Noot van de redactie: De Cyber Law Toolkit richt zich voornamelijk tot beoefenaars van juridische beroepen met een goede kennis van het internationaal recht en pakt een kloof aan tussen de academische wereld en de praktijk wat het internationale cyberrecht betreft. Hoewel er steeds meer onderzoek is op dit gebied van het internationaal recht, zijn de resultaten ervan vaak niet gemakkelijk aan te passen aan de behoeften van beoefenaars van juridische beroepen die zich dagelijks bezighouden met cyberincidenten. De Toolkit tracht deze kloof te overbruggen door toegankelijke maar nauwkeurige praktische oplossingen te bieden voor scenario's die gebaseerd zijn op praktijkvoorbeelden van cyberoperaties met internationaal recht. De laatste algemene jaarlijkse update van de Toolkit werd gepubliceerd op 2 oktober 2020.
Uittreksel van het NAVO-coöperatieve Cyber Defence Centre of Excellence (NAVO CCDCOE)
De Cyber Law Toolkit
De Cyber Law Toolkit is een dynamische interactieve webgebaseerde bron voor juridische professionals die werken met zaken op het snijpunt van internationaal recht en cyberoperaties. De Toolkit kan op een aantal verschillende manieren worden onderzocht en gebruikt. In de kern bestaat het momenteel uit 19 hypothetische scenario's. Elk scenario bevat een beschrijving van cyberincidenten geïnspireerd door praktijkvoorbeelden, vergezeld van een gedetailleerde juridische analyse. Het doel van de analyse is na te gaan of het internationaal recht toepasselijk is op de scenario's en de problemen die deze aan de orde stellen.
Huidige voorbeeld scenario's
Verkiezingsinterferentie: In de aanloop naar een grote verkiezing in staat A, staat B voert een reeks van cyberincidenten gericht op het beïnvloeden van de verkiezingsresultaten. Deze acties hebben in verschillende mate invloed op de verkiezingscampagne, het bestuur van de verkiezingen en (uiteindelijk) de verkiezingsuitslag. Bij de analyse van dit scenario wordt nagegaan of een van de specifieke acties, afzonderlijk of tezamen, inbreuk kan zijn op verschillende regels van het internationaal recht, met name de verplichting om de soevereiniteit van andere staten te eerbiedigen, het verbod op interventie in de binnenlandse aangelegenheden van staten, en het recht op privacy van individuen.
Cyber Spionage Tegen Overheid Departementen: Een militaire eenheid van State B voert een cyberspionage operatie tegen Staat A Ministerie van Buitenlandse Zaken en haar ondergeschikte organisaties. De bij deze operatie verkregen gegevens worden later op het internet gepubliceerd door Staat B. De analyse gaat na of de operatie van staat B de soevereiniteit, het verbod op interventie en diplomatieke en consulaire wetgeving heeft geschonden.
Cyber Operations Against Power Grid: Inlichtingendiensten van een staat compromitteren de toeleveringsketen van een industrieel controlesysteem in een andere staat, waardoor toegang wordt verkregen tot een deel van zijn elektriciteitsnet. Latere bewerkingen brengen het raster naar beneden, wat leidt tot langdurige black-outs. In het scenario wordt onderzocht of dergelijke incidenten onder meer kunnen neerkomen op een verboden gebruik van geweld, een interventie in de binnenlandse aangelegenheden van een andere staat of een schending van de soevereiniteit van een andere staat. Specifieke aandacht wordt besteed aan de vraag of er sprake is van een op zichzelf staande verplichting om via cybermiddelen geen operaties uit te voeren tegen kritieke infrastructuur van andere staten.
Het falen van een staat om een internationale organisatie te helpen: Een internationale organisatie wordt het slachtoffer van cyberaanvallen, waarvan de impact had kunnen en moeten worden afgewend door de gaststaat. Het scenario onderzoekt de verplichting tot due diligence van de ontvangende staat en of en onder welke omstandigheden de internationale organisatie tegenmaatregelen kan treffen.
Staat onderzoekt en reageert op cyberoperaties tegen particuliere actoren op zijn grondgebied: Dit scenario beschouwt een reeks kwaadaardige cyberoperaties die afkomstig zijn van het grondgebied van de ene staat en gericht zijn op particuliere entiteiten op het grondgebied van een andere. In de loop van het onderzoek en na geen medewerking van de verdachte staat te hebben ontvangen, kiest de slachtofferstaat ervoor om zonder toestemming de netwerken van de vermoedelijke overtredende staat binnen te dringen. Het slachtoffer staat vervolgens ontdekt dat het militaire personeel van de verdachte overtredende staat was betrokken bij een aantal van de kwaadaardige cyberoperaties. In dit scenario worden de regels voor de verantwoordelijkheid van de staat geanalyseerd, met inbegrip van de toeschrijving en de mate van verantwoordelijkheid van de staat van herkomst, de internationale verplichtingen die mogelijk zijn geschonden, en de mogelijkheid van de slachtofferstaat om zijn reactie op grond van het recht van tegenmaatregelen te rechtvaardigen.
Cyber Countermaatregelen tegen en Enabling State: Een land waarvan wordt aangenomen dat het bezit van sterk ontwikkelde cybercapaciteiten herhaaldelijk niet in staat om andere staten te helpen bij het bestrijden van cyberaanvallen afkomstig van zijn grondgebied. Na nog een andere kwaadaardige cyberoperatie van het grondgebied van de voormalige staat resulteert in tal van slachtoffers in het buitenland, de genoemde staat komt onder een grootschalige DDoS-aanval. In het scenario wordt rekening gehouden met de internationale verplichting tot due diligence in de cybercontext en met het vermogen van staten om tegenmaatregelen te nemen in reactie op schendingen van die verplichting.
Lek van door de staat ontwikkelde hacking tools: Dit scenario betreft het lekken van door de staat ontwikkelde hackingtools, het falen van een staat om softwarebedrijven te informeren over kwetsbaarheden in hun producten, en het hergebruiken van de hacktools voor criminele doeleinden. De juridische analyse van dit scenario onderzoekt de verplichting tot due diligence, de verplichting om de soevereiniteit te respecteren en het verbod op interventie.
Certificate Authority Hack: Het scenario analyseert een cyberoperatie tegen een certificeringsinstantie die diensten verleent aan particuliere en publieke entiteiten, met aanwijzingen dat de operatie in opdracht van of geëxploiteerd werd door een staat. Wat zijn de relevante mensenrechtenverplichtingen in cyberspace? Welke andere internationale verplichtingen kunnen zijn geschonden?
Economische cyberspionage: Particuliere entiteiten worden doelwit van economische cyberspionage door of namens een staat. Onder welke omstandigheden kan cyberspionage worden toegeschreven aan de staat en deze staat volgens het internationaal recht verantwoordelijk worden gesteld? Welke maatregelen kan de slachtofferstaat op rechtmatige wijze nemen als reactie?
Cyber Weapons Review: State A ontwikkelt nieuwe malware die in staat is tot fysieke vernietiging van vijandelijke militaire uitrusting. Indien het echter wordt vrijgegeven, zal het ook naar verwachting leiden tot een tijdelijke aantasting van het gebruik van civiele cyberinfrastructuur waarmee het zich kan verspreiden om zijn doel te bereiken. In dit scenario wordt rekening gehouden met de verplichtingen van de staat om een wapenbeoordeling uit te voeren met betrekking tot dergelijke cybercapaciteiten die mogelijk al in vredestijd zijn, ruim voordat ze daadwerkelijk kunnen worden ingezet in tijden van gewapend conflict. In het bijzonder wordt onderzocht of dergelijke malware een wapen is dat inherent willekeurig is en daarom verboden is door het Internationaal Humanitair Recht.
Verkoop van Surveillance Tools in strijd met internationale sancties: Ondanks een internationaal embargo koopt en gebruikt een staat exploits die door een particuliere entiteit zijn ontwikkeld om zijn politieke doelstellingen na te streven. In dit scenario wordt nagegaan of het gebruik van de exploits in strijd is met de verplichtingen op het gebied van de mensenrechten van de optredende staat of met de soevereiniteit van andere staten. Ook wordt nagegaan welke landen verantwoordelijk zijn voor het breken van het embargo en of het Verdrag inzake cybercriminaliteit van invloed is op deze kwestie.
Cyber Operations Against Computer Data: In de context van een gewapend conflict voert een oorlogvoerder een reeks cyberoperaties uit tegen de datasets geassocieerd met de andere strijdlustig. Deze omvatten gegevens die worden gebruikt voor militaire doeleinden, essentiële civiele datasets en gegevens die de propaganda van de vijand dienen. De analyse in dit scenario houdt rekening met de rechtmatigheid van cyberoperaties die zijn ontworpen om verschillende soorten datasets te beschadigen of te verwijderen onder de wet van gewapende conflicten. Het richt zich met name op de vraag of gegevens in het kader van de wet van gewapende conflicten als „object” kunnen worden aangemerkt en of zij als zodanig onder de definitie van een militair doel vallen.
Cyber Operations as a Trigger of the Law of Armed Conflict: Twee staten en een niet-statelijke acteur raken betrokken bij een gewapende confrontatie met een combinatie van cyber- en kinetische operaties. De buitenstaat biedt verschillende vormen van financiële en militaire steun aan de niet-statelijke groep in haar strijd tegen de territoriale staat. In de analyse in dit scenario wordt nagegaan of een van de relevante incidenten aanleiding geeft tot de toepassing van het recht van gewapend conflict en wordt onderzocht of de daaruit voortvloeiende situatie als een internationaal of een niet-internationaal gewapend conflict zou worden aangemerkt.
Ransomware Campagne: Gemeentelijke overheden en zorgverleners in een staat worden het slachtoffer van een ransomware campagne gelanceerd door een niet-statelijke groep in een tweede staat. De ransomware-campagne schakelt gemeentelijke en gezondheidszorgdiensten in de eerste staat uit. Het scenario onderzoekt hoe de ransomware campagne kan worden ingedeeld naar internationaal recht. Zij onderzoekt in de eerste plaats of de campagne een schending is van een internationale verplichting die aan een staat kan worden toegerekend. Vervolgens wordt ingegaan op de mogelijke juridische reacties die de slachtofferstaat ter beschikking staan.
Cyber Misleiding Tijdens een gewapend conflict: Twee staten zijn betrokken bij een gewapend conflict. Om de lancering van een groot militair offensief te vergemakkelijken, voert een van de staten verschillende cybermisleiding operaties tegen de andere staat uit. De analyse in dit scenario gaat na of de operaties in overeenstemming zijn met de relevante regels van het internationaal humanitair recht, met inbegrip van het verbod op perfidy en het verbod op oneigenlijk gebruik van internationaal erkende emblemen, tekens en signalen.
Cyber Attacks Against Ships on the High Seas: Dit scenario beschouwt een reeks cyberoperaties tegen koopvaardijschepen en oorlogsschepen op volle zee vanuit het perspectief van internationaal publiekrecht. Het analyseert met name kwesties die verband houden met de jurisdictie en de vrijheid van navigatie op volle zee, en of de cyberoperaties een verboden gebruik van geweld inhouden.
Collectieve Reacties op Cyber Operations: Een staat valt het slachtoffer van een breed scala van cyberoperaties en vraagt zijn bondgenoten om hulp. In het bijzonder wil de staat dat zijn bondgenoten collectief en publiekelijk de cyberoperaties toeschrijven aan de dader staat, reisverboden en bevriezing van tegoed ten uitvoer leggen tegen de individuele daders en collectieve tegenmaatregelen nemen tegen de verantwoordelijke staat om deze ertoe aan te zetten het cybersysteem te staken operaties. Het scenario onderzoekt de wettigheid van deze collectieve reacties op cyberoperaties vanuit het perspectief van het internationaal recht.
Juridische status van cyberoperatoren tijdens gewapend conflict: Tijdens een conventioneel gewapend conflict, een staat zet drie groepen personen in voor zijn cyberoperaties tegen een vijandelijke staat. Een vierde, civiele groep, sluit zich aan bij de strijd en lanceert cyberoperaties tegen dezelfde vijand. Het scenario analyseert de rechtmatigheid van de dodelijke targeting van deze vier verschillende soorten cyberoperatoren. Het concentreert zich met name op de status en de functies van het betrokken personeel.
Haat Speech: Staat A maakt gebruik van een sociaal mediaplatform met hoofdzetel in staat B om raciale en religieuze haat aan te zetten tegen een etnische en religieuze minderheid op zijn eigen grondgebied. Het daaruit voortvloeiende geweld escaleert tot een niet-internationaal gewapend conflict met cyberoperaties tussen staat A en leden van de etnische en religieuze minderheid die zich tot een gewapende oppositiegroep organiseren. Het scenario analyseert of de incidenten het gevolg waren van schendingen van het internationaal recht, waaronder het internationaal mensenrechtenrecht, het internationaal humanitair recht en het internationaal strafrecht.
Bovendien deelt de Toolkit meer dan twintig real-world incidenten die geïnspireerd zijn op de analyse (en scenario's) gepresenteerd in het project. Deze voorbeelden zijn:
Brno University Hospital Ransomware aanval (2020)
Texas Municipality ransomware aanval (2019)
Afrikaanse Unie hoofdkwartier hack (2018)
SamSamSam-ransomware-incidenten (2018)
Lek in de Franse presidentsverkiezingen (2017)
WannaCry (2017)
NotPetya (2017)
Operatie Cloudhopper (2017)
Haattoespraak in India (2017)
Ethiopische bewaking van journalisten in het buitenland (2017)
Aanklacht tegen Wu Yingzhuo, Dong Hao en Xia Lei (2017)
Triton (2017)
DNC e-mail lek (2016)
De Shadow Brokers publiceren de NSA kwetsbaarheden (2016)
Het hacken Team Hack (2015)
Elektriciteitsnet cyberaanval in Oekraïne (2015)
Bundestag Hack (2015)
Gegevensleek Bureau Personeelsbeheer (2015)
Oekraïense parlementsverkiezingen inmenging (2014)
Chinese PLA Unit 61398 aanklachten (2014)
Sony Pictures Entertainment aanval (2014)
Staalfabriek in Duitsland (2014)
Shamoen (2012)
DigiNotar (2011)
Stuxnet (2010)
Georgië-Rusland conflict (2008)
Cyberaanvallen tegen Estland (2007)
Over de Cyber Law Toolkit en Project
De Toolkit werd formeel gelanceerd op 28 mei 2019 in Tallinn, Estland, en het project wordt gerund door een consortium van vijf partnerinstellingen: het Tsjechisch Nationaal Agentschap voor cyber- en informatiebeveiliging (NCISA), het Internationaal Comité van het Rode Kruis (ICRC), het Cooperative Cyber Defence Centre of Excellence van de NAVO (NATO CCDCOE), Universiteit van Exeter en Wuhan University. Het projectteam bestaat uit Dr. Kubo Mačák (Exeter), algemeen redacteur, de heer Tomáš Minárik (NCISA), Managing Editor en mevrouw Taťána Jančárková (NATO CCDCOE), Scenario Editor. De individuele scenario's en de Toolkit zijn beoordeeld door een team van meer dan 30 externe experts en peer reviewers. De Toolkit is een interactieve bron die voortdurend wordt ontwikkeld en bijgewerkt, met de eerste algemene jaarlijkse update gepubliceerd op 2 oktober 2020.
Meer informatie over de toolkit en het project bij Cyber Law Toolkit
Extra lezen
Van proactieve detectie tot beoordelingen van gegevensinbreuken: detectie en extractie van gevoelige gegevens met Ascema
Nieuw van NIST: integratie van cyberbeveiliging en Enterprise Risk Management (ERM)
Bron: complexDiscovery