Een praktijkvoorbeeld voor de militair jurist: Locked Shields 2019
Door majoor mr. N. Wobma en kapitein mr. F.J.M. de Boer1
Cyberoperaties kunnen, zoals bijvoorbeeld WannaCry in 2017 liet zien, diep doordringen in de maatschappij en veel schade veroorzaken in bijna iedere laag daarvan. De WannaCry-ransomware2 besmettingen in mei 2017 demonstreerden de potentie van cyberoperaties en de schadelijke gevolgen die deze kunnen hebben voor de nationale veiligheid. De WannaCry-ransomware verspreidde zich destijds in 150 landen en besmette honderdduizenden computers.3 In het Verenigd Koninkrijk werden bijvoorbeeld werkzaamheden in ziekenhuizen ernstig verstoord door de besmettingen.4 Gelukkig werd een zogenaamde 'kill-switch' ontdekt waarmee de malware kon worden uitgeschakeld.5 Het Cybersecuritybeeld Nederland 2019 (hierna: CSBN 2019) van de Nationaal Coördinator Terrorismebestrijding en Veiligheid laat zien dat digitale dreiging voor de nationale veiligheid permanent is. Het CSBN 2019 signaleert een toenemende digitalisering en afhankelijkheid van digitale middelen waardoor de gevolgen van aantasting hiervan maatschappij-ontwrichtend kunnen zijn.6 Een integrale, brede aanpak, met inzet van experts uit verschillende disciplines, bij het voorkomen en verhelpen van dergelijke aanvallen is nodig.
Om die reden wordt jaarlijks in Tallinn door de NAVO-bondgenoten en partners geoefend om cyberweerbaarheid te testen in de grootste, meest complexe internationale livefire cyberoefening Locked Shields, georganiseerd door het NATO Cooperative Cyber Defence Centre of Excellence. Locked Shields is een zogenaamde Red Team versus Blue Team oefening, waarbij de Blue Teams worden gevormd door de deelnemende landen. Dit jaar namen bijna 30 landen en meer dan 1200 cybersecurity technici deel. Niet alleen worden hierbij de vaardigheden getest van de technici, de Blue Teams worden tevens versterkt met juridische, strategische en media-experts. De bijkomende doelstelling hiervan is het leren samen te werken van specialisten uit verschillende disciplines in een operationele setting. Het scenario van 2019 hield in dat de Blue Teams de rol van rapid reaction teams speelden die uitgezonden waren naar een fictief land dat te maken had met cyberincidenten. De rapid reaction teams moesten het fictieve land hierbij assisteren.7
De rol van de jurist
Om zich te kunnen verweren tegen cyberoperaties, moeten landen en organisaties vertrouwen op hun (cyber) veiligheidsspecialisten van wie wordt verwacht dat ze direct de hun toegewezen netwerken kunnen verdedigen, repareren en daarbij zoveel mogelijk kunnen achterhalen wat er is gebeurd en wie het heeft gedaan. Vaardige technici kunnen mogelijk achterhalen wat zich heeft afgespeeld en wie achter de operatie zat, maar vervolgens moet mede aan de hand van de wisselende omstandigheden in het scenario bepaald worden waar juridische mogelijkheden en grenzen om te handelen liggen.
Tijdens Locked Shields ontvangen juristen allerlei vragen die zien op het voortschrijdende scenario en de technische ontwikkelingen. Voor de jurist is het dan niet alleen van belang om de wijzigende situatie en de vragen daarover onder tijdsdruk te kunnen duiden, maar ook om te kunnen adviseren over mogelijke handelingsopties. Daarbij speelt een rol dat de van toepassing zijnde wet- en regelgeving veelal is geschreven in een tijd waarin het cyberdomein nog niet bestond en dus interpretatie daarvan tegen het licht van de huidige stand van de techniek nodig is.
Afhankelijk van de omstandigheden, zoals het al dan niet kennen van de aard en/of de identiteit van de dader(s) en de verschillende juridische instrumenten die daardoor al dan niet beschikbaar zijn, kunnen verschillende juridische regimes van toepassing zijn waarbinnen moet worden geacteerd. Tegen niet-statelijke actoren, zoals cybercriminelen of hacktivisten8, kunnen rechtshandhavende instanties worden ingezet, al dan niet in een internationale context (law enforcement-paradigma). Wellicht kunnen er ook diplomatieke maatregelen worden aangewend tegen een staat die niet heeft gehandeld waar hij dat wel had moeten doen.
Een andere mogelijkheid is dat wanneer een cyberoperatie is uitgevoerd door of namens een staat, deze door de getroffen staat verantwoordelijk kan worden gehouden op grond van het internationaal recht inzake staatsaansprakelijkheid. Als de desbetreffende cyberoperatie ook nog daadwerkelijke fysieke schade oplevert, kan er mogelijk sprake zijn van gebruik van geweld (use of force) van het ene land jegens het andere land. Hierbij is het geweldsverbod tussen staten van toepassing, inclusief de gerechtvaardigde uitzonderingen daarop (jus ad bellum). Wanneer er sprake is van gebruik van geweld van de ene staat richting een andere en de schaal en effecten van de cyberoperatie staan daarbij gelijk aan die van een gewapende aanval in de zin van artikel 51 van het VN Handvest, zijn zelfverdedigingsmaatregelen door de getroffen staat gerechtvaardigd.9 Indien sprake is van een gewapend conflict, is het humanitair oorlogsrecht (jus in bello) van toepassing.
Wat als een groep cybercriminelen of hacktivisten uit een naburig land de stroomvoorziening verstoort met fysieke schade tot gevolg? Een cyberoperatie uitgevoerd door cybercriminelen of hacktivisten zal normaal gesproken niet toerekenbaar zijn aan een staat. De cyberoperatie valt dan binnen het law enforcement-paradigma. De situatie is bijvoorbeeld anders wanneer er indicaties zijn dat de schadeveroorzakende cybercriminelen of hacktivisten handelen onder instructie, aanwijzing of controle (direction or control) van een staat. Het internationaal recht inzake staatsaansprakelijkheid is van toepassing wanneer er sprake is van een schending van een internationaalrechtelijke verplichting van een staat die toerekenbaar is aan een staat op grond van internationaal recht.10 Het juridisch toerekenen van bepaald handelen aan een staat kan een complexe aangelegenheid zijn.11 Bovendien vormt toerekening in het digitale domein een extra uitdaging vanwege de digitale middelen die actoren tot hun beschikking hebben om hun identiteit te verhullen. Hoewel het helpen en assisteren van niet-statelijke actoren door een staat bij illegale activiteiten in een ander land op zichzelf al een schending kan inhouden van het non-interventie beginsel12 en daarmee gelijk staat aan een internationale onrechtmatige daad, kan het handelen in ieder geval toerekenbaar zijn aan een staat wanneer de niet-statelijke actor de operatie uitvoert aan de hand van instructies of aanwijzingen van of onder controle van de staat en het betreffende handelen hiervan een integraal onderdeel is.13 Voor het vaststellen van 'controle' is nodig dat de staat 'effectieve controle' uitoefent over het handelen van de cybercriminelen of hacktivisten.14 Voor de juridische toerekening zal uiteindelijk ook moeten worden voldaan aan de toepasselijke standaard voor de bewijslast. Voor die standaard bestaat echter nog geen eenduidige statenpraktijk. Uit rechtspraak van het Internationaal Gerechtshof is wel af te leiden dat hoe zwaarder de beschuldiging is, des te zwaarder de bewijslast is. In antwoord op de vraag of er sprake was van een gewapende aanval en dientengevolge van een situatie van zelfverdediging - een zware beschuldiging -, leek het Internationaal Gerechtshof in haar uitspraken daarover te verwijzen naar de standaard van 'reasonably clear and convincing evidence'.15 Wanneer een staat meent dat ze beschikt over voldoende gegevens om de onrechtmatige situatie aan een staat toe te rekenen, ook in geval van bijvoorbeeld een juridische procedure, staan er ook mogelijkheden open voor de benadeelde staat om de internationale onrechtmatige daad tegen te gaan en de onrechtmatige situatie zoveel mogelijk te herstellen naar de rechtmatige toestand.
Hoe zou een staat kunnen optreden tegen een dergelijke, voortdurende, internationale onrechtmatige daad? Een voorbeeld is een tegenmaatregel (countermeasure). Tegenmaatregelen zijn maatregelen die normaal gesproken onrechtmatig zijn, maar kunnen in uitzonderlijke situaties wel rechtmatig worden uitgevoerd om ervoor te zorgen dat de andere staat de illegale activiteiten beëindigt zodat zij weer voldoet aan haar internationale verplichtingen16. Deze tegenmaatregelen mogen alleen door de getroffen staat zelf worden genomen tegen de staat die verantwoordelijk is voor de internationale onrechtmatige daad. De tegenmaatregelen mogen bovendien niet gericht zijn op het nemen van wraak.17 De verantwoordelijke staat dient voorafgaand aan de tegenmaatregel te worden gewaarschuwd. Voorts dienen tegenmaatregelen proportioneel te zijn en mogen ze alleen worden genomen zolang de internationale onrechtmatige daad voortduurt. Wanneer de staat weer voldoet aan haar verplichtingen, mogen niet langer tegenmaatregelen worden genomen.18 Ook mag een staat niet bepaalde eigen verplichtingen, zoals de bescherming van fundamentele mensenrechten, diplomatieke of consulaire rechten, schenden bij het nemen van een tegenmaatregel.19 Wanneer wordt voldaan aan alle voorwaarden voor het nemen van een tegenmaatregel, zou de getroffen staat bijvoorbeeld kunnen reageren door middel van cybermaatregelen.20
Wat als door verstoring van de stroomvoorziening mensenlevens verloren gaan? Als de bewuste cyberoperatie toerekenbaar is aan een staat en ook nog daadwerkelijke fysieke schade, gewonden of doden veroorzaakt, kan het een schending van het verbod op gebruik van geweld inhouden.21 Voor de beoordeling hiervan dient gekeken te worden naar de gevolgen van de operatie en niet zozeer naar het type wapen dat hiervoor gebruikt is.22 Ook wanneer een staat niet direct geweld heeft gebruikt, kan een operatie gekwalificeerd worden als gebruik van geweld. Het wapenen en trainen van een groep cybercriminelen of hacktivisten zou bijvoorbeeld als gebruik van geweld kunnen worden gezien. Daarentegen kan volgens het Internationaal Gerechtshof alleen het financieren van een groep cybercriminelen of hacktivisten niet aangemerkt worden als gebruik van geweld.23 Het schenden van het verbod van gebruik van geweld kan wederom een grondslag zijn voor het nemen van tegenmaatregelen. Wanneer de schaal en effecten van cyberaanval gelijk staan aan een gewapende aanval, zou een staat ook het recht op zelfverdediging kunnen uitoefenen.24
De hierboven gestelde vraag is een voorbeeld van de vele verschillende vragen die in Locked Shields 2019 aan de juristen werden gesteld. Deelnemers werden geconfronteerd met realistische scenario's, waarin complexe vraagstukken en technieken naar voren kwamen, en er beperkt tijd was voor analyse en advies om zo de druk van de militaire operatie en politieke besluitvormingsprocessen na te bootsen.
Cyberoperaties, toerekening en het recht
Doorgaans volgt het recht nieuwe ontwikkelingen, maar soms heeft de wetgever moeite om de snelheid van die (technologische) ontwikkelingen bij te houden. Hoewel er natuurlijk regels zijn die zien op het uitvoeren van militaire operaties, ontbreken er vaak nog concrete interpretaties van staten zelf wanneer het gaat om (offensieve) cyberoperaties. Daarom is het van belang dat juristen deelnemen aan hedendaagse cyberoefeningen om zo concrete situaties die zich voordoen in het cyberdomein te toetsen aan bestaande juridische normen.
Boeken, zoals de Tallinn Manual 2.0, gaan over het internationale recht dat van toepassing is op cyberoperaties en bieden juristen handvatten om zo staten en organisaties te helpen met de juridische interpretatie van bestaande normen in de cyber context. Deze handvatten, tezamen met de analyse van de juristen tijdens cyberoperaties dragen bij aan het vinden van juridische argumenten voor een staat om te kunnen reageren op cyberaanvallen. En dergelijk handelen door een staat kan op termijn bijdragen aan het creëren van nieuw (gewoonte)recht.
Een kanttekening bij de academische juridische adviezen, zoals de Tallinn Manual, is dat veel van de beschreven regels en scenario's zich nog niet in het echt hebben verwezenlijkt. Het is mogelijk dat een staat in een echte situatie heel anders reageert dan een manual adviseert. Dat kan ook, want het zijn uiteindelijk de (gedragingen van) staten die de primaire regels van het internationaal gewoonterecht creëren en niet een boek op zichzelf.
Waar in de conventionele domeinen de herkomst en de actor van een aanval relatief snel kan worden geïdentificeerd, kan dit in het digitale domein minder eenvoudig zijn. Een gevolg daarvan is dat het voor de getroffen staat moeilijk kan zijn om een geschikte internationale juridische basis te vinden om op te kunnen treden. Het is immers lastig op te treden tegen een anonieme dader. De beschikbaarheid van juristen in dergelijke situaties, om het juridisch kader waarbinnen een cyberaanval zich afspeelt te bepalen, kan daarbij nuttig zijn. De jurist is weer sterk afhankelijk van de technische vertaling van de feiten door de operators. Er dient dus samenspel plaats te vinden tussen de jurist en andere specialisten.
De meeste cyberoperaties die tot nu toe plaatsvonden halen niet de juridische drempel van een gewapende aanval en vinden plaats in vredestijd. Het gaat dan onder meer om website defacement, Denial of Service aanvallen, diefstal van data of spionageactiviteiten. Hoewel dit soort operaties weliswaar niet als een gewapende aanval kan worden gekwalificeerd, beschikt de getroffen staat in verschillende fases over verschillende instrumenten die een bepaalde tegenreactie mogelijk maken. Juridische maatregelen, waarvan sommigen hier als voorbeeld zijn aangehaald, maar overigens ook technisch defensieve of diplomatieke maatregelen.
Het bovenstaande belicht de noodzaak voor het betrekken van juristen bij cyberoefeningen. Hiermee bouwt de jurist kennis op van hedendaagse besluitvormingsprocessen op de verschillende niveaus en in verschillende kaders. Oefeningen zoals Locked Shields helpen hedendaagse juridische uitdagingen bloot te leggen en dragen bij aan oplossingen die een dieper inzicht bieden in het cyberdomein.