Folkeretten beskytter befolkningen mot cyberkrig
KRONIKK: I kronikk i Computerworld 21. april tar Kristine Beitland i Microsoft til ordet for at vi trenger en Genèvekonvensjonen i fredstid. Dette er ikke Røde Kors enig i. Vi tror heller at vi må diskutere hvordan Genèvekonvensjonene og menneskerettighetene i dag sikrer beskyttelsen av sivilbefolkningen mot cyberangrep i væpnet konflikt og fredstid, skriver kronikkforfatter.
(Dette innlegget er svar til Kristine Beitlands kronikk "Vi trenger en digital Genèvekonvensjon!")
Det er ingen tvil om at vårt samfunn blir mer og mer digitalt. Maskinvare og programvare blir mer avanserte, mer tilgjengelig og i større grad sosialt og kulturelt integrert i folks dagligliv. Selv om digitalisering av samfunnstjenester gir store muligheter for sivilbefolkningen, representerer den også en stor trussel hvis vi ikke klarer å beskytte datamaskiner og datanettverk som leverer for eksempel vann- og elektrisitet, banktjenester og helsetjenester til befolkningen mot cyberangrep.
Disse angrepene kan bestå i at systemene manipuleres, avbrytes, sperres, forstyrres ødelegges eller tas over av andre. Angrepene kan komme fra andre stater, væpnede grupper eller enkeltindivider. De kan skje både som en del av et væpnet angrep mot Norge, men også i forbindelse med kriminelle handlinger uten at det har nådd terskelen for væpnet konflikt.
Det er på bakgrunn av denne trussel som finnes mot det digitale samfunn vi opplever at Beitland tar til ordet for at vi trenger en digital Genevekonvensjon.
Selv om Røde Kors er enig at cyberkrig og cyberangrep utgjør en trussel mot sivilbefolkningen både i og utenfor væpnet konflikt, er vi ikke enig i at vi nødvendigvis trenger en ny Genevekonvensjon. Det er stor enighet i dag om at Genèvekonvensjonene, ikke bare regulerer kinetiske angrep, men også regulerer cyberkrig som skjer som en del av krig. Utenfor væpnet konflikt har myndighetene forpliktelser seg i de internasjonale menneskerettighetene til å sikre borgerne som befinner seg på deres territorium mot overgrep, herunder cyberangrep.
De generelle reglene i krigens folkerett gjelder også for cyberoperasjoner.
Genèvekonvensjonene, også kalt krigens folkerett eller internasjonal humanitærrett, har ikke til hensikt å hindre angrep, men å regulere hvilke midler og metoder som er tillatt å bruke når et væpnet angrep faktisk finner sted mot en annen stat eller en væpnet gruppe. Disse reguleringene har angrep eller bruk av makt som utgangspunkt, enten det gjelder hvem eller hva som kan angripes, hvordan angrepet skal gjennomføres, eller plikten til å beskytte sivile mot virkningene av angrep. Selv om krigens folkerett ble utviklet uten cyberoperasjoner i tankene, tar dette regelverket likevel høyde for at både metoder og midler kan utvikle seg i forhold til det som kunne forutses ved utarbeidelsen av regelverket. De generelle reglene i krigens folkerett gjelder derfor også for cyberoperasjoner hvis det foreligger en væpnet konflikt.
Genèvekonvensjonene pålegger imidlertid ikke bare partene visse plikter under selve kamphandlingene. Statene er allerede i fredstid forpliktet til å sikre sivilbefolkningen mot væpnede angrep. For eksempel skal militære mål ikke legges i nærheten av sivilbefolkningen. I den digitale verden innebærer dette at forsvarets nettverk skal holdes adskilt fra sivile nettverk slik at et eventuelt cyberangrep mot militære mål, ikke nødvendigvis vil ramme sivil infrastruktur.
Siden Genèvekonvensjonene ikke forbyr cyberangrep tror vi det vil være uheldig å gi disse bestemmelsene anvendelse utenfor krig og konflikt. Dersom det er dette Kristine Beitland tar til ordet for i sin kronikk, vil det i så fall innebære at man tillater bruk av cyberangrep også i fredstid. Det vil stride med de forpliktelsene som myndighetene har i de internasjonale menneskerettighetene om å beskytte befolkningen som befinner seg under deres jurisdiksjon mot overgrep, herunder cyberangrep.
Selv om Genèvekonvensjonene pålegger de krigførende partene en rekke forpliktelser i å sikre befolkningen mot cyberangrep, innebærer ikke dette at ikke enkeltindivider eller virksomheter også har et ansvar for å sikre respekt for disse reglene ved cyberangrep. Eksempelvis kan enkeltindivider straffeforfølges for krigsforbrytelser når de utfører cyberangrep mot sivilbefolkningen i væpnet konflikt. Også teleselskaper som har gjort det mulig å gjennomføre cyberangrep mot sivile mål kan holdes ansvarlig for medvirkning til krigsforbrytelser hvis de ikke har gjort nok til å motvirke denne type angrep. Den norske straffeloven pålegger her norske foretak et betydelig objektivt ansvar i dag for hindre medvirkning til blant annet krigsforbrytelser.
Utenfor væpnet konflikt er det i utgangspunktet statene som skal sikre befolkningen mot cyberangrep.
Utenfor væpnet konflikt er det i utgangspunktet statene, herunder norske myndigheter som skal sikre befolkningen mot cyberangrep etter menneskerettighetene. Flere av menneskerettighetsforpliktelsene som retten til liv er imidlertid positive forpliktelser. Det innebærer at statene også skal sikre gjennom blant annet lovgivning at ingen andre bryter disse menneskerettighetene. I Norge er dettet gjort i f.eks sikkerhetsloven hvor også virksomheter er pålagt å sikre sine tjenester mot cyberangrep.
Selv om Røde Kors er av den oppfatningen at Genèvekonvensjonene og menneskerettighetene beskytter befolkningen mot cyberangrep både i væpnet konflikt og fredstid, betyr ikke det at vi ikke mener Norge står overfor utfordringer i å sikre oss mot denne type angrep.
Disse utfordringene ligger imidlertid ikke i mangel på regler om beskyttelse av sivilbefolkningen fra cyberangrep i folkeretten, men hvordan vi sikrer respekt for eksisterende folkerett ved disse angrepene. Her håper vi at selskaper som Microsoft vil bistå i hvordan vi kan styrke denne diskusjonen i fremtiden.
Mads Harlem er leder av politikk- og folkerettseksjonen i Røde Kors.