[Jaarlijkse update] Het snijpunt van internationaal recht en cyberoperaties: een interactieve cyberwet Toolkit

The Cyber Law Toolkit is a dynamic interactive web-based resource for legal professionals who work with matters at the intersection of international law and cyber operations. At its heart, the Toolkit currently consists of 19 hypothetical scenarios. Each scenario contains a description of cyber incidents inspired by real-world examples, accompanied by detailed legal analysis. The aim of the analysis is to examine the applicability of international law to the scenarios and the issues they raise. The Toolkit was formally launched on 28 May 2019 in Tallinn, Estonia. Its first general annual update was published on October 2, 2020.

en flag
nl flag
et flag
fi flag
fr flag
de flag
ru flag
es flag

Noot van de redactie: De Cyber Law Toolkit richt zich voornamelijk tot beoefenaars van juridische beroepen met een goede kennis van het internationaal recht en pakt een kloof aan tussen de academische wereld en de praktijk wat het internationale cyberrecht betreft. Hoewel er steeds meer onderzoek is op dit gebied van het internationaal recht, zijn de resultaten ervan vaak niet gemakkelijk aan te passen aan de behoeften van beoefenaars van juridische beroepen die zich dagelijks bezighouden met cyberincidenten. De Toolkit tracht deze kloof te overbruggen door toegankelijke maar nauwkeurige praktische oplossingen te bieden voor scenario's die gebaseerd zijn op praktijkvoorbeelden van cyberoperaties met internationaal recht. De laatste algemene jaarlijkse update van de Toolkit werd gepubliceerd op 2 oktober 2020.

Uittreksel van het NAVO-coöperatieve Cyber Defence Centre of Excellence (NAVO CCDCOE)

De Cyber Law Toolkit

De Cyber Law Toolkit is een dynamische interactieve webgebaseerde bron voor juridische professionals die werken met zaken op het snijpunt van internationaal recht en cyberoperaties. De Toolkit kan op een aantal verschillende manieren worden onderzocht en gebruikt. In de kern bestaat het momenteel uit 19 hypothetische scenario's. Elk scenario bevat een beschrijving van cyberincidenten geïnspireerd door praktijkvoorbeelden, vergezeld van een gedetailleerde juridische analyse. Het doel van de analyse is na te gaan of het internationaal recht toepasselijk is op de scenario's en de problemen die deze aan de orde stellen.

Huidige voorbeeld scenario's

Verkiezingsinterferentie: In de aanloop naar een grote verkiezing in staat A, staat B voert een reeks van cyberincidenten gericht op het beïnvloeden van de verkiezingsresultaten. Deze acties hebben in verschillende mate invloed op de verkiezingscampagne, het bestuur van de verkiezingen en (uiteindelijk) de verkiezingsuitslag. Bij de analyse van dit scenario wordt nagegaan of een van de specifieke acties, afzonderlijk of tezamen, inbreuk kan zijn op verschillende regels van het internationaal recht, met name de verplichting om de soevereiniteit van andere staten te eerbiedigen, het verbod op interventie in de binnenlandse aangelegenheden van staten, en het recht op privacy van individuen.

Cyber Spionage Tegen Overheid Departementen: Een militaire eenheid van State B voert een cyberspionage operatie tegen Staat A Ministerie van Buitenlandse Zaken en haar ondergeschikte organisaties. De bij deze operatie verkregen gegevens worden later op het internet gepubliceerd door Staat B. De analyse gaat na of de operatie van staat B de soevereiniteit, het verbod op interventie en diplomatieke en consulaire wetgeving heeft geschonden.

Cyber Operations Against Power Grid: Inlichtingendiensten van een staat compromitteren de toeleveringsketen van een industrieel controlesysteem in een andere staat, waardoor toegang wordt verkregen tot een deel van zijn elektriciteitsnet. Latere bewerkingen brengen het raster naar beneden, wat leidt tot langdurige black-outs. In het scenario wordt onderzocht of dergelijke incidenten onder meer kunnen neerkomen op een verboden gebruik van geweld, een interventie in de binnenlandse aangelegenheden van een andere staat of een schending van de soevereiniteit van een andere staat. Specifieke aandacht wordt besteed aan de vraag of er sprake is van een op zichzelf staande verplichting om via cybermiddelen geen operaties uit te voeren tegen kritieke infrastructuur van andere staten.

Het falen van een staat om een internationale organisatie te helpen: Een internationale organisatie wordt het slachtoffer van cyberaanvallen, waarvan de impact had kunnen en moeten worden afgewend door de gaststaat. Het scenario onderzoekt de verplichting tot due diligence van de ontvangende staat en of en onder welke omstandigheden de internationale organisatie tegenmaatregelen kan treffen.

Staat onderzoekt en reageert op cyberoperaties tegen particuliere actoren op zijn grondgebied: Dit scenario beschouwt een reeks kwaadaardige cyberoperaties die afkomstig zijn van het grondgebied van de ene staat en gericht zijn op particuliere entiteiten op het grondgebied van een andere. In de loop van het onderzoek en na geen medewerking van de verdachte staat te hebben ontvangen, kiest de slachtofferstaat ervoor om zonder toestemming de netwerken van de vermoedelijke overtredende staat binnen te dringen. Het slachtoffer staat vervolgens ontdekt dat het militaire personeel van de verdachte overtredende staat was betrokken bij een aantal van de kwaadaardige cyberoperaties. In dit scenario worden de regels voor de verantwoordelijkheid van de staat geanalyseerd, met inbegrip van de toeschrijving en de mate van verantwoordelijkheid van de staat van herkomst, de internationale verplichtingen die mogelijk zijn geschonden, en de mogelijkheid van de slachtofferstaat om zijn reactie op grond van het recht van tegenmaatregelen te rechtvaardigen.

Cyber Countermaatregelen tegen en Enabling State: Een land waarvan wordt aangenomen dat het bezit van sterk ontwikkelde cybercapaciteiten herhaaldelijk niet in staat om andere staten te helpen bij het bestrijden van cyberaanvallen afkomstig van zijn grondgebied. Na nog een andere kwaadaardige cyberoperatie van het grondgebied van de voormalige staat resulteert in tal van slachtoffers in het buitenland, de genoemde staat komt onder een grootschalige DDoS-aanval. In het scenario wordt rekening gehouden met de internationale verplichting tot due diligence in de cybercontext en met het vermogen van staten om tegenmaatregelen te nemen in reactie op schendingen van die verplichting.

Lek van door de staat ontwikkelde hacking tools: Dit scenario betreft het lekken van door de staat ontwikkelde hackingtools, het falen van een staat om softwarebedrijven te informeren over kwetsbaarheden in hun producten, en het hergebruiken van de hacktools voor criminele doeleinden. De juridische analyse van dit scenario onderzoekt de verplichting tot due diligence, de verplichting om de soevereiniteit te respecteren en het verbod op interventie.

Certificate Authority Hack: Het scenario analyseert een cyberoperatie tegen een certificeringsinstantie die diensten verleent aan particuliere en publieke entiteiten, met aanwijzingen dat de operatie in opdracht van of geëxploiteerd werd door een staat. Wat zijn de relevante mensenrechtenverplichtingen in cyberspace? Welke andere internationale verplichtingen kunnen zijn geschonden?

Economische cyberspionage: Particuliere entiteiten worden doelwit van economische cyberspionage door of namens een staat. Onder welke omstandigheden kan cyberspionage worden toegeschreven aan de staat en deze staat volgens het internationaal recht verantwoordelijk worden gesteld? Welke maatregelen kan de slachtofferstaat op rechtmatige wijze nemen als reactie?

Cyber Weapons Review: State A ontwikkelt nieuwe malware die in staat is tot fysieke vernietiging van vijandelijke militaire uitrusting. Indien het echter wordt vrijgegeven, zal het ook naar verwachting leiden tot een tijdelijke aantasting van het gebruik van civiele cyberinfrastructuur waarmee het zich kan verspreiden om zijn doel te bereiken. In dit scenario wordt rekening gehouden met de verplichtingen van de staat om een wapenbeoordeling uit te voeren met betrekking tot dergelijke cybercapaciteiten die mogelijk al in vredestijd zijn, ruim voordat ze daadwerkelijk kunnen worden ingezet in tijden van gewapend conflict. In het bijzonder wordt onderzocht of dergelijke malware een wapen is dat inherent willekeurig is en daarom verboden is door het Internationaal Humanitair Recht.

Verkoop van Surveillance Tools in strijd met internationale sancties: Ondanks een internationaal embargo koopt en gebruikt een staat exploits die door een particuliere entiteit zijn ontwikkeld om zijn politieke doelstellingen na te streven. In dit scenario wordt nagegaan of het gebruik van de exploits in strijd is met de verplichtingen op het gebied van de mensenrechten van de optredende staat of met de soevereiniteit van andere staten. Ook wordt nagegaan welke landen verantwoordelijk zijn voor het breken van het embargo en of het Verdrag inzake cybercriminaliteit van invloed is op deze kwestie.

Cyber Operations Against Computer Data: In de context van een gewapend conflict voert een oorlogvoerder een reeks cyberoperaties uit tegen de datasets geassocieerd met de andere strijdlustig. Deze omvatten gegevens die worden gebruikt voor militaire doeleinden, essentiële civiele datasets en gegevens die de propaganda van de vijand dienen. De analyse in dit scenario houdt rekening met de rechtmatigheid van cyberoperaties die zijn ontworpen om verschillende soorten datasets te beschadigen of te verwijderen onder de wet van gewapende conflicten. Het richt zich met name op de vraag of gegevens in het kader van de wet van gewapende conflicten als „object” kunnen worden aangemerkt en of zij als zodanig onder de definitie van een militair doel vallen.

Cyber Operations as a Trigger of the Law of Armed Conflict: Twee staten en een niet-statelijke acteur raken betrokken bij een gewapende confrontatie met een combinatie van cyber- en kinetische operaties. De buitenstaat biedt verschillende vormen van financiële en militaire steun aan de niet-statelijke groep in haar strijd tegen de territoriale staat. In de analyse in dit scenario wordt nagegaan of een van de relevante incidenten aanleiding geeft tot de toepassing van het recht van gewapend conflict en wordt onderzocht of de daaruit voortvloeiende situatie als een internationaal of een niet-internationaal gewapend conflict zou worden aangemerkt.

Ransomware Campagne: Gemeentelijke overheden en zorgverleners in een staat worden het slachtoffer van een ransomware campagne gelanceerd door een niet-statelijke groep in een tweede staat. De ransomware-campagne schakelt gemeentelijke en gezondheidszorgdiensten in de eerste staat uit. Het scenario onderzoekt hoe de ransomware campagne kan worden ingedeeld naar internationaal recht. Zij onderzoekt in de eerste plaats of de campagne een schending is van een internationale verplichting die aan een staat kan worden toegerekend. Vervolgens wordt ingegaan op de mogelijke juridische reacties die de slachtofferstaat ter beschikking staan.

Cyber Misleiding Tijdens een gewapend conflict: Twee staten zijn betrokken bij een gewapend conflict. Om de lancering van een groot militair offensief te vergemakkelijken, voert een van de staten verschillende cybermisleiding operaties tegen de andere staat uit. De analyse in dit scenario gaat na of de operaties in overeenstemming zijn met de relevante regels van het internationaal humanitair recht, met inbegrip van het verbod op perfidy en het verbod op oneigenlijk gebruik van internationaal erkende emblemen, tekens en signalen.

Cyber Attacks Against Ships on the High Seas: Dit scenario beschouwt een reeks cyberoperaties tegen koopvaardijschepen en oorlogsschepen op volle zee vanuit het perspectief van internationaal publiekrecht. Het analyseert met name kwesties die verband houden met de jurisdictie en de vrijheid van navigatie op volle zee, en of de cyberoperaties een verboden gebruik van geweld inhouden.

Collectieve Reacties op Cyber Operations: Een staat valt het slachtoffer van een breed scala van cyberoperaties en vraagt zijn bondgenoten om hulp. In het bijzonder wil de staat dat zijn bondgenoten collectief en publiekelijk de cyberoperaties toeschrijven aan de dader staat, reisverboden en bevriezing van tegoed ten uitvoer leggen tegen de individuele daders en collectieve tegenmaatregelen nemen tegen de verantwoordelijke staat om deze ertoe aan te zetten het cybersysteem te staken operaties. Het scenario onderzoekt de wettigheid van deze collectieve reacties op cyberoperaties vanuit het perspectief van het internationaal recht.

Juridische status van cyberoperatoren tijdens gewapend conflict: Tijdens een conventioneel gewapend conflict, een staat zet drie groepen personen in voor zijn cyberoperaties tegen een vijandelijke staat. Een vierde, civiele groep, sluit zich aan bij de strijd en lanceert cyberoperaties tegen dezelfde vijand. Het scenario analyseert de rechtmatigheid van de dodelijke targeting van deze vier verschillende soorten cyberoperatoren. Het concentreert zich met name op de status en de functies van het betrokken personeel.

Haat Speech: Staat A maakt gebruik van een sociaal mediaplatform met hoofdzetel in staat B om raciale en religieuze haat aan te zetten tegen een etnische en religieuze minderheid op zijn eigen grondgebied. Het daaruit voortvloeiende geweld escaleert tot een niet-internationaal gewapend conflict met cyberoperaties tussen staat A en leden van de etnische en religieuze minderheid die zich tot een gewapende oppositiegroep organiseren. Het scenario analyseert of de incidenten het gevolg waren van schendingen van het internationaal recht, waaronder het internationaal mensenrechtenrecht, het internationaal humanitair recht en het internationaal strafrecht.

Bovendien deelt de Toolkit meer dan twintig real-world incidenten die geïnspireerd zijn op de analyse (en scenario's) gepresenteerd in het project. Deze voorbeelden zijn:

Brno University Hospital Ransomware aanval (2020)

Texas Municipality ransomware aanval (2019)

Afrikaanse Unie hoofdkwartier hack (2018)

SamSamSam-ransomware-incidenten (2018)

Lek in de Franse presidentsverkiezingen (2017)

WannaCry (2017)

NotPetya (2017)

Operatie Cloudhopper (2017)

Haattoespraak in India (2017)

Ethiopische bewaking van journalisten in het buitenland (2017)

Aanklacht tegen Wu Yingzhuo, Dong Hao en Xia Lei (2017)

Triton (2017)

DNC e-mail lek (2016)

De Shadow Brokers publiceren de NSA kwetsbaarheden (2016)

Het hacken Team Hack (2015)

Elektriciteitsnet cyberaanval in Oekraïne (2015)

Bundestag Hack (2015)

Gegevensleek Bureau Personeelsbeheer (2015)

Oekraïense parlementsverkiezingen inmenging (2014)

Chinese PLA Unit 61398 aanklachten (2014)

Sony Pictures Entertainment aanval (2014)

Staalfabriek in Duitsland (2014)

Shamoen (2012)

DigiNotar (2011)

Stuxnet (2010)

Georgië-Rusland conflict (2008)

Cyberaanvallen tegen Estland (2007)

Over de Cyber Law Toolkit en Project

De Toolkit werd formeel gelanceerd op 28 mei 2019 in Tallinn, Estland, en het project wordt gerund door een consortium van vijf partnerinstellingen: het Tsjechisch Nationaal Agentschap voor cyber- en informatiebeveiliging (NCISA), het Internationaal Comité van het Rode Kruis (ICRC), het Cooperative Cyber Defence Centre of Excellence van de NAVO (NATO CCDCOE), Universiteit van Exeter en Wuhan University. Het projectteam bestaat uit Dr. Kubo Mačák (Exeter), algemeen redacteur, de heer Tomáš Minárik (NCISA), Managing Editor en mevrouw Taťána Jančárková (NATO CCDCOE), Scenario Editor. De individuele scenario's en de Toolkit zijn beoordeeld door een team van meer dan 30 externe experts en peer reviewers. De Toolkit is een interactieve bron die voortdurend wordt ontwikkeld en bijgewerkt, met de eerste algemene jaarlijkse update gepubliceerd op 2 oktober 2020.

Meer informatie over de toolkit en het project bij Cyber Law Toolkit

Extra lezen

Van proactieve detectie tot beoordelingen van gegevensinbreuken: detectie en extractie van gevoelige gegevens met Ascema

Nieuw van NIST: integratie van cyberbeveiliging en Enterprise Risk Management (ERM)

Bron: complexDiscovery

eDiscovery Fusies, Overnames en Investeringen in 2020

Since beginning to track the number of publicly highlighted merger, acquisition,...

Relativiteit verwerft VerQu

According to Relativity CEO Mike Gamson, "It's imperative that the legal...

eDiscovery Fusies, overnames en investeringen in Q4 2020

From Nuix and DISCO to Exterro and AccessData, the following findings,...

DISCO sluit financieringsronde van $100 miljoen af

According to DISCO CEO Kiwi Camara, “Legaltech is booming now, and...

A New Era in eDiscovery? Framing Market Growth Through the Lens of Six Eras

There are many excellent resources for considering chronological and historiographical approaches...

Een eDiscovery Market Size Mashup: 2020-2025 Wereldwijd overzicht van software en services

While the Compound Annual Growth Rate (CAGR) for worldwide eDiscovery software...

De basislijn resetten? EDiscovery Marktgrootte aanpassingen voor 2020

An unanticipated pandemeconomic-driven retraction in eDiscovery spending during 2020 has resulted...

Thuis of weg? eDiscovery Collection Market Overwegingen voor afmetingen en prijzen

One of the key home (onsite) or away (remote) decisions that...

Vijf geweldige lezingen op eDiscovery voor januari 2021

From eDiscovery business confidence and operational metrics to merger and acquisition...

Vijf geweldige lezingen op eDiscovery voor december 2020

May the peace and joy of the holiday season be with...

Vijf geweldige lezingen op eDiscovery voor november 2020

From market sizing and cyber law to industry investments and customer...

Vijf geweldige lezingen op eDiscovery voor oktober 2020

From business confidence and captive ALSPs to digital republics and mass...

Slechts een kwestie van tijd? HayStackID lanceert nieuwe service voor detectie en beoordeling van datalekken

According to HaystackID's Chief Innovation Officer and President of Global Investigations,...

Het is een Match! Focus op de totale kosten van eDiscovery Review met ReviewRight Match

As a leader in remote legal document review, HaystackID provides clients...

From Proactive Detection to Data Breach Reviews: Sensitive Data Discovery and Extraction with Ascema

A steady rise in the number of sensitive data discovery requirements...

A Running List: Top 100+ eDiscovery Providers

Based on a compilation of research from analyst firms and industry...

Niet zo uitmuntend? Operationele statistieken van eDiscovery in de winter van 2021

In the winter of 2021, eDiscovery Business Confidence Survey more...

Winter 2021 Resultaten van eDiscovery Business Confidence

This is the twenty-first quarterly eDiscovery Business Confidence Survey conducted by...

High Five? Een samengevoegd overzicht van vijf halfjaarlijkse eDiscovery Pricing Enquêtes

As we are in the midst of a pandemic that has...

Relevantie en realiteit in evenwicht brengen? Resultaten eDiscovery Prijzen Survey Winter 2021

Based on the complexity of data and legal discovery, it is...