Cyberaanvallen zijn zelden uit de krantenkoppen. We weten dat statelijke actoren, terroristen en criminelen cybermiddelen kunnen gebruiken om de digitale infrastructuren van onze samenlevingen aan te vallen. We hebben ook geleerd dat, voor zover onze samenlevingen afhankelijk worden van digitale technologieën, ze kwetsbaarder worden voor cyberaanvallen.

Er is geen gebrek aan voorbeelden, variërend van de aanvallen van 2007 op de digitale diensten van Estland en de cyberaanval van 2008 op een kerncentrale in Georgië tot WannaCry en NotPetya, twee ransomware-aanvallen die gegevens versleutelden en losgeld eisten, en de ransomware cyberaanval op de US Colonial Pipeline, een Amerikaans oliepijpleidingsysteem dat brandstof levert aan de zuidoostelijke staten.

Bij het analyseren van de ethische en juridische implicaties van cyberaanvallen is het cruciaal om de betrokken actoren te onderscheiden, aangezien de toelaatbaarheid van bepaalde acties ook afhangt van de betrokken actoren.

Mijn werk richt zich vooral op state vs state cyberaanvallen. Een van de meest recente voorbeelden van dit soort aanvallen waren die tegen de Oekraïense strijdkrachten en toegeschreven aan de UNC1151, een Wit-Russische militaire eenheid, voorafgaand aan de Russische invasie van Oekraïne.

Waarnemers keken naar de Russische invasie en verwachtten dat cyber een sleutelelement zou zijn. Velen vreesden een "cyber-Pearl Harbor", d.w.z. een massale cyberaanval die een onevenredig destructief resultaat zou hebben en zou leiden tot een escalatie van het conflict.

Tot dusver is de invasie van Oekraïne zeer destructief en onevenredig gebleken, maar cyber heeft weinig of geen rol gespeeld bij het bereiken van deze resultaten. Betekent dit dat er nooit een cyber-Pearl Harbor zal plaatsvinden? Wat nog belangrijker is, betekent dit dat cyberaanvallen een secundair vermogen in oorlog zijn en dat we het gebruik ervan ondergereguleerd kunnen blijven?

Het korte antwoord op beide vragen is nee, maar er zijn nuances. Tot nu toe zijn cyberaanvallen niet gebruikt om massale vernietiging te veroorzaken; een cyber-Pearl Harbor, zoals sommige commentatoren begin 2000 beweerden. Het ontbreken van het cyberelement in Oekraïne is geen verrassing, gezien hoe gewelddadig en destructief de Russische invasie is geweest. Cyberaanvallen zijn meer ontwrichtend dan destructief. Ze zijn het niet waard om gelanceerd te worden wanneer acteurs mikken op enorme kinetische schade. Een dergelijke vernietiging wordt effectiever bereikt met conventionele middelen.

Cyberaanvallen zijn echter noch slachtofferloos, noch onschadelijk en kunnen leiden tot ongewenste, onevenredige schade die ernstige negatieve gevolgen kan hebben voor individuen en voor onze samenlevingen in het algemeen. Om deze reden hebben we adequate regelgeving nodig om staatsgebruik van deze aanvallen te informeren.

Het internationale debat over dit onderwerp wordt al jaren geleid door een kortzichtige benadering. De grondgedachte was om interstatelijke cyberaanvallen te reguleren voor zover ze vergelijkbare uitkomsten hebben als een gewapende (conventionele) aanval. Als gevolg hiervan is de meerderheid van de cyberaanvallen tussen staten niet gereguleerd.

Dit is het falen van wat ik de "analoge benadering" van de regulering van cyberoorlogvoering noemde, die erop gericht is dergelijke oorlogvoering alleen te reguleren voor zover het lijkt op kinetische oorlogvoering, d.w.z. als het leidt tot vernietiging, bloedvergieten en slachtoffers. In feite slaagt het er niet in om de nieuwigheid van cyberaanvallen, die meer ontwrichtend dan destructief zijn, vast te leggen, en de ernst van de bedreigingen die ze vormen voor een digitale samenleving. Deze benadering wordt ondersteund door het niet erkennen van de ethische, culturele, economische en infrastructurele waarde die digitale activa hebben voor onze (digitale) samenlevingen.

Het is geruststellend dat de VN-groep van regeringsdeskundigen voor het bevorderen van verantwoord staatsgedrag in de context van internationale veiligheid in 2021, na de mislukking van 2017, het erover eens kon zijn dat cyberaanvallen tussen staten moeten worden gereguleerd in overeenstemming met de beginselen van de internationale Humanitair recht (IHR).

Hoewel dit in de goede richting is, is het slechts een eerste en achterstallige stap. Inderdaad, de principes van het IHR en de ethische principes van de Just War Theory zijn nog steeds geldig bij het overwegen van cyberoorlogsvoering. We hebben interstatelijke cyberaanvallen nodig om proportioneel en noodzakelijk te zijn en strijders van niet-strijders te onderscheiden. De implementatie van dergelijke principes is echter problematisch in de context van cyber:we missen bijvoorbeeld een duidelijke drempel voor proportionele en onevenredige aanvallen en criteria om schade aan immateriële activa te beoordelen. We missen ook regels om kwesties in verband met soevereiniteit en due diligence te overwegen.

Filosofische en ethische analyses zijn nodig om deze kloof te overbruggen en de aard te begrijpen van een oorlogvoering die agressie loskoppelt van geweld, dat zich richt op niet-fysieke objecten en toch onze samenlevingen kan verlammen. Tegelijkertijd moeten we ervoor zorgen dat, naarmate meer defensie-instellingen digitale technologieën zien als een beslissende troef om de superioriteit ten opzichte van de tegenstanders te behouden, ze investeren in deze capaciteiten, deze ontwikkelen en gebruiken in overeenstemming met de waarden die ten grondslag liggen aan democratische samenlevingen en om internationale stabiliteit.

Naarmate digitale technologie verder wordt geïntegreerd in de defensiecapaciteiten, zie bijvoorbeeld kunstmatige intelligentie (AI), ontstaan ​​er meer conceptuele en ethische vragen over hun bestuur. Hiertoe is het belangrijk dat defensie-instellingen de ethische risico's en kansen die deze technologieën met zich meebrengen, identificeren en aanpakken en eraan werken om de eerste te verminderen en de laatste te benutten.

Gisteren heeft het Ministerie van Defensie in het VK een beleidsdocument uitgegeven:Ambitious, safe, Responsible:our response to the delivery of AI-enabled capacity in Defense, met een bijlage met ethische principes voor het gebruik van AI in defensie. Het is een stap in de goede richting. De principes zijn breed en er moet meer werk worden verzet om ze in specifieke defensiecontexten te implementeren. Ze hebben echter een belangrijke mijlpaal bereikt, omdat ze laten zien dat Defensie zich inzet om zich te concentreren op de ethische implicaties van het gebruik van AI en deze in samenhang met de waarden van democratische samenlevingen aan te pakken.

Deze principes komen twee jaar na de publicaties van de U.S. Defense Innovation Board. Tussen de twee reeksen principes zijn er enkele convergenties die kunnen wijzen op de opkomst van een gedeelde visie onder bondgenoten over het gebruik van AI, en, meer in het algemeen, digitale capaciteiten voor defensie. Ik hoop dat deze principes de kiem kunnen vormen voor de ontwikkeling van een gedeeld kader voor de ethische governance van het gebruik van digitale technologieën voor defensiedoeleinden.