Overheden worden steeds afhankelijker van digitale technologie, waardoor ze kwetsbaarder zijn voor cyberaanvallen. In 2007, Estland werd aangevallen door pro-Russische hackers die overheidsservers verlamden, ravage aanrichten. Cyberaanvallen in Oekraïne waren gericht op het elektriciteitsnet van het land, terwijl de kerncentrales van Iran besmet waren met malware die tot een kernsmelting had kunnen leiden.

In de VS, president Trump heeft onlangs een "nationale noodtoestand" uitgeroepen om de dreiging van "buitenlandse tegenstanders" voor Amerikaanse computernetwerken te herkennen.

Politiek gemotiveerde cyberaanvallen worden steeds gewoner, maar in tegenstelling tot traditionele oorlogsvoering tussen twee of meer staten, cyberwarfare kan worden gelanceerd door groepen individuen. Soms, de staat is eigenlijk gevangen in het vizier van concurrerende hackgroepen.

Dit betekent niet dat staten zich niet actief voorbereiden op dergelijke aanvallen. Britse defensiefunctionarissen hebben gezegd dat ze bereid zijn cyberaanvallen uit te voeren op het elektriciteitsnet van Moskou. mocht Rusland besluiten een offensief te lanceren.

In de meeste gevallen, cyberoorlogsoperaties zijn op de achtergrond uitgevoerd, ontworpen als schriktactieken of machtsvertoon. Maar de vermenging van traditionele oorlogsvoering en cyberoorlog lijkt onvermijdelijk en een recent incident voegde een nieuwe dimensie toe.

Hoe te reageren op cyberaanvallen

Israëlische strijdkrachten bombardeerden een gebouw dat naar verluidt Hamas-hackers zou huisvesten, nadat ze hadden geprobeerd, volgens de IDF, "Israëlische doelen" online aanvallen. Dit is de eerste keer dat een cyberaanval met fysiek geweld wordt beantwoord door het leger van een staat. Maar wie is de schuldige en hoe moeten staten reageren bij de verdediging tegen cyberaanvallen?

Cyberaanvallen vormen een serieuze uitdaging voor gevestigde wetten van gewapende conflicten. De oorsprong van een aanval bepalen is niet onmogelijk, maar het proces kan weken duren. Zelfs als de oorsprong kan worden bevestigd, het kan moeilijk zijn vast te stellen dat een staat verantwoordelijk was. Dit is met name het geval wanneer cyberoperaties kunnen worden uitgevoerd door hackers in andere landen die hun aanvallen via verschillende rechtsgebieden routeren.

NAVO-experts hebben de kwestie benadrukt in de Tallinn Manual on International Law Applicable to Cyberwarfare. Er is geen consensus over de vraag of een staat verantwoordelijk is voor een cyberaanval afkomstig van zijn netwerken als het niet expliciet op de hoogte was van de aanval. Het niet nemen van passende maatregelen om een ​​aanval door een gaststaat te voorkomen, zou kunnen betekenen dat de slachtofferstaat het recht heeft te reageren door middel van evenredig gebruik van geweld ter zelfverdediging. Maar als er onzekerheid is over wie de schuld heeft van de aanval, elke rechtvaardiging voor een tegenaanval wordt verminderd.

Zelfs als het probleem van toeschrijving is opgelost, het recht van een staat om met geweld te reageren op een cyberaanval zou normaal gesproken verboden zijn. Artikel 2(4) van het VN-Handvest beschermt de territoriale integriteit en politieke structuren van staten tegen aanvallen. Dit kan wettig worden omzeild als een staat kan beweren zichzelf te verdedigen tegen een "gewapende aanval".

Het Internationaal Gerechtshof legt uit:"Het zal nodig zijn onderscheid te maken tussen de meest ernstige vormen van gebruik van geweld (die een gewapende aanval vormen) en andere, minder ernstige vormen."

Dus een cyberaanval zou geweld als zelfverdediging rechtvaardigen als het als een "gewapende aanval" zou kunnen worden beschouwd. Maar is dat mogelijk? Alleen wanneer de "schaal" en het "effect" van een cyberaanval vergelijkbaar zijn met een offline "gewapende aanval", zoals aanvallen die leiden tot doden en wijdverbreide schade aan infrastructuur. Als, zelfverdediging gerechtvaardigd is.

Maar hoe zit het als een cyberaanval met succes is verdedigd? Vervolgens, de effecten ervan kunnen alleen worden geraden. Dit maakt het nog lastiger om een ​​proportionele respons te bepalen. Fysiek geweld dat wordt gebruikt als zelfverdediging nadat de cyberaanval al met succes is verdedigd, kan als onnodig worden beschouwd en daarom onwettig. Een uitzondering, echter, kan worden gemaakt voor een preventieve verdediging tegen een dreigende of mogelijke aanval.

Wanneer zelfverdediging redelijkerwijs noodzakelijk wordt geacht, de aard van de toegestane kracht kan variëren. Evenredige tegenaanvallen met conventionele militaire wapens kunnen volgens internationaal recht een acceptabel antwoord zijn op cyberoperaties.

Deze problemen zijn slechts het begin van de uitdagingen die cyberoorlogsvoering met zich meebrengt, wat ingewikkelder zal worden naarmate de technologie zich ontwikkelt. De intellectuele uitdagingen die dit met zich mee zal brengen, zijn talrijk, maar we kunnen nog steeds niet anders dan bang zijn.

Samenlevingen worden geconfronteerd met potentieel verwoestende gevolgen van cyberoorlogsvoering naarmate we meer afhankelijk worden van informatietechnologieën en communicatienetwerken voor het dagelijks leven - en we beginnen er nog maar net vragen over te stellen.

Dit artikel is opnieuw gepubliceerd vanuit The Conversation onder een Creative Commons-licentie. Lees het originele artikel.