جرائم سایبری نفتی و مسئولیت دولت‌ها در قبال حملات سایبری

حمیدرضا آقابابائیان‌، وکیل پایه‌یک‌ دادگستری در یادداشتی در روزنامه شرق نوشت: در چند روز اخیر هک داده‌های نرم‌افزاری پمپ‌بنزین‌های سراسر کشور و قطع امکان سوخت‌گیری برای خودروها و احتمال وقوع «حمله سایبری» به تیتر اول همه خبرگزارهای داخلی و خارجی تبدیل شده است. صرف‌نظر از صحت‌و‌سقم و ابعاد و مشخصات این حمله تروریستی که نگارنده از بدافزارهای آن اطلاعی ندارد، از منظر حقوق بین‌الملل «جرائم سایبری» گونه‌ای از جرائم اینترنتی و شامل جرم‌هایی است که در محیط سایبری رخ می‌دهد. «محیط سایبری» محیطی مجازی است که کاربران آن می‌توانند به هرگونه خدمات و اطلاعات الکترونیکی در سراسر دنیا دست یابند. مجرمان محیط سایبری شامل «هکرها»، «کرکرها» و «فریک»های تلفن بوده و انواع جرم‌های ممکن در این فضا، سایبرکرایم و تروریسم سایبر خوانده می‌شوند. با این وصف از منظر حقوق بین‌الملل جرم سایبری هر فعل یا ترک فعلی است که از طریق یا به کمک سیستم‌های کامپیوتری انجام شود و قانون‌گذار بین‌المللی برای آن مجازات تعیین کرده است که شامل سه دسته جرائم کامپیوتر و تجهیزات کامپیوتری، موضوع جرائم سنتی مثل سرقت، تخریب تجهیزات و دسته دیگر کامپیوتر وسیله و ابزار ارتکاب جرم است و از آن برای جعل مدرک، گواهینامه و... استفاده می‌شود. سومی جرائم محض است، یعنی جرائمی مانند هک یا ویروسی‌کردن که صرفا در فضای سایبر (مجازی) از طریق حملات سایبری رخ می‌دهد. بنابراین حملات سایبری از طریق جرائم سایبری به‌عنوان یکی از جلوه‌های نوین مداخلات سایبری مورد شناسایی دولت‌هاست. حملات سایبری اقداماتی است که از سوی یک دولت برای هدف قرار‌دادن زیرساخت‌های اساسی یک دولت ازجمله سیستم بانکی،‌ انرژی و حمل‌ونقل عمومی که به شبکه رایانه‌ای متصل هستند، صورت می‌پذیرد. اما سؤال این است: ۱- حملات سایبری اگر مصداقی از تجاوز یا توسل به زور محسوب نشوند، می‌تواند به‌عنوان مداخله در امور داخلی دولت‌ها تلقی شود؟ ۲- آیا دولت‌ها مسئولیتی در قبال چنین حملاتی در حقوق بین‌الملل داشته و مسئولیت آنها در جبران خسارات وارده بر چه مبنایی مبتنی‌ است؟ ۳- آیا حملات سایبری قابل انتساب به دولتی معین هستند؟ با چه معیاری؟ ۴- آیا چنین حملاتی می‌توانند موجد عنوان حمله مسلحانه و موجبی برای حق دفاع مشروع از خود مندرج در ماده 51 منشور باشد؟

۵- آیا دولت‌های ثالث که به‌طور غیرمستقیم از حملات سایبری صدمه دیده‌اند نیز می‌توانند بنا بر قواعد حقوق بین‌الملل طرف دعوای خسارت قرار گیرند، عملکرد دولت یک تخلف بین‌المللی تلقی شود؟ مفاهیم مرتبط با حملات و جرائم‌ در فضای سایبری از منظر حقوق بین‌الملل با دشواری‌های مختلفی روبه‌رو است. بااین‌حال، برای پذیرش مسئولیت دولت‌ها در قبال حملات سایبری با وام‌گیری از قواعد حقوقی موجود در این زمینه، می‌توان این مسئولیت را از دو منظر بررسی کرد. «نظام مسئولیت بین‌المللی دولت برای اعمال متخلفانه» و نظریه «مسئولیت بین‌المللی دولت‌ها در قبال اعمال منع‌نشده» دو رویکردی هستند که در پرتو آنها مسئولیت دولت‌ها در قبال حملات سایبری بررسی و تبیین شده است. حملات سایبری اقداماتی است که از سوی یک دولت برای هدف قرار‌دادن زیرساخت‌های اساسی یک دولت از جمله سیستم بانکی، انرژی و حمل‌ونقل عمومی که به شبکه رایانه‌ای متصل هستند، صورت می‌پذیرد. حملات سایبری اگر مصداقی از تجاوز با توسل به زور محسوب نشود، می‌تواند به‌عنوان مداخله در امور داخلی دولت یک تخلف بین‌المللی تلقی شود. یگانه مستند جامع بین‌المللی در رابطه‌با مسئولیت بین‌المللی دولت‌ها در قبال اعمال متخلفانه بین‌المللی که از سوی کمیسیون حقوق بین‌الملل تصویب شد، «طرح ۲۰۰۱ کمیسیون حقوق بین‌الملل» است که با اینکه هنوز به تصویب مجمع عمومی نرسیده و برای دولت‌ها جز در موارد عرفی الزا‌م‌آور نیست، اما به دلیل فقدان سنت حقوقی لازم‌الاجرا مانند معاهده، از این سند برای مسئول‌شناختن دولت‌ها استمداد جسته می‌شود و اصول آن دستورالعمل‌های مناسبی را در اختیار فعالان این حوزه به دست می‌دهد در این راستا، مسئولیت بین‌المللی دولت در قبال حمله سایبری در درجه اول منوط به «توصیف» آن به‌عنوان عمل متخلفانه بین‌المللی و در درجه بعد «انتساب» آن به یک دولت مشخص است توسل به زور، حمله مسلحانه و تجاوز از جمله اصطلاحاتی هستند که از آنها در منشور و اسناد بین‌المللی دیگر تعریفی ارائه نشده است، این خلأ سبب شده در تبیین و تعریف این اصطلاحات در هنگام بروز تهدیدات نوپدید، آزادی‌های عمل بیشتری وجود داشته و با توسیع آنها بتوان دولت را در قبال نقض آنها از طریق فضای سایبر مسئول شناخت، دیوان بین‌المللی دادگستری در قضیه نیکاراگوئه به این مسئله پرداخته که بین اشکال شدید با توسل به زور و شکل‌های با شدت کمتر تفاوت اساسی وجود دارد، همچنین در قضیه مشروعیت توسل به سلاح‌های هسته‌ای متذکر شده که ماده ۵۱ منشور به سلاح خاصی اشاره ندارد.

بنابراین اگر به دنبال مهم‌ترین هدف منشور سازمان ملل یعنی حفظ صلح و امنیت بین‌المللی باشیم، ویروس ارسالی به پمپ‌بنزین‌ها از فضای سایبر در قالب حمله سایبری را می‌توان سلاح بدیعی با قدرت تخریبی بالاتر از سلاح‌های سنتی دانست که در اندک زمان و با صرف کمترین هزینه می‌تواند این هدف را تهدید کند. به‌این‌ترتیب این حمله را می‌توان حائز کیفیات لازم برای بدل‌شدن به توسل به زور، حمله مسلحانه و حتی تجاوز دانست. پس از توصیف حمله و اثبات جرم قدم بعدی برای استناد به مسئولیت دولت‌های متجاوز راجع به پمپ‌بنزین‌ها، بحث انتساب حمله سایبری به دولت مشخصی است. مشکل عمده به این مسئله برمی‌گردد که امروزه دولت‌ها دخالت خود در حمله را انکار کرده و معمولا مدعی‌‌اند که این حملات از سوی گروه‌هایی که وابستگی به آنها نداشته، صورت می‌گیرند. طرح مسئولیت بین‌المللی دولت‌ها در قبال اعمال متخلفانه بین‌المللی، رفتار قابل انتساب به دولت را رفتار ارگان‌های آن یا رفتار اشخاصی می‌داند که تحت هدایت یا کنترل آن عمل کرده‌اند. در انتساب حملات سایبری صورت‌گرفته از سوی نیروهای دولتی به دولت تردیدی وجود ندارد، به‌ویژه آنکه امروزه بسیاری از دولت‌ها در ساختار نیروهای ارتشی خود یگان‌های سایبری تشکیل داده‌اند. اما برای انتساب حملات صورت‌گرفته ازسوی اشخاص یا گروه‌های غیر‌دولتی باید «کنترل» دولت را بر این بازیگران غیر‌دولتی اثبات کرد. عدم تعریف معیار کنترل در طرح کمیسیون، موجب طرح آستانه‌های متفاوتی در رویه قضائی بین‌المللی شده است. در مقایسه با معیار «کنترل مؤثر» که نیازمند اثبات وابستگی بالایی بین دولت و شخص یا گروه غیردولتی است، معیار «کنترل کلی» که صرف نقش دولت در سازماندهی و برنامه‌ریزی عملیات را برای ایجاد این سطح از کنترل کافی می‌داند، برای انتساب حمله سایبری به دولت پشتیبان مناسب به نظر می‌رساند. از طرفی حتی اگر در مسیری که حمله سایبری طراحی شده از ساختارهای اینترنتی موجود در سرزمین یک دولت موجب وارد‌آمدن صدمه به دولت‌های دیگر نشود نیز عدم اعمال کوشش مقتضی دولت مبدأ حمله می‌تواند مبنای دیگری برای انتساب این حملات به شمار آید. چالش بعدی به واکنش دولت ایران به‌عنوان قربانی حمله سایبری در پاسخ به آن مربوط می‌شود. در میان مجموعه سازوکارهای موجود، رجوع به دیوان بین‌المللی دادگستری و طرح دعوا علیه دولت مسئول یکی از گزینه‌های پیش‌روی دولت ایران محسوب می‌شود. مانع احتمالی این راهکار، فقدان صلاحیت اجباری دیوان و نیاز به توافق دولت‌های درگیر برای ارجاع دعوای خود به دیوان است. رجوع به شورای امنیت و توسل به اقدامات متقابل غیرنظامی از دیگر گزینه‌های انتخابی دولت قربانی است، همچنین در این میان می‌توان به «دفاع مشروع» به‌عنوان برترین ابزار حقوقی دفاعی کشور در مقابل تهدیدات سایبری علیه آن نیز اشاره کرد که البته این گزینه مستلزم پیش‌شرط‌هایی است. مقدم‌بودن وقوع حمله مسلحانه و همچنین رعایت اصول تناسب، ضرورت و فوریت در پاسخ دفاعی مشروع سبب می‌شود دولت قربانی فرصت کمتری در به‌کارگیری دفاع مناسب از خود در برابر حمله سایبری داشته باشد. به نظر می‌رسد که پاسخ سایبری متقابل کم‌چالش‌ترین واکنش دولت بوده که آن‌هم نیازمند وجود دانش لازم در این زمینه است. از سوی دیگر با آنکه حمله سایبری باوجود توان بالای نابودسازی زیرساخت‌های حیاتی یک کشور هنوز هم یک عمل منع‌نشده در سطح بین‌المللی به‌شمار می‌آید، بااین‌حال می‌توان با رجوع به قواعد طرح ۲۰۰۱ کمیسیون حقوق بین‌الملل در پیشگیری از زیان‌های فرامرزی ناشی از اعمال منع‌نشده و همچنین طرح ۲۰۰۶ آن درخصوص اصول تخصیص ضرر، به ابزار مناسبی برای پیشگیری و جبران خسارت ناشی از این حملات بر قربانیان دست یافت. در این راستا، این وظیفه دولت است که از طریق راهکارهایی مانند اعطای مجوز، نظارت و کنترل بر آن و تبادل اطلاعات و اعلام خطرات احتمالی، زمینه‌ها و فرصت‌های ایراد خسارت را تا آنجا که ممکن است خنثی سازد و علاوه بر وظیفه دولت‌ها در پیشگیری از حمله سایبری، برای جبران خسارت نیز مسئولیت اصلی بر عهده متصدی فعالیت خطرناک بوده که به مسئولیت دولت مبدأ جلوه‌ای مکمل می‌دهند. با‌این‌حال، از آنجا که دولت‌ها در پذیرفتن مسئولیت اعمال منع‌شده طراحی‌شده از سرزمین‌شان اکراه دارند، این امر سبب می‌شود که تنها مسئولیت تکمیلی با تضمینی را در قبال خسارت‌های وارده در اثر بی‌مبالاتی و اهمال متصدیان بپذیرند. در تبیین وضعیت دولت ایران به‌عنوان یکی از دولت‌های زیان‌دیده از حملات سایبری نیز باید گفت ‌چنانچه این حملات در تناقضی با تعهدات جمعی دولت‌ها یا به عبارت ‌دیگر در تعارض با منافع جامعه جهانی باشد، سایر دولت‌ها غیر از دولت قربانی نیز محق به طرح دعوای مسئولیت دولت پشتیبان حمله می‌شوند. به هر صورت باوجود خلأهای موجود در حقوق بین‌الملل برای مقابله مؤثر با خطرات روزافزون ناشی از حملات سایبری می‌توان با استمداد از قواعد انسجام‌یافته حقوقی درباره مسئولیت دولت‌ها مبنای مستحکمی را در این خصوص یافت.

آنچه‌ از مجموع مباحث به دست می‌آید، این است که تا زمانی که جامعه جهانی موفق به قاعده‌مند‌کردن فعالیت‌های دولت‌ها در فضای سایبر نشود، کنوانسیون جرائم سایبری مصوب ۲۰۰۱ شورای اروپا، جامع‌ترین سندی است که می‌تواند نقش یک الگو را در برخورد و واکنش نسبت به حملات سایبری بازی کند تا بتوان با رجوع به راهکارهای آن در این مسیر تا‌حدودی بر خلأها و چالش‌های حقوقی بین‌المللی موجود در این زمینه فائق آمد. در مقام نتیجه و پاسخ‌گویی مختصر به سؤالات مطرح‌شده درخصوص نحوه اقدام دولت در مراجع بین‌المللی درخصوص حمله سایبری به زیرساخت‌های نفتی کشور از طریق هک ‌داده‌های پمپ‌ بنزین‌ها باید گفت: اول- درخصوص حملات سایبری معاهده خاصی وجود ندارد‌ اما می‌توان با تفسیر قواعد موجود، مبنایی برای مسئولیت دولت‌های مرتکب این حملات یافت. با تسری مقررات طرح‌های کمیسیون حقوق بین‌الملل درخصوص مسئولیت بین‌المللی دولت‌ها و مسئولیت دولت‌ها در قبال اعمال منع‌نشده می‌توان این دولت‌ها را در قبال خسارات وارده مسئول شناخت. دوم- حمله به سیستم‌های رایانه‌ای تأسیسات نفتی کشور، برای دولت حمله‌کننده در صورت انتساب مسئولیت‌زاست‌ و برای انتساب یک حمله سایبری به دولت، معیار کنترل کلی، معیار مناسب‌تری برای طرح دعوا در نظر گرفته می‌شود. سوم- امکان دفاع مشروع در قبال این حمله تروریستی با شناسایی و اقدام فوری حمله‌کننده در صورت وجود شرایط آن وجود دارد. چهارم- چنانچه اثرات ناشی از حمله سایبری، موجب وارد‌آمدن صدمه به منافع و حقوق دولت‌هایی غیر از دولت هدف کشور ایران حمله خاصه کشورهای صادرشونده بنزین شود، می‌توان آنها را هم ذی‌نفع و محق در طرح دعوای مسئولیت دانست‌ که ان‌شاءالله با شناسایی، توصیف و... با اقدام‌فوری و متقابل از راه‌های مقتضی حقوقی و دفاع مشروع نسبت‌به پاسخ‌گویی آن اقدام شود.