در چند روز اخیر هک دادههای نرمافزاری پمپبنزینهای سراسر کشور و قطع امکان سوختگیری برای خودروها و احتمال وقوع «حمله سایبری» به تیتر اول همه خبرگزارهای داخلی و خارجی تبدیل شده است. صرفنظر از صحتوسقم و ابعاد و مشخصات این حمله تروریستی که نگارنده از بدافزارهای آن اطلاعی ندارد، از منظر حقوق بینالملل «جرائم سایبری» گونهای از جرائم اینترنتی و شامل جرمهایی است که در محیط سایبری رخ میدهد.
«محیط سایبری» محیطی مجازی است که کاربران آن میتوانند به هرگونه خدمات و اطلاعات الکترونیکی در سراسر دنیا دست یابند. مجرمان محیط سایبری شامل «هکرها»، «کرکرها» و «فریک»های تلفن بوده و انواع جرمهای ممکن در این فضا، سایبرکرایم و تروریسم سایبر خوانده میشوند.
با این وصف از منظر حقوق بینالملل جرم سایبری هر فعل یا ترک فعلی است که از طریق یا به کمک سیستمهای کامپیوتری انجام شود و قانونگذار بینالمللی برای آن مجازات تعیین کرده است که شامل سه دسته جرائم کامپیوتر و تجهیزات کامپیوتری، موضوع جرائم سنتی مثل سرقت، تخریب تجهیزات و دسته دیگر کامپیوتر وسیله و ابزار ارتکاب جرم است و از آن برای جعل مدرک، گواهینامه و... استفاده میشود. سومی جرائم محض است، یعنی جرائمی مانند هک یا ویروسیکردن که صرفا در فضای سایبر (مجازی) از طریق حملات سایبری رخ میدهد. بنابراین حملات سایبری از طریق جرائم سایبری بهعنوان یكی از جلوههای نوین مداخلات سایبری مورد شناسایی دولتهاست. حملات سایبری اقداماتی است كه از سوی یك دولت برای هدف قراردادن زیرساختهای اساسی یك دولت ازجمله سیستم بانكی، انرژی و حملونقل عمومی كه به شبكه رایانهای متصل هستند، صورت میپذیرد.
اما سؤال این است:
۱- حملات سایبری اگر مصداقی از تجاوز یا توسل به زور محسوب نشوند، میتواند بهعنوان مداخله در امور داخلی دولتها تلقی شود؟
۲- آیا دولتها مسئولیتی در قبال چنین حملاتی در حقوق بینالملل داشته و مسئولیت آنها در جبران خسارات وارده بر چه مبنایی مبتنی است؟
۳- آیا حملات سایبری قابل انتساب به دولتی معین هستند؟ با چه معیاری؟
۴- آیا چنین حملاتی میتوانند موجد عنوان حمله مسلحانه و موجبی برای حق دفاع مشروع از خود مندرج در ماده 51 منشور باشد؟
۵- آیا دولتهای ثالث که بهطور غیرمستقیم از حملات سایبری صدمه دیدهاند نیز میتوانند بنا بر قواعد حقوق بینالملل طرف دعوای خسارت قرار گیرند، عملکرد دولت یك تخلف بینالمللی تلقی شود؟ مفاهیم مرتبط با حملات و جرائم در فضای سایبری از منظر حقوق بینالملل با دشواریهای مختلفی روبهرو است. بااینحال، برای پذیرش مسئولیت دولتها در قبال حملات سایبری با وامگیری از قواعد حقوقی موجود در این زمینه، میتوان این مسئولیت را از دو منظر بررسی کرد. «نظام مسئولیت بینالمللی دولت برای اعمال متخلفانه» و نظریه «مسئولیت بینالمللی دولتها در قبال اعمال منعنشده» دو رویکردی هستند که در پرتو آنها مسئولیت دولتها در قبال حملات سایبری بررسی و تبیین شده است. حملات سایبری اقداماتی است که از سوی یک دولت برای هدف قراردادن زیرساختهای اساسی یک دولت از جمله سیستم بانکی، انرژی و حملونقل عمومی که به شبکه رایانهای متصل هستند، صورت میپذیرد. حملات سایبری اگر مصداقی از تجاوز با توسل به زور محسوب نشود، میتواند بهعنوان مداخله در امور داخلی دولت یک تخلف بینالمللی تلقی شود. یگانه مستند جامع بینالمللی در رابطهبا مسئولیت بینالمللی دولتها در قبال اعمال متخلفانه بینالمللی که از سوی کمیسیون حقوق بینالملل تصویب شد، «طرح ۲۰۰۱ کمیسیون حقوق بینالملل» است که با اینکه هنوز به تصویب مجمع عمومی نرسیده و برای دولتها جز در موارد عرفی الزامآور نیست، اما به دلیل فقدان سنت حقوقی لازمالاجرا مانند معاهده، از این سند برای مسئولشناختن دولتها استمداد جسته میشود و اصول آن دستورالعملهای مناسبی را در اختیار فعالان این حوزه به دست میدهد در این راستا، مسئولیت بینالمللی دولت در قبال حمله سایبری در درجه اول منوط به «توصیف» آن بهعنوان عمل متخلفانه بینالمللی و در درجه بعد «انتساب» آن به یک دولت مشخص است توسل به زور، حمله مسلحانه و تجاوز از جمله اصطلاحاتی هستند که از آنها در منشور و اسناد بینالمللی دیگر تعریفی ارائه نشده است، این خلأ سبب شده در تبیین و تعریف این اصطلاحات در هنگام بروز تهدیدات نوپدید، آزادیهای عمل بیشتری وجود داشته و با توسیع آنها بتوان دولت را در قبال نقض آنها از طریق فضای سایبر مسئول شناخت، دیوان بینالمللی دادگستری در قضیه نیکاراگوئه به این مسئله پرداخته که بین اشکال شدید با توسل به زور و شکلهای با شدت کمتر تفاوت اساسی وجود دارد، همچنین در قضیه مشروعیت توسل به سلاحهای هستهای متذکر شده که ماده ۵۱ منشور به سلاح خاصی اشاره ندارد.
بنابراین اگر به دنبال مهمترین هدف منشور سازمان ملل یعنی حفظ صلح و امنیت بینالمللی باشیم، ویروس ارسالی به پمپبنزینها از فضای سایبر در قالب حمله سایبری را میتوان سلاح بدیعی با قدرت تخریبی بالاتر از سلاحهای سنتی دانست که در اندک زمان و با صرف کمترین هزینه میتواند این هدف را تهدید کند. بهاینترتیب این حمله را میتوان حائز کیفیات لازم برای بدلشدن به توسل به زور، حمله مسلحانه و حتی تجاوز دانست. پس از توصیف حمله و اثبات جرم قدم بعدی برای استناد به مسئولیت دولتهای متجاوز راجع به پمپبنزینها، بحث انتساب حمله سایبری به دولت مشخصی است. مشکل عمده به این مسئله برمیگردد که امروزه دولتها دخالت خود در حمله را انکار کرده و معمولا مدعیاند که این حملات از سوی گروههایی که وابستگی به آنها نداشته، صورت میگیرند. طرح مسئولیت بینالمللی دولتها در قبال اعمال متخلفانه بینالمللی، رفتار قابل انتساب به دولت را رفتار ارگانهای آن یا رفتار اشخاصی میداند که تحت هدایت یا کنترل آن عمل کردهاند. در انتساب حملات سایبری صورتگرفته از سوی نیروهای دولتی به دولت تردیدی وجود ندارد، بهویژه آنکه امروزه بسیاری از دولتها در ساختار نیروهای ارتشی خود یگانهای سایبری تشکیل دادهاند. اما برای انتساب حملات صورتگرفته ازسوی اشخاص یا گروههای غیردولتی باید «کنترل» دولت را بر این بازیگران غیردولتی اثبات کرد. عدم تعریف معیار کنترل در طرح کمیسیون، موجب طرح آستانههای متفاوتی در رویه قضائی بینالمللی شده است. در مقایسه با معیار «کنترل مؤثر» که نیازمند اثبات وابستگی بالایی بین دولت و شخص یا گروه غیردولتی است، معیار «کنترل کلی» که صرف نقش دولت در سازماندهی و برنامهریزی عملیات را برای ایجاد این سطح از کنترل کافی میداند، برای انتساب حمله سایبری به دولت پشتیبان مناسب به نظر میرساند. از طرفی حتی اگر در مسیری که حمله سایبری طراحی شده از ساختارهای اینترنتی موجود در سرزمین یک دولت موجب واردآمدن صدمه به دولتهای دیگر نشود نیز عدم اعمال کوشش مقتضی دولت مبدأ حمله میتواند مبنای دیگری برای انتساب این حملات به شمار آید. چالش بعدی به واکنش دولت ایران بهعنوان قربانی حمله سایبری در پاسخ به آن مربوط میشود. در میان مجموعه سازوکارهای موجود، رجوع به دیوان بینالمللی دادگستری و طرح دعوا علیه دولت مسئول یکی از گزینههای پیشروی دولت ایران محسوب میشود. مانع احتمالی این راهکار، فقدان صلاحیت اجباری دیوان و نیاز به توافق دولتهای درگیر برای ارجاع دعوای خود به دیوان است. رجوع به شورای امنیت و توسل به اقدامات متقابل غیرنظامی از دیگر گزینههای انتخابی دولت قربانی است، همچنین در این میان میتوان به «دفاع مشروع» بهعنوان برترین ابزار حقوقی دفاعی کشور در مقابل تهدیدات سایبری علیه آن نیز اشاره کرد که البته این گزینه مستلزم پیششرطهایی است. مقدمبودن وقوع حمله مسلحانه و همچنین رعایت اصول تناسب، ضرورت و فوریت در پاسخ دفاعی مشروع سبب میشود دولت قربانی فرصت کمتری در بهکارگیری دفاع مناسب از خود در برابر حمله سایبری داشته باشد. به نظر میرسد که پاسخ سایبری متقابل کمچالشترین واکنش دولت بوده که آنهم نیازمند وجود دانش لازم در این زمینه است. از سوی دیگر با آنکه حمله سایبری باوجود توان بالای نابودسازی زیرساختهای حیاتی یک کشور هنوز هم یک عمل منعنشده در سطح بینالمللی بهشمار میآید، بااینحال میتوان با رجوع به قواعد طرح ۲۰۰۱ کمیسیون حقوق بینالملل در پیشگیری از زیانهای فرامرزی ناشی از اعمال منعنشده و همچنین طرح ۲۰۰۶ آن درخصوص اصول تخصیص ضرر، به ابزار مناسبی برای پیشگیری و جبران خسارت ناشی از این حملات بر قربانیان دست یافت. در این راستا، این وظیفه دولت است که از طریق راهکارهایی مانند اعطای مجوز، نظارت و کنترل بر آن و تبادل اطلاعات و اعلام خطرات احتمالی، زمینهها و فرصتهای ایراد خسارت را تا آنجا که ممکن است خنثی سازد و علاوه بر وظیفه دولتها در پیشگیری از حمله سایبری، برای جبران خسارت نیز مسئولیت اصلی بر عهده متصدی فعالیت خطرناک بوده که به مسئولیت دولت مبدأ جلوهای مکمل میدهند. بااینحال، از آنجا که دولتها در پذیرفتن مسئولیت اعمال منعشده طراحیشده از سرزمینشان اکراه دارند، این امر سبب میشود که تنها مسئولیت تکمیلی با تضمینی را در قبال خسارتهای وارده در اثر بیمبالاتی و اهمال متصدیان بپذیرند. در تبیین وضعیت دولت ایران بهعنوان یکی از دولتهای زیاندیده از حملات سایبری نیز باید گفت چنانچه این حملات در تناقضی با تعهدات جمعی دولتها یا به عبارت دیگر در تعارض با منافع جامعه جهانی باشد، سایر دولتها غیر از دولت قربانی نیز محق به طرح دعوای مسئولیت دولت پشتیبان حمله میشوند. به هر صورت باوجود خلأهای موجود در حقوق بینالملل برای مقابله مؤثر با خطرات روزافزون ناشی از حملات سایبری میتوان با استمداد از قواعد انسجامیافته حقوقی درباره مسئولیت دولتها مبنای مستحکمی را در این خصوص یافت.
آنچه از مجموع مباحث به دست میآید، این است که تا زمانی که جامعه جهانی موفق به قاعدهمندکردن فعالیتهای دولتها در فضای سایبر نشود، کنوانسیون جرائم سایبری مصوب ۲۰۰۱ شورای اروپا، جامعترین سندی است که میتواند نقش یک الگو را در برخورد و واکنش نسبت به حملات سایبری بازی کند تا بتوان با رجوع به راهکارهای آن در این مسیر تاحدودی بر خلأها و چالشهای حقوقی بینالمللی موجود در این زمینه فائق آمد. در مقام نتیجه و پاسخگویی مختصر به سؤالات مطرحشده درخصوص نحوه اقدام دولت در مراجع بینالمللی درخصوص حمله سایبری به زیرساختهای نفتی کشور از طریق هک دادههای پمپ بنزینها باید گفت: اول- درخصوص حملات سایبری معاهده خاصی وجود ندارد اما میتوان با تفسیر قواعد موجود، مبنایی برای مسئولیت دولتهای مرتکب این حملات یافت. با تسری مقررات طرحهای کمیسیون حقوق بینالملل درخصوص مسئولیت بینالمللی دولتها و مسئولیت دولتها در قبال اعمال منعنشده میتوان این دولتها را در قبال خسارات وارده مسئول شناخت. دوم- حمله به سیستمهای رایانهای تأسیسات نفتی کشور، برای دولت حملهکننده در صورت انتساب مسئولیتزاست و برای انتساب یک حمله سایبری به دولت، معیار کنترل کلی، معیار مناسبتری برای طرح دعوا در نظر گرفته میشود. سوم- امكان دفاع مشروع در قبال این حمله تروریستی با شناسایی و اقدام فوری حملهکننده در صورت وجود شرایط آن وجود دارد. چهارم- چنانچه اثرات ناشی از حمله سایبری، موجب واردآمدن صدمه به منافع و حقوق دولتهایی غیر از دولت هدف کشور ایران حمله خاصه کشورهای صادرشونده بنزین شود، میتوان آنها را هم ذینفع و محق در طرح دعوای مسئولیت دانست که انشاءالله با شناسایی، توصیف و... با اقدامفوری و متقابل از راههای مقتضی حقوقی و دفاع مشروع نسبتبه پاسخگویی آن اقدام شود.