חשיבה מחוץ למסגרת: לקחים ראשונים ממתקפת WannaCry#

המתקפה המסיבית וחובקת העולם שארעה ביום שישי, ה-12 למאי 2017 נגד שורה ארוכה של מערכות מחשוב ממחישה שוב את הפוטנציאל ההרסני של מתקפות סייבר המבוצעות באמצעות תוכנות מחשב זדוניות. לאור האופי הגלובלי של המתקפה (שזכתה לכינוי #WannaCry ושהתבססה על תכנה שנגנבה ממחשבי סוכנות הביטחון הלאומי האמריקאית ה- NSA), ולאור פגיעתה במשתמשים מלמעלה מ-150 מדינות, מתעוררות שאלות לא פשוטות על אודות טיבם של ההסדרים המשפטיים הקיימים במישור הבינלאומי להתמודדות עם מתקפות סייבר: האם הם מספקים כלים יעילים למנוע או ליירט את המתקפות? והאם הם מאפשרים להעניש את מבצעיהם של המתקפות ולפעול נגד המדינות התומכות בהם, או לכל הפחות אינן את פעולתם?

העמדה המקובלת בקרב רוב מומחי המשפט הבינלאומי הנה כי המרחב הקיברנטי אינו מרחב ריק מבחינה משפטית. על פי תפיסה זו, כללי המשפט המסדירים אינטראקציות בין מדינות, לרבות הכללים המטילים חובה על כל מדינה לנקוט צעדים סבירים על מנת למנוע ניצול לרעה של שיטחה לשם פעילות הפוגעת בשטחה של מדינה אחרת או בתושבים הנמצאים שם, והכללים המחייבים מדינות לשתף פעולה עם מדינות זרות לצרוך מיגור עבריינות בינלאומית, חלים בשינויים המחויבים גם על פעילות ברשתות מחשב חוצות גבולות. משמעות הדברים היא כי תקיפת סייבר הפוגעת בשטח מדינה אחת ושמקורה בשטחה של מדינה אחרת עשויה להיחשב כהפרה של הדין מצד אותה מדינה אחרת, גם אם התוקף לא פעל בשליחות המדינה, זאת, כל עוד המדינה לא נקטה באמצעים סבירים למנוע את הפעולה או להעניש את מבצעה. עם זאת, קיימת מחלוקת משפטית חריפה בכל הקשור לנסיבות בהן תהא המדינה שנפלה קרבן להתקפה זכאית להפעיל כוח צבאי פיסי (המוגדר בספרות הסייבר ככח "קינטי") או מתקפת סייבר נגדית כלפי המדינה שמשטחה יצאה התקיפה.

בלב המחלוקת מצויות מסקנותיה של קבוצת עבודה של מומחים למשפט בינלאומי שהתכנסה בין השנים 2009 -2013 בעיר טאלין שבאסטוניה תחת חסות נאט"ו וחיברה מדריך לחימה, המנסה להתאים את דיני המלחמה המסורתיים של המשפט הבינלאומי ללוחמת סייבר (מדריך טאלין 1). סבב נוסף של דיונים בקרב קבוצת העבודה (בהרכב מורחב) הוביל לפני מספר חודשים לפרסום של מדריך מעודכן הדן בתחולה רחבה יותר של כללי משפט בינלאומי על מתקפות סייבר (מדריך טאלין 2). בבסיס מדריכי טאלין מצויה התפיסה – השנויה במחלוקת – כי הזכות להגנה עצמית, קינטית או קיברנטית, קמה למדינה המותקפת רק כאשר היקף מתקפת הסייבר שספגה הנו משמעותי וכאשר תוצאותיה של המתקפה היו חמורות ובנות השוואה למתקפה צבאית נרחבת. כך למשל, קבוצת העבודה סברה כי תקיפות המערבות פעולות ריגול, גניבת מידע, והשבתה לזמן קצר של שירותי רשת בלתי חיוניים לא יצדיקו ככלל שימוש בכוח להגנה עצמית. לעומת זאת, תקיפת סייבר הגורמת לפגיעה בחיים ולנזק חמור לרכוש עשויה להצדיק זאת (כלל 71 לכללי טאלין 2). יש לציין גם, כי מדריכי טאלין תומכים בזכות ל"הגנה עצמית מקדימה" אשר נועדה למנוע התקפה משמעותית וחמורה שטרם התרחשה, אך צפויה להתרחש בכל רגע נתון (כלל 73 לכללי טאלין 2). עם זאת, קיימת במדריכי טאלין עמימות רבה באשר להיתר להפעיל סנקציות כלשהן כנגד המדינות מהן יוצאות או צפויות לצאת התקיפות באותם מקרים בהם לא ברור כי הן עמדו מאחורי ההתקפה או התרשלו במניעת המתקפה משטחן.

המאפיינים הייחודיים של תקיפות סייבר, מחריפים את הקושי המעשי שנוצר כתוצאה מהמסגרת המשפטית הקיימת, כפי שהיא עוצבה במדריכי טאלין: מעורבותם של פצחנים (האקרים) אנונימיים במתקפות מקשה על ייחוס הפעולה במישרין או בעקיפין למדינה שבשטחה הם נמצאים, ועשוי לצבוע בצבעים של אי חוקיות פעולות תגמול נגד אותה המדינה או אפילו פעולה ישירה נגד אותם האקרים המצויים בשטחיה של המדינה הזרה (שכן למדינות אין היתר כללי לאכוף חוק בשטח מדינה זרה בלי הסכמתה או אישורה של זו האחרונה). בד בבד, ככל שמדובר במקרים של פגיעה שאינה קינטית – אלא רק בשיבושי תוכנה או בפגיעה במידע – וככל שהפגיעה היא בת תיקון בתוך פרק זמן קצר יחסית, ספק אם נחצה רף החומרה המעמיד בכלל למדינה המותקפת זכות הגנה עצמית מכוח המשפט הבינלאומי. מדריכי טאלין גם לא מספקים מענה ברור לשורה של שאלות מעשיות הקשורות לאופן היישום של הדרישה להקטין את הפגיעה הנלווית שמתקפת הנגד גורמת לאוכלוסייה האזרחית אשר לא היתה מעורבת בתקיפה הראשונית בהקשר הקיברנטי, בו תשתיות אזרחיות וצבאיות נוטות להיות שלובות זו בזו.

לאור האמור לעיל, ספק אם לפי מדריכי טאלין יש למי מהמדינות בהן פגעה תכנית WannaCry זכות להגנה עצמית מכוח המשפט הבינלאומי: כמובן, כל עוד לא ברור מה מקור התקיפה, לא קיים יעד קונקרטי בו ניתן לפגוע; וגם את יתברר כי מקור התקיפה במדינה מסוימת (כך למשל, ידיעות שהתפרסמו בימים האחרונים הפנו את החשד לפצחנים מצפון קוריאה), עדיין תהיה חובה למדינה המגיבה להראות כי אותה המדינה, לכל הפחות, התרשלה במניעת המתקפה. יתר על כן, לא ברור כלל כי מתקפות כופר (המלוות ב"נעילת מחשבים" ובדרישה לתשלום כספי) הן מתקפות בנות השוואה למתקפות צבאיות "קלאסיות", העשויות להצדיק שימוש בכוח במסגרת הגנה עצמית. גם לא ברור, אילו תגובות באות בחשבון באותם מקרים בהן צפויה פגיעה נלווית באוכלוסייה אזרחית במדינת המקור עקב תקיפת הנגד.

למיטב הערכתנו, ההסדר משפטי העולה מכללי טאלין אינו מספק כיום מענה פרקטי טוב דיו – במובן זה, שהוא עמום מדי, ואינו מעניק הגנה חזקה מספיק לאינטרסים הביטחוניים והכלכליים של רוב המדינות ושל תושביהן. על כן, ספק רב בעינינו אם כללים אלה יוכלו לשמש בסיס יציב מספיק להסדרה משפטית של המרחב הקיברנטי. בנוסף, האופי הגלובאלי של המתקפה שאירעה ביום שישי ה-12 למאי מדגיש את הצורך בשיתוף פעולה רחב במרחב הקיברנטי, ואת חוסר הרלוונטיות של מסגרת משפטית המתייחסת למתקפה עולמית כאל סדרה של מתקפות דו-צדדיות (קרי, סכסוך בין המדינה "התוקפת" לכל אחת מהמדינות המותקפות בנפרד). שיתוף פעולה בינלאומי יעיל במאבק במתקפות סייבר יכול להתבצע במסגרת מועצת הביטחון (כפי שהדבר נעשה במסגרת המאבק בטרור, לאחר פיגועי ה-11.9.01),במסגרות אזוריות כגון נאט"ו, או במסגרת הסדרים משפטיים חדשים, אך לא ברור אם כבר בשלו התנאים הפוליטיים לכך.

בינתיים, ברור לכל, כי על כל המדינות אשר עשויות להיות מותקפות לשפר בצורה משמעותית את היכולות הטכנולוגיות והארגוניות שלהן, באופן אשר יאפשר להן להתגונן ולהגיב בצורה יעילה נגד מתקפות סייבר. מעניין לציין, בהקשר זה, כי הנשיא טראמפ חתם ביום 11 למאי – יום לפני מתקפת WannaCry - על צו נשיאותי המורה לרשויות הביטחון האמריקאיות לגבש בתוך מספר שבועות תכניות חדשות לשדרוג מערכות ההגנה על רשתות המחשב בהן משתמשות הרשויות הפדרליות ושבהן תלויות תשתיות לאומיות אמריקאיות חיוניות. הנשיא גם הורה לגבש תכניות פעולה לשיפור ההגנה על תושבי ארה"ב מפני תקיפות סייבר, להגברת ההרתעה האמריקאית נגד תוקפנים פוטנציאליים ולחיזוק שיתוף הפעולה הבינלאומי בהגנה על המרחב הקיברנטי. ניתן לציין, בהקשר זה, כי בישראל התקבלו כבר בשנת 2015 החלטות ממשלה דומות בנושא (החלטה 2443 ו-2444) אשר הקימו מספר גופים שנועדו לקידום הגנת סייבר במגזר הממשלתי, בכלל, ועל מערכות מחשב חיוניות בפרט, ובמרכזם רשות לאומית להגנת סייבר המופקדת על הכנת "תורה לאומית" בנושא הגנת סייבר.

ברור לנו עם זאת, כי בלא שיתוף פעולה בינלאומי נמרץ, ובלא פיתוח מסגרת משפטית בינלאומית אפקטיבית, יכולתה של מדינה כלשהי להתמודד בצורה יעילה עם האתגר הנובע ממתקפות סייבר, כמו זו שהחלה ביום שישי האחרון וייתכן כי טרם נסתיימה – תהיינה היכולות הטכנולוגיות שלה אשר תהיינה – היא מוגבלת ביותר.