MSZ definiuje drabinę eskalacyjną w cyberprzestrzeni. Armia ma prawo odpowiedzieć na cyberataki
P rzed ko ń cem 202 2 r . rz ą d przyj ą ł interpretacj ę stosowania prawa mi ę dzynarodowego w cyberprzestrzeni wobec dzia ł a ń takich jak cyberataki. Polska do ł ą cza do grona pa ń stw publikuj ą cych takie stanowiska, m.in. Australii, Holandii czy Francji. B ę d ą c cz ł onkiem UE i NATO, Polska z definicji przyjmowa ł a interpretacje zachodnie. W sytuacji rosyjskiej wojny w Ukrainie polski rz ą d w ko ń cu zdecydowa ł si ę na w ł asn ą i suwerenn ą opini ę . I bardzo dobrze! Ale jak zwykle diabe ł tkwi w szczeg ó ł ach. Polska graniczy z pa ń stwem w trakcie wojny. W tym kontek ś cie stanowisko zawiera wa ż ny i wra ż liwy element, ale niestety tak ż e pewien brak. Zidentyfikowane punkty s ą oparte na czym ś obiektywnym. Na prawie mi ę dzynarodowym, normach, wy ł aniaj ą cych si ę zwyczajach, na prawnych kazusach.
Zaczyna się od zupełnie niekontrowersyjnego stwierdzenia, że prawo międzynarodowe ma zastosowanie do działań w cyberprzestrzeni i państwa są zobowiązane do jego respektowania. Kończy się na możliwości stosowania retorsji za działania nieprzyjazne. Retorsje to środki odwetowe w rodzaju np. sankcji ekonomicznych. Takie instrumenty na porządku dziennym podejmuje blok państw Zachodu: USA, Wielka Brytania, Unia Europejska. Także w odpowiedzi na cyberoperacje wymierzone w Polskę. To nasza polska siła: używać ekonomicznego znaczenia UE, by wywierać wpływ na agresorów. W naszej sprawie UE zastosowała te środki wobec Korei Północnej za cyberataki w 2017 r. obejmujące polski system bankowy.
Stanowisko RP definiuje drabinę eskalacyjną działań w cyberprzestrzeni. Skalę i rangę naruszeń oraz możliwych odpowiedzi. Polska stwierdza, że w cyberprzestrzeni panuje suwerenność państw mówiąca, że są sobie równe. Same decydują o organizacji wewnętrznej, o prawach, zasadach itd. Suwerenność mogłyby naruszać cyberataki wpływające w jakiś sposób na sytuację w kraju, np. działania wobec infrastruktury państwowej (służb policyjnych, medycznych itd.), ale także prywatnej (np. banki). Naruszeniem byłyby poważne cyberataki zakłócające działanie państwa. Jako przykłady podane są: uniemożliwienie funkcjonowania sieci, usług lub systemów podmiotów państwowych, kradzież, usunięcie lub upublicznienie danych należących do tych podmiotów. Zatem także wykradnięcie i upublicznienie korespondencji, np. korespondencji ministra. Pytaniem bez odpowiedzi pozostaje to, czy jedynie z jego skrzynki e-mailowej służbowej, czy też z tej prywatnej? W mojej opinii to bez znaczenia. Liczy się efekt. W takim przypadku kradzież danych polskich urzędników państwowych w jednoznaczny sposób mogłaby mieć wpływ na sytuację wewnętrzną kraju. Można więc traktować takie wydarzenie jako naruszenie suwerenności. Mniej oczywiste jest to, czy takie wycieki przekraczają próg wyższy, tj. czy były naruszeniem zasady „nieinterwencji w sprawy należące do wewnętrznej jurysdykcji państwa”, kolejnej zasady w stanowisku RP. By osiągnąć ten próg, wrogie działanie musiałoby mieć na celu przymuszenie do konkretnych działań. W przypadku wycieku e-maili Dworczyka z publicznie dostępnych informacji nie wiadomo niczego o próbach wywarcia przymusu na organa lub władze państwowe. Jak jednak stwierdza dokument, brak jest uznanej definicji przymusu! Stanowisko podaje też przykłady działań naruszających tę zasadę: działania uniemożliwiające składanie zeznań podatkowych przez internet, ingerencja w systemy uniemożliwiająca rzetelne i terminowe przeprowadzenie wyborów demokratycznych, uniemożliwienie głosowania nad ustawą przez parlament pracujący w trybie zdalnym. To konkrety. Nakreślenie swoistych nieprzekraczalnych czerwonych linii w tak bardzo bezpośredni sposób jest odważne, gdyż może zachęcać agresorów do testowania ich naruszeń. Uważam jednak, że dobrze, że to zrobiono. Państwa muszą zacząć wysuwać konkrety.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.