In het verlengde van nieuwe vormen van communicatie en sociale media, ontstaan ook nieuwe vormen van criminaliteit. Steeds vaker proberen hackers belangrijke systemen van andere landen of organisaties binnen te dringen. Is het mogelijk om deze hackers hiervoor aansprakelijk te houden?
Een klik met de muis op een link die je net hebt ontvangen in je mail en hackers weten je computer binnen te dringen. Dit overkwam Billy Rinehart in 2016, waardoor duizenden vertrouwelijke mails en documenten van de Democratische Partij in Amerika op straat kwamen te liggen.1 Dit voorbeeld is er nog maar slechts één uit duizenden. In het verlengde van nieuwe vormen van communicatie en sociale media ontstaan ook nieuwe vormen van criminaliteit. Hackers gaan slim te werk en proberen de systemen van individuen, havens, banken, ziekenhuizen, universiteiten en overheidsinstellingen binnen te dringen.2 Om een paar concrete pogingen te noemen: een hackpoging op het OPCW in Den Haag, een recente cyberaanval op het Noorse Parlement en zelfs het proberen binnen te dringen in de systemen van de Wereld Gezondheidsorganisatie tijdens de coronacrisis. Deze cyberaanvallen gebeuren door individuele groepen, maar ook vaker worden cyberoperaties door staten ingezet voor politieke en militaire strategische doeleinden.3 Doordat deze aangestuurde hackgroepen zich vaak niet bevinden op het territorium van het aangevallen systeem, heeft cybercrime een grensoverschrijdend karakter. Door de onbegrensde snelle ontwikkeling van het cyberdomein en het grensoverschrijdende karakter, is het lastig voor nationale handhavers om hackers aansprakelijk te houden. Biedt het internationale recht hiervoor een mogelijkheid?
Toepassing Internationaal recht op de cyberspace
Het cyberdomein verandert zo snel, dat de wetgeving blijft achterlopen op de nieuwe vormen van criminaliteit. Staten proberen met nationale regelgeving de bedreiging te beperken, maar veelal komen de dreigingen van buitenaf en biedt het nationale recht geen uitkomst. Een effectief juridisch mechanisme met bindende wetgeving omtrent cyberspace ontbreekt echter nog. Cyberaanvallen en cyberoorlogsvoering vindt plaats in de cyberspace, een elektronische ruimte die is gecreëerd, onderhouden en eigendom is van publieke en private belanghebbenden.4 Het verschilt met de klassieke oorlogsvoering, omdat de cyberspace niet onderhevig is aan traditionele fysieke grenzen en niet plaats vindt via land, zee, lucht of ruimte.5 Het meest omvattende beginsel onder het internationale recht, het soevereiniteitsbeginsel, bevat het verbod om in te grijpen op het grondgebied van een andere staat zonder toestemming. Hoewel er dus geen bindend verdrag met betrekking op regels over de cyberspace is te vinden, heeft de Verenigde Naties verklaard dat de al bestaande beginselen van internationaal recht wel van toepassing zijn op de cyberspace.6 Van toepassing is dus ook het verbod op geweld.7 Er geldt een hoge drempel over wat wordt verstaan onder geweld. Hoewel cyberoperaties die letsel of de dood veroorzaken bij personen of schade aan objecten kunnen vallen onder het verbod van gebruik van geweld of een gewapende aanval, blijven de meeste cyberoperaties onder deze drempel.8
‘Naast de nieuwe vormen van communicatie en sociale media, ontstaan ook nieuwe vormen van criminaliteit’
‘Bindende wetgeving omtrent cyberspace ontbreekt echter nog’
Stel dat een staat een hackgroep opdracht geeft..
Onder het internationale recht kan een staat aansprakelijk worden gehouden voor het plegen van een onrechtmatige daad op een andere staat. Eveneens kan een staat aansprakelijk worden gehouden voor gedragingen van zijn onderdanen wanneer het op grond van het internationale recht toerekenbaar is aan de staat.9 Indien een hackgroep dus in opdracht van een staat een aanval pleegt op een andere staat en daarbij het internationale recht schendt, kan onder omstandigheden de staat hiervoor aansprakelijk worden gesteld. Gedragingen van overheidsfunctionarissen die deel uit maken van de uitvoerende, wetgevende of rechterlijke macht zijn zonder meer toe te rekenen.10 In de Nicaragua-zaak van het Internationaal Gerechtshof is neergelegd dat een staat ook aansprakelijk kan worden gehouden voor een onrechtmatige gedraging van een persoon die geen ambtelijke taak uitvoert.11 Er moet sprake zijn van effectieve controle: het aansturen of gedwongen worden door de staat. Niet voldoende is enkel het financieren van de hackgroep. Er geldt een hoge drempel voor de attributie van een cyberaanval aan de staat. Bewezen moet namelijk worden dat een staat effectief controle heeft over de hackgroep en dus wezenlijk de hackgroep opdracht heeft gegeven om de aanval uit te voeren.
Tallinn Manual opgesteld door de NAVO
In 2007 vond er een cyberaanval plaats door Rusland op Estland, dit was de eerste keer onder het internationale recht dat er een dergelijke gebeurtenis plaatsvond. Als gevolg hierop riep Estland Artikel 5 van de NAVO in, namelijk dat een aanval tegen één lidstaat een aanval tegen alle lidstaten is.12 Als gevolg op de gebeurtenis is de Tallinn Manual 1.0 en 2.0 opgesteld met het oog op toepassing van het internationale recht bij cyberactiviteiten.13 Dit document is opgesteld door de NAVO Cooperative Cyber Defence Centre of Execellence. Echter, het document heeft geen bindende werking onder het internationale recht waardoor de effectiviteit ervan ontbreekt. De Tallinn Manual spreekt eveneens van aansprakelijkheid van staten bij cyberaanvallen uitgevoerd door staatsorganen.14 Vereist is dus wel effectieve controle over de hackgroep. De enkele omstandigheid dat een cyberactiviteit is gestart of afkomstig is van de overheid of dat een malware die wordt gebruikt bij het hacken informatie terugstuurt naar de cyberinfrastructuur van de overheid is over het algemeen niet genoeg bewijs om de cyberactiviteit toe te wijzen aan de staat.15
Conclusie: dringend bindende actie nodig.
Steeds vaker gebeurt het dat een hackgroep een systeem van een andere staat aanvalt. Door het ontbreken van bindende regelgeving omtrent cyberspace en de hoge drempel van de bestaande verboden van het internationale recht, blijft aansprakelijkheid uit. Een staat kan slechts aansprakelijk worden gehouden indien bewezen kan worden dat zij daadwerkelijk een hackgroep de opdracht heeft gegeven om de cyberaanval uit te voeren. Er moet dringend een bindend internationaal verdrag komen om de snelgroeiende cybercriminaliteit terug te dringen.
‘Bewezen moet worden dat een staat daadwerkelijk een hackgroep de opdracht heeft gegeven om een cyberaanval uit te voeren.’
Juliette Huijsmans