Verdrag over cyberoorlogen

Gedragscode cyberoorlogen

Wat zou een Verdrag van Genève over cyberoorlogen moeten voorzien? 

Philippe Jacques, onderzoeksassistent en doctoraalstudent in internationaal humanitair recht (IHR) aan de UCLouvain : "Eerst moeten we een onderscheid maken tussen enerzijds cyberaanvallen in periodes van gewapende conflicten of die een gewapend conflict kunnen teweegbrengen, en anderzijds kwaadwillige cyberhandelingen in vredestijd. Het concept “cyberoorlog” is in ons gemeenschappelijk taalgebruik dus erg ruim. Zo’n verdrag zou zich moeten inspireren op het Handboek van Tallinn dat werd opgestart naar aanleiding van een cyberaanval tegen Estland door Rusland in 2007.

In die periode richtte de NAVO een centrum op dat is gespecialiseerd in cyberoorlogen. De organisatie vaardigde ook een gedragscode uit met betrekking tot de toepassing van het internationaal recht op cyberoorlogen. Versie 1.0 van deze gedragscode had betrekking op cyberaanvallen in situaties van gewapende conflicten. Versie 2.0 omvat ook cyberhandelingen in vredestijd. Deze gedragscode van ongeveer 650 pagina’s bevat 158 regels, namelijk over de toewijzing van de verantwoordelijkheid van de lidstaten, de rechtspraak, het verbod op interventie in binnenlandse aangelegenheden van de lidstaten, enz. 

Het gaat zeker niet om een verdrag aangezien het deskundigen zijn die deze gedragscode opstelden, en die zijn vaak erg westers gericht omdat het initiatief grotendeels op het conto van de NAVO is te schrijven. Om van een echt verdrag te kunnen spreken, zou het akkoord nodig zijn van alle landen.

Bovendien dekt deze gedragscode niet noodzakelijk de strategische belangen van alle landen. Het gaat uiteraard om een constructieve stap die een juridisch vacuüm invult, maar de uitwerking van een nieuw verdrag houdt een erg politiek aspect in. En politiek betekent dat er eventuele veto’s worden uitgesproken, zoals het geval was voor verschillende bepalingen uit de Verdragen van Genève van 1949, namelijk door grote landen zoals de Verenigde Staten of Rusland."

Wie zou het initiatief tot zo’n verdrag moeten nemen? 

"De Verenigde Naties in het algemeen en meer specifiek het Office for Disarmament Affairs of Bureau voor Ontwapeningszaken (UNODA) hebben al bijgedragen aan de redactie van verschillende verdragen over de regelgeving voor wapens, met name tegen het gebruik van kernwapens. Dit bureau organiseert discussies tussen overheidsdeskundigen die de strategieën van de verschillende landen beheren. In dit stadium bestaat er een akkoord over de grote principes, namelijk de toepassing van het internationaal humanitair recht op cyberoorlogen, maar de toepassingsmodaliteiten moeten nog worden bepaald.

Van zijn kant heeft de Veiligheidsraad van de VN de kwestie aangekaart in 2021. Zijn rapport bevestigt het belang dat alle landen toekennen aan de problematiek van de cyberoorlog, ook al betwijfelen sommige landen – waaronder Rusland – of het internationaal recht van toepassing is op cyberoorlogen. Met andere woorden, iedereen lijkt het eens te zijn over de grote principes, maar we staan nog ver af van een verdrag. Kortom, in deze fase zijn de landen slechts bereid om erg informele en voorwaardelijke facultatieve gedragsregels aan te nemen. 

Het Internationaal Comité van het Rode Kruis (ICRC), dat veel ervaring heeft met gewapende conflicten en aan de oorsprong ligt van de Verdragen van Genève), is op zijn beurt een ernstige piste. Het lijkt er echter op dat er nog geen raadplegingsproces werd opgestart om een nieuw ontwerp van verdrag uit te werken. Het Rode Kruis moet echter zeker geraadpleegd worden, net zoals bijvoorbeeld een onderneming als Microsoft die een feitelijk monopolie op de markt heeft."

Internationaal recht

Hoe kan je zo’n verdrag laten toepassen/naleven?  

"Dat is een rechtstheoretische vraag: waarom respecteren landen het internationaal recht? Het grote probleem met internationaal recht is dat de landen tegelijk normen in het leven roepen en onderworpen worden aan diezelfde normen. Ze moeten dus het recht definiëren dat ze op zichzelf toepassen. Alles is een kwestie van instemming met en acceptatie van de naleving van dat recht. Om specialist Louis Henkin te citeren: “De meeste landen respecteren meestal het merendeel van hun verplichtingen.” Het internationaal recht blijft dus een referentiekader waarbinnen landen hun gelijken kunnen beoordelen. 

Een ander probleem heeft te maken met het feit dat het gaat om cyberaanvallen en dat het bijgevolg moeilijk is om eerst het type aanval te identificeren en vervolgens de auteur van de aanval. Bovendien ontkent de auteur van de aanval in kwestie meestal de feiten. Om nog te zwijgen van eventuele represailles bij aangifte."

Hoe zit het met eventuele sancties? 

"Idealiter en in het algemeen belang zouden we de sancties van het “klassieke” systeem van staatsverantwoordelijkheid kunnen aanpassen, evenals strafrechtelijke sancties tegen individuen in het geval van cybercriminaliteit. Maar ook hier moeten de landen een systeem van sancties aanvaarden waarvan ze zelf of hun ingezetenen het slachtoffer kunnen worden. Zoals we hebben gezien met het Internationaal Strafhof zijn landen soms onwillig en beschermen ze hun eigen belangen."

Zouden we een cyberoorlog kunnen voorkomen dankzij zo’n verdrag? 

"Opnieuw moeten we een onderscheid maken tussen cyberaanvallen tijdens gewapende conflicten en cyberhandelingen in vredestijd.

Bij een gewapend conflict hebben de Verdragen van Genève en het IHR (of ‘jus in bello’) nooit als doel gehad om oorlog te voorkomen, maar wel om de gevolgen ervan te beperken voor mensen die erdoor worden getroffen. De kwestie van het verbod op het gebruik van geweld valt onder het ‘jus ad bellum’, dat vandaag is vastgelegd in het Charter van de Verenigde Naties. Beide kwesties staan volledig los van elkaar om de door het IHR voorziene beschermingen te vrijwaren.

Tijdens gewapende conflicten zou een “cyberverdrag” dus geen cyberoorlog verbieden, maar zou het de schade voor de burgerbevolking kunnen beperken.

In vredestijd zou zo’n verdrag daarentegen een referentiekader kunnen vormen voor de landen om ieders verantwoordelijkheid te bepalen, wat een zeker ontradend karakter zou hebben.

Ik voeg eraan toe dat het nooit te laat is om het eens te worden over zo’n verdrag, ook als dat ingewikkeld lijkt. In de beste van alle werelden zou dit type cyberverdrag op rechtsniveau schade en kwaadwillige handelingen kunnen beperken. Maar in het licht van de internationale relaties en de huidige geopolitieke context zou het moeilijk liggen, ook al bestaat er reeds sinds 2015 een internationaal verdrag over industriële spionage tussen China en de Verenigde Staten. Idealiter hadden we een cyberverdrag moeten sluiten vooraleer we toegang kregen tot het integrale spectrum van destructieve capaciteit, zoals dat het geval was met het Ruimteverdrag van 1967 dat elk militair gebruik van de ruimte verbiedt."