دکتر کتایون حسین نژاد – مدرس حقوق بین الملل

 ویروس کرونا هنوز هم با قدرت هرچه بیشتر بر آدمیان و سازوکارهایش می‌تازد. ترس درآمیخته با سرخوردگی و نومیدی از قدرت غیرقابل تصور موجودی میکروسکوپی، در کنار آسیب پذیری سیستم ها و نرم‌افزارهای کامپیوتری، که جزو لاینفک هرسیستم انسان‌ ساختی است، ترکیبی ساخته است عالی برای شکارهای سایبری. با جولان کرونا، حملات سایبری نیز  از ۵،۰۰۰  مورد در هفته در بهمن ماه سال ۱۳۹۸ به بیش از ۲۰۰ هزار مورد در هفته در اردیبهشت ماه امسال افزایش یافت (اینجا). در همان زمان، گوگل اعلام کرد که روزانه شاهد ارسال بیش از ۱۸ میلیون بدافزار و ایمیل‌های فیشینگ مرتبط با موضوع کرونا بوده است. این بار، روش اما پیچیده تر از ارسال ایمیلی از طرف خواهرزاده رئیس جمهوری سابق یک کشور آفریقایی بود که از شما درخواست اطلاعات بانکی‌اتان را می‌کند با این وعده که در آینده‌ای نزدیک کل دارای‌اش را به حساب شما واریز کند. حمله‌کنندگان با ثبت دامنه‌ای شبیه به سازمان جهانی بهداشت (who.int) ایمیل هایی با موضوع «سازمان جهانی بهداشت: آخرین اطلاعات در مورد نتایج آزمایش‌های واکسن کرونا» به قربانیان ارسال می کردند با این امید که قربانیان یکبار بر فایل ضمیمه ایمیل که ظاهرا حاوی آخرین اطلاعات واکسن کرونا بودکلیک کنند، یا ایمیل‌هایی با عنوان «صندوق همبستگی سازمان ملل متحد» برای قربانیان ارسال داشته و از آنها درخواست می‌کردند برای حمایت از گسترش آزمایش‌ها مبادرت به خرید بیت کوین نمایند.

در این میان، حملات ساییری به تنها ملجا و ماوای این بلای عظیم یعنی بیمارستان‌ ها، مراکز آزمایشگاهی و کارخانه‌های تولید دارو،  واکنش‌های جهانی را برانگیخت. اتحادیه اروپا با صدور بیانیه‌ای «از همه دولت‌ها خواست که در مطابقت با حقوق بین الملل کلیه احتیاط های مناسب و اقدمات مقتضی را علیه افرادی که چنین فعالیت‌هایی را در قلمرو آن کشور انجام می‌دهند، بکار بندند.» در ۲۶ می ۲۰۲۰، نمایندگان بیش از ۴۰ سازمان بین‌المللی از جمله کمیته بین‌المللی صلیب سرخ،  با صدور بیانیه‌ای خطاب به دولت‌ها از آنان خواستند در همکاری با یکدیگر اقدامات فوری و قاطع برای متوقف کردن هرگونه حمله به بیمارستان‌ها، مراکز بهداشتی ـ درمانی و همچنین کارکنان بهداشت و درمان اتخاذ کنند. به منظور تببین تعهدات کلی دولت‌ها به موجب حقوق بین‌الملل در قبال چنین حملاتی، به  پیشنهاد پرفسور داپو آکنده، یکی از مدیران موسسه اخلاق، حقوق و درگیری های مسلحانه آکسفورد، بیانیه آکسفورد در حمایت‌های حقوق بین الملل علیه عملیات سایبری که بخش خدمات درمانی را هدف حمله قرار می دهد  تهیه و برای امضا بازگذاشته شد که تاکنون به تایید ۱۳۳ حقوقدان بین‌المللی رسیده است.

رویکرد زیربنایی در تدوین این مجموعه قواعد، بیان قاعده‌مند بودن فضای مجازی در حقوق بین الملل بوده به‌گونه ای که، به قول آکنده، «نیازی به وضع قواعد جدید در این زمینه نیست، چرا که قواعد کافی وجود دارد.» (این رویکرد در مطابقت با تحقیق چتمهاوس در سال ۲۰۱۹ می باشد.) بیانیه آکسفورد در بند نخست تصریح می‌کند که عملیات سایبری دولت‌ها مشمول قواعد حقوق بین‌الملل می باشد و بر این مبنا تعهدات دولت ها را در سه بخش کلی بیان می دارد: تعهدات ناشی از قواعد عام حقوق بین الملل؛ تعهدات حقوق بشری دولت ها (بند سوم بیانیه در خصوص رعایت و تضمین رعایت حق حیات و حق بر سلامتی افرادِ مشمول در صلاحیت جهت ممانعت از نقض این حقوق توسط اشخاص ثالث)؛ و تعهدات طرف های یک مخاصمه در زمان درگیری های مسلحانه (بند پنجم بیانیه در خصوص تعهد دولت ها  به عدم حمله به مراکز درمانی و بهداشتی و تسهیل فعالیت آن). سایبری بودن عملیات حمله به مراکز درمانی و بهداشتی مانع از آن نیست که در صورت جمع بودن سایر شرایط، این اقدام مشمول جنایات بین المللی از جمله جنایت علیه بشریت و جنایت جنگی نشود (بند ۶) و قطعا تصریح به این اصول به معنای نفی سایر قواعد و اصول حقوق بین الملل حاکم بر عملیات سایبری نمی شود. (بند ۷)  نوشتار حاضر، تنها به بررسی تعهدات ناشی از قواعد عام حقوق بین الملل می پردازد.

شکی نیست که یکی از مهمترین ممنوعیت ها در حقوق بین الملل عدم ورود ضرر به کشور دیگر است و به همین دلیل بند دوم بیانیه اعلام می دارد که «عملیات سایبری دولت ها که منجر به بروز پیامدهای سوء جدی برای خدمات درمانی حیاتی کشور دیگر شود، به موجب حقوق بین الملل ممنوع است.»  بیانیه در بند چهارم دولت ها را مسئول پیشگیری از وقوع عملیات سایبری می داند که از قلمروی آن کشور یا با استفاده از زیرساخت های تحت حاکمیت یا کنترلش انجام گرفته باشد به شرط آنکه: اولاَ چنین عملیاتی پیامدهای سوئی برای مراکز بهداشتی درمانی خارج از آن کشور داشته باشد، و دوماَ دولت مورد نظر از وجود چنین عملیاتی آگاهی داشته یا بایستی می دانسته که چنین عملیاتی در شرف وقوع است. در چنین حالتی، به نظر امضا کنندگان بیانیه، دولت موظف است همه تدابیر ممکن را برای پیشگیری یا توقف آن عملیات و حتی تعدیل هرگونه تهدید ضرر یا ورود ضرر ناشی از چنین عملیاتی را انجام دهد.

در مناسب بودن قواعد حقوق بین‌الملل به طور کلی در تنظیم اعمال و رفتار دولت‌ها در عرصه بین‌المللی و به ویژه تعهدات خاص دولت‌ها در رعایت، حمایت و تامین هریک از حقوق برشمرده شده در معاهدات حقوق بشر تردیدی نیست. از این منظر کلی، علی‌الاصول، ابزار مورد استفاده دولت‌ها به خودی خود تاثیری در توصیف حقوقی اقدامات انجام شده ندارد. این شمای کلی، اما به  سادگی بر فضای مجازی که با مفاهیم سنتی و کلاسیک حاکمیت و دولت ایجاد نشده و توسعه نیافته، قابل تطبیق نیست.  

نخست آنکه نمی توان به راحتی فضای مجازی را از لحاظ ساختاری با فضای های سنتی تحت حاکمیت دولت ها مانند سرزمین، دریا و آب تشبیه کرد. برای نمونه پس از طرح دعاوی متعدد در سوئد علیه ایجاد کنندگان سایت پایرت بی، یکی از معروفترین سایت های غیرقانونی ناقض حقوق مالکیت معنوی  که لینک فایل های پروتکل بیت تورنت را برای اشتراک گذاری همتا به همتا منتشر می کند، نه تنها پایرت بی با غیرفعال کردن سیستم ردیابی خود،  به استفاده از یک سیستم توزیع پویا در سراسر جهان که به نوعی سایت و زیرساخت‌ها را خارج از صلاحیت کشورها قرار می داد، روی آورد، بلکه با دستگیری مدیران آن، هزاران داوطلب از سراسر جهان مدیریت سایت را در دست گرفتند. قابلیت مشارکت افراد مختلف با تابعیت های مختلف و با استفاده از زیرساخت هایی که عموما توسط بخش خصوصی اداره می شوند، مساله انتساب عملیات را به یک مکان واحد که در نتیجه آن بتوان دولتی را مسئوول دانست نیز با پیچیدگی بسیاری مواجه کرده است، تا حدی که برخی بر این نظرند که تعیین مکان دقیق عملیات سایبری در بیشتر موارد غیرممکن است. برای نمونه در تعیین هویت گروه پشت پرده حمله سایبری به مراسم افتتاحیه المپیک زمستانی کره جنوبی در سال ۲۰۱۸ که باعث از کار افتادن تمامی مانیتورها، قطع وای فای و وب سایت‌های المپیک شده بود، اطلاعات موجود در بدافزار، انگشت اتهام را متوجه هکرهای مرتبط با کره شمالی می کرد. در بررسی های بعدی و دقیق تر، اما مشخص شد که این اطلاعات مخصوصا و به عمد به منظور پنهان کردن هویت گروه مسئوول در بدفزار گنجانده شده‌ و در نتیجه تاکنون به دلیل چندلایه بودن پرچم های غیرواقعی امکان انتساب این عملیات به هیچ گروهی ممکن نشده؛ اگر چه به نظر کاسپرسکی، ردپایی از هکرهای روسی زبان در آن به چشم می‌خورد. دیگر آن که عملیات سایبری ماهیت های بسیار متفاوت و در نتیجه پیامدهای بسیار متفاوتی دارند. عملیات سایبری خرابکارانه مانند حمله به المپیک زمستانی یا استاکس نت، قطعا ماهیتی بسیار متفاوت از ارسال ایمیل های فیشینگ دارند.

اینترپول، تهدیدهای سایبری مرتبط با کرونا را به سه گروه دامنه‌های زیانبار، بدافزار و باج افزار تقسیم کرده است. در چنین شرایطی معیار تعیین پیامد سوء و زیانبار برای دامنه های غیرواقعی چیست؟ سازمان جهانی بهداشت در اردیبهشت ماه اعلام نمود که حدود ۴۵۰ آدرس ایمیل و رمزواژه کارکنانش هک شده است. سازمان اعلام نمود که افشای این اطلاعات، سیستم فعلی سازمان جهانی بهداشت را با مشکلی مواجه نکرده است اما اکسترانت های قدیمی این سازمان از جمله سیستم مورد استفاده برای بازنشستگان مختل شده است. در چنین وضعیتی این پرسش مطرح می شود که آیا صرف حمله به سازمان جهانی بهداشت که مسئولیت جهانی هماهنگی مقابله با کرونا را برعهده دارد، برای تحقق پیامد سوء جدی کفایت می کند؟ با آنکه ضرر را می توان هرگونه خسارت مادی یا معنوی دانست، (طرح مسوولیت بین المللی دولت ها، ماده ۳۱) اما از آنجا که صرف عدم دسترسی موقت به اینترنت یا ایمیل شخصی حتی در دستورالعمل تالین ۲ (که توسط ۱۹ کارشناس حقوق بین المللی در خصوص حقوق بین الملل قابل اعمال در عملیات سایبری تهیه شد) نیز جزو خسارات مادی تلقی نشده است (دستورالعمل تالین ۲، قاعده ۲۸، بند ۲) و با توجه به اینکه سیستم سازمان جهانی بهداشتی نیز از کار نیفتاده است، آیا می توان خسارت معنوی وارد بر سازمان را به دلیل همه گیر بودن کرونا در آن حد جدی و مهم دانست که مشمول آستانه مورد نظر بیاینه آکسفورد شود؟ (در تعریف مفهوم جدی بودن ضرر نگاه کنید به ماده ۲، بندهای ۴ و ۶ تفسیرکمیسیون حقوق بین الملل از مواد ناظر بر پیشگیری از زیان های فرامرزی)

از دیگر عملیات های سایبری مرتبط با کرونا، تلاش برای هک کردن سایت شرکت آمریکایی گیلئاد  بود که داروهای رمدسیویر را که از سایر داروها برای درمان کرونا موثرتر عمل کرده تولید می کند. در این تلاش، هکرها با ارسال صفحه دروغین ورود ایمیل برای مدیر این شرکت می خواستند گذرواژه او و سایر همکارانش را بربایند تا از این طریق بتوانند به اطلاعات شرکت و آزمایش ها دسترسی پیدا کنند. صرفنظر از مساله انتساب (مثلا اینکه ادعا می شود دامنه صفحه ارسال شده، در سروری در ایران قرار داشته)، با توجه به اینکه در حقوق بین الملل جاسوسی به طور کلی ممنوع نیست، معیار پیامد زیانبار استفاده از بدافزاری که صرفاَ باعث انتقال اطلاعات محرمانه یک شرکت دارویی شده، اما سیستم را از کار نمی اندازد، چیست؟ ( قاعده ۳۲  دستورالعمل تالین ۲ نیز ضمن تصریح بر اینکه حقوق بین الملل جاسوسی را منع نمی کند، صرفا برخی روش های جاسوسی سایبری مثل نقض عدم مداخله را ناقض حقوق بین الملل می داند). مضافا آنکه با توجه به اینکه پیامد سوء جدی، یک معیار پسینی است و با توجه به اینکه اصل رعایت کلیه احتیاط های مقتضی، شامل پیشگیری نمی شود (دستورالعمل تالین ۲، قاعده ۶، بند ۵)، عمل به تعهد مندرج در بند ۴  بیانیه آکسفورد در مورد علم و آگاهی دولت، به ویژه مفروض دانستن علم دولت از عملیات سایبری که دارای آثار سوء جدی در آینده باشد، بسیار سخت است. کارشناسان بین المللی مورد مشاوره گزارش تالین ۲ نیز متفق بودند که انتساب علم و آگاهی به دولتی که عملیات سایبری از سرزمین آن انجام شده بسیار مشکل است (دستورالعمل تالین ۲، قاعده ۶، بند ۳۸). با این حال، کارشناسان با استناد به رای دیوان بین المللی دادگستری در قضیه کورفو در مورد این مساله که عدم آگاهی دولت آلبانی از هویت مین گذاران، رافع مسوولیت آلبانی نبوده، معتقدند که این قاعده می تواند اثر حقوقی نیز داشته باشد. اما سوال آن است که آیا می توان وجود مساله مین های دریایی را با مساله سایت دروغین برای دزیدین رمزواژه شرکت دارویی قابل قیاس دانست؟

نوشتار حاضر، تاملی کوتاه است بر محدودیت های رویکرد دولت گرایانه در مواجهه با فضایی که ساختار و معماری اش بر مبانی کاملا متفاوتی از معیارهای سنتی حاکمیتی دنیای واقعی توسعه یافته است. قطعا نمی توان نقش و مسئوولیت دولت ها را در قبال شهروندان و سایر دولت ها در مورد عملیات سایری نادیده انگاشت. اما محدودیت های ساختاری دولت ها در عرصه مجازی را نیز باید بازشناخت. دولت ها و جامعه بین المللی نگرانی درست و به جایی در مورد نحوه استفاده از فضای مجازی دارند؛ اما دولت ها کنترل کنندگان واقعی این فضا نیستند. حقوق بین الملل، بر خلاف سایر رشته های حقوق، به دلیل مزیت فرادولتی بودن، پتانسیل پاسخگویی و تنظیم این فضای جدید غیرمتعارف را دارد. اما به نظر، برای این فضای جدید چشم ها را باید شست! 

آخرین مطالب تالار گفتگو

آیین نامه کمیته جوانان انجمن ایرانی مطالعات سازمان ملل متحد



اطلاعات بیشتر