Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
E dolgozat a Lakatos, Köves és Társai Ügyvédi Iroda, az Új Jogtár és az Ars Boni jogi folyóirat által kiírt 2014-es cikkíró-pályázat keretében született, és 20. helyezést ért el.
E kérdésre adott válasz relevanciája igen nagy súlyú a nemzetközi jog területén, hiszen az Egyesült Nemzetek Szervezetének Alapokmánya, az erőszak tilalmának ius cogens szabálya alól kivételként rögzíti, hogy „a jelen Alapokmány egyetlen rendelkezése sem érinti az Egyesült Nemzetek valamelyik tagja ellen irányuló fegyveres támadás esetében az egyéni vagy kollektív önvédelem természetes jogát mindaddig, amíg a Biztonsági Tanács a nemzetközi béke és a biztonság fenntartására szükséges rendszabályokat meg nem tette.” Azonban sem az Alapokmány, sem későbbi dokumentumok nem definiálják a fegyveres támadás fogalmát, amelynek megállapítása a gyakorlatban „… módfelett szubjektív döntésen alapul: ugyanaz a tény, ugyanazon jog alapján, eltérő minősítésekkel illethető.” A döntés szubjektív voltát erősíti, hogy a megtámadott állam állásfoglalása az irányadó, ahhoz nem kell Biztonsági Tanács által elfogadott határozat – amelynek feltétellé tétele az önvédelem lényegét vonná el –, az állam anélkül is megkezdheti az erőszak önvédelmi célú alkalmazását.
E jog gyakorlása az 51. cikk értelmében addig tart „amíg a Biztonsági Tanács a nemzetközi béke és a biztonság fenntartására szükséges rendszabályokat meg nem tette.” Az internet elterjedésének köszönhetően „a globális számítógépes hálózatokban végbemenő kölcsönhatások révén megszületett a kibertér (cyberspace) a kibernetikus világegyetem.” E kibertér rendkívül egyedi és összetett, hiszen nem csak fizikai és földrajzi fogalmakkal írható le, hanem virtuális jellemzői is rendkívüli relevanciával bírnak a meghatározása során. A kibertéren keresztül milliós nagyságú információ áradat halad át egyetlen perc leforgása alatt. „Egyértelműen prognosztizálható: a kibertér rendszerei egyre nagyobbá, gyorsabbá és komplexebbé vállnak,” azonban sebezhetőségük pontosan ebben a komplexitásban rejlik. E sebezhetőség veszélye abban áll, hogy mára már nem csak a magánszemélyek, gazdasági szereplők, hanem az állam alapvető struktúrái, a szociális háló, valamint fegyveres szervei is a kibertér részét képezik. Ennek okán az államot ugyan úgy érheti támadás a kibertérben, mint a hétköznapi értelemben vett valóságban. „Ilyen körülmények között nem csak helyes, hanem egyenesen szükséges is az államok békés kapcsolatait és együttműködését rendező legfontosabb szabályok megvizsgálása, nem azért, hogy azokat megváltoztassák és másokkal helyettesítsék, hanem azért, hogy kibővítse és új szemszögből nézve tisztázzák értelmüket és jelentőségüket a világ gyorsan változó körülményei között.”
Szükséges tehát megvizsgálni, hogy az államot a kibertérben ért támadás esetében is megilleti-e az önvédelem joga és mikor tekinthetjük ezt a támadást fegyveres támadásnak? E kérdések merültek fel 2007 májusában is mikor Észtországot átfogó kibertámadás érte a tallinni második világháborús szovjet emlékmű áthelyezése miatt. Andrus Ansip észt miniszterelnök szerint a balti államot ért kibertámadás célja egy kiberháború szimulálása volt. E cselekmény is sürgetővé tette annak megállapítását, hogy a kibertámadás fegyveres támadásnak minősíthető-e. „Mivel azonban az alapokmány mellőzi a fegyveres támadás kifejezés definiálását, semmi nem zárja ki az önvédelem analógia útján való alkalmazásának lehetőségét.” Ehhez azonban két feltételnek is meg kell felelnie az adott támadásnak:(1) a cselekménynek el kell érnie egy rendkívüli súlyt vagy intenzitást; (2) a támadást elkövető személyek cselekménye valamely másik államnak betudható legyen.
Az első kritérium, vagyis a rendkívüli súly vagy intenzitás a fegyveres támadás szubjektív volta miatt nehezen meghatározható, hiszen egyes államoknál az ingerküszöb biztosan eltérő. Ennek ellenére bizonyos támadások egyértelműen fegyveres támadásként aposztrofálhatók ilyen például egy másik állam területén fekvő település folyamatos és módszeres ágyúzása, polgári légi jármű kritikus infrastruktúrának vezetése (pl. atomerőmű). Sokan vitatják azt, hogy ilyen erejű támadás végrehajtható a kibertérben is. Ahhoz, hogy ezt meg tudjuk cáfolni, át kell tekinteni a kiberhadviselés egyes típusait. A kiberhadviselés – ahogy a tradicionális is – három területre különíthető el: (1) felderítés; (2) támadás; (3) védelem.
A kiberfelderítés, amelynek célja adatbázisban tárolt adat vagy információ megszerzése, nem minősíthető fegyveres támadásnak. Ezt támasztja alá a Tallinn Manual elnevezésű NATO szakértők által elkészített kézikönyv (szakértői vélemény) is, mely szerint hír- és adatszerző tevékenységek nem minősíthetőek fegyveres támadásnak. A kibervédelem esetköre főszabályként szintén nem tartozik a fegyveres támadás fogalmi körébe, hiszen az pontosan az arra adott válaszreakció, amely jogszerűségének alapja az államok ENSZ alapokmányában is rögzített önvédelmi jogosultsága. A kibertámadás szintén több típusú lehet, vannak olyan támadások, amely a kommunikáció megbénítására vagy adat illetve információ hozzáférhetetlenné tételére irányulnak, míg a támadások egy másik csoportjának a célja a pusztítás: vagy magának a rendszernek vagy a rendszer által irányított, felügyelt infrastruktúrának. A kibertámadás ténye azonban önmagában nem elegendő ahhoz, hogy aktiválja egy állam önvédelmi mechanizmusát, annak intenzitása a döntő tényező. Mint korábban is jeleztem nincs elfogadott fogalma a fegyveres támadásnak, azonban az elfogadott, hogy az olyan támadások, amelyek nagyszámú ember életét veszélyeztetik vagy kioltják illetve az infrastruktúrában jelentős kárt okoznak, azokat fegyveres támadásnak lehet tekinteni. Vagyis olyan támadás, amelynek közvetlenül súlyos hatása van az fegyveres támadás. Ilyen eredményű támadás lehet kibertérben az atomerőművek, atomreaktorok elleni támadás, amelyre több példa is volt az elmúlt években: a Blaster-féreg 2003-ban és Stuxnet-vírus 2010-ben.
Erőmű. Védtelenek lehetnek a kibertámadásokkal szemben
A Blaster-féreg 2003. augusztus 14-én az Egyesült Államokban és Kanadában okozott áramszünetet, „mivel a kritikus riasztási rendszerek csődöt mondtak, a First Energy dolgozói nem állították le az eseménysorozatot, mert nem tudták, mi történik.” Közel egy óra leforgása alatt a Blaster a teljes riasztási funkciót működtető fő szerverszámítógépet összeomlasztotta, így a dolgozók nemhogy, azt nem vették észre, hogy veszélyben van a rendszer működése, de azt sem, hogy a rendszerkörülmények megváltoztak. Az esetben az volt a szerencse, hogy a Blaster a megfertőzött gépekben nem végzett rosszindulatú pusztítást, csak felemésztette azok erőforrásait. A Stuxnet vírus az erőművekre közvetlen veszélyt nem jelentett célpontjai az iráni urándúsító berendezések voltak, amelyeket olyannyira hatékonyan támadott, hogy több évvel visszavetette az iráni állam atomprogramját. „A Stuxnet mögötti állami háttér lehetőségét alátámasztja, hogy maga a szoftver igen komplex, szofisztikált kivitelezésű volt, tevékenysége során pedig célzott különbségtételt alkalmazott, egy előre kiválasztott irányító rendszerek köre tekintetében.”
Kevésbé ismert az a 2012-es eset, amikor egy malware vírust jutattak be két Egyesült Államok területén lévő erőmű irányítórendszerébe, amely hozzáfért minden létfontosságú hálózathoz, ismételten szerencse, hogy nem támadó célú volt a cselekmény. Ezen esetek rávilágítanak arra, hogy az erőművek megtámadása kiber eszközökkel nem lehetetlen vállalkozás, a fenti esetek mindegyikében amennyiben pusztítás lett volna az elsődleges cél az meg is valósult volna. Egy atomerőmű elpusztításával járó kibertámadást az államok mindegyike fegyveres támadásnak minősítene, a támadás intenzitása akár azonos is lehet a nukleáris fegyverekével. A Nemzetközi Bíróság 1996. július 8-án az ENSZ Közgyűlésének kérésére tanácsadó véleményében kifejtette, hogy a nukleáris fegyver használata vagy az azzal való fenyegetés, amennyiben az ENSZ Alapokmány 2. cikk 4. bekezdésével ellentétes és nem felel meg az 51. cikkben foglaltaknak akkor jogellenes. Így tehát analógiával élve, az a kibertámadás, amelynek célja és eredménye valamely más állam atomerőművének megsemmisítése, az sérti az alapokmányban rögzített erőszak tilalmának szabályát, tehát jogellenes, így fegyveres támadásnak minősül, amely következtében a megtámadott állam élhet az önvédelem jogával. A kibertámadások egy másik típusa, amelynek a támadáskor kifejtett hatása nem éri el azt a küszöbértéket, amely azt fegyveres támadássá tenné, de a támadás következményei már átléphetik azt a határ, hogy az eredeti támadást annak minősítsék.
Ilyen kibertámadásnak tekinthető az, amely egy állam ivóvízrendszerét, vagy víztisztító rendszerét támadja. E támadás közvetlen hatása, hogy nem működik megfelelően az infrastruktúra, közvetett hatása viszont a szennyezett ivóvíz, amely súlyos következményekkel járhat a polgári lakosság körében. Ilyen támadás érte Haifa ivóvízrendszerét is. Egy ilyen típusú támadás akár több tízezer polgári személy halálát is eredményezheti, sőt a hálózat méretétől függően milliós nagyságú áldozatokkal is járhat. Egy ilyen támadás estén analógia vonható a biológiai támadással vagy vegyi támadással. Mivel mindkét harcászati mód a nemzetközi közösség jelentős része által tilalmazott multilaterális egyezmények útján, ezért ennek okán az ilyen támadás fegyveres támadásnak minősíthető akár csekély számú áldozat esetén is.
Egy állam kommunikációs hálózatát megbénító támadások szintén a közvetlen veszélyt jelentő támadások közé sorolandók, hiszen egy olyan támadás – amit az Egyesült Államokban szimuláltak –, amely során „a megtámadott ország vezetési rendszere és az ország működőképessége kettő-négy nap alatt összeomlott” a közrend felbomlását eredményezi. A megtámadott ország anarchiába süllyed, a szociális hálózata pedig összeomlik. Az eredmény kialakulását elősegíti, hogy a támadás „(…) bizalmatlanságot kelt a rendszeresített eszközöket üzemeltető saját szoftverek irányában, a kiszámíthatatlanság keltésével, a biztonságérzet csökkentésével pedig komoly bizonytalanságot is eredményez.” Hasonló támadás érte 2007-ben Észtországot, amely támadás még nem volt kellően intenzív és hosszantartó a fenti eredmény eléréséhez, azonban előre jelezte az ilyen típusú támadások szisztémáját. A kormányzati szervek megbénításával egyidejűleg, a bankhálózat, a rendőrségi kommunikáció és ezt követően a polgári kommunikációs rendszerek teljes megbénítását. Nem előrelátható, hogy egy ilyen volumenű támadás milyen infrastrukturális és humanitárius károkat okozna a gazdasági és politikai következményeken túl. Annak a lehetősége is fennáll, hogy egy ilyen támadás esetén a megtámadott állam nem is lenne képes az önvédelmi jogának gyakorlására. A fegyveres támadás megállapításához szintén elengedhetetlenül szükséges hogy, a támadást elkövető személyek cselekménye valamely másik államnak betudható legyen.
|
Titkos adatgyűjtés a büntetőeljárásban |
|---|
Kis László kötete a büntetőeljárás egy nagyon vékony, ám annál szerteágazóbb kérdésének, a titkos adatgyűjtésnek próbálja felfedni minden vonulatát. |
Nyilvánvalóan betudható egy másik államnak saját nemzetbiztonsági szolgálata vagy fegyveres erejének tagjai által elkövetett cselekmény. Az államhoz szervezetileg nem kapcsolódó egyének vagy csoportok esetében viszont már kérdéses, hogy azok cselekménye mikor tudható be az államnak. A Nemzetközi Bíróság Nicaragua-ügyben hozott ítéletében még a tényleges ellenőrzést (effective control) tette szükségessé, míg a volt Jugoszlávia területén történt humanitárius jogot sértő cselekmények feltárására felállított nemzetközi törvényszék szerint már elegendő az állam általános ellenőrzése (overall control) is. A Nemzetközi Jogi Bizottság véleménye szerint az ellenőrzés kívánt mértékét esetről esetre annak sajátosságait vizsgálva kell megállapítani. „Az állam felelősségének megállapítása tehát az előkészítés részleteinek pontos ismeretét feltételezi.” Annak megállapítása a kibertérben, hogy ki az elkövető és kinek az ellenőrzése alatt követte el a cselekményt jóval nehezebb, mint a tradicionális támadások esetén, hiszen a kibertér nagyfokú anonimitást biztosít az elkövetőknek. Így volt az Észtországot ért támadáskor és a Stuxnet-vírus esetében is. Az államok közvetve tudták csak bizonyítani, hogy az Észtországot ért támadás mögött Oroszország, míg Iránt ért támadás mögött pedig Izrael állt.
A fegyveres támadásnak minősítéshez azonban közvetlen bizonyítékok szükségesek. E probléma megoldást jelentheti a Kínában már alkalmazott új internet protokoll használata (IPv6), ezen új generációs internet „egyik legfontosabb eleme egy biztonsági intézkedés lesz, amit SAVA néven emlegetnek. A betűszó a Source Address Validation Architecture (forrásazonosító architektúra) ez a rendszer a hálózatra csatlakozó számítógépek IP címének azonosítását végzi, és ezek alapján adatbázist épít, amiben a számítógép és az IP cím egyaránt szerepel. Ha az azonosítás során a számítógép vagy az IP cím nem egyezik, a hálózat megtagadja az adatcsomagok továbbítását.” Ezen rendszer tehát alkalmas lehet a támadó azonosítására, azonban probléma, hogy míg Kína már az IPv6 internetes protokoll generációt alkalmazza, addig a világ többi részén még az IPv4-et, így jelenleg csak az ázsiai ország rendelkezik a támadó azonosítására alkalmas rendszerrel. További lehetőséget jelenthet a back- tracing eszközök fejlesztése, amelyek csökkentik a kibertér által nyújtott anonimitást, hiszen egyre jobban visszakövethetővé teszik a kibertérben elkövetett támadásokat.
Összegezve tehát, a kibertámadás csak akkor minősülhet fegyveres támadásnak, ha annak, kibertéren kívüli fizikai eredménye van – legyen az atomerőmű vagy kritikus infrastruktúra megsemmisítése, vagy akár az állam működésének ellehetetlenítése – amely elér egy ehhez kellő intenzitást (nagyszámú ember életét veszélyeztetik vagy kioltják illetve az infrastruktúrában jelentős kárt okoznak) és betudható egy másik államnak. E betudhatóság értelmezése a nemzetközi joggyakorlatban eltérő (tényleges ellenőrzés [effective control], általános ellenőrzés [overall control]), azonban ma egyes terrorista szervezetek államhoz köthetősége miatt az általános ellenőrzés kritériumának alkalmazása a célszerű.
A tanulmány szerzője: Kelemen Roland
| Források, felhasznált irodalom |
|---|
| [1.] ENSZ Alapokmány, 51. cikk. Kihirdette: 1956. évi I. törvény az Egyesült Nemzetek Alapokmánya törvénybe iktatásáról. [2.] SULYOK GÁBOR: Az egyéni vagy kollektív önvédelem joga az Észak-Atlanti Szerződés 5. cikkének tükrében, in. Állam és Jogtudomány 2002/1-2. szám, 108. o. [3.] NAGY KÁROLY: Titok és biztonság az információs társadalomban, in. Belügyi Szemle 1999/4-5. szám, 173. o. [4.] BABOS TIBOR: „Globális közös terek” a NATO-ban, in. Nemzet és biztonság 2011/3. szám, 42. o. [5.] HERCZEGH GÉZA: Az erőszakkal való fenyegetésnek és az erőszak alkalmazásának tilalma a mai nemzetközi jogban, in. Állam és Jogtudomány 1963/3. szám, 360. o. [6.] SULYOK GÁBOR: A terrorcselekmény elkövetéséhez használt polgári légi jármű lelövésének nemzetközi jogi és alkotmányjogi megítélése, in. Fundamentum 2005/3. szám, 34. o. [7.] SCHMITT, MICHAEL N.: Tallinn Manual on International Law applicable to cyber warfare, Cambridge, Cambridge University Press, 2013, 55. o. [8.] SCHMITT, MICHAEL N: i.m. (2013) 55. o. [9.] SCHNEIER, BRUCE: Schnier a biztonságról, Budapest, HVG Kiadó, 2010, 144. o. [10.] LATTMANN TAMÁS: A nemzetközi jog lehetséges szerepe az informatikai hadviselés területén, in. CSAPÓ ZSUZSANNA (szerk.): Emlékkötet Herczegh Géza születésének 85. évfordulójára – A ius in bello fejlődése és mai problémái, Pécs, Kódex Nyomda, 2013, 211. o. [11.] LEWIS, JAMES ANDREW: Incidensek a kibertérben, 17. o. http://www.biztonsagpolitika.hu/Incidensek _a_kiberterben_biztonsagpolitika.hu.pdf (letöltve: 2014.03.27.) [12.] Legality of the threat or use of nuclear weapons, Advisory opinion of 8 July 1996, I. C. J. Reports 1996, 266., para 105. (2) C. [13.] PIRKER, BENEDIKT: Territorial Sovereiguty and Integrity and the Challenges of Cyberspace, in. ZIOLKOWSKI , KATHARINA (szerk.): Peacetime Regime for State Activities in Cybersp ace International Law, International Relations and Diplomacy, Tallinn, NATO CCD COE Publication, 2013, 56. o. [14.] HAIG ZSOLT – KOVÁCS LÁSZLÓ: Fenyegetések a cybertérből, in. Nemzet és biztonság 2008/5. szám, 67. o. [15.] LATTMANN TAMÁS: i. m. (2013), 212. o. [16.] Case concerning Military and Paramilitary Activities in and against Nicaragua (Nicaragua versus United States of America), Judgement of 27 June 1986, I.C.J. Reports 1986, 64-65, para. 115. [17.] Prosecutor versus Dusko Tadic, Judgement, Appeals Chamber, Case No. IT-94-1, 15 July 1999, para. 145. [18.] SULYOK GÁBOR: i.m. (2005), 35. o. [19.] ORBÓK ÁKOS: i.m. (2013), 5. o. [20.] MAUNO PIHELGAS: BACK-TRACING AND ANONYMITY IN CYBERSPACE, IN. ZIOLKOWSKI, KATHARINA (SZERK.): PEACETIME REGIME FOR STATE ACTIVITIES IN CYBERSP ACE INTERNATIONAL LAW, INTERNATIONAL RELATIONS AND DIPLOMACY, TALLINN, NATO CCD COE PUBLICATION, 2013, 58. O. |
