Przed końcem 2022 r. rząd przyjął interpretację stosowania prawa międzynarodowego w cyberprzestrzeni wobec cyberataków. Polska dołącza do grona państw publikujących takie stanowiska, m.in. Australii, Holandii czy Francji. Ale jak zwykle diabeł tkwi w szczegółach.

Będąc członkiem UE i NATO, Polska z definicji przyjmowała interpretacje zachodnie. W sytuacji rosyjskiej wojny w Ukrainie, polski rząd w końcu zdecydował się na własną i suwerenną opinię. I bardzo dobrze! Ale jak zwykle diabeł tkwi w szczegółach. Polska graniczy z państwem w trakcie wojny. W tym kontekście stanowisko zawiera ważny i wrażliwy element, ale niestety także pewien brak. Zidentyfikowane punkty są oparte na czymś obiektywnym. Na prawie międzynarodowym, normach, wyłaniających się zwyczajach, na prawnych kazusach.
Zaczyna się od zupełnie niekontrowersyjnego stwierdzenia, że prawo międzynarodowe ma zastosowanie do działań w cyberprzestrzeni i państwa są zobowiązane do jego respektowania. Kończy się na możliwości stosowania retorsji za działania nieprzyjazne. Retorsje to środki odwetowe w rodzaju np. sankcji ekonomicznych. Takie instrumenty na porządku dziennym podejmuje blok państw Zachodu: USA, Wielka Brytania, Unia Europejska. Także w odpowiedzi na cyberoperacje wymierzone w Polskę. To nasza polska siła: używać ekonomicznego znaczenia UE, by wywierać wpływ na agresorów. W naszej sprawie UE zastosowała te środki wobec Korei Północnej za cyberataki w 2017 r. obejmujące polski system bankowy.
Stanowisko RP definiuje drabinę eskalacyjną działań w cyberprzestrzeni. Skalę i rangę naruszeń oraz możliwych odpowiedzi. Polska stwierdza, że w cyberprzestrzeni panuje suwerenność państw mówiąca, że są sobie równe. Same decydują o organizacji wewnętrznej, o prawach, zasadach itd. Suwerenność mogłyby naruszać cyberataki wpływające w jakiś sposób na sytuację w kraju, np. działania wobec infrastruktury państwowej (służb policyjnych, medycznych itd.), ale także prywatnej (np. banki). Naruszeniem byłyby poważne cyberataki zakłócające działanie państwa. Jako przykłady podane są: uniemożliwienie funkcjonowania sieci, usług lub systemów podmiotów państwowych, kradzież, usunięcie lub upublicznienie danych należących do tych podmiotów. Zatem także wykradnięcie i upublicznienie korespondencji, np. korespondencji ministra.
Pytaniem bez odpowiedzi pozostaje to, czy jedynie z jego skrzynki e-mailowej służbowej, czy też z tej prywatnej? W mojej opinii to bez znaczenia. Liczy się efekt. W takim przypadku kradzież danych polskich urzędników państwowych w jednoznaczny sposób mogłaby mieć wpływ na sytuację wewnętrzną kraju. Można więc traktować takie wydarzenie jako naruszenie suwerenności.
Mniej oczywiste jest to, czy takie wycieki przekraczają próg wyższy, tj. czy były naruszeniem zasady „nieinterwencji w sprawy należące do wewnętrznej jurysdykcji państwa”, kolejnej zasady w stanowisku RP. By osiągnąć ten próg, wrogie działanie musiałoby mieć na celu przymuszenie do konkretnych działań. W przypadku wycieku e-maili Dworczyka z publicznie dostępnych informacji nie wiadomo niczego o próbach wywarcia przymusu na organa lub władze państwowe. Jak jednak stwierdza dokument, brak jest uznanej definicji przymusu! Stanowisko podaje też przykłady działań naruszających tę zasadę: działania uniemożliwiające składanie zeznań podatkowych przez internet, ingerencja w systemy uniemożliwiająca rzetelne i terminowe przeprowadzenie wyborów demokratycznych, uniemożliwienie głosowania nad ustawą przez parlament pracujący w trybie zdalnym. To konkrety. Nakreślenie swoistych nieprzekraczalnych czerwonych linii w tak bardzo bezpośredni sposób jest odważne, gdyż może zachęcać agresorów do testowania ich naruszeń. Uważam jednak, że dobrze, że to zrobiono. Państwa muszą zacząć wysuwać konkrety.
Kolejnym kluczowym progiem jest użycie siły. W tradycyjnie pojmowanych działaniach militarnych mowa o efektach niszczących, takich jak uszkodzenie obiektów, mienia, spowodowanie ofiar śmiertelnych, rannych. Stanowisko RP adaptuje pogląd, że także działania w cyberprzestrzeni mogą osiągnąć taki próg. Niekoniecznie wprost. Wystarczy, by efekty były analogiczne. Czyli np. długotrwałe zakłócenie działania krytycznych systemów, elektrowni. Dokument podaje przykłady: wyłączenie obrony przeciwrakietowej (byłby to atak na Siły Zbrojne RP, potencjalnie wywołanie wojny), zdalne przejęcie kontroli nad samolotem i spowodowanie katastrofy. Tak jak poprzednio bardzo dobrze, że w końcu jest jakiś kraj, który oficjalnie i na szczeblu rządowym mówi o tym wprost.
Cyberataki mogą prowadzić do wojny. Dużej skali cyberatak stanowiący użycie siły może zostać uznany za zbrojną agresję, czyli użycie siły o dużej skali. Państwu przysługuje prawo do odpowiedzi na takie działania. To oczywiście mogłaby być odpowiedź cyberatakiem. Polska rozwija Wojska Obrony Cyberprzestrzeni. Te budują swe zdolności, choć na dziś nie jest jasne, czy osiągnęły zdolności ofensywne w odpowiednim zakresie. Jak powiedział mi gen. bryg. Karol Molenda, prace nad zdolnościami trwają. Inną sprawą jest czas potrzebny na zestawienie faktycznej cyberoperacji. Możliwości nie zawsze muszą być dostępne na zawołanie. Wszystko zależy od rodzaju cyberoperacji i pożądanego efektu.
Stanowisko RP stwierdza, że odpowiedź mogłaby być też kinetyczna: „samoobrona nie musi być realizowana przy użyciu tego samego środka co napaść zbrojna. (...) Pozbawienie możliwości odpowiedzi kinetycznej na cyberatak tego rodzaju mogłoby czynić prawo do samoobrony iluzorycznym w sytuacji, gdy sprawca napaści zbrojnej jest w niskim stopniu zależny od funkcjonowania cyberprzestrzeni”.
To bardzo ważne stwierdzenie. Nie dlatego, że uwzględnia samą możliwość ataku kinetycznego. Bo to wcześniej uznało już wiele państw, np. Francja. W 2019 r. Izrael odpowiedział bombardowaniem lotniczym na (rzekomo) przygotowywany cyberatak grupy Hamas.
Stwierdzenie stanowiska RP jest ważne dlatego, że podano konkretny powód. To w dyskursie może być pomijane lub nienazywane wprost. Chodzi o zaznaczenie, że odpowiedź cyberatakiem wobec niektórych państw mogłaby być „zbyt niskiej skali”. Zbyt małym „kosztem” nakładanym na przeciwnika. Jak można wywnioskować ze stanowiska RP, właśnie wtedy np. można rozważać odpowiedzi w rodzaju bombardowania lotniczego, ataków rakietowych, artyleryjskich itd. Pojawiają się tu dwa problemy. Kiedy i w jaki sposób uznaje się, że taki „sprawca napaści zbrojnej” w niewystarczający sposób zależy od cyberprzestrzeni, by odpowiadać kinetycznie? Co, jeśli mowa o państwie, które z Polską nie graniczy? Na przykład hipotetycznie - o państwo w Ameryce Południowej. Rakiet o takim zasięgu Wojsko Polskie nie posiada.
Ważne do odnotowania jest to, że uznajemy za legalne podejmowanie ofensywnych odpowiedzi na działania podmiotów niepaństwowych. Czyli np. terrorystów, być może firmy prywatne. Także dlatego, że państwo goszczące takich „aktorów” przejmuje odpowiedzialność za ich działania - i grup, i indywidualnych osób. Jeśli takie państwo nie zwalcza tego rodzaju naruszeń, to nic dziwnego, że mogą być tym zainteresowane inne kraje. I coraz częściej w praktyce są.
Bardzo dobrze, że stanowisko RP stwierdza, że do cyberprzestrzeni stosują się zasady międzynarodowego prawa humanitarnego. To tzw. prawo konfliktów zbrojnych. Jednak ogólnikowy punkt złożony z czterech zdań to jak na mój gust w 2022 r. stanowczo za mało. To największy brak merytoryczny tego dokumentu. Nie powiedziano, jak i co to znaczy w kontekście działań w cyberprzestrzeni. To dziś w skali świata obszar rozwojowy. Dopiero w 2018 r. państwa w ONZ jednogłośnie uznały ten fakt. Dziś jednak nie chodzi o to czy, a jak zasady te powinny być stosowane. Chodzi tu o sytuacje wojenne, ale także spełnianie wymogów w czasie pokoju. I w obecnej sytuacji wojny w Europie większa jasność w tym obszarze stanowiłaby filar stabilizacji.
Niestety, stanowisko RP zawiera też stwierdzenia wewnętrznie sprzeczne. W przedmowie mówi o cyberprzestrzeni mającej charakter „aterytorialny”. Jednak w dalszym punkcie prawidłowo zaznacza, że stosuje się zasadę suwerenności, która jest związana z nienaruszalnością. W kontekście cyberprzestrzeni suwerenność obejmuje chociażby infrastrukturę cyfrową, a wobec tego wcześniej wymieniona „aterytorialność” jest iluzoryczna. Nie istnieje. Wynika to z samego dokumentu! Przecież dokument sam z siebie stwierdza: „Fakt, że infrastruktura informatyczna jest na wiele sposobów połączona z międzynarodową siecią, nie sprawia, że państwo traci jakiekolwiek ze swoich uprawnień w stosunku do tej infrastruktury”, co oznacza, że tej „aterytorialności” nie ma! Nie jest dobrze, jeśli Rada Ministrów przyjmuje eksperckie dokumenty będące wewnętrznie niespójne.
Ostatecznie jednak przyjęcie dokumentu stanowiska jest jednoznacznie pozytywne. Teraz trzeba na tym budować dalej. Komunikować, rozwijać, klaryfikować. Poszerzać. To sygnał dla sojuszników Polski, ale także dla potencjalnych adwersarzy. Za komunikatem muszą jednak iść rzeczywiste zdolności. ©℗
*Doktor Łukasz Olejnik, niezależny badacz i konsultant cyberbezpieczeństwa, fellow Genewskiej Akademii Międzynarodowego Prawa Humanitarnego i Praw Człowieka, były doradca ds. cyberwojny w Międzynarodowym Komitecie Czerwonego Krzyża w Genewie, autor książki „Filozofia Cyberbezpieczeństwa”
Stopnie eskalacji / Dziennik Gazeta Prawna - wydanie cyfrowe