Det er en grundsætning inden for cyberjura, at den almindelige folkeret gælder, og der ikke er behov for at udvikle nye regler specifikt for cyber space. Det er blot et spørgsmål om at anvende de eksisterende regler på de nye udfordringer, som udviklingen i cyber space medfører.
Det lyder jo dejlig enkelt. Men det er samtidig klart, at der er en ikke ubetydelig tvivl om præcis, hvad der faktisk gælder. Og at de kommende års statspraksis vil være med til at udfylde og nuancere de folkeretlige regler, der gælder på området
Når det kommer til statspraksis og fastlæggelsen af de folkeretlige normer, havde New York Times i side uge en opsigtsvækkende artikel. Her beskrives en række straffesager, hvor de amerikanske myndigheders tiltalepraksis er med til at kaste lys over udviklingen inden for cyber jura.
Den umiddelbare baggrund er det amerikanske justitsministeriums offentliggørelse den 24. marts 2016 af et anklageskrift (”grand jury indictment”) mod 7 iranske hackere. Sagen angår dels de (sædvanlige) Distributed Denial of Service (DDOS)-angreb. I dette tilfælde har iranske hackere angiveligt gennem massiv overbelastning af en række amerikanske banker og finansielle institutioners servere forsøgt at lukke disse ned. Dels, og mere opsigtsvækkende, rejses der tiltale for forsøg på at overtage kontrollen med en mindre dæmning, Bowman Avenue Dam, i up-state New York gennem at hacke sig ind i styresystemet. Angrebet på dæmningen i Rye mislykkedes bl.a. fordi Bowman dæmningen var off line og ude af drift på grund af reparationer på tidspunktet for angrebet. Men det er angiveligt første gang, at der rejses tiltale mod udenlandske hackere har forsøgt at overtage kontrollen med amerikansk infrastruktur. At dømme fra billeder af Bowmann dæmningen ville fremmed kontrol over denne ikke udgøre en eksistentiel trussel for det amerikanske samfund. Men det er ikke vanskeligt at paralleliserer til større dæmninger eller anden infrastruktur som elektricitetsværk, atomkraftværk, drikkevandsreservoirer, etc. for at se de skræmmende perspektiver i sådanne operationer.
Tages de folkeretlige briller på, er der forskellige temaer i denne sag, der med behørig anerkendelse af usikkerheden om sagens faktum, vækker interesse:
For det første om disse iranske hackere kan anses at være repræsentanter for eller handle på vegne af den iranske regering, således at deres handlinger dermed kan henregnes til folkeretssubjektet Iran. I anklageskriftet anføres, at hackerne ansvarlig for dette angreb var tilknyttet to virksomheder, ITSecTeam (“ITSEC”) og Mersad Company (MERSAD), som udførte arbejde på vegne af Irans regering, herunder den iranske Revolutionsgarde (Iranian Revolutionary Guard Corps). De folkeretlige standarder for henregnelse er blandt andet, og meget a pro pos, fastlagt i ICJs afgørelse i United States Diplomatic and Consular Staff in Tehran fra 1980 (US v. Iran) og videreudviklet i en række senere fra afgørelser fra ICJ (og ICTY). Her skal ikke foretages en nærmere analyse af dette komplekse spørgsmål, men det er umiddelbart indtrykket, at de amerikanske myndigheders beskrivelse af sagens omstændigheder understøtter, at hackernes handlinger folkeretligt formentlig kunne henregnes til Iran.
For det andet opstår spørgsmålet om sådanne handlinger, såfremt de måtte kunne henregnes til Iran, kan siges at udgøre en krænkelse af folkeretten (ud over at være i strid med amerikansk lovgivning). Det skal her understreges, at ”cyber angreb” normalt forstås betydeligt bredere end de folkeretlige begreber ”væbnet angreb” og magtanvendelse, jf. FN Pagtens artikel 2, stk. 4. Et ”cyber angreb” er altså ikke nødvendigvis et væbnet angreb i folkerettens forstand. Mens de i artiklen omtalte angreb således formentlig ikke kan karakteriseres som en 2, stk. 4 overtrædelse, er der nok argumenter til støtte for, at handlingerne er omfattet af det almindelige folkeretlige interventionsforbud og efter omstændighederne en krænkelse af USA’s suverænitet. Det skal dog også bemærkes, at et af de klassiske lærebogseksempler på ”væbnet angreb” med cyber aktiver i folkeretlig forstand netop er overtagelse af væsentlig infrastruktur og påførelsen af store materielle og menneskelige skader herigennem. For en nærmere drøftelse af folkeretlig magtanvendelse og cyber henvises til Tallin-manualen (p.45ff).
Et tredje folkeretligt aspekt som sådanne sager giver anledning til at overveje, er hvorvidt der er forhold, der retfærdiggør, hvad der umiddelbart vurderes som folkeretsstridige handlinger. Der spekuleres i New York Times artiklen i, hvorvidt angrebene på de amerikanske aktiver kan karakteriseres som ”gengældelse” for den Stuxnet virus, der i 2010 inficerede det største iranske uran berigelsesanlæg. Mens folkeretten ikke tillader ”gengældelse”, er der et vist rum for såkaldte modforanstaltninger (”countermeasures”). En grundlæggende betingelse for sådanne handlingers lovlighed er, at de har som formål at bringe den stat, der handler retsstridigt, til at afstå fra den konkrete ulovlige handling, jf. udkast til statsansvarsreglerne artikel 49, stk. 1. Igen er de tilrådighedstående faktuelle oplysninger nok for vage til entydige konklusioner, men som udgangspunkt er et modsvar på en seks år gammel handling ikke en folkeretlig lovlig modforanstaltning.
Endelig skal der peges på et spørgsmål, der uværgeligt opstår ved strafferetlige sager rejst mod udenlandske statsborgere, der i den ene eller anden kapacitet handler for eller på vegne af en fremmed stat. Den folkeretlige sædvaneret indeholder regler om såvel enkeltpersoners immunitet, hvor disse er at karakteriseres som statsrepræsentant, ligesom visse retssystemers domstole udviser tilbageholdenhed med at pådømme handlinger begået i en fremmed stats navn. I New York Times artiklen vurderes det som usandsynligt, at de tiltalte iranere nogensinde vil blive stillet for en amerikansk domstol og det er tvivlsomt om temaet ”immunitet” i praksis opstår. De amerikanske myndigheder har således ikke anset dette aspekt for afgørende. Det er dog værd at bemærke, at spørgsmålet om immunitet blev overvejet af visse kommentatorer i forbindelse med amerikanske myndigheder i 2014 rejste sag mod kinesiske hackere for at have begået industrispionage mod en række amerikanske virksomheder. Et synspunkt, der blev fremført i den sammenhæng, var, at den kommercielle karakter af den kinesiske spionage gjorde, at den faldt under undtagelsen til ellers gældende regler om statsimmunitet. Jurister vil fra deres studier huske sondringen jure gestionis/jure imperii, som også danske domstole anvender, som central i denne sammenhæng.
Alt i alt er New York Times artiklen, der bl.a. også peger på straffesager rejst af de amerikanske myndigheder mod syriske hackere fra gruppen ”Syrian Electronic Army”, interessant læsning og måske udtryk for en mere generel tendens. En amerikansk embedsmand tilkendegiver således til avisen, at man frem til 2012 håndterede sådanne sager som efterretningssager, men at man nu (også) aktivt anvender strafferetlige instrumenter. Det vil være interessant at følge om udviklingen også i andre lande går samme vej. I hvert fald er det klart, at cybertruslen er alvorlig og kræver nytænkning. Som et andet, og helt urelateret, eksempel herpå kan nævnes den amerikanske flådes beslutning om ikke længere alene at forlade sig på elektronisk navigation så som GPS. På grund af risikoen for cyberangreb, der kan lamme flådens computersystemer, har man genindført undervisningen i brug af sekstanten, når de nye kadetter uddannes. Som det siges i en L.A Times artikel: ”You can’t hack a sextant”.
Kære David, det var klart og velstruktureret og også rimelig interessant for en lægmand. Fin slutning! Dog studsede jeg over et par fejl i det danske, mest slående at du skriver cyberspace som to ord!