דיני הלחימה במרחב הסייבר: אתגרים והזדמנויות

רן יוסף*

מבוא

קשה לדמיין את החיים המודרניים ללא חשמל, תקשורת אלחוטית או מרשתת. תופעות אלה מהוות את היסודות של החברה האנושית בת זמננו, המתאפיינת בשימוש גובר ברשתות חברתיות, באמצעי תקשורת חכמים, במסחר במרשתת, בצריכת מידע דרך הרשת ועוד. עם זאת, בעוד תופעות אלה נחשבות תמימות, ומנוצלות לרוב לצרכים אזרחיים, גם כוחות לוחמים עושים בהן שימוש רב. רוב הצבאות המודרניים עושים שימוש במחשבים ובאמצעים אלקטרוניים אחרים, ביניהם גם כאלה שמבוססים על תקשורת לוויינית ומקוונת, בין לצורך הניהול הצבאי היומיומי ובין לצורכי לחימה, ריגול וביטחון שוטף.

הקשר בין פיתוחים טכנולוגיים צבאיים לאזרחיים אינו חדש בהיסטוריה האנושית. למעשה, אפילו מוצרים שנחשבים כיום אזרחיים באופן מובהק – כגון רכבות, קופסות שימורים ואפילו תרופות – הומצאו בסוף המאה התשע-עשרה כדי לסייע במאמץ המלחמתי,[1] ואכן סייעו בכך לא פחות מפיתוחים צבאיים מובהקים, דוגמת מכונת הירייה. מנקודת מבט היסטורית רחבה יותר ניתן לומר כי ההתפתחות המדעית אינה נחלתם של המדענים, החוקרים או הפילוסופים, אלא של גורמים פוליטיים וכלכליים בעלי משאבים שראו בהתפתחות המדעית אמצעי שיכול להגדיל את משאביהם וכוחם. כך נוצר מה שיובל נח הררי מתאר כמעגל הקסמים של המהפכה המדעית: המוסדות הפוליטיים והכלכליים מספקים את המשאבים שבלעדיהם אי-אפשר לקיים מחקר מדעי, והמחקר המדעי מעמיד לרשותם כוחות חדשים.[2]

מרחב הסייבר אינו שונה במובן זה. הרשת הראשונה, ARPANET, שהיוותה את הבסיס למרשתת כפי שאנו מכירים אותה כיום, הומצאה על ידי הסוכנות לפרויקטים מחקריים מתקדמים בתחום הביטחון (DARPA) שבמחלקת ההגנה האמריקאית בשנת 1969, במסגרת המלחמה הקרה, על מנת לאפשר תקשורת יציבה בין גופי הממשל בארצות הברית במקרה של מלחמה בין המעצמות, ורק בשנות השמונים היא הוסבה לשימוש אזרחי. בשנים האחרונות השימוש הצבאי במרחב הסייבר חוזר אל קדמת הבמה, עם התגברות האיומים והתקיפות מצד מדינות, ארגונים א-מדינתיים וארגונים המופעלים על ידי יד מכוונת מדינתית. השימוש הגובר בלוחמת סייבר והאיומים האפשריים שנשקפים ממנה לאוכלוסיות אזרחיות שנסמכות על המרשתת לצרכים מגוּונים – החל בבנקאות מקוונת וכלה בבקרת תנועה ותעופה, שימושים רפואיים מצילי חיים ועוד – הניעו מומחים שונים למשפט בין-לאומי לבחון אם וכיצד דיני השימוש בכוח (jus ad bellum) ודיני המשפט ההומניטרי (jus in bello) חלים על לוחמת סייבר.

אף שישראל היא בין המדינות המובילות בעולם בתחום הסייבר, רק מעט נכתב בעברית על תחולתם של דיני הלחימה על פעולות לחימה במרחב הסייבר. לפיכך אחת המטרות המרכזיות של רשימה זו היא להציג לקוראים את האופן שבו דיני הלחימה מסדירים את השימוש בלוחמת הסייבר, ואת הנסיונות השונים שנעשו כדי להכפיף לוחמה זו למערכת של כללים ונורמות משפטיים. בחלק הראשון אגע באיומים השונים שנשקפים ממרחב הסייבר. בחלק השני אדון באופן שבו דיני הלחימה חלים על מִבצעי סייבר, תוך הדגשת האתגרים המרכזיים שמרחב הסייבר מציב בפני אלה המבקשים להכפיפו למערכת של כללים ונורמות. בחלק השלישי של הרשימה אבקש להציג נקודת מבט שלפיה השימוש בלוחמת סייבר מהווה הזדמנות להתפתחות חיובית מבחינת התכלית ההומניטרית של דיני הלחימה.

חשוב להבין כי השיח סביב דיני הלחימה במרחב הסייבר הוא ברובו תיאורטי וצופה פני עתיד. דבר זה נובע מכמה סיבות מרכזיות: העדר פרקטיקה מדינתית קוהרנטית שניתן לחלץ מתוכה נורמות מנהגיות, העדר פסיקה של טריבונלים בין-לאומיים ואמנות בין-לאומיות, והיות התחום דינמי ומשתנה.

איומים במרחב הסייבר

האיומים הפוטנציאליים והשימושים האלימים במרחב הסייבר משתרעים על מגוון רחב של פעולות. אף שבשיח הציבורי הרחב נהוג לכנות כל שימוש אלים במרשתת בשם "תקיפת סייבר", למעשה רק אחוזים ספורים מבין אותן "תקיפות" אכן מתבצעות במסגרת לוחמת סייבר ומפעילות את כללי המשפט הבין-לאומי. לפי האתר Hackmageddon, שמרכז מידע לגבי תקיפות סייבר שבוצעו ואף מספק מידע בזמן אמת, בשנת 2015 רק 2.4% מ"תקיפות" הסייבר בוצעו במסגרת לוחמת סייבר. שאר התקיפות בוצעו במסגרת פשיעת סייבר (67%), אקטיביזם באמצעות סייבר (hacktivism) (20.8%) וריגול באמצעות סייבר (9.8%). המטרות המרכזיות של אותן תקיפות הן תעשייה (25.2%), ממשלות (13.7%) וארגונים (8.3%), והארגונים ה"מבוקשים" ביותר הם ארגונים ללא כוונת רווח (15.7%), מפלגות פוליטיות (15.7%), ארגוני דת (8.4%) וארגונים ששייכים לאו"ם (7.2%). בהתאם לכך, ניתן למנות כיום חמש קבוצות עיקריות שמשתמשות בכלי תקיפה קיברנטיים: מדינות המפתחות יכולות כחלק מבניין הכוח שלהן; גורמים פליליים; חברות עסקיות, אשר מהוות כאמור יעד מרכזי למתקפות סייבר אך לא מן הנמנע שחלקן עשויות גם לפנות להתקפה על חברות מתחרות; ארגוני טרור, אשר משיקולים שונים עשוי להשתלם להם לפנות לאפיק זה; וגורמים אנרכיסטיים שמעוניינים לחבל במערכת הממסדית הקיימת, בסדר החברתי ובמרקם החיים במדינה.

על אף הכמות הקטנה יחסית של תקיפות שלמשפט הבין-לאומי יש עניין בהן, פוטנציאל הנזק בתקיפות אלה רב. בהשוואה להתקפות קינטיות, אופי הפגיעה ודרכי המניעה והסיכול הופכים את תקיפת הסייבר לאיום משמעותי יותר, שצריך להדאיג את העוסקים בביטחון לאומי. כאשר מדובר בפעולות צבאיות מסורתיות או בפעילויות טרור, זהות האויב מתגלה בדרך כלל לאחר התקיפה ברמה גבוהה של ודאות. הדבר נכון לגבי שיגור טילים בליסטיים, חטיפות של טיסות מסחריות ופיגועי התאבדות דוגמת אלה שקרו בישראל באינתיפאדה השנייה, בארצות הברית בספטמבר 2001 ובספרד בשנת 2004. זיהוי האויב חיוני לצורך נקיטת צעדי תגובה, הרתעה ומניעה. עם התגברות השימוש במרחב הסייבר לצורך פעולות עוינות, משימת הביטחון הלאומי נהפכה למאתגרת יותר. כעת ניתן לתקוף מטרות איכותיות מרחוק בצורה אפקטיבית, להשבית מערכות חשובות, צבאיות ואזרחיות, ולגרום לדמורליזציה קשה בשורות האויב באמצעות פגיעה באזרחים, וכל זאת מבלי שניתן לזהות את המבצעים כדי שייתנו דין וחשבון על מעשיהם. פגיעות אלה עלולות להידרדר ולהסלים, שכן פגיעה במערכת אחת עלולה להשבית – בין אם בכוונה תחילה של התוקף ובין אם לאו – מערכות חיוניות אחרות (לדוגמה, פגיעה במערכת תקשורת עלולה לפגוע במערכות תחבורה, רפואה ואכיפה).[3]

אתגרים

תחולה

חשוב להבין תחילה מהי לוחמת סייבר. המחלוקת המרכזית בנוגע להגדרה של לוחמת סייבר לפי דיני הלחימה נוגעת בהיקף המושג, שכן כפי שראינו לעיל, חילופי העוינות במרחב הסייבר רבים מאוד, ולא כל פעולה שנעשית במרחב זה תהיה כפופה בהכרח לדיני הלחימה. המונח "לוחמת סייבר" ישמש כאן לתיאור פעולות סייבר אשר מתפתחות לכלל עימות מזוין או נעשות במסגרתו. פעולות אלה נעשות נגד מחשב או מערכת מחשבים – או על ידיהם – כדי לאסוף, לייצא, להרוס, לשנות או להצפין נתונים, או כדי להפעיל מערכת שנפרצה, לעוות את פעולתה או לבצע בה מניפולציה.[4]

קיימת הסכמה בין מומחים שדיני הלחימה חלים על לוחמת סייבר,[5] ושלוחמה זו אינה מתרחשת ברִיק משפטי. גישה זו מקבלת גיבוי על דרך ההיקש מסעיף 36 לפרוטוקול הראשון לאמנות ז'נבה, שלפיו בכל אימוץ של נשק, שיטה או אמצעי לחימה חדש המדינות מחויבות להשתמש בו בהתאם לדין הבין-לאומי. ניתן לשאוב תמיכה לגישה זו גם מחוות הדעת המייעצת של בית הדין הבין-לאומי לצדק בדבר השימוש או האיום בשימוש בנשקים גרעיניים, שבה קבע בית הדין כי "העקרונות והכללים של הדין ההומניטרי שחלים בסכסוך מזוין חלים על כל סוגי הלוחמה וכל סוגי הנשקים", כולל "אלה של העתיד".[6]

עם זאת, בהקשר של עולם הסייבר, החלת דיני הלחימה שנוסחו בתקופה שבה מרחב הסייבר עוד לא היה קיים אינה טבעית, ומחייבת התאמה למציאות. הערפל סביב המונח "התקפה" בעולם הסייבר הוא דוגמה טובה לכך. סעיף 49 לפרוטוקול הראשון לאמנות ז'נבה מגדיר התקפה כ"פעולות של אלימות נגד האויב, בין בהתקפה ובין בהגנה". אף שההגדרה בסעיף היא רחבה, השימוש בביטוי "פעולות של אלימות" אינו מכיל, במשמעות הרגילה של הדברים, גלישה במרשתת או פיצוח קוד סייבר, ולכן קשה ליישמו כמות שהוא על לוחמת סייבר. בניסיון לתווך את המשפט ההומניטרי בצורה שמתאימה יותר לאופייה של לוחמת הסייבר, פרסם המרכז להגנת סייבר של נאט"ו, היושב בטָלין בירת אסטוניה, מדריך שנוסח על ידי קבוצה של עשרים מומחים למשפט בין-לאומי (להלן: מדריך טלין), שמטרתו לזהות את כללי המשפט הבין-לאומי הישימים בלוחמת סייבר.[7] בהקשר של התקפה, למשל, כְּלל 30 במדריך טלין מתגבר על הבעייתיות בכך שהוא מגדיר התקפת סייבר כ"מִבצע סייבר, בין התקפי ובין הגנתי, אשר קיים צפי סביר שיגרום פציעה או מוות לאנשים או נזק או הרס לאובייקטים". בכך הכלל נותן ביטוי להנחה הרווחת שלפיה השימוש במונח "אלימות" מתייחס לא לאמצעי, אלא לתוצאה. לפיכך השימוש בסייבר אינו מהווה פעילות אלימה כשלעצמו, אך עשויות להיות לו תוצאות אלימות.

בעיה נוספת מתעוררת כאשר מנסים להחיל את דיני הלחימה על פעולות סייבר שאינן מתרחשות במסגרת סכסוך מזוין קיים. חשוב להבהיר תחילה כי דיני הלחימה חלים רק במסגרת סכסוך מזוין – בין-לאומי או שאינו בין-לאומי. לפיכך ניתן להבין שככל שהתקפות סייבר מתבצעות במסגרת סכסוך קיים, קל יותר לטעון שדיני הלחימה חלים גם עליהן, כשם שהם חלים על פעולות קינטיות שמתבצעות באותו סכסוך וגורמות לפגיעה בבני אדם או נזק לרכוש. עם זאת, התקפות מבודדות, שאינן מתבצעות במסגרת סכסוך מזוין קיים, קשות יותר לסיווג. דוגמה לאירוע כזה הוא Stuxnet – הווירוס שפגע במתקני הכור הגרעיני באיראן ואשר אפשר שהוצא לפועל על ידי מדינה (או מדינות). אף שמדובר בפעולה מבודדת, אם היא אכן בוצעה על ידי מדינה, ייתכן שניתן לסווגה כפעולה שהציתה סכסוך מזוין בין-לאומי, ולפיכך כפעולה שדיני הלחימה חלים עליה.[8] לפי גישת הצלב האדום בפרשנותו החדשה לאמנת ז'נבה הראשונה, מתקפות סייבר מבודדות יכולות להצית סכסוך בין-לאומי ובכך להביא לידי החלתם של דיני הלחימה.

על מנת להבין אם פעולת סייבר מבודדת אכן יכולה להביא לידי החלתם של דיני הלחימה, חשוב להבחין בין סכסוכים מזוינים בין-לאומיים לבין כאלה שאינם בין-לאומיים. סכסוכים בין-לאומיים הם כאלה שמתרחשים בין מדינות, ורמת העצימוּת הדרושה בהם כדי שדיני הלחימה יחולו היא נמוכה. זה הדין, למשל, בתקריות גבול או בחילופי אש גם מבלי שהמצב מידרדר לסכסוך עוצמתי וממושך. התנאים לקיומו של סכסוך מעין זה הם שימוש בכוח מזוין (resort to armed force) וייחוס השימוש בכוח למדינה.[9] בסכסוכים שאינם בין-לאומיים מדובר לרוב במצב שבו מדינה נלחמת בארגון חמוש. בסכסוכים אלה קיימת חשיבות לעצימוּת הלחימה ולמשכה, כמו גם לרמת הארגון של הצדדים הלוחמים, על מנת להבחין סכסוכים כאמור מהתפרצויות מקומיות של אלימות, התפרעויות, הפגנות וכדומה.

כדי להבין אם פעולת סייבר יכולה להצית סכסוך בין-לאומי או סכסוך שאינו בין-לאומי, יש לבחון את התנאים שצוינו לעיל. כך, למשל, בהקשר של סכסוך בין-לאומי יש לבחון אם אותה פעולה נחשבת שימוש בכוח מזוין,[10] ואם ניתן לייחס אותה למדינה. הדיון בשימוש בכוח מזוין מקביל לדיון שקיימנו לעיל בהתקפה, אך בלוחמת סייבר השאלה של ייחוס הפעולה למדינה ראויה לתשומת לב מעמיקה. בעיית האנונימיות בלוחמת סייבר היא אחד המאפיינים המרכזיים של סוג לוחמה זה, ויותר מכך, הנחות בסיסיות שהתקיימו בעבר במשפט הבין-לאומי התערערו באופן משמעותי בעקבות הפנייה לאפיק הלוחמה בסייבר. כך, למשל, ההנחה כי מדינה היא האחראית לפעולות המתבצעות משטחה אינה רלוונטית כמעט בלוחמת סייבר, שכן המדינה אינה יכולה לשלוט באופן אפקטיבי בכל אדם עם מחשב וחיבור למרשתת. כאשר בחנו המומחים שגיבשו את מדריך טלין את כללי ייחוס האחריות למדינה בתחום הסייבר, הם הסיקו כי אף אם פעולה מסוימת בוצעה מתשתית סייבר שקשורה לממשלה, אין הדבר מטיל עליה אחריות באופן ישיר, אלא רק מהווה אינדיקציה לכך שהמדינה קשורה לאותה פעולה, ומעביר אליה את הנטל להוכיח את חפותה.[11] המבחנים שנקבעו במשפט הבין-לאומי לייחוס האחריות למדינה נעים בין מבחן מחמיר של שליטה אפקטיבית בכל פעולה ופעולה לבין מבחן מקל יותר של שליטה כללית בפעולות אלה.[12] דוגמה לבעיה הזאת נרשמה בדצמבר 2015 כאשר תחנת חשמל באוקראינה הושבתה והשאירה כ-80,000 בתים ללא חשמל, ככל הנראה כתוצאה מהחדרת תוכנות זדוניות לרשת החשמל האוקראינית. אחת ההשערות היא שמאחורי הפעולה עומדת קבוצת פרצנים (crackers) רוסית בשם Sandworm, אשר אין לה קשר ישיר לממשל הרוסי אך ייתכן שפעלה בהוראתו או ביוזמתו.

בהקשר של סכסוכים שאינם בין-לאומיים נדרש שהארגון יהיה בעל מבנה מסודר, שרשרת פיקוד מִדרגית ויכולת להטמיע את דיני הלחימה, כדי שיוכל להיחשב צד לסכסוך מזוין. כאשר מדובר בארגוני פרצנים (ניתן להעלות בהקשר זה על הדעת את ארגון "אנונימוס", למשל, ואת האיומים החוזרים ונשנים שלו לתקוף את ישראל), קשה לחשוב על ארגון שעומד בדרישות אלה. גם אם ניתן להעלות על הדעת מצב שבו יש חלוקת תפקידים ברורה בין חברים בארגון (אף אם אלה אינם מכירים זה את זה ולא ראו מעולם איש את רעהו), עדיין אין זה סביר להניח שהארגון מכיל מערכת של משמעת וכללים שבאמצעותם יוכל הארגון גם להטמיע את דיני הלחימה.[13] באשר לדרישת העצימוּת, בתחום הסייבר דרישה זו יכולה להתממש במצב שבו תקיפת סייבר צפויה לגרום הרס נרחב או השפעות הרסניות, כגון גרימת תאונות עם נפגעים רבים כתוצאה משיבוש מערכות תעבורה, או שחרור של כוחות מסוכנים בעקבות התערבות בפעולתם של סכרים או מתקנים גרעיניים.

עקרון ההבחנה

אתגר נוסף לדיני הלחימה בהקשר של לוחמת סייבר טמון בעקרון ההבחנה. על פי עיקרון זה, על הצדדים לסכסוך להבחין בכל עת בין האוכלוסייה האזרחית לבין הכוחות הלוחמים, וכן בין אובייקטים אזרחיים לבין אובייקטים צבאיים, ולכוון את התקפותיהם רק נגד מטרות צבאיות, אשר מוגדרות ככאלה שבטבען, במיקומן, בייעודן ובשימושן תורמות תרומה אפקטיבית לפעולה הצבאית. במרחב הסייבר ההבחנה בין מטרות צבאיות לאזרחיות קשה הרבה יותר, בשל העובדה שמרבית תשתית הסייבר היא כפולת שימוש (dual-use) ומשרתת גורמים צבאיים וגורמים אזרחיים כאחד, וכן בשל הקישוריוּת המאפיינת את מרחב הסייבר, אשר מקשה את בידודו של הגורם הצבאי במרחב זה.[14] אם נניח שיעדים כפולי שימוש הם מטרה חוקית לתקיפת סייבר, בשל התפקיד הצבאי שהם ממלאים, אזי עקרון ההבחנה מתרוקן כמעט מתוכן במרחב הסייבר, וההגנה שדיני הלחימה מקנים לאזרחים מצטמצמת למעשה לעקרון המידתיות ולעקרון אמצעי הזהירות.

עם זאת, כיבוד עקרון ההבחנה בסייבר אינו בלתי אפשרי. מי שתכנן את Stuxnet יישם ככל הנראה עיקרון זה בכך שהנוזקה, אשר הדביקה מחשבים רבים בעולם, ידעה לזהות את הנתונים של מחשבי הכור בנָתַנְז שבאיראן ולפגוע בהם בלבד.

החובה לנקוט אמצעי זהירות נגד השפעותיהן של התקפות

האתגר האחרון שאדון בו במסגרת הרשימה נוגע בחובה לנקוט אמצעי זהירות נגד השפעותיהן של התקפות. להבדיל משאר החובות שדיני הלחימה מטילים, החובה לנקוט אמצעי זהירות כאמור חלה על המגן או על המותקף הפוטנציאלי. לפי סעיף 58 לפרוטוקול הראשון לאמנות ז'נבה, על הצדדים לסכסוך להרחיק במידת האפשר את האוכלוסייה האזרחית וכן אובייקטים אזרחיים שבשליטתם מתשתיות צבאיות, ולנקוט אמצעי זהירות נוספים כדי להגן על אלה מהסכנות הנובעות מפעולות צבאיות. עיקרון זה מציב אתגר משמעותי בפני המגן בלוחמת סייבר. מרחב הסייבר משמש כאמור גורמים צבאיים וגורמים אזרחיים כאחד, והפרדה בין השניים אינה עניין של מה בכך. השאלה היא אם אותו מגן יישא באחריות כאשר התקפה על תשתיות סייבר צבאיות תשפיע גם על תשתיות אזרחיות ותפגע בהן. המושג "אחריות" במשפט הבין-לאומי בכלל ובדיני הלחימה בפרט שונה מזה הקיים במשפט האזרחי, בכך שבראשונים אין תחולה לעקרונות של אשָם תורם או הקטנת נזק. האחריות להפרת דיני הלחימה אינה מופחתת בשל הפרות של הצד האחר, ובהקשר של סעיף 58, אמת המידה לקיומה או לאי-קיומה של הפרה היא אם המדינה עשתה כל שביכולתה כדי לצמצם את השפעות ההתקפה על האוכלוסייה האזרחית שתחת שליטתה. לפיכך, כאשר מדינה נמנעת מלהגן כראוי על תשתיות אזרחיות שלה, ואלה נפגעות כתוצאה מהתקפת סייבר, היא לא תוכל לטעון כי היא נושאת באחריות מינימלית בלבד לנזק בעוד התוקף נושא באחריות המרכזית להפרת הדין.[15] יתר על כן, אם מדינה אינה משכילה לנקוט אמצעי זהירות כאמור, אין פירוש הדבר שלצד האחר לסכסוך אסור לתקוף אותה, כל עוד התקפה זו נעשית בהתאם לדיני הלחימה.[16]

בתחום הסייבר ניתן לתרגם את הכלל לפעולות כגון הפרדה או הוצאה של הפונקציה הצבאית או האזרחית מן המערכת, הפרדת מערכות אזרחיות קריטיות שתלויות במרשתת, גיבוי מידע אזרחי חשוב, ביצוע פעולות ארגוניות מקדימות כדי להבטיח תיקון מהיר של מערכות, תיעוד דיגיטלי של תכנים תרבותיים או רוחניים ושימוש באנטי-וירוס כדי להגן על מערכות אזרחיות.[17]

עם זאת, מספרן הרב של המערכות הצבאיות הנשענות על תשתיות סייבר אזרחיות מציב אתגר שונה לגמרי בפני המגן. כך, למשל, לפי ההערכות, 90%–98% מהמידע הדיגיטלי של מחלקת ההגנה האמריקאית עובר דרך תשתיות אזרחיות. בתחום הסייבר, לחובה להפריד את התשתיות יש טבע גיאוגרפי וטבע וירטואלי. ברמה הגיאוגרפית ניתן לציית לחובה על ידי מיקום של השרתים ותשתיות הסייבר המשמשים את המערכות הצבאיות הרחק מאזורים אזרחיים. ברמה הווירטואלית הדבר קשה כמובן הרבה יותר, אך אפשרי – למשל, על ידי הקמת רשתות תקשורת צבאיות נפרדות (כפי שקורה בצה"ל, למשל). אבל הבעיה היא שהפרדה בפועל של כל מטרה צבאית פוטנציאלית היא בלתי אפשרית כמעט. כך, למשל, מרכזי בקרה אוויריים או תחנות חשמל משמשים גם את הצבא, ולכן מהווים מטרות לגיטימיות, אך לא באמת ניתן לערוך בהם הפרדה כלשהי, וירטואלית או גיאוגרפית.[18]

בגלל הקושי להפריד בין התשתיות, עולה חשיבותה של ההגנה על תשתיות אזרחיות ואזרחים. הגנה כזאת יכולה לבוא לידי ביטוי בשמירת תפקודן של מערכות חיוניות כגון תחנות חשמל, בתי חולים ותעשיות חשובות; בנקיטת אמצעי הגנה פעילים (HackBacks); בשמירה ובהגנה על המגזר הפרטי ותפקודו; ובאסטרטגיות של שימוש בטוח במרשתת.[19]

הזדמנויות

על אף האתגרים הרבים שלוחמת הסייבר מציבה בהקשר של דיני הלחימה, במיוחד בנוגע לפגיעה האפשרית באוכלוסייה האזרחית, ניתן למנות כמה הזדמנויות הטמונות בשימוש בלוחמה זו בהיבט של דיני הלחימה בכלל ובהיבט של תכליתם ההומניטרית בפרט.

הבחירה לראות בלוחמת סייבר הזדמנות בהקשר של דיני הלחימה – בחירה אשר נשענת על ההנחה כי מדובר בכלי מוסרי והומני יותר – אינה מובנת מאליה כלל. ברמה המוסרית ניתן לטעון כי שימוש בכל אמצעי – אפילו צעצוע – ככלי נשק הופך את השימוש עצמו ללא מוסרי בעליל, ולכן הטענה כי שימוש באמצעי שאינו אלים בטבעו הוא בהכרח מוסרי יותר בטלה. ברמה ההומנית, אם שימוש בסייבר יכול להוביל למותם של בני אדם מוגנים (protected persons) או למניעת מים נקיים, מזון או ציוד רפואי מהאוכלוסייה, כמו גם להשבתת בתי חולים או בתי ספר, אזי קשה לטעון כי השימוש בסייבר הומני יותר. עם זאת, ההנחה העומדת בבסיס גישתם של אלה המבקשים להגביר את השימוש בסייבר במקום בנשקים קינטיים היא שהשימוש בסייבר הוא אכן הומני יותר ואף מוסרי יותר שכן הוא נועד למנוע את הנזק שייגרם בוודאות על ידי שימוש בנשקים אחרים.

חובות שעשויות לחול על מדינות עם יכולות סייבר

טענה מרכזית בהקשרנו היא שהשימוש בסייבר כאמצעי לחימה עשוי להיות מוסרי יותר מכיוון שהוא מסב נזק פּחוּת לאוכלוסייה האזרחית. אם מקבלים את הטענה, אזי השאלה היא אם קיימות בדיני הלחימה הוראות שעשויות לחייב מדינה עם יכולות סייבר להשתמש בהן במקום בנשקים קינטיים. התשובה לכך אינה חד-משמעית. יש שתי הוראות מרכזיות הקשורות לעיקרון של נקיטת אמצעי זהירות בהתקפה שעשויות להחיל חובה כזאת. האחת קשורה לבחירת אמצעי הלחימה, ולפיה על הצדדים לסכסוך לנקוט "את כל אמצעי הזהירות האפשריים מבחינה מעשית (feasible) בבחירת אמצעי הלחימה ושיטת הלחימה, במטרה… לצמצם אובדן נלווה של חיי אזרחים, פציעת אזרחים ונזק לאובייקטים אזרחיים"; והאחרת קשורה לבחירת היעד שיותקף מבין כמה יעדים צבאיים אפשריים שתקיפתם צפויה להניב יתרון צבאי דומה, ולפיה יש לבחור את היעד "שניתן לצפות כי תקיפתו תסכן במידה המועטה ביותר חיי אזרחים ואובייקטים אזרחיים". לפי הוראות אלה, ייתכן שרכישת יכולות סייבר עשויה גם לחייב את המחזיק בהן להשתמש בהן במקום באמצעים אחרים, אם הן בגדר חלופה מזיקה פחות, ובלבד שהשימוש בה במקרה הקונקרטי אפשרי מבחינה מעשית וסביר. מייקל שמיט, שעמד בראש צוות המומחים שניסחו את מדריך טלין ונחשב לבר-סמכא בתחום, מסביר כי מדינה שיש לה יכולות מבצעיות בתחום הסייבר תהיה חייבת להשתמש בהן במקום באמצעים קינטיים מתוקף עקרון אמצעי הזהירות, וזאת אם הן זמינות בצורה סבירה, אם לשימוש בהן יש היגיון צבאי, ואם הפעלתן לא תקטין את סבירותה של ההצלחה המבצעית. אי-שימוש בהן במצב המקיים תנאים אלה יהווה הפרה של סעיף 57 לפרוטוקול הראשון לאמנות ז'נבה.[20]

ניתן להסביר את הדברים באמצעות דוגמה. נניח שתקיפת סוללת נ"מ באופן קינטי עלולה לגרום לפגיעה באוכלוסייה אזרחית או באובייקטים אזרחיים. בהינתן הנחה זו, אם אותו יתרון צבאי ניתן להשגה ברמה גבוהה של ודאות באמצעות התקפת סייבר, ואם השימוש בסייבר זמין והגיוני באותו מקרה, אזי למדינה יש מחויבות לעשות שימוש בסייבר. הדבר דומה במידה מסוימת לשימוש בחימוש מונחה מדויק. אומנם, להבדיל מסייבר, טיל מונחה מסב נזק קינטי, אך היכולת לפגוע במטרה באופן מדויק, ובכך לצמצם את הפגיעה באזרחים או באובייקטים אזרחיים, הופכת אותו לקל להשוואה להתקפות באמצעות סייבר. פרשנות של דיני הלחימה ביחס לחימוש מונחה מדויק גורסת כי אין חובה מוחלטת לפתח אותו במיוחד, והחובה להשתמש בו כפופה לתנאי הזמינוּת והמבצעיוּת,[21] אך ניתן אולי להחיל עיקרון מסוים של סבירות ותום לב על מדינות שמחזיקות בנשק שעשוי להסב נזק פּחוּת לאוכלוסייה האזרחית, שכן יש לתעדף שימוש בו במקרים שבהם הסכנה הצפויה לאזרחים גבוהה.[22]

נוסף על היכולות ההתקפיות באמצעות סייבר, ניתן להצביע על יכולות סייבר לא התקפיות שלמדינה עשויה להיות חובה מוגברת (שאינה כפופה לכך שהשימוש אפשרי מבחינה מעשית – feasible – או עומד בתנאים שלעיל) להשתמש בהן על פי דיני הלחימה. יכולות סייבר עשויות לסייע באופן משמעותי לטכניקות ולטכנולוגיות שמטרתן סגירת מעגלי אש על מטרות וּוידוא הסטטוס הצבאי שלהן. כך, למשל, אם יכולות סייבר מסוגלות לסייע באיסוף מודיעין על היעד, והדבר ישפר את הידע בנוגע למעמדו החוקי, אזי חובה לעשות שימוש ביכולות אלה.[23] יכולות סייבר עשויות לשמש גם כדי להזהיר את האוכלוסייה האזרחית מפני תקיפות סייבר או תקיפות קינטיות.[24] עם זאת, במקרים אלה החובה להשתמש ביכולות הסייבר מסויגת יותר.[25]

"Duty to Hack"

קיימת גם גישה שלפיה יש חובה רחבה ומוגברת אף יותר להשתמש בסייבר במסגרת סכסוך מזוין. כזו היא ה"חובה לפרוץ" ("duty to hack"), כפי שמכנה אותה דנקן הוליס.[26] לפי הוליס, התוצאה שמגיעים אליה בניסיון להחיל את דיני הלחימה על לוחמת סייבר, כפי שתואר בחלק הקודם, היא שגויה במהותה. במחקרו הוא מבקש להסביר שלא רק שדיני הלחימה צריכים לכלול חובה מוחלטת להשתמש בסייבר כנשק מוסרי והומני יותר, אלא שכל מדיניות האסדרה המשפטית של מרחב הסייבר כיום היא שגויה. גישתו של הוליס מבקשת ליצור נורמות ספציפיות שמתייחסות למאפיינים הייחודיים של מרחב הסייבר (tailor-made law), ומתנגדת לגישת המומחים במדריך טלין, אשר החילו את החוק על דרך ההיקש (law by analogy).

גישתו של הוליס רלוונטית גם למשפט האזרחי ולמשפט הפלילי המדינתיים, וניתנת להדגמה באמצעותם. כך, למשל, ניתן לשאול אם הכללים בנוגע לחיפוש ואיסוף של ראיות זקוקים לעדכון בהקשר של המרשתת או שמא ניתן להחילם על תחום זה באופן "אנלוגי". אותה שאלה אפשר לשאול גם ביחס לכללי השמירה על קניין רוחני בעידן שיתוף הקבצים וההורדות מהאינטרנט, וביחס לכללים הנוגעים בשמירה על הזכות לפרטיות והזכות לשם טוב בתקופת הרשתות החברתיות והתגוביות (טוקבקים).

ה"חובה לפרוץ" נוקטת אם כן גישה ייחודית שמתעלמת מדיני הלחימה כפי שהם חלים כיום, ומטילה על מדינה שמחזיקה ביכולות סייבר חובה מוחלטת להשתמש בהן. לגישה זו יש כמה משמעויות מרכזיות: המשמעות הראשונה והמיידית של חובה זו היא תחולה דיפרנציאלית של דיני הלחימה, שכן החובה המוחלטת תחול רק על מדינות עם יכולות מבצעיות מפותחות בתחום הסייבר. המשמעות השנייה היא שדיני הלחימה יחייבו שימוש במִבצעי סייבר גם כאשר אלה אינם גורמים פגיעה באזרחים ונזק לאובייקטים, וכך יימנע האבסורד שנוצר כתוצאה מהגישה האנלוגית שלפיה דיני הלחימה, שתכליתם בראש ובראשונה הומניטרית, חלים רק במצב של פגיעה בנפש או ברכוש.[27] המשמעות השלישית היא הגנה על מי שחשוף יותר מכל למִבצעי סייבר, קרי, גורמי תעשייה ומסחר אזרחיים. לפי הגישה האנלוגית, פעולת סייבר שתגרום למחיקת נתונים מהמסחר בבורסה, לשינוי באלפי חשבונות בנק או לכל חבלה כלכלית רבתי אחרת, דומה לסנקציות כלכליות, אשר דיני הלחימה אינם חלים עליהן. גישתו של הוליס, כאמור, מחילה את דיני הלחימה גם על פעולות שאינן גורמות נזק פיזי, ולפיכך גם על פעולות אלה.

סיכום

ההתפתחויות המרכזיות בתחום דיני הלחימה והסייבר עוד לפנינו. מדינות וארגונים שוקדים על פיתוח יכולות בתחום זה, שיתרמו ליכולת הפעלת הכוח שלהן במהלך הלחימה או במהלך "המלחמה שבין המלחמות". הדיון על אופן החלתם של דיני הלחימה במרחב הסייבר ימשיך להתפתח, ואף שלא צפויה בשורה ממדינות שינדבו גישות נורמטיביות שיסייעו בפיתוח המשפט המנהגי בתחום הסייבר, לא יהיה זה מוגזם לומר שהן בוחנות ומיישמות את דיני הלחימה בעצמן, גם אם בחשאי (ראו, למשל, את שכלול עקרון ההבחנה בהתקפת Stuxnet).

שיח האתגרים ושיח ההזדמנויות יתפתחו בהתאם להתרחשויות במציאות. אם השימוש בסייבר יפחית את כמות הסבל האנושי כתוצאה מסכסוכים מזוינים, ייתכן שנראה משפטנים רבים יותר שייטו לתמוך בעמדה שיש להחיל "חובה לפרוץ". בכל מקרה, בשיח האקדמי חשוב לשים לב להבחנה בין שיח האתגרים לשיח ההזדמנויות, שעשויה להשפיע על האופן שבו דיני הלחימה נתפסים בהקשר של הסייבר. בעוד הדיון סביב האתגרים מתייחס בעיקר לסייבר כאל לוחמה (כגון לוחמה ימית, לוחמה אווירית וכדומה), שיח ההזדמנויות מבקש להתייחס לסייבר כאל נשק. ההבחנה בין השניים היא לא רק עניין של מינוח. התייחסות לסייבר כאל נשק עשויה להקל את הסדרתו ואת השימוש בו תחת דיני הלחימה, ואם אכן מדובר בנשק שיכול להשיג את היתרון הצבאי בהתקפה באופן הומני יותר, גם להוביל לדרישה להעדיפו על נשקים אחרים, קינטיים. התייחסות לסייבר כאל לוחמה שמתרחשת במקום שונה מהעולם הפיזי מעידה על קושי וריחוק של דיני הלחימה, שיריעתם קצרה מלכסות את כל מימד הסייבר.

עם או בלי דיני הלחימה שיגנו עלינו, התלות המוגברת במרשתת ובאמצעי תקשורת חכמים חושפת את כולנו לנזקים שצפויים מלוחמה אפשרית במרחב הסייבר. סכנה זו מחייבת אסטרטגיה מדינית – אך גם אזרחית – ארוכת טווח ומקיפה לגבי האופן שבו נתמודד עם אתגרים אלה.

*       סטודנט לתואר ראשון במשפטים וממשל, המרכז הבינתחומי הרצליה, ועוזר מחקר לד"ר דפנה ריצ'מונד-ברק. תודתי נתונה לחברי מערכת כתב העת משפט ועסקים ענת ליאור, יובל גרנית ויהונתן רובנס על הערותיהם המועילות.

[1]       יובל נח הררי קיצור תולדות האנושות 287 (2011).

[2]       שם, בעמ' 254.

[3]       ליאור טבנסקי "הגנה על תשתיות קריטיות מפני איום קיברנטי" צבא ואסטרטגיה 3(2) 63 (2011).

[4]       Cordula Droege, Get Off My Cloud: Cyber Warfare, International Humanitarian Law, and the Protection of Civilians, 94(886) Int'l Rev. Red Cross 533, 538 (2012).

[5]       Harold H. Koh, International Law in Cyberspace: Remarks, 54 Harv. Int'l L.J. 3 (2012); Knut Dörmann, Applicability of the Additional Protocols to Computer Network Attacks (Int'l Committee of the Red Cross, 2004), available at http://www.icrc.org/eng/assets/files/other/applicabilityofihltocna.pdf.

[6]       Legality of the Threat or the Use of Nuclear Weapons, Advisory Opinion, ICJ Reports 226, para. 86 (1996).

[7]       Tallinn Manual on the International Law Applicable to Cyber Warfare (Michael N. Schmitt, gen. ed., 2013), available at http://www.peacepalacelibrary.nl/ebooks/files/356296245.pdf (להלן: Tallinn Manual). חשוב לציין כי למדריך כשלעצמו אין אופי מחייב.

[8]       Droege, לעיל הערה 4, בעמ' 542.

[9]       International Criminal Tribunal for the Former Yugoslavia (ICTY), Prosecutor v. Tadic, Appeals Chamber Decision, 2 Oct. 1995, para. 70.

[10]      חשוב להדגיש כי אין הכוונה לשימוש בכוח לפי ס' 2(4) למגילת האו"ם (jus ad bellum), שכן הדיון כאן עוסק בתחולת הדין ההומניטרי (jus in bello).

[11]      Tallinn Manual, לעיל הערה 7, כלל 7.

[12]      יש הטוענים כי מכיוון שממילא קיים אתגר בנוגע לייחוס אחריות, המבחן הראוי יותר במסגרת דיני הלחימה הוא מבחן השליטה הכללית. ראו, למשל: Scott J. Shackelford, State Responsibility for Cyber Attacks: Competing Standards for a Growing Problem, in Conference on Cyber Conflict Proceedings 197 (C. Czosseck & K. Podins eds., 2010), available at ccdcoe.org/publications/2010proceedings/Shackelford%20-%20State%20Responsibility%20for%20Cyber%20Attacks%20Competing%20Standards%20for%20a%20Growing%20Problem.pdf.

[13]      Michael Schmitt, Classification of Cyber Conflict, 17 J. Conflict & Security L. 245, 256 (2012).

[14]      International Humanitarian Law and the Challenges of Contemporary Armed Conflicts 40 (ICRC, 2015), available at http://www.icrc.org/en/download/file/15061/32ic-report-on-ihl-and-challenges-of-armed-conflicts.pdf.

[15]      זה המקרה, למשל, כאשר המותקף עושה שימוש במגינים אנושיים, שכן העובדה שהתוקף אולי מפר את הדין בבחירתו לתקוף על אף קיומם של אזרחים בקרבת המטרה אינה פוטרת את המותקף מאחריות.

[16]      Eric T. Jensen, Cyber Attacks: Proportionality and Precautions in Attack, 89 Int'l L. Stud. 198, 216 (2012).

[17]      Tallinn Manual, לעיל הערה 7, דברי ההסבר לכלל 59.

[18]      Jensen, לעיל הערה 16, בעמ' 213.

[19]      Droege, לעיל הערה 4, בעמ' 575–576.

[20]      Michael N. Schmitt, The Law of Cyber Targeting 18 (Tallinn Paper No. 7, 2015).

[21]      Michael N. Schmitt, Precision Attack and International Humanitarian Law, 87 Int'l Rev. Red Cross 445, 460 (2005).

[22]      שם, בעמ' 461.

[23]      שם.

[24]      Tallinn Manual, לעיל הערה 7, דברי ההסבר לכלל 58.

[25]      כלל האזהרה המוקדמת אינו רלוונטי כאשר הסיכון הוא לאובייקטים, ולא לאוכלוסייה אזרחית. כמו כן הוא נסוג מפני תקיפות שמתחייב בהן מרכיב של הפתעה. לפיכך החובה להשתמש ביכולות סייבר תחת כלל זה מצומצמת במידה משמעותית.

[26]      Duncan B. Hollis, Re-Thinking the Boundaries of Law in Cyberspace: A Duty to Hack?, in Cyber War: Law and Ethics for Virtual Conflicts 129 (Jens D. Ohlin et al. eds., 2015).

[27]      שם, בעמ' 168, 170–174.