פרסומים
מזכר 133, המכון למחקרי ביטחון לאומי, תל אביב, מארס 2014. עורכות: פנינה שרביט ברוך, ענת קורץ
תקציר
כרקע לניתוח עצמו יעסוק המאמר תחילה בקושי העקרוני שבהחלת דיני המשפט ההומניטרי הבינלאומי על לוחמה שמערבת שיטות ואמצעים חדשים, קושי הקיים במיוחד במקרה של פעולות בתחום הסייבר. היעדר שקיפות ומיעוט המידע המאפיינים את מבצעי הסייבר, מציבים מכשולים נוספים בפני האפשרות להחיל עליהם את דיני המשפט ההומניטרי הבינלאומי. לאחר מכן יידונו הבעיות שעלולות להתעורר כאשר מנסים לקבוע אם מבצעי סייבר מתרחשים במסגרת מצב של עימות מזוין. זוהי סוגיה מרכזית, מכיוון שדיני המשפט ההומניטרי הבינלאומי חלים רק במקרה של עימות מזוין.
התאמת החוק הישן לטכנולוגיות הסייבר החדשות
נורמות משפטיות הן מטבען כלליות ומנסות להרחיק ראות. הן שואפות לגבש כללי התנהגות שיתאימו למגוון מצבים, לרבות כאלה שעדיין לא מוכרים ועשויים להתעורר בעתיד. כדי לעמוד במשימה זו, על החוק להיות רחב דיו: הוא אינו יכול לספק כללים ספציפיים לאינסוף מערכי הנסיבות שעלולים להתעורר, ולכן במקום זאת הוא מחיל חוקים על מגוון של קטגוריות כלליות, אותן הוא מגדיר ומבחין האחת מהשנייה.
בתחום המשפט המדינתי, משימה זו מושגת בחלקה הגדול באמצעות פעולות של פרשנות מצד בתי משפט של המדינה הנדרשים מדי יום להחיל את החוק על אירועים ספציפיים, ודרך תיקוני חקיקה שיכולים להתבצע בתגובה לרגישויות המשתנות ולמציאות חדשה. בתחום המשפט הבינלאומי, תהליך ההתאמה מסורבל הרבה יותר.
תהליך התאמת הדין לשינויים מאתגר במיוחד כאשר הדבר נוגע למשפט ההומניטרי הבינלאומי, נוכח העובדה שתחום זה מסדיר מצבים של עימות מזוין, שמטבע הדברים מלווים בחילוקי דעות בין מדינות
ואכן, מדינות מגיעות להסכמה בעניינים אלה לעתים נדירות כל כך.
כמו כן בעוד שהחוק מתפתח באיטיות, אמצעים ושיטות חדשות של לוחמה מתפתחים ללא הרף ושדה הקרב משתנה השכם וערב. הניסיון לגשר על הפער בזמנים ובהקשר שבין מועד התגבשות החוק לבין מועד יישומו, הופך לפיכך לאתגר דוחק וגדול מאי פעם.
החלת דיני המשפט ההומניטרי הבינלאומי על טכנולוגיות ופעולות חשאיות
הקושי להתאים את דיני המשפט ההומניטרי הבינלאומי ללוחמת סייבר מושפע ממעטה החשאיות המקיף את פעולות האבטחה של תחום הסייבר. החוק חייב להיות מוּחל על עובדות. כאשר העובדות אינן גלויות דיין, לא ניתן לגבש פרשנות משפטית ברורה לגביהן. המידע הנדרש כדי שניתן יהיה לקיים הערכה מושכלת בדבר התאמתם של מבצעי סייבר לדיני המשפט ההומניטרי הבינלאומי כולל, בין היתר, פרטים על הטכנולוגיה הזמינה, על מתקפות סייבר שבוצעו, על הזהות של הצדדים מבַ צעי המתקפות, על המדיניות, ההנחיות והכללים שהמדינות מיישמות בהקשר ללוחמת סייבר ועל הפרשנות שלהן לדיני המשפט ההומניטרי הבינלאומי.
מדינות גם אינן מעוניינות לחשוף פרטים על מבצעי סייבר שהן יזמו נגד גורמים אחרים או לגבי כאלה שכוונו נגדן. לכן, קשה למדי לסקור את הדרכים שבהן הצדדים המעורבים בעימות מזוין מיישמים מבצעים כאלה במהלך מלחמה. מעטה החשאיות האופף את השיטות והיכולות של מדינות בשדה לוחמת הסייבר מתרחב גם לכללים ולהוראות החלים בהקשר של מבצעי סייבר. לאור זאת, ומכיוון שבמרבית המקרים מדינות נמנעות מלחשוף ישירות מה לדעתן אמור להיות היישום קשה מאד לקבוע הנאות של דיני המשפט ההומניטרי הבינלאומי על לוחמת הסייבר, מהי עמדתן המשפטית בנושא זה.
הפרמטרים לקביעה כי לוחמת סייבר נכנסת בגדרי עימות מזוין
משום שהמשפט ההומניטרי הבינלאומי חל רק בהקשר של עימות מזוין, הדבר הראשון שיש להעריך כאשר שוקלים אם מבצע סייבר מסוים כפוף לדיני המשפט ההומניטרי הבינלאומי הוא האם המבצע הנדון נערך במסגרת עימות מזוין או בהקשר אליו. קל יחסית להצביע על הישימות של דיני המשפט ההומניטרי הבינלאומי בהקשר של מבצעי סייבר, כאשר אלה מתרחשים על רקע עימות מזוין קיים, אבל אפילו אז אין לראות בכך דבר מובן מאליו, וסביר להניח שגורמים אחרים ייכנסו למשוואה ויסבכו אותה. אפשרות מסתברת במיוחד היא שלא ניתן יהיה לקבוע באופן חד#משמעי כי מבצעי הסייבר אכן קשורים לעימות המזוין. כפי שכבר צוין, טבעם של מבצעי סייבר הוא כזה שזהות הגורם המוציא אותם לפועל עשויה להיוותר בלתי ידועה. בכל מקרה שבו זהות התוקף נותרת עלומה, לא ייווצר בסיס לטענה שהמבצעים נעשו על ידי, או בשם, צד בעימות מזוין, וכל עוד החיבור לעימות המזוין נותר בספק, היכולת ליישם את דיני המשפט ההומניטרי הבינלאומי על מבצעי הסייבר תהיה מוטלת בספק.
עימות מזוין בינלאומי מתעורר כל אימת שנעשה שימוש בכוח מזוין בין מדינות. בהתאם לכך, לוחמת סייבר תיחשב לעימות מזוין בינלאומי רק אם ניתן לייחס את מבצעי הסייבר למדינה מסוימת ואם מבצעים אלה מביאים, בסופו של דבר, להפעלת כוח מזוין נגד מדינה אחרת.
מעבר לקשיים העובדתיים בקביעת המקור למבצע סייבר, ייחוס מבצע כזה למדינה הוא דבר מורכב גם בשל שאלות הנוגעות להיקף אחריותה המשפטית של המדינה למבצעי סייבר שלא בוצעו ישירות על ידיה, אלא על ידי אנשים פרטיים או קבוצות. ייחוס פעולות של גורמים פרטיים למדינה אינו ייחודי ללוחמת סייבר. הכלל העקרוני בנושא זה קובע כי ניתן לייחס התנהלות של אדם או קבוצת אנשים למדינה, בהתאם לדין הבינלאומי, "אם האדם או הקבוצה פעלו תחת ההנחיות של אותה מדינה, או תחת ההכוונה או השליטה של אותה מדינה, בעת שהוציאו לפועל התנהלות זו".10 לפי אחת הפרשנויות לכלל זה ניתן לייחס פעולות של גורמים פרטיים למדינה רק כשמדובר בפעולות ספציפיות שעליהן יש למדינה שליטה אפקטיבית, ואילו לפי פרשנות אחרת ניתן לעשות כן כשלמדינה יש "שליטה כוללת" על קבוצה מסוימת. החלת המבחנים החלופיים האלה על לוחמת הסייבר, שם העובדות הרלוונטיות עלולות להיות קשות יותר לביסוס, עתידה להתברר כאתגר ולהיות מורכבת עוד יותר בשל הצורך לפרש את המונח "שליטה" בכל הנוגע לפעולות ולגורמים במרחב הסייבר. הניסיון להעריך אם מבצעי סייבר עומדים בקריטריון השני לעימות מזוין בינלאומי, קרי שהם מביאים לשימוש בכוח מזוין נגד מדינה, מציב קושי משמעותי נוסף.
אם מפרשים את דיני המשפט ההומניטרי הבינלאומי על פי התכלית ההומניטרית שבבסיסם אזי דומה שמבצעי סייבר הגורמים להשלכות הומניטריות כה חמורות חייבים להיחשב כאילו הם "כוח מזוין", ולכן צריכים להיות כפופים לתנאים של דיני המשפט ההומניטרי הבינלאומי.
עימות מזוין שאינו בינלאומי מתקיים כל אימת שמתרחשת אלימות מזוינת מתמשכת, דהיינו אלימות מזוינת בעוצמה מסוימת, בין כוחות הביטחון של המדינה לבין קבוצות מזוינות מאורגנות, או בין קבוצות שונות בתוך המדינה.16 במילים אחרות, כדי שמצב יסווג כעימות מזוין שאינו בינלאומי, הוא חייב לכלול אלימות מזוינת המערבת לפחות גורם אחד שאינו מדינתי, וזאת כאשר הצדדים המעורבים מגיעים לרמה מינימלית של ארגון והאלימות המזוינת מגיעה לרמה מינימלית של עוצמה.
החלת דיני המשפט ההומניטרי הבינלאומי על לוחמת הסייבר מבצעי סייבר שידוע כי הם נעשו במסגרת עימות מזויין כפופים בוודאי לכללי המשפט ההומניטרי הבינלאומי, לרבות ובמיוחד הכללים המסדירים את ההתנהלות בלחימה (דיני הלחימה). יחד עם זאת, וכאמור לעיל, החלת דינים אלה על פעולות המערבות הטמעת קוד מחשב במרחב הסייבר, וזאת בניגוד לשימוש בכוח קינטי בעולם הממשי, אינה עניין של מה בכך.
מתי מבצעי סייבר כפופים לדיני הלחימה
דיני הלחימה, כפי שנקבעו בפרוטוקול הנוסף הראשון של אמנת ז'נבה (פרוטוקול I ) זוכים להכרה נרחבת כמשקפים את המשפט הבינלאומי המנהגי הישים בעימותים מזוינים, הן בינלאומיים והן שאינם בינלאומיים. מרבית הכללים הספציפיים במסגרת זו נוסחו כהגבלות על פעולות צבאיות המהוות "התקפה". דבר זה הביא
רבים להסיק שדיני הלחימה חלים רק על מבצעי סייבר המהווים התקפה, כמוגדר על פי דיני המשפט ההומניטרי הבינלאומי. אולם קשה ליישב עמדה זו עם העובדה שסעיפי הפרוטוקול הנוסף הראשון, המבססים את עקרונות ההבחנה, המידתיות והזהירות, מכילים סעיפים העוסקים בפעולות צבאיות באופן כללי. לנוכח זאת, יש לראות את עקרונות הליבה של דיני הלחימה כחלים לא רק על התקפות אלא גם
על לוחמה במובנה הרחב יותר, קרי פעולות צבאיות אחרות המתבצעות בהקשר של עימות מזוין ובמטרה להסב נזק לאויב.
החלת עקרון ההבחנה על מרחב הסייבר
על פי עקרון ההבחנה, הצדדים בעימות מזוין מחויבים להבחין כל העת בין אוכלוסייה אזרחית ובין לוחמים, וכן בין אובייקטים אזרחיים ובין מטרות צבאיות, ורשאים לכוון את פעולותיהם אך ורק נגד מטרות צבאיות. בהתאם לכך, מבצעי הסייבר חייבים להיות מופנים ליעדים צבאיים, דהיינו "אותם אובייקטים אשר מטבעם, מיקומם, מטרתם או השימוש בהם, תורמים תרומה אפקטיבית לפעולה צבאית ושהריסתם, תפיסתם או נטרולם, באופן מוחלט או חלקי, בנסיבות שמתקיימות באותו הזמן, מקנים יתרון צבאי מובהק". כל יעד שאינו עונה להגדרה זו נחשב לאזרחי ואינו יכול להיות יעד להתקפה. יתרה מכך, במקרה שמתעורר ספק האם יעד מסוים, שבמצבי שגרה משרת מטרות אזרחיות, תורם לפעילות הצבאית, חובה להניח שלא נעשה בו
שימוש לצרכים צבאיים, ולכן הוא אינו יכול להוות יעד להתקפה.
החלת עקרון המידתיות על מרחב הסייבר
על פי עקרון המידתיות, התקפה אסורה אם "ניתן לצפות כי תגרום לאבדן נלווה של חיי אזרחים, פציעה נלווית של אזרחים, נזק נלווה לאובייקטים אזרחיים, או שילוב של כל אלה, אשר יהיו מופרזים ביחס ליתרון הצבאי הקונקרטי והישיר הצפוי". גם כאן, שאלת מפתח תהיה כיצד ניתן לקבוע באיזו מידה המונח "נזק" כולל אובדן תפקוד. לנוכח חומרת ההשלכות שעלולות להיות לפגיעה בתפקוד של תשתית אזרחית, דומה שאך הגיוני הוא שנזק מעין זה ייכלל בחישוב המידתיות. מצד שני, וכפי שכבר צוין, נותר עוד להבהיר אילו סוגים של שיבושים בתפקוד נכללים בקטגוריה הרלוונטית של "נזק".
החלת עקרון הזהירות על מרחב הסייבר
המשפט ההומניטרי הבינלאומי מחייב את הצדדים היריבים לנקוט אמצעי זהירות בזמן התקפה, וכן נגד ההשפעות של התקפה כזאת. אמצעי זהירות בזמן התקפה מופעלים מכוח הוראה כללית החלה על כל הפעולות הצבאיות, לפיה יש לנקוט זהירות מתמדת במטרה להגן על אוכלוסייה אזרחית ועל יעדים אזרחיים, וכן מכוח הוראות נוספות הקובעות דרישות ספציפיות לזהירות. הוראות אלו מחייבות, בין היתר, את
הגורמים המתכננים את ההתקפה או המחליטים עליה לעשות כל שביכולתם כדי לוודא שהמטרות הן יעדים צבאיים, ולנקוט את כל אמצעי הזהירות האפשריים בעת בחירת האמצעים ושיטות הלחימה, כדי להימנע, ובכל מקרה למזער, נזק אגבי לאזרחים. כמו כן נדרשים הצדדים היריבים לבטל או להשעות התקפה, היה ויתברר
שהיא כרוכה בהפרה של עקרון המידתיות.
סיכום
לוחמת סייבר אינה מתרחשת בריק נורמטיבי. אין ספק שמבצעי סייבר כפופים למשפט, וכאשר הם מגיעים לכדי עימות מזוין או מתרחשים בהקשר אליו, עליהם להיות מוסדרים על פי דיני המשפט ההומניטרי הבינלאומי. יחד עם זאת, גם כאשר אין ספק באשר לתחולת המשפט ההומניטרי הבינלאומי, כאשר שוקלים כיצד יש להחיל את הוראתיו על לוחמת סייבר, מתעוררות שאלות רבות שעדיין אין להן מענה מקיף ומשביע רצון.