Hackgroepen vrijwel vogelvrij onder internationaal recht

Lees verder

In het verlengde van nieuwe vormen van communicatie en sociale media, ontstaan ook nieuwe vormen van criminaliteit. Steeds vaker proberen hackers belangrijke systemen van andere landen of organisaties binnen te dringen. Is het mogelijk om deze hackers hiervoor aansprakelijk te houden?

Een klik met de muis op een link die je net hebt ontvangen in je mail en hackers weten je computer binnen te dringen. Dit overkwam Billy Rinehart in 2016, waardoor duizenden vertrouwelijke mails en documenten van de Democratische Partij in Amerika op straat kwamen te liggen.1 Dit voorbeeld is er nog maar slechts één uit duizenden. In het verlengde van nieuwe vormen van communicatie en sociale media ontstaan ook nieuwe vormen van criminaliteit. Hackers gaan slim te werk en proberen de systemen van individuen, havens, banken, ziekenhuizen, universiteiten en overheidsinstellingen binnen te dringen.2 Om een paar concrete pogingen te noemen: een hackpoging op het OPCW in Den Haag, een recente cyberaanval op het Noorse Parlement en zelfs het proberen binnen te dringen in de systemen van de Wereld Gezondheidsorganisatie tijdens de coronacrisis. Deze cyberaanvallen gebeuren door individuele groepen, maar ook vaker worden cyberoperaties door staten ingezet voor politieke en militaire strategische doeleinden.3 Doordat deze aangestuurde hackgroepen zich vaak niet bevinden op het territorium van het aangevallen systeem, heeft cybercrime een grensoverschrijdend karakter. Door de onbegrensde snelle ontwikkeling van het cyberdomein en het grensoverschrijdende karakter, is het lastig voor nationale handhavers om hackers aansprakelijk te houden. Biedt het internationale recht hiervoor een mogelijkheid?

Toepassing Internationaal recht op de cyberspace
Het cyberdomein verandert zo snel, dat de wetgeving blijft achterlopen op de nieuwe vormen van criminaliteit. Staten proberen met nationale regelgeving de bedreiging te beperken, maar veelal komen de dreigingen van buitenaf en biedt het nationale recht geen uitkomst. Een effectief juridisch mechanisme met bindende wetgeving omtrent cyberspace ontbreekt echter nog. Cyberaanvallen en cyberoorlogsvoering vindt plaats in de cyberspace, een elektronische ruimte die is gecreëerd, onderhouden en eigendom is van publieke en private belanghebbenden.4 Het verschilt met de klassieke oorlogsvoering, omdat de cyberspace niet onderhevig is aan traditionele fysieke grenzen en niet plaats vindt via land, zee, lucht of ruimte.5 Het meest omvattende beginsel onder het internationale recht, het soevereiniteitsbeginsel, bevat het verbod om in te grijpen op het grondgebied van een andere staat zonder toestemming. Hoewel er dus geen bindend verdrag met betrekking op regels over de cyberspace is te vinden, heeft de Verenigde Naties verklaard dat de al bestaande beginselen van internationaal recht wel van toepassing zijn op de cyberspace.6 Van toepassing is dus ook het verbod op geweld.7 Er geldt een hoge drempel over wat wordt verstaan onder geweld. Hoewel cyberoperaties die letsel of de dood veroorzaken bij personen of schade aan objecten kunnen vallen onder het verbod van gebruik van geweld of een gewapende aanval, blijven de meeste cyberoperaties onder deze drempel.8

‘Naast de nieuwe vormen van communicatie en sociale media, ontstaan ook nieuwe vormen van criminaliteit’

 

‘Bindende wetgeving omtrent cyberspace ontbreekt echter nog’

Stel dat een staat een hackgroep opdracht geeft..
Onder het internationale recht kan een staat aansprakelijk worden gehouden voor het plegen van een onrechtmatige daad op een andere staat. Eveneens kan een staat aansprakelijk worden gehouden voor gedragingen van zijn onderdanen wanneer het op grond van het internationale recht toerekenbaar is aan de staat.9 Indien een hackgroep dus in opdracht van een staat een aanval pleegt op een andere staat en daarbij het internationale recht schendt, kan onder omstandigheden de staat hiervoor aansprakelijk worden gesteld. Gedragingen van overheidsfunctionarissen die deel uit maken van de uitvoerende, wetgevende of rechterlijke macht zijn zonder meer toe te rekenen.10 In de Nicaragua-zaak van het Internationaal Gerechtshof is neergelegd dat een staat ook aansprakelijk kan worden gehouden voor een onrechtmatige gedraging van een persoon die geen ambtelijke taak uitvoert.11 Er moet sprake zijn van effectieve controle: het aansturen of gedwongen worden door de staat. Niet voldoende is enkel het financieren van de hackgroep. Er geldt een hoge drempel voor de attributie van een cyberaanval aan de staat. Bewezen moet namelijk worden dat een staat effectief controle heeft over de hackgroep en dus wezenlijk de hackgroep opdracht heeft gegeven om de aanval uit te voeren.

Tallinn Manual opgesteld door de NAVO
In 2007 vond er een cyberaanval plaats door Rusland op Estland, dit was de eerste keer onder het internationale recht dat er een dergelijke gebeurtenis plaatsvond. Als gevolg hierop riep Estland Artikel 5 van de NAVO in, namelijk dat een aanval tegen één lidstaat een aanval tegen alle lidstaten is.12 Als gevolg op de gebeurtenis is de Tallinn Manual 1.0 en 2.0 opgesteld met het oog op toepassing van het internationale recht bij cyberactiviteiten.13 Dit document is opgesteld door de NAVO Cooperative Cyber Defence Centre of Execellence. Echter, het document heeft geen bindende werking onder het internationale recht waardoor de effectiviteit ervan ontbreekt.  De Tallinn Manual spreekt eveneens van aansprakelijkheid van staten bij cyberaanvallen uitgevoerd door staatsorganen.14 Vereist is dus wel effectieve controle over de hackgroep. De enkele omstandigheid dat een cyberactiviteit is gestart of afkomstig is van de overheid of dat een malware die wordt gebruikt bij het hacken informatie terugstuurt naar de cyberinfrastructuur van de overheid is over het algemeen niet genoeg bewijs om de cyberactiviteit toe te wijzen aan de staat.15

Conclusie: dringend bindende actie nodig.
Steeds vaker gebeurt het dat een hackgroep een systeem van een andere staat aanvalt. Door het ontbreken van bindende regelgeving omtrent cyberspace en de hoge drempel van de bestaande verboden van het internationale recht, blijft aansprakelijkheid uit. Een staat kan slechts aansprakelijk worden gehouden indien bewezen kan worden dat zij daadwerkelijk een hackgroep de opdracht heeft gegeven om de cyberaanval uit te voeren. Er moet dringend een bindend internationaal verdrag komen om de snelgroeiende cybercriminaliteit terug te dringen.

‘Bewezen moet worden dat een staat daadwerkelijk een hackgroep de opdracht heeft gegeven om een cyberaanval uit te voeren.’

                                                                                                                                                         

Juliette Huijsmans

Voetnoten

1. Eric Lipton, David E Sanger en Scott Shane ‘The Perfect Weapon: How Russian Cyberpower Invaded the U.S’ The New York Times 13 december 2016.

2. ‘Het oplopende internationale cyberconflict: wat moeten we weten?’ Rathenau Instituut https://www.rathenau.nl/nl/digitale-samenleving/oplopend-cyberconflict-wat-moeten-we-weten (geraadpleegd op 6 november 2020)

3. Joost Bunk en Marlou Snelders ‘Cyberdiplomatie: inzetten op heldere internationale afspraken’ De Veiligheidsdiplomaat 2020/5 https://magazines.rijksoverheid.nl (geraadpleegd op 6 november 2020)

4. Ziyad Hayatli ‘Cyber Warfare in International Law’ The New Jurist 6 december 2018 https://newjurist.com/cyber-warfare-in-international-law.html (geraadpleegd op 6 november 2020)

5. Ibid.

6. Algemene vergadering van de Verenigde Naties (24 Juni 2013) Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security, UN Doc A/68/98, paras 19–20.

7. Art. 2(4) VN-Handvest.

8. Harriet Moyniham ‘The Application of International Law to State Cyberattacks: Sovereignty and Non-intervention; Chatman House The Royal Institute of International Affairs 2019, p.3.

9. Draft Articles on the Responsibility of States for Internationally Wrongful Acts Yearbook of International Law Commission, 2001, vol. II, Art. 8.

10. Draft Articles on the Responsibility of States for Internationally Wrongful Acts Yearbook of International Law Commission, 2001, vol. II, Art. 7.

11. IGH 27 juni 1986 Case concerning military and paramilitary activities against Nicaragua (Nicaragua en de Verenigde Staten van Amerika) p. 114

12. Scott J Shackelford en Richard B Anders ‘State Responsibility for Cyber Attacks: Competing Standards for a Growing Problem’ Georgetown Journal of International Law 2011/42, 971.

13. International Group of Experts, ‘Tallinn Manual on the International Law applicable to Cyber Warfare’ (ed Schmitt M N, Cambridge University Press 2013).

14. International Group of Experts, ‘Tallinn Manual on the International Law applicable to Cyber Warfare’ (ed Schmitt M N, Cambridge University Press 2013), regel 15-17.

15. Eric Talbot Jensen ‘The Tallinn Manual 2.0: highlights and insights’ Georgetown Journal of International Law 2017/48, p. 751.

Video
Delen

Uw naam

E-mail

Naam ontvanger

E-mail adres ontvanger

Uw bericht

Verstuur

Share

E-mail

Facebook

LinkedIn

Contact

Verstuur

Aanmelden

Meld aan