwezen naar de verplichting die is opgenomen in artikel 36 van het Eerste Aanvullend Protocol bij de verdragen van Genève, waarin staat dat: “Op een Hoge Verdragsluitende Partij rust bij de studie, ontwikkeling, aanschaf of invoering van een nieuw wapen, een nieuw middel of een nieuwe methode van oorlogvoering de verplichting vast te stellen of het gebruik daarvan, in bepaalde of in alle omstandigheden, door dit Protocol of door enige andere regel van het ten aanzien van de Hoge Verdragsluitende Partij toepasselijk internationaal recht is verboden.”336 Hierdoor dient bij iedere nieuwe ontwikkeling uitvoerig te worden bestudeerd of de regels van het internationaal recht er al dan niet op kunnen worden toegepast. Met andere woorden, kan niet zomaar worden besloten dat het IHR niet kan worden toegepast op acties in het digitale domein. Desalniettemin kan er toch heel wat in vraag worden gesteld bij de toepassing van het jus in bello op digitale aanvallen. Om het recht van de gewapende conflicten te kunnen toepassen moet er steeds sprake zijn van een gewapend conflict in nationaal of internationaal verband.337 Hierdoor zal dit recht ook slechts op digitale operaties kunnen worden toegepast wanneer deze een ‘gewapend conflict’ vormen of wanneer zij deel uitmaken van een gewapend conflict en als vijandelijkheden kunnen worden aanzien.338 In dit tweede deel van deze masterproef wordt in eerste instantie onderzocht in welke mate een cyberoperatie kan worden beschouwd als een gewapend conflict. Vervolgens wordt nagegaan of een cyberoperatie als een ‘aanval’ kan worden gekwalificeerd, en in die zin als een vijandelijkheid kan worden beschouwd. Na de analyse van deze eerste twee aspecten volgt een doorlichting van de fundamentele principes van het jus in bello in het kader van digitale operaties. 335 P.A.L. DUCHEINE, “Cyberoperaties: naar een juridisch raamwerk”, Militaire Spectator 2011, nr.6, 283; P.J.J. VAN DER KRUIT (ed.), Handboek militair recht, Nijmegen, Wolf Legal Publishers, 2009, 450. 336 Art. 36 AP I. 337 Advies AIV/CAVV, 23. 338 C.D. DELUCA, “The need for International Laws of War to include Cyber Attacks involving state and non-­‐state actors”, Pace International Law Review Online Companion 2013, 300. 84 3.1. GEWAPEND CONFLICT? Het internationaal humanitair oorlogsrecht kan slechts worden toegepast wanneer het gaat om een aanval die an sich kan worden gekwalificeerd als een ‘gewapend conflict’, of die deel uitmaakt van een gewapend conflict. Hoewel termen als ‘cyberaanval’ of ‘cyberterrorisme’ klinken als mogelijke methodes om oorlog te voeren, worden deze activiteiten niet steeds uitgevoerd in het kader van een gewapend conflict waardoor ook het IHR er niet op van toepassing is.339 Om hierover enige klaarheid te scheppen behoort in eerste instantie te worden verduidelijkt wat onder een ‘gewapend conflict’ dient te worden verstaan om vervolgens te kunnen bepalen onder welke omstandigheden een cyberoperatie als een dergelijk conflict kan worden gekwalificeerd. Daarenboven dient er op te worden gewezen dat een gewapend conflict niet mag worden verward met een gewapende aanval in het kader van het recht op zelfverdediging binnen het jus ad bellum. De drempel die dient bereikt te worden om te kunnen spreken van een gewapend conflict verschilt van deze noodzakelijk voor een gewapende aanval. 340 Zo is bij een internationaal gewapend conflict onder andere niet vereist dat wordt gekeken naar de omvang en gevolgen van de vijandelijkheden, wat wel het geval is bij een gewapende aanval (Supra 68-­‐71). Volgens het Internationale Rode Kruiscomité (ICRC) bestaan er slechts twee types gewapende conflicten binnen het IHR: een internationaal gewapend conflict en een niet-­‐internationaal gewapend conflict.341 In dit hoofdstuk volgt een verdere uiteenzetting van deze twee types van gewapende conflicten. 339 http://ihr.rodekruis.be/ref/home-­‐ihr/(12621)-­‐IHR-­‐Home-­‐Nieuws/Oorlogvoering-­‐in-­‐cyberspace-­‐geen-­‐juridisch-­‐ vacum-­‐voor-­‐IHR.html. 340 M.N. SCHMITT, “Cyber Operations and the Jus in Bello: Key Issues”, Naval War College International Law 2011, 103. 341 C.D. DELUCA, “The need for International Laws of War to include Cyber Attacks involving state and non-­‐state actors”, Pace International Law Review Online Companion 2013, 300. 85 3.1.1. INTERNATIONAAL GEWAPEND CONFLICT Inzake een internationaal gewapend conflict dient te worden verwezen naar het gemeenschappelijke artikel 2 van de Geneefse Conventies van 1949, waarin staat geschreven: “Onverminderd de bepalingen welke reeds in tijd van vrede in werking moeten treden, is dit Verdrag van toepassing ingeval een oorlog is verklaard of bij ieder ander gewapend conflict dat ontstaat tussen twee of meer der Hoge Verdragsluitende Partijen, zelfs indien de oorlogstoestand door één der Partijen niet wordt erkend. Het Verdrag is eveneens van toepassing in alle gevallen van gehele of gedeeltelijke bezetting van het grondgebied van een Hoge Verdragsluitende Partij, zelfs indien deze bezetting geen gewapende tegenstand ontmoet.”342 Van een internationaal gewapend conflict is met andere woorden sprake wanneer het gaat om een militair treffen of andere types van vijandelijkheden tussen twee of meerdere staten of bij een totale of gedeeltelijke bezetting van het grondgebied van een staat door een andere staat, ongeacht of die bezetting tot gewelddadig verzet heeft geleid. Deze regeling is automatisch van toepassing wanneer er sprake is van het gebruik van (gewapend) geweld, zoals bestudeerd in artikel 2(4) van het VN Handvest, dat het niveau van een kleinschalig en geïsoleerd gewapend incident overstijgt: “Any difference arising between two States and leading to the intervention of armed forces is an armed conflict within the meaning of Article 2, even if one of the Parties denies the existence of a state of war”343. Anders gezegd, wanneer de vijandelijkheden een voldoende mate van intensiteit bereiken, dan wordt het recht van gewapende conflicten toegepast.344 Dit toegepast op digitale operaties geeft als resultaat dat er sprake is van een internationaal gewapend conflict wanneer er vijandelijkheden plaatsvinden, die cyberoperaties kunnen 342 Art. 2 Verdrag van Genève betreffende de bescherming van burgers in oorlogstijd van 12 augustus 1949, United Nations Treaty Series, vol. 75, 287. 343 J.S. PICTET (ed.), Commentary: Geneva Convention for the amelioration of the condition of the wounded and sick in armed forces in the field, Volume 1, Geneva, International Committee of the red cross, 1952, 32. 344 Advies AIV/CAVV, 23. 86 omvatten of die beperkt zijn tot louter cyberoperaties, tussen twee of meerdere staten.345 De constitutieve elementen waaraan een cyberoperatie in het geval van een internationaal gewapend conflict zeker aan moet voldoen om onder het recht van gewapende conflicten te vallen, zijn: 1. “tussen twee of meerdere staten”: Aan dit constitutief element moet voldaan zijn om te kunnen spreken van de term ‘internationaal’. In principe gaat het enkel over vijandelijkheden tussen staten, maar experten zijn intussen overeengekomen dat er ook sprake is van een ‘internationaal’ gewapend conflict wanneer niet-­‐statelijke actoren, die onder de “algehele controle” (staan van een staat, deelnemen aan de vijandelijkheden uitgeoefend ten aanzien van een andere staat. Zoals eerder aangegeven is het echter niet altijd eenvoudig om te bepalen wanneer een staat controle heeft over cyberoperaties uitgevoerd door een niet-­‐ statelijke actor (Supra 74).346 Zowel het Internationaal Gerechtshof als het Internationaal Strafgerechtshof heeft aangenomen dat de “algehele controle test” het meeste geschikte instrument is om te bepalen of een staat instaat voor de operaties van niet-­‐ statelijke actoren in het kader van een internationaal gewapend conflict. 347 In tegenstelling tot de “effectieve controle test” (die in het jus ad bellum wordt gebruikt om te bepalen of een tegenaanval mag worden uitgevoerd op het grongebied van een staat in het kader van een aanval door een niet-­‐statelijke actor) waarbij een staat de instructies moet geven aan niet-­‐statelijke actoren om een andere staat aan te vallen alvorens zij verantwoordelijk kan worden gesteld, is bij de algehele controle test louter vereist dat de staat voldoende controle heeft over de niet-­‐statelijke actoren om hen aan te zetten tot het plegen van een eventuele cyberaanval via bijvoorbeeld het verlenen van bijstand. Kan een cyberoperatie niet worden toegewezen aan een staat, dan is er geen sprake van een internationaal gewapend conflict. Hierop bestaat echter wel een uitzondering die beschreven staat in artikel 1(4) van het Eerste Aanvullend Protocol: 345 Tallinn Manual, 71. N. MELZER, Cyberwarfare and International Law, Unidir Resources – United Nations Institute for Disarmament Research, 2011, 23-­‐24; Tallinn Manual, 72. 347 Tallinn Manual, 73. 346 87 “De situaties, …, omvatten mede gewapende conflicten waarin volkeren vechten tegen koloniale overheersing en vreemde bezetting en tegen racistische regimes, in de uitoefening van hun recht op zelfbeschikking zoals neergelegd in het Handvest van de Verenigde Naties en in de Verklaring betreffende de beginselen van het volkenrecht inzake vriendschappelijke betrekkingen en samenwerking tussen de Staten overeenkomstig het Handvest van de Verenigde Naties”.348 2. “Gewapend conflict”: Het recht van gewapende conflicten specificeert niet wat onder een ‘gewapend’ conflict dient te worden verstaan. In het vorige hoofdstuk werd vastgesteld dat cyberoperaties in bepaalde gevallen kunnen worden gekwalificeerd als ‘gewapend geweld’, zelfs in afwezigheid van het gebruik van kinetische middelen. Wanneer een cyberoperatie gelijkaardige effecten teweegbrengt als een kinetische aanval, in de zin van letsel, dood, schade of vernietiging, dan kan zij als ‘gewapend’ geweld worden gekwalificeerd.349 Maar daar niet elk gebruik van geweld noodzakelijk wijst op het bestaan van een gewapend conflict, brengen ook niet alle oorlogsdaden een gebruik van geweld met zich mee. Zo kan een gewapend conflict ook tot stand komen door een eenvoudige formele oorlogsverklaring. Experten zijn dan ook van mening dat, gezien het bestaan van een internationaal gewapend conflict niet noodzakelijk afhangt van het gebruik van geweld tussen staten, er minstens sprake moet zijn van ‘vijandelijkheden’ om van een internationaal gewapend conflict te kunnen spreken. 350 Deze vijandelijkheden, die bestaan uit het toepassen van middelen en methoden van oorlogvoering, moeten geval per geval worden beoordeeld aan de hand van de specifieke omstandigheden, wat allesbehalve een makkelijke zaak is… (Infra 93-­‐95) 348 Art. 1(4) AP I. K. DÖRMANN, “The Applicability of the Additional Protocols to Computer Network Attacks: An ICRC Viewpoint”, in K. BYSTRÖM (ed.), International Expert Conference on Computer Network Attacks and the Applicability of International Humanitarian Law, Stockholm, Swedish National Defence College, 2004, 142. 350 N. MELZER, Cyberwarfare and International Law, Unidir Resources – United Nations Institute for Disarmament Research, 2011, 24; Tallinn Manual, 74. 349 88 3.1.2. NIET-­‐INTERNATIONAAL GEWAPEND CONFLICT Een niet-­‐internationaal gewapend conflict heeft betrekking op aanhoudende vijandelijkheden, boven het niveau van louter interne onregelmatigheden of schermutselingen, tussen een overheid en een gewapende en in zekere mate georganiseerde groepering, of tussen twee of meer van dergelijke groeperingen binnen een staat. 351 Dit staat beschreven in gemeenschappelijk artikel 3 van de Geneefse Conventies en artikel 1 van het Tweede Aanvullend Protocol. In het artikel 3 van de Geneefse Conventies staat: “in the territory of one of the High Contracting Parties”. Over het geografische aspect van een niet-­‐internationaal gewapend conflict bestaat heel wat discussie, voornamelijk over de term “one”. Enerzijds is er een groep geleerden die van mening is dat deze term slaat op het feit dat niet-­‐internationale gewapende conflicten beperkt zijn tot die conflicten die zich afspelen binnen de grenzen van één enkele staat. Aan de andere kant bestaat er ook een groep geleerden die er vanuit gaat dat de term “one” verwijst naar het grondgebied van één van de verdragsluitende partijen. Bijgevolg zijn er geen territoriale beperkingen voor zover de betrokken partijen allen partij zijn bij de Geneefse Conventies. Hierdoor zal het feit dat een cyberaanval binnen een niet-­‐ internationaal gewapend conflict afkomstig is van een andere staat, niet meer voldoende zijn om te besluiten dat het conflict een internationaal karakter heeft.352 Deze laatste visie wordt gedeeld door de meerderheid van deskundigen binnen het vakgebied. Daar een internationaal gewapend conflict niet alleen kan plaatsvinden tussen staten, maar ook tussen een staat en een niet-­‐statelijke actor die onder de algehele controle staat van een staat, leidt het verlenen van steun van een staat aan een niet-­‐statelijke actor, die betrokken is bij een niet-­‐internationaal gewapend conflict, niet tot internationalisering van het conflict: “support alone does not transform a non-­‐international armed conflict into an international armed conflict between the supporting State and the State in whose territory the conflict is occurring”.353 351 Advies AIV/CAVV, 23. Tallinn Manual, 76. 353 Tallinn Manual, 73. 352 89 Een internationale groep van experten is overeengekomen dat het recht van gewapende conflicten ook van toepassing is op activiteiten die worden uitgevoerd in het kader van een conflict en die plaatsvinden op het grondgebied van een andere staat dan deze waar het conflict zich afspeelt. Dit is heel interessant inzake de toepassing van het recht van gewapende conflicten op digitale operaties, aangezien cyberaanvallen in de context van een niet-­‐ internationaal gewapend conflict vanop afstand kunnen worden gelanceerd, ver van de plaats waar de eigenlijke vijandigheden zich afspelen.354 Om een cyberoperatie te kwalificeren als een niet-­‐internationaal gewapend conflict moet opnieuw worden voldaan aan twee constitutieve voorwaarden die verschillen van deze die noodzakelijk zijn om te kunnen spreken van een internationaal gewapend conflict. 355 De constitutieve elementen waar het hier over gaat zijn de volgende356: 1) “betrokkenheid van een georganiseerde gewapende groepering” Om te kunnen spreken van een niet-­‐internationaal gewapend conflict is het vereist dat er tenminste een georganiseerde gewapende groepering bij de vijandelijkheden betrokken is. Hierbij dienen twee termen te worden verduidelijkt, namelijk “georganiseerd” en “gewapend”. Een groepering is georganiseerd wanneer zij een zekere commandostructuur bevat en in staat is om militaire operaties te ondersteunen. 357 Met andere woorden, voldoen individuele hackers 358 nooit aan de vereiste voorwaarden om te worden gekwalificeerd als een georganiseerde groepering. Bij een groep hackers bestaat die mogelijkheid wel, maar dit moet geval per geval worden beoordeeld. Vervolgens is een groepering gewapend wanneer ze over de capaciteit beschikt om onder andere cyberaanvallen tot stand te brengen.359 354 Tallinn Manual, 77. N. MELZER, Cyberwarfare and International Law, Unidir Resources – United Nations Institute for Disarmament Research, 2011, 24. 356 M.N. SCHMITT, “Cyber Operations and the Jus in Bello: Key Issues”, Naval War College International Law 2011, 105. 357 Joegoslaviëtribunaal, The Prosecutor v. Limaj, Judgement (Trial Chamber II), Case No. IT-­‐03-­‐66-­‐T (30 november 2005), para. 129. 358 N. MELZER, Cyberwarfare and International Law, Unidir Resources – United Nations Institute for Disarmament Research, 2011, 24. 359 Tallinn Manual, 78-­‐79. 355 90 2) “intensiteit van de vijandelijkheden” Cyberoperaties op zich zullen slechts in zeldzame gevallen de noodzakelijke intensiteitsdrempel bereiken om te worden gekwalificeerd als een niet-­‐internationaal gewapend conflict. 360 Inbreken in netwerksystemen, vernietigen of stelen van bestanden, … kunnen op zich geen niet-­‐internationaal gewapend conflict vormen. Om te kunnen spreken van een niet-­‐internationaal gewapend conflict is vereist dat het gaat om langdurige vijandelijkheden.361 Cyberaanvallen die zich frequent, al dan niet continu, voordoen binnen een relatief beperkte periode kunnen worden beschreven als ‘langdurige cyberaanvallen’, en vormen een niet-­‐internationaal gewapend conflict.362 3.1.3. INTERPRETATIEF? Algemeen kan worden besloten dat een ‘gewapend conflict’ verwijst naar een situatie waarin sprake is van vijandelijkheden, inclusief deze waarin gebruik wordt gemaakt van digitale middelen. Echter, bestaat er in de praktijk heel wat discussie over het vereiste niveau van vijandelijkheden om te kunnen spreken van een internationaal– of niet-­‐internationaal gewapend conflict. In dit kader kan worden verwezen naar de incidenten in Estland in 2007 en Georgië in 2008. Hoewel Estland het slachtoffer was van een aanhoudende reeks cyberaanvallen, kon toch het recht van gewapende conflicten niet worden toegepast omdat de situatie niet het nodige niveau bereikte om te worden gekwalificeerd als een gewapend conflict. Daarentegen, was het recht van de gewapende conflicten wel van toepassing op de cyberoperaties die plaatsvonden gedurende het internationaal gewapende conflict tussen Georgië en Rusland, omdat ze werden gebruikt ter ondersteuning van kinetische aanvallen.363 Dit laatste geval toont aan dat in een situatie van voortdurende kinetische vijandelijkheden in 360 E. KODAR, “Applying the Law of Armed Conflict to Cyber Attacks: from the Martens Clause to Additional Protocol I”, ENDC Proceedings 2012, 109. 361 Joegoslaviëtribunaal, The Prosecutor v. Dusko Tadic, Decision on the Defence Motion for Interlocutory Appeal on Jurisdiction, Case No. IT-­‐94-­‐1-­‐A (2 oktober 1995), para.70. 362 Tallinn Manual, 78. 363 M.N. SCHMITT, “Cyber Operations and the Jus in Bello: Key Issues”, Naval War College International Law 2011, 102. 91 het kader van een gewapend conflict, het toepasselijke recht op het (niet-­‐) internationaal gewapend conflict ook van toepassing is op cyberoperaties die worden uitgevoerd in samenhang met het bestaande conflict.364 Gezien de ruime omschrijving van wat een (niet-­‐) internationaal gewapend conflict inhoudt, kan er van worden uitgegaan dat de vraag of het gaat om een gewapend conflict dient te worden beoordeeld aan de hand van de interpretatie van de betreffende omstandigheden. 3.2. CYBER “AANVALLEN” Cyberoperaties die worden uitgevoerd in de context van een gewapend conflict zijn onderworpen aan het recht van gewapend conflicten.365 In vorig punt werd verklaard wat onder een gewapend conflict dient te worden verstaan. Immers, het gebruik van cyberoperaties gedurende een gewapend conflict kan twee vormen aannemen. Enerzijds kan een cyberoperatie an sich als een ‘aanval’ worden gekwalificeerd, anderzijds bereiken heel wat cyberoperaties dat niveau niet en worden zij slechts gebruikt ter ondersteuning van een kinetische aanval. De vraag die hier wordt gesteld is wanneer dergelijke cyberoperaties effectief onder het jus in bello vallen. 3.2.1. PARALLEL M ET CONVENTIONELE OPERATIE Cyberoperaties kunnen plaatsvinden in combinatie met conventionele vormen van oorlogsvoering zoals onder andere het geval was in het conflict tussen Georgië en Rusland. Als de cyberoperaties plaatsvinden naast of voorafgaand aan kinetische operaties waarmee wordt beoogd de communicatie-­‐, commando-­‐ en controlesystemen van de tegenstander te verstoren of om diens wapensystemen te verzwakken of uit te schakelen, zijn de desbetreffende regels 364 Tallinn Manual, 68-­‐69 en 76. Regel 20 van de Tallinn Manual, 68. 365 92 van het recht van de gewapende conflicten ipso facto van toepassing op zowel de cyberaspecten als op de kinetische aspecten van die operaties. De cyberoperatie kan in dit kader worden beschouwd als een middel of methode van oorlogvoering waarmee wordt getracht de operaties van de tegenstander te verstoren of om de tegenstander schade te berokkenen.366 Cyberaanvallen zijn een ideaal middel om de tegenstander te verrassen, wat tevens een aanzienlijk militair voordeel kan opleveren (Supra 23). 3.2.2. ONAFHANKELIJKE CYBERAANVAL: AANVAL VS. VIJANDELIJKHEDEN Complexer is de situatie waarin een cyberoperatie onafhankelijk en zonder gebruikmaking van andere vormen van oorlogvoering plaatsvindt. Hierbij moet worden nagegaan of het IHR kan worden toegepast op de cyberoperatie op zich. De term ‘aanval’ vormt een heel belangrijk begrip in het internationaal humanitair recht, in die zin dat heel wat regels inzake het uitoefenen van vijandelijkheden gedurende een gewapend conflict worden uitgedrukt in het kader van aanvallen (zoals later ook zal blijken bij de bespreking van de fundamentele beginselen van het jus in bello).367 Onder ‘aanvallen’ moet in het jus in bello worden begrepen: “daden van geweld gericht tegen de tegenstander, hetzij offensieve hetzij defensieve”. 368 De vraag die hierbij dient te worden gesteld is of cyberoperaties, gezien hun niet-­‐kinetische karakter, als daden van geweld kunnen worden beschouwd in de zin van het IHR.369 Bij deze kan opnieuw verwezen worden naar wat werd bepaald inzake het ‘gebruik van geweld’ in het kader van artikel 2(4) VN Handvest (Supra 54-­‐63): wanneer een cyberoperatie gelijkaardige gevolgen teweegbrengt – letsel, dood, schade of 366 Advies AIV/CAVV, 23-­‐24; A.R. LODDER EN L.J.M. BOER, “Cyberwar?What war?”, JV 2012, nr. 1, 58. N. MELZER, Cyberwarfare and International Law, Unidir Resources – United Nations Institute for Disarmament Research, 2011, 23-­‐24. 368 Art. 49(1) AP I; P.A.L. DUCHEINE, “Cyberoperaties: naar een juridisch raamwerk”, Militaire Spectator 2011, nr.6, 284. 369 E. KODAR, “Applying the Law of Armed Conflict to Cyber Attacks: from the Martens Clause to Additional Protocol I”, ENDC Proceedings 2012, 111. 367 93 vernietiging – als een kinetische aanval, dan kan zij als geweld worden beschouwd.370 Met andere woorden, dient te worden gekeken naar de intensiteit van de cyberaanval. Brengt de cyberaanval slechts kleinschalige gevolgen mee voor civiele of militaire computersystemen zoals tijdelijke storingen, ontoegankelijkheid tot internet of bepaalde websites, of vernietigt het enkel niet-­‐essentiële gegevens, dan kan het niet als ‘daad van geweld’ worden gekwalificeerd. Leidt de cyberoperatie echter tot vernietiging van, of veroorzaakt het aanmerkelijke en langdurige schade aan computersystemen voor het beheer van kritieke militaire of civiele infrastructuren, of essentiële overheidsfuncties, dan wordt die operatie wel als geweld beschouwd.371 Niettemin kan de analyse van de toepassing van de regels van het IHR – die gelden voor het uitoefenen van vijandelijkheden gedurende een gewapend conflict – op cyberoperaties, niet beperkt blijven tot een onderzoek van het begrip “aanval”.372 Zo zijn namelijk niet alle principes van het jus in bello uitgedrukt in de zin van ‘aanvallen’, ter illustratie het principe van onderscheid dat geformuleerd is in termen van ‘operaties’373. Vervolgens is er ook nog de regel dat “burgers hun bescherming genieten gedurende de tijd dat ze rechtsreeks deelnemen aan vijandelijkheden”. 374 De begrippen “operaties” en “vijandelijkheden” hebben een ruimere betekenis dan “aanvallen”, in die zin dat operaties en vijandelijkheden aanvallen inhouden maar daar niet toe beperkt zijn. 375 Hoewel het begrip “aanvallen” de meest voorkomende vorm vertegenwoordigt van de manier waarop conflicten worden uitgevochten, zou het verkeerd zijn om aan te nemen dat cyberoperaties die niet voldoen aan de vereisten om te worden gekwalificeerd als een “aanval” niet zijn onderworpen aan het IHR, dat de regels bepaalt inzake 370 N. MELZER, Cyberwarfare and International Law, Unidir Resources – United Nations Institute for Disarmament Research, 2011, 26; M.N. SCHMITT, “Cyber Operations and the Jus in Bello: Key Issues”, Naval War College International Law 2011, 94-­‐95. 371 Advies AIV/CAVV, 24; E. KODAR, “Applying the Law of Armed Conflict to Cyber Attacks: from the Martens Clause to Additional Protocol I”, ENDC Proceedings 2012, 111. 372 N. MELZER, Cyberwarfare and International Law, Unidir Resources – United Nations Institute for Disarmament Research, 2011, 27. 373 Ten einde te verzekeren dat de burgerbevolking en de goederen van burgerlijke aard worden ontzien en beschermd, dienen de Partijen bij het conflict te allen tijde het onderscheid te maken tussen de burgerbevolking en de strijders en tussen de goederen van burgerlijke aard en de militaire objectieven en dienen zij derhalve hun operaties uitsluitend tegen militaire objectieven te richten, zie art. 48 AP I. 374 Art. 51(3) AP I. 375 Tallinn Manual, 69. 94 het deelnemen aan vijandelijkheden. De toepassing van de regels van het IHR inzake het deelnemen aan vijandelijkheden op cyberoperaties hangt niet af van het feit dat de cyberoperatie als een ‘aanval’ kan worden gekwalificeerd, maar wel van de mate waarin ze deel uitmaakt van de vijandelijkheden.376 3.3. FUNDAMENTELE PRINCIPES VAN HET JUS IN BELLO Van zodra er sprake is van een gewapend conflict is het recht van gewapende conflicten automatisch van toepassing op al de partijen die bij het conflict betrokken zijn.377 Staten die het recht hebben om binnen een gewapend conflict geweld te gebruiken zijn echter nog steeds gebonden aan beperkingen die het jus in bello oplegt aan de manier waarop dat geweld mag worden gebruikt.378 Deze beperkingen vinden hun grondslag in de vier fundamentele principes van het jus in bello: militaire noodwendigheid, menselijkheid, onderscheid en proportionaliteit. In het begin van deel II van deze masterproef werd kort uitgelegd wat onder deze principes dient te worden verstaan (Supra 50-­‐51). Binnen het onderzoek naar de toepasselijkheid van IHR op cyberaanvallen is het dan ook vereist dat deze fundamentele principes verder worden onderzocht en dat bepaalt wordt in welke mate zij ook van toepassing kunnen zijn op digitale operaties. Vervolgens wordt ook nog ingegaan op het verbod van verraad en het neutraliteitsbeginsel. Aangezien slechts weinig cyberoperaties voldoen aan de vereisten om te kunnen worden gekwalificeerd als een niet-­‐internationaal gewapend conflict, wordt in dit onderdeel voornamelijk gefocust op de aspecten van een internationaal gewapend conflict. 376 N. MELZER, Cyberwarfare and International Law, Unidir Resources – United Nations Institute for Disarmament Research, 2011, 27. 377 Joegoslaviëtribunaal, The Prosecutor v. Dusko Tadic, Decision on the Defence Motion for Interlocutory Appeal on Jurisdiction, Case No. IT-­‐94-­‐1-­‐A (2 oktober 1995), para. 70; P.A.L. DUCHEINE, “Cyberoperaties: naar een juridisch raamwerk”, Militaire Spectator 2011, nr.6, 283. 378 M. GERVAIS, “Cyber Attacks and the Laws of War”, Berkeley Journal of International Law 2012, 562. 95 “These principles are important to cyber (attacks) because they require that the attacker refrain from attacks that may be expected to cause excessive collateral damage”379 3.3.1. MILITAIRE NOODWENDIGHEID Het startpunt van het onderzoek naar de toepasbaarheid van de fundamentele principes op cyberoperaties ligt bij het principe van de militaire noodwendigheid aangezien dit bepaalt welke doelen legitiem mogen worden aangevallen. De andere principes leggen vervolgens beperkingen op aan de manier waarop dit legitieme doel mag worden aangevallen. Een cyberaanval die wordt uitgevoerd in het kader van een gewapend conflict mag volgens het internationaal humanitair recht slechts gericht zijn op doelwitten via welke geldige militaire doelstellingen kunnen worden bereikt.380 Artikel 52(2) van het Eerste Aanvullend Protocol bij de Geneefse Conventies geeft een definiëring van wat als een geldig militair doelwit kan worden beschouwd: “Aanvallen dienen strikt tot militaire doelen te worden beperkt. Voor zover het objecten betreft, zijn militaire doelen uitsluitend die objecten die naar hun aard, ligging, bestemming of gebruik een daadwerkelijke bijdrage tot de krijgsverrichtingen leveren en waarvan de gehele of gedeeltelijke vernietiging, verovering of onbruikbaarmaking onder de omstandigheden van dat moment een duidelijk militair voordeel oplevert.”381 Met andere woorden, wanneer een aanval wordt uitgevoerd op een object dat geen bijdrage levert aan de oorlogsactiviteiten van de vijand of dat geen enkel militair voordeel oplevert 379 C.D. DELUCA, “The need for International Laws of War to include Cyber Attacks involving state and non-­‐state actors”, Pace International Law Review Online Companion 2013, 303; L. SWANSON, “The Era of Cyber Warfare: applying International Humanitarian Law to the 2008 Russian-­‐Georgian cyber conflict”, Loy. L.A. Int’l & Comp. L. Rev. 2010, 316. 380 M. GERVAIS, “Cyber Attacks and the Laws of War”, Berkeley Journal of International Law 2012, 563. 381 Art. 52(2) AP I; M.A.J. SCHAAP, “Cyber warfare operations: development and use under international law”, Air Force Law Review 2009, 149. 96 wanneer het wordt veroverd of vernietigd, dan is er volgens het Rome Statuut van het Internationaal Strafgerechtshof sprake van een ‘oorlogsmisdaad’.382 Tot de objecten die, door hun aard, een daadwerkelijke bijdrage leveren tot de krijgsverrichtingen behoren onder andere wapens, materiaal, transportmiddelen, schuilplaatsen, militaire gebouwen, militair personeel, hoofdkwartieren, communicatiecentra, militaire netwerken, militaire computers, ….383 De term “ligging” verwijst naar objecten die volgens hun aard geen militaire functie hebben, maar die door hun specifieke ligging een effectieve bijdrage leveren aan de militaire acties, bijvoorbeeld een brug (en bijhorende besturingssysteem). 384 Een onderscheid dient te worden gemaakt tussen de begrippen “bestemming” en “gebruik”. Daar “bestemming” betrekking heeft op het beoogde toekomstige gebruik van een object, heeft “gebruik” betrekking op de huidige functies van het object.385 Daar bijvoorbeeld een school of een hotel in principe een burgerlijk object is, kan het ook door de strijdkrachten benut worden als onderkomen of om een hoofdkwartier te vestigen, in deze laatste gevallen vormt de school of het hotel een militair doel. In geval van twijfel over het juiste doel van dergelijk object, moet er van worden uitgegaan dat het civiele belangen behartigt.386 De vernietiging, verovering of onbruikbaarmaking van een militair object dient een militair voordeel op te leveren, met als gevolg dat het verboden is om aanvallen te lanceren die louter een potentieel of onbepaald voordeel teweegbrengen.387 Het principe van militaire noodwendigheid speelt, in vergelijking met de andere principes, een minder belangrijke rol in het onderzoek naar de toepasbaarheid van het jus in bello op digitale operaties. Zo vormt het onderzoek van de toepassing van het principe van militaire noodwendigheid op cyberoperaties geen grote uitdaging omdat meteen duidelijk is dat 382 Art 8(2)(a)(iv) Statuut van Rome inzake het Internationaal Strafgerechtshof van 17 juli 1998, United Nations Treaty Series, vol. 2187, 3. 383 C. PILOUD, J. DE PREUX, Y. SANDOZ, B. ZIMMERMAN, P. EBERLIN, H. GASSER, C.F. WENGER, P. EBERLIN en S. JUNOD (eds.), Commentary on the Additional Protocols of 8 june 1977 to the geneva conventions of 12 august 1949, Genève, Martinus Nijhoff Publishers, 1987, artikel 52 (2020) (hierna: Commentaar ICRC); M.N. SCHMITT, “Wired warfare: Computer network attack and jus in bello”, IRRC 2002, 380. 384 Commentaar ICRC, artikel 52 (2021). 385 Commentaar ICRC, artikel 52 (2022). 386 Art. 52(3) AP I. 387 M.A.J. SCHAAP, “Cyber warfare operations: development and use under international law”, Air Force Law Review 2009, 153-­‐154. 97 cyberoperaties zich effectief kunnen richten op de objecten die als een legitiem militair doel worden beschouwd. Toch is het belangrijk in het kader van het onderzoek dat wordt weergegeven wat onder een “militair doel” dient te worden begrepen, aangezien de andere principes pas kunnen worden toegepast op operaties die gericht zijn op een dergelijk legitiem militair doel. 3.3.2. MENSELIJKHEID Het principe van menselijkheid, of ook wel het principe van ‘onnodig lijden’ genoemd, staat beschreven in artikel 22 van de Vierde Haagse Conventie: “De oorlogvoerenden hebben geen onbegrensde macht ten aanzien van de keuze van de middelen om de vijand te benadelen.”388 Of anders gezegd: “states do not have unlimited freedom of choice of means in the weapons they use”.389 Dit principe legt staten onder andere het verbod op om wapens te gebruiken die meer lijden of overbodige letsels veroorzaken dan noodzakelijk is om militaire doelstellingen te bereiken.390 Deze regeling geldt zowel in de gevallen van een internationaal gewapend conflict als in gevallen van een niet-­‐internationaal gewapend conflict en geldt enkel ten aanzien van schade of lijden toegebracht aan personen die bij een conflict betrokken zijn.391 Inzake digitale aanvallen snijdt het mes van het verbod op onnodig lijden langs twee kanten. Enerzijds, zijn cyberaanvallen moeilijk te controleren, hetgeen ook een weerslag heeft op de mogelijke effecten die ze kunnen teweegbrengen. Ter illustratie: een cyberaanval uitgevoerd via een worm kan, zonder daartoe de intentie te hebben, miljoenen computers besmetten in zijn poging om binnen te dringen in een enkel systeem (vb. Stuxnet-­‐worm). Cyberaanvallen worden 388 Art. 22 Reglement betreffende de wetten en gebruiken van den oorlog te land bij Verdrag (IV) nopens de wetten en gebruiken van de oorlog te land van 18 oktober 1907, www.icrc.org/ihl.nsf/full/195. 389 IGH, Legality of the Threat or Use of Nuclear Weapons, Advisory Opinion, ICJ Reports 1996, para. 78. 390 M. GERVAIS, “Cyber Attacks and the Laws of War”, Berkeley Journal of International Law 2012, 578; M.A.J. SCHAAP, “Cyber warfare operations: development and use under international law”, Air Force Law Review 2009, 151. 391 Tallinn Manual, 120. 98 vaak heel discreet uitgevoerd waardoor het geviseerde doelwit geen enkel vermoeden heeft dat er een aanval aan de gang is. Door deze onwetendheid kan een cyberaanval overbodige schade teweegbrengen die geen enkel extra militair voordeel oplevert. Stel dat via een cyberaanval wijzigingen worden aangebracht in het medisch dossier van een vijandige militair. Wanneer deze militair door die wijzigingen een verkeerde behandeling krijgt en dit onnodig veel schade veroorzaakt, zoals bijvoorbeeld het amputeren van een been in plaats van een kleine ingreep aan de knie, dan heeft de aanvaller het principe van menselijkheid geschonden. Anderzijds, veroorzaken cyberaanvallen in de meeste gevallen veel minder schade dan aanvallen met kinetische middelen. Een kinetische aanval op een gebouw met als doel het stilleggen van een elektriciteitsgenerator zal veel meer schade en vernieling teweegbrengen dan een cyberaanval die op diezelfde elektriciteitsgenerator is gericht. Daarom zullen militaire leiders in de toekomst meer en meer overwegen om aanvallen uit te voeren via digitale wapens omdat deze levens en fysieke infrastructuren kunnen sparen. Een handige regel die kan worden toegepast bij de beoordeling van digitale aanvallen in het kader van het principe van menselijkheid, is, dat een cyberaanval onrechtmatig is wanneer deze gevolgen teweegbrengt die gelijkaardig zijn aan deze van een kinetische aanval die het principe van onnodig lijden schenden. 392 3.3.3. ONDERSCHEID Volgens het principe van onderscheid dient iedereen die betrokken is bij vijandelijkheden een onderscheid te maken tussen burgers en strijders en tussen militaire doelen393 en burgerlijke objecten.394 Het heeft tot doel burgers in een gewapend conflict van een algemene bescherming te voorzien zoals staat beschreven in artikel 13 van het Tweede Aanvullend Protocol: 1) burgers moeten beschermd worden tegen militaire handelingen, 2) ze mogen niet het doelwit vormen van een handeling of bedreiging van geweld om terreur te zaaien, 3) deze bescherming geldt 392 M. GERVAIS, “Cyber Attacks and the Laws of War”, Berkeley Journal of International Law 2012, 578. Art. 52(2) AP I. 394 Art. 48 AP I; P.A.L. DUCHEINE, “Cyberoperaties: naar een juridisch raamwerk”, Militaire Spectator 2011, nr.6, 284; M.N. SCHMITT, “Wired warfare: Computer network attack and jus in bello”, IRRC 2002, 390. 393 99 enkel voor zover ze niet rechtstreeks deelnemen aan de vijandelijkheden.395 Wanneer binnen het strijdtoneel van een gewapend conflict een e-­‐mail wordt verstuurd naar de vijandelijke bevolking om hen aan te sporen zich over te geven dan is er geen sprake van een schending van het recht van de gewapende conflicten. Er is slechts sprake van een inbreuk wanneer een cyberoperatie tegen beschermde personen of objecten stijgt tot het niveau van een aanval (Supra 92-­‐95), hetgeen verboden is door het principe van onderscheid. 396 Met het principe van onderscheid wordt getracht aanvallen te beperken tot enkel en alleen personen die deelnemen aan vijandelijkheden en militaire doelen397.398 Dit geldt zowel in het kader van internationale als niet-­‐internationale gewapende conflicten. 399 De legitieme doelwitten voor een cyberaanval zijn gelijkaardig aan deze voor conventionele kinetische aanvallen, nl.: strijders, militaire doelen, burgers die direct deelnemen aan vijandelijkheden , dual-­‐use objecten etc. 400 In wat volgt worden enkele van deze doelwitten verder uiteengezet. A. STRIJDERS Strijders zijn deze personen die lid zijn van de (officiële) strijdkrachten (o.a. ook cybermilitairen, Supra 28-­‐29) van een staat die betrokken is in een conflict. Dit staat beschreven in artikel 43, eerste lid Eerste Aanvullend Protocol: “De strijdkrachten van een Partij bij het conflict bestaan uit alle georganiseerde strijdkrachten, groepen en eenheden die onder een bevel staan dat tegenover die Partij verantwoordelijk is voor het gedrag van zijn ondergeschikten”.401 395 Art. 13 Aanvullend Protocol bij de Conventies van Genève van 12 augustus 1949 inzake de bescherming van de slachtoffers van niet-­‐internationale gewapende conflicten (Protocol II) van 8 juni 1977, United Nations Treaty Series, vol. 1125, 1. 396 Tallinn Manual, 96. 397 Zie het principe van militaire noodwendigheid p. 96-­‐98. 398 M. GERVAIS, “Cyber Attacks and the Laws of War”, Berkeley Journal of International Law 2012, 565. 399 Tallinn Manual, 95. 400 E. KODAR, “Applying the Law of Armed Conflict to Cyber Attacks: from the Martens Clause to Additional Protocol I”, ENDC Proceedings 2012, 117. 401 Art. 1 AP I. 100 Echter, dient er wel een onderscheid te worden gemaakt met het militaire personeel dat van een beschermde status geniet zoals het medisch of religieus personeel, en de gewonden en zieken.402 Strijders beschikken over het recht om rechtstreeks deel te nemen aan de vijandelijkheden die worden uitgeoefend gedurende het bestaan van een gewapend conflict. Op de strijders rust bij iedere operatie of aanval de verplichting om zich steeds te onderscheiden van de burgerbevolking, dit met het oog op de bescherming van de burgerbevolking tegen de gevolgen van de vijandelijkheden.403 Dit houdt dus ook in dat cybermilitairen bij het uitvoeren van een cyberaanval duidelijk moeten maken dat de aanval niet afkomstig is van burgers, maar van strijdkrachten die gerechtigd zijn om deel te nemen aan vijandelijkheden. Vervolgens mogen cybermilitairen worden aangevallen gedurende een gewapend conflict, mits wordt voldaan aan de oorlogsrechtelijke vereisten. B. BURGERS EN RECHTSTREEKSE DEELNAME AAN VIJANDELIJKHEDEN “It is not just the fighters with a weapon in their hands that pose a threat”404 Het begrip “vijandelijkheden” kan worden beschreven als de totale som van alle vijandige handelingen, uitgeoefend door al de individuen die direct bij een gewapend conflict zijn betrokken. 405 Individuen die direct bij een gewapend conflict kunnen betrokken zijn, zijn enerzijds de strijdkrachten van een staat en anderzijds burgers. Waar strijders (o.a. ook 402 Art. 11 en 43(2) AP I; M.A.J. SCHAAP, “Cyber warfare operations: development and use under international law”, Air Force Law Review 2009, 154; M.N. SCHMITT, “Wired warfare: Computer network attack and jus in bello”, IRRC 2002, 380. 403 Art. 44(3) AP I. 404 K. WATKIN, “Humans in the Cross-­‐Hairs: Targeting and Assassination in Contemporary Armed Conflicts”, in D. WIPPMAN en M. EVANGELINA (eds.), New Wars, New Laws? Applying the Laws of War in 21st Century Conflicts, New York, Transnational Publishers, Inc., 2005, 137 en 147. 405 N. MELZER, Cyberwarfare and International Law, Unidir Resources – United Nations Institute for Disarmament Research, 2011, 27; V.M. PADMANABHAN, “Cyber Warriors and the Jus in Bello”, International Law Studies 2013, 290. 101 cybermilitairen) het recht hebben om deel te nemen aan vijandelijkheden406, is het anders in het geval van burgers.407 Volgens artikel 51(3) van het Eerste Aanvullend Protocol: “De burgers genieten de in deze afdeling verleende bescherming, behalve indien en zolang zij rechtstreeks aan de vijandelijkheden deelnemen”.408 Met andere woorden, is het legitiem om aanvallen te richten op burgers die rechtstreeks deelnemen aan vijandelijkheden. Maar wanneer kunnen de cyberacties waaraan burgers deelnemen, worden beschouwd als een rechtstreekse deelname aan vijandelijkheden?409 In eerste instantie is het begrip “vijandelijkheden” veel ruimer dan het begrip “aanval”410 en houdt het niet enkel het veroorzaken van dood, letsel, schade of vernietiging in, maar heeft het betrekking op iedere actie die tot doel heeft een negatieve invloed uit te oefenen op de militaire acties of capaciteiten van een vijandige partij. 411 Om te kunnen spreken van een directe deelname aan vijandelijkheden dient er te worden voldaan aan drie cumulatieve voorwaarden: 412 1. De schadedrempel: De uitgevoerde cyberaanval moet in staat zijn om de militaire operaties of de militaire capaciteiten van de betrokken partijen bij een conflict, negatief te beïnvloeden. Kan de aanval niet voldoen aan dit eerste, dan dient deze minstens in staat te zijn om dood, 406 Art. 43(2) AP I. E. KODAR, “Applying the Law of Armed Conflict to Cyber Attacks: from the Martens Clause to Additional Protocol I”, ENDC Proceedings 2012, 124. 408 Art 51(3) AP I. 409 M.N. SCHMITT, “Cyber Operations and the Jus in Bello: Key Issues”, Naval War College International Law 2011, 97. 410 Een cyberaanval kan worden gedefinieerd als een cyberoperatie, offensief of defensief, waarvan redelijkerwijs kan worden verwacht dat zij letsels of dood veroorzaakt aan personen of schade of vernietiging aan objecten zoals staat geschreven in regel 30 van Tallinn Manual, 82. 411 N. MELZER, Cyberwarfare and International Law, Unidir Resources – United Nations Institute for Disarmament Research, 2011, 27. 412 E. KODAR, “Applying the Law of Armed Conflict to Cyber Attacks: from the Martens Clause to Additional Protocol I”, ENDC Proceedings 2012, 124; L. LILES, “The Civilian Cyber Battlefield: Non-­‐State Cyber Operators’ Status Under the Law of Armed Conflict”, N.C.J. Int’l L. & Com. Reg. 2014, 1103; N. MELZER, Cyberwarfare and International Law, Unidir Resources – United Nations Institute for Disarmament Research, 2011, 27; M.N. SCHMITT, “Cyber Operations and the Jus in Bello: Key Issues”, Naval War College International Law 2011, 101. 407 102 letsel, schade of vernieling te veroorzaken aan personen of objecten die een beschermde status genieten.413 2. Direct causaal verband tussen de actie en veroorzaakte schade: De cyberoperatie moet de onmiddellijke oorzaak zijn van dood, letsel, schade, vernieling of de verminderde capaciteit/onmogelijkheid om nog acties uit te voeren door de vijand. Dergelijke schade kan zowel indirect als direct worden veroorzaakt door een cyberoperatie. De schade kan indirect veroorzaakt worden wanneer een cyberoperatie louter de capaciteit verhoogt van de oorlogvoerende partij om de tegenstander schade te berokkenen, of direct wanneer de cyberoperatie integraal deel uitmaakt van een operatie die daadwerkelijke schade toebrengt aan de vijand.414 3. De cyberoperatie moet specifiek ontwikkeld zijn om de directe oorzaak te vormen van de vereiste schadedrempel, dit ter ondersteuning van een conflictpartij en ten nadele van een andere. 415 Of anders verwoord: “engaging in electronic warfare or computer networkattacks targeting military objectives, combatants or civilians directly participating in hostilities, or which is intended to cause death or injury to civilians or damage to or destruction of civilian objects”416 Voorbeelden hiervan zijn onder andere cyberoperaties die er op gericht zijn computergestuurde radars, wapensystemen of communicatienetwerken van een tegenstander te verstoren of 413 E. KODAR, “Applying the Law of Armed Conflict to Cyber Attacks: from the Martens Clause to Additional Protocol I”, ENDC Proceedings 2012, 124; L. LILES, “The Civilian Cyber Battlefield: Non-­‐State Cyber Operators’ Status Under the Law of Armed Conflict”, N.C.J. Int’l L. & Com. Reg. 2014, 1103; N. MELZER, Cyberwarfare and International Law, Unidir Resources – United Nations Institute for Disarmament Research, 2011, 27; M.N. SCHMITT, “Cyber Operations and the Jus in Bello: Key Issues”, Naval War College International Law 2011, 101. 414 N. MELZER, Cyberwarfare and International Law, Unidir Resources – United Nations Institute for Disarmament Research, 2011, 27. 415 E. KODAR, “Applying the Law of Armed Conflict to Cyber Attacks: from the Martens Clause to Additional Protocol I”, ENDC Proceedings 2012, 124; L. LILES, “The Civilian Cyber Battlefield: Non-­‐State Cyber Operators’ Status Under the Law of Armed Conflict”, N.C.J. Int’l L. & Com. Reg. 2014, 1103; N. MELZER, Cyberwarfare and International Law, Unidir Resources – United Nations Institute for Disarmament Research, 2011, 27; M.N. SCHMITT, “Cyber Operations and the Jus in Bello: Key Issues”, Naval War College International Law 2011, 101. 416 HPCR, HPCR Manual on International Law Applicable to Air and Missile Warfare, Program on Humanitarian Policy and Conflict Research at Harvard University, 2009, 15. 103 vernietigen. Het inbreken in een computer van de vijand met de bedoeling militaire bevelen te manipuleren of te veranderen, wat tot gevolg heeft dat de vijand een verminderde capaciteit heeft om vijandelijkheden te verwezenlijken, vormt tevens een directe deelname aan vijandelijkheden. Cyberoperaties die noch dood, letsel, schade of vernieling veroorzaken aan burgers of burgerlijk objecten, noch militaire schade teweegbrengen, vallen niet onder het concept van ‘vijandelijkheden’ en worden dus niet geregeld door het jus in bello. Wanneer dergelijke cyberoperatie wordt uitgevoerd door een burger, dan verliest deze in geen geval zijn bescherming ten aanzien van directe aanvallen.417 Immers, het gebruikte militaire materiaal waarmee deze ‘niet-­‐vijandelijke’ operatie werd uitgevoerd, geniet in geen enkel geval van bescherming, gezien militaire objecten (andere dan medische en religieuze items) van nature uit legitieme doelen zijn en mogen worden aangevallen, zolang de gebruikte methoden en middelen in overeenstemming zijn met de beperkingen opgelegd door de regels van het internationaal humanitair recht.418 Gezien de snelheid waarmee het hele cybergebeuren evolueert, moeten de strijdkrachten ook acties ondernemen om deze ontwikkelingen te kunnen volgen. Daarbij doen ze steeds meer beroep op gespecialiseerde burgers.419 Immers, ontbreekt bij deze burgers vaak het besef dat zij door het eenvoudig verlenen van hun kennis of materiaal aan die strijdkrachten, worden verondersteld rechtstreeks deel te nemen aan de vijandelijkheden die door die strijdkrachten worden uitgeoefend en daardoor als een legitiem doelwit kunnen worden beschouwd. Dit is onder andere zeker het geval wanneer zij werken volgens de instructies van leidinggevende strijdkracht of wanneer ze over de volledige controle beschikken van een cyberaanval. Strijdkrachten gebruiken burgers tegenwoordig niet alleen meer om hun know how bij te schaven, maar ook om effectief aanvallen uit te voeren. Hierbij het voorbeeld van een DDos-­‐ aanval waarbij de computers van onschuldige burgers worden gebruikt. Deze burgers zijn vaak niet op de hoogte van het feit dat van hun computers wordt gebruik gemaakt om een 417 N. MELZER, Cyberwarfare and International Law, Unidir Resources – United Nations Institute for Disarmament Research, 2011, 28. 418 M.N. SCHMITT, “Wired warfare: Computer network attack and jus in bello”, IRRC 2002, 379-­‐380 en 384. 419 L. LILES, “The Civilian Cyber Battlefield: Non-­‐State Cyber Operators’ Status Under the Law of Armed Conflict”, N.C.J. Int’l L. & Com. Reg. 2014, 1092; V.M. PADMANABHAN, “Cyber Warriors and the Jus in Bello”, International Law Studies 2013, 291. 104 cyberaanval uit te voeren. Aan de andere kant, zijn er dan ook burgers die gewillig toestaan dat hun computer wordt gebruikt om een aanval te lanceren op, of die zelf overgaan tot het aanvallen van, een vijandige partij. Dit fenomeen komt vaak voor bij patriot-­‐hackers zoals onder meer het geval was bij het cyberincident in Estland.420 Tevens vormt het duale karakter (fysiek en virtueel) van het digitale domein een aanzienlijk probleem in het kader van burgers die digitaal actief zijn (Supra 22). Burgers kunnen namelijk werkzaam zijn in beide domeinen, ze kunnen in het fysieke domein meewerken aan het creëeren van cyberwapens terwijl ze in het kader van hun dagelijkse leven ook actief zijn in het virtuele domein. Binnen het fysieke domein vormen ze dan een legitiem militeir doelwit, maar in het virtuele domein genieten ze absolute bescherming. 421 De diverse manieren waarop burgers bij een cyberaanval kunnen worden betrokken en het duale karakter van het digitale domein, maakt het voor een getroffen staat niet eenvoudig om nog een redelijk onderscheid te maken tussen vijandige burgers en strijdkrachten.422 Tevens kunnen burgers slechts worden geviseerd vlak voor het overgaan tot, tijdens en vlak na het uitvoeren van een handeling die wordt aanzien als een direct deelname aan vijandelijkheden. Experten zijn het tot op heden nog niet eens geraakt over de situatie waarin een individu herhaaldelijke cyberoperaties heeft uitgevoerd, die elk het karakter hebben van een directe participatie. Enerzijds is er het standpunt dat dit individu niet zomaar mag worden aangevallen omdat hij herhaaldelijk deelnam aan vijandlijkheden en moet iedere handeling die een directe deelname uitmaakt aan vijandelijkheden afzonderlijk worden geïnterpreteerd. Anderzijds zijn er experten die het niet eens zijn met dit eerste standpunt en die er van uitgaan dat dergelijk individu ook mag worden aangevallen wanneer hij geen handeling aan het uitvoeren is die als een directe participatie kan worden beschouwd. Immers, door het 420 E. KODAR, “Applying the Law of Armed Conflict to Cyber Attacks: From the Martens Clause to Addtional Protocol I”, ENDC Proceedings 2012, 125-­‐127; M.N. SCHMITT, “Wired warfare: Computer network attack and jus in bello”, IRRC 2002, 383. 421 L. LILES, “The Civilian Cyber Battlefield: Non-­‐State Cyber Operators’ Status Under the Law of Armed Conflict”, N.C.J. Int’l L. & Com. Reg. 2014, 1108-­‐1111. 422 E. KODAR, “Applying the Law of Armed Conflict to Cyber Attacks: From the Martens Clause to Addtional Protocol I”, ENDC Proceedings 2012, 125-­‐127; M.N. SCHMITT, “Wired warfare: Computer network attack and jus in bello”, IRRC 2002, 383. 105 herhaaldelijk deelnemen aan vijandelijkheden wordt deze persoon meer en meer aanschouwd als een strijder en dus als een legitiem doel.423 C. DUAL-­‐USE OBJECTEN In de praktijk is het echter niet altijd eenvoudig om een onderscheid te maken tussen militaire doelen en burgerobjecten gezien er heel wat dual-­‐use objecten bestaan, zoals infrastructuur, radiostations, elektriciteitscentrales, communicatiesatellieten en computernetwerken. Deze dual-­‐use objecten kunnen zowel voor militaire als civiele doeleinden worden gebruikt. Bijvoorbeeld een elektriciteitscentrale levert elektriciteit aan de burgerbevolking maar tevens aan militair commandocentrales, een luchtverkeersleiding kan zowel de burgerlijke als militaire luchtvaart controleren, etc. 424 “Dual-­‐use objects serve the needs of the civilian population and are also used by military forces. A dual-­‐use object may presumptively be a legitimate military target because it contributes, in part, to concrete military aims, yet the harm to the civilian population in its destruction may still be disproportionate to the military advantage gained, rendering an attack impermissible”425 Het Rome Statuut erkent niet elke inbreuk op het principe van onderscheid als een oorlogsmisdaad. Wanneer er onschuldige burgerslachtoffers vallen en de staat heeft alle redelijke inspanningen gedaan om een onderscheid te maken tussen burgers en strijders en onthoudt zich van opzettelijke aanvallen op burgers of burgerobjecten, dan is er geen sprake van een oorlogsmisdaad.426 Zo is het ook toegelaten dat een aanval wordt uitgevoerd op een dual-­‐use object dat wordt gebruikt voor militaire doeleinden. Hierbij dient echter wel het militaire voordeel dat met de aanval wordt bereikt, op te wegen tegen de veroorzaakte schade 423 J.M. PRESCOTT, “The Law Of Armed Conflict and the Responsible Cyber Commander”, Vermont Law Review 2013, 120. 424 P.A.L. DUCHEINE, “Cyberoperaties: naar een juridisch raamwerk”, Militaire Spectator 2011, nr.6, 284; M.A.J. SCHAAP, “Cyber warfare operations: development and use under international law”, Air Force Law Review 2009, 156; V.M. PADMANABHAN, “Cyber Warriors and the Jus in Bello”, International Law Studies 2013, 291-­‐292. 425 HUMAN RIGHTS WATCH, Human Rights Watch Briefing Paper: International Humanitarian Law Issues In A Potential War in Iraq, 2003, 8, http://www.hrw.org/sites/default/files/reports/Iraq%20IHL%20formatted.pdf. 426 M. GERVAIS, “Cyber Attacks and the Laws of War”, Berkeley Journal of International Law 2012, 565. 106 aan de burgerbevolking. Is dat niet het geval, dan is er sprake van een inbreuk op het proportionaliteitsbeginsel427 en is de aanval niet toegestaan. Opvallend is dat cyberaanvallen voornamelijk gericht zijn op dual use objecten (bv. het internet, elektriciteitsnet,…), veel vaker dan in conventionele conflicten. 428 De reden hiertoe is dat militaire objecten in de meeste gevallen voorzien zijn van een goede technische bescherming, waardoor cyberaanvallers de voorkeur hebben om infrastructuren aan te vallen die (ook) door de burgerbevolking worden gebruikt. Heel wat van die burgerlijke infrastructuren voeden immers ook de militaire doelen en het lamleggen ervan kan een grote impact hebben op de economie en de burgers van een staat, zonder al te veel bloedvergieten.429 Dit maakt dat het principe van onderscheid erg onder druk staat inzake digitale operaties. Het principe van onderscheid betekent in cyberspace dat cyberaanvallers bij het plannen en uitvoeren van hun cyberoperaties moeten nagaan of zij voldoende onderscheid maken tussen burgerlijke doelen en militaire doelen. Militaire doelen binnen het digitale domein zijn onder andere computers of computersystemen die worden gebruikt ter ondersteuning van de militaire infrastructuur of de infrastructuur die specifiek wordt gebruikt voor militaire doeleinden, rekening houdend met de dual use van de meeste van die systemen en infrastructuren. Ook dienen de cyberaanvallers er voor te zorgen dat zij geen willekeurige of buitensporige aanvallen uitvoeren waarbij geen rekening wordt gehouden met de schade die aan de burgerbevolking wordt toegebracht.430 427 Zie proportionaliteitsbeginsel p. 108-­‐109. O.A. HATHAWAY, R. CROOTOF, et al., “The Law of Cyber-­‐Attack”, California Law Review 2012, 40; N. MELZER, Cyberwarfare and International Law, Unidir Resources – United Nations Institute for Disarmament Research, 2011, 30. 429 F. FRANCEUS, “Cyberaanvallen en het recht van de gewapende conflicten: bemerkingen bij een juridische primeur in België en de Verenigde Staten” in M. COOLS, E. DEBRUYNE, F. FRANCEUS e.a. (eds.), Cahiers Inlichtingenstudies -­‐ BISC nr. 2, Apeldoorn-­‐Antwerpen, Maklu, 2012, 126. 430 M. GERVAIS, “Cyber Attacks and the Laws of War”, Berkeley Journal of International Law 2012, 565; http://ihr.rodekruis.be/ref/home-­‐ihr/(12621)-­‐IHR-­‐Home-­‐Nieuws/Oorlogvoering-­‐in-­‐cyberspace-­‐geen-­‐juridisch-­‐ vacum-­‐voor-­‐IHR.html. 428 107 3.3.4. PROPORTIONALITEIT Het principe van proportionaliteit, of ook wel het proportionaliteitsbeginsel, vormt de link tussen het principe van militaire noodwendigheid en menselijkheid en staat beschreven in artikel 51(5)(b) van het Eerste Aanvullend Protocol: “De volgende soorten aanvallen dienen onder andere als niet-­‐onderscheidend te worden beschouwd: aanvallen die, naar kan worden verwacht bijkomend verlies van mensenlevens onder de burgerbevolking, verwonding van burgers, schade aan burgerobjecten of een combinatie daarvan ten gevolge zullen hebben, in een mate die buitensporig zou zijn in verhouding tot het verwachte tastbare en rechtstreekse militaire voordeel.”431 In die zin is het verboden een aanval uit te voeren, zelfs wanneer gericht op een legitiem militair doelwit, wanneer het verwachte risico op burgerslachtoffers en/of schade aan burgerlijke objecten, buiten verhouding staat tot het verwachte tastbare en rechtstreekse militaire voordeel dat de aanval zal opleveren. 432 Hierbij kan onder andere worden verwezen naar aanvallen in zones waar veel burgers en burgerlijke goederen aanwezig zijn.433 Ter illustratie: een cyberaanval gericht op het openen van een stuwdam met de bedoeling het leger van de vijand te treffen, zal niet voldoen aan het proportionaliteitsbeginsel wanneer deze dam gelegen is in een gebergte en zich daaronder een dal bevindt waarin een heel dorp met inwoners is gelegen. Dit principe wordt algemeen aanvaard als internationaal gewoonterecht in zowel internationale als niet-­‐internationale gewapende conflicten.434 Het proportionaliteitsbeginsel heeft echter ook betrekking op de indirecte gevolgen van een aanval, hierbij verwijzend naar onder andere de mogelijke gevolgen van een cyberaanval op een elektriciteitscentrale voor patiënten die in het ziekenhuis in leven worden gehouden met machines.435 Om te voorkomen dat aanvallen zich voornamelijk gaan richten op deze objecten, 431 Art. 51 (5)(b) AP I. O.A. HATHAWAY, R. CROOTOF, et al., “The Law of Cyber-­‐Attack”, California Law Review 2012, 38; M.N. SCHMITT, “Wired warfare: Computer network attack and jus in bello”, IRRC 2002, 393. 433 http://ihr.rodekruis.be/ref/home-­‐ihrOLD/Over-­‐Internationaal-­‐Humanitair-­‐RechtOLD/A-­‐tot-­‐Z-­‐van-­‐het-­‐ internationaal-­‐humanitair-­‐rechtOLD/Principe-­‐van-­‐proportionaliteit.html. 434 Tallinn Manual, 132. 435 M.N. SCHMITT, “Wired warfare: Computer network attack and jus in bello”, IRRC 2002, 392. 432 108 die indirecte gevolgen – in vele gevallen dual use objecten – met zich meebrengen, heeft het Eerste Aanvullend Protocol een specifieke bescherming voorzien voor werken en installaties die ‘gevaarlijke krachten’ bevatten: “Werken of installaties die gevaarlijke krachten bevatten, te weten stuwdammen, dijken en kerncentrales, mogen niet het doelwit van een aanval worden gemaakt, zelfs niet wanneer zij militaire doelen zijn indien die aanvallen het vrijkomen van gevaarlijke krachten zouden veroorzaken en daardoor zware verliezen aan mensenlevens onder de burgerbevolking teweeg zouden brengen…”.436 Een vergelijking kan worden gemaakt tussen het proportionaliteitsbeginsel en het principe van onderscheid, in die zin dat beiden bekommerd zijn om de gevolgen van een aanval op burgers en burgerobjecten. Het verschil tussen beide principes zit echter in het feit dat het principe van onderscheid directe aanvallen verbiedt op beschermde personen en objecten en deze waarvan niet zeker geweten is dat het een militair doel betreft, terwijl het proportionaliteitsbeginsel betrekking heeft op situaties waarin het treffen van beschermde personen en objecten een voorzienbaar gevolg is, maar niet het specifieke beoogde doel.437 Cyberoperaties zullen in de meeste gevallen minder burgerslachtoffers en schade veroorzaken dan traditionele kinetische aanvallen. Waar vroeger fysieke vernietiging noodzakelijk was om de vijand tegen te houden, kan dit op heden worden gerealiseerd door het eenvoudig uitschakelen van vijandige digitale systemen.438 Het proportionaliteitsbeginsel zal er dan ook voor zorgen dat aanvallers steeds meer de voorkeur gaan geven aan cyberaanvallen, eerder dan aan traditionele wapens en methoden.439 Immers, moet steeds gekozen worden voor die aanvalsmethode die het minste risico inhoudt op collateral damage of incidentele letsels aan burgers of burgerlijke objecten.440 436 Art. 56(1) AP I; M.N. SCHMITT, “Wired warfare: Computer network attack and jus in bello”, IRRC 2002, 385. M.N. SCHMITT, “Wired warfare: Computer network attack and jus in bello”, IRRC 2002, 391. 438 E. KODAR, “Applying the Law of Armed Conflict to Cyber Attacks: from the Martens Clause to Additional Protocol I”, ENDC Proceedings 2012, 119-­‐120; M.N. SCHMITT, “Wired warfare: Computer network attack and jus in bello”, IRRC 2002, 394. 439 P.A.L. DUCHEINE, “Cyberoperaties: naar een juridisch raamwerk”, Militaire Spectator 2011, nr.6, 284. 440 Art. 57(3) AP I ; M.N. SCHMITT, “Wired warfare: Computer network attack and jus in bello”, IRRC 2002, 394. 437 109 Ontwikkelaars van cyberwapens zullen er in de toekomst steeds beter in slagen om deze cyberwapens en hun gevolgen te controleren. Hierbij kan onder andere verwezen worden naar de eerder besproken Stuxnet-­‐worm die zodanig geprogrammeerd was dat hij in principe enkel schade zou toebrengen aan een nucleaire verrijkingsinstallatie, of het Flame-­‐virus dat in staat is om zichzelf vernietigen (Supra 9). Door dergelijke specifieke programmaties zullen cyberaanvallers in staat zijn om de gevolgen van hun aanval te beperken tot wat noodzakelijk is om de militaire doelstelling te bereiken.441 Echter, moet steeds geval per geval worden beoordeeld of de schade die wordt toegebracht aan burgers of burgerobjecten in verhouding staat met het beoogde militaire doel. De beoordeling van het proportionaliteitsbeginsel is bij de meeste cyberoperaties een complexe opdracht omdat het een typisch kenmerk is van dat soort aanvallen dat zij niet meteen dood of vernietiging teweegbrengen en vaak slechts tijdelijke storingen veroorzaken aan netwerksystemen. Daarom moet gekeken worden naar wat de ‘mogelijke’ gevolgen kunnen zijn van een dergelijke aanval. 442 Viseert een conflicterende partij een waterzuiveringsinstallatie (dual-­‐use object) om de tegenstander te treffen, dan is het voorspelbare gevolg dat op termijn ook heel wat burgers ziek zullen worden en sterven. Dergelijk actie zal onder meer in strijd worden bevonden met het proportionaliteitsbeginsel. 3.3.5. VERRAAD Naast de fundamentele principes van het jus in bello dient ook het verbod van verraad te worden geanalyseerd in het kader van digitale operaties. Dit verbod staat beschreven in artikel 37(1) van het Eerste Aanvullend Protocol: “Het is verboden een tegenstander te doden, te verwonden of gevangen te nemen door middel van verraad. Gedragingen die het vertrouwen wekken bij een tegenstander ten einde deze te doen geloven dat hij gerechtigd is tot bescherming krachtens de regels van het volkenrecht 441 M. GERVAIS, “Cyber Attacks and the Laws of War”, Berkeley Journal of International Law 2012, 573. O.A. HATHAWAY, R. CROOTOF, et al., “The Law of Cyber-­‐Attack”, California Law Review 2012, 37-­‐38. 442 110 toepasselijk in geval van gewapende conflicten of dat hij verplicht is zodanige bescherming te verlenen, met de bedoeling dat vertrouwen te misbruiken, leveren verraad op”443 en in artikel 23(b) van de Vierde Haagse Conventie: “Behalve de verbodsbepalingen, door bijzondere verdragen vastgesteld, is het namelijk verboden: personen behorende tot het vijandelijk volk of leger door verraad te doden of te verwonden”444. Deze regeling inzake verraad is zowel van toepassing in internationale als in niet-­‐internationale gewapende conflicten en wordt beschouwd als internationaal gewoonterecht.445 De ratio achter het verbod van verraad is dat dergelijke acties de basis verstoren voor het herstellen van de vrede, aangezien enerzijds de tegenstander definitief kan vernietigd worden, of anderzijds een onherstelbaar wantrouwen ontstaat tussen de betrokken partijen.446 Het verbod bevat vier elementen: 1) een daad stellen die een bijzonder vertrouwen opwekt bij de tegenstander, 2) een intentie om dat vertrouwen te schenden, 3) een specifieke bescherming bepaald in het internationaal recht, en 4) dood of letsel van de tegenstander. 447 Ter verduidelijking het voorbeeld van een conflictpartij die verklaart te zijn verslagen en de witte vlag hijst. Van een partij die de witte vlag hijst wordt verwacht dat zij neutraal blijft en geen oorlogshandelingen meer stelt. Bovendien genieten zij van een specifieke bescherming daar zij ook niet meer mogen worden aangevallen. Begint de partij na het hijsen van de vlag de tegenstander opnieuw aan te vallen, dan heeft zij verraad gepleegd en begaat zij een inbreuk op het recht van gewapende conflicten. 448 Het is noodzakelijk dat de dood of letsels van de tegenstander rechtstreeks volgen uit de malafide praktijk. Zo is het versturen van een mail naar de tegenstander voor een gesprek met de vertegenwoordiger van het Rode Kruis Comité met de werkelijk bedoeling de tegenstander in een hinderlaag te lokken en deze tegenstander komt, op 443 Art. 37(1) AP I. Art. 23(b) Reglement betreffende de wetten en gebruiken van den oorlog te land bij Verdrag (IV) nopens de wetten en gebruiken van de oorlog te land van 18 oktober 1907, www.icrc.org/ihl.nsf/full/195. 445 Tallinn Manual, 149. 446 M.A.J. SCHAAP, “Cyber warfare operations: development and use under international law”, Air Force Law Review 2009, 151. 447 Tallinn Manual, 150. 448 M. GERVAIS, “Cyber Attacks and the Laws of War”, Berkeley Journal of International Law 2012, 573-­‐574. 444 111 weg naar het “gesprek”, terecht op een landmijn die niet was voorzien door de partij die de mail stuurde, dan is er geen sprake van verraad.449 Bij dit voorbeeld zijn de gevolgen namelijk niet rechtstreeks toe te wijden aan de bedrieglijke mail, maar aan toeval. Het analyseren van deze verbodsbepaling is ook interessant in het kader van digitale operaties, gezien deze een handig middel kunnen vormen voor het te kwader trouw misleiden of beïnvloeden van de tegenstander. Gezien cyber espionage steeds meer gebruikt wordt voor het verwerven van informatie, bestaat het risico dat staten opzettelijk verkeerde informatie op hun eigen netwerken gaan plaatsen met de bedoeling de vijand te doden of schade toe te brengen. Bijvoorbeeld een cyberaanvaller die de vijand er van overtuigt dat een bepaalde militaire website of netwerk een civiele status geniet en daardoor niet mag worden aangevallen, met de achterliggende bedoeling via die website of dat netwerk de tegenstander uit te schakelen of schade toe te brengen. Dergelijke manier van misleidende informatie geven kan worden vergeleken met de misleiding inzake het verbod van verraad.450 Verraad moet worden onderscheiden van verrassingsaanvallen, geveinsde aanvallen en dergelijke, die louter een list vormen.451 Tussen beide soorten misleidingen ligt maar een klein, maar uitermate cruciaal verschil.452 Listen hebben tot doel de tegenstander te misleiden om er zo voor te zorgen dat deze onzorgvuldiger te werk gaat en makkelijker te treffen is. Bij een list wordt in tegenstelling tot verraad geen beschermde status geveinsd met het oog op het doden of aanbrengen van letsel aan de tegenstander, waardoor listen niet in strijd zijn met het verbod van verraad.453 Voorbeelden van legitieme digitale listen zijn onder andere: het veinzen van een 449 Tallinn Manual, 150. M.A.J. SCHAAP, “Cyber warfare operations: development and use under international law”, Air Force Law Review 2009, 152 451 N. MELZER, Cyberwarfare and International Law, Unidir Resources – United Nations Institute for Disarmament Research, 2011, 33. 452 E. KODAR, “Applying the Law of Armed Conflict to Cyber Attacks: from the Martens Clause to Additional Protocol I”, ENDC Proceedings 2012, 127. 453 M.N. SCHMITT, “Wired warfare: Computer network attack and jus in bello”, IRRC 2002, 395. 450 112 cyberaanval, vijandige codes en paswoorden gebruiken, valse computernetwerken gebruiken, een computersysteem ontwikkelen dat onbestaande krachten veinst, etc.454 3.3.6. NEUTRALITEIT Volgens het Internationaal Gerechtshof vormt ook het neutraliteitsbeginsel een fundamenteel beginsel van het internationaal recht.455 Dit beginsel geldt enkel in de gevallen waar er sprake is van een internationaal gewapend conflict.456 Staten die zich neutraal verklaren ten aanzien van een dergelijk internationaal gewapend conflict en zich daar ook naar schikken genieten een zekere immuniteit en mogen niet geviseerd of bedreigd worden in het kader van een aanval.457 De strijdende partijen die in het conflict betrokken zijn dienen deze neutraliteit te respecteren en mogen geen gebruik maken van het grondgebied van de neutrale staat om bijvoorbeeld troepen te laten oversteken of munitie of krijgsvoorraden te laten overkomen.458 Het behoort echter wel tot het takenpakket van de neutrale staat om de nodige maatregelen te nemen ter voorkoming dat strijdende partijen van haar grondgebied gebruik maken. Neemt deze neutrale staat geen preventieve maatregelen of staat zij expliciet toe dat van haar grondgebied gebruik mag worden gemaakt in het kader van een internationaal gewapend conflict, dan verliest zij haar immuniteit en wordt ze aanschouwd als een legitiem doelwit.459 Deze regeling toegepast op digitale operaties geeft het volgende resultaat. Conflicterende staten mogen geen vijandelijkheden uitvoeren op de cyberinfrastructuren van een neutrale 454 Tallinn Manual, 152. IGH, Legality of the Threat or Use of Nuclear Weapons, Advisory Opinion, ICJ Reports 1996, para. 89; S.W. KORNS en J.E. KASTENBERG, “Georgia’s Cyber Left Hook”, Parameters 2009, 73; N. MELZER, Cyberwarfare and International Law, Unidir Resources – United Nations Institute for Disarmament Research, 2011, 20. 456 Tallinn Manual, 202. 457 Art. 1 en 2 Verdrag (V) nopens de rechten en verplichtingen der onzijdige mogendheden en personen in geval van oorlog te land van 18 oktober 1907, www.icrc.org/ihl/INTRO/200?OpenDocument; E. KODAR, “Applying the Law of Armed Conflict to Cyber Attacks: from the Martens Clause to Additional Protocol I”, ENDC Proceedings 2012, 113; S.W. KORNS en J.E. KASTENBERG, “Georgia’s Cyber Left Hook”, Parameters 2009, 62. 458 M.A.J. SCHAAP, “Cyber warfare operations: development and use under international law”, Air Force Law Review 2009, 153. 459 M. GERVAIS, “Cyber Attacks and the Laws of War”, Berkeley Journal of International Law 2012, 576. 455 113 staat. Echter, een aanval op een server van een conflicterende partij kan ook een weerslag hebben op de digitale diensten in een neutrale zone. Volgens experten is hierbij niet automatisch sprake van een schending van het neutraliteitsbeginsel. Zo moet eerst worden nagegaan of die gevolgen voorzienbaar waren. Is dat niet het geval dan is er hoe dan ook geen sprake van een schending van het neutraliteitsbeginsel. Waren de gevolgen ten aanzien van een neutrale staat wel voorzienbaar, dan moet er volgens de experten een afweging worden gemaakt tussen enerzijds het recht van de conflicterende partij om een aanval uit te voeren op een militair doel en anderzijds het recht van de neutrale staat om ongeschonden te blijven gedurende het bestaan van een internationaal gewapend conflict. Daarenboven mag wel een aanval worden uitgevoerd op neutrale cyberinfrastructuren die gelegen zijn buiten het neutrale gebied en een militair doel vormen, bijvoorbeeld een onderzeese kabel. 460 In cyberspace bestaan er namelijk ook grenzen (Supra 22-­‐23). De partijen die betrokken zijn in een internationaal gewapend conflict mogen ook geen gebruik maken van neutrale cyberinfrastructuren voor het aanvallen van een vijandelijke partij. Hierbij wordt al snel op een aanzienlijk probleem gebotst inzake de toepassing van het neutraliteitsbeginsel op digitale operaties. Een typisch kenmerk van cyberoperaties is namelijk dat zij hoofdzakelijk plaatsvinden met behulp van het internet. Het internet is een wereldwijd netwerk dat bestaat uit allemaal met elkaar verweven computernetwerken.461 Hierdoor kunnen cyberoperaties, uitgevoerd inzake een internationaal conflict, heel makkelijk langs de infrastructuren en netwerkknooppunten van neutrale staten verlopen. Ter illustratie het voorbeeld van een e-­‐mail. Een e-­‐mail verzonden vanop het grondgebied van een conflicterende staat volgt een automatische route, afhankelijk van het netwerk. Deze e-­‐mail kan alvorens zijn definitieve eindbestemming te bereiken tijdens zijn route neutrale internetinfrastructuren doorkruisen. Noch de verzender, noch de neutrale staat kan die route beïnvloeden of een eigen route bepalen.462 Maar gezien volgens het principe van neutraliteit het grondgebied van een neutrale staat onschendbaar is en niet door een conflicterende staat mag worden gebruikt, 460 Tallinn Manual, 204. E. KODAR, “Applying the Law of Armed Conflict to Cyber Attacks: from the Martens Clause to Additional Protocol I”, ENDC Proceedings 2012, 113. 462 Tallinn Manual, 203. 461 114 vormen zulke cyberoperaties die gebruikmaken van de internetfaciliteiten in een neutrale staat of die verlopen via dergelijke faciliteiten steeds een inbreuk op het neutraliteitsbeginsel.463 Kan het neutraliteitsbeginsel dan eigenlijk ooit van toepassing worden verklaard op dergelijke cyberoperaties? Een mogelijke uitweg voor het beantwoorden van bovenstaande vraag is een uitzondering op het neutraliteitsprincipe die beschreven staat in artikel 8 van (het Haagse) Verdrag (V) nopens de rechten en verplichtingen der onzijdige Mogendheden en personen in geval van oorlog te land: “Een onzijdige Mogendheid is niet gehouden ten aanzien van de oorlogvoerenden het gebruik te verbieden of te beperken van de telegraaf-­‐ of telefoonkabels, alsmede van de toestellen voor telegrafie zonder draad, welke hetzij haar eigen eigendom, hetzij dat van verenigingen of particulieren zijn”.464 Volgens deze regel zou het gebruik van internetknooppunten en verbindingen in een staat die niet bij het conflict betrokken is, geen inbreuk vormen op het neutraliteitsbeginsel.465 Hierbij kan opnieuw worden gewezen op een mogelijk probleem waardoor deze uitzondering op bepaalde cyberoperaties niet kan worden toegepast. Cyberoperaties worden echter vaak gebruikt als wapens, met als gevolg dat het originele neutraliteitsbeginsel – dat verbiedt dat wapens het grondgebied van een neutrale staat doorkruisen – hierop sowieso van toepassing is.466 Hierdoor dient bij iedere cyberoperatie nauwkeurig te worden nagegaan of de informatie die wordt getransporteerd langs de netwerken van een neutrale staat een cyberwapen betreft, 463 P.A.L. DUCHEINE, “Cyberoperaties: naar een juridisch raamwerk”, Militaire Spectator 2011, nr.6, 284. Art. 8 Verdrag (V) nopens de rechten en verplichtingen der onzijdige mogendheden en personen in geval van oorlog te land van 18 oktober 1907, www.icrc.org/ihl/INTRO/200?OpenDocument; N. MELZER, Cyberwarfare and International Law, Unidir Resources – United Nations Institute for Disarmament Research, 2011, 20; Tallinn Manual, 204 465 P.A.L. DUCHEINE, “Cyberoperaties: naar een juridisch raamwerk”, Militaire Spectator 2011, nr.6, 285. 466 M. GERVAIS, “Cyber Attacks and the Laws of War”, Berkeley Journal of International Law 2012, 576. 464 115 hetgeen het neutraliteitsbeginsel schendt, of dat het gaat om loutere (onschuldige) 467 datacommunicatie, hetgeen is toegelaten.468 Wanneer een staat neutraal wil blijven binnen een cyberconflict dan mag geen enkele aanval afkomstig zijn van haar grondgebied en dient zij alle mogelijke maatregelen te nemen om te voorkomen dat van haar netwerken gebruik wordt gemaakt door conflicterende partijen.469 Voor een neutrale staat is het echter een zeer complexe opdracht om maatregelen te nemen ter voorkoming dat gebruik wordt gemaakt van de internetinfrastructuren op haar grondgebied. Hierbij kan opnieuw gewezen worden op de specifieke kenmerken van het internet dat bestaat uit een kluwen van wereldwijde computernetwerken waardoor cyberoperaties van conflicterende partijen makkelijk inwerken op de private of publieke cyberinfrastructuren van een neutrale staat. 470 Daardoor staan neutrale staten zo goed als machteloos tegenover cyberoperaties. Hieruit blijkt duidelijk dat een herinterpretatie van het neutraliteitsbeginsel in het kader van cyberoperaties zich opdringt. Een mogelijke herinterpretatie is dat neutrale staten hun neutraliteit behouden voor zover ze niet willens en wetens toestaan dat de internetinfrastructuren op hun grondgebied of die onder hun exclusieve toezicht staan, worden gebruikt door conflicterende partijen om aanvallen te lanceren.471 Met andere woorden, wordt van een neutrale staat verwacht dat zij er alles aan doet om te voorkomen dat conflicterende partijen vanop haar grondgebied aanvallen lanceren, maar niet dat zij voorkomt dat cyberoperaties haar openbaar toegankelijke netwerken doorkruisen.472 Een neutrale staat die geen preventieve maatregelen neemt of expliciet toestaat dat haar cyberinfrastructuur wordt gebruik in het kader van een internationaal conflict, verliest haar immuniteit en vormt een legitiem doelwit. In die zin kan een staat die het slachtoffer wordt van een cyberoperatie, 467 Datacommunicatie in het kader van een DDos-­‐aanval kan ook als een wapensysteem worden beschouwd en schendt het neutraliteitsbeginsel wanneer daarbij gebruik wordt gemaakt van het netwerk van een onschuldige staat. 468 N. MELZER, Cyberwarfare and International Law, Unidir Resources – United Nations Institute for Disarmament Research, 2011, 20. 469 S.W. KORNS en J.E. KASTENBERG, “Georgia’s Cyber Left Hook”, Parameters 2009, 62. 470 Tallinn Manual, 203. 471 M. GERVAIS, “Cyber Attacks and the Laws of War”, Berkeley Journal of International Law 2012, 577. 472 N. MELZER, Cyberwarfare and International Law, Unidir Resources – United Nations Institute for Disarmament Research, 2011, 20; O.A. HATHAWAY, R. CROOTOF, et al., “The Law of Cyber-­‐Attack”, California Law Review 2012, 43. 116 afkomstig van of met behulp van de cyberinfrastructuur van een neutrale staat, de nodige acties ondernemen tegen de dreiging afkomstig van deze neutrale staat: “If a neutral State fails to terminate the exercise of belligerent rights on its territory, the aggrieved party to the conflict may take such steps, including by cyber operations, as are necessary to counter that conduct”.473 DEEL III: ALGEMEEN BESLUIT De ontwikkelde samenleving van vandaag is heel gevoelig geworden voor digitale aanvallen. Doordat bijna alle belangrijke aspecten van de maatschappij afhankelijk zijn van digitale netwerken, kan een cyberaanval aanzienlijke gevolgen – zowel maatschappelijk als economisch – teweegbrengen die in de meeste gevallen pas op lange termijn zichtbaar worden. Voor zowel statelijke als niet-­‐statelijke actoren is het een aantrekkelijk domein geworden om conflicten uit te vechten, omwille van de specifieke kenmerken zoals het asymmetrische karakter, de attributieproblematiek, de lage kosten voor het aanschaffen van cyberwapens en het realiseren van cyberaanvallen, …. Met een minimale investering kan heel snel een winstgevend resultaat worden gerealiseerd, terwijl de pakkans en de kans op bestraffing zeer laag is. Met andere woorden, het geniale van de cyberoorlog schuilt in zijn eenvoud. Het toenemende belang van de digitale ruimte voor de moderne maatschappij en het toenemende gebruik hiervan voor het uitvechten van conflicten, zijn een van de voornaamste bezorgdheden geworden voor staten en hun militaire krachten. Hoewel tot op heden zich nog geen enkel cyberdoemscenario heeft gerealiseerd en letsel, dood, schade vernietiging ten gevolge van cyberaanvallen heel miniem is, dient toch te worden vastgesteld dat het bestaan van een cyberoorlog niet langer een fictie is. Cyberdoemscenario’s zijn niet meer dan verschillende soorten cyberaanvallen naast elkaar geplaatst, die staten de mogelijkheid bieden de risico’s beter in te schatten. Bij deze scenario’s Regel 94 van de Tallinn Manual, 207. 473 117 dient een evenwicht te worden gezocht tussen overreactie en onderschatting van de situatie. De cyberincidenten die zich hebben voorgedaan in Estland, Georgië en Iran tonen aan dat de dreigingen vanuit cyberspace ernstig dienen te worden genomen. Het is ook daarom dat de discussie over het feit of ooit een zuivere cyberoorlog zal plaatsvinden, die zich enkel en alleen afspeelt in cyberspace, pure tijdverspilling is. De gevaren van cyberspace en hun (toekomstige) rol binnen militaire conflicten kunnen echter niet meer worden ontkend. Het digitale domein met zijn nieuwe actoren, middelen en methoden, is vandaag een feit en zal nog heel lang blijven bestaan. Daarom dient het onderwerp van discussie te worden verplaatst naar de vraag hoe het gebruik van cyberwapens in conflicten en de nieuwe methoden van oorlogvoering kunnen worden gereguleerd. In deze masterproef werd onderzocht in welke mate het (sinds lange tijd) bestaande internationaal humanitair recht kan worden toegepast op digitale acties in het kader van conflicten. Dit leverde echter een relatief positief resultaat op, zowel op vlak van het jus ad bellum als het jus in bello. Het grote struikelblok inzake de toepassing van het IHR op cyberoperaties is – en zal gedurende nog een heel tijd blijven – het feit dat cyberoperaties in de meeste gevallen anoniem worden uitgevoerd, waardoor een aanval onmogelijk aan een staat of een niet-­‐statelijke actor kan worden toegewezen. Dit is echter een noodzakelijke vereiste in het kader van het recht op zelfverdediging uit het jus ad bellum. Is het jus ad bellum niet toepasbaar op cyberoperaties, dan gelden ook de regels van het jus in bello niet. Om te bepalen of de regels die van toepassing zijn op internationale en niet-­‐internationale gewapende conflicten ook kunnen worden toegepast op het gebruik van cyberwapens in dergelijke conflicten, werd gefocust op de fundamentele principes van het jus in bello. Het principe van militaire noodwendigheid vormt geen enkele uitdaging in het kader van dit onderzoek, gezien cyberoperaties op dezelfde militaire doelen worden gericht als deze waarop meer conventionele operaties zich richten. Inzake het principe van menselijkheid kunnen cyberaanvallen enerzijds als humaner worden beschouwd dan bijvoorbeeld kinetische aanvallen, daar zij in eerste instantie minder ernstige gevolgen teweegbrengen voor burgers en 118 objecten. Hier schuilt echter een addertje onder het gras, aangezien cyberoperaties vaak moeilijker te controleren zijn, waardoor zij vaak meer schade teweegbrengen dan oorspronkelijk de bedoeling was. Met de eenvoudige regel, dat cyberoperaties geen gevolgen mogen teweegbrengen die vergelijkbaar zijn met inhumane gevolgen van kinetische aanvallen, kan het principe van menselijkheid zonder enig probleem toepasbaar worden verklaard op cyberoperaties. Over de toepassing van het principe van onderscheid op cyberoperaties bestaat echter nog heel wat discussie. Hierbij vormt het specifieke karakter van het digitale domein een grote hinderpaal. Het duale karakter van de digitale ruimte, de diverse manieren waarop burgers hierin actief zijn en de dual-­‐use objecten maken het steeds moeilijker om nog een onderscheid te maken tussen wat civiel en militair is. Inzake het proportionaliteitsbeginsel kan gewezen worden op het feit dat cyberwapens steeds gesofisticeerder zijn, waardoor cyberaanvallers in staat zijn om de aanval onder controle te houden en te vermijden dat meer schade wordt aangericht dan noodzakelijk is om het militaire doel te bereiken. Maar ook al worden cyberwapens steeds gesofisticeerder, nog steeds kan niet worden gegarandeerd dat er geen onvoorzienbare gevolgen zullen optreden voor de civiele bevolking. Bij het neutraliteitsbeginsel dient een herinterpretatie te worden doorgevoerd om het toepasbaar te kunnen verklaren op cyberoperaties. Immers, is het voor een neutrale staat een onmogelijke opdracht – gezien de specifieke structuur van het internet – om te vermijden dat cyberoperaties van conflicterende partijen haar netwerken doorkruist. Terwijl in het conventionele kader een neutrale staat er alles aan moet doen om te vermijden dat conflicterende partijen haar grondgebied doorkruisen. Het valt niet te ontkennen dat er nog over heel wat zaken kan worden gediscussieerd inzake de toepassing van de fundamentele principes van het jus in bello op cyberoperaties. Echter, heel wat van die discussies hebben ook plaatsgevonden in het kader van andere soorten van oorlogsvoering die vandaag reeds worden gereguleerd door het IHR. Ter illustratie het voorbeeld van de discussie wanneer een tegenaanval mag worden uitgevoerd op een niet-­‐ statelijke actor. Deze discussie werd echter ook gevoerd in het kader van de aanslagen van 11 september. Bovendien is het internationaal humanitair van toepassing op alle soorten vijandelijkheden, ongeacht de wapens en methoden die worden gehanteerd. Iedere evolutie die 119 zich reeds heeft voorgedaan in het domein van oorlogvoering (o.a. chemische wapens, biologische wapens, …) is opgenomen in het IHR. Er bestaat dan ook geen klaarblijkelijke reden om te besluiten dat dit niet kan worden gerealiseerd in het geval van cyberwapens. De manier van oorlogvoering is enorm aan het evolueren en het recht dient daar nu eenmaal in mee te gaan. Het gebruik van cyberwapens in het kader van gewapende conflicten in een legaal vacuüm laten zweven, is geen goed idee, omdat er teveel risico bestaat op misbruik van deze wapens. De mens, die het digitale domein heeft gecreëerd, dient hier nu tegen te worden beschermd. Het creëren van een specifiek cyberrecht is zeker wenselijk, maar gezien de snelheid waarmee de technologie op heden evolueert, is dit dweilen met de kraan open… 120 BIBLIOGRAFIE Wetgeving • Verdragen en protocollen: Verdrag van Genève betreffende de bescherming van burgers in oorlogstijd van 12 augustus 1949, United Nations Teat Series, vol. 75, 287. Vardar (IV) nopens de wetten en gebruiken van de oorlog te land van 18 oktober 1907, www.icrc.org/ihl.nsf/full/195 (+ Reglement betreffende de wetten en gebruiken van den oorlog te land). Verdrag (V) nopens de rechten en verplichtingen der onzijdige mogendheden en personen in geval van oorlog te land van 18 oktober 1907, www.icrc.org/ihl/INTRO/200?OpenDocument. Handvest van de Verenigde Naties van 26 juni 1945, Can TS 1945 nr. 7. Aanvullend Protocol bij de Conventies van Genève van 12 augustus 1949 inzake de bescherming van de slachtoffers van internationale gewapende conflicten (Protocol I) van 8 juni 1977, United Nations Treaty Series, vol. 1125, 3. Aanvullend Protocol bij de Conventies van Genève van 12 augustus 1949 inzake de bescherming van de slachtoffers van niet-­‐internationale gewapende conflicten (Protocol II) van 8 juni 1977, United Nations Treaty Series, vol. 1125, 1. Verdrag van Wenen inzake het verdragenrecht van 23 mei 1969, BS 25 december 1993. Statuut van Rome inzake het Internationaal Strafgerechtshof van 17 juli 1998, United Nations Treaty Series, vol. 2187, 3. XII • Resoluties: Resolutie 2734 (XXV) van de Algemene Vergadering van de Verenigde Naties (10 december 1970), Declaration on the Strenghtening of International Security, 25ste Sess., UN Doc. A/RES/25/2734 (XXV) (1970). Resolutie 1368 van de Veiligheidsraad van de Verenigde Naties (12 september 2001), UN Doc. S/RES/1368 (2001). Toelichting bij het voorstel van resolutie ter beveiliging van elektronische informatie en bescherming tegen cyberaanvallen, Parl.St. Senaat 2012-­‐2013, nr. 5-­‐1855/1. Rechtspraak IGH, The case of S.S.Lotus (Frankrijk v. Turkije), Judgement, ICJ Reports 1927. IGH, Case concerning Military and Paramilitary Activities in and against Nicaragua (Nicaragua v. Verenigde Staten van Amerika), Judgement, ICJ Reports 1986. IGH, Legality of the Threat or Use of Nuclear Weapons, Advisory Opinion, ICJ Reports 1996. IGH, Case concerning Oil Platforms (Islamitische Republiek Iran v. Verenigde Staten van Amerika), Judgement, ICJ Reports 2003. IGH, Case concerning Armed Activities on the Territory of the Congo (Dem. Rep. Congo v. Oeganda), Judgement, ICJ Reports 2005. Joegoslaviëtribunaal, The Prosecutor v. Dusko Tadic, Decision on the Defence Motion for Interlocutory Appeal on Jurisdiction, Case No. IT-­‐94-­‐1-­‐A (2 oktober 1995). Joegoslaviëtribunaal, The Prosecutor v. Limaj, Judgement (Trial Chamber II), Case No. IT-­‐03-­‐66-­‐T (30 november 2005). XIII Rechtsleer • Boeken: ANDRESS, J. en WINTERFELD, S. Cyber Warfare: Techniques, Tactics and Tools for Security Practitioners, Waltham, Elsevier, 2014, 324 p. AUST, A., Handbook of International Law, New York, Cambridge University Press, 2005, 505 p. BENSCHOP, A., Cyberoorlog: slagveld internet, Tilburg, Uitgeverij De Wereld, 2013, 332 p. BOUCHET-­‐SAULNIER, F., The Practical Guide to Humanitarian Law, Lanham, Rowman & Littlefield Publishers, 2007, 555 p. CARR, J., Inside Cyber Warfare: Mapping the Cyber Underworld (second edition), Sebastopol, O’Reilly Media, 2012, 294. CLARKE, R.A. en KNAKE, R.K., Cyber War: The next threat to national security and what to do about it, New York, HarperCollins Publishers, Inc., 2010, 320 p. COGEN, M., Handboek internationaal recht, derde uitgave, Mechelen, Kluwer, 2003, 490. COGEN, M., The Comprehensive Guide to International Law, Brugge, Die Keure, 2008, 534 p. FLECK, D. (ed.), The Handbook of International Humanitarian Law, New York, Oxford University Press, 2008, 770 p. HORBACH, N., LEFEBER R. en RIBBELINK, O., Handboek Internationaal Recht, Den Haag , T.M.C. Asser Press, 2007, 946. JORDAN, T. en TAYLOR, P.A., Hacktivism and Cyberwars: Rebels with a Cause?, Londen, Routledge, 2004, 186 p. LEWIS, J.A., Cyber Security: Turning National Solutions Into International Cooperation, Washington, Center for Strategic and International Studies, 2003, 144 p. XIV LIBICKI, M.C., Cyberdeterrence and Cyberwar, Santa Monica, Rand Corporation, 2009, 214 p. LOWE, V., Internationaal Law, New York, University Press, 2007, 298 p. MINISTERIE VAN DEFENSIE VAN HET VERENIGDE KONINKRIJK, Manual on the Law of Armed conflict, Oxford, Oxford University Press, 2004, 668 p. OLSON, P., We Are Anonymous: Inside the Hacker World of LulzSec, Anonymous, and the Global Cyber Insurgency, New York/Boston/Londen, Little, Brown and Company, 2013, 510 p. PICTET, J.S. (ed.), Commentary: Geneva Convention for the amelioration of the condition of the wounded and sick in armed forces in the field, Volume 1, Geneva, International Committee of the red cross, 1952, 466 p. PILOUD, C., DE PREUX, J., SANDOZ, Y., ZIMMERMAN, B., EBERLIN, P., GASSER, H. , WENGER, C.F. , EBERLIN, P. en JUNOD, S. (eds.), Commentary on the Additional Protocols of 8 june 1977 to the geneva conventions of 12 august 1949, Genève, Martinus Nijhoff Publishers, 1987, 1625 p. RID, T., Cyber War Will Not Take Place, Oxford, Oxford University Press, 2013, 218 p. SCHMITT, M.N. ,Tallinn Manual on the International Law applicable to Cyber Warfare, Cambridge, Cambridge University Press, 2013, 215 p. SIMONS, J., Interface en cyberspace: inleiding in de nieuwe media, Amsterdam, Amsterdam University Press, 2002, 359 p. SINGER, P.W. en FRIEDMAN, A., Cybersecurity and Cyberwar: what everyone needs to know, Oxford, Oxford University Press, 2014, 320 p. SPAANS, J., De Cybersamenleving: ethische en praktische kanttekeningen, Hoogeveen, Jaap Spaans Publicist, 2013, 42 p. VAN DER KRUIT, P.J.J. (ed.), Handboek militair recht, Nijmegen, Wolf Legal Publishers, 2009, 560 p. XV WILLEMS, E., Cybergevaar: hoe we ons kunnen wapenen tegen online misdaad en terreur, Tielt, Lannoo Meulenhoff, 2013, 230 p. WINGFIELD, T.C., The Law of Information Conflict: National Security Law in Cyberspace, Falls Church, Aegis Research Corp, 2000, 497 p. WINTERFELD, S. en ANDRESS, J., The Basics of Cyber Warfare: Understanding the Fundamentals of Cyber Warfare in Theory and Practice, Oxford, Syngress ebook, 2012, 164 p. • Bijdragen in tijdschriften, kranten,…: ANTOLIN-­‐JENKINS, V.M., “Defining the Parameters of Cyberwar Operations: Looking for Law in all the Wrong Places?”, Naval Law Reveview 2005, 132-­‐174. BENATAR, M., “The Use of Cyber Force: Need for Legal Justification?”, Goettingen Journal of International Law 2009, 375-­‐396. BRADBURY, D., “Information warfare: a battle waged in public”, Computer Fraud & Security 2013, 15-­‐18. CAVELTY, M.D., “Unraveling the Stuxnet Effect: Of Much Persistence and Little Change in the Cyber Threats Debate”, Military and Strategic Affairs 2011, 11-­‐19. DELUCA, C.D., “The need for International Laws of War to include Cyber Attacks involving state and non-­‐state actors”, Pace International Law Review Online Companion 2013, 278-­‐315. DEMCHAK, C.C. en DOMBROWSKI, P. ,“Rise of a Cybered Westphalian Age”, Strategic Studies Quarterly 2011, 32-­‐61. DUCHEINE, P.A.L., “Cyberoperaties: naar een juridisch raamwerk”, Militaire Spectator 2011, nr.6, 273-­‐286. XVI DUCHEINE, P.A.L. en VAN HAASTER, J., “Cyber-­‐operaties en militair vermogen”, Militaire Spectator 2013, nr. 9, 368-­‐387. DUNLAP, C.J., “Perspectives for Cyber Strategists on Law for Cyberwar”, Strategic Studies Quarterly 2011, 81-­‐99. FARWELL, J.P. en ROHOZINSKI, R., “Stuxnet and the Future of Cyber War”, Survival 2011, 23-­‐40. GARTZKE, E., “The Myth of Cyberwar: Bringing War in Cyberspace Back Down to Earth”, International Security 2013, 41-­‐73. GERVAIS, M., “Cyber Attacks and the Laws of War”, Berkeley Journal of International Law 2012, 525-­‐579. GHYSENS, P., “Zorg dat hackers bij buren gaan”, Het Laatste Nieuws 12 mei 2014, 4. GOODMAN, W., “Cyber Deterrence: Tougher in Theory than in Practice?”, Strategic Studies Quarterly 2010, 102-­‐135. GRAHAM, D.E., “Cyber Threats and the Law of War”, Journal of National Security Law & Policy 2010, 87-­‐102. HADJI-­‐JANEV, M. en ALEKSOSKI, S. “Use of Force in Self-­‐Defense Against Cyber-­‐Attacks and the Shockwaves in the Legal Community: One more Reason for Holistic Legal Approach to Cyberspace”, Mediterranean Journal of Sociale Sciences 2013, 115-­‐124. HATHAWAY, O.A., CROOTOF, R., LEVITZ, P. , NIX, H., NOWLAN, A., PERDUE, W. en SPIEGEL, J., “The Law of Cyber-­‐Attack”, California Law Review 2012, 817-­‐886. HOISINGTON, M., “Cyberwarfare and the Use of Force Giving Rise to the Right of Self-­‐Defense”, Boston College International & Comparative Law Review 2009, 439-­‐454. HOLLIS, D.M., “Cyberwar Case Study: Georgia 2008”, Small Wars Journal 2011, 1-­‐9. XVII HOMAN, K., “Oorlogvoering in de digitale ruimte: tussen sceptici en alarmisten”, Internationale Spectator 2012, nr. 2, 84-­‐87. JENIK, A., “Cyberwar in Estonia and the Middle East”, Network Security 2009, 4-­‐6. JENSEN, E.T., “Computer Attacks on Critical National Infrastructure: A Use of Force Invoking the Right of Self-­‐Defense”, Stanford Journal of International Law 2002, 207-­‐240. JENSEN, E.T., “Cyber Deterrence”, Emory International Law Review 2012, 773-­‐824. KODAR, E., “Applying the Law of Armed Conflict to Cyber Attacks: from the Martens Clause to Additional Protocol I”, ENDC Proceedings 2012, 107-­‐132. KORNS, S.W. en KASTENBERG, J.E., “Georgia’s Cyber Left Hook”, Parameters 2009, 60-­‐76. LEWIS, J.A., “Cyberwar Tresholds and Effects”, IEEE Security & Privacy 2011, 23-­‐29. LILES, L., “The Civilian Cyber Battlefield: Non-­‐State Cyber Operators’ Status Under the Law of Armed Conflict”, N.C.J. Int’l L. & Com. Reg. 2014, 1091-­‐1121. LODDER, A.R. en BOER, L.J.M., “Cyberwar? What war?”, JV 2012, nr. 1, 52-­‐67. LUPOVICI, A.,“Cyber Warfare and Deterrence: Trends and Challenges in Research”, Military and Strategic Affairs 2011, 49-­‐62. MANSFIELD-­‐DEVINE, S., “Anonymous: serious threat or mere annoyance”, Network Security 2011, 4-­‐10. MCGHEE, J.E., “Cyber Redux: The Schmitt Analysis, Tallinn Manual and US Cyber Policy”, Journal of Law & Cyber Warfare 2013, 64-­‐103. PADMANABHAN, V.M., “Cyber Warriors and the Jus in Bello”, International Law Studies 2013, 288-­‐ 308. PRESCOTT, J.M., “The Law Of Armed Conflict and the Responsible Cyber Commander”, Vermont Law Review 2013, 103-­‐145. XVIII RID, T., “Cyber War Will Not Take Place”, Journal of Strategic Studies 2012, 5-­‐32. RID, T. en MCBURNEY, P., “Cyber-­‐Weapons”, Rusi Journal 2012, 6-­‐13. SCHAAP, M.A.J., “Cyber warfare operations: development and use under international law”, Air Force Law Review 2009, 121-­‐ 174. SCHMITT, M.N., “Wired warfare: Computer network attack and jus in bello”, IRRC 2002, 365-­‐399. SCHMITT, M.N. ,“Cyber Operations and the Jus in Bello: Key Issues”, Naval War College International Law 2011, 89-­‐110. SHACKELFORD, S.J., “From Nuclear War to Net War: Analogizing Cyber Attacks in International Law”, Berkley Journal of International Law 2009, 191-­‐250. SIGHOLM, J., “Non-­‐state actors in cyberspace operations”, Journal of Military Studies 2013, 1-­‐37. SLOANE, R.D., “The Cost of Conflation: Preserving the Dualism of Jus Ad Bellum and Jus in Bello in the Contemporary Law of War”, Yale Journal of International Law 2009, 47-­‐ 112. SWANSON, L., “The Era of Cyber Warfare: applying International Humanitarian Law to the 2008 Russian-­‐Georgian cyber conflict”, Loy. L.A. Int’l & Comp. L. Rev. 2010, 303-­‐333. TAMS, C.,“The use of force against non-­‐state actors”, European Journal of International Law 2009, 359-­‐397. VAN DEN HERIK, L., “De digitale oorlog: waan of werkelijkheid?”, Nederlands Juristenblad 2013, afl. 6, 348-­‐355. VERHAGEN, J.P.G., “Een beschouwing van de overeenkomsten en verschillen tussen cyber en EOV naar aanleiding van het 25 jarig bestaan van 102 EOVCie”, Intercom 2014, 35-­‐37. XIX • Verzamelwerken: ARQUILLA, J. en RONFELDT, D., “Cyberwar is coming!” in J. ARQUILLA en D. RONFELDT, In Athena’s Camp: Preparing for Conflict in the Information Age, Santa Monica, RAND Corporation, 1997, 23-­‐ 60. DÖRMANN, K. ,“The Applicability of the Additional Protocols to Computer Network Attacks: An ICRC Viewpoint”, in K. BYSTRÖM (ed.), International Expert Conference on Computer Network Attacks and the Applicability of International Humanitarian Law, Stockholm, , Swedish National Defence College, 2004, 139-­‐53. FRANCEUS, F., “Cyberaanvallen en het recht van de gewapende conflicten: bemerkingen bij een juridische primeur in België en de Verenigde Staten” in M. COOLS, E. DEBRUYNE, F. FRANCEUS e.a. (eds.), Cahiers Inlichtingenstudies -­‐ BISC nr. 2, Apeldoorn-­‐Antwerpen, Maklu, 2012, 105-­‐138. SPOOR, K., “Introductie: Fysieke grenzen virtuele (on)mogelijkheden” in L. MANDEMAKERS, P. DE NOOIJ, K. POELHEKKE, I. POUW, D. VAN TOOR en K. SPOOR, Fysieke grenzen virtuele (on)mogelijkheden, 1-­‐6, http://issuu.com/karlijnspoor/docs/definitieve_tijdschrift_fysieke_grenzen_virtuele_o. WATKIN, K., “Humans in the Cross-­‐Hairs: Targeting and Assassination in Contemporary Armed Conflicts”, in D. WIPPMAN en M. EVANGELINA (eds.), New Wars, New Laws? Applying the Laws of War in 21st Century Conflicts, New York, Transnational Publishers, Inc., 2005, 137-­‐180. • Masterproeven, papers, rapporten, adviezen, …: ADVIESRAAD INTERNATIONALE VRAAGSTUKKEN (AIV) & COMMISSIE VOOR ADVIES INZAKE VOLKENRECHTELIJKE VRAAGSTUKKEN (CAVV), Digitale oorlogsvoering, 2011, 41 p., http://cms.webbeat.net/ContentSuite/upload/cav/doc/cavv-­‐advies-­‐22-­‐digitale-­‐ oorlogvoering(3).pdf. XX CANABARRO, D.R. en BORNE ,T., Reflections on The Fog of (Cyber) War, NCDG Policy Working Paper, 2013, No. 13-­‐001, 18 p. GELINAS, R.R., Cyberdeterrence and the problem of attribution, thesis Faculty of the Graduate School of Arts and Sciences of Georgetown University, 2010, 29 p. COGHE, K., Respect voor staatssoevereiniteit versus bescherming van de mensenrechten: Een vraag naar de (on)rechtmatigheid van humanitaire interventies, masterproef Rechten Ugent, 2011-­‐2012, 120 p. GOVCERT.NL, Nationaal Trendrapport Cybercrime en Digitale Veiligheid 2010, 2010, 56 p. HPCR, HPCR Manual on International Law Applicable to Air and Missile Warfare, Program on Humanitarian Policy and Conflict Research at Harvard University, 2009, 56 p. HUMAN RIGHTS WATCH, Human Rights Watch Briefing Paper: International Humanitarian Law Issues In A Potential War in Iraq, 2003, 14 p. http://www.hrw.org/sites/default/files/reports/Iraq%20IHL%20formatted.pdf. ILC, Ontwerp Artikelen inzake Staatsaansprakelijkheid voor Internationale Onrechtmatige Daden, 28 januari 2002, UN Doc. A/Res/56/83, http://legal.un.org/ilc/texts/instruments/english/commentaries/9_6_2001.pdf. LACHOW, I., Active Cyber Defense: A Framework for Policymakers, Policy brief Center for a New American Security, 2013, 13 p. LAWSON, S., Beyond Cyber-­‐Doom: Cyberattack Scenarios and the Evidence of History, working paper Mercatus Center George Mason University (Utah), 2011, no.11-­‐01, 37 p. MELZER, N., Cyberwarfare and International Law, Unidir Resources – United Nations Institute for Disarmament Research, 2011, 37 p., http://unidir.org/files/publications/pdfs/cyberwarfare-­‐and-­‐ international-­‐law-­‐382.pdf. XXI MINISTERIE VAN DEFENSIE, Defensie Cyber Strategie, Defensie strategie voor het opereren in het digitale domein, 2012, 17 p. NYE JR, S., Cyber Power, Cambridge, research Belfer Center for Science and International Affairs Cambridge (Harvard Kennedy School), 2010, 24 p. RICHARDSON, J.C., Stuxnet as cyberwarfare: Applying the Law of War to the Virtual Battlefield, paper, 2011, 37 p. UNGERER, N., Zeventien Jaar Cyberwarfare: Een exploratieve discourseanalyse naar de verbeelding van het begrip cyberwarfare in de literatuur van 1993 tot het heden, bachelor thesis geesteswetenschappen Universiteit Utrecht, 2011, 21 p. VAN DE VELDE, A., Het verband tussen Mensenrechten en Internationaal Humanitair Recht, masterproef Rechten Ugent, 2008-­‐2009, 120 p. WEIMANN, Cyberterrorism, G., How Real is the Threat?, special report United States Institute of Peace, 2004, 12 p. WHEATLEY, G.F. en HAYES, R.E., Information Warfare and Deterrence, report NDU Press Book, 1996, 63 p. WOUTERS, J. en RUYS, T., Internationaal recht en het unilateraal gebruik van geweld door Staten: het Jus ad Bellum onder vuur, paper Faculteit Rechtsgeleerdheid Katholieke Universiteit Leuven, 2007, 31 p. • Onlinebronnen: BRIGHT, A., “Estonia accuses Russia of 'cyberattack'”, 2007, www.csmonitor.com/2007/0517/p99s01-­‐duts.html. XXII CHABINSKI, S., “Passive Cyber Defense: The Laws of Diminishing and Negative Returns”, 2013, http://econwarfare.org/passive-­‐cyber-­‐defense-­‐the-­‐laws-­‐of-­‐diminishing-­‐and-­‐negative-­‐returns/. DECKMYN, D., “Computers als spion”, 2012, www.standaard.be/cnt/io3ql6h1. GILES, K., “With Russia and Ukraine, is all really quiet on the cyber front? Op-­‐ed: Unlike recent conflicts, RUS hasn't used high-­‐profile, public cyberattacks yet”, 2014, http://arstechnica.com/tech-­‐policy/2014/03/with-­‐russia-­‐and-­‐ukraine-­‐is-­‐all-­‐really-­‐quiet-­‐on-­‐the-­‐ cyber-­‐front/. GROMMEN, S., “Waarom Rusland deze keer niet inzet op een massale cyberoorlog met Oekraïne”, 2014, www.hln.be/hln/nl/18262/Onrust-­‐in-­‐Oekraine/article/detail/1810974/2014/03/13/Waarom-­‐ Rusland-­‐deze-­‐keer-­‐niet-­‐inzet-­‐op-­‐een-­‐massale-­‐cyberoorlog-­‐met-­‐Oekraine.dhtml. FRYER-­‐BIGGS , Z., “Passive Defenses Not Enough: U.S. Cyber Commander”, 2011, www.defensenews.com/article/20110914/DEFSECT04/109140315/Passive-­‐Defenses-­‐Not-­‐ Enough-­‐U-­‐S-­‐Cyber-­‐Commander. HALPIN, T., “Estonia Accuses Russia of ‘Waging Cyber War’”, Times Online 2009, www.thetimes.co.uk/tto/news/world/europe/article2595189.ece. HOUTEKAMER, C., “Wanneer begint nou die cyberoorlog?”, 2014, http://www.nrcreader.nl/artikel/5983/wanneer-­‐begint-­‐nou-­‐die-­‐cyberoorlog. http://ihr.rodekruis.be/ref/home-­‐ihrOLD/Over-­‐Internationaal-­‐Humanitair-­‐RechtOLD/A-­‐tot-­‐Z-­‐ van-­‐het-­‐internationaal-­‐humanitair-­‐rechtOLD/Jus-­‐ad-­‐bellum-­‐en-­‐jus-­‐in-­‐bello.html. KAMPHUIS, A., “Cyberoorlog: het Westen is begonnen http://webwereld.nl/beveiliging/912-­‐cyberoorlog-­‐het-­‐westen-­‐is-­‐begonnen-­‐column; XXIII (column)”, KRAAN, J., “Groot-­‐Brittannië krijgt cyberleger”, 2013, www.nieuwsbreak.nl/nieuws/7758916. MAURER, T., “The Case for Cyberwarfare”, Foreign Policy 2011, http://www.foreignpolicy.com/articles/2011/10/19/the_case_for_cyberwar. MULLER, P., “Wat is een DDos attack en wat zijn de gevolgen?”, http://info.widexs.nl/blog/bid/210184/Wat-­‐is-­‐een-­‐DDoS-­‐attack-­‐en-­‐wat-­‐zijn-­‐de-­‐gevolgen. MURPHY, M. ,“War in the fifth domain: Are the mouse and keyboard the new weapons of conflict?”, 2010, www.economist.com/node/16478792. NAKASHIMA, E., “Pentagon considers preemptive strikes as part of cyber-­‐defense strategy”, 2010, www.washingtonpost.com/wp-­‐dyn/content/article/2010/08/28/AR2010082803849.html. NORO, L., “Cyber War: La Guerra Silente”, 2012, www.defonline.com.ar/?p=9064. PÉREZ, N., “De cyberoorlog is begonnen en ook uw computer doet mee”, 2013, www.scientias.nl/de-­‐cyberoorlog-­‐is-­‐begonnen-­‐en-­‐zonder-­‐dat-­‐u-­‐het-­‐weet-­‐wordt-­‐uw-­‐computer-­‐ ervoor-­‐gebruikt/81967. REDACTIE, “Cyberoorlog zal nooit plaatsvinden”, 2013, www.security.nl/posting/362810/%22Cyberoorlog+zal+nooit+plaatsvinden%22. RICHARDS, J., “Denial-­‐of-­‐Service: The Estonian Cyberwar and Its Implications for U.S. National Security”, The George Washington University Elliott School of International Affairs”, www.iar-­‐ gwu.org/node/65. SMITH, P., “How Seriously Should the Threat of Cyber Warfare be Taken?”, 2014, www.e-­‐ ir.info/2014/01/17/how-­‐seriously-­‐should-­‐the-­‐threat-­‐of-­‐cyber-­‐warfare-­‐be-­‐taken/. XXIV TRAYNOR, I., “Russia accused of unleashing cyberwar to disable Estonia”, The Guardian 2007, www.theguardian.com/world/2007/may/17/topstories3.russia. VANACKER, B., “Russen voeren cyberaanval tegen Estland”, 2007, www.mo.be/artikel/russen-­‐ voeren-­‐cyberaanval-­‐tegen-­‐estland. VAN HOEK, C., “McAfee vreest echte cyberoorlog”, 2011, www.nu.nl/internet/2703008/mcafee-­‐ vreest-­‐echte-­‐cyberoorlog.html. VUIJST, F. en MARTIJN, M., “De volgende oorlog: Cybergeddon!”, www.vn.nl/Archief/Politiek/Artikel-­‐Politiek/De-­‐volgende-­‐oorlog-­‐Cybergeddon.htm. www.rechten.vu.nl/nl/onderzoek/onderzoek-­‐uitgelicht/lianne-­‐boer/index.asp. XXV 2011,