العقاب المفقود:

آليات بناء مساءلة دولية عن الهجمات السيبرانية

19 April 2022


عرض: رشا رفعت

انتشرت الهجمات الإلكترونية أو السيبرانية الخبيثة في الآونة الأخيرة في العالم؛ الأمر الذي يهدد السلم والأمن الدوليين، إذ برزت هذه الهجمات على البنى التحتية في الحرب الروسية – الأوكرانية، فضلاً عن تسريبات أوراق بنما، وواقعة اختراق وكالة أبحاث الإنترنت الروسية، إلى جانب نشر وسائل الإعلام تفاصيل عن منزل الرئيس الروسي فلادمير بوتين الجديد بملايين الدولارات.  

مع توسع هذه الهجمات، بدا التساؤل المطروح، لماذا لا يوجد نظام مساءلة ومحاسبة دولي للحد من هذه الهجمات السيبرانية. هنا، يناقش الباحث جيمس لويس في تقرير نشر مؤخراً في مركز الدراسات الاستراتيجية والدولية (csis) تحت عنوان "تحقيق المساءلة عن مخالفة المعايير الإلكترونية الدولية"، المعايير المطبقة حالياً من قبل منظمة الأمم المتحدة لمواجهة الجرائم السيبرانية، وأبرز التحديات التي تواجه عمليات الإسناد السياسي لها، إلى جانب بعض المقترحات لخلق نظام مساءلة ملزم سياسياً لجميع الدول التي تستخدم الفضاء الإلكتروني. 

علماً بأن التقرير قد حدد في بدايته مفهوم الهجوم الإلكتروني أو السيبراني، بأنه أي نوع من المناورة الهجومية التي تستهدف أنظمة معلومات الكمبيوتر أو البنية التحتية أو شبكات الكمبيوتر أو أجهزة الكمبيوتر الشخصية.

معايير أممية:

وضع الخبراء في منظمة الأمم المتحدة في عام 2015 معايير محددة لمواجهة الهجمات السيبرانية، وتم الاتفاق عليها في عام 2021 بالإجماع من قبل جميع أعضاء دول منظمة الأمم المتحدة، من أجل وضع إطار ملزم سياسياً لجميع الدول التي تستخدم الفضاء الإلكتروني (الإنترنت). من ضمن هذه المعايير أن تتعهد الدول بمنع استخدام الإنترنت في الأعمال التي تهدد أو تضر بالسلم والأمن الدوليين، وعدم السماح عن قصد باستخدام أراضيها في أفعال غير مشروعة. 

هنا، أوضح الباحث أنه منذ عام 2015 أظهرت التجربة الدولية أن الاتفاق على المعايير والقواعد لا يكفي في حد ذاته لتحقيق الأمن السيبراني، بل يجب تطوير استراتيجية دبلوماسية جماعية لمراقبة تنفيذ هذه المعايير، وفرض العقوبات عند تجاوزها.

ومن أوجه القصور في المعايير التي وافقت عليها الأمم المتحدة هو افتقارها إلى القدرة على المساءلة عن الهجمات السيبرانية الخبيثة. فمن الناحية النظرية، يعتبر اتخاذ أي إجراء فعلي مسؤولية المجتمع الدولي الذي يعمل من خلال مجلس الأمن التابع للأمم المتحدة. لكن الواقع يشير إلى أن التوصل إلى اتفاق داخل الأمم المتحدة لمواجهة الأنشطة الإلكترونية الخبيثة أمراً محدوداً للغاية، وذلك لأن المجتمع الدولي يتحرك فقط عندما تستخدم القوة، وهو أمر غير متوفر في الهجمات الإلكترونية، فلم يحدث أن تسبب هجوم إلكتروني في وفاة أحد الأشخاص.

لهذا السبب، يرى الباحث أن قضية الأمن السيبراني لم تُطرح أمام مجلس الأمن الدولي حتى عام 2020، مما يجعلها قضية غير خطيرة في رأى معظم الدول الأعضاء غير المُشاركة بشكلٍ مباشر في الصراع السيبراني. لكن هذا الوضع بدأ يتغير مع زيادة مخاطر الأنشطة الإلكترونية الخبيثة، وتزايد الاعتماد على الشبكات العالمية، وتطور المنافسة بين القوى العظمى.

للتغلب على هذه المشكلة، يرى الباحث ضرورة إعداد قائمة من الإجراءات المتسقة مع القانون الدولي والمعايير المتفق عليها، وذلك من خلال وضع استراتيجية دبلوماسية جماعية من أجل خلق المساءلة الدولية لمواجهة الهجمات الإلكترونية باعتبارها قضايا خطيرة.

تحديات بارزة:

يرى الباحث أن عملية الإسناد ضرورة لخلق المُساءلة الدولية، هنا لا يُقصد الإسناد الجنائي الذي تطلبه المحكمة. إذ يجب أن تكون المعلومات كافية لإقناع صانعي القرار والجمهور المحلي والعالمي على حدٍ سواء بمبررات الرد على أي عمل سيبراني خبيث. وجاء الاقتراح بأن تتولى وكالة دولية قضايا الأمن السيبراني لخلق المساءلة، وفرض العقوبات، مثلما يحدث في الوكالة الدولية للطاقة الذرية التي تستمد سلطتها من معاهدة عدم انتشار الأسلحة النووية، التي تمنحها مهمة وسلطة التحقيق، في حين لا توجد معاهدة مماثلة بشأن الأنشطة السيبرانية.

أشار الباحث إلى وجود عِدة تحديات تواجه إنشاء وكالة دولية محايدة للتحقيق في قضايا الأمن السيبرانى، من أهمها، أن القوى العظمى لن تسمح بوجود آلية متعددة الأطراف للإسناد أو قائمة معينة من العقوبات النسبية حال تسببها في الهجوم الإلكتروني، حيث من المتوقع ألا تتخلى الدول عن سلطتها السيادية لتقرير مصدر الهجوم وطريقة الرد.

تأسيساً على ما سبق، يرى الباحث أن الاقتراح الأكاديمي لإسناد قضايا الأمن السيبراني لكيان مستقل تابع لجهة خارجية لن يحظى بالدعم دولياً. إذ أظهرت المناقشات في هذا الخصوص صعوبة التحقيق مع قوى إلكترونية كبرى مثل، الصين أو الولايات المتحدة لكنها مع ذلك أبدت استعدادها للتحقيق مع عدد قليل من الدول الضعيفة، مثل كوريا الشمالية أو مع مجرمي الإنترنت (إذا كان من الممكن تحديد أنهم لا يتصرفون كوكيل لدولة ما).

أيضاً، من ضمن التحديات التي تواجه المعايير المقدمة عام 2015 أنها تدعو جميع الدول للمشاركة في التحقيق اللازم لتوضيح ملابسات الهجوم الإلكتروني، مما يجعل الإسناد مهمة معقدة، لأنه في حالة وقوع حادث إلكتروني سيتطلب من الدول الإفصاح عن جميع المعلومات ذات الصِلة بالحادث، ومن المتوقع أن تعترض الدول على هذا التدخل.

لذلك كان هناك اقتراح روسي تم تقديمه ينص على أن تكون هناك حدود للاعتراضات المحتملة من الدول المعنية في حالة إسناد حادث إلكتروني إلى دولة بعينها أو توجيه الاتهام لها. وبالطبع، ستنكر الصين وروسيا (أو على الأرجح أي قوة إلكترونية) الاتهام لكن الهدف ليس إقناعهما بقبول الاتهام وإنما إقناع القادة الوطنيين والجمهور العالمي.

 أسئلة الإسناد:

من الضروري إدراك أن الإسناد السياسي ينطوي على تقييم مدى إدانة الدولة، وليس الفرد. لذلك فإن إسناد شؤون الهجمات الإلكترونية إلى وكالة دولية ليس مسألة تقنية فقط لكن سياسية أيضاً، ومن ثم يجب احترام العلاقات الدولية وتجنب سوء الفهم من الدول من أجل توفير المعلومات المطلوبة للإسناد وتدعيم الرغبة والقدرة على معاقبة مصدر الهجوم وزيادة المساءلة في الفضاء الإلكتروني وتفعيل المعايير المتفق عليها دولياً.

وتضمنت معايير 2015 بعض الأسئلة التي يمكن للدولة المتضررة أن تستعين بها لإثبات الإسناد والمسؤولية السياسية، والتي من أبرزها:

• من المشتبه فيه بانتهاك سيادة الدولة، بالحكم على الأفعال والتصريحات العامة؟، ومن المستفيد استراتيجياً من انتهاك السيادة من خلال الهجمات السيبرانية؟

• هل عواقب هذا الانتهاك تدعم المصالح الاستراتيجية لدولة أخرى؟، وهل الهدف من الهجوم السيبراني مكسب سياسي أو عسكري لدولة ما؟ وهل الآثار السلبية للهجوم السيبراني (على سبيل المثال، ما هي البيانات التي تم تسريبها، وما الخدمات التي تم تعطيلها) تشير إلى دولة ما أو جهة تابعة لها؟

• هل الجرائم السيبرانية المشابهة، سواء في الدولة الضحية أو في دول أخرى، تشير إلى دولة معينة باعتبارها الفاعل المسؤول؟، وهل هناك إجراءات مسبقة من جانب الدولة المشتبه بها؟

• هل تعرضت دول أخرى لانتهاكات مماثلة، وهل توصلت لمصدر الانتهاك؟ هل قدم حلفاء أو دول شريكة معلومات داعمة عن مصدر الهجوم السيبراني؟

• هل يبدو هذا الهجوم السيبراني جزء من حملة أكبر؟ وهل توجد مؤشرات تقنية أو بيانات استخباراتية أخرى تشير إلى مرتكب الجريمة؟ وهل هناك معلومات داعمة من الجهات الفاعلة في القطاع الخاص، أو شركات الأمن السيبراني، أو المعلومات الاستخبارية الداعمة من المصادر الوطنية ومن الحلفاء والشركاء؟ هل كانت الأجهزة الوطنية الاستخباراتية دقيقة في التقييمات السابقة للإسناد وتحديد الفاعل؟

يشير الباحث إلى أن الإجابة على هذه الأسئلة قد لا تكون متاحة على الفور حال حدوث هجوم إلكتروني، إلا أن التقارير الاستخباراتية قد تدعم الاستنتاجات حول مصدر الهجوم، وذلك بالإضافة إلى عوامل أخرى، مثل، المؤشرات وأوجه التشابه مع الحوادث الأخرى التي تزيد من احتمال نجاح نظام المساءلة المقترح طبقاً لمعايير 2015. ففي العالم المادي يتم القبض على الجاني متلبساً، لكن الفضاء الإلكتروني بيئة مختلفة بقواعد مختلفة، حيث يكون اليقين المطلق سلعة نادرة في معظم الحوادث السيبرانية، لذلك توفر المعلومات الاستخباراتية درجة عالية من اليقين.

أما فيما يتعلق بالشركات الخاصة مثل شركات FireEye أو Cloudstrike، فلديها حالياً قدرة على كشف مصدر الهجوم السيبراني العدائي. لكن هذا التقدم في تحديد المصدر غير معترف به في المجتمع الدولي، فلا يوجد اتفاق حول مستوى الإسناد المطلوب للعمل التعاوني بين الدول. وقد كانت الحكومات في السابق مترددة في مشاركة التفاصيل الفنية أو التجسسية للإسناد نظراً للطبيعة الحساسة للمعلومات. لكن الآن، يمكن للدول استخدام منصات متعددة الأطراف وإقليمية وثنائية لتبادل ممارسات تحديد المصدر السيبراني وتبادل المعلومات حول إسناد أنواع مختلفة من التهديدات والحوادث المتعلقة بتكنولوجيا المعلومات والاتصالات.

ضوابط المساءلة:

الإسناد هو الخطوة الأولى لتحقيق الأمن السيبراني، لكنه لا يكفي، فقد تعلم الدولة جيداً من هو المسؤول لكنها لا تتخذ أي إجراء فعلي، إذ يتطلب الأمر اتخاذ قرار سياسي من قبل المسؤولين بالدولة. لذلك فإن تحديد طرق يمكن للدول من خلالها فرض عواقب جماعية (مثل الإجراءات المضادة الأكثر تدخلاً وقسراً) سيكون ضرورياً لدعم المساءلة. لذلك يجب التأني – من وجهة نظر الباحث - في تحديد نظام المساءلة، حيث إن الإجراءات السيبرانية لم تحدد الخطوط الفاصلة بين الحرب العسكرية والتجسسية والصراعات السياسية. 

فيما يتعلق بالتدابير الحالية، فلا يمكن التغافل عن بعض الجهود الدولية المبذولة لتحقيق المساءلة، وتحديد شروط العمل الجماعي والاتفاق عليها، مثل، إطار الاستجابة الدبلوماسية السيبرانية في الاتحاد الأوروبي، والقانون الدولي للفضاء السيبراني، والالتزامات التعهدية الأخرى للدفاع الجماعي عن النفس، وأيضاً البيان المشترك الصادر عن وزارة الخارجية الأمريكية في سبتمبر 2019 بشأن تعزيز سلوك الدولة المسؤولة في الفضاء الإلكتروني، إذ اتفقت 28 دولة على العمل معاً على أساس طوعي لمحاسبة الدول عندما تتصرف بشكلٍ مخالف من خلال اتخاذ تدابير شفافة ومتسقة مع القانون الدولي، بهدف توسيع مراعاة معايير 2015 وزيادة الأمن السيبراني. أضف لذلك إلى العقوبات من قبل الاتحاد الأوروبي أو لوائح الاتهام والعقوبات من قبل الولايات المتحدة، لكن حتى الآن لم يتحقق الاستقرار الأمني في الفضاء الإلكتروني.

في الأخير، يرى الباحث أن خلق المساءلة الدولية يتم وفق ثلاث خطوات لتحقيق الأمن السيبراني؛ الأولى، مناقشة خاصة مع الفاعل المهاجم للتحذير صراحة من بعض الإجراءات الانتقامية إذا استمرت الهجمات الإلكترونية الخبيثة. أما الخطوة الثانية، فتتمثل في اتخاذ إجراء وتوضيح أسباب القيام بذلك علناً، بما في ذلك تفصيل الإسناد وشرح سبب اعتبار الرد مناسباً. وتتمثل الخطوة الثالثة والأخيرة في تحذير الخصم بتصعيد الإجراءات إذا لم يكن هناك تغيير في السلوك، والنظر فيما إذا كان سيتم عرض الأمر على مجلس الأمن وهو تصعيد سياسي يُزيد من مخاطر استمرار العمل الخبيث. وسيكون الأساس للقيام بذلك هو الحق المتأصل في الدفاع عن النفس المنصوص عليه في المادة 54 من ميثاق الأمم المتحدة. 

المصدر: 

James Andrew Lewis, Creating Accountability for Global Cyber Norms, Center for Strategic and International Studies (CSIS), February 23, 2022