‘CYBER WARFARE EN HET RECHT DER GEWAPENDE CONFLICTEN’ · Cyber warfare wordt gevoerd in een...
Transcript of ‘CYBER WARFARE EN HET RECHT DER GEWAPENDE CONFLICTEN’ · Cyber warfare wordt gevoerd in een...
‘CYBER WARFARE EN HET RECHT DER GEWAPENDE CONFLICTEN’ Aantal woorden: 54.210
Camille Vansteenkiste Studentennummer: 01200308 Promotor: Prof. dr. Tom Ruys Copromotor: Klaas Willaert Masterproef voorgelegd voor het behalen van de graad master in de rechten Academiejaar: 2016 - 2017
II
III
IV
V
DANKWOORD
In een huzarenstukje als dit is het wel op zijn plaats om een aantal mensen te bedanken. Deze
Masterproef zou er nooit gekomen zijn zonder de verrijkende steun van een aantal personen, onder wie
vooral mijn promotor professor Tom Ruys, dankzij wie ik door het bos der regelgeving de bomen ben
beginnen zien. Maar ik zou bij deze ook graag mijn mama willen bedanken voor de warme, liefdevolle
en vooral geduldige steun en toeverlaat die ze gedurende die hele thesistijd geweest is. Dan rest mij
nog alleen maar mijn vriend Maur te bedanken voor het nalees- en verbeterwerk. Ik hoop dat ik hen
allemaal trots mag maken met wat u hierna zult lezen.
VI
LIJST VAN AFKORTINGEN
API Aanvullend Protocol bij de Conventies van Genève van 12 augustus 1949 inzake de bescherming van de slachtoffers van internationale gewapende conflicten, in werking getreden op 7 december 1978.
APII Aanvullend Protocol bij de Conventies van Genève van 12 augustus 1949 inzake de bescherming van de slachtoffers van niet-internationale gewapende conflicten, in werking getreden op 7 december 1978.
ARCYBER The United States Army Cyber Command
CNA Computer Network Attack
CNE Computer Network Exploitation
CNO Computer Network Operation
DDoS Distributed Denial of Service
DoS Denial of Service
GCI Verdrag van Genève voor de verbetering van het lot der gewonden en zieken, zich bevindende bij de strijdkrachten te velde van 12 augustus 1949, in werking getreden op 21 oktober 1950.
GCII Verdrag van Genève betreffende de verbetering van het lot der gewonden, zieken en schipbreukelingen van de strijdkrachten ter zee van 12 augustus 1949, in werking getreden op 21 oktober 1950.
GCIII Verdrag van Genève betreffende de behandeling van krijgsgevangenen van 12 augustus 1949, in werking getreden op 21 oktober 1950.
GCIV Verdrag van Genève betreffende de bescherming van burgers in oorlogstijd van 12 augustus 1949, in werking getreden op 21 oktober 1950.
IAC International Armed Conflict/ Internationaal Gewapend Conflict
VII
ICJ International Court of Justice/ Internationaal Hof van Justitie
ICRC International Committee of the Red Cross/ Internationaal Comité van het Rode Kruis
ICTY International Criminal Tribunal for the former Yugoslavia/ het Joegoslaviëtribunaal
IHR Internationaal Humanitair Recht
NAVO de Noord-Atlantische Verdragsorganisatie
NIAC Non-International Armed Conflict/ Niet-Internationaal Gewapend Conflict
USCYBERCOM United States Cyber Command
USSTRATCOM United States Strategic Command
VN de Verenigde Naties
VIII
INHOUDSTAFEL
DANKWOORD ..................................................................................................................................... V
LIJST VAN AFKORTINGEN ........................................................................................................... VI
INLEIDING ............................................................................................................................................ 1
DE BEGRIPPEN ‘CYBER WARFARE’ EN ‘GEWAPEND CONFLICT’ ..................................... 5 ‘CYBER WARFARE’ ............................................................................................................................... 5
Wat is Cyber Warfare? ...................................................................................................................... 5 Cyberoperaties .................................................................................................................................. 6
Wat zijn cyberoperaties? ................................................................................................................................................. 6 Types Cyberoperaties ...................................................................................................................................................... 7
(D)Dos-aanvallen ................................................................................................................................................... 7 Malware .................................................................................................................................................................. 9 Logische Bommen ................................................................................................................................................ 11 Hacking ................................................................................................................................................................ 11
Cyber Warfare versus Information Warfare, Cyberterrorisme en Cybercriminaliteit ................... 12 ‘GEWAPEND CONFLICT’ ...................................................................................................................... 14
Internationaal gewapend conflict (IAC) ......................................................................................... 14 Niet-internationaal gewapende conflict (NIAC) ............................................................................. 16
DE TOEPASSELIJKHEID VAN HET INTERNATIONAAL HUMANITAIR RECHT ............ 18 GEEN ‘LEGAL VACUUM’ IN CYBERSPACE .......................................................................................... 18 SITUATIE 1: CYBEROPERATIES BINNEN DE CONTEXT VAN EEN GEWAPEND CONFLICT ...................... 21
‘In het kader van een gewapend conflict’ ....................................................................................... 21 ‘Gerelateerd aan een gewapend conflict’ ....................................................................................... 22
SITUATIE 2: CYBEROPERATIES BUITEN DE CONTEXT VAN EEN GEWAPEND CONFLICT ....................... 23 Internationaal gewapend conflict ................................................................................................... 24
‘Toevlucht tot gewapend geweld’ ................................................................................................................................. 24 Wat wordt er verstaan onder ‘toevlucht tot gewapend geweld’? ......................................................................... 24 Is er een de minimis drempel? .............................................................................................................................. 27
‘Tussen twee of meer staten’ ......................................................................................................................................... 29 Niet-internationaal gewapend conflict ............................................................................................ 30
‘Intensiteit’ .................................................................................................................................................................... 30 ‘Georganiseerde’ ‘gewapende’ groep ........................................................................................................................... 32
CONCLUSIE .......................................................................................................................................... 35
DE TOEPASSING VAN HET INTERNATIONAAL HUMANITAIR RECHT ........................... 37 TOEPASSELIJKHEID VAN DE REGELS BETREFFENDE HET VOEREN VAN DE VIJANDELIJKHEDEN ......... 37
Welke cyberoperaties lokken de toepasselijkheid van de regels inzake het voeren van de vijandelijkheden uit? ....................................................................................................................... 38 Welke cyberoperaties zijn ‘aanvallen’ in de zin van het IHR? ....................................................... 41
‘De Permissieve Benadering’ ........................................................................................................................................ 42 ‘De Restrictieve Benadering’ ........................................................................................................................................ 43 ‘De Tallinn Manual Benadering’ .................................................................................................................................. 44
REGELS MET BETREKKING TOT HET VOEREN VAN DE VIJANDELIJKHEDEN ........................................ 45 Het principe van onderscheid ......................................................................................................... 45
Algemeen ...................................................................................................................................................................... 45 Het verbod op het direct aanvallen van burgers ............................................................................................................ 46 Het verbod op het direct aanvallen van burgerlijke goederen ....................................................................................... 52
IX
‘Aard’ ................................................................................................................................................................... 55 ‘Ligging’ ............................................................................................................................................................... 56 ‘Gebruik’ .............................................................................................................................................................. 57 ‘Bestemming’ ....................................................................................................................................................... 60 ‘Een daadwerkelijke bijdrage tot de krijgsverrichtingen leveren’ ....................................................................... 62 Speciale gevallen .................................................................................................................................................. 64
Burgerlijke fabrieken die hardware en software produceren die worden gebruikt door het leger .................. 64 Gebruik van sociale netwerken voor militaire doeleinden .............................................................................. 65
Het verbod op niet-onderscheidende aanvallen .............................................................................. 67 De eerste en tweede soort niet-onderscheidende aanvallen .......................................................................................... 68 De derde soort niet-onderscheidende aanval ................................................................................................................. 71
Het principe van proportionaliteit .................................................................................................. 72 Het principe van voorzorg .............................................................................................................. 78
Voorzorgen bij de uitvoering van aanvallen ................................................................................................................. 79 De plicht tot informatievergaring die onder bepaalde omstandigheden kan worden afgeleid uit het principe van voorzorg ............................................................................................................................................................... 82
De verificatie van de potentiële collaterale effecten van een cyberoperatie .................................................... 82 De verificatie van het doelwit .......................................................................................................................... 84 Mogelijke vereiste maatregelen ....................................................................................................................... 86
Verplichting om cybertechnologie te gebruiken? ................................................................................................ 88 Voorzorgen tegen de effecten van aanvallen ................................................................................................................ 91
Segregatie ............................................................................................................................................................. 92 Vermijding ........................................................................................................................................................... 94 Bescherming ......................................................................................................................................................... 95
CONCLUSIE ........................................................................................................................................ 97
BIBLIOGRAFIE ................................................................................................................................ 103
1
INLEIDING
De mens voert al eeuwen oorlog, maar zoals alles evolueert ook de oorlogvoering mee met de huidige
maatschappelijke ontwikkelingen. Oorlog wordt niet meer alleen gevoerd door soldaten op het
slagveld, maar allerlei andere middelen en technieken worden hiertoe aangewend, zoals bijvoorbeeld
cyberoperaties. Het conflict tussen Rusland en Georgië in 2008 omtrent Zuid-Ossetië was het eerste
geval waarin er in een gewapend conflict, naast conventionele wapens, tevens sprake was van
cyberoperaties.1 Gedurende het conflict werd Georgië herhaaldelijk het slachtoffer van
cyberaanvallen. Zo werd onder andere de website van de president offline gebracht, werden
Georgische nieuwsportalen aangevallen, werden publieke websites platgelegd. Er zijn echter geen
bewijzen voorhanden dat de Russische Federatie hier achter zat, maar dit wordt wel door velen
vermoed.23 Gelet op de lage kost en de wijde beschikbaarheid van computers, alsook de mogelijkheid
om deze anoniem te besturen, zijn cyberoperaties een aantrekkelijk strijdmiddel.4 Cyberwapens zijn
dan ook een onderdeel aan het worden van moderne oorlogvoering. Zo werd ondertussen bijvoorbeeld
ook van cyberoperaties gebruik gemaakt gedurende de internationale en niet-internationale gewapende
conflicten in Afghanistan en Irak5 en de niet-internationale gewapende conflicten in Libië en Syrië.67
Dit brengt ons tot de kern van deze verhandeling, met name cyber warfare. Er bestaan verschillende
invullingen van de notie cyber warfare die gaan van cyberoperaties uitgevoerd in de context van een
gewapend conflict in de zin van het IHR, naar criminele cyberactiviteiten van alle soorten.8 Deze
1 H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, p. 127. 2 L. SWANSON, ‘The Era of Cyber Warfare: Applying International Humanitarian Law to the 2008 Russian-Georgian Cyber Conflict’, Loyola of Los Angeles International and Comparative Law Review, 22 Maart 2010, pp. 303-304. 3 Dit conflict komt later nog uitgebreid aan bod. 4 C. WILSON, ‘Information Operations, Electronic Warfare, and Cyberwar: Capabilities and Related Policy Issues’, Cong. Research Serv. (CRS) Report RL 31787, 2007, p. 10, http://fas.org/sgp/crs/natsec/RL31787.pdf. 5 S. HARRIS, ‘The Cyber War Plan’, National Journal Online, 14 November 2009, www. nationaljournal.com/member/magazine/the- cyberwar-plan-20091114; R. SATTER, ‘Afghanistan Cyber Attack: Lt. Gen. Richard P. Mills Claims to Have Hacked the Enemy’, The World Post, 24 Augustus 2012, www.huffingtonpost.com/2012/08/24/afghanistan-cyber-attack-richard- mills_n_1828083.html; J. MARKOFF, T. SHANKER, ‘Halted ‘03 Iraq Plan Illustrates U.S. Fear of Cyberwar Risk’, New York Times, 1 Augustus 2009, www.nytimes.com/2009/08/02/us/ politics/02cyber.html. 6 Zie bijvoorbeeld E. SCHMITT, Y. SHANKAR, ‘U.S. Debated Cyberwarfare in Attack Plan on Libya’, New York Times, 17 Oktober 2011, www.nytimes.com/2011/10/18/world/africa/cyber- warfare-against-libya-was-debated-by-us.html?hp; I. WATSON, ‘Cyberwar Explodes in Syria’, CNN, 22 November 2011, www.cnn.com/2011/11/22/world/meast/syria-cyberwar/; E. GALPERIN, M. MARQUIS-BOIRE, J. SCOTT-RAILTON, ‘Quantum of Surveillance: Familiar Actors and Possible False Flags in Syrian Malware Campaign’, Electronic Frontier Foundation, 2013, www.eff.org/files/2013/12/28/quantum_of_surveillance4d.pdf. 7 M. SCHMITT, ‘Rewired Warfare: rethinking the law of cyber attack’, IRRC, 2014, 96 (893), p. 190. 8 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 536.
2
verhandeling heeft echter betrekking op cyber warfare in de zin van de eerst vooropgestelde invulling.
Cyber warfare wordt gevoerd in een heel nieuw domein van oorlogvoering, met name cyberspace.
Cyberspace is een artificieel theater van oorlog, naast de natuurlijke theaters van land, lucht zee en
ruimte.9 Nieuwe ontwikkelingen brengen echter ook steeds nieuwe gevaren met zich mee. Ingevolge
een aantal specifieke karakteristieken van cyberspace kunnen cyberoperaties en bijgevolg cyber
warfare immers een serieuze impact hebben op de burgerlijke cyberinfrastructuur en de burgerlijke
populatie.
Cyberspace wordt immers gekenmerkt door onderlinge verbondenheid. De meeste militaire netwerken
zijn afhankelijk van de burgerlijke computerinfrastructuur, zoals onderzeese glasvezelkabels,
satellieten, routers en knooppunten, en omgekeerd zijn burgerlijke voertuigen en luchtverkeercontroles
meer en meer uitgerust met navigatiesystemen die afhankelijk zijn van globaal positioneringssysteem
(GPS) satellieten die initieel door en voor het Amerikaans leger ontwikkeld werden. Bijgevolg zal het
moeilijk zijn om een onderscheid te maken tussen zuivere burgerlijke en zuivere militaire
computerinfrastructuren. Bovendien, zelfs indien een onderscheid kan gemaakt worden tussen de
militaire en burgerlijke computers of computersystemen, heeft de onderlinge verbondenheid tot gevolg
dat de effecten van een aanval op een militair objectief zich waarschijnlijk niet zullen beperken tot dat
doelwit. Dit is des te meer verontrustend gelet op het feit dat belangrijke burgerlijke infrastructuren in
moderne staten en samenlevingen meer en meer afhankelijk worden van computersystemen.10 Zo zijn
energiecentrales, kerncentrales, dammen, waterbehandelings- en distributiesystemen,
olieraffinaderijen, gas- en oliepijpleidingen, banksystemen, ziekenhuissystemen, spoorwegen en
luchtverkeercontrole afhankelijk van zogenaamde SCADA-11 en DCS-systemen.12 Er zijn echter tot op
vandaag geen voorbeelden waarin cyberoperaties catastrofale gevolgen hebben gehad voor de
burgerlijke bevolking, maar technici zijn het erover eens dat interferentie met
luchthavencontrolesystemen, andere transportatiesystemen, dammen of energiecentrales via
cyberspace technisch mogelijk is. Catastrofale scenario’s zoals botsingen tussen vliegtuigen, het
vrijkomen van toxische chemicaliën van chemische fabrieken, het vrijkomen van radiatie van
9 R. GEISS, H. LAHMANN, ‘Cyber warfare: applying the principle of distinction in an interconnected space’, Israeli Law Review, Vol. 45, No. 3, November 2012, p. 382. 10 R. GEISS, H. LAHMANN, ‘Cyber warfare: applying the principle of distinction in an interconnected space’, Israeli Law Review, Vol. 45, No. 3, November 2012, p. 390. 11‘Supervisory control and data acquisition’-systemen zijn geautomatiseerde controlesystemen die worden gebruikt in grote industriële systemen voor het verzamelen, doorsturen, verwerken en visualiseren van meet- en regelsignalen van verschillende machines. 12 ‘Distributed control’-systemen zijn geautomatiseerde controlesystemen die worden gebruikt in grote industriële systemen voor het volgen, sturen en controleren van een proces.
3
kerncentrales, of de verstoring van elektriciteits- en waternetwerken zijn dus wel degelijk een reëel
gevaar.13
Gelet op het enorm schade-verrichtend potentieel en het toenemend voorkomen van cyberaanvallen is
een sluitende regulering met betrekking tot dit fenomeen dan ook noodzakelijk. Cyber warfare is
echter een relatief recente vorm van oorlogvoering die pas in de 20ste eeuw is opgedoken, met als
gevolg dat er hieromtrent dan ook slechts weinig tot geen concrete regelgeving bestaat. Algemeen
wordt echter aangenomen dat het recht der gewapende conflicten, dat de rechtsregels omhelst die
gelden ten tijde van gewapende conflicten of, met andere woorden, die regelen hoe je oorlog mag
voeren, via zijn algemene regels van toepassing is en er dus geen ‘legal vacuum’ bestaat in
cyberspace.14 Het recht der gewapende conflicten (ook wel jus in bello of het internationaal humanitair
recht genoemd, en hierna het IHR) stamt echter af van de tijd toen cyber warfare nog science-fiction
was. De vraag kan dus gesteld worden hoe dit juridisch kader dat werd opgesteld met conventionele
oorlogvoering in gedachten, het significant verschillende cyber warfare zal regelen. Immers alle IHR-
regels zijn potentieel van toepassing gedurende een gewapend conflict, maar de vraag resteert of zij
relevant zijn in dergelijke context en hoe zij kunnen worden toegepast.15 Zo kan bijvoorbeeld
verwezen worden naar het principe van onderscheid en het verbod op niet-onderscheidende aanvallen,
twee kernprincipes van het IHR, waarvan de doortrekking tot enige problemen kan leiden. Immers het
principe van onderscheid vereist dat er een onderscheid wordt gemaakt tussen burgerlijke en militaire
goederen. Daar deze, zoals hierboven werd vermeld, door de onderlinge verbondenheid in cyberspace
vaak één en dezelfde zullen zijn, zal het maken van een dergelijk onderscheid dus niet evident zijn.
Gelet op de onderlinge verbondenheid in cyberspace zal het eveneens moeilijk zijn om een
cyberaanval accuraat te richten op het militair objectief en de effecten te beperken tot deze in
overeenstemming met het verbod op niet-onderscheidende aanvallen.16
Deze verhandeling zal hoofdzakelijk drie vragen trachten te beantwoorden, met name (1) wanneer het
IHR van toepassing is, (2) hoe het van toepassing is, en (3) als conclusie of het volstaat om cyber
warfare efficiënt te regelen en afgestemd is op de heersende humanitaire zorgen in het cyberdomein.17
Bij de vraag hoe het IHR van toepassing zal zijn, zal enkel gekeken worden naar de regels en principes 13 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, pp. 538-539. 14 C. DRÖGE, ‘No Legal Vacuum in Cyberspace’ (online interview), 16 Augustus 2011, http://www.icrc.org/eng/ resources/documents/interview/2011/cyber-warfare-interview-2011-08-16.htm. 15 C. DRÖGE, ‘No Legal Vacuum in Cyberspace’ (online interview), 16 Augustus 2011, http://www.icrc.org/eng/ resources/documents/interview/2011/cyber-warfare-interview-2011-08-16.htm. 16 M. DION, S. BRENNER, ‘Civilians in Information Warfare: Conscription of Telecom Networks and State responsibility for International Cyber Defence’, International Conference on Information Warfare and Security, 2010, p. 49. 17 R. GEISS, H. LAHMANN, ‘Cyber warfare: applying the principle of distinction in an interconnected space’, Israeli Law Review, Vol. 45, No. 3, November 2012, p. 382.
4
met betrekking tot het voeren van de vijandelijkheden. De regels met betrekking tot de bescherming
en behandeling van personen in de handen van een partij bij het conflict zijn minder relevant voor het
opzet van deze verhandeling. Bij deze uiteenzetting zal de ‘Tallinn Manual on the International Law
Applicable to Cyber Warfare’ een grote rol spelen. De Tallinn Manual is een niet-bindende
academische studie door ‘de Internationale Groep van Experten’ op uitnodiging van het NAVO-
kenniscentrum voor cyberveiligheid met betrekking tot de vraag hoe het recht der gewapende
conflicten van toepassing is op cyber warfare.18 Deze is echter, zoals verder zal gezien worden, niet
vrij van kritiek, maar het biedt in ieder geval een goed vertrekpunt en zal dan ook herhaaldelijk aan
bod komen in deze verhandeling. Vooraleer we hier verder op ingaan is echter eerst een korte
uiteenzetting van ons onderwerp vereist, met name wat er nu dient te worden verstaan onder de noties
‘cyber warfare’ en ‘gewapend conflict’.
18 Dat deze Internationale Groep van Experten werd samengebracht door de NAVO doet niet af aan het feit dat dit een onafhankelijke academische publicatie is en geen officiële NAVO-standpunten of -strategieën bevat. De NAVO heeft ondertussen echter wel laten weten dat ze achter de conclusies van de Tallinn Manual staat.
5
DE BEGRIPPEN ‘CYBER WARFARE’ EN ‘GEWAPEND CONFLICT’
‘CYBER WARFARE’
WAT IS CYBER WARFARE?
De term cyber warfare werd voor het eerst gebruikt door Arquila en Ronfeldt in 1992.19
Cyberwarfare, cyber warfare of cyber war kan gedefinieerd worden als ‘operations against a
computer or a computer system through a data stream, when used as means and methods of warfare
in the context of an armed conflict, as defined under IHL’.20 Vereist is dus dat er sprake is van
activiteiten waarbij informatiesystemen worden gebruikt als wapen en doelwit in het kader van een
gewapend conflict.21,22 Cyber warfare vindt bijgevolg plaats in cyberspace. Cyberspace kan
omschreven worden als ‘a globally interconnected network of digital information and communications
infrastructures, including the Internet, telecommunications networks, computer systems and the
information resident therein’.23 De infectie van het computernetwerk van een tegenpartij met
computervirussen zal dus een daad van cyber warfare uitmaken, terwijl dit niet het geval zal zijn bij
luchtbombardementen van een militaire cyberfaciliteit.24 Het feit dat cyber warfare wordt gevoerd in
cyberspace sluit echter, zoals hierboven reeds gezien, niet uit dat het aanleiding kan geven tot
kinetische of andere niet-elektronische effecten buiten het cyberdomein en misschien specifiek
bedoeld kan zijn dergelijke gevolgen teweeg te brengen.25
Er kunnen twee verschillende gevallen van cyber warfare worden onderscheiden. Met name vooreerst
het geval waarin in het kader van een gewapend conflict naast kinetische operaties tevens gebruik
wordt gemaakt van cybermiddelen, en daarnaast het geval waarbij louter gebruik wordt gemaakt van
cybermiddelen. Wat betreft deze laatste situatie werd lang betwist of dit wel kon beschouwd worden
als een oorlogsdaad en aldus bestempeld kon worden als cyber warfare. Velen waren van mening dat
dergelijk handelen beschreven kon worden als een misdaad of zelfs terrorisme, maar dat dit
bestempelen als ‘oorlogvoering’ een brug te ver was gelet op de grove politieke, wettelijke en militaire
19 J. ARQUILLA, D. RONFELDT, Cyberwar is coming!, Rand Corporation, 1992. 20 ICRC, ‘International Humanitarian Law and the Challenges of Contemporary armed conflicts’, IRRC, 2015, p. 39; C. DRÖGE, ‘No Legal Vacuum in Cyberspace’ (online interview), 16 Augustus 2011, http://www.icrc.org/eng/ resources/documents/interview/2011/cyber-warfare-interview-2011-08-16.htm. 21 M. CHAPPLE, D. SEIDL, Cyberwarfare: Information Operations in a Connected World, Jones & Bartlett Publishers, 2014, p. 7. 22 Cyberoperaties buiten het kader van een gewapend conflict vallen dus niet onder de hierboven vooropgestelde definitie van cyber warfare. 23 N. MELZER, ‘Cyberwarfare and International Law’, UNIDIR, 2011, p. 4. 24 N. MELZER, ‘Cyberwarfare and International Law’, UNIDIR, 2011, p. 4. 25 N. MELZER, ‘Cyberwarfare and International Law’, UNIDIR, 2011, p. 5.
6
connotatie die dat begrip met zich meedraagt.26 Deze discussie komt verder uitgebreid aan bod.
CYBEROPERATIES
WAT ZIJN CYBEROPERATIES?
De door het Internationaal Comité van het Rode Kruis (hierna: ICRC) vooropgestelde definitie stelt
dat cyberoorlog bestaat uit cyberoperaties, maar wat kan daar nu onder worden verstaan? Het begrip
cyberoperatie of Computer Network Operation (CNO) refereert naar ‘the reduction of information to
electronic format and the actual movement of that information between physical elements of cyber
infrastructure’.27 Cyberoperaties kunnen verder opgedeeld worden in drie categorieën, met name
‘computer network attacks’, ‘computer network defenses’ en ‘computer network exploitations’. 28
Voor wat onder deze noties dient te worden verstaan kan verwezen worden naar de definities
vooropgesteld door ‘The National Military Strategy for Cyberspace operations’ van het Ministerie van
Defensie van de Verenigde Staten (hierna: de VS)29:
- Computer Network Attacks (CNA), omschreven als ‘actions taken via computer networks
aiming to disrupt, deny, degrade, or destroy the information within computers and computer
networks and/or the computers/networks themselves’30
- Computer Network defenses (CND), omschreven als ‘actions taken via computer networks to
protect, monitor, analyze, detect and respond to network attacks, intrusions, disruptions or
other unauthorized actions that would compromise or cripple defense information systems and
networks’ of kort gezegd ‘the prevention of CNA and CNE through intelligence,
counterintelligence, law enforcement and military capablities’
- Computer Network Exploitations (CNE), omschreven als ‘enabling actions and intelligence
collection via computer networks that exploit data gathered from target or enemy information
systems or networks’ 31,32
26 ICRC, ‘International Humanitarian Law and the Challenges of Contemporary armed conflicts’, IRRC, 2015, p. 39. 27 Dit is de preliminaire definitie van cyberoperaties die ten tijde van de opmaak van de Tallinn Manual geaccepteerd werd door de ‘Internationale Groep van Experten’. 28 S. WINTERFELD, J. ANDRESS, The Basics of Cyber Warfare: Understanding the Fundamentals of Cyber Warfare in Theory and Practice, Newness, 2012, p. 31. 29 US Department of Defense, The National Military Strategy for Cyberspace Operations, 2006, GL-1. 30 Zie ook US Department of Defense, Dictionary of Military and Associated Terms, 8 November 2010 (zoals gewijzigd op 31 Januari 2011), Washington, DC, 2010: ‘Computer network attacks are actions taken through the use of computer networks to disrupt, deny, degrade, or destroy information resident in computers and computer networks, or the computers and networks themselves’. 31 Zie ook Joint Pub 3-13 ‘Information Operations’, 27 November 2012 incorporating change 1, 20 November 2014: http://www.dtic.mil/doctrine/new_pubs/jp3_13.pdf; NATO, ‘NATO Glossary of Terms and Definitions’, 2013, NATO AAP-06 (2013).
7
Deze terminologie dient wel ten allen tijde onderscheiden te worden van de bestaande technische
termen van internationaal recht zoals ‘geweld’33, ‘gewapende aanval’34 en ‘aanval’35. ‘Cyberaanval’ is
bijvoorbeeld een brede term die zowel kan verwijzen naar computer network attacks (CNA) als naar
computer network exploitation (CNE).36 De vraag wanneer dergelijke cyberoperaties stijgen tot het
niveau van een ‘cyberaanval’ in de zin van het IHR komt verder aan bod.
TYPES CYBEROPERATIES
Er bestaan verschillende types cyberoperaties. Hierna zullen we ons beperken tot de belangrijkste, met
name (1) denial-of-service (DoS) en distributed denial-of-service (DDoS) aanvallen, (2) malware, (3)
logische bommen, en (4) hacking.
(D)DOS-AANVALLEN
Distributed denial-of-service (DDoS)-aanvallen zijn een complexere en krachtigere vorm van denial-
of-service (DoS)-aanvallen. Volgens Vatis wordt een DDoS-aanval als volgt omschreven: ‘actie(s)
uitgevoerd door een verspreid aantal computers die een deel van een ander computersysteem
verhinderen te functioneren in overeenstemming met zijn doel’.37 DDoS- en DoS-aanvallen werken
volgens hetzelfde principe, maar bij DDoS-aanvallen wordt de aanval aangestuurd vanuit meerdere
computers tegelijk, terwijl er bij DoS-aanvallen slechts één computer wordt gebruikt voor de
uitvoering van de aanval. Beide soorten aanvallen hebben als doel de toegankelijkheid van het
computersysteem voor de legitieme gebruikers ervan te verstoren of zelfs te verhinderen.38 Dit wordt
verwezenlijkt door de communicatieprotocollen, die computers toelaten om met elkaar te
communiceren, tegen zichzelf te gebruiken.39
32 R. TYAGI, Understanding Cyber Warfare and its Implications for Indian Armed Forces, Vij Books India Pvt Ltd, 2013, p. 89; N. MELZER, ‘Cyberwarfare and International Law’, UNIDIR, 2011, p. 5 33 Artikel 2(4) Handvest van de Verenigde Naties van 26 Juni 1945, opgemaakt te San Francisco (Hierna: VN-Handvest). 34 Artikel 51 VN-Handvest. 35 Artikel 49(1) AP I. 36 NATO, ‘NATO Glossary of Terms and Definitions’, 2013, NATO AAP-06 (2013). 37 M. VATIS, ‘Cyber Attacks During the War on Terrorism: A Predictive Analysis’, Institute for Security Technology Studies At Dartmouth College, 22 September 2001, p. 7, http://www.ists.dartmouth.-edu/docs/cyber_a1.pdf. 38 G. SILANOE, ‘The Old Binding the New: Can a cyber-attack be conducted in conformity with the principle of distinction?’, Tilburg University Law School, Juni 2014, p. 30, http://arno.uvt.nl/show.cgi?fid=134393. 39 M. SKLEROV, ‘Solving The Dillemma of State Responses to Cyberattacks: A Justification for the Use of Active Defenses Against States who Neglect Their Duty to Prevent’, April 2009, p. 18, https://www.hsdl.org/?view&did=12115.
8
Er zijn twee types DDoS-aanvallen, enerzijds een netwerk-centrische aanval die een service overbelast
door bandbreedte40 op te eisen, anderzijds een aanval op de applicatielaag41 die een service of database
overstelpt door middel van een resem data-aanvragen die allemaal moeten worden behandeld.42
Bovenop de mogelijkheid om met het internet verbonden computersystemen stil te leggen, kunnen
DoS-aanvallen ook beveiligingssystemen zoals een firewall uitschakelen waardoor het netwerk
kwetsbaar wordt voor allerlei andere vormen van cyberaanvallen.43
Er zijn verschillende voorvallen bekend waarin DDoS-aanvallen werden opgeëist door bewegingen,
maar staten ervan verdacht werden hier achter te zitten.44 Zo vond er in 2003 over een periode van 3
weken een reeks aanvallen plaats waarbij verschillende Estlandse organisaties werden geviseerd.45 De
jeugdgroep Nashi eiste de aanvallen op, maar deze werd ervan verdacht banden te hebben met
Rusland.46 Een aantal jaren later in April 2007 werd Estland, nadat een oorlogsmonument uit het
Sovjettijdperk was verplaatst, opnieuw het slachtoffer van een DDoS-aanval.47 Een (door de Rusissche
regering gefundeerde) jeugdbeweging heeft verantwoordelijkheid genomen voor de aanval48, maar
velen verdenken Rusland ervan verantwoordelijk te zijn geweest gelet op de verfijning en de schaal
van de aanval.49 Als laatste kan tevens het hierboven reeds vermeldde conflict tussen Rusland en
Georgië worden aangehaald. Belangrijke Georgische websiteservers werden door DDoS-aanvallen
platgelegd, waardoor communicatie tussen de Georgische Regering met zijn burgers en andere naties
werd verhinderd.50 Hoewel er geen bewijzen voorhanden waren dat de Russische Federatie hier achter
zat, wordt dit wel door velen vermoed.
40 Bandbreedte is de hoeveelheid gegevens (informatie) die via een netwerk getransporteerd kan worden. Hoe groter de bandbreedte, hoe meer informatie verwerkt kan worden. 41 De applicatielaag is een abstractielaag die communicatieprotocollen en koppelvlakken (interfaces) specificeert, waarmee computers met elkaar kunnen communiceren over telecommunicatienetwerken en computernetwerken. Zie Wikipedia: https://nl.wikipedia.org/wiki/Toepassingslaag. 42 M. ROUSE, ‘Definition distributed denial-of-service attack (DDoS)’, SearchSecurity, Mei 2013, http://searchsecurity.techtarget.com/definition/distributed-denial-of-service-attack. 43 A. COLARIK, Cyber Terrorism: political and economic implications, Hershey, PA.: Idea Group Pub., 2006, p. 103, http://www.loc.gov/catdir/toc/ecip064/2005034831.html. 44 D. ZHOU, ‘Iran Wages Cyber War Against US Banks and Arab Energy Firms’, November 2012, http://www.policymic.com/articles/16555/iran-wages-cyber-war-against-us-banks-and-arab-energy-firms. 45 J. RYAN, ‘“iWar”: A New Threat, Its Convenience – and Our Increasing Vulnerability’, NATO Review, December 2007, http://www.nato.int/docu. 46 M. SCHWIRTZ, ‘Estonia bans travel for Kremlin Youth Group’, New York Times, Januari 2008, http://www.nytimes.com/2008/01/30/world/europe/30russia.html?_r=0. 47 ‘Newly Nasty: Defences Against Cyberwarfare Are Still Rudimentary. That’s Scary’, Economist, 24 Mei 2007, http://www.economist.com/node/9228757?story_id=9228757. 48 N. SHACHTMAN, ‘Kremlin Kids: We Launched the Estonian Cyber War’, Wired, 11 Maart 2009, http://www.wired.com/dangerroom/2009/03/pro-kremlin-gro/. 49 O. HATHAWAY et al., ‘The Law of Cyber-Attack’, 100 CAL. L. REV. 817, 2012, p. 838, http://www.npr.org/templates/story/story.php? storyId=130023318. 50 K. HART, ‘Longtime Battle Lines are Recast in Russia and Georgia’s Cyberwar’, Washington Post, 14 Augustus 2008, D1.
9
MALWARE
Malware is kort voor ‘malicious software’. Er zijn verschillende soorten malware, maar ook hier zullen we ons beperken tot de belangrijkste soorten, met name virussen, wormen en Trojaanse paarden.51
Virussen zijn programma’s of delen code die zich hechten aan een programma of bestand zodat ze
zich kunnen verspreiden van de ene computer naar de andere.52 Virussen verspreiden zich over disks
en netwerken door zichzelf te repliceren.53 Naast een zelf-replicerende code bevatten virussen normaal
gezien tevens een ‘lading’.54 Cyberaanvallers kunnen die lading dusdanig programmeren dat het
kwaadaardige zijeffecten heeft zoals datacorruptie of -vernietiging.55 Virussen zijn gehecht aan een
uitvoerbaar bestand/programma, wat ertoe leidt dat een virus kan bestaan op een computer, maar geen
effect kan hebben zonder dat de gebruiker het programma of bestand opent of uitvoert.5657 Er is dus
een bepaalde handeling nodig van de gebruiker zelf om het virus in staat te stellen zich voort te
planten. Een voorbeeld van een dergelijk virus was het mass-mailing58 macrovirus ‘Melissa’ van 1999.
Dit virus verspreidde zich via e-mails, met als opschrift “Here is the document you asked me for… do
not show it to anyone”, waarop de meeste ontvangers het geïnfecteerde word document in bijlage
openden en het virus kon toeslaan. Dit virus heeft voor meer dan 80 miljoen dollar schade aangericht
aan Amerikaanse bedrijven. Zo dienden onder andere Microsoft, Intel en Lucent Technologies hun
internetconnecties te blokkeren ten gevolge van dit virus.
Een worm heeft een gelijkaardige werking als een virus daar het zich tevens verspreidt van computer
tot computer, maar in tegenstelling tot virussen zijn wormen onafhankelijke programma’s en hebben
zij geen bestand of programma nodig om zichzelf te repliceren. Zij zijn dus niet afhankelijk van een
gebruiker om zich voort te planten. Wormen repliceren zichzelf door gebruik te maken van e-mail- of
51 D. GOOKIN, ‘Know the Different Types of Malware’, For Dummies, http://www.dummies.com/how- to/content/know-the-different-types-of-malware.html. 52 V. BEAL, ‘The Difference Between a Virus, Worm and Trojan Horse’, INTERNET.COM, 30 Juni 2006, http://www.webopedia.com/DidYouKnow/Internet/2004/ virus.asp. 53 ‘Introduction to Computer Viruses’, Sophos, 26 Mei 1998, http://www.sophos.com/pressoffice-/news/articles/1998/05/va_virusesintro.html. 54 ‘Introduction to Computer Viruses’, Sophos, 26 Mei 1998, http://www.sophos.com/pressoffice-/news/articles/1998/05/va_virusesintro.html. 55 ‘Introduction to Computer Viruses’, Sophos, 26 Mei 1998, http://www.sophos.com/pressoffice-/news/articles/1998/05/va_virusesintro.html. 56 V. BEAL, ‘The Difference Between a Virus, Worm and Trojan Horse’, Webopedia, 30 Juni 2006, http://www.webopedia.com/DidYouKnow/Internet/2004/ virus.asp. 57 M. SCHAAP, ‘The Development of Cyber Warfare Operations and Analyzing its Use under International Law’, The Air Force Law Review, pp. 135-136. 58 Dit virus verspreidde zich massaal via e-mail.
10
andere informatietransportsystemen.59 Als voorbeeld kan de ‘Code Red II’-worm worden aangehaald
die meer dan 259 000 systemen infecteerde in minder dan 14 uur.60 Ook kan verwezen worden naar de
Stuxnet computerworm. Deze zou naar alle waarschijnlijkheid ontwikkeld zijn door de VS in
samenwerking met Israël om de Iraanse ultracentrifuges die gebruikt worden in het Nucleair
programma van Iran te saboteren. De worm manipuleerde de rotatiesnelheid van de centrifuges en
veroorzaakte veel schade.61 Als laatste voorbeeld kan de ‘I Love You’ worm worden aangehaald, die
werd vrijgelaten in de lente van 2000 en naar schatting schade veroorzaakte ter waarde van 6,7 miljard
dollar.62 De ‘I Love You’ worm was een computerworm die in de Filippijnen miljoenen Windows pc’s
heeft aangevallen op en na 5 mei 2000 wanneer het een e-mail begon te verspreiden getiteld ‘I Love
You’.
Een Trojaans paard is een programma dat ontwikkeld is om legitieme taken uit te voeren, maar een
verborgen code bevat waardoor tegelijkertijd op die computer ongeautoriseerde collectie, exploitatie,
vervalsing of vernietiging van data kan plaatsvinden op de achtergrond.63 De software lijkt legitiem of
de bestanden lijken afkomstig te zijn van een legitieme bron, waardoor degenen die een Trojaans
paard ontvangen meestal in de val zullen lopen en het programma zullen openen.64 Trojaanse paarden
reproduceren zichzelf, in tegenstelling tot virussen en wormen, niet door andere bestanden te
infecteren. Evenmin repliceren ze zichzelf.65 Dergelijke malware werd bijvoorbeeld aangewend in Juli
2011, toen de computers en servers in het ‘Lagerhuis’66 van het Japans Parlement werden geïnfecteerd
toen een politicus een e-mailbijlage had geopend dat een Trojaans paard bevatte.67 Het Trojaans paard
downloadde vervolgens malware van een server gevestigd in China, waardoor de hackers heimelijk de
e-mailcommunicaties van verscheidene politici konden bespioneren, en hun gebruikersnamen en
59 C. HERRIDGE, ‘NSA chief: Cyber-attacks skyrocket, account for largest 'transfer of wealth' ever’, Fox News, 9 Juli 2012, http://www.foxnews.com/politics/2012/07/09/nsa-chief-cyber-attacks-skyrocket-account-for-largest- transfer-wealth-in/%20-%20ixzz2XJe3lSlk#ixzz2cnw5ditF. 60 L. JANCZEWSKI, A. COLARIK, ‘Cyber Warfare and Cyber Terrorism’, Hershey, New York, Information Science Reference, 2008. 61 R. LIIVOJA, T. MCCORMACK, Routledge Handbook of the Law of Armed Conflict, Routledge, 28 April 2016, p. 612. 62 C. DELUCA, ‘The Need for International Laws of War to Include Cyber Attacks Involving State and Non-State Actors’, 3 No. 9 PACE INT’L L. REV. ONLINE COMPANION 278, 2013, p. 282. 63 M. VATIS, ‘Cyber Attacks During the War on Terrorism: A Predictive Analysis’, Institute for Security Technology Studies At Dartmouth College, 22 September 2001, p. 7, http://www.ists.dartmouth.-edu/docs/cyber_a1.pdf. 64 V. BEAL, ‘The Difference Between a Virus, Worm and Trojan Horse’, Webopedia, 30 Juni 2006, http://www.webopedia.com/DidYouKnow/Internet/2004/ virus.asp. 65 M. SCHAAP, ‘The Development of Cyber Warfare Operations and Analyzing its Use under International Law’, The Air Force Law Review, p. 136. 66 Dit is de Japanse Kamer van Volksvertegenwoordigers. 67 J. RUSSEL, ‘Japanese Government hit by Chinese Trojan Horse Attack’, 25 Oktober 2011, thenextweb, https://thenextweb.com/asia/2011/10/25/japanese-government-hit-by-chinese-trojan-horse-attack/#.tnw_nbYbbppq.
11
paswoorden konden stelen. Daar de server gevestigd was in China zijn er vermoedens dat de Chinese
regering verantwoordelijk zou geweest zijn voor deze cyberoperatie.68
LOGISCHE BOMMEN
Een logische bom is een kwaadaardige code die ontwikkeld is om tot uitvoering te worden gebracht op
een vooraf bepaald moment of wanneer bepaalde gebeurtenissen zich voordoen.69 Eenmaal
geactiveerd kan het de computer platleggen, gegevens verwijderen of een DoS-aanval uitvoeren door
valse transacties te genereren.70,71 Gedurende de Koude Oorlog heeft de VS-regering bijvoorbeeld
gebruik gemaakt van een dergelijke logische bom om een aardgaspijpleiding van de Sovjet-Unie te
vernietigen.72
HACKING
‘Hacking’ is het van op een afstand ongeautoriseerd binnendringen in een bepaald computersysteem
door een aanvaller.73 Het eigenlijke hacken gebeurt op de toegangspunten voor de gebruiker en vereist
dus de accountnaam en het paswoord.74 Dergelijke informatie wordt vaak bekomen door het gebruik
van malware. Andere mogelijkheden om accountinformatie te vergaren zijn o.a. social engineering75,
68 G. CLULEY, ‘Japanese Parliament hit by Cyber-Attack’, 25 Oktober 2011, Naked Security by Sophos, https://nakedsecurity.sophos.com/2011/10/25/japanese-parliament-hit-by-cyber-attack/; THE TELEGRAPH, ‘Japan Parliament Hit by China-Based Cyber Attack’, 25 Oktober 2011, http://www.telegraph.co.uk/news-/worldnews/asia/japan/8848100/Japan-parliament-hit-by-China-based-cyber-attack.html. 69 K. COLEMAN, ‘Russia’s Cyber Forces’, Defensetech, 27 Mei 2008, http://www.defensetech.org-/archives/cat_cyberwarfare.html. 70 K. COLEMAN, ‘Russia’s Cyber Forces’, Defensetech, 27 Mei 2008, http://www.defensetech.org-/archives/cat_cyberwarfare.html. 71 M. SCHAAP, ‘The Development of Cyber Warfare Operations and Analyzing its Use under International Law’, The Air Force Law Review, p. 137. 72 W. MCGAVRAN, ‘Intended Consequences: Regulating Cyber Attacks’, 12 TUL. J. TECH. & INTELL. PROP. 259, 2009, p. 263. 73 A. COLARIK, Cyber Terrorism: political and economic implications, Hershey, PA.: Idea Group Pub., 2006, p. 94, http://www.loc.gov/catdir/toc/ecip064/2005034831.html. 74 A. COLARIK, Cyber Terrorism: political and economic implications, Hershey, PA.: Idea Group Pub., 2006, p. 97, http://www.loc.gov/catdir/toc/ecip064/2005034831.html. 75 Social engineering of social hacking, is een techniek waarbij hackers gebruikers in de val lokken om hun accountinformatie te geven. Dit gebeurt vaak wanneer aanvallers over de telefoon doen alsof ze werknemers of systeemadminstrateurs zijn. Zie A. COLARIK, Cyber Terrorism: political and economic implications, Hershey, PA.: Idea Group Pub., 2006, p. 94, http://www.loc.gov/catdir/toc/ecip064/2005034831.html.
12
wachtwoordkrakers76, packet sniffers77, of de aanmaak van een valse account die toegang heeft tot het
computersysteem.78
Voorbij het toegangspunt kan de aanvaller op verschillende manieren schade aanrichten met of aan het
systeem, inclusief het zodanig manipuleren van data "caus[ing] people or processes to act on the
changed data in a way that causes a cascading series of damages in the physical and electronic
world.".79,80 In de context van cyber warfare wordt hacking meestal aangewend om ongeautoriseerd
toegang te verkrijgen tot een computersysteem van een staat om ofwel een programmascript te
wijzigen ofwel geheime, strategische of gevoelige informatie te verkrijgen.81 Zo kan bijvoorbeeld
verwezen worden naar de hacking in 2013 van de officiële website van de verkiezingscommissie van
Pakistan door Indische hackers om gevoelige informatie te verkrijgen in het kader van het dispuut
tussen Indië en Pakistan over Kashmir.82 Ter vergelding hebben Pakistaanse hackers, die zichzelf de
“True Cyber Army” noemen, 1059 websites van Indische verkiezingsinstellingen gehackt en
beschadigd.83
CYBER WARFARE VERSUS INFORMATION WARFARE, CYBERTERRORISME EN CYBERCRIMINALITEIT
Cyber warfare dient te worden onderscheiden van het begrip information warfare, dat wordt
omschreven als ‘information operations conducted during a time of crisis or conflict to achieve
specific objectives’.84 Deze definitie lijkt op het eerste zicht gelijkaardig aan deze van cyber warfare,
maar verdere invulling van het begrip ‘informatieoperatie’ toont aan dat deze definitie een ruimere
76 Een wachtwoordkraker is een computerprogramma waarmee wachtwoorden kunnen worden achterhaald. Zie https://nl.wikipedia.org/wiki/Wachtwoordkraker. 77 Een packet sniffer of packet analyzer is een computerprogramma waarmee het dataverkeer op een netwerk of netwerksegment kan worden bekeken en geanalyseerd. Zo kunnen ze data dat wordt verzonden van of naar een systeem onderscheppen. Zie Wikipedia: https://nl.wikipedia.org/wiki/Packet_sniffer. 78 A. COLARIK, Cyber Terrorism: political and economic implications, Hershey, PA.: Idea Group Pub., 2006, pp. 97-98, http://www.loc.gov/catdir/toc/ecip064/2005034831.html. 79 A. COLARIK, Cyber Terrorism: political and economic implications, Hershey, PA.: Idea Group Pub., 2006, p. 84, http://www.loc.gov/catdir/toc/ecip064/2005034831.html. 80 M. SKLEROV, ‘Solving The Dillemma of State Responses to Cyberattacks: A Justification for the Use of Active Defenses Against States who Neglect Their Duty to Prevent’, April 2009, p. 19, https://www.hsdl.org/?view&did=12115. 81 G. SILANOE, ‘The Old Binding the New: Can a cyber-attack be conducted in conformity with the principle of distinction?’, Tilburg University Law School, Juni 2014, p. 30, http://arno.uvt.nl/show.cgi?fid=134393. 82 W. ABBASI, ‘Pakistan hackers defaced over 1000 Indian Websites’, 6 April 2013, The News International 2013. 83 W. ABBASI, ‘Pakistan hackers defaced over 1000 Indian Websites’, 6 April 2013, The News International 2013. 84 M. CHAPPLE, D. SEIDL, Cyberwarfare: Information Operations in a Connected World, Jones & Bartlett Publishers, 2014, p. 391.
13
reikwijdte kent. ‘Informatieoperatie’ is immers een bredere term die elke mogelijke beïnvloeding van
informatie op militaire operaties omhelst. Het wordt omschreven als: ‘actions taken to affect an
adversary’s information and information systems while defending your own information and
information systems’.85 Information warfare omvat bijgevolg naast cyber warfare tevens psy-ops of
psychologische operaties86 en electronic warfare87.88 Kort samengevat kunnen alle vormen van cyber
warfare aanzien worden als information warfare, maar niet alle vormen van information warfare
kunnen aanzien worden als cyber warfare.89
Cyber warfare dient eveneens onderscheiden te worden van fenomenen als cyberterrorisme en
cybercriminaliteit die niet noodzakelijk worden geregeld door het IHR. Er zijn geen algemeen
aanvaarde criteria voorhanden om te determineren of een cyberaanval criminaliteit, hacktivisme,
terrorisme of een gewapende aanval in het kader van cyber warfare uitmaakt, maar er bestaat wel een
consensus omtrent het hierna volgende.
Een cyberaanval in het kader van cyber warfare is het equivalent van een gewapende aanval of ‘het
gebruik van geweld’ in cyberspace dat een militaire respons met kinetisch geweld kan uitlokken.
Cyberterrorisme is: ‘the premeditated use of disruptive activities, or the threat thereof, against
computers and/or networks, with the intention to cause harm or further social, ideological, religious,
political or similar objectives, or to intimidate any person in furtherance of such objectives.’.90
Cybercriminaliteit omvat ongeautoriseerde netwerkinbreuken en diefstal van intellectuele eigendom
en andere data, en kent meestal een financiële motivatie.91 Indien een cyberaanval zich voordoet dient
dus gekeken te worden naar de omstandigheden in concreto om uit te maken onder welke categorie
deze zal vallen.
85 M. CHAPPLE, D. SEIDL, Cyberwarfare: Information Operations in a Connected World, Jones & Bartlett Publishers, 2014, p. 391. 86 Psy-ops zijn geplande operaties om geselecteerde informatie en indicatoren over te brengen aan een publiek om hun emoties, motieven en objectieve redenering te beïnvloeden, en uiteindelijk het gedrag van overheden, organisaties, groepen en individuen. Psychologische operaties zijn dus eerder gericht op de verslechtering van het moraal en welzijn van de burgers van een staat. Ze omvatten bijvoorbeeld de verspreiding van valse informatie, geruchten en angst via sociale media. 87 Electronic warfare wordt gebruikt om de elektromagnetische transmissies te ontwrichten of neutraliseren. 88 I. PORCHE, C. PAUL, M. YORK, C. SERENA, J. SOLLINGER, Redefining Information Warfare Boundaries for an Army in a Wireless World, Rand Corporation, 2013, p. 176; D. STUPPLES, ‘What is information warfare?’, World Economic Forum, 3 December 2015, https://www.weforum.org/agenda/2015/12/what-is-information-warfare/. 89 M. CHAPPLE, D. SEIDL, Cyberwarfare: Information Operations in a Connected World, Jones & Bartlett Publishers, 2014, p.7. 90 N. MANAP, P. TEHRANI, ‘Cyber Terrorism: Issues in its Interpretation and Enforcement’, International Journal of Information and Electronics Engineering, Vol. 2, No. 3, Mei 2012, p. 409. 91 C. THEOHARY, J., ROLLINS, ‘Cyberwarfare and Cyberterrorism: In Brief’, Congressional Research Service, 2015, p. 2.
14
‘GEWAPEND CONFLICT’
Het begrip ‘gewapend conflict’ zal hier een grote rol spelen. Er dient immers zowel om te kunnen
spreken van cyber warfare92, als voor de toepasselijkheid en inwerkingtreding van het IHR, sprake te
zijn van een gewapend conflict.93 Het IHR hanteert een algemene opsplitsing van dit begrip in
enerzijds internationale en anderzijds niet-internationale gewapende conflicten. Wettelijk gesproken
zijn er geen andere types gewapende conflicten, maar een situatie kan gemakkelijk van één type
gewapend conflict naar een ander evolueren. Dit onderscheid is onder meer van belang daar de
toepasselijke IHR-regels zullen verschillen. Vooraleer we verder ingaan op het toepasselijkheids-
vraagstuk zal dan ook eerst gekeken worden naar wat deze noties inhouden. Ondanks het grote belang
van deze kan nergens in de verdragen een definitie worden teruggevonden. In wat volgt zullen we dus
aangewezen zijn op de Rechtspraak en Rechtsleer.
INTERNATIONAAL GEWAPEND CONFLICT (IAC)
Volgens gemeenschappelijk artikel 2 van de Geneefse Conventies is er sprake van een internationaal
gewapend conflict ‘ingeval een oorlog is verklaard of bij ieder ander gewapend conflict dat ontstaat
tussen twee of meer der Hoge Verdragsluitende Partijen, zelfs indien de oorlogstoestand door één der
Partijen niet wordt erkend’.94 Artikel 1(4) van het Aanvullend Protocol I (hierna: AP I) stelt dat
gewapende conflicten waarin ‘volkeren vechten tegen koloniale overheersing en vreemde bezetting en
tegen racistische regimes, in de uitoefening van hun recht op zelfbeschikking’, dienen te worden
beschouwd als internationale gewapende conflicten.95 Noch de Geneefse Conventies, noch AP I
definiëren het begrip ‘gewapend conflict’.
Hiervoor kan verwezen worden naar het Commentaar van het ICRC bij de eerste Conventie van
Genève van 1952 dat een internationaal gewapend conflict determineert als ‘any difference arising
between two states and leading to the intervention of members of the armed forces…It makes no
92 Zie definitie van cyber warfare op p. 4. 93 Het IHR kan dus slechts van toepassing zijn op cyberoperaties indien alle vereiste constitutieve elementen van een gewapend conflict aanwezig zijn; Zie N. MELZER, ‘Cyberwarfare and International Law’, UNIDIR, 2011, p. 23. 94 De toepassing van het IHR is afhankelijk van de feitelijke situatie en niet van de erkenning van deze door de betrokken partijen als een gewapend conflict. 95 Bovendien zal het IHR ingevolge gemeenschappelijk artikel 2 van de Geneefse Conventies tevens van toepassing zijn ‘in all cases of partial or total occupation of the territory of a High Contracting Party, even if the said occupation meets with no armed resistance’.
15
difference how long the conflict lasts, or how much slaughter takes place.’96 Het Commentaar bij AP I
van het ICRC volgt hierin en stelt dat: ‘humanitarian law…covers any dispute between two states
involving the use of their armed forces. Neither the duration of the conflict, nor its intensity, play a
role….’.97 Deze definitie wordt algemeen aanvaard in de Rechtspraak en Rechtsleer.98
Hoewel de definitie de ‘interventie van leden van de strijdkrachten’ omvat, is de tussenkomst van het
leger niet determinerend.99 Indien dit het geval zou zijn zou een staat de toepassing van het IHR
kunnen vermijden door beroep te doen op strijdkrachten die geen deel uitmaken van het leger om een
tegenpartij aan te vallen. Noch is de betrokkenheid van deze bepalend voor de kwalificatie als
gewapend conflict. Er wordt aangenomen dat de ‘interventie van de leden van de strijdkrachten’
eerder wijst op het gebruik van geweld.100 Ook het Joegoslaviëtribunaal (hierna: het ICTY)101 stelde in
de Tadic zaak dat ‘an armed conflict exists whenever there is a resort to armed force between
States’.102
Er kan bijgevolg besloten worden dat er sprake is van een internationaal gewapend conflict wanneer er
een toevlucht wordt genomen tot gewapend geweld tussen twee of meer staten.103 Het is echter niet
duidelijk wat er dient te worden verstaan onder ‘toevlucht tot gewapend geweld’. Er kunnen twee
96 J. PICTET (ed.), Commentary on the First Geneva Convention: Convention (I) for the Amelioration of the Condition of the Wounded and Sick in Armed Forces in the Field of 12 August 1949, ICRC, Cambridge Press, 1952, Commentaar bij artikel 2. 97 Y. SANDOZ, C. SWINARKI, B. ZIMMERMAN, Commentary on the Additional Protocols of 8 June 1977 to the Geneva Conventions of 12 August 1949, ICRC/Martinus Nijhoff Publishers, Dordrecht, 1987, Commentaar bij artikel 1(4). 98 N. MELZER, ‘Cyberwarfare and International Law’, UNIDIR, 2011, p. 23; J. PICTET (ed.), Commentary on the Geneva Convention for the Amelioration of the Condition of the Wounded and Sick in Armed Forces in the Field of 12 August 1949, ICRC, Cambridge Press, 1952, p. 23; ICTY, 2 Oktober 1995, nr. IT-94-1-A, The Prosecutor v. Dusko Tadic, para. 70; ICTY, 16 November 1998, nr. IT-96-21-T, Delalic Case, paras. 184 en 208; D. SCHINDLER, The Different Types of Armed Conflicts According to the Geneva Conventions and Protocols, Alphen aan den Rijn: Sijthoff en Noordhoff, 1979, p. 131; E. DAVID, Principes de droit des conflits armés, Bruylant, 1994, p. 109; ICRC, Report IIHL/ICRC-Roundtable, 2003, 3; Gemeenschappelijk artikel 2 van de vier Conventies van Genève van 1949. 99 J. PICTET (ed.), Commentary on the Geneva Convention for the Amelioration of the Condition of the Wounded and Sick in Armed Forces in the Field of 12 August 1949, ICRC, Cambridge Press, 1952, pp. 32-33; T. Wingfield, The Law of Information Conflict: National Security Law in Cyberspace, Aegis Research Corp, 2000, pp.60-63; Y. SANDOZ, C. SWINARSKI, B. ZIMMERMAN (eds.), Commentary on the Additional Protocols of 8 June 1977 to the Geneva Conventions of 12 August 1949, ICRC, Martinus Nijhoff 1987, para. 62. 100 M. SCHMITT, H. HARRISON, T. WINGFIELD, ‘Computers and War: The Legal Battlespace’ 2004, HPCR, p. 4. 101 International Criminal Tribunal for the former Yugoslavia. 102 ICTY, 2 Oktober 1995, nr. IT-94-1-A, The Prosecutor v. Dusko Tadic, para. 70. 103 N. MELZER, ‘Cyberwarfare and International Law’, UNIDIR, 2011, p. 23; J. PICTET (ed.), Commentary on the Geneva Convention for the Amelioration of the Condition of the Wounded and Sick in Armed Forces in the Field of 12 August 1949, ICRC, Cambridge Press, 1952, p. 23; ICTY, 2 Oktober 1995, nr. IT-94-1-A, The Prosecutor v. Dusko Tadic, para. 70; ICTY, 16 November 1998, nr. IT-96-21-T, Delalic Case, paras. 184 en 208; D. SCHINDLER, The Different Types of Armed Conflicts According to the Geneva Conventions and Protocols, Alphen aan den Rijn: Sijthoff en Noordhoff, 1979, p. 131; E. DAVID, Principes de droit des conflits armés, Bruylant, 1994, p. 109; ICRC, Report IIHL/ICRC-Roundtable, 2003, p. 3; Gemeenschappelijk artikel 2 van de vier Conventies van Genève van 1949.
16
vragen worden gesteld, vooreerst wat er hieronder dient te worden verstaan en ten tweede of dit een
minimum niveau van intensiteit veronderstelt. Deze vragen zullen verder worden geadresseerd.
NIET-INTERNATIONAAL GEWAPENDE CONFLICT (NIAC)
Gemeenschappelijk artikel 3 van de Geneefse conventies definieert niet-internationale gewapende
conflicten als die conflicten die geen internationaal karakter kennen. Het ICTY heeft deze notie verder
ontwikkeld in de Tadic zaak waarin het dergelijke conflicten omschreef als ‘protracted armed
violence between governmental authorities and organized armed groups or between such groups
within a State’.104 Deze definitie wordt ook door verschillende internationale tribunalen en het Statuut
van het Internationaal Strafhof vooropgesteld.105 Ook Aanvullend Protocol II (hierna: AP II) spreekt
van een conflict tussen de strijdkrachten van een staat en dissidente strijdkrachten of andere
georganiseerde gewapende groepen.106 Een niet-internationaal gewapend conflict bestaat dus wanneer
er sprake is van gewapend geweld binnen het territorium van één enkele staat tussen strijdkrachten van
de centrale overheid en een gewapende groepering, of tussen dergelijke groepen onderling.107
Om een niet-internationaal gewapend conflict te onderscheiden van minder ernstige vormen van
geweld zoals interne spanningen en storingen (zoals rellen, isolatie en sporadische daden van geweld)
moet de situatie een zekere drempel van ernst overschrijden. Hierbij worden er meestal twee criteria
gehanteerd:108
1. De vijandelijkheden moeten in tegenstelling tot bij internationale gewapende conflicten een zeker
niveau van intensiteit bereiken, met name een zekere omvang en duur. Dit is onder andere het
geval wanneer deze een collectief karakter kennen of wanneer het optreden van de politie niet
volstaat en de overheid verplicht is tot militair optreden.109,110
104 ICTY, 2 Oktober 1995, nr. IT-94-1-A, The Prosecutor v. Dusko Tadic, para. 70. 105 ICTR, 2 September 1998, nr. ICTR-96-4-T, Prosecutor v. Akayesu, para. 619; ICTR, 6 December 1999, nr. ICTR-96-3-T, Prosecutor v. Rutaganda, para. 92; ICTR, 16 Mei 2005, nr. SCSL-2004-14-AR73, Prosecutor v. Fofana, Afzonderlijke mening van Rechter Robertson, para. 233; ICC, 15 Juni 2006, nr. ICC-01/05-01/08, Prosecutor v. Bem- ba Gombo, para. 229; Het Statuut van Rome van het Internationaal Strafhof, U.N. Doc. A/CONF.183/9*, 1998, art. 8(2)(f). 106 Artikel 1 AP II. 107 D. JINKS, The applicability of the Geneva Conventions to the Global war on terrorism , Virginia Journal of international law, Vol. 46:1, 2005, p. 168; M. SCHMITT, C. GARRWAY, Y. DINSTEIN, The Manual on the Law of Non-international Armed Conflict, International Institute of Humanitarian Law, 2006, p. 2; ICTY, 2 Oktober 1995, nr. IT-94-1-A, The Prosecutor v. Dusko Tadic, para. 70. 108 ICTY, 7 Mei 1997, nr. IT-94-1-T, The Prosecutor v. Dusko Tadic, paras. 561-568; Zie ook ICTY, 30 November 2005, nr. IT-03-66-T, The Prosecutor v. Fatmir Limaj, para. 84. 109 Het ICTY heeft duidelijk gemaakt dat ‘protracted armed violence' refereert naar de intensiteit van het conflict en niet de duur. Intensiteit betekent niet noodzakelijk ‘voortdurend’. Het impliceert een tijdselement, maar is niet
17
2. Ten tweede moeten de betrokken niet-gouvernementele groeperingen in bepaalde mate
georganiseerd zijn. Ze moeten over een zekere gezagsstructuur beschikken.111,112
Er dient vermeld te worden dat artikel 1(1) AP II bij de Conventies van Genève een hogere drempel
hanteert dan gemeenschappelijk artikel 3 en bijgevolg op een geringer aantal situaties van toepassing
zal zijn. Dit artikel stelt immers dat AP II enkel van toepassing is op niet-internationale gewapende
conflicten ‘die plaatsvinden op het grondgebied van een Hoge Verdragsluitende Partij tussen de
strijdkrachten van die Partij en dissidente strijdkrachten of andere georganiseerde gewapende
groepen die, staande onder een verantwoordelijk bevel, het grondgebied van die Partij gedeeltelijk
onder controle hebben op een zodanige wijze dat zij in staat zijn aanhoudende en samenhangende
militaire operaties uit te voeren en de bepalingen van dit Protocol toe te passen’. AP II stelt dus twee
bijkomende vereisten voorop, met name vooreerst dat er sprake is van een conflict tussen een staat en
een niet-statelijke actor en ten tweede dat een deel van het territorium van de staat gecontroleerd wordt
door de niet-statelijke actor.113
gelimiteerd hiertoe. Zie ICTY, 3 April 2008, nr. IT-04_84_Y, Prosecutor v. Ramush Haradinaj, para. 49; NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, Commentaar bij Regel 23, p. 87. 110 Voor een gedetailleerde analyse van deze criteria zie ook ICTY, 30 November 2005, nr. IT-03-66-T, The Prosecutor v. Fatmir Limaj, paras. 135-170. 111 D. SCHINDLER, The Different Types of Armed Conflicts According to the Geneva Conventions and Protocols, Alphen aan den Rijn: Sijthoff en Noordhoff, 1979, p. 131. Voor een gedetailleerde analyse van deze criteria zie ook ICTY, 30 November 2005, nr. IT-03-66-T, The Prosecutor v. Fatmir Limaj, paras. 94-134. 112 ICRC, ‘Opinion Paper: How is the Term ‘Armed Conflict’ Defined in International Humanitarian Law?’, IRRC, 2008, p. 3. 113 Gemeenschappelijk artikel 3 is daarentegen ook van toepassing op conflicten tussen twee niet-statelijke gewapende groeperingen binnen een staat en ongeacht of deze enige controle hebben over een deel van het territorium van de staat.
18
DE TOEPASSELIJKHEID VAN HET INTERNATIONAAL HUMANITAIR RECHT
Zoals reeds gesteld bestaat er geen ‘legal vacuum’ in cyberspace, maar de vraag resteert wanneer het
IHR van toepassing zal zijn. Zoals vermeld is het bestaan van een gewapend conflict vereist voor de
toepasselijkheid van het IHR. Cyberoperaties komen echter zowel binnen als buiten de context van
een gewapend conflict voor. Twee verschillende situaties dienen dus onderscheiden te worden, met
name deze waarin (1) cyberoperaties voorkomen binnen de context van een gewapend conflict en (2)
deze waarin cyberoperaties voorkomen buiten de context van een gewapend conflict.114
GEEN ‘LEGAL VACUUM’ IN CYBERSPACE
Bij de opkomst van cyberoperaties bestond er discussie omtrent de vraag of het IHR van toepassing
was op cyber warfare gelet op de nieuwheid van de technologie115 en het gebrek aan directe kinetische
kracht. Vandaag lijkt er echter een algemene consensus te bestaan dat het IHR van toepassing is op
cyberoperaties en er dus geen ‘legal vacuum’ bestaat in cyberspace.116 Niettemin bestaat er onder de
staten nog enige verwarring hieromtrent. Aan de ene kant menen sommige staten zoals de VS,117 het
Verenigd Koninkrijk118, en Australië119 dat het IHR van toepassing is op cyber warfare.120 Ook de
114 C. DRÖGE, ‘No Legal Vacuum in Cyberspace’ (online interview), 16 Augustus 2011, http://www.icrc.org/eng/resources/documents/interview/2011/cyber-warfare-interview-2011-08-16.htm; C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 533. 115 Er werd gesteld dat cyberoperaties nog niet bestonden ten tijde van de opmaak van de Geneefse Conventies en aangezien deze dus niet waren opgemaakt met cyber warfare in gedachten er niet tot hun toepasselijkheid kon worden besloten. 116 N. Melzer, ‘Cyberwarfare and International Law’, UNIDIR, 2011, p. 22; NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, pp. 82-84; H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, pp. 127-128. 117 H. KOH, ‘International law in cyberspace’, speech at the US Cyber Command Inter-Agency Legal Conference, 18 September 2012, http://opiniojuris.org/2012/09/19/harold-koh-on-international-law-in-cyberspace/; Report of the Secretary-General on Developments in the field of information and telecommunication in the context of international security, 15 Juli 2011, UN Doc. A/66/152 (2011), p. 19; US Department of Defense Strategy for Operating in Cyberspace, July 2011, http://www.defense.gov/news/d20110714cyber.pdf; Ook kan verwezen worden naar de cyber veiligheidsstrategie van de VS dat er van uitgaat dat het bestaande internationaal recht van toepassing is in cyberspace, Zie THE WHITE HOUSE, ‘International Strategy for Cyberspace: Prosperity, Security, and Openness in a Networked World’, 2011, p. 9, https://obamawhitehouse.archives.gov/sites/default/files/rss_viewer/-international_strategy_for_cyberspace.pdf. 118 Report of the Secretary-General on Developments in the field of information and telecommunication in the context of international security, 23 Juni 2004, UN Doc. A/59/116 (2004), p. 11; Report of the Secretary-General
19
Europese Unie is eenzelfde mening toegedaan.121 Aan de andere kant wordt er gezegd dat China de
toepasselijkheid van het IHR niet accepteert.122 Het is echter niet duidelijk of dat werkelijk de officiële
positie zou zijn van China in een situatie van gewapend conflict. Sommigen zoals Li Zhang menen
bijvoorbeeld dat China de toepasselijkheid van het IHR wel accepteert en enkel tegen de militarisering
van cyberspace is.123 De Russische Federatie heeft geen officieel standpunt ingenomen betreffende de
toepasselijkheid van het IHR. De gerapporteerde militaire doctrine van de Russische Federatie
vermeldt het IHR niet met betrekking tot information warfare.124
Dit terzijde gelaten kan er echter aangenomen worden dat het IHR van toepassing is op cyber warfare.
Alle nieuwe technieken van oorlogvoering moeten immers, hoewel ze er niet specifiek in
gereguleerd zijn, in overeenstemming zijn met het IHR.125 Eén van de meest fundamentele regels van
het IHR is dat ‘in geen enkel gewapend conflict het recht van de Partijen bij het conflict ten aanzien van de
keuze van de methoden of middelen van oorlogvoering onbegrensd is.’.126 Ook kan verwezen worden naar
artikel 36 AP I dat luidt: ‘Op een Hoge Verdragsluitende Partij rust bij de studie, ontwikkeling,
aanschaf of invoering van een nieuw wapen, een nieuw middel of een nieuwe methode van
oorlogvoering de verplichting vast te stellen of het gebruik daarvan, in bepaalde of in alle
omstandigheden, door dit Protocol of door enige andere regel van het ten aanzien van de Hoge
Verdragsluitende Partij toepasselijk internationaal recht is verboden’. Als laatste kan ook de ‘Martens on Developments in the field of information and telecommunication in the context of international security, 20 Juli 2010, UN Doc. A/65/154 (2010), p. 15. 119 Report of the Secretary-General on Developments in the field of information and telecommunication in the context of international security, 15 Juli 2011, UN Doc. A/66/152 (2011), p. 6. 120 Zie ook ‘the proposal by the High Representative of the European Union for Foreign Affairs and Security Policy, Joint Communication to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions – Cyber Security Strategy of the European Union: an Open, Safe and Secure Cyberspace’, Brussel, 7.2.2013, JOIN (2013) 1 final. 121 HIGH REPRESENTATIVE OF THE EUROPEAN UNION FOR FOREIGN AFFAIRS AND SECURITY POLICY, ‘Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace’, 2013, http://eeas.europa.eu/archives/docs/policies/eu-cyber-security/cybsec_comm_en.pdf. 122 Zie bijvoorbeeld A. SEGAL, ‘China, international law and cyber space’, Council on Foreign Relations, 2 Oktober 2012, http://blogs.cfr.org/asia/2012/10/02/china-international-law-and-cyberspace/. 123 L. ZHANG, ‘A Chinese perspective on cyber war’, 30 Juni 2012, IRRC, No. 886,https://www.icrc.org-/eng/resources/documents/article/review-2012/irrc-886-zhang.htm. 124 ‘The Military Doctrine of the Russian Federation Approved by Russian Federation Presidential Edict on 5 February 2010’, http://www.sras.org/military_doctrine_ russian_federation_2010; Ook andere rechtsgeleerden spreken niet over enig officieel standpunt, zie K. GILES, ‘Russia’s public stance on cyberspace issues’, paper given at the 2012 4th International Conference on Cyber Conflict, C. Czosseck, R. Ottis and K. Ziolkowski (eds), NATO CCD COE Publications, Tallinn, 2012, http://www.conflictstudies.org.uk/files/Giles- Russia_Public_Stance.pdf; R. HEIKERO ̈, ‘Emerging threats and Russian Views on information warfare and information operations’, FOI Swedish Defence Research Agency, Maart 2010, p. 49, http://www.highseclabs.com/Corporate/foir2970.pdf. 125 ICRC, ‘International Humanitarian Law and the Challenges of Contemporary armed conflicts’, IRRC, 2015, p. 38; C. DRÖGE, ‘No Legal Vacuum in Cyberspace’ (online interview), 16 Augustus 2011, http://www.icrc.org/eng/ resources/documents/interview/2011/cyber-warfare-interview-2011-08-16.htm. 126 Artikel 22 Regulations concerning the Laws and Customs of War on Land, Den Haag, 18 Oktober 1907; Artikel 35(1) AP I.
20
Clausule’ worden aangehaald. Deze is opgenomen in artikel 1(2) AP I en stelt dat: ‘In gevallen waarin
niet wordt voorzien door dit Protocol of door andere internationale overeenkomsten blijven de
burgers en strijders beschermd door en onderworpen aan de beginselen van het internationaal recht
die voortvloeien uit de gevestigde gebruiken, de beginselen van menselijkheid en de eisen van het
openbare rechtsbewustzijn’.127 Deze clausule zorgt er dus voor dat geen enkele activiteit in een
gewapend conflict ongereguleerd is (door het IHR).128
Het bestaande IHR anticipeert dus duidelijk de toepasselijkheid van zijn regels en principes op nieuw
ontwikkelde middelen en methoden van oorlogvoering. Zowel de VN, in de rapporten van de ‘United
Nations Group of Governmental Experts on Developments in the Field of Information and
Telecommunications in the Context of International Security’129, als het ICRC, als de Internationale
Groep van Experten in de Tallinn Manual130 hebben dit bevestigd.131 Ook het Internationaal
Gerechtshof (hierna: het ICJ) kwam tot eenzelfde conclusie in zijn ‘Advisory Opinion on the legality
of the threat or use of nuclear weapons’, waarin het stelde dat het IHR van toepassing is op alle
vormen van oorlogvoering en alle soorten wapens, inclusief toekomstige.132 Bovendien is het
irrelevant of cyberspace dient te worden beschouwd als ‘a new war-fighting domain similar to air,
land, sea and outer space’, ‘a different type of domain because it is man-made while former are
natural’, of ‘not a domain as such’. De gewoonterechtelijke IHR-regels met betrekking tot de regels
inzake het voeren van de vijandelijkheden zijn van toepassing op alle middelen en methoden van
oorlogvoering, ongeacht waar deze worden gebruikt.133
Wat betreft het gebrek aan directe kinetische kracht kan verwezen worden naar het feit dat
biologische en chemische wapens ook vallen onder het IHR ondanks het feit dat er bij dergelijke
wapens eveneens geen sprake is van een onderscheidende ‘knal’. Het is niet de precieze aard van het
middel of de methode dat bepalend is voor de toepasselijkheid van het IHR, maar de context waarin
het wordt gebruikt. 127 De Martens Clausule werd tevens opgenomen in de vier Conventies van Genève. 128 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 77. Deze regel wordt aanzien als internationaal gewoonterecht. 129 Zie Report of the Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security, A/68/98, 24 June 2013, para. 19, www.un.org/en/ga/search/view_doc.asp?symbol=A/68/98. 130 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, Regel 20 stelt dat ‘Cyber operations executed in the context of an armed conflict are subject to the law of armed conflict’. 131 M. SCHMITT, ‘The law of Cyber Warfare: Quo Vadis?’, Stanford Law and Policy Review 27, 2014, pp. 2-3. 132 ICJ, 8 Juli 1996, nr. ICJ GL No 95, Legality of the Threat or Use of Nuclear Weapons, para. 86. 133 ICRC, ‘International Humanitarian Law and the Challenges of Contemporary armed conflicts’, IRRC, 2015, 40 p.; ICRC, International Humanitarian Law and the Challenges of Contemporary Armed Conflicts, official working document of the 31st International Conference of the Red Cross and Red Crescent, 28 November–1 2011, Doc. 31IC/11/5.1.2, pp. 36–38.
21
SITUATIE 1: CYBEROPERATIES BINNEN DE CONTEXT VAN EEN GEWAPEND CONFLICT
De eerste situatie omhelst deze waarin cyberoperaties voorkomen binnen de context van een vooraf
bestaand gewapend conflict. Dit is bijvoorbeeld het geval wanneer naast een bomaanslag het
computersysteem van de tegenpartij wordt aangevallen door middel van een cyberoperatie. Opdat het
IHR op deze cyberoperaties van toepassing zou zijn is vereist dat deze operaties zich voordoen ‘in het
kader van’ en ‘gerelateerd zijn aan’ het (internationaal of niet-internationaal) gewapend conflict.
Het conflict tussen Rusland en Georgië in 2008 omtrent Zuid-Ossetië is het eerste geval waarin er in
een gewapend conflict naast conventionele wapens tevens sprake was van cyberoperaties.134 Zuid-
Ossetië had zich onafhankelijk verklaard van Georgië in 1991, maar werd over het algemeen nog
steeds door de internationale gemeenschap erkend als een integraal deel van Georgië. Op 7 Augustus
2008 lanceerden Georgische troepen een verrassingsaanval tegen separatisten in Zuid-Ossetië. De
Russische Federatie wees op zijn nationale verplichtingen om Russische burgers in het buitenland te
beschermen en antwoordde op 8 Augustus 2008 met militaire operaties in Georgisch territorium.
Gedurende het conflict werd Georgië herhaaldelijk het slachtoffer van cyberoperaties.135 Zo werd
onder andere de website van de president offline gebracht, werden Georgische nieuwsportalen
aangevallen, werden publieke websites platgelegd en werd de grootste commerciële bank van Georgië
het voorwerp van cyberaanvallen. Hoewel de meeste cyberoperaties konden getraceerd worden naar
de Russische Federatie en de meesten haar inmenging ook vermoedden, waren er geen bewijzen
voorhanden dat deze hier achter zat.136
‘IN HET KADER VAN EEN GEWAPEND CONFLICT’
De cyberoperaties moeten zich voordoen in het kader van een internationaal of niet-internationaal
gewapend conflict opdat het IHR van toepassing zou zijn. Voor wat hieronder dient te worden
verstaan, kan verwezen worden naar hetgeen hierboven werd uiteengezet. Er dient er op gewezen te
worden dat internationale gewapende conflicten, zoals hierboven gezien, niet noodzakelijk ontstaan
134 H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, p. 127. 135 E. TIKK, K. KASHA, L. VIHUL, ‘International Cyber Incidents: Legal Considerations’, Cooperative Cyber Defence Centre of Excellence (CCD COE), 2010, pp. 67-68. 136 L. SWANSON, ‘The Era of Cyber Warfare: Applying International Humanitarian Law to the 2008 Russian-Georgian Cyber Conflict’, Loyola of Los Angeles International and Comparative Law Review, 22 Maart 2010, pp. 303-304.
22
door het gebruik van geweld.137 Zo kunnen gewapende conflicten bijvoorbeeld louter door een formele
oorlogsverklaring uitgelokt worden.138 Hetzelfde geldt voor een vreemde bezetting zonder gewapende
tegenstand.139 Hoe het gewapend conflict ook tot stand komt is irrelevant. Het IHR zal van toepassing
zijn op alle cyberoperaties in het kader van dat conflict.140 Deze cyberoperaties dienen wel
toerekenbaar te zijn aan een partij bij het conflict. Wanneer dit het geval is zal worden uiteengezet bij
de bespreking van de tweede situatie, waar cyberoperaties voorkomen buiten de context van een
gewapend conflict. Als we teruggrijpen naar het hierboven aangehaalde conflict tussen de Russische
Federatie en Georgië zal het IHR dus niet van toepassing zijn op die cyberoperaties aangezien deze bij
gebrek aan bewijzen niet toerekenbaar zullen zijn aan de Russische Federatie.
‘GERELATEERD AAN EEN GEWAPEND CONFLICT’
Verder wordt er algemeen aangenomen dat er een band vereist is tussen de cyberoperatie en het
gewapend conflict opdat het IHR van toepassing zou zijn. Cyberoperaties die worden ondernomen
voor redenen die niet gerelateerd zijn aan het gewapend conflict kunnen gekwalificeerd worden als
cybercriminaliteit et cetera, maar zullen niet geregeld worden door het IHR. Zelfs niet wanneer ze
afkomstig zijn van een partij bij het conflict of wanneer ze ondernomen worden in territorium waar
(een deel van) het gewapend conflict zich voordoet.141 Zo zal het IHR niet van toepassing zijn op de
activiteiten van private individuen of entiteiten die geen relatie kennen met het gewapend conflict,
zoals diefstal van intellectuele eigendom door een private onderneming om een concurrentieel
voordeel te verkrijgen ten opzichte van een concurrent in de vijandige staat.142 Enige discussie bestaat
wel omtrent de precieze aard van die band. Ook de Groep van Internationale Experten van de Tallinn
Manual is verdeeld. Twee visies kunnen worden onderscheiden. Volgens de eerste visie is het IHR van
toepassing op elke cyberoperatie uitgevoerd door een partij bij het gewapend conflict tegen de
tegenpartij.143 Volgens de tweede op elke cyberoperatie die werd uitgevoerd om bij te dragen aan de
militaire inspanningen van één partij.144 Roscini stelt daarentegen dat gekeken dient te worden naar de
notie ‘belligerent nexus’ ontwikkeld door het ICRC met betrekking tot ‘de rechtstreekse deelname van
137 N. MELZER, ‘Cyberwarfare and International Law’, UNIDIR, 2011, p. 24. 138 Artikel 2 Geneefse Conventies I-IV. 139 Artikel 2 Geneefse Conventies I-IV. 140 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p 84. 141 N. MELZER, ‘Cyberwarfare and International Law’, UNIDIR, 2011, p. 23. 142 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p 76. 143 Wel is vereist dat de cyberoperatie kan toegerekend worden aan de partij. Zie supra p. 28. 144 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p 76.
23
burgers in de vijandelijkheden’.145 Bijgevolg zou vereist zijn dat een handeling ‘is specifically
designed to directly cause the required threshold of harm in support of a party to the conflict and to
the detriment of another’.146147 Dit blijft echter voorlopig een open vraagstuk.
De vraag wanneer een bepaalde cyberoperatie kan beschouwd worden als ‘gerelateerd aan het
gewapend conflict’, is bovendien nog moeilijker in het kader van een niet-internationaal gewapend
conflict. Een staat behoudt immers bepaalde law enforcement-verplichtingen en rechten in zijn
territorium, waarin de vijandelijkheden plaatsvinden, ongeacht het gewapend conflict.148 In de mate
dat de staat zich beperkt tot zuivere law enforcement-activiteiten, zullen het nationaal recht en de
mensenrechten van toepassing zijn, en niet het IHR.149
SITUATIE 2: CYBEROPERATIES BUITEN DE CONTEXT VAN EEN GEWAPEND CONFLICT
De tweede situatie betreft deze waarin cyberoperaties voorkomen buiten de context van een vooraf
bestaand gewapend conflict. Het toepasselijkheidsvraagstuk is in dergelijke situatie een stuk
problematischer. Daar het bestaan van een gewapend conflict vereist is voor de toepasselijkheid van
het IHR dient de vraag immers gesteld te worden of dergelijke operaties kunnen rijzen tot het niveau
van een gewapend conflict en of aldus een gewapend conflict kan worden uitgelokt door
cyberoperaties zonder bijkomende kinetische geweldpleging. Dit vraagstuk zal benaderd worden
vanuit de algemeen gehanteerde opsplitsing tussen internationale en niet-internationale gewapende
conflicten.
145 Dit komt verder aan bod bij de bespreking van het principe van onderscheid. 146 ICRC, ‘Interpretive Guidance on the Notion of Direct Participation in Hostilities under Humanitarian Law’, ICRC, Geneva, 2009, Aanbeveling V(3), p. 58, https://www.icrc.org/eng/assets/files/other/icrc-002-0990.pdf. 147 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 123. 148 Een staat kan uiteraard ook ‘law enforcement’ verantwoordelijkheden hebben gedurende een internationaal gewapend conflict. Zulke verantwoordelijkheden zijn echter meer uitgesproken gedurende een niet-internationaal gewapend conflict. 149 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p 76-77.
24
INTERNATIONAAL GEWAPEND CONFLICT
Zoals reeds gesteld is er sprake van een internationaal gewapend conflict wanneer er ‘een toevlucht
wordt genomen tot gewapend geweld’ ‘tussen twee of meer staten’.150 In wat volgt zal op beide
vereisten worden ingegaan.
‘TOEVLUCHT TOT GEWAPEND GEWELD’
Opdat er sprake zou zijn van een internationaal gewapend conflict is er vereist dat er een ‘toevlucht
wordt genomen tot gewapend geweld’. Het is echter niet helemaal duidelijk wat deze vereiste inhoudt.
Er kunnen twee vragen worden gesteld, vooreerst wat er hieronder dient te worden verstaan en ten
tweede of dit een minimum niveau van intensiteit veronderstelt.
WAT WORDT ER VERSTAAN ONDER ‘TOEVLUCHT TOT GEWAPEND GEWELD’?
Er kan geen verdragsrechtelijke definitie van het begrip ‘toevlucht tot gewapend geweld’ worden
teruggevonden in het IHR.151 Dit is een feitelijk vraagstuk, maar wanneer traditionele middelen en
methoden van oorlogvoering, zoals bommen en geweren, worden aangewend is het echter onbetwist
dat dit als dusdanig kan worden beschouwd.152 Daarom speelt dit vraagstuk ook niet in de eerst
besproken situatie, waarin cyberoperaties zich voordien binnen de context van een gewapend conflict.
Dit ligt echter moeilijker in het kader van cyber warfare zonder bijkomende kinetische geweldpleging,
dat niet gevoerd wordt door middel van traditionele middelen en methoden, maar door cyberoperaties.
De vraag dringt zich op of cyberoperaties kunnen beschouwd worden als gewapend geweld en of
dergelijke operaties bijgevolg aanleiding kunnen geven tot een internationaal gewapend conflict.153 En
zo ja, wanneer dit het geval is. Twee strekkingen kunnen worden onderscheiden.
Vooreerst degene die menen dat de ‘toevlucht tot gewapend geweld’ in het IHR eveneens kan
beschouwd worden als het ‘gebruik van geweld’ in het jus ad bellum154. Bijgevolg kan er om te
beoordelen of een bepaalde activiteit kan beschouwd worden als een ‘toevlucht tot gewapend geweld’
in het IHR en dus tot een internationaal gewapend conflict aanleiding geeft, gekeken worden of 150 N. MELZER, ‘Cyberwarfare and International Law’, UNIDIR, 2011, p. 23. 151 Dit is immers een jurisprudentieel criteria; Zie ICTY, 2 Oktober 1995, nr. IT-94-1-A, The Prosecutor v. Dusko Tadic, para. 70. 152 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 546. 153 H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, p. 127. 154 Dit is het recht dat zich bezighoudt met de voorwaarden voor het voeren van een gewapend conflict.
25
dergelijke activiteit valt onder ‘het gebruik van geweld’ in het jus ad bellum. Naar analogie zou dit
eveneens het geval zijn voor cyberoperaties.155 Zo kan verwezen worden naar Beckett die stelt dat de
vragen of een cyberoperatie een schending vormt van artikel 2(4) van het Handvest van de VN en of
deze een gewapend conflict uitmaakt, in essentie synoniemen zijn, daar elk gebruik van geweld
gereguleerd wordt door het IHR.156 Rechter Shahabuddeen volgt hierin en stelt in zijn Afzonderlijk
Advies bij de uitspraak in beroep in de Tadic zaak dat ‘an armed conflict involves a use of force and
therefore the question of whether there is an international armed conflict between two states depends
on whether a state has used (armed) force against another’.157 Als laatste kan ook verwezen worden
naar Ziolkowski die van mening is dat een internationaal gewapend conflict bestaat en het IHR van
toepassing is wanneer een staat geweld gebruikt in de zin van het jus ad bellum tegen een andere staat,
‘with the possible exception of quick, discrete and ‘surgical’ use of force in the meaning of article 2(4)
UN Charter without further retort by the victim’.158,159 Aangezien deze uiteenzetting handelt over het
IHR zou een verdere bespreking van de discussie betreffende wat er dient te worden verstaan onder
‘gebruik van geweld’ in het kader van het jus ad bellum en wanneer cyberoperaties als dusdanig
kunnen worden beschouwd, het bestek van deze verhandeling te buiten gaan.
De tweede strekking baseert zich op het feit dat beide noties verschillend zijn. Zo kan verwezen
worden naar het ICJ dat in de Nicaragua zaak stelde dat ‘Clearly, use of force may in some
circumstances raise questions of [international humanitarian] law’160, waarmee het impliceert dat het
gebruik van gewapend geweld niet altijd rijst tot een gewapend conflict en dus niet altijd leidt tot de
toepasselijkheid van het IHR. Dinstein stelt eveneens dat de loutere bevoorrading van wapens aan
rebellen niet leidt tot een staat van oorlog in de materiële zin.161 Ook het Duits Militair Handboek stelt
dat ‘the support for a third party’s ‘acts of war’ will be considered an act of war of the supporting
state only if it is directly, i.e. closely related in space and time to measures harmful to the adversary.
Cooperation in arms production or other activities to support the armed forces will not sufice’.162163
155 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, pp. 128-129. 156 J. BECKETT, ‘New War, Old Law: Can the Geneva Paradigm Comprehend Computers?’, Leiden Journal of International Law 13, 2000, p. 41. 157 ICTY, 15 Juli 1999, nr. IT-94-1-A, The Prosecutor v. Dusko Tadic, Afzonderlijk Advies van Rechter Shahabuddeen, para. 7. 158 K. ZIOLKOWSKI, ‘Computer Network Operations and the Law of Armed Conflict’, Military Law and Law of War Review 49, 2010, p. 68. 159 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 128. 160 ICJ, 27 Juni 1986, nr. ICJ GL No 70, Military and Paramilitary Activities in and against Nicaragua, para. 216. 161 Y. DINSTEIN, War, Aggression and Self-Defence, Cambridge University Press, 1988, p. 10. 162 Duits Minsterie van Defensie, Humanitarian Law in Armed Conflict, 1992, Sectie 214, http://www.humanitaeres-voelkerrecht.de/ManualZDv15.2.pdf.
26
Indien deze noties verschillen kan de vraag gesteld worden wat er dan wel dient te worden verstaan
onder ‘toevlucht tot gewapend geweld’. Melzer stelt dat het bestaan van een internationaal gewapend
conflict niet afhankelijk is van het gebruik van geweld van een staat tegen een andere in de zin van
artikel 2(4) van het VN-Handvest, maar van het zich voordoen van ‘belligerent hostilities’, wat een
enger concept is.164165 De Tallinn Manual volgt hierin en definieert in zijn Regel 22 een internationaal
gewapend conflict als ‘hostilities, which may include or be limited to cyber operations, occurring
between two or more States’.166 Volgens deze visie volstaan cyberoperaties die kunnen beschouwd
worden als ‘hostilities’ dus om te leiden tot de toepasselijkheid van het IHR. De vraag rest echter nog
steeds welke cyberoperaties ‘hostilities’ uitmaken. In ieder geval wordt aanvaard dat een cyberoperatie
die een ‘aanval’ uitmaakt als zodanig kan worden beschouwd. Wat er precies wordt verstaan onder de
notie ‘aanval’ in het IHR zal verder worden uiteengezet. Echter, zoals de Manual zelf aangeeft is
‘hostilities’ een bredere term dan ‘aanval’. Bijvoorbeeld, opdat een burger zijn bescherming zou
verliezen wegens zijn ‘direct participation in hostilities’167 is niet vereist dat deze een ‘aanval’ heeft
gepleegd, maar ‘other actions … will satisfy this criterion so long as they negatively affect the enemy
militarily’.168 Bijgevolg rijst de vraag of en zo ja welke soort cyberoperaties die geen ‘aanval’ zijn,
niettemin een gewapend conflict kunnen uitlokken. Spijtig genoeg kan hier geen antwoord op worden
gevonden in de Tallinn Manual. Deze stelt louter dat ‘hostilities presuppose the collective application
of means and methods of warfare’.169 Ook in de andere Rechtsleer kan hier geen eenduidig antwoord
op worden gevonden.
Er kan dus in ieder geval besloten worden dat het algemeen wordt aanvaard dat cyberoperaties
aanleiding kunnen geven tot een gewapend conflict en bijgevolg tot de toepasselijkheid van het
IHR170,171, maar de vraag wanneer dit het geval zal zijn blijft daarentegen het voorwerp van discussie.
163 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, pp. 128-129. 164 N. MELZER, Cyberwarfare and International Law, UNIDIR, 2011, p. 24. 165 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, pp. 128-129. 166 Uiteraard hebben wij het hier louter over de situatie waarin de hostilities beperkt zijn tot cyberoperaties. 167 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, Regel 29 en 35. 168 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 119. 169 T. GILL, R. GEiß, R. HEINSCH, T. MCCORMACK, C. PAULUSSEN, J. DORSEY, Yearbook of International Humanitarian Law, Volume 15, Volume 2012, Springer Science & Business Media, 2013, p. 51. 170 Zie ook M. SCHMITT, ‘Cyber operations and the jus in bello: key issues’, Naval War College International Law Studies, Vol. 87, 2011, pp. 92-94; K. DÖRMANN, ‘Applicability of the Additional Protocols to Computer Network Attacks’, ICRC, 2004, p. 4, http://www.icrc.org/ eng/resources/documents/misc/68lg92.htm; ICRC, International Humanitarian Law and the Challenges of Contemporary Armed Conflicts, official working document of the 31st International Conference of the Red Cross and Red Crescent, 28 November–1 December 2011, Doc. 31IC/11/5.1.2, p. 37; M. SCHMITT, ‘Classification of Cyber Conflict’, 8 Augustus 2012, Oxford
27
Er dient dus te worden afgewacht onder welke omstandigheden staten cyberoperaties zullen
beschouwen als een ‘toevlucht tot gewapend geweld’.
IS ER EEN DE MINIMIS DREMPEL?
Bovendien kan de vraag gesteld worden of ‘toevlucht tot gewapend geweld’ een bepaald minimum
niveau van intensiteit veronderstelt en bijgevolg of cyberoperaties dus een bepaald minimum niveau
van intensiteit dienen te bereiken. Aangezien dit geen cyberspecifieke discussie uitmaakt zal deze
verhandeling zich beperken tot een korte uiteenzetting van de verschillende visies.
Aan de ene kant heb je degenen die stellen dat deze vereiste geen de minimis drempel veronderstelt.
Zo kan bijvoorbeeld verwezen worden naar het ICRC dat stelt dat geen dergelijke vereiste kan worden
afgeleid uit gemeenschappelijk artikel 2(1).172 Ook Doswald-Beck, Schindler en Kleffner zijn
eenzelfde mening toegedaan.173 Deze visie kan bovendien eveneens teruggevonden worden in een
aantal militaire handboeken. Zo bijvoorbeeld stelt de ‘The Royal Australian Air Force’s Operation
Law for RAAF174 Commanders’ dat in internationale gewapende conflicten ‘the duration and intensity
of the conflict are not relevant to whether an armed conflict exists’.175 Volgens deze visie is het IHR
van toepassing vanaf het eerste moment dat geweld wordt gebruikt door één staat tegen een andere,
ongeacht welk soort geweld en wat de intensiteit of duur ervan is.176 Als deze zienswijze zou worden
Academic, p. 249; H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, pp. 132-133. 171 ICRC, International Humanitarian Law and the Challenges of Contemporary Armed Conflicts, official working document of the 31st International Conference of the Red Cross and Red Crescent, 28 November–1 December 2011, Doc. 31IC/11/5.1.2, pp. 36–38. 172 J. PICTET (ed.), Commentary on the Third Geneva Convention: Geneva Convention (III) Relative to the Treatment of Prisoners of War of 12 August 1949, ICRC, Cambridge Press, 1960, p. 23; D. SCHINDLER, The Different Types of Armed Conflicts According to the Geneva Conventions and Protocols, Alphen aan den Rijn: Sijthoff en Noordhoff, 1979, p. 131; C. GREENWOOD, ‘Scope of Application of Humanitarian Law’, in D. FLECK (ed.), The Handbook of International Humanitarian Law, 2nd edn,, OUP, 2009, p. 37; Y. SANDOZ, C. SWINARSKI, B. ZIMMERMAN (eds., ICRC), Commentary on the Additional Protocols of 8 June 1977 to the Geneva Conventions of 12 August 1949, Martinus Nijhoff 1987, para. 62; ICRC, Commentary on the First Geneva Convention: Convention (I) for the Amelioration of the Condition of the Wounded and Sick in Armed Forces in the Field of 12 August 1949, ICRC, Cambridge Press, 3 Februari 2017, para. 236. 173 Zie L. DOSWALD-BECK, ‘Some Thoughts on Computer Network Attack and the International Law of Armed Conflict‘, in M. SCHMITT en B. O’DONNEL, International Law Studies: Volume 76, ‘Computer Network Attack and International Law’, US Naval War College, p. 164, http://stockton.usnwc.edu/cgi/viewcontent.cgi?article=1394&context=ils; D. SCHINDLER, The Different Types of Armed Conflicts According to the Geneva Conventions and Protocols, Alphen aan den Rijn: Sijthoff en Noordhoff, 1979, p. 131; J. KLEFFNER, Scope of application of international humanitarian law, p. 45 in D. FLECK (ed.) ‘The Handbook of International Humanitarian Law’, Oxford University Press, 2013. 174 Royal Australian Air force. 175 Royal Australian Air Force, Operations Law for RAAF Commanders, AAP1003, Tweede Editie, Mei 2004, p. 42. 176 J. KLEFFNER, Scope of application of international humanitarian law, in D. FLECK (ed.), ‘The Handbook of International Humanitarian Law’, Oxford University Press, 2013, p. 44.
28
gevolgd zou een cyberoperatie die brand veroorzaakt in een kleine militaire installatie volstaan om een
internationaal gewapend conflict uit te lokken.177
Aan de andere kant heb je degene die menen uit de statenpraktijk te kunnen afleiden dat er wel
degelijk een bepaald minimum niveau van intensiteit vereist is opdat er sprake zou kunnen zijn van
een internationaal gewapend conflict.178 Bepaalde geïsoleerde gevallen, zoals sporadische
grensconflicten, worden door staten immers niet beschouwd als leidend tot een internationaal
gewapend conflict.179 Naar analogie zou een alleenstaande cyberoperatie die slechts beperkte gevolgen
heeft niet noodzakelijk resulteren in een internationaal gewapend conflict. Zij vereisen bijgevolg een
grotere omvang, duur of intensiteit van de vijandelijkheden. Er bestaat weliswaar geen consensus
omtrent een specifieke drempel.180 Deze visie kan eveneens worden teruggevonden in een aantal
militaire handboeken. Zo kan bijvoorbeeld verwezen worden naar ‘The Italian Military Penal Code of
War’ dat een gewapend conflict definieert als ‘conflict where at least one of the parties uses weapons
against the other party in a military organized and prolonged manner for the conduct of belligerent
operations’.181 ‘The French Manual of the Law of Armed Conflict’ voorziet eveneens dat ‘il faut un
certain seuil de violence pour qualifier une situation de conflit armé. En deçà de ce seuil, on parle
seulement de troubles et de tension internes. Les émeutes, les actes isolés et sporadiques de violence et
autres actes analogues ne sont pas des conflits armés’.182 Deze discussie blijft echter voorlopig een
open vraagstuk.
177 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p 83. 178 Zie bijvoorbeeld Y. DINSTEIN, War, Aggression and Self-Defence, Cambridge University Press, 1988, pp. 11-12. 179 Volgens Dinniss zou de bereidwilligheid van staten om dergelijke incidenten te classificeren als een gewapend conflict afhangen van de ‘belligerent intent’ van de tegenpartij. 180 C. GREENWOOD, ‘Scope of Application of Humanitarian Law’, in D. FLECK (ed.), The Handbook of International Humanitarian Law 45 2nd ed., 2008, p. 57; H. LEVIE, ‘The Status of Belligerent Personnel ‘Splashed’ and Rescued by a Neutral in the Persian Gulf Area’, 31 Virginia Journal of International Law 611, 1991, p. 241. 181 Art. 165 Ministero Della Difesa, The Italian Military Penal Code of War, http://www.difesa.it/Giustizia_-Militare/Legislazione/WartimeMilitarycriminalcodes/Ibook/Pagine/TitleI.aspx, zoals vervangen door Wet n° 6 van 31 Januari 2002 (in Gazetta Ufficiale, 2 Februari 2002, n° 28) en gewijzigd door Wet n° 1 van 27 Februari 2002 (in Gazetta Ufficiale, 27 Februari 2002, n° 49). 182 Ministère de la Défense, Manuel de droit des conflits armés, 2001, Definitie van ‘Oorlog’, http://www.cicde.defense.gouv.fr/IMG/pdf/20130226_np_cicde_manuel-dca.pdf.
29
‘TUSSEN TWEE OF MEER STATEN’
Er wordt algemeen aanvaard dat aan deze voorwaarde is voldaan indien het conflict plaatsvindt tussen
twee of meer staten of wanneer de handelingen van een niet-statelijke actor toerekenbaar zijn aan de
staat.183
Specifiek in het kader van cyber warfare kunnen hieromtrent problemen opduiken gelet op het feit dat
anonimiteit in cyberspace eerder de regel is dan de uitzondering. Zolang partijen niet kunnen
geïdentificeerd worden is het immers onmogelijk om de situatie te kwalificeren als een internationaal
gewapend conflict. Bovendien, zelfs indien de daders kunnen geïdentificeerd worden, stelt zich nog
steeds de vraag naar de toerekenbaarheid aan een staat van cyberaanvallen uitgaande van private
partijen, zoals hacker-groeperingen. Deze laatste problematiek beperkt zich echter niet tot het
cyberdomein. Dezelfde criteria zijn van toepassing als bij elke andere toerekening van daden van
private partijen aan een staat.184 Hiervoor dient gekeken te worden naar het algemeen internationaal
recht omtrent staatsaansprakelijkheid. Er kan verwezen worden naar ‘de Ontwerp Artikelen inzake
Staatsaansprakelijkheid voor Internationale Onrechtmatige Daden’ die stellen dat een staat
verantwoordelijk is voor het handelen van een individu of groepen individuen ‘if the person or group
of persons is in fact acting on the instructions of, or under the direction or control of, that State in
carrying out the conduct’.185 Over de vraag wat er nu echter dient te worden verstaan onder ‘direction
or control’ bestaat evenwel geen eenduidigheid. Aangezien dit eveneens geen cyberspecifieke
discussie omhelst zal hier niet verder op worden ingegaan.186
Bovendien zullen de bewijzen voor een dergelijke toerekenbaarheid vaak ontbreken. Zo kan
bijvoorbeeld verwezen worden naar de DDoS-aanvallen waarvan Zuid-Korea tijdens de Koreaanse
oorlog het slachtoffer is geworden. Deze cyberaanvallen konden rechtstreeks worden gelinkt aan de
hackergroepering DarkSeoul.187 Ondanks de sterke vermoedens hieromtrent is de toerekenbaarheid
van deze cyberaanvallen aan de Noord-Koreaanse regering nooit bewezen.188 Ook kan verwezen
183 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 79. 184 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 543. 185 Artikel 8 UN ‘Draft Articles on the Responsibility of States for Internationally Wrongful Acts’, Yearbook of the International Law Commission, vol. II, Part Two, 2001, A/CN.4/SER.A/2001. 186 Voor uitgebreidere uiteenzetting van deze discussie kan verwezen worden naar J-C. WOLTAG, Cyber Warfare Military Cross-Border Computer Network Operations under International Law, Intersentia, 2014, pp. 88-94. 187 SYMANTEC, http://www.symantec.com/connect/blogs/four-years-darkseoul-cyberattacks-against-south-korea- continue-anniversary-korean-war. 188 G. SILANOE, ‘The Old Binding the New: Can a cyber-attack be conducted in conformity with the principle of distinction?’, Tilburg University Law School, Juni 2014, p. 30, http://arno.uvt.nl/show.cgi?fid=134393.
30
worden naar de in 2003 tegen verschillende Estlandse organisaties uitgevoerde cyberaanvallen die
werden opgeëist door de jeugdgroep Nashi. Ook hier kon geen bewijs gevonden worden voor de
toerekening van deze aanvallen aan Rusland.189
NIET-INTERNATIONAAL GEWAPEND CONFLICT
De vraag resteert of cyberoperaties zonder bijkomende kinetische geweldpleging ook aanleiding
kunnen geven tot niet-internationale gewapende conflicten en alzo tot de toepasselijkheid van het IHR.
Zoals hierboven gezien is er sprake van een niet-internationaal gewapend conflict ingeval van
gewapend geweld binnen het territorium van één enkele staat tussen de strijdkrachten van de centrale
overheid en gewapende groeperingen, of tussen dergelijke groepen onderling.190 Om een niet-
internationaal gewapend conflict te onderscheiden van minder ernstige vormen van geweld, zoals
interne spanningen en storingen, is bovendien vereist dat de confrontatie een minimum niveau van
intensiteit bereikt en dat de betrokken partijen in bepaalde mate georganiseerd zijn. Hierna zal verder
worden ingegaan op beide vereisten in het licht van cyber warfare.
‘INTENSITEIT’
De vijandelijkheden moeten een zeker niveau van intensiteit bereiken, met name een zekere omvang
en duur.191 De vraag kan gesteld worden of het vereiste niveau van intensiteit wel kan bereikt worden
indien er alleen gebruik wordt gemaakt van cyberoperaties.192
Het ICTY heeft een aantal indicatieve factoren vooropgesteld, zoals ‘the collective character of the
hostilities, the resort to military force, the seriousness of attacks and whether there has been an
increase in armed clashes, the spread of clashes over territory and over a period of time, the
distribution of weapons among both parties to the conflict, the number of civilians forced to flee from
the combat zones, the types of weapons used, in particular the use of heavy weapons and other
189 J. RYAN, ‘“iWar”: A New Threat, Its Convenience – and Our Increasing Vulnerability’, NATO Review December 2007, http://www.nato.int/docu; M. SCHWIRTZ, ‘Estonia bans travel for Kremlin Youth Group’,New York Times, Januari 2008, http://www.nytimes.com/2008/01/30/world/europe/30russia.html?_r=0. 190 D. JINKS, The applicability of the Geneva Conventions to the Global war on terrorism , Virginia Journal of international law, Vol. 46:1, 2005, p. 168; M. SCHMITT, C. GARRWAY, Y. DINSTEIN, The Manual on the Law of Non-international Armed Conflict, International Institute of Humanitarian Law, 2006, p. 2; ICTY, 2 Oktober 1995, nr. IT-94-1-A, The Prosecutor v. Dusko Tadic, para. 70. 191 Voor een gedetailleerde analyse van deze criteria zie ook ICTY, 30 november 2005, nr. IT-03-66-T, The Prosecutor v. Fatmir Limaj, paras. 135-170. 192 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, pp 86-87.
31
military equipment, such as tanks and other heavy vehicles,...’.193 Cyberoperaties op zich zullen niet
veel van de hierboven vermelde indicatoren hebben. Bij dergelijke operaties komt het gebruik van
militair geweld, zware bewapening, et cetera immers niet voor. Cyberoperaties kunnen echter wel
even gewelddadige gevolgen hebben als kinetische operaties. Deze kunnen bijvoorbeeld aangewend
worden om dammen open te zetten of om treinen of vliegtuigen te laten crashen. Indien de
cyberoperaties effectief tot dergelijke ingrijpende gevolgen leiden kan aangenomen worden dat er aan
de intensiteitsvereiste is voldaan. Vervulling van dit criterium is dus afhankelijk van de
zwaarwichtigheid van de gevolgen van de cyberoperatie, maar dergelijk zwaarwichtige gevolgen
zullen niet vaak voorkomen.194 Zo is de Stuxnet operatie de enige publiekelijk bekende cyberoperatie
die rechtstreekse fysieke vernietiging heeft veroorzaakt in de ‘echte wereld’. 195 Er is dan ook geen
enkel geval bekend waarin een cyberaanval de vereiste intensiteitsdrempel heeft bereikt.196
Bovendien leiden enkelvoudige en louter sporadische cyberincidenten, inclusief deze die
rechtstreeks fysieke schade en letsels veroorzaken, niet tot een niet-internationaal gewapend
conflict.197 Loutere netwerkintrusies, cyberexploitatie-operaties, datadiefstal, datamanipulatie en
lukrake DoS-aanvallen zouden dus niet volstaan om aanleiding te geven tot een niet-internationaal
gewapend conflict in het licht van de intensiteitsvereiste, zelfs indien deze even gewelddadige
gevolgen zouden hebben als kinetische operaties. Hoewel het een mogelijkheid is dat cyberoperaties
uitgevoerd door een niet-statelijke actor kunnen stijgen tot het vereiste intensiteitsniveau, lijkt dit dus
weinig waarschijnlijk.198 Bovendien, zelfs indien zou voldaan zijn aan de intensiteitsvereiste, valt het
te betwijfelen of staten dergelijke situaties zouden erkennen als zijnde niet-internationaal gewapende
193 ICTY, 30 November 2005, nr. IT-03-66-T, The Prosecutor v. Fatmir Limaj, paras. 135-170; ICTY, 3 April 2008, nr. IT-04_84_Y, Prosecutor v. Ramush Haradinaj, para. 49; ICTY, 10 Juli 2008, nr. IT-04-82-T, The Prosecutor v. Boskoski, paras. 199-203; C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 551. 194 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 551. 195 Met de mogelijke uitzondering evenwel van het mysterieuze Siberische pijpleiding incident van 1982. Zie W. SAFIRE, ‘The Farewell Dossier’, New York Times, 2 Februari 2004, A21, http://www.nytimes.com-/2004/02/02/opinion/the-farewell-dossier.html. 196 R. GEISS, ‘Cyber Warfare: Implications for Non-international Armed Conflicts’, INT’L L. STUD. 627, Volume 89, 2013, p. 633. 197 Artikel 1(2) AP II; Y. SANDOZ, C. SWINARKI, B. ZIMMERMAN, Commentary on the Additional Protocols of 8 June 1977 to the Geneva Conventions of 12 August 1949, ICRC/Martinus Nijhoff Publishers, Dordrecht, 1987, para. 4471. 198 R. GEISS, ‘Cyber Warfare: Implications for Non-international Armed Conflicts’, INT’L L. STUD. 627, Volume 89, 2013, pp. 633-634; NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p 84.
32
conflicten. Staten lijken immers tot nu toe in het algemeen een tendens te hanteren om cyberoperaties
(zonder bijkomende kinetische operaties) niet te beschouwen als gewapende conflicten.199
‘GEORGANISEERDE’ ‘GEWAPENDE’ GROEP
Opdat er sprake zou kunnen zijn van een niet-internationaal gewapend conflict dient er minstens één
niet-gouvernementele gewapende groepering betrokken te zijn bij de vijandelijkheden.200 Volgens de
Tallinn Manual is er voldaan aan de ‘gewapend’-vereiste indien de groepering ‘has the capacity of
undertaking cyber attacks’.201 Het voorkomen van ‘aanvallen’ wordt dus verondersteld. Aangezien er
echter sprake dient te zijn van een ‘groepering’, stelt de vraag zich naar de toerekenbaarheid van het
handelen van een individueel lid aan de groep als een geheel. Aangenomen wordt dat wanneer
individuele leden van een georganiseerde groep uit eigen beweging cyberaanvallen uitvoeren, dit niet
toerekenbaar is aan de groep en bijgevolg niet aan het ‘gewapend’-vereiste zal voldaan zijn.202
Deze niet-gouvernementele gewapende groepering moet in bepaalde mate georganiseerd zijn.203,204
Alleenstaande of een aantal ongecoördineerde individuen kunnen geen partij zijn bij het gewapend
conflict, zelfs als deze ernstige schade veroorzaken.205 Dit is vooral relevant in het kader van cyber
warfare. Immers, hoewel individuele hackers significante schade zouden kunnen veroorzaken aan de
staatsinfrastructuur, zullen deze in elke situatie uitgesloten zijn van de toepasselijkheid van het IHR
daar deze niet zullen voldoen aan de organisatievereiste.206 Of een groep al dan niet voldoet aan deze
vereiste dient in concreto te worden beoordeeld. Volgens de Tallinn Manual is een dergelijke
groepering georganiseerd ‘when it is under an established command structure and has the capacity to
199 Tot op vandaag is er immers nog steeds geen situatie voorhanden waarin een staat cyberoperaties buiten de context van een vooraf bestaand gewapend conflict als een internationaal of niet-internationaal gewapend conflict heeft gekwalificeerd. Zie M. SCHMITT, ‘Classification of Cyber Conflict’, 8 Augustus 2012, Oxford Academic, p. 252. 200 PROGRAM ON HUMANITARIAN POLICY AND CONFLICT RESEARCH AT HARVARD UNIVERSITY, Commentary on the HPCR Manual on International Law Applicable to Air and Missile Warfare, 2010, Commentaar op Regel 2(a), http://www.ihlresearch.org/amw/ aboutmanual.php. 201 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p 88. 202 M. SCHMITT ‘Classification of Cyber Conflict’, 8 Augustus 2012, Oxford Academic, p. 252. 203 D. SCHINDLER, The Different Types of Armed Conflicts According to the Geneva Conventions and Protocols, Alphen aan den Rijn: Sijthoff en Noordhoff, 1979, p. 131. Voor een gedetailleerde analyse van deze criteria zie ook ICTY, 30 November 2005, nr. IT-03-66-T, The Prosecutor v. Fatmir Limaj, para. 94-134. 204 ICRC, ‘Opinion Paper: How is the Term ‘Armed Conflict’ Defined in International Humanitarian Law?’, International Review of the Red Cross, 2008, p. 3. 205 D. SCHINDLER, The Different Types of Armed Conflicts According to the Geneva Conventions and Protocols, Alphen aan den Rijn: Sijthoff en Noordhoff, 1979, p. 147. 206 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 153.
33
sustain military operations.207The extent of organization does not have to reach the level of a
conventional militarily disciplined unit.208’. Theoretisch kan het dus niet uitgesloten worden dat een
kleine, maar georganiseerde groep hackers die zeer destructieve cyberoperaties uitvoert tegen
bijvoorbeeld de statelijke militaire netwerken, aanleiding kan geven tot een niet-internationaal
gewapend conflict.
Specifiek met betrekking tot cyber warfare stelt zich de vraag naar groeperingen die volledig online
zijn georganiseerd en bestaan uit personen die verspreid zijn over verschillende locaties (zogenaamde
‘virtuele organisaties’), zoals hackergroeperingen. Zo kan bijvoorbeeld verwezen worden naar
Anonymous, een internationaal collectief van activisten en ‘hacktivisten’ dat geen fysieke
infrastructuur heeft en wiens leden exclusief online communiceren, via bijvoorbeeld chatrooms en
sociale netwerken.209 Kunnen deze beschouwd worden als gewapende groeperingen in de zin van het
IHR en kunnen deze aldus aan dit criterium voldoen? De meningen zijn verdeeld. Schmitt is
bijvoorbeeld van mening dat dit kan en oordeelt het volgende: ‘The members of virtual organizations
may never meet nor even know each other’s actual identity. Nevertheless, such groups can act in a
coordinated manner against the government (or an organized armed group), take orders from a
virtual leadership, and be highly organized. For example, one element of the group might be tasked to
identify vulnerabilities in target systems, a second might develop malware to exploit those
vulnerabilities, a third might conduct the operations and a fourth might maintain cyber defences
against counterattacks.’210
Droege daarentegen is van mening dat de vereiste dat georganiseerde gewapende groeperingen een
vorm van verantwoordelijke leiding dienen te hebben, virtueel georganiseerde groeperingen uitsluit
van de kwalificatie als georganiseerde gewapende groepering. Zij is van mening dat het
onwaarschijnlijk is dat hackergroeperingen of groeperingen die enkel gelinkt zijn door middel van
virtuele communicatie de nodige organisatie of leidingstructuur zouden hebben.211
207 ICTY, 30 November 2005, nr. IT-03-66-T, The Prosecutor v. Fatmir Limaj, para. 129. 208 ICTY, 30 November 2005, nr. IT-03-66-T, The Prosecutor v. Fatmir Limaj, paras. 132-4. 209 T. RID, Cyber War Will Not Take Place, London, Hurst & Co, 2013, pp. 128-131; M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 155. 210 M. SCHMITT, ‘Classification of Cyber Conflict’, 8 Augustus 2012, Oxford Academic, p. 256. 211 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 550; NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, Commentaar bij Regel 23, paras. 13–15.
34
De meerderheid van de Internationale Groep van Experten oordelen daarentegen dat het gebrek aan
fysiek contact tussen de groepsleden op zich niet volstaat om uit te sluiten dat dergelijke groepering
kan voldoen aan het organisatievereiste.212
Verder wordt ook de vraag gesteld naar een informele groepering van individuen die niet
‘coöperatief’, maar eerder ‘collectief’, d.i. simultaan maar niet gecoördineerd, handelt. De Tallinn
Manual geeft als voorbeeld een informele groep van individuen die ‘acting with a shared purpose,
access a common website which contains tools and vulnerable targets, but do not organize their cyber
attacks in any fashion’.213 Bij wijze van voorbeeld kan eveneens de eerder besproken situatie in
Georgië in 2008 worden aangehaald. Hoewel de Russische Federatie wordt verdacht hierachter te
zitten is dit nooit bewezen. Men is enkel tot de constatatie kunnen komen dat individuele hacktivisten
hier achter zaten die hetzelfde doel nastreefden, maar die noch in persoon, noch online ontmoet
hebben.214 De meerderheid van de Internationale Groep van Experten is van mening dat een informele
groepering van individuen handelend in een collectieve, maar overigens ongecoördineerde wijze niet
kunnen beschouwd worden als een ‘georganiseerde’ gewapende groep. Er moet sprake zijn van een
‘distinct group with sufficient organizational structure that operates as a unit’. De minderheid
beweert dat de vraag of de informele groep aan de organisatievereiste voldoet afhankelijk is van een
aantal verschillende context-specifieke factoren, zoals ‘the existence of an informal leadership entity
directing the group’s activities in a general sense, identifying potential targets, and maintaining an
inventory of effective hacker tools’. Alle Experten waren het er wel over eens dat het loutere feit dat
individuen handelen met eenzelfde collectieve doel voor ogen, onvoldoende is voor de vervulling van
het organisatievereiste.215 Schmitt volgt de minderheidsvisie van de Tallinn Manual.216 Geiss stelt dat:
‘Even when a number of individual actors are acting collectively—for example in a spontaneous
denial-of-service attack that finds more and more online followers or by sharing and spreading
malware tools—they do not qualify as an organized armed group. Collective action—or even
212 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p 83. 213 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p 90. 214 G. BROWN, ‘Law at cyberspeed: Answering Military Cyber Operators’, Legal Questions’, in W. HEINTSCHELL VON HEINEGG en G. BERUTO (eds.), International Humanitarian Law and New Weapons Technologies, Milano, Franco Angeli, 2012, p. 167; M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 155. 215 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p 90. 216 M. SCHMITT, ‘Cyber operations and the jus in bello: key issues’, Naval War College International Law Studies, Vol. 87, 2011, p. 99.
35
organized action—without more is neither sufficient nor decisive.’217 Hier kan dus voorlopig geen
eenduidig antwoord op worden gegeven.
Als laatste dient opnieuw gewezen te worden op de door AP II gestelde bijkomende vereisten. AP II is
in tegenstelling tot gemeenschappelijk artikel 3 niet van toepassing op gewapende conflicten tussen
twee niet-statelijke gewapende groeperingen en vereist controle over een bepaald gedeelte van het
territorium. Controle over cyberoperaties kan wel indicatief zijn voor de graad van territoriale controle
die een groep geniet, maar is alleen onvoldoende om controle over een deel van het territorium uit te
maken, zoals vereist door AP II.218 Een groepering kan geen controle over een (gedeelte van een)
territorium uitoefenen zonder fysieke aanwezigheid. Bijgevolg wordt AP II algemeen geacht niet van
toepassing te zijn op conflicten waarin er alleen sprake is van cyberoperaties en geen bijkomende
kinetische geweldpleging.219
CONCLUSIE
Het wordt niet betwist dat het IHR van toepassing is op cyberoperaties die naast kinetische operaties
tevens plaatsvinden in een gewapend conflict. Minder eenduidig zijn de situaties waarin er louter
sprake is van cyberoperaties, maar er wordt algemeen aanvaard dat ook deze onder bepaalde
voorwaarden aanleiding kunnen geven tot gewapende conflicten. Bij niet-internationale gewapende
conflicten lijkt dit door de aldaar gehanteerde drempel echter een minder of zelfs onwaarschijnlijk
scenario. In theorie worden deze situaties van ‘pure’ cyberoorlog dus niet uitgesloten, maar de vraag
resteert of we hier in de toekomst veel voorbeelden van zullen zien in de praktijk. Niet alleen omwille
van de mogelijke onverenigbaarheden die het specifieke karakter van cyber warfare met zich mee kan
brengen, maar ook door de algemeen door de staten gehanteerde tendens om dergelijke situaties niet
als gewapende conflicten te bestempelen.220 Dit vooral wat betreft niet-internationale gewapende
conflicten. Staten lijken ervoor te kiezen dergelijke aangelegenheden te behandelen als gevallen van
‘law enforcement’ en strafrecht. Tot op heden is er nog steeds geen situatie voorhanden waarin een
staat cyberoperaties buiten de context van een vooraf bestaand gewapend conflict als een 217 R. GEISS, ‘Cyber Warfare: Implications for Non-international Armed Conflicts’, INT’L L. STUD. 627, Volume 89, 2013, p. 635. 218 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p 90. 219 M. SCHMITT, ‘Classification of Cyber Conflict’, 8 Augustus 2012, Oxford Academic, p. 252. 220 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 552; M. SCHMITT, ‘Classification of Cyber Conflict’, 8 Augustus 2012, Oxford Academic, p. 252.
36
internationaal of niet-internationaal gewapend conflict heeft gekwalificeerd.221 In het geval van
Stuxnet bijvoorbeeld, heeft geen enkele staat, inclusief Iran, dit incident publiekelijk gekwalificeerd
als een ‘gewapende aanval’ of een ‘gewapend conflict’.222 Het wordt dus afwachten of de staten ervoor
zullen kiezen dergelijke situaties alsnog als dusdanig te beschouwen, of ze zullen blijven hangen in de
huidige tendens. Zoals het ICRC zei op de 2004 Stockholm Conferentie ‘whether CNA alone will ever
be seen as amounting to an armed conflict will probably be determined in a definite manner only
through future state practice’.223
221 M. SCHMITT, ‘Classification of Cyber Conflict’, 8 Augustus 2012, Oxford Academic, p. 252. 222 G. BROWN, K. POELLET, ‘The Customary International Law of Cyberspace’, 6 STRATEGIC STUDIES QUARTERLY, 2012, p. 132. 223 K. DO ̈RMANN, ‘The Applicability of the Additional Protocols to Computer Network Attacks: An ICRC Viewpoint’, in K. BYSTRO ̈M (ed.), Computer Network Attacks and the Applicability of International Humanitarian Law, Swedish National Defence College, 2004, p. 142.
37
DE TOEPASSING VAN HET INTERNATIONAAL HUMANITAIR RECHT
Het toepasselijkheidsvraagstuk werd reeds geadresseerd, maar de vraag naar de effectieve toepassing
van het IHR op cyber warfare resteert. Zoals hierboven gesteld loopt de toepassing van deze regels
niet zonder problemen. Het IHR is oorspronkelijk gecreëerd om conventionele oorlogvoering te
regelen en er bestaan verschillen tussen cyber warfare en conventionele oorlogvoering die niet kunnen
worden genegeerd. Deze verschillen vertalen zich in een aantal problemen met betrekking tot de
toepassing en de interpretatie van het IHR. Immers alle IHR-regels zijn potentieel van toepassing
gedurende een gewapend conflict, maar de vraag blijft of zij relevant zijn in de context van cyber
warfare en hoe zij kunnen worden toegepast of dienen te worden geïnterpreteerd.224 Deze
uiteenzetting zal zich weliswaar beperken tot de regels en principes van het IHR die het voeren van de
vijandelijkheden regelen. De regels en principes met betrekking tot de bescherming en behandeling
van personen ‘in de handen van’ een partij bij het conflict zijn minder relevant voor het opzet van deze
verhandeling. Vooraleer we specifiek ingaan op de regels dienen we te kijken wanneer deze van
toepassing zullen zijn.
TOEPASSELIJKHEID VAN DE REGELS BETREFFENDE HET VOEREN VAN DE VIJANDELIJKHEDEN
De term ‘cyberoperaties’ omvat, zoals hierboven reeds gezien, maar is niet gelimiteerd tot
cyberaanvallen.225 Cyberaanvallen zijn een specifieke categorie van cyberoperaties.226 Bepaalde
cyberoperaties, zoals deze die de levering van humanitaire hulp verstoren, vallen onder de toepassing
van het IHR zelfs wanneer dergelijke cyberoperaties niet rijzen tot het niveau van een ‘aanval’.227 Of
dit eveneens het geval is voor de regels betreffende het voeren van de vijandelijkheden is echter niet
duidelijk. Er bestaat immers discussie omtrent de vraag of deze regels alleen van toepassing zijn op
cyberoperaties die onder het IHR worden beschouwd als ‘aanvallen’ of zij in het algemeen van
toepassing zijn op militaire cyberoperaties. Deze discussie is van groot belang. Het is immers alleen 224 C. DRÖGE, ‘No Legal Vacuum in Cyberspace’ (online interview), 16 Augustus 2011,http://www.icrc.org/eng-/resources/documents/interview/2011/cyber-warfare-interview-2011-08-16.htm. 225 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 76. 226 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 113. 227 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p 76.
38
verboden burgerlijke goederen direct aan te vallen wanneer een cyberoperatie onder de toepassing valt
van het principe van onderscheid, en de collaterale effecten op de burgerlijke infrastructuur bij een
aanval op een militair objectief zullen slechts in rekening moeten worden genomen indien de operatie
onderworpen is aan het principe van proportionaliteit. Aangezien de meerderheidsopinie argumenteert
dat de regels betreffende het voeren van de vijandelijkheden enkel van toepassing zijn op
cyberoperaties die een ‘aanval’ uitmaken, is het belangrijk te weten wat hieronder dient te worden
verstaan. Na de uiteenzetting van bovenvermelde discussie zal dan ook gekeken worden welke
cyberoperaties als ‘aanvallen’ in de zin van het IHR kunnen worden beschouwd.
WELKE CYBEROPERATIES LOKKEN DE TOEPASSELIJKHEID VAN DE REGELS INZAKE HET VOEREN VAN DE VIJANDELIJKHEDEN UIT?
De vraag die zich dus stelt is of de toepasselijkheid van de regels betreffende het voeren van de
vijandelijkheden afhankelijk is van de kwalificatie als aanval of er sprake is van een algemene
toepasbaarheid op militaire cyberoperaties. Het gebrek aan consensus hieromtrent vloeit voort uit de
bewoording van de desbetreffende artikelen in AP I. Artikel 48 AP I, dat de algemene regel bereffende
het voeren van de vijandelijkheden omhelst, stelt immers dat ‘In order to ensure respect for and
protection of the civilian population and civilian objects, the Parties to the conflict shall at all times
distinguish between the civilian population and combatants and between civilian objects and military
objectives and accordingly shall direct their operations only against military objectives’. Hieruit zou
dus de algemene toepasselijkheid op cyberoperaties afgeleid kunnen worden, maar de volgende
artikelen spreken over de beperktere notie ‘aanval’. Artikel 51 AP I stelt bijvoorbeeld dat ‘the civilian
population as such, as well as individual civilians, shall not be the object of attack’ en verbiedt
‘attacks against the civilian population or civilians by way of reprisals’. Ook artikel 52 AP I stelt
bijvoorbeeld dat ‘attacks shall be limited strictly to military objectives. Eveneens kan verwezen
worden naar artikel 57 AP I dat als volgt gaat: ‘with respect to attacks, a number of precautions
should be taken’.228
De meeste commentatoren229 zijn van mening dat uit de structuur en de bewoording van het AP I kan
worden afgeleid dat artikel 48 AP I ‘geoperationaliseerd’ wordt in de daaropvolgende artikelen.230
228 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 555. 229 Zie onder andere R. GEIß, ‘The conduct of Hostilities in and via Cyberspace’, ASIL Proceedins 104th Annual Meeting, 2010; M. SCHMITT, ‘Wired warfare: computer network attack and jus in bello’, IRRC Vol. 84, No. 846, 2002, pp. 376-377; NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, onder andere Commentaar bij Regel 32 en 37.
39
Bijgevolg zou voor de toepassing van de regels omtrent het voeren van de vijandelijkheden een
bijkomende vereiste gelden, met name dat er sprake is van een ‘aanval’ in de zin van artikel 49 AP
I.231 Zo kan verwezen worden naar Woltag die stelt dat ‘In order for most rules for Additional
Protocol I and customary international humanitarian law to be applicable, CNO’s must fall under the
definition of the term ‘attack’ in the meaning of humanitarian law.’.232 De Tallinn Manual lijkt
eveneens deze zienswijze te volgen. Deze stelt immers herhaaldelijk bij de verschillende regels dat
deze enkel van toepassing zijn op cyberaanvallen. Zo kan bijvoorbeeld verwezen worden naar de
commentaren bij Regel 37 die het verbod op het aanvallen van burgerlijke goederen omhelst en Regel
32 die het verbod op het aanvallen van burgers omhelst. Er wordt immers gesteld dat ‘For a cyber
operation to be prohibited by this Rule, it must qualify as an ‘attack’. The term attack is defined in
Rule 30’.233,234 Verder kan ook verwezen worden naar Schmitt die argumenteert dat sommige
operaties, waaronder psychologische operaties (zoals de verspreiding van folders of propaganda-
uitzendingen), niet verboden zijn zelfs indien ze gericht zijn op burgers. Zo zou in het kader van cyber
warfare het zenden van e-mails naar de bevolking van de vijandelijke staat om deze onder druk te
zetten om te capituleren, toegelaten zijn onder het IHR.235 Hieruit leidt hij af dat de verwijzing naar
‘operaties’ in artikel 48 AP I dusdanig moet geïnterpreteerd worden dat deze enkel betrekking heeft op
één type operatie, zijnde een ‘aanval’. Operaties die niet kunnen beschouwd worden als een aanval
zouden aldus volgens Schmitt legitiem zijn.236 Als laatste kan verwezen worden naar Roscini die stelt
dat ‘Cyber operations not resulting in loss of life or injury to persons, more than minimal material
damage to property or loss of functionality of infrastructures are not ‘attacks’ in the sense of article
230 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 554; R. GEISS, H. LAHMANN, ‘Cyber warfare: applying the principle of distinction in an interconnected space’, Israeli Law Review, Vol. 45, No. 3, November 2012, p. 382. 231 R. GEISS, H. LAHMANN, ‘Cyber warfare: applying the principle of distinction in an interconnected space’, Israeli Law Review, Vol. 45, No. 3, November 2012, p. 382; M. SCHMITT, ‘Cyber operations and the jus in bello: key issues’, Naval War College International Law Studies, Vol. 87, 2011, pp. 91-92; C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 553. 232 J-C. WOLTAG, Cyber Warfare Military Cross-Border Computer Network Operations under International Law, Intersentia, 2014, p. 205. 233 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, Commentaren bij Regel 37 en Regel 32, respectievelijk p. 125 en 113. 234 Zie ook NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, Commentaar bij Regel 53, p. 167: ‘This Rule applies to cyberoperations that qualify as an ‘attack’’. 235 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 76. 236 M. SCHMITT, ‘Cyber operations and the jus in bello: key issues’, Naval War College International Law Studies, Vol. 87, 2011, p. 91.
40
49(1) of Additional Protocol I and, therefore, the rules applicable to ‘attacks’ are not relevant to
them, unless they are an integral part of an operation qualifying as an attack.’.237
De minderheidsopinie argumenteert daarentegen dat de regels omtrent het voeren van de
vijandelijkheden ook van toepassing zijn op cyberoperaties. Zo kan bijvoorbeeld verwezen worden
naar Dinniss. Zij meent dat uit de algemene bewoording van artikel 48 van het AP I en de eerste
zinnen van artikelen 51 en 57 van datzelfde Protocol kan afgeleid worden dat de burgerlijke populatie
niet alleen tegen ‘aanvallen’, maar ook meer algemeen tegen de effecten van militaire operaties, moet
beschermd worden. Bijgevolg zouden de principes van onderscheid, proportionaliteit en voorzorg ook
van toepassing zijn op computernetwerkaanvallen die vallen onder de definitie van een militaire
operatie. Om binnen deze definitie te vallen ‘the computer network attack must be associated with the
use of physical force, but it does not have to result in violent consequences itself’.238239
Ook Melzer is voorstander van een ruimer toepassingsgebied. Hij meent dat de vraag naar de
toepasselijkheid van de regels omtrent het voeren van de vijandelijkheden niet afhankelijk is van de
vraag of de cyberoperatie een ‘aanval’ uitmaakt in de zin van het IHR, maar of de cyberoperatie kan
beschouwd worden als deel van ‘de vijandelijkheden’. De regels betreffende het voeren van de
vijandelijkheden zouden dus niet alleen van toepassing zijn op cyberaanvallen.240 Volgens Melzer
dienen als ‘vijandelijkheden’ te worden beschouwd: ‘cyber operations that are designed to harm the
adversary, either by directly causing death, injury, or destruction or by directly adversely affecting
military operations or military capacity, must be regarded as hostilities’. Bijgevolg zouden
cyberoperaties met als doel computergecontroleerde radar- of wapensystemen, of
communicatienetwerken te ontwrichten onder het IHR vallen zelfs als zij geen fysieke schade
aanrichten. Cyberoperaties gericht op het vergaren van informatie zouden daarentegen niet vallen
onder de notie ‘vijandelijkheden’.241 Wat betreft de non-destructieve buitenwerkingstelling van
burgerlijke goederen, komt Melzer niet tot een defintieve conclusie, maar hij wijst wel op het dilemma
tussen de aanname van een te restrictieve en een te permissieve interpretatie.242
C. Droege wijst erop dat staten wel degelijk een onderscheid hebben gemaakt in AP I tussen de
algemene principes in de respectieve chapeaux van de regels van onderscheid en voorzorg en de 237 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 239. 238 H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, pp. 196-202. 239 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 555. 240 N. MELZER, Cyberwarfare and International Law, UNIDIR Resources Paper, 2011, p. 112. 241 N. MELZER, Cyberwarfare and International Law, UNIDIR Resources Paper, 2011, p. 28. 242 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 555.
41
specifieke regels met betrekking tot ‘aanvallen’ en dat ze het nodig vonden de notie ‘aanval’ specifiek
te definiëren in artikel 49 van het Protocol. Het is volgens haar dan ook moeilijk om te scheiden van
deze dichotomie tussen militaire operaties en aanvallen. Niettemin stelt ze dat er inderdaad, zoals
vooropgesteld door Dinniss, een argument kan gevonden worden in het feit dat de artikelen 48, 51 en
57 AP I algemene clausules bevatten die limieten stellen aan militaire operaties en niet alleen aan
‘aanvallen’. De inhoud van deze zou anders moeilijk te verklaren zijn.243 Ze oordeelt dan ook dat
hoewel de meer specifieke regels voorzien in artikel 51 en 57 AP I spreken over ‘aanvallen’, het
aannemelijk is dat andere militaire operaties niet volledig kunnen uitgesloten worden van de
toepassing van de principes van onderscheid, proportionaliteit en voorzorg, daar artikel 48 en de
chapeaux van de artikelen 51en 57 anders overbodig zouden zijn.244 Zij trekt echter geen definitieve
conclusies.
Deze discussie blijft voorlopig een open vraagstuk. De minderheidsopinie heeft weliswaar als
voordeel dat het in de lijn ligt van het doel van de regels omtrent het voeren van de vijandelijkheden,
met name ‘that innocent civilians must be kept outside hostilities as far as possible and enjoy general
protection against danger arising from hostilities’,245 maar er is een groot verschil tussen de lege
ferenda en de lege lata. In deze paper zal dan ook geen standpunt worden ingenomen. Waar hierna de
termen ‘cyberoperatie’ of ‘cyberaanval’ worden gebruikt dient hier dus geen standpunt in te worden
gelezen.
WELKE CYBEROPERATIES ZIJN ‘AANVALLEN’ IN DE ZIN VAN HET IHR?
Aangezien de meerderheidsopinie argumenteert dat de regels betreffende het voeren van de
vijandelijkheden enkel van toepassing zijn op cyberoperaties die een ‘aanval’ uitmaken is een goed
begrip van deze notie van belang. Immers, indien deze visie wordt gevolgd is dit begrip cruciaal voor
de interpretatie en toepassing van de regels betreffende het voeren van de vijandelijkheden.
‘Aanval’ kent een specifieke betekenis in het IHR die verschilt van deze in andere rechtstakken.246
Artikel 49(1) AP I definieert een ‘aanval’ als ‘daden van geweld gericht tegen de tegenstander, hetzij
243 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 556. 244 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 556. 245 Y. SANDOZ, C. SWINARKI, B. ZIMMERMAN, Commentary on the Additional Protocols of 8 June 1977 to the Geneva Conventions of 12 August 1949, ICRC/Martinus Nijhoff Publishers, Dordrecht, 1987; C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 555. 246 K. DÖRMANN, ‘Applicability of the Additional Protocols to Computer Network Attacks’, ICRC, 2004, p. 3, http://www.icrc.org/eng/resources/documents/misc/68lg92.htm.
42
offensieve, hetzij defensieve’. Het Commentaar van het ICRC bij de Aanvullende Protocollen legt uit
dat ‘aanval’ in het kader van het IHR, niet dient te worden beschouwd als ‘de eerste slag slaan’, maar
dient te worden gezien als ‘gevechtsactie’.247 Wat er nu dient te worden verstaan onder ‘geweld’ of
‘gevechtsactie’ wordt echter niet gezegd. Er wordt wel algemeen aangenomen dat ‘geweld’ niet
verwijst naar het middel waarmee wordt aangevallen, daar dit begrip anders enkel kinetische middelen
zou omvatten.248 Wat determinerend is, is niet het gewelddadig karakter van de middelen maar het
gewelddadig karakter van de gevolgen.249 Een datastroom die via kabels of satellieten gaat, kan dus
eveneens vallen onder de notie ‘aanval’.250 Discussie bestaat echter omtrent de vraag welke gevolgen
vereist zijn om te kunnen spreken van een aanval en meer bepaald of die operaties die geen dood,
verwondingen of fysieke vernietiging of schade aan goederen veroorzaken zoals kinetische operaties,
maar wel interfereren met de functionaliteit van goederen, kunnen beschouwd worden als dusdanig.
Immers, cyberoperaties hebben niet noodzakelijk ‘gewelddadige’ gevolgen.251 Volgens Schmitt
kunnen drie visies voorop gesteld worden, met name (1) ‘de Permissieve Benadering’, (2) ‘de
Restrictieve Benadering’ en (3) een derde visie ontwikkeld gedurende de Tallinn Manual deliberaties,
de zogenaamde ‘Tallinn Manual Benadering’. In wat volgt zal kort worden ingegaan op elk visie.252
‘DE PERMISSIEVE BENADERING’
Deze benadering, vooropgesteld door onder andere Dinstein en in het verleden ook door Schmitt253,
wordt ‘permissief’ genoemd, daar deze een groter aantal cyberoperaties tegen de burgerlijke populatie
toelaat. Deze benadering stelt immers dat de cyberoperatie om te kunnen kwalificeren als een ‘aanval’
dient te resulteren in schade aan personen of fysieke schade aan goederen. ‘Schade aan goederen’
verwijst in deze visie dus alleen naar fysieke schade aan goederen. Cyberoperaties die leiden tot
effectieve beschadiging worden bijgevolg beschouwd als aanvallen, maar deze die louter ongemak
247 Y. SANDOZ, C. SWINARKI, B. ZIMMERMAN, Commentary on the Additional Protocols of 8 June 1977 to the Geneva Conventions of 12 August 1949, ICRC/Martinus Nijhoff Publishers, Dordrecht, 1987. 248 Y. DINSTEIN, The Conduct of Hostilities under the Law of International Armed Conflict, Tweede Editie, Cambridge University Press, 2010, p. 84; M. SCHMITT, ‘Cyber operations and the jus in bello: key issues’, Naval War College International Law Studies, Vol. 87, 2011, p. 5. 249 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, Commentaar bij Regel 30, para. 3; M. SCHMITT, ‘Wired warfare: computer network attack and jus in bello’, IRRC, Vol. 84, No. 846, June 2002, p. 377. 250 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 557. 251 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 557. 252 M. SCHMITT, ‘Rewired Warfare: rethinking the law of cyber attack’, IRRC, 2014, 96 (893), pp. 191-192. 253 Schmitt was vroeger aanhanger van deze benadering (zie ‘Wired Warfare: Computer Network Attack and Jus in Bello’), maar in zijn ‘Rewired Warfare: rethinking the law of cyber attack’ stelt hij andere mening voorop.
43
met zich meebrengen of louter zorgen voor een onderbreking van de werking kunnen enkel als
dusdanig worden beschouwd indien ze menselijk leed met zich meebrengen.254255
‘DE RESTRICTIEVE BENADERING’
Deze benadering onttrekt zijn naam aan het feit dat er restrictiever wordt opgetreden en minder
cyberoperaties als toelaatbaar worden beschouwd. Aanhangers van deze visie zijn van mening dat de
Permissieve Benadering onvoldoende bescherming biedt voor de burgerlijke bevolking en andere
beschermde personen en goederen. Zij zijn van oordeel dat de notie ‘aanval’ daarom moet worden
uitgebreid tot cyberoperaties die bepaalde ‘schadelijke effecten’ veroorzaken, zonder dat deze
noodzakelijk dienen te resulteren in ‘letsels’ of ‘schade’.256 Eén van de aanhangers van deze
benadering, Dörmann257, wijst op de definitie van militaire objectieven ex artikel 52(2) AP I: ‘die
goederen die naar hun aard, ligging, bestemming of gebruik een daadwerkelijke bijdrage tot de
krijgsverrichtingen leveren en waarvan de gehele of gedeeltelijke vernietiging, verovering of
onbruikbaarmaking onder de omstandigheden van dat moment een duidelijk militair voordeel
oplevert’. Volgens deze auteur kan uit het feit dat dit artikel refereert naar de onbruikbaarmaking van
een doelwit als een mogelijk resultaat van een aanval, afgeleid worden dat het irrelevant is of een goed
zijn werking heeft verloren door vernietiging of op enige andere wijze.258 Bijgevolg zou de
buitenwerkingstelling van een doelwit (zonder vernietiging ervan) ook beschouwd kunnen worden als
een aanval. Roscini volgt eveneens deze visie en stelt dat ‘whenever a belligerent’s cyber attack in the
context of an armed conflict causes loss of functionality of infrastructure that goes beyond mere
inconvenience, then, it qualifies as an attack and it must comply with the law of targeting, regardless
of whether concomitant physical damage to the infrastructure occurs.259 Ook kan verwezen worden
naar Woltag die stelt dat ‘computer network operations also can qualify as an attack in the sense of
254 M. SCHMITT, ‘‘Attack’ as a term of art in international law: the cyber operations context’, in C. CZOSSECK, R. OTTIS en K. ZIOLKOWSKI (eds.), 2012 4th International Conference on Cyber Conflict, NATO CCD COE Publications, Tallinn, 2012, p. 291. 255 M. SCHMITT, ‘Wired warfare: computer network attack and jus in bello’, IRRC, Vol. 84, No. 846, Juni 2002, pp. 376-377. 256 K. DÖRMANN, ‘Applicability of the Additional Protocols to Computer Network Attacks’, ICRC, 2004, pp. 1-12, http://www.icrc.org/ eng/resources/documents/misc/68lg92.htm. 257 K. DÖRMANN, ‘Applicability of the Additional Protocols to Computer Network Attacks’, ICRC, 2004, pp. 1-12, http://www.icrc.org/ eng/resources/documents/misc/68lg92.htm. 258 K. DÖRMANN, ‘Applicability of the Additional Protocols to Computer Network Attacks’, ICRC, 2004, p. 4, http://www.icrc.org/ eng/resources/documents/misc/68lg92.htm. 259 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 284.
44
humanitarian law if they do not cause physical destruction noticeable outside of the targeted computer
system’.260
‘DE TALLINN MANUAL BENADERING’
De Tallinn Manual volgt de Permissieve benadering en definieert een cyberaanval in Regel 30 als ‘a
cyber operation, whether offensive or defensive that is reasonably expected to cause injury or death to
persons or damage or destruction to objects’.261 Niettemin bestaat er discussie onder de Internationale
Groep van Experten omtrent wat er dient te worden verstaan onder ‘schade aan goederen’ en meer
bepaald omtrent de vraag of dit de interferentie met de functionaliteit van een goed omhelst. De
meerderheid van de experten is van mening dat dit wel degelijk het geval is en dat operaties die hiertoe
leiden bijgevolg kunnen beschouwd worden als een aanval in afwezigheid van fysieke destructie. Wel
bestaat er onder deze experten enige onenigheid met betrekking tot wat er dient te worden verstaan
onder interferentie met de functionaliteit. Sommigen zijn van oordeel dat ‘interference with
functionality qualifies as damage if restoration of functionality requires replacement of physical
components’.262 Anderen includeerden bovendien ‘simple reinstallation of the operating system in the
notion of repair’ en een paar argumenteren zelfs dat ‘interference with functionality that necessitates
data restoration, while not requiring physical replacement of components or reinstallation of the
operating system, qualifies as an attack’.263 264
Hieruit kan bijgevolg een derde benadering worden afgeleid die zich focust op de functionaliteit van
het doelwit dat wordt aangevallen, en die in vergelijking met de Permissieve Benadering voldoende
bescherming biedt, en in tegenstelling tot de Restrictieve Benadering meer duidelijkheid schept
omtrent de vereiste drempel voor een aanval.265
260 J-C. WOLTAG, Cyber Warfare Military Cross-Border Computer Network Operations under International Law, Intersentia, 2014, p. 256. 261 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, Regel 30. 262 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, Commentaar bij Regel 30, para. 11. 263 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, Commentaar bij Regel 30, para. 10. 264 T. GILL, R. GEiß, R. HEINSCH, T. MCCORMACK, C. PAULUSSEN, J. DORSEY, Yearbook of International Humanitarian Law, Volume 15, Volume 2012, Springer Science & Business Media, 2013, p. 53. 265 M. SCHMITT, ‘Rewired Warfare: rethinking the law of cyber attack’, IRRC, 2014, 96 (893), p. 192.
45
REGELS MET BETREKKING TOT HET VOEREN VAN DE VIJANDELIJKHEDEN
Dan komen we nu tot de effectieve toepassing van het IHR op cyber warfare. In wat volgt zal gekeken
worden hoe het IHR en meer specifiek de regels betreffende het voeren van de vijandelijkheden, die
oorspronkelijk gecreëerd zijn om conventionele oorlogvoering te regelen, het significant verschillende
cyber warfare regelen. Deze uiteenzetting zal zich weliswaar beperken tot een bespreking van de
belangrijkste principes van de regels betreffende het voeren van de vijandelijkheden. Aan de basis van
deze regels en in het algemeen het IHR, ligt het principe van onderscheid. Voortvloeiend uit dit
principe en onontbeerlijk voor zijn trouwe implementatie zijn het verbod van niet-onderscheidende
aanvallen en de vereisten van voorzorg en proportionaliteit.266 Hierna volgt een uiteenzetting van elk
van deze principes en de problemen waartoe de toepassing van deze in cyberspace aanleiding geeft.
HET PRINCIPE VAN ONDERSCHEID
ALGEMEEN
Het principe van onderscheid is een kernprincipe van het IHR267 dat zowel in internationale als in
niet-internationale gewapende conflicten speelt.268269 Het stelt dat partijen bij een conflict altijd een
onderscheid dienen te maken tussen burgers en strijders, en goederen van burgerlijke aard en militaire
objectieven, en dat enkel strijders en militaire objectieven mogen worden aangevallen. Dit principe is
gebaseerd op het algemeen beginsel dat ‘the only legitimate object which States should endeavour to
accomplish during war is to weaken the military forces of the enemy’270. Het principe van onderscheid
kan in heel wat instrumenten teruggevonden worden en kent een gewoonterechtelijk karakter.271 Er
kan onder andere verwezen worden naar artikel 48 van Aanvullend Protocol I, Protocol II en Protocol
266 N. MELZER, Cyberwarfare and International Law, UNIDIR, 2011, p. 29. 267 ICJ, 8 Juli 1996, nr. ICJ GL No 95, Legality of the Threat or Use of Nuclear Weapons, advisory opinion, para. 78. 268 In niet-internationaal gewapende conflicten vereist artikel 13 AP II dat er een onderscheid wordt gemaakt tussen burgers enerzijds en leden van de statelijke gewapende krachten of van de georganiseerde gewapende groepen anderzijds. De Internationale Groep van Experten van de Tallinn Manual aanvaardt dat deze verplichting ook inhoudt dat partijen een onderscheid dienen te maken tussen militaire objectieven en burgerlijke goederen ondanks het feit dat artikel 13 van AP II origineel niet bedoeld was om tevens doorgetrokken te worden naar burgerlijke goederen. 269 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 561; NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 111. 270 Dit beginsel kan onder andere teruggevonden worden in de St. Petersburg Verklaring van 1968. 271 J. HENCKAERTS, L. DOSWALD-BECK, C. ALVERMANN, Customary International Humanitarian Law: Volume 1, Rules, Cambridge University Press, 2005, Regels 1 en 7.
46
III bij ‘the convention on Certain Conventional Weapons’ en Regel 31 van de Tallinn Manual.
Ingevolge dit principe zullen dus ook bij de planning en uitvoering van cyberoperaties enkel strijders
of militaire objectieven legitieme doelwitten zijn onder het IHR.
Het ICJ heeft het principe van onderscheid in zijn ‘Advisory Opinion on the Legality of the Threat or
Use of Nuclear Weapons’ aangemerkt als ‘intransgressible’.272 Bijgevolg is elke motivering of
rechtvaardiging dat niet wordt toegelaten door het IHR irrelevant bij de beoordeling of het principe
werd geschonden. Cyberaanvallen tegen privaat domein van een leider met de bedoeling hem onder
druk te zetten om te capituleren, zullen indien het eigendom van burgerlijk aard is, bijgevolg niet
legitiem zijn onder het IHR, ongeacht of hierdoor het conflict sneller zou kunnen worden beëindigd.273
HET VERBOD OP HET DIRECT AANVALLEN VAN BURGERS
Uit het principe van onderscheid volgt dat het verboden is burgers direct aan te vallen. Er dient ten
allen tijde een onderscheid te worden gemaakt tussen burgers en strijders en aanvallen mogen enkel
gericht worden op laatstgenoemden. Deze regel kan teruggevonden worden in onder andere artikelen
48 en 51(2) AP I en artikel 13(2) AP II, en maakt internationaal gewoonterecht uit in zowel
internationale als niet-internationale gewapende conflicten.274 Deze regel geldt ook in het kader van
cyber warfare. Er kan verwezen worden naar Regel 32 van de Tallinn Manual die stelt dat ‘the civilian
population as such, as well as individual civilians, shall not be the object of cyber attack’.
Het is dus van belang een duidelijk onderscheid te maken tussen strijders, die in principe ten allen
tijde mogen aangevallen worden275 en burgers, die in principe niet het voorwerp mogen uitmaken van
directe aanvallen276.277 Het volstaat hier kort op in te gaan.
Het begrip ‘strijders’ kent een verschillende invulling in internationale en niet-internationale
gewapende conflicten. In internationale gewapende conflicten worden als dusdanig beschouwd: de
272 ICJ, 8 Juli 1996, nr. ICJ GL No 95, Legality of the Threat or Use of Nuclear Weapons, advisory opinion, para. 79. 273 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 112. 274 J. HENCKAERTS, L. DOSWALD-BECK, C. ALVERMANN, Customary International Humanitarian Law: Volume 1, Rules, Cambridge University Press, 2005, Regel 1. 275 Deze regel is echter niet absoluut. Strijders mogen slechts aangevallen worden tot ze de wapens neerleggen en terugkeren naar het burgerlijke leven of ‘hors de combat’ zijn. Strijders ‘hors de combat’ zijn degene die niet langer deelnemen aan het conflict door ziekte, verwondingen, detentie of enige andere oorzaak. 276 Tenzij en voor zo lang ze rechtstreeks deelnemen aan de vijandelijkheden. Zie verder. 277 Dit is de zogenaamde ‘battlefield status’ die bepaalt of een persoon een legitiem doelwit is in de context van het voeren van de vijandelijkheden (de zogenaamde ‘liability to attack’).
47
reguliere en irreguliere leden van de strijdkrachten die behoren tot een partij bij het conflict op
voorwaarde dat er sprake is van voldoende militaire organisatie, en de participanten in een levée en
masse. Participanten in een ‘levée en masse’ zijn ‘de bevolking van een niet-bezet gebied die, bij het
naderen van de vijand, uit eigen beweging de wapens opneemt om de invallende troepen te bestrijden,
zonder tijd gehad te hebben zich tot geregelde gewapende eenheden te organiseren, mits zij de wapens
openlijk draagt en de wetten en gebruiken van de oorlog eerbiedigt.’.278 In niet-internationale
gewapende conflicten zijn dit de leden van de statelijke strijdkrachten en/of de leden van de
georganiseerde gewapende groepen behorend tot de niet-statelijke partij(en) bij het conflict.
Laatstgenoemden bestaan enkel uit individuen wiens aanhoudende functie erin bestaat om rechtstreeks
deel te nemen aan de vijandelijkheden (‘continuous combat function’).
Burgers daarentegen zijn al degenen die niet als strijders worden beschouwd.279 In cyber warfare
zullen dit bijvoorbeeld eveneens de niet-statelijke hackers zijn die niet behoren tot een georganiseerde
gewapende groepering. Bovendien zal een persoon in geval van onzekerheid beschouwd worden een
burger te zijn.280 De ‘burgerlijke populatie’ omvat alle personen die burgers zijn. De aanwezigheid
binnen de burgerlijke populatie van individuen die niet vallen onder de definitie van burgers berooft
de populatie niet van zijn burgerlijke karakter.281
De regel dat burgers niet rechtstreeks aangevallen mogen worden is echter niet absoluut. Artikel 51(3)
AP I en artikel 13(3) AP II voorzien immers een uitzondering op dit verbod indien en ‘voor zolang’
burgers ‘rechtstreeks deelnemen aan de vijandelijkheden’. Deze uitzondering maakt internationaal
gewoonterecht uit.282 Dus, voor zover burgerlijke experten of individuele hackers cyberoperaties
uitvoeren die kunnen beschouwd worden als een rechtstreekse deelname aan de vijandelijkheden
mogen ze legitiem worden aangevallen. Bovendien moeten ze niet in rekening worden genomen bij de
proportionaliteitsanalyse of bij de bepaling van de voorzorgen die dienen genomen te worden om
schadelijke gevolgen voor de burgers te vermijden.283 Deze uitzondering zal een grote rol spelen in het
kader van cyber warfare. Immers, dankzij de lage kost en de gemakkelijke toegang tot technologie,
zullen burgers niet veel problemen ondervinden indien zij een beroep willen doen op cyberoperaties.
278 Art. 2 H IV R en art. 4(6) GC III. 279 N. MELZER, International Humanitarian law, ICRC, 2016, p. 85. 280 Artikel 50(1) AP I. 281 Artikelen 50(2) en 50(3) AP I. 282 J. HENCKAERTS, L. DOSWALD-BECK, C. ALVERMANN, Customary International Humanitarian Law: Volume 1, Rules, Cambridge University Press, 2005, Regel 6. 283 N. MELZER, Cyberwarfare and International Law, UNIDIR, 2011, p. 28; NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 119.
48
Enkel een computer, software en een internetconnectie is hiertoe vereist.284 Hoewel er geen duidelijke
tekstuele definitie bestaat van wat een dergelijke deelneming inhoudt, hebben statenpraktijk,
verdragsinterpretatie, de rechtsleer en de rechtspraak drie vereisten vooropgesteld opdat er sprake zou
kunnen zijn van een ‘rechtstreekse deelname aan de vijandelijkheden’.285 Vooreerst is vereist dat de
daad (hier: cyberoperatie) een bepaalde schadedrempel bereikt (treshold of harm).286 Verder dienen de
handelingen (hier: cyberoperaties) deze vereiste drempel direct te veroorzaken (direct causation)287.
Als laatste moeten deze bedoeld zijn om een partij bij het conflict te steunen of nadeel toe te brengen
(belligerent nexus).288 In wat volgt zullen we enkel verder ingaan op het eerste vereiste, daar vooral de
doortrekking van deze voor problemen zal zorgen in de cybercontext.289
Wat betreft de treshold of harm dient er op gewezen te worden dat het volgens de ‘ICRC Interpretive
Guidance’ niet vereist is dat de schade zich werkelijk voordoet, maar enkel dat het objectief
waarschijnlijk is dat de daad dergelijke schade zal veroorzaken.290 Er heerst weliswaar discussie
omtrent de inhoud van deze vereiste. Twee discussiepunten kunnen worden onderscheiden. Vooreerst
wat er dient te worden verstaan onder ‘schade’. Ten tweede of enkel schade aan het personeel en het
materiaal van het leger van de tegenpartij in rekening dient te worden genomen, of eveneens schade
aan beschermde personen en objecten. Volgens het Commentaar van artikel 51 AP I, refereert
rechtstreekse deelneming naar: ‘acts of war which by their nature or purpose are likely to cause actual
harm to the personnel and equipment of the enemy armed forces’.291 Wat er dient te worden verstaan
onder ‘harm’ wordt echter niet uiteengezet. Het is enkel duidelijk dat de schade aan het leger moet zijn
toegebracht, maar niet of deze al dan niet een fysiek karakter moet hebben.292 Het Israëlisch Supreme
Court heeft in zijn Targeted Killings zaak gesteld dat ‘acts which by nature and objective are intended
to cause damage to civilians should be added to that definition’. Het specifieerde wel eveneens niet 284 R. BARNETT, ‘A Different Kettle of Fish: Computer Network Attack’, in M. SCHMITT en B. O’DONNEL (eds.), International Law Studies: Volume 76, ‘Computer Network Attack and International Law’, US Naval War College, 2002, p. 22, http://stockton.usnwc.edu/cgi/viewcontent.cgi?article=1394&context=ils. 285 J-C. WOLTAG, Cyber Warfare Military Cross-Border Computer Network Operations under International Law, Intersentia, 2014, p. 243; Vooral van belang is de ICRC, Interpretive Guidance on the Notion of Direct Participation in Hostilities under IHL, ICRC, 2009. 286 ICRC, ‘Interpretive Guidance on the Notion of Direct Participation in Hostilities under IHL’, ICRC, 2009, pp. 47-49; Y. SANDOZ, C. SWINARKI, B. ZIMMERMAN, Commentary on the Additional Protocols of 8 June 1977 to the Geneva Conventions of 12 August 1949, ICRC/Martinus Nijhoff Publishers, Dordrecht, 1987, para. 1944. 287 ICTY, 17 Juli 2008, nr. IT-01-42-A, Prosecutor v. Strugar, paras. 172-179. 288 ICRC, ‘Interpretive Guidance on the Notion of Direct Participation in Hostilities under IHL’, ICRC, 2009, p. 60. 289 Voor een verdere bespreking van de andere twee vereisten zie M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, pp. 206-208. 290 ICRC, ‘Interpretive Guidance on the Notion of Direct Participation in Hostilities under Humanitarian Law’, ICRC, Geneva, 2009, Aanbeveling V(3), p. 47, https://www.icrc.org/eng/assets/files/other/icrc-002-0990.pdf. 291 Y. SANDOZ, C. SWINARKI, B. ZIMMERMAN, Commentary on the Additional Protocols of 8 June 1977 to the Geneva Conventions of 12 August 1949, ICRC/Martinus Nijhoff Publishers, Dordrecht, 1987, para. 1944. 292 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, pp. 204-205.
49
welk soort ‘schade’ er vereist is.293 De ‘ICRC Interpretative Guidance’ stelt op zijn beurt dat ‘the act
must be likely to adversely affect the military operations or military capacity of a party to an armed
conflict or, alternatively, to inflict death, injury, or destruction on persons or objects protected against
direct attack’.294 Volgens het ICRC omhelst de notie ‘schade’ bijgevolg ook schade aan beschermde
personen en objecten, maar enkel deze van een fysieke natuur.295 De Tallinn Manual gaat hiermee
akkoord.296 Ook de ‘HPCR Manual on Air and Missile Warfare’ volgt eenzelfde zienswijze. Artikel
29(iii) van deze stelt immers dat ‘engaging in..computer network attacks targeting military objectives,
combatants or civilians directly participating in hostilities, or which is intended to cause death or
injury to civilians or damage to or destruction of civilian objects’ is an example of direction
participation in hostilities.’.297 Melzer is daarentegen van oordeel dat ‘any harm caused to the civilian
population for reasons related to the conflict, including mere harassment or inconvenience, would
have to be regarded as part of military hostilities, triggering not only the applicability of IHL on the
conduct of hostilities, but also the loss of civilian protection for all those directly involved’.298 299
Het verlies van bescherming geldt echter slechts ‘voor zolang’ deze personen rechtstreeks deelnemen
aan de vijandelijkheden. Het ICRC interpreteert dit zodanig dat een rechtstreekse participant nog zal
kunnen worden aangevallen op weg van en naar een operatie, maar dat eens thuisgekomen zijn
immuniteit voor aanvallen herleeft. In ieder geval tot deze opnieuw zou deelnemen aan de
vijandelijkheden.300 De ‘ICRC Interpretive Guidance’ specifieert dat wanneer de vijandige daad van
op een afstand wordt uitgevoerd (zoals het geval is in cyberaanvallen), ‘the duration of the direct
participation in hostilities will be restricted to the immediate execution of the act and preparatory
measures forming an integral part of that act’.301 De vraag kan nu gesteld worden wat er dient te
worden verstaan onder ‘uitvoering’ van een cyberoperatie. Het is duidelijk dat ‘the period over which
the functionality required to carry out the attack on the targeted system(s) is installed or deployed’
293 Supreme Court of Israel, 14 December 2006, nr. HCJ 769/02, Targeted Killings case, para 33. 294 ICRC, ‘Interpretive Guidance on the Notion of Direct Participation in Hostilities under Humanitarian Law’, ICRC, Geneva, 2009, Aanbeveling V(3), p. 48, https://www.icrc.org/eng/assets/files/other/icrc-002-0990.pdf. 295 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, pp. 204-206. 296 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 119. 297 PROGRAM ON HUMANITARIAN POLICY AND CONFLICT RESEARCH AT HARVARD UNIVERSITY, Commentary on the HPCR Manual on International Law Applicable to Air and Missile Warfare, 2010, p. 137, http://www.ihlresearch.org/amw/ aboutmanual.php. 298 N. MELZER, ‘Cyberwarfare and International Law’, UNIDIR, 2011, p. 29. 299 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, pp. 204-206. 300 ICRC, ‘Interpretive Guidance on the Notion of Direct Participation in Hostilities under Humanitarian Law’, ICRC, Geneva, 2009, Aanbeveling V en commentaar, pp. 46-64. 301 ICRC, ‘Interpretive Guidance on the Notion of Direct Participation in Hostilities under Humanitarian Law’, ICRC, Geneva, 2009, p. 68.
50
hieronder valt302, maar omvat dit ook de periode waarin deze daad effecten heeft?303 Roscini stelt van
niet. Immers, de effecten vormen de voortduring van de vijandelijke daad, maar niet van de
rechtstreekse deelneming. Zo verwijst hij naar artikel 14 van ‘de Ontwerp Artikelen inzake
Staatsaansprakelijkheid voor Internationale Onrechtmatige Daden’ die een onderscheid maakt tussen
een onrechtmatige daad en de effecten ervan.304 Hij is van mening dat er geen militaire noodzaak zou
bestaan om iemand aan te vallen die niet langer een rol speelt in de operatie.305 Ook kan verwezen
worden naar de meerderheidsopinie van de Internationale Groep van Experten van de Tallinn Manual:
‘the duration of an individual’s direct participation extends from the beginning of his involvement in
mission planning to the point when he or she terminates an active role in the operation’.306Aangezien
de persoon niet langer een actieve rol speelt gedurende de periode waarin de daad effecten heeft, zou
hieruit kunnen afgeleid worden dat dit niet meer kan beschouwd worden als ‘rechtstreekse deelname
in de vijandelijkheden’. Schmitt wijst er echter op dat een restrictieve interpretatie van het
tijdscriterium problematisch kan zijn in het kader van cyber warfare. Dit zou immers tot gevolg
hebben dat de rechtstreekse participant alleen kan aangevallen worden bij de eigenlijke lancering of
uitvoering van de operatie. Gezien de meeste cyberoperaties slechts enkele minuten of zelfs seconden
duren zou dit tot gevolg hebben dat het recht om rechtstreekse deelnemers aan te vallen de facto
onbestaande zou zijn.307
Roscini hanteert eenzelfde argumentatie met betrekking tot daden met zogenaamde ‘uitgestelde
effecten’.308 Uitgestelde effecten komen bijvoorbeeld voor bij heimelijk geplaatst logische bommen
die ontworpen zijn om in de toekomst geactiveerd te worden op een vooraf bepaald moment, of bij een
bepaalde activiteit van het systeem dat wordt aangevallen.309 Ook hier kan verwezen worden naar de
meerderheidsopinie van de Internationale Groep van Experten van de Tallinn Manual.310 Aangezien de
persoon niet langer een actieve rol speelt bij dergelijke activatie zal de duur van de deelneming
302 W. OWENS, K. DAM, H. LIN (eds.), Technology, Policy, Law, and Ethics Regarding U.S. Acquisition and Use of Cyberattack Capabilities, The National Academies Press, Washington D.C., 2009, p. 90. 303 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 210. 304 UN ‘Draft Articles on the Responsibility of States for Internationally Wrongful Acts’, Yearbook of the International Law Commission, vol. II, Part Two, 2001, A/CN.4/SER.A/2001. 305 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 210. 306 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 121. 307 M. SCHMITT, ‘Cyber operations and the jus in bello: key issues’, Naval War College International Law Studies, Vol. 87, 2011 p. 102. 308 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 210. 309 M. SCHMITT, ‘Cyber operations and the jus in bello: key issues’, Naval War College International Law Studies, Vol. 87, 2011, pp. 101-102. 310 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 121.
51
volgens deze visie enkel de installatie van de malware omvatten. Logische bommen kunnen echter
ook geactiveerd worden op commando. Dergelijke activatie kan uiteraard wel als rechtstreekse
deelneming beschouwd worden. In de hypothese dat dit door dezelfde persoon gebeurt kan de vraag
gesteld worden of de installatie van de malware en de activatie op commando als twee aparte daden of
als één daad van rechtstreekse deelneming dienen te worden beschouwd? Indien de
meerderheidsopninie van de Tallinn Manual wordt gevolgd zou de rechtstreekse deelneming duren
vanaf de planning van de operatie tot de activatie op commando van het individu, en moeten deze dus
als één daad worden beschouwd. Volgens een minderheid van de Tallinn Manual dienen de plaatsing
en de activatie door eenzelfde individu als afzonderlijke daden van rechtstreekse deelneming te
worden beschouwd.311
Als laatste dient gekeken te worden naar de situatie waarin eenzelfde individu herhaaldelijk
(alleenstaande) cyberoperaties lanceert die kwalificeren als rechtstreekse deelneming. Hiermee
worden niet-gerelateerde cyberoperaties bedoeld en niet de hierboven besproken activatie volgend op
de installatie van malware. Dient elke daad apart te worden beschouwd, of moeten deze samen worden
genomen? De Internationale Groep van Experten heeft ook hieromtrent geen overeenstemming
kunnen vinden. Eén groep volgde het ICRC en meende dat ‘each act must be treated separately in
terms of direct participation analysis’.312 Een andere groep was van mening dat ‘direct participation
begins with the first such cyber operation and continues throughout the period of intermittent
activity’.313 Roscini stelt dat wanneer een individu herhaaldelijk cyberoperaties uitvoert die kunnen
beschouwd worden als rechtstreekse deelneming, het van de concrete omstandigheden van de zaak zal
afhangen of elke daad apart dient te worden behandeld.314 Hij verwijst hierbij naar het oordeel van het
Israëlisch Supreme Court in de Targeted Killings zaak: aan de ene kant stelde het dat ‘a civilian taking
a direct part in hostilities one single time, or sporadically who later detaches himself from that
activity, is a civilian who, starting from the time he detached himself from that activity, is entitled to
protection from attack. He is not to be attacked for the hostilities which he committed in the past.’,315
en aan de andere kant dat ‘a civilian who has joined a terrorist organization which has become his
home, and in the framework of his role in that organization he commits a chain of hostilities, with
short periods of rest between them, loses his immunity from attack ‘for such time’ as he is committing 311 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 121. 312 ICRC, ‘Interpretive Guidance on the Notion of Direct Participation in Hostilities under Humanitarian Law’, ICRC, Geneva, 2009, Aanbeveling V(3), pp. 44-5 en 70-1, https://www.icrc.org/eng/assets/files/other/icrc-002-0990.pdf. 313 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 121. 314 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 210. 315 Supreme Court of Israel, 14 December 2006, nr. HCJ 769/02, Targeted Killings case, para. 39.
52
the chain of acts.’.316 Schmitt oordeelt daarentegen dat: ‘In the cyber conflict environment … the only
reasonable interpretation of “for such time” is that it encompasses the entire period during which the
direct cyber participant is engaging in repeated cyber operations’.317318
HET VERBOD OP HET DIRECT AANVALLEN VAN BURGERLIJKE GOEDEREN
Uit het principe van onderscheid volgt eveneens dat enkel militaire objectieven mogen aangevallen
worden en het dus verboden is aanvallen direct te richten op burgerlijke goederen.319 Deze regel kan
onder andere teruggevonden worden in artikel 48 en artikel 52 (2) van AP I. Wat betreft niet-
internationale gewapende conflicten werd vroeger gesteld dat artikel 13 AP II geen algemene
bescherming voorziet voor burgerlijke goederen.320 Nu wordt echter algemeen aanvaard dat er ook in
het kader van een niet-internationaal gewapend conflict sprake is van een algemene bescherming voor
burgerlijke goederen.321 Deze regel maakt internationaal gewoonterecht uit.322 Dit verbod geldt
eveneens in het kader van cyber warfare. Regel 37 van de Tallinn Manual stelt eveneens dat ‘Civilian
objects shall not be made the object of cyber attacks. Computers, computer networks, and cyber
infrastructure may be made the object of attack if they are military objectives’. Bijgevolg mogen
aanvallen via cyberspace in het kader van zowel een internationaal als een niet-internationaal
gewapend conflict niet gericht zijn op computersystemen die enkel in burgerlijke installaties worden
gebruikt.323 Een goed begrip van wat er dient te worden verstaan onder de noties ‘burgerlijke
goederen’ en ‘militaire objectieven’ is bijgevolg van belang.
316 Supreme Court of Israel, 14 December 2006, nr. HCJ 769/02, Targeted Killings case, para 39. 317 M. SCHMITT, ‘Cyber operations and the jus in bello: key issues’, Naval War College International Law Studies, Vol. 87, 2011, p. 102. 318 Voor dezelfde reden als hiervoor aangehaald bij de vraag of de periode waarin de daad effecten heeft eveneens dient te worden beschouwd als rechtstreekse deelneming in de vijandelijkheden. 319 Artikel 48 en 52 (2) AP I. 320 Y. SANDOZ, C. SWINARKI, B. ZIMMERMAN, Commentary on the Additional Protocols of 8 June 1977 to the Geneva Conventions of 12 August 1949, ICRC/Martinus Nijhoff Publishers, Dordrecht, 1987, para. 4759. 321 M. SCHMITT, C. GARRAWAY, Y. DINSTEIN, The Manual on the Law of Non-International Armed Conflict With Commentary, Sanremo, 2006, para. 1.2.2; J. HENCKAERTS, L. DOSWALD-BECK, C. ALVERMANN, Customary International Humanitarian Law: Volume 1, Rules, Cambridge University Press, 2005, Regel 10; NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 111. 322J. HENCKAERTS, L. DOSWALD-BECK, C. ALVERMANN, Customary International Humanitarian Law: Volume 1, Rules, Cambridge University Press, 2005, Regel 10. 323 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 561.
53
Er wordt aangenomen dat burgerlijke goederen onder het IHR alle goederen zijn die geen militaire
objectieven zijn.324 Artikel 52(3) AP I stelt bovendien dat ‘In geval van twijfel of een goed dat
gewoonlijk dienst doet voor civiele doeleinden, zoals plaatsen van eredienst, een huis of een ander
soort woning of een school, niet wordt gebruikt om een daadwerkelijke bijdrage te leveren aan de
krijgsverrichtingen, dient ervan te worden uitgegaan dat het niet voor het laatstgenoemde doel wordt
gebruikt.’.
Artikel 52(2) AP I definieert militaire objectieven als ‘die goederen die naar hun aard, ligging,
bestemming of gebruik een daadwerkelijke bijdrage tot de krijgsverrichtingen leveren en waarvan de
gehele of gedeeltelijke vernietiging, verovering of onbruikbaarmaking onder de omstandigheden van
dat moment een duidelijk militair voordeel oplevert’. Hoewel de definitie van artikel 52(2) AP I niet is
inbegrepen in AP II is het herhaaldelijk opgenomen in verdragsrecht van toepassing op niet-
internationale gewapende conflicten, met name Gewijzigd Protocol II bij het Verdrag inzake bepaalde
conventionele wapens, het Tweede Protocol bij het Haags Verdrag inzake de bescherming van
culturele goederen en Protocol III bij het Verdrag inzake bepaalde conventionele wapens.325326
Bijgevolg wordt aangenomen dat deze definitie eveneens geldt in niet-internationale gewapende
conflicten.
Er zijn dus twee vereisten opdat er sprake zou zijn van een militair objectief, vooreerst dat er een
band bestaat tussen het doelwit en de militaire actie, die dient te bestaan uit de aard, de ligging, de
bestemming of het gebruik van het doelwit, en daarnaast dat de vernietiging, verovering of
onbruikbaarmaking van het doelwit onder de omstandigheden van dat moment een duidelijk militair
voordeel heeft opgeleverd.327 In wat volgt zullen we enkel kijken naar de specifieke invulling van de
eerste vereiste in het kader van cyber warfare. De tweede vereiste geeft geen aanleiding tot enige
cyberspecifieke discussies en een verdere uiteenzetting van deze zou dan ook geen meerwaarde bieden
voor deze verhandeling. Als laatste verdienen een aantal speciale gevallen de aandacht.
Vooraleer we hier verder op ingaan, dient echter eerst de vraag gesteld te worden of data kan
beschouwd worden als een ‘goed’. Deze vraag is van belang. Immers, indien deze vraag positief zou
worden beantwoord zouden directe aanvallen tegen burgerlijke data illegaal zijn onder het IHR.
324 Art. 52(1) AP I; J. HENCKAERTS, L. DOSWALD-BECK, C. ALVERMANN, Customary International Humanitarian Law: Volume 1, Rules, Cambridge University Press, 2005, Regel 9. 325 Artikel 2(6), Gewijzigd Protocol II bij het Verdrag inzake bepaalde conventionele wapens; Artikel 1(f), Tweede Protocol bij het Haags Verdrag inzake de bescherming van culturele goederen; Artikel 1(3) Protocol III bij het Verdrag inzake bepaalde conventionele wapens. 326 J. HENCKAERTS, L. DOSWALD-BECK, C. ALVERMANN, Customary International Humanitarian Law: Volume 1, Rules, Cambridge University Press, 2005, Regel 8. 327 R. GEISS, H. LAHMANN, ‘Cyber warfare: applying the principle of distinction in an interconnected space’, Israeli Law Review, Vol. 45, No. 3, November 2012, p. 387.
54
Bovendien zou elke schade toegebracht aan burgerlijke data gedurende een cyberaanval gericht op een
legitiem militair objectief beoordeeld moeten worden op zijn legaliteit in het licht van het
proportionaliteitsprincipe en het principe van voorzorg.328 Dergelijke aanvallen komen daarenboven
zeer vaak voor.329 In Augustus 2012 bijvoorbeeld heeft een virus de data van 30 000 bedrijfscomputers
van Saudi Aramco, ’s werelds grootste olieproducent, vernietigd.330
Er bestaat echter geen eenduidig antwoord op deze vraag. Een ‘goed’ wordt door het Commentaar bij
Aanvullend Protocol I van het ICRC gekarakteriseerd als iets ‘visible and tangible’.331 De meerderheid
van de Experten van de Tallinn Manual stellen dat data niet kan beschouwd worden als een goed. Ze
menen dat data niet tastbaar is en daardoor noch onder de ‘gewone betekenis’332, noch onder de ‘IHR-
betekenis’ van de notie ‘goed’ valt. Niettemin zijn deze wel van mening dat een cyberoperatie die
gericht is op data kan beschouwd worden als een aanval wanneer die operatie de functionaliteit van
computers of andere cybersystemen aantast. De minderheid van de Experten is van mening dat data
per se moet beschouwd worden als een ‘goed’. Ze stellen dat indien dit niet het geval zou zijn dit er
toe zou leiden dat zelfs de verwijdering van zeer waardevolle en belangrijke burgerlijke datasets niet
zou geregeld worden door het IHR, wat strijdig zou zijn met het gewoonterechtelijk principe dat de
burgerlijke populatie algemene bescherming geniet van de effecten van vijandelijkheden, zoals
weerspiegeld in artikel 48 AP I. De meerderheid van de Experten karakteriseert deze positie als de
lege ferenda.333
Schmitt stelt dat het te breed zou zijn om alle data als ‘goederen’ te kwalificeren. Hij wijst er
bijvoorbeeld op dat een cyberoperatie die een televisie-uitzending temporeel verstoort niet als een
illegale aanval op een burgerlijk object kan worden beschouwd. Hij stelt wel dat er twee situaties
voorhanden zijn waarin het gepast zou zijn om data te kwalificeren als een ‘goed’, met name vooreerst
wanneer het data betreft die direct kunnen getransformeerd worden in tastbare goederen. Dit is
bijvoorbeeld het geval voor bankrekeningdata die direct kan omgezet worden in geld bij een
328 M. SCHMITT, ‘Cyber operations and the jus in bello: key issues’, Naval War College International Law Studies, Vol. 87, 2011, p. 96. 329 Zie bijvoorbeeld UKHL, 6 Augustus 2008, nr. [2008] UKHL 59, McKinnon v Government of the USA and another, para. 13; THE GUARDIAN, ‘Military Blamed after Planes Vanish from Europe Air-Traffic Control Screens’, The Guardian, 13 Juni 2014; M. FISHER, ‘Syrian hackers claim AP hack that tipped stock market by $136 billion. Is it terrorism?’, Washington Post, 23 April 2013; K. MAC ̌ÁK, ‘Military Objectives 2.0: The Case for Interpreting Computer Data as Objects under International Humanitarian Law’, 48(1) Israel Law Review, 2015, p. 2. 330 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 55. 331 Y. SANDOZ, C. SWINARKI, B. ZIMMERMAN, Commentary on the Additional Protocols of 8 June 1977 to the Geneva Conventions of 12 August 1949, ICRC/Martinus Nijhoff Publishers, Dordrecht, 1987, paras. 2007-2008. 332 Artikel 31(1), Verdrag van Wenen betreffende Verdragsrecht, 23 Mei 1969, 1155 U.N.T.S. 331. 333 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 127.
55
bankautomaat. In de mate dat die data zou worden vernietigd, zou dit ook het geval zijn voor zijn
tastbaar equivalent, met name het geld. De tweede situatie betreft deze waarin de data een intrinsieke
waarde heeft. Dit is bijvoorbeeld het geval bij digitale kunst. Als de data wordt vernietigd, zo ook de
kunst. Aangezien deze situaties beperkt zijn, oordeelt hij dat data in het algemeen niet zou moeten
gekwalificeerd worden als een goed op zich. Hij stelt dat de determinerende vraag is of de gevolgen
van de vernietiging van dergelijke data het vereiste niveau van schade aan beschermde fysieke
goederen of personen bereiken. Indien dit het geval is zou de cyberoperatie een niet-legitieme aanval
uitmaken.334 Mačák oordeelt daarentegen dat ‘due to its susceptibility to alteration and destruction, the
better view is that data is an object within the meaning of this term under IHL’.335
‘AARD’
Dit criterium slaat op het inherente karakter van een goed, en refereert doorgaans naar objectieven die
fundamenteel militair zijn en ontworpen zijn om bij te dragen aan militaire actie.336 In het kader van
cyber warfare zullen dit ‘all weapons systems, sensor arrays, battlefield devices, military networks
and databases, digital communications systems and any other digital device or system built to military
specifications’ zijn.337 Zo zijn bijvoorbeeld computers die speciaal ontworpen zijn om gebruikt te
worden als onderdelen van wapensystemen of om logistieke operaties te faciliteren, militair van
aard.338 Hetzelfde geldt voor militaire luchtverdedigingsnetwerken en militaire commando-, controle-,
en communicatienetwerken die gebruikt worden voor de transmissie van bevelen of tactische data,
zoals het Amerikaanse Secret Internet Protocol Router Network (SIPRNet), een systeem van
computernetwerken dat gebruikt wordt door het Amerikaanse Ministerie van Defensie en het
Amerikaanse Ministerie van Buitenlandse zaken om geclassificeerde informatie en bevelen te
versturen339, en het Joint Worldwide Intelligence Communications System (JWICS), een geheim
netwerk dat beheerd wordt door the United States Defense Intelligence Agency en gebruikt wordt door
het Ministerie van Staat, het Ministerie van Defensie, het Ministerie van Binnenlandse Veiligheid en
334 M. SCHMITT, ‘Cyber operations and the jus in bello: key issues’, Naval War College International Law Studies, Vol. 87, 2011, p. 96. 335 K. MAC ̌ÁK, ‘Military Objectives 2.0: The Case for Interpreting Computer Data as Objects under International Humanitarian Law’, 48(1) Israel Law Review, 2015, p. 1. 336 Y. SANDOZ, C. SWINARKI, B. ZIMMERMAN Sandoz, Commentary on the Additional Protocols of 8 June 1977 to the Geneva Conventions of 12 August 1949, ICRC/Martinus Nijhoff Publishers, Dordrecht, 1987, para. 2020; NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 127. 337 H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, p. 185. 338 Y. DINSTEIN, ‘The Principle of Distinction and Cyber War in International Armed Conflicts’, Journal of Conflict & Security Law, 2012, Vol. 17 No. 2, pp. 284-285. 339 https://nl.wikipedia.org/wiki/SIPRNet.
56
het Ministerie van Justitie om vooral gevoelige geclassificeerde informatie te verzenden340.341 De
fysieke infrastructuren vanuit dewelke de militaire cyberoperaties worden uitgevoerd kunnen echter
eveneens beschouwd worden als militair van aard. Dit zal bijvoorbeeld het geval zijn voor het US
CYBERCOM hoofdkwartier bij Fort Mead, of het gebouw in Shanghai waar ‘the People’s Liberation
Army’s Unit 61398’, zou gevestigd zijn.342
‘LIGGING’
Het criterium ‘ligging’ verwijst naar een geografisch gebied van bepaald militair belang.343 Het is niet
het effectieve gebruik van een gebied, maar het feit dat het door zijn ligging een effectieve bijdrage
levert tot de militaire acties van de tegenpartij, dat het goed tot een militair objectief maakt.344 Er
zullen in de cybercontext niet veel voorbeelden kunnen gevonden worden van goederen die een
militair karakter verkrijgen ingevolge dit criterium. De efficiëntie en robuustheid van een netwerk
bestaat er immers juist in dat er verschillende wegen kunnen genomen worden naar eenzelfde
bestemming. In het geval van een netwerk zoals het internet, zal de fysieke ligging van individuele
knooppunten dus niet van primair belang zijn.
Niettemin kunnen er zich wel omstandigheden voordoen waarin de ligging van een netwerk of een
ander object een bijdrage kan leveren aan de tegenpartij, waardoor het belangrijk kan zijn die aan te
vallen. Bijvoorbeeld, burgerlijke draadloze netwerken kunnen bestaan in een bepaald gebied waar zich
eveneens strijdkrachten van de tegenpartij situeren waardoor deze gebruik zouden kunnen maken van
dat netwerk indien het militaire netwerk zou worden verstoord. De netwerklocatie van een bepaald
knooppunt kan deze eveneens maken tot een militair objectief. De primaire knooppunten van de
interne telecommunicatienetwerken van een staat, waarmee deze worden geconnecteerd met de
internet back-bone345, kunnen afhankelijk van het niveau van connectiviteit van de staat,
340 https://en.wikipedia.org/wiki/Joint_Worldwide_Intelligence_Communications_System. 341 R. CLARKE, R. KNAKE, Cyber War. The Next Threat to National Security and What to Do About It, New York, HarperCollins, 2010, pp. 171-173; M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 184. 342 D. TURNS, ‘cyber Warfare and the Notion of Direct Participation in Hostilities’, Journal of conflict and Security Law 17, 2012, p. 297; M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 184. 343 Y. SANDOZ, C. SWINARKI, B. ZIMMERMAN Sandoz, Commentary on the Additional Protocols of 8 June 1977 to the Geneva Conventions of 12 August 1949, ICRC/Martinus Nijhoff Publishers, Dordrecht, 1987, para. 2021. 344 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 128. 345 Een internet backbone verwijst naar een van de belangrijkste data routes tussen grote, strategisch onderling verbonden netwerken en routers op het internet. Een internet backbone is een zeer snelle data transmissielijn die netwerkfaciliteiten biedt aan relatief kleine maar snelle internet serviceproviders over de hele wereld. Zie https://www.techopedia.com/definition/20115/internet-backbone.
57
aantrekkelijke doelwitten vormen.346 Bijvoorbeeld, Nieuw-Zeeland is geconnecteerd met de internet
back-bone via primaire knooppunten die drie onderzeese glasvezelkabels verbinden. De
onbruikbaarmaking van deze knooppunten zou Nieuw-Zeeland effectief van alle communicaties, met
uitzondering van satellietcommunicaties, afsnijden.347 Gedurende een gewapend conflict zou de
ontneming van dergelijke methoden van communicatie een duidelijk voordeel opleveren. Staten
hebben reeds hun bereidwilligheid gedemonstreerd om toegang tot het internet af te sluiten gedurende
periodes van interne onrust door internetproviders te bevelen hun routers af te sluiten. Zo bijvoorbeeld
beval de Mubarak regering in 2011, wanneer de protesten in Egypte uitbraken, de afsluiting van het
internet en de telefoonnetwerken gedurende een periode van vijf dagen.348 Ook Nepal in 2005 en
Myanmar in 2007 hebben hun gelimiteerde internetconnectie afgesloten als antwoord op nationale
onrust.349350
‘GEBRUIK’
Ingevolge dit criterium krijgen goederen een militair karakter in de zin van artikel 52(2) AP I, wanneer
ze gebruikt worden voor militaire doeleinden.351 Als een partij bij het conflict bijvoorbeeld een
bepaald burgerlijk computernetwerk gebruikt voor militaire doeleinden, zal dit netwerk zijn
burgerlijke karakter verliezen en een (legitiem) militair objectief worden.352
Dit criterium is vooral van belang in het kader van cyberspace. Cyberspace is in tegenstelling tot de
natuurlijke theaters van oorlog, zoals land en lucht, immers ‘man-made’. Hierdoor zullen de partijen
zich niet alleen focussen op het gebruikte ‘wapen’, maar ook op de fysieke infrastructuur die wordt
gebruikt om dergelijke cyberoperatie uit te voeren. In traditionele oorlogvoering zal een vliegtuig
bijvoorbeeld beschouwd worden als een militair objectief, maar de lucht op zich niet. Bij cyber
warfare daarentegen zullen zowel de malware als de route(s) langs dewelke deze gaat als een militair
346 H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, pp. 185-187. 347 H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, pp. 185-187. 348THE ECONOMIST, ‘Internet Blackouts: Reaching for the Kill Switch’, The Economist, 10 Februari 2011, http://www.economist.com/node/18112043. 349 OPENNET INITIATIVE, ‘Pulling the Plug: A Technical Review of the Internet Shutdown in Burma’, 29 September 2007, https://opennet.net/research/bulletins/013. 350 H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, pp. 185-187. 351 US Navy/US Marine Corps/US Coast Guard/The Commander’s Handbook on the Law of Naval Operations, NWP 1-14M/MCWP 5-12.1/COMDTUP P5800.7A, 2007, para. 8.3; NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, Commentaar op Regel 39, para 1. 352 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 128.
58
objectief worden beschouwd.353 Bovendien wordt cyberspace, zoals eerder vermeld, gekenmerkt door
onderlinge verbondenheid. De meeste militaire netwerken zijn afhankelijk van de burgerlijke
computerinfrastructuur (vooral de commerciële), zoals onderzeese glasvezelkabels, satellieten, routers
en knooppunten. Er wordt bijvoorbeeld geschat dat 98% van alle communicaties van de VS-regering
via netwerken lopen die zowel burgerlijk bezit zijn als burgerlijk bediend worden.354 Omgekeerd zijn
burgerlijke voertuigen en luchtverkeercontroles meer en meer uitgerust met navigatiesystemen die
afhankelijk zijn van globaal positioneringssysteem (GPS) satellieten die oorspronkelijk zowel voor als
door het Amerikaans leger ontwikkeld werden.355 Hierdoor zal het frequent voorkomen dat burgerlijke
en militaire gebruikers tegelijkertijd van dezelfde computers, computernetwerken en
cyberinfrastructuur gebruikmaken, waardoor één goed gelijktijdig voor zowel militaire als burgerlijke
doeleinden wordt aangewend.356 Zo kunnen webbrowsers, e-mailclients357 en
opdrachtprompten358 gebruikt worden als instrumenten voor cyberaanvallen. Ook kan verwezen
worden naar cloud-computing359, waarbij militaire en burgerlijke data naast elkaar worden bewaard.
Men spreekt van ‘dual-use’ goederen.360
De vraag kan gesteld worden of ook in dat geval artikel 52(2) AP I van toepassing zal zijn en het goed
in kwestie bijgevolg een militair karakter zal verkrijgen, zelfs indien dit militair gebruik
bijvoorbeeld slechts marginaal is.361 Er wordt algemeen aanvaard dat dit het geval is en een goed geen
burgerlijk en militair karakter kan hebben op hetzelfde moment.362 Zo stelt Dinstein dat ‘any military
353 R. GEISS, H. LAHMANN, ‘Cyber warfare: applying the principle of distinction in an interconnected space’, Israeli Law Review, Vol. 45, No. 3, November 2012, p. 383; E. JENSEN, ‘Cyber Warfare and Precautions Against the Effects of Attacks’, 88 Texas Law Review 1522, 2010, p.1542. 354 E. JENSEN, ‘Cyber Warfare and Precautions Against the Effects of Attacks’, Texas Law Review, 2010. 355 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 539. 356 H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, p. 193. 357 Een ‘e-mailclient’ is een computerprogramma dat gebruikt wordt voor het schrijven, versturen en ontvangen van een e-mail. Bijvoorbeeld Mozilla, Thunderbird en outlook. Zie Wikipedia, https://nl.wikipedia.org/wiki/E-mailclient. 358 Opdrachtprompt is de command-line-interface van Microsoft Windows. De opdrachtprompt maakt het mogelijk het besturingssysteem aan te spreken met tekst. Zie Wikipedia, https://nl.wikipedia.org/wiki/Opdrachtprompt. 359 Cloud Computing is het via een netwerk, vaak het internet, op aanvraag beschikbaar stellen van hardware, software en gegevens, ongeveer zoals elektriciteit uit het lichtnet. Zie wikipedia, https://nl.wikipedia.org/wiki/Cloud_computing. 360 Deze term wordt op zich niet teruggevonden in het IHR. 361 R. GEISS, H. LAHMANN, ‘Cyber warfare: applying the principle of distinction in an interconnected space’, Israeli Law Review, Vol. 45, No. 3, November 2012, p. 389. 362 R. GEISS, H. LAHMANN, ‘Cyber warfare: applying the principle of distinction in an interconnected space’, Israeli Law Review, Vol. 45, No. 3, November 2012, p. 389; C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 562; PROGRAM ON HUMANITARIAN POLICY AND CONFLICT RESEARCH AT HARVARD UNIVERSITY, Commentary on the HPCR Manual on International Law Applicable to Air and Missile Warfare, 2010, Commentaar bij Regel 22(d), http://www.ihlresearch.org/amw/aboutmanual.php; J. HENCKAERTS, L. DOSWALD-BECK, C. ALVERMANN,
59
use, however minimal, would render a civilian object a military objective’.363 Ook Regel 39 van de
Tallinn Manual stelt dat: ‘An object used for both civilian and military purposes – including
computers, computer networks, and cyber infrastructure - is a military objective.’. We besluiten dat op
het moment dat een goed gebruikt wordt voor militaire doeleinden, hoe gering ook, het in zijn geheel
een militair karakter verkrijgt. Dit wel met uitzondering van het geval waarin afzonderlijke delen
burgerlijk blijven, zoals verschillende gebouwen van een ziekenhuis.364 Er dient er wel op gewezen te
worden dat ‘dual-use’ geen cyberspecifiek probleem is.365 Zo kan bijvoorbeeld gewezen worden op de
bombardering van het radio- en televisiestation in Belgrade door de NAVO gedurende de Kosovo
luchtcampagne in 1999.366 Deze aanval was, ondanks het protest door Servië, legitiem gelet op het
duaal gebruik van dat station. Dit station werd immers gebruikt voor militaire doeleinden als deel van
het controlemechanisme en propaganda-apparaat van de Milošević-regering.367
Het is evident dat dit verontrustend is vanuit humanitair oogpunt. Het aanvallen van kabels, routers,
satellieten et cetera waar belangrijke civiele infrastructuren zoals banknetwerken en elektriciteitsnetten
afhankelijk van zijn, zal gerechtvaardigd kunnen worden vanaf het geringste gebruik ervan voor
militaire doeleinden.368 Bovendien worden militaire codes die reizen in cyberspace opgesplitst in
verschillende datapakketten die vaak via verschillende burgerlijke kanalen gaan en doorgaans
verschillende burgerlijke systemen doorkruisen op weg naar hun doelwit. Zelfs in één enkele
cyberaanval kunnen er dus al een aanzienlijk aantal burgerlijke cyberinfrastructuren gebruikt zijn om
‘effectieve bijdragen te leveren tot militaire actie’, die bijgevolg allemaal zouden kwalificeren als
legitieme militaire objectieven.369 Verder kan het ook zeer goed voorkomen dat het bij een netwerk dat
voor zowel burgerlijke als militaire doeleinden wordt gebruikt, onmogelijk is te bepalen langs welk
Customary International Humanitarian Law: Volume 1, Rules, Cambridge University Press, 2005, Commentaar bij Regel 8; US Navy/US Marine Corps/US Coast Guard/The Commander’s Handbook on the Law of Naval Operations, NWP 1-14M/MCWP 5-12.1/COMDTUP P5800.7A, 2007, para. 8.3. 363 Y. DINSTEIN, The Conduct of Hostilities under the Law of International Armed Conflict, Tweede Editie, Cambridge University Press, 2010, pp. 99-100. 364 US Navy/US Marine Corps/US Coast Guard/The Commander’s Handbook on the Law of Naval Operations, NWP 1-14M/MCWP 5-12.1/COMDTUP P5800.7A, 2007, para. 8.3. 365 Zie H. SHUE, D. WIPMANN, ‘Limiting Attacks on Dual-Use Facilities Performing Indispensable Civilian Functions’, 35 Cornell International Law Journal 559, 2002, p. 559. 366 J. BROWN, P. MILLER, ‘Foreign Journalists Feel the Heat of Backlash’, Scotsman, 24 April 1999, http://findarticles.com/p/articles/mi_7951/is_1999_April_24/ai_ n32632439/?tag=content; P. RICHTER, ‘Milosevic Not Home as NATO Bombs One of His Residences’, L.A. Times, 23 April 1999, A34. 367 ICTY, 13 Juni 2000, nr. PR/P.I.S./510-E, Final Report to the Prosecutor by the Committee Established to Review the NATO Bombing Campaign Against the Federal Republic of Yugoslavia, paras. 72, 39, 1257 en 1283; T. MCCORMACK, Yearbook of International Humanitarian Law, Vol. 6, 2003, Cambridge University Press, pp. 381-382. 368 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 564. 369 R. GEISS, H. LAHMANN, ‘Cyber warfare: applying the principle of distinction in an interconnected space’, Israeli Law Review, Vol. 45, No. 3, November 2012, pp. 385-386.
60
deel de militaire transmissies zijn gegaan. Informatie kan immers via meerdere alternatieve routes
gaan. In zo’n geval zal het volledige netwerk kwalificeren als een militair objectief.370
Geconcludeerd dient dan ook te worden dat het principe van onderscheid in cyberspace geen
voldoende waarborg biedt voor de bescherming van de burgerlijke cyberinfrastructuren en alle
burgerlijke infrastructuren die afhankelijk zijn van deze.371 Immers, bijna elke component van
cyberspace zal ingevolge de gehanteerde definitie van ‘militair objectief’ legitiem kunnen aangevallen
worden eens er sprake is van een gewapend conflict, daar bijna elke component van cyberspace
onderworpen kan worden aan duaal gebruik.372 Met zoveel goederen in het cyberdomein die worden
beschouwd als legitieme objectieven, verliest het principe van onderscheid grotendeels zijn
beschermende waarde.373 Deze conclusie is des te meer verontrustend gelet op het feit dat in moderne
staten en samenlevingen verschillende belangrijke aspecten van het burgerlijk leven meer en meer
afhankelijk worden van het cyberdomein.374 De burgerlijke cyberinfrastructuur en de burgerlijke
systemen zullen dus afhankelijk zijn van de principes van proportionaliteit en voorzorg voor enige
bescherming. 375
Burgerlijke goederen die militaire objectieven zijn geworden door gebruik, kunnen echter wel naar
hun burgerlijke status terugkeren indien ze niet langer meer onderworpen zijn aan militair gebruik.
Eens dat gebeurd is, herwinnen ze hun bescherming tegen aanvallen. Echter, als deze onderbreking
slechts tijdelijk is en het burgerlijk goed in de toekomst opnieuw voor militaire doeleinden zal worden
gebruikt, zal dit goed een militair objectief blijven op basis van zijn ‘bestemming’.376
‘BESTEMMING’
Ingevolge dit criterium zullen goederen die niet worden gebruikt voor militaire doeleinden, maar in de
toekomst wel worden voorzien om daartoe te worden gebruikt, een militair karakter verkrijgen.377 Het
370 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, Commentaar bij Regel 39, para. 3. 371 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, pp. 562-566. 372 K. DÖRMANN, ‘Applicability of the Additional Protocols to Computer Network Attacks’, ICRC, 2004, p. 5, http://www.icrc.org/ eng/resources/documents/misc/68lg92.htm. 373 E. DIAMOND, ‘Applying International Humanitarian Law to Cyber Warfare’, p. 77, http://www.inss.org.il-/uploadImages/systemFiles/05%20Applying.pdf. 374 R. GEISS, H. LAHMANN, ‘Cyber warfare: applying the principle of distinction in an interconnected space’, Israeli Law Review, Vol. 45, No. 3, November 2012, p. 390. 375 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 134. 376 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 129. 377 Y. SANDOZ, C. SWINARSKI, B. ZIMMERMAN (eds.), Commentary on the Additional Protocols of 8 June 1977 to the Geneva Conventions of 12 August 1949, ICRC/Martinus Nijhoff, Dordrecht, 1987, para. 2022; I.
61
voorgenomen gebruik van een goed voor enige militaire actie volstaat dus om het als een militair
objectief te beschouwen. Zoals de ‘Air and Missile Warfare Manual’ van 2009 stelt, ‘the purpose
criterion recognizes that an attacker need not wait until a [civilian] object is actually used for military
ends before being allowed to attack it as a military objective’.378379 Het voorgaande met betrekking tot
‘dual-use’ goederen zal eveneens hier spelen. Ook het voorgenomen gebruik van burgerlijke
computers, netwerken en cyberinfrastructuren zal deze ingevolge dit criterium dus maken tot militaire
objectieven, ongeacht of deze tegelijkertijd voor burgerlijke doeleinden wordt aangewend.380
De vaststelling van de bedoelingen van een vijand is bijgevolg cruciaal voor de toepassing van dit
criterium.381 De vraag kan echter gesteld worden wanneer een dergelijke bedoeling als voldoende
duidelijk kan worden beschouwd. Het IHR voorziet immers niet welke graad van zekerheid of welk
bewijs vereist is om de intentie van de vijand omtrent het toekomstig gebruik van een goed vast te
stellen.382 Deze vraag stelt zich ook in het kader van cyber warfare. De Experten van de Tallinn
Manual oordelen dat het IHR geen bepaalde standaard voorziet, maar algemeen vereist dat de
aanvaller handelt zoals een redelijke partij zou doen in dezelfde omstandigheden. Er dient volgens hen
dus gekeken te worden of een redelijke aanvaller zou oordelen dat de informatie die voorhanden is
betrouwbaar genoeg is om te besluiten dat een burgerlijk goed voor militair gebruik zal worden
aangewend.383 Het probleem in het kader van cyber warfare is echter dat het over het algemeen
onduidelijk zal zijn, inclusief voor de uitvoerder van de cyberoperatie, welke wegen datapakketten
zullen nemen om naar hun doelwit te gaan.384 Door de onderlinge verbondenheid in cyberspace zal het
dus meestal bijna onmogelijk zijn om met enige graad van zekerheid te bewijzen of te anticiperen op
welke milliseconde welke componenten van de cyberinfrastructuur zullen gebruikt worden voor een
HENDERSON, The Contemporary Law of Targeting: Military Objectives, Proportionality and Precautions in Attack under Additional Protocol I, Martinus Nijhoff, 2002, p. 84. 378 PROGRAM ON HUMANITARIAN POLICY AND CONFLICT RESEARCH AT HARVARD UNIVERSITY, Commentary on the HPCR Manual on International Law Applicable to Air and Missile Warfare, 2010, p. 107, http://www.ihlresearch.org/amw/ aboutmanual.php. 379 R. GEISS, H. LAHMANN, ‘Cyber warfare: applying the principle of distinction in an interconnected space’, Israeli Law Review, Vol. 45, No. 3, November 2012, p. 386. 380 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, Commentaar bij Regel 39. 381 R. GEISS, H. LAHMANN, ‘Cyber warfare: applying the principle of distinction in an interconnected space’, Israeli Law Review, Vol. 45, No. 3, November 2012, p. 386. 382 R. GEISS, H. LAHMANN, ‘Cyber warfare: applying the principle of distinction in an interconnected space’, Israeli Law Review, Vol. 45, No. 3, November 2012, p. 386. 383 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 129. 384 R. GEISS, H. LAHMANN, ‘Cyber warfare: applying the principle of distinction in an interconnected space’, Israeli Law Review, Vol. 45, No. 3, November 2012, pp. 386-387.
62
specifieke militaire operatie385, laat staan het voorgenomen toekomstig gebruik ervan door de
uitvoerder van die operatie.
‘EEN DAADWERKELIJKE BIJDRAGE TOT DE KRIJGSVERRICHTINGEN LEVEREN’
Om als een militair objectief te kwalificeren dient het goed via één van bovenstaande criteria ‘een
daadwerkelijke bijdrage tot de krijgsverrichtingen’ te leveren. Deze bepaling vereist dat een
vooropgesteld doelwit bijdraagt aan de uitvoering van de operaties van de vijand of de
krijgsverrichtingen van de vijand rechtstreeks ondersteunt.386 De belangrijkste discussie met
betrekking tot deze vereiste bestaat omtrent de vraag of hieraan enkel zal voldaan zijn indien een
daadwerkelijke bijdrage wordt geleverd aan de ‘war-fighting capabilities’ van de tegenpartij, of dit
tevens het geval is indien een dergelijke bijdrage wordt geleverd aan de ‘war-sustaining capabilities’
van de tegenpartij.
De VS volgt de laatste visie. Zo vervangt The US Commander’s Handbook on the Law of Naval
Operations ‘krijgsverrichtingen’ met ‘war-fighting or war-sustaining capability’.387 Het Handboek
stelt dat dit tot gevolg heeft dat ‘economic objects of the enemy that indirectly but effectively support
and sustain the enemy’s war-fighting capability may also be attacked’.388 Deze visie wordt ook
vooropgesteld in de cybercontext. Zo stelt The US Air Force’s Cornerstones of Information Warfare
dat ‘the United States may target any of the adversary’s information functions that have a bearing on
his will or capability to fight’.389 Bovendien lijkt China eveneens cyberoperaties tegen financiële
systemen, en stroomopwekkings- en transmissiefaciliteiten te beschouwen als deel uitmakend van
conflicten met andere Staten.390
‘War sustaining’ is echter een zeer breed begrip en een dergelijke visie zou er toe leiden dat aanvallen
die zich richten op politieke en economische doelwitten om de vijand ‘te overtuigen’ om te
capituleren, legitiem zouden zijn. Zo zouden de eerder aangehaalde cyberoperaties tegen Saudi
Aramco391 in 2012 waarbij de data van ongeveer 30 000 bedrijfscomputers werd vernietigd, die
385 R. GEISS, H. LAHMANN, ‘Cyber warfare: applying the principle of distinction in an interconnected space’, Israeli Law Review, Vol. 45, No. 3, November 2012, pp. 386-387. 386 Art. 23(g) Hague Regulations. 387 US Navy/US Marine Corps/US Coast Guard/The Commander’s Handbook on the Law of Naval Operations, NWP 1-14M/MCWP 5-12.1/COMDTUP P5800.7A, 2007, para. 8.2. 388 US Navy/US Marine Corps/US Coast Guard/The Commander’s Handbook on the Law of Naval Operations, NWP 1-14M/MCWP 5-12.1/COMDTUP P5800.7A, 2007, para. 8.2.5. 389 US Department of the Air Force, Cornerstones of Information Warfare, 17 April 1997, p. 3, voetnoot 5, htttp://www.dtic.mil/cgi-bin/GeTRDoc?AD=ADA323807. 390 W. OWENS, K. DAM, H. LIN (eds.), Technology, Policy, Law, and Ethics Regarding U.S. Acquisition and Use of Cyberattack Capabilities, The National Academies Press, Washington D.C., 2009, p. 333; M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 186. 391 Saudi Aramco is ’s werelds grootste olieproducent.
63
volgens Saudi-Arabië tot doel hadden de economie van dat land aan te vallen door de in- en uitvoer
van olie te verstoren, volgens deze zienswijze legitiem zijn.392,393 Zo ook zou de grootste angst van
Taiwan, één van de meest informatietechnologie-afhankelijke economieën van de wereld, dat China
door middel van cyberoperaties hun politieke en economische instituties zou afsluiten394, onder deze
interpretatie legitiem zijn. Dit zou immers tot gevolg hebben dat de economie, en daardoor de war-
sustaining capability van Taiwain zou getroffen zijn.395
Deze visie lijkt dan ook geen steun te vinden in de Rechtsleer. De meerderheid van de Experten van de
Tallinn Manual verwerpen deze visie omdat zij van oordeel zijn dat de band tussen ‘war-sustaining
activities’ en ‘krijgsverrichtingen’ te gering is. Volgens hen dient de notie ‘militair objectief’ beperkt
te worden tot de goederen die aan één van de hierboven besproken criteria voldoen en ‘war-
fighting’396 of ‘war-supporting’ 397 zijn.398 Droege is van eenzelfde mening en stelt dat dergelijke visie
niet strookt met het IHR. Volgens haar is het toebrengen van schade aan de burgerlijke economie, en
onderzoeks- en ontwikkelingsmogelijkheden op zich nooit toegelaten onder het IHR, ongeacht het
militaire voordeel dat dit zou kunnen opleveren en ongeacht de duur van het conflict. Anders zouden
er geen limieten bestaan aan oorlogvoering, gezien de gehele economie van een land kan gezien
worden als ‘war-sustaining’.399400 Roscini volgt hierin en stelt dat de door de VS vooropgestelde visie
niet in overeenstemming is met de definitie van ‘militair objectief’ vervat in artikel 52(2) AP I.401402
392 AL ARABIYA NEWS, ‘Saudi Aramco says cyber attack targeted kingdom’s economy’, Al Arabiya News, 9 December 2012, https://english.alarabiya.net/articles/2012/12/09/254162.html. Er dient er wel op gewezen te worden dat de olie productie uiteindelijk niet verstoord werd. 393 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 186. 394 BBC NEWS, ‘Taiwan Plays Cyber War Games’, BBC News, 7 Augustus 2000. 395 H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, pp. 189-190. 396 Gebruikt in ‘combat’. 397 Op een andere manier een effectieve bijdrage leveren tot militaire actie, zoals fabrieken die hardware of software dat door het leger wordt gebruikt produceren. 398 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, pp. 130-131. 399 M. SASSOLI, ‘Legitimate targets of attacks under international humanitarian law’, Background Paper prepared for the Informal High-Level Expert Meeting on the Reaffirmation and Development of International Humanitarian Law, HPCR, Cambridge, 27–29 January 2003, pp. 3–6, http://www.hpcrresearch.org/sites/default-/files/publications/Session1.pd; S. OETER, ‘Means and methods of combat’, in D. FLECK (ed.), The Handbook of Humanitarian Law in Armed Conflicts, Oxford University Press, Oxford, 1995, para. 442.5. 400 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, pp. 567-568. 401 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 186. 402 Zie ook Y. DINSTEIN, The Conduct of Hostilities under the Law of International Armed Conflict, Eerste Editie, Cambridge University Press, 2004, p. 87; H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, pp. 188-189.
64
SPECIALE GEVALLEN
BURGERLIJKE FABRIEKEN DIE HARDWARE EN SOFTWARE PRODUCEREN DIE WORDEN GEBRUIKT DOOR HET LEGER
De vraag stelt zich of burgerlijke informatietechnologiefabrieken die hardware en software produceren
die (tevens) door het leger worden gebruikt, beschouwd kunnen worden als militaire objectieven op
basis van gebruik. Zo bijvoorbeeld stelt Jensen dat het mogelijk is te argumenteren dat het
hoofdkwartier van de Microsoft Corporation in Washington een legitiem dual-use doelwit is, ‘based
on the support it provides tot he U.S. war effort by facilitating U.S. military operations’.403 Het VS-
leger gebruikt de Microsoft Corporation immers om zijn communicaties, werkproduct en zelfs CNA-
mogelijkheden te faciliteren. Bijgevolg oordeelt Jensen dat: ‘The fact that the corporation and its
headquarters provide a product that the military finds essential to function, as well as customer
service to support that product, may provide sufficient facts to conclude that it is a dual-use target.’.404
Er dient er wel op gewezen te worden dat Jensen betwijfelt of een aanval op een dergelijk objectief
een duidelijk militair voordeel zou opleveren.405
Ingevolge de Tallinn Manual dienen er drie gevallen te worden onderscheiden. Vooreerst het geval
waarin een (burgerlijke) fabriek contractueel computer hardware of software produceert voor de
strijdkrachten van een partij bij het conflict.406 Dit zijn bijvoorbeeld fabrieken die zogenaamde
cyberwapens ontwikkelen, met name specifieke codes die zullen gebruikt worden voor een specifieke
computeraanval. Dit zou bijvoorbeeld de locatie zijn waar een specifieke worm zoals Stuxnet wordt
ontwikkeld.407 Alle experten zijn het erover eens dat een dergelijke fabriek ingevolge het ‘gebruik’-
criterium een militair objectief uitmaakt, zelfs indien deze ook zaken produceert voor andere dan
militaire doeleinden.408
Het tweede geval betreft de situatie waarin een (burgerlijke) fabriek zaken produceert die niet
specifiek bedoeld zijn voor het leger en slechts occasioneel door het leger worden gekocht. Alle
403 M. SCHMITT, ‘Bellum Americanum: The U.S. View of TwentyFirst Century War and its Possible Implications for the Law of Armed Conflict’, 19 MICH. J. INT'L L. 1051, 1988, p. 1077, Schmitt vraagt zich immers af: "would a Microsoft factory not also offer an information dependent military definite enough advantage such that it could be included on the Air Tasking Order?". 404 E. JENSEN, ‘Unexpected Consequences from Knock-on Effects: A Different Standard for Computer Network Operations?’, 18 American University International Law Review 1145, 2003, p. 1160. 405 E. JENSEN, ‘Unexpected Consequences from Knock-on Effects: A Different Standard for Computer Network Operations?’, 18 American University International Law Review 1145, 2003, p. 1168. 406 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 128. 407 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 567. 408 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 128.
65
Experten zijn het erover eens dat een dergelijke fabriek geen militair objectief op basis van gebruik
uitmaakt.409
Het derde geval is echter wat moeilijker. Dit betreft de situatie waarin een (burgerlijke) fabriek zaken
produceert die niet specifiek bedoeld zijn voor het leger, maar die weliswaar frequent militair worden
gebruikt. De hierboven aangehaalde Microsoft Corporation valt hieronder. De producten van
Microsoft worden immers gekocht door het VS-leger als ‘off-the shelf items’410.411 Hoewel alle
Experten akkoord gaan dat de vraag of een dergelijke fabriek zou kwalificeren als een militair
objectief afhankelijk is van de schaal, de omvang en het belang van de militaire aankopen, zijn ze niet
tot enige definitieve conclusies kunnen komen met betrekking tot de precieze drempels.412 In andere
Rechtsleer kan hier evenmin een antwoord op worden gevonden.413 Volgens Jensen zou de steun van
Microsoft aan het VS-leger in ieder geval volstaan om het hoofdkwartier te kwalificeren als militair
objectief.414
GEBRUIK VAN SOCIALE NETWERKEN VOOR MILITAIRE DOELEINDEN
Het gebruik van sociale netwerken voor militaire doeleinden is geen louter hypothetische situatie. Zo
werd Facebook in het verleden gebruikt voor de organisatie van gewapende verzetsbewegingen en
Twitter voor de transmissie van militaire informatie.415 De vraag kan bijgevolg gesteld worden of
sociale netwerken die gebruikt worden voor militaire doeleinden kunnen beschouwd worden als
militaire objectieven op basis van gebruik. Immers, zoals eerder gezien wordt algemeen aanvaard dat
op het moment dat een (burgerlijk) goed gebruikt wordt voor militaire doeleinden, hoe gering ook, het
in zijn geheel een militair karakter verkrijgt en bijgevolg legitiem kan worden aangevallen. Dit wel
409 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 128. 410 Dit zijn commerciële items, inclusief diensten, die beschikbaar zijn op de commerciële markt en gekocht en gebruikt worden door de overheid. De producten van Microsoft zijn dus geen custom-made producten voor de VS-regering. 411 E. JENSEN, ‘Unexpected Consequences from Knock-on Effects: A Different Standard for Computer Network Operations?’, 18 American University International Law Review 1145, 2003, p. 1160. 412 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, pp. 128-129. 413 Zie bijvoorbeeld C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 567; Ook Jensen gaat hier niet op in, E. JENSEN, ‘Unexpected Consequences from Knock-on Effects: A Different Standard for Computer Network Operations?’, 18 American University International Law Review 1145, 2003, p. 1160. 414 E. JENSEN, ‘Unexpected Consequences from Knock-on Effects: A Different Standard for Computer Network Operations?’, 18 American University International Law Review 1145, 2003, p. 1160. 415 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 135.
66
met uitzondering van het geval waarin afzonderlijke delen burgerlijk blijven, zoals verschillende
gebouwen van een ziekenhuis.416
De Tallinn Manual stelt louter dat hieromtrent drie zaken voor ogen dienen te worden gehouden.
Vooreerst dat de regel dat een doelwit dat zowel voor militaire als burgerlijke doeleinden wordt
gebruikt een militair doelwit is, het proportionaliteitsprincipe en voorzorgsprincipe onverlet laat. Als
tweede dat de vraag naar de legaliteit van cyberoperaties tegen sociale netwerken zich slechts stelt
wanneer dergelijke operaties kunnen beschouwd worden als een aanval en bijgevolg ook de vraag naar
de kwalificatie als militair doelwit. Ten derde dat dit niet betekent dat Facebook of Twitter in hun
geheel mogen worden aangevallen, maar alleen de componenten daarvan die gebruikt werden of
worden voor militaire doeleinden.417 Hieruit lijkt te kunnen worden afgeleid dat een sociaal netwerk in
zijn geheel als een militair doelwit kan worden aangemerkt, maar dat ingevolge het principe van
onderscheid en het principe van voorzorg enkel aanvallen tegen die componenten die werden/worden
gebruikt voor militaire doeleinden legitiem zullen zijn. Droege stelt echter dat sociale netwerken, zoals
Facebook of Twitter, zodanig veel data omvatten, waarvan het meeste niets te maken heeft met de
informatie die zou moeten worden aangevallen, dat het moeilijk zou zijn een dergelijk netwerk te
kwalificeren als één militair doelwit. Verder vraagt ze zich af of het wel technisch mogelijk is om,
zoals vooropgesteld door de Tallinn Manual, enkel die componenten die gebruikt zijn voor militaire
doeleinden tussen de ongestructureerde data van dergelijke netwerken aan te vallen.418
De visie vooropgesteld door de Tallinn Manual verdient echter de voorkeur. Immers, zoals gesteld
wordt er aanvaard dat goederen vanaf het geringste gebruik een militair karakter verkrijgen. Dit geldt
dus ook voor sociale netwerken. Vanaf het geringste gebruik voor militaire doeleinden dienen zij in
hun geheel als een militair objectief te worden aangemerkt. Enige uitzondering zou hier wel op kunnen
gemaakt worden indien afzonderlijke delen burgerlijk zouden blijven. Dergelijke uitzondering lijkt op
het eerste zicht echter niet mogelijk. Er kan immers bezwaarlijk geargumenteerd worden dat sociale
netwerken duidelijk afgescheiden delen bevatten naar analogie met aparte gebouwen in ziekenhuizen.
Dergelijke technische discussie valt echter buiten het bestek van deze verhandeling. Het
proportionaliteitsprincipe en het voorzorgsprincipe zullen er wel toe leiden dat enkel aanvallen tegen
die componenten die werden/worden gebruikt voor militaire doeleinden, legitiem zullen zijn. De
discussie of dit technisch mogelijk is zoals Droege zich afvraagt, valt eveneens buiten het bestek van
deze verhandeling. 416 US Navy/US Marine Corps/US Coast Guard/The Commander’s Handbook on the Law of Naval Operations, NWP 1-14M/MCWP 5-12.1/COMDTUP P5800.7A, 2007, para. 8.3. 417 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 134. 418 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 568.
67
HET VERBOD OP NIET-ONDERSCHEIDENDE AANVALLEN
Uit het principe van onderscheid vloeit tevens het verbod op niet-onderscheidende aanvallen voort. In
tegenstelling tot het principe van onderscheid omhelst dit verbod de situaties waarbij het niet de
bedoeling is van de aanvaller om beschermde personen of goederen direct schade toe te brengen, maar
deze geen rekening houdt met en geen belang hecht aan eventuele collaterale burgerlijke schade.419 Dit
verbod wordt algemeen aanvaard en wordt door het ICRC als gewoonterechtelijk erkend.420 Ook het
ICJ stelt in zijn ‘Advisory opinion on the Legality of the Threat of Use of Nuclear Weapons’ dat
‘Parties to a conflict must consequently never use weapons that are incapable of distinguishing
between civilian and military targets’.421,422 Niet-onderscheidende aanvallen zijn aanvallen die (1) niet
op een bepaald militair objectief gericht zijn, (2) die gebruikmaken van strijdmiddelen of -methoden
die niet op een bepaald militair objectief kunnen worden gericht, of (3) die gebruikmaken van
strijdmiddelen en -methoden waarvan de effecten niet kunnen beperkt worden zoals vereist door het
IHR; en die derhalve in alle genoemde gevallen van aard zijn om zonder onderscheid militaire
objectieven en burgers of goederen van burgerlijke aard te treffen.423 Artikel 51(5) AP I stelt verder
twee voorbeelden van niet-onderscheidende aanvallen voorop, met name target area bombing en
disproportionele aanvallen die buitensporige collaterale schade veroorzaken. Op dit eerste voorbeeld
zal echter niet verder worden ingegaan daar dit het bestek van deze verhandeling te buiten gaat424 en
aangezien het tweede voorbeeld de codificatie vormt van het principe van proportionaliteit zal deze
aldaar verder worden behandeld.
De partijen dienen dus in ieder geval te kijken of het cyberwapen kan gericht worden op militaire
objectieven en ook werkelijk enkel gericht is daarop en of de effecten kunnen gecontroleerd worden
419 Y. DINSTEIN, The Conduct of Hostilities under the Law of International Armed Conflict, Tweede Editie, Cambridge University Press, 2010, p. 127. 420 J. HENCKAERTS, L. DOSWALD-BECK, C. ALVERMANN, Customary International Humanitarian Law: Volume 1, Rules, Cambridge University Press, 2005, Regel 12; Art. 51(4) AP I. 421 ICJ, 8 Juli 1996, nr. ICJ GL No 95, Legality of the Threat or Use of Nuclear Weapons, advisory opinion, para. 78. 422 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 570. 423 Artikel 51(4) AP I. 424 Er kan wel kort verwezen worden naar hetgeen Dinniss hierover stelt, met name dat het moeilijk is een computernetwerkaanval voor te stellen die equivalent is aan target area bombing daar iedere aanval moet uitgevoerd worden tegen een specifiek systeem of knooppunt in dat systeem. Zie H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, p. 204.
68
zoals vereist door het IHR.425 In wat volgt zal verder worden ingegaan op elk van deze soorten niet-
onderscheidende aanvallen.
DE EERSTE EN TWEEDE SOORT NIET-ONDERSCHEIDENDE AANVALLEN
De eerste soort niet-onderscheidende aanval betreft de situatie waarin de aanvaller cyberwapens
hanteert die kunnen gericht worden op een legitiem doelwit, maar de aanvaller dit niet doet. Zoals bij
het hierboven besproken verbod op het aanvallen van burgers en burgerlijke goederen, betreft het hier
dus de situatie waarbij niet-onderscheidend gebruik wordt gemaakt van een onderscheidend middel.426
Terwijl artikelen 51(2) en 52(2) AP I intentionele aanvallen tegen burgers en burgerlijke goederen
verbieden, betreft artikel 51(4)(a) AP I aanvallen die niet-onderscheidend zijn door roekeloosheid. Dit
artikel heeft betrekking op die aanvallen die worden uitgevoerd zonder een bepaald, identificeerbaar
militair objectief voor ogen te hebben, waardoor de aanvaller geen rekening houdt met het risico dat
dit wapen ook burgers of burgerlijke goederen zou kunnen raken.427 Dit is bijvoorbeeld het geval
wanneer een cyberoperatie wordt uitgevoerd tegen alle computers van de vijand zonder dat er een
onderscheid wordt gemaakt tussen deze op grond van hun militair of burgerlijk karakter, terwijl dit
wel mogelijk is.428 Een ander voorbeeld is het geval waarin er malware wordt opgenomen in een
document dat kan gedownload worden van een publieke website en de aanvaller kennis heeft van het
feit dat zowel militaire als burgerlijke gebruikers toegang hebben tot deze website. Aangezien de
computer van elkeen die naar deze website gaat en dit document opent, zal worden geïnfecteerd, zal
dit een niet-onderscheidende aanval zijn. Een onderscheidend middel van oorlogvoering wordt immers
niet-onderscheidend aangewend.429
De tweede soort niet-onderscheidende aanval betreft het gebruik van strijdmiddelen en -methoden
die zich niet kunnen richten op een bepaald militair objectief. Hiermee worden de aanvallen bedoeld
die inherent niet-onderscheidend zijn omdat de aanvaller niet zeker kan zijn dat het wapen de
burgerlijke populatie geen schade zal toebrengen. Deze regel verbiedt geen onnauwkeurige middelen 425 E. DIAMOND, ‘Applying International Humanitarian Law to Cyber Warfare’, p. 78, http://www.inss.org.il-/uploadImages/systemFiles/05%20Applying.pdf. 426 M. SCHMITT, ‘War, Technology and the Law of Armed Conflict’, in A. HELM (ed.), International Law Studies: The Law of War in the 21st Century: Weaponry and the Use of Force, 2006, p. 140. 427 J. WEINER, ‘Discrimination, Indiscriminate Attacks, and the Use of Nuclear Weapons’, ICNP, 19 December 2011, p. 17, http://lcnp.org/pubs/Weiner_Discrimination-Indiscriminate-Attacks.pdf. 428 Y. DINSTEIN, ‘The Principle of Distinction and Cyber War in International Armed Conflicts’, Journal of Conflict & Security Law, 2012, Vol. 17 No. 2, p. 267; NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 157. 429 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, pp. 156-157.
69
of methoden van oorlogvoering, maar enkel die middelen en methoden die in essentie ‘shots in the
dark’ zijn.430 Verboden zijn dus cybermiddelen en -methoden waarbij het onmogelijk is te voorspellen
of het een bepaald militair objectief zal raken en/of een computer of computersysteem dat beschermd
wordt door het IHR.431
Bij beide soorten niet-onderscheidende aanvallen stelt zich de vraag of cybermiddelen en –
methoden wel onderscheidend kunnen zijn. Bij de eerste soort niet-onderscheidende aanval is dit
van belang daar dit verbod anders geen rol zal spelen in cyber warfare. Bij de tweede soort zal dit van
belang zijn daar het anders onmogelijk zal zijn cybermiddelen en -methoden aan te wenden zonder het
verbod op niet-onderscheidende aanvallen te schenden. Dit vraagstuk kent zijn wortels in de eerder
aangehaalde problematiek van de onderlinge verbondenheid in cyberspace.432 Cyberspace bestaat,
zoals gesteld, uit een ontelbaar aantal onderling verbonden computersystemen verspreid over heel de
wereld. Militaire computersystemen zijn vaak onderling verbonden met commerciële, burgerlijke
computersystemen en zijn gedeeltelijk of geheel afhankelijk van deze. Ter illustratie kan verwezen
worden naar de situatie in Februari 2009 waarbij de computersystemen van de Franse, Engelse en
Duitse strijdkrachten geïnfecteerd werden door de zogenaamde ‘Win32/conficker’-worm, een
programma die een botnet433 opzette dat naar luidt 9 miljoen computersystemen over 120 staten kon
controleren.434 Deze worm werd een aantal maanden op voorhand ontdekt in commerciële systemen en
wordt bijgevolg door de meesten geacht niet intentioneel gericht te zijn geweest op militaire systemen.
Dit incident toont aan hoe nauw militaire computersystemen verbonden zijn met het publieke internet,
waardoor malware gemakkelijk van één netwerk naar een ander kan verspreiden.435 De vraag kan dus
430 PROGRAM ON HUMANITARIAN POLICY AND CONFLICT RESEARCH AT HARVARD UNIVERSITY, Commentary on the HPCR Manual on International Law Applicable to Air and Missile Warfare, Commentaar bij Regel 5(a), 2010, http://www.ihlresearch.org/amw/ aboutmanual.php. 431 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 145. 432 K. DÖRMANN, ‘Applicability of the Additional Protocols to Computer Network Attacks’, ICRC, 2004, p. 5, http://www.icrc.org/ eng/resources/documents/misc/68lg92.htm. 433 Een botnet is een term die gebruikt wordt voor een aantal apparaten die verbonden zijn met het internet en door een botnet-eigenaar gebruikt worden om verschillende taken uit te voeren. Botnets kunnen worden gebruikt om DDoS-aanvallen uit te voeren, gegevens te stelen, spam te versturen en de aanvaller toegang te geven tot het apparaat en de verbinding ervan. 434 Virussen en wormen die zich verspreiden of kopiëren en die oncontroleerbaar zijn doordat de ontwikkelaars geen beperkingen hebben voorzien aan hun werking, zoals de zogenaamde ‘Win32/conficker’-worm, zijn het voorbeeld bij uitstek van niet-onderscheidende cyberaanvallen. Er dient er wel op gewezen te worden dat deze afhankelijk van de omstandigheden ofwel zullen vallen onder de tweede soort niet-onderscheidende aanval daar ze niet gericht kunnen worden tot een bepaald militair objectief, ofwel onder de derde soort niet-onderscheidende aanval omdat ze effecten hebben die niet kunnen beperkt worden zoals vereist door het IHR; Zie H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, p. 203; C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 570. 435 J-C. WOLTAG, Cyber Warfare Military Cross-Border Computer Network Operations under International Law, Intersentia, 2014, p. 215.
70
gesteld worden of het wel mogelijk is om een cyberaanval specifiek te richten op een bepaald militair
objectief, en of cybermiddelen en –methoden dus algemeen als onwettige strijdmiddelen en –methodes
dienen te worden beschouwd.
Het is echter wel degelijk mogelijk om cyberwapens te ontwikkelen die onderscheidend zijn.
‘Flooding’, een DoS-aanval die ontworpen is om een netwerk of server plat te leggen door het te
overspoelen met grote hoeveelheden met verzoeken, is bijvoorbeeld een methode van cyber warfare
die perfect onderscheidend is daar het alleen een impact heeft op het systeem waartoe de meerdere
verzoeken worden gericht.436 De verfijnde codering van Stuxnet toont eveneens aan dat malware zeer
precies kan worden geprogrammeerd met het oog op het specifiek richten van de aanval op bepaalde
militaire objectieven. Zo waren de initiële versies van de malware ontworpen om enkel te verspreiden
naar een bepaald aantal computers binnen het lokaal netwerk van het beginpunt van de infectie, met
name van de geïnfecteerde USB-stick. Niettemin hebben de ontwikkelaars de
verspreidingsmogelijkheid, wanneer deze niet de gewenste resultaten bereikten, verbreed437, maar de
malware was geprogrammeerd om zijn ‘lading’ pas te activeren indien specifieke voorwaarden waren
vervuld die zouden aangeven dat het doelwit was bereikt, waardoor slechts één bepaald systeem zou
geraakt worden.438 Dus hoewel de latere versies van de malware zich niet-onderscheidend leken te
verspreiden, werd het gedeelte van de code dat uiteindelijk de aanval zou uitmaken op een zeer
onderscheidende wijze geactiveerd.439
Bijgevolg zijn cybermiddelen en –methoden dus niet inherent ‘niet-onderscheidend’ en zijn deze dus
geen onwettige strijdmiddelen en –methoden die nooit kunnen worden gebruikt bij het voeren van de
vijandelijkheden. Of een cybermiddel of –methode een inbreuk zal maken op artikel 51(4)(a) of (b)
AP I zal afhangen van de concrete omstandigheden, zoals hoe het geprogrammeerd is en wat de
karakteristieken zijn van het militair objectief, en dient bijgevolg dus in concreto te worden
beoordeeld.440 De eerste soort niet-onderscheidende aanval zal dus wel degelijk een rol spelen in de
cybercontext, en het is mogelijk om cyberaanvallen aan te wenden die in overeenstemming zijn met
436 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 176. 437 Eerst naar een periode van 21 dagen (het virus zou stoppen met zich te verspreiden na deze periode), en uiteindelijk naar de mogelijkheid om redelijk niet-onderscheidend te verspreiden. Zie G. KEIZER, ‘Is Stuxnet the ‘best’ malware ever?’, Infoworld, 16 September 2010, http://www.infoworld.com/article/2626009/malware/is-stuxnet-the--best--malware-ever-.html. 438 N. FALLIERE, L. MURCHU, E. CHIEN, ‘W32.Stuxnet Dossier Version 1.4.’ Symantec Corporation, Februari 2011, https://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet-_dossier.pdf. 439 J. GREEN, Cyber Warfare: a Multidisciplinary Analysis, Routledge, 22 Mei 2015, p. 136. 440 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 176.
71
artikel 51(4)(b) AP I. Of deze dit in de praktijk ook effectief vaak zullen zijn is natuurlijk een andere
vraag.
DE DERDE SOORT NIET-ONDERSCHEIDENDE AANVAL
Zoals hierboven aangetoond kunnen cybermiddelen en –methoden dus wel degelijk onderscheidend
zijn, maar ingevolge artikel 51(4)(c) AP I dienen de effecten van onderscheidende strijdmiddelen en -
methoden eveneens beperkt te worden tot het militair doelwit. Ook hier zal de onderlinge
verbondenheid in cyberspace voor problemen zorgen. Immers, zelfs als een cyberoperatie kan gericht
worden en wordt gericht op een specifiek (militair) objectief, blijft het risico bestaan dat de aanval
gevolgen zal hebben voor verschillende andere systemen, inclusief burgerlijke, gelet op de onderlinge
verbondenheid in cyberspace, en dus niet-onderscheidend zal zijn.441 De vraag dient hier dus opnieuw
gesteld te worden, maar nu met betrekking tot artikel 51(4)(c) AP I, of cybermiddelen en –methoden
wel kunnen aangewend worden in overeenstemming met het verbod op niet-onderscheidende
aanvallen.442
Ook met betrekking tot de limieten van de effecten kan malware echter zeer precies geprogrammeerd
worden. Opnieuw kan de codering van de Stuxnet-worm worden aangehaald als voorbeeld. De
Stuxnet-worm was namelijk zodanig ontworpen dat het zijn ‘lading’ enkel zou activeren indien aan de
parameters vooropgesteld door de ontwikkelaars van het virus was voldaan.443 De Stuxnet-worm was
dus zodanig ontwikkeld dat slechts één bepaald systeem zou geraakt worden en dat de effecten van de
malware beperkt zouden blijven tot de Nantanz kerninstallatie in Iran.444445 Malware kan dus zodanig
geschreven worden dat het enkel een negatieve impact heeft op bepaalde systemen.446 Verder kan een
virus bijvoorbeeld ook geïntroduceerd worden in een gesloten militair systeem.447 Opnieuw hangt de
vraag of een cybermiddel of –methode een inbreuk zal maken op het verbod op niet-onderscheidende
441 K. DÖRMANN, ‘Applicability of the Additional Protocols to Computer Network Attacks’, ICRC, 2004, p. 5, http://www.icrc.org/eng/resources/documents/misc/68lg92.htm. 442 C. DRÖGE, ‘No Legal Vacuum in Cyberspace’ (online interview), 16 Augustus 2011, http://www.icrc.org/eng/ resources/documents/interview/2011/cyber-warfare-interview-2011-08-16.htm. 443 Deze parameters waren de volgende: ‘the system needed to be running a particular type of software, have certain components installed, and have those components set to a certain frequency’. 444 Het feit dat de code ook problemen heeft veroorzaakt buiten het systeem dat werd beoogd (zo werden veiligheidsonderzoekers gewaarschuwd voor het bestaan van de malware door een cliënt wiens computersysteem vast zat in een reboot loop), doet niets af aan de onderscheidende aard van de betrokken code. 445 H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, pp. 203-204; J. GREEN, Cyber Warfare: a Multidisciplinary Analysis, Routledge, 22 Mei 2015, pp. 136-137. 446 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 176. 447 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 570.
72
aanvallen dus af van de concrete omstandigheden, zoals hoe het geprogrammeerd is en de
karakteristieken van het militair objectief. Cybermiddelen en –methoden van oorlogvoering zijn zo
divers en hun effecten zo afhankelijk van de omstandigheden dat de beoordeling of deze in
overeenstemming zijn met het IHR enkel kan gemaakt worden in concreto.448
Er kan dus besloten worden dat cybermiddelen en –methoden dus niet inherent ‘niet-onderscheidend’
zijn en deze dus geen onwettige strijdmiddelen en –methoden uitmaken die nooit kunnen worden
gebruikt bij het voeren van de vijandelijkheden, maar dat deze gelet op de onderlinge verbondenheid
in cyberspace zelden legitiem zullen kunnen worden aangewend ingevolge het verbod op niet-
onderscheidende aanvallen.
HET PRINCIPE VAN PROPORTIONALITEIT
Het principe van proportionaliteit stelt dat, zelfs wanneer een geplande aanval gericht is tegen een
legitiem militair objectief, het verboden is om effectief tot de aanval over te gaan indien het verwachte
risico op burgerslachtoffers en/of schade aan burgerlijke goederen disproportioneel is aan het
verwachte tastbaar en rechtstreeks militaire voordeel dat de aanval zal opleveren. Het betreft hier, in
tegenstelling tot bij het principe van onderscheid, de gevallen waarin de burgerlijke populatie en/of -
infrastructuren niet het beoogde doelwit zijn, maar het wel voorzienbaar is dat schade zal worden
toegebracht aan deze. Dit echter onder voorbehoud van de situatie waar de burgerlijke infrastructuren
een militair karakter hebben verkregen ingevolge hun duaal gebruik en bijgevolg wel degelijk het
beoogde (legitieme) doelwit zullen zijn. In dit laatste geval zullen deze infrastructuren zelf uiteraard
niet van belang zijn voor de proportionaliteitsbeoordeling, maar wel het groot aantal burgerlijke
repercussies waartoe zij op hun beurt aanleiding kunnen geven. Dit gewoonterechtelijk principe449 kan
teruggevonden worden in artikelen 51(5)(b) AP I, Regel 51 van de Tallinn Manual en verschillende
militaire handboeken, waaronder ‘the UK Military Manual450, de Franse ‘Manuel de droit des conflits
armés’451, het Duitse Militaire Handboek452 en ‘the US Joint Doctrine for Targeting’453.454455
448 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 176. 449 J. HENCKAERTS, L. DOSWALD-BECK, C. ALVERMANN, Customary International Humanitarian Law: Volume 1, Rules, Cambridge University Press, 2005, regel 14. 450 UK Ministry of Defence, The Joint Service Manual of the Law of Armed Conflict, JSP 383, 2004, p. 86. 451 Ministère de la Défense, Manuel de droit des conflits armés, 2001, Definitie van ‘Proportionnalité’, http://www.cicde.defense.gouv.fr/IMG/pdf/20130226_np_cicde_manuel-dca.pdf. 452 Duits Ministerie van Defensie, Humanitarian Law in Armed Conflict, 1992, Sectie 456, http://www.-humanitaeres-voelkerrecht.de/ManualZDv15.2.pdf. 453 US Council on Foreign Affairs, US Joint Doctrine for Targeting, 31 Januari 2013, p A-1.
73
Bovendien maakt de schending van dit principe in internationale gewapende conflicten een
oorlogsmisdaad uit ingevolge artikel 8(2)(b)(iv) van het Statuut van Rome.456 De toepasselijkheid van
dit principe in het cyberdomein wordt algemeen aanvaard457 en dit zowel in niet-internationale als in
internationale gewapende conflicten.
Het principe van proportionaliteit zal een cruciale rol spelen voor de bescherming van de burgerlijke
populatie en de burgerlijke cyberinfrastructuur.458 Immers, gelet op de onderlinge verbondenheid in
cyberspace zal de meerderheid van de cyberinfrastructuren ingevolge hun duaal gebruik legitiem
kunnen worden aangevallen, wat aanzienlijke gevolgen zal hebben voor de civiele component van
deze.459 Bovendien brengt de onderlinge verbondenheid in cyberspace eveneens met zich mee dat
zelfs indien er een onderscheid kan worden gemaakt er nog steeds een groot risico zal bestaan op
repercussies voor de burgers en burgerlijke cyberinfrastructuren.460 Bijgevolg is de vraag hoe de
proportionaliteitsbeoordeling dient te worden uitgevoerd in de cybercontext van groot belang.
De proportionaliteitsbeoordeling vereist dat er een afweging wordt gemaakt tussen het verwachte
risico op burgerslachtoffers en/of schade aan burgerlijke goederen en het verwachte tastbaar en
rechtstreeks militaire voordeel dat de aanval zal opleveren. Daar er gesproken wordt van het
‘verwachte risico’ dient er enkel rekening te worden gehouden met de collaterale schade die
redelijkerwijs kon voorzien worden door degenen die de operatie plannen, goedkeuren of uitvoeren, en
niet deze die uiteindelijk plaatsvond.461 Problematisch voor deze afweging is dat ‘militair voordeel’ en
454 Zie ook art. 57(2)(iii) AP I, art. 7 Second Cultural Property Protocol, art. 3(8) Amended Mines Protocol, art. 3(3), Mines Protocol. 455 C. DRÖGE, ‘No Legal Vacuum in Cyberspace’ (online interview), 16 Augustus 2011, http://www.icrc.org/eng/resources/documents/interview/2011/cyber-warfare-interview-2011-08-16.htm. 456 Het Statuut van Rome van het Internationaal Strafhof, U.N. Doc. A/CONF.183/9*, 1998. 457 Zie onder andere: M. SCHMITT, ‘Wired warfare: computer network attack and jus in bello’, IRRC 2002, p. 390; E. JENSEN, ‘Unexpected Consequences from Knock-on Effects: A Different Standard for Computer Network Operations?’, 18 American University International Law Review 1145, 2003, 1154-61; NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, Regel 51, p. 159; US Navy/US Marine Corps/US Coast Guard/The Commander’s Handbook on the Law of Naval Operations, NWP 1-14M/MCWP 5-12.1/COMDTUP P5800.7A, 2007, para. 5.3.3; UK Ministry of Defence, The Joint Service Manual of the Law of Armed Conflict, JSP 383, 2004; PROGRAM ON HUMANITARIAN POLICY AND CONFLICT RESEARCH AT HARVARD UNIVERSITY, Commentary on the HPCR Manual on International Law Applicable to Air and Missile Warfare, 2010, Commentaar bij Regel 14, http://www.ihlresearch.org/amw/aboutmanual.php; M. SCHMITT, C. GARRAWAY, Y. DINSTEIN, The Manual on the Law of Non-International Armed Conflict With Commentary, Sanremo, 2006, para. 2.1.1.4; Y. SANDOZ, C. SWINARKI, B. ZIMMERMAN, Commentary on the Additional Protocols of 8 June 1977 to the Geneva Conventions of 12 August 1949, ICRC/Martinus Nijhoff Publishers, Dordrecht, 1987, para. 4772. 458 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 571. 459 Zie supra, p. 57. 460 Zie supra, p. 70. 461 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, Regel 51, para. 6; R. GEISS, H. LAHMANN,
74
‘burgerlijk leed’ of ‘burgerlijke schade’ geen gemene deler hebben. Dinstein stelt dat de twee noties
zoals metaforische appelen en peren zijn en dat de vergelijking tussen beide een kunst is en geen
wetenschap.462 Het is mogelijk om het aantal burgerlijke slachtoffers en de waarde van beschadigde
burgerlijke eigendommen te berekenen, maar militair voordeel kan niet altijd beoordeeld worden op
een objectief meetbare schaal.463 Aangezien deze problematiek niet cyberspecifiek is zal hier echter
niet verder op worden ingegaan. Hierna gaan we enkel verder in op die aspecten van de
proportionaliteitsbeoordeling die van belang zijn in het kader van deze verhandeling. Zo zal
bijvoorbeeld ook niet worden besproken wat er onder de noties ‘buitensporig’ en ‘het verwachte
tastbaar en rechtstreeks militaire voordeel’ dient te worden verstaan. In wat volgt zullen we ons louter
beperken tot de vraag wat als relevante collaterale schade kan worden beschouwd. In het kader van
cyber warfare rijzen immers drie vraagstukken hieromtrent. Vooreerst de vraag of de verstoring van
de functionaliteit van burgerlijke goederen kan beschouwd worden als relevante collaterale schade, ten
tweede de vraag naar de rol van de indirecte effecten in de proportionaliteitsanalyse, en als laatste de
vraag wat er als relevante collaterale schade dient te worden beschouwd indien de burgerlijke en
militaire systemen opzettelijk werden geïntegreerd zodat deze laatste niet kunnen worden aangevallen
zonder tevens gevolgen te hebben voor de burgerlijke systemen.
Ingevolge de opsomming in artikel 51(5)(b) is het duidelijk dat enkel ‘verlies van mensenlevens onder
de burgerbevolking, verwonding van burgers, schade aan goederen van burgerlijke aard of een
combinatie daarvan’ kan gezien worden als relevante collaterale schade. Cyberoperaties kunnen ook
irritatie, stress, angst en ongemak veroorzaken, maar deze effecten zullen bijgevolg niet in aanmerking
worden genomen voor de proportionaliteitsbeoordeling. Discussie bestaat echter omtrent de
draagwijdte van de notie ‘schade aan goederen van burgerlijke aard’. Wel wordt er algemeen aanvaard
dat dit niet alleen de schade veroorzaakt door de cyberaanval omhelst, maar ook de eventuele schade
veroorzaakt gedurende de uitvoering van de aanval. Cyberaanvallen tegen militaire objectieven
worden immers soms gelanceerd via burgerlijke communicatiekabels, satellieten en andere burgerlijke
infrastructuren en kunnen in dat geval schade veroorzaken aan deze.464 Onzekerheid bestaat echter
omtrent de vraag of de loutere verstoring van de functionaliteit van een goed ingevolge een
cyberoperatie, zonder dat deze bijkomend geleid heeft tot het verlies van mensenlevens onder de
burgerbevolking, verwondingen van burgers of fysieke vernietiging of schade aan goederen, zoals het
‘Cyber warfare: applying the principle of distinction in an interconnected space’, Israeli Law Review, Vol. 45, No. 3, November 2012, p. 396. 462 Y. DINSTEIN, ‘The Principle of Distinction and Cyber War in International Armed Conflicts’, Journal of Conflict & Security Law, 2012, Vol. 17 No. 2, p. 271. 463 Y. DINSTEIN, ‘The Principle of Distinction and Cyber War in International Armed Conflicts’, Journal of Conflict & Security Law, 2012, Vol. 17 No. 2, p. 271. 464 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 160.
75
geval zou zijn bij kinetische operaties, kan beschouwd worden als ‘schade aan goederen van
burgerlijke aard’. De meerderheid van de Rechtsleer is in ieder geval van mening dat dit wel het geval
is. Zo kan verwezen worden naar Geiss en Lahmann die hun mening staven door de vergelijking van
artikel 51(5)(b) en 52(2) AP I. Waar artikel 52(2) AP I een onderscheid maakt tussen ‘vernietiging’ en
‘onbruikbaarmaking’, spreekt artikel 51(5)(b) AP I over ‘schade’. Zij zijn bijgevolg van mening dat
hierdoor kan geargumenteerd worden dat ‘schade’ zowel de vernietiging als de onbruikbaarmaking
van doelwitten omhelst. Bovendien halen ze een teleologisch argument uit artikel 51 in combinatie
met de algemene regel in artikel 49 API, die als algemeen doel hebben de burgerlijke bevolking beter
te beschermen tegen de gevaren die voortvloeien uit militaire operaties. Gelet hierop lijkt het volgens
hen onlogisch dat enkel de fysieke vernietiging van een burgerlijk object in overweging moet worden
genomen, terwijl functionele schade, zelfs als het de burgerlijke bevolking meer schade toebrengt,
irrelevant zou zijn.465 Roscini volgt Geiss en Lahmann en stelt dat ‘Indeed, whereas incidental damage
for the purposes of proportionality clearly does not include ‘inconvenience, irritation, stress or fear’,
as they cannot be compared to ‘loss of civilian life, injury to civilians, damage to civilian objects’, the
incapacitation of networked infrastructure has potentially as severe tertiary effects on protected
persons as its destruction.’.466 Droege is eveneens van dezelfde mening en stelt dat: ‘..damage to
objects means ‘harm…impairing the value or usefulness of something…’467 Thus, it is clear that the
damage to be taken into account comprises not only physical damage, but also the loss of functionality
of civilian infrastructure even in the absence of physical damage.’.468 Ook Woltag argumenteert dat:
‘…the mere loss of functionality of civilian systems also needs to be considered in the proportionality
test.’.469 Als laatste kan ook verwezen worden naar de ‘2010 US Joint Terminology for cyberspace
Operations’ waarin het volgende kan gelezen worden: ‘collateral effect of cyber operations in the
context of targeting includes the unintentional or incidental… effects on civilian or dual-use
computers, networks, information, or infrastructure when there is a reasonable probability of loss of
life, serious injury, or serious adverse effect on the affected nation’s national security, economic
security, public safety, or a combination of such effects’.470
465 R. GEISS, H. LAHMANN, ‘Cyber warfare: applying the principle of distinction in an interconnected space’, Israeli Law Review, Vol. 45, No. 3, November 2012, p. 396. 466 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 222. 467 Concise Oxford Dictionary, 12th Revised edition, Januari 2011. 468 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 571. 469 J-C. WOLTAG, Cyber Warfare Military Cross-Border Computer Network Operations under International Law, Intersentia, 2014, p. 227. 470 The Vice Chairman of the Joint Chiefs of Staff, ‘Memorandum for Chiefs of the Military Services, Commanders of the Combatant Commands and Directors of the Joint Staff Directorates: US Joint Terminology for Cyberspace Operations’, Washington D.C., 20318-9999, 2010, p. 3.
76
De tweede vraag die rijst is deze naar de rol van de indirecte effecten in het kader van de
proportionaliteitsanalyse. Directe effecten zijn ‘immediate, first order consequences, unaltered by
intervening events or mechanisms’.471 Dit zijn dus de primaire effecten, met name de effecten op de
data en software waarop de aanval is gericht.472 Indirecte effecten (ook wel knock-on effects of
reverberating effects genoemd) zijn ‘delayed and/or displaced second-, third-, and higher-order
consequences of action, created through intermediate events or mechanisms’.473 De secundaire
(indirecte) effecten zijn deze op de infrastructuur die bestuurd wordt door het aangevallen systeem
(indien aanwezig), en de tertiaire effecten zijn deze op de personen die getroffen zijn door de
vernietiging of onbruikbaarmaking van het aangevallen systeem of de infrastructuur.474 In het
cyberdomein worden als indirecte effecten beschouwd: die effecten die niet beoogd werden door de
cyberoperatie, maar hier wel uit resulteerden.475 Het belang van de indirecte effecten dient niet
onderschat te worden. Zoals Greenwood stelt, heeft de Golf Oorlog van 1990-91 duidelijk gemaakt dat
indirecte effecten van aanvallen meer schade kunnen aanrichten voor de burgerlijke populatie en -
infrastructuren dan directe effecten.476 Hoewel dit probleem niet uniek is aan cyber warfare (de Golf
Oorlog had bijvoorbeeld betrekking op de indirecte effecten van aanvallen op elektriciteitsnetwerken),
is dit probleem van een ernstiger kaliber in het cyberdomein gelet op de aard van computersystemen
en de verbondenheid van militaire en burgerlijke systemen.477 Deze brengen immers, zoals hierboven
reeds gesteld, een verhoogde kans op (indirecte) burgerlijke repercussies met zich mee. Er wordt
algemeen aangenomen dat zowel de indirecte als de directe effecten in rekening dienen te worden
genomen bij de proportionaliteitsanalyse indien deze verwachte gevolgen zijn van de aanval.478 Er zijn
471 US Chairman, Joint Chiefs of Staff, Joint Publication 3-60: Joint Targeting, at I-10 (2007), http://www.bits.de/NRANEU/others/jp-doctrine/jp3_60(07).pdf. 472 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 220. 473 US Chairman, Joint Chiefs of Staff, Joint Publication 3-60: Joint Targeting, at I-10 (2007), http://www.bits.de/NRANEU/others/jp-doctrine/jp3_60(07).pdf. 474 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 220. 475 E. JENSEN, ‘Cyber Attacks: Proportionality and Precautions in Attack’, US Naval War College, Volume 89, 2013, p. 207. 476 C. GREENWOOD, ‘The Law of Weaponry at the Start of the New Millenium’ in M. SCHMITT en L. GREEN (eds.), The Law of Armed Conflict: Into the Next Millenium, Naval War College, Newport, RI, 1998, p. 202. 477 H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, p. 208. 478 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 572; E. JENSEN, ‘Cyber Warfare and Precautions Against the Effects of Attacks’, 88 Texas Law Review, 1522, 2010, p. 208; R. GEISS, H. LAHMANN, ‘Cyber warfare: applying the principle of distinction in an interconnected space’, Israeli Law Review, Vol. 45, No. 3, November 2012, p. 396; M. SCHMITT, ‘Wired warfare: computer network attack and jus in bello’, IRRC, 2002, p. 393; NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 160; M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 220; US Navy/US Marine Corps/US Coast Guard/The Commander’s
77
een aantal gevallen bekend in het verleden waarbij de verwachte indirecte effecten militaire operaties
hebben beïnvloed. Zo kan bijvoorbeeld verwezen worden naar het conflict tussen de VS en Irak in
2003 waarbij de VS de financiële rekeningen van Saddam Hoessein wilde aanvallen om druk uit te
oefenen, maar van deze aanvallen werd afgezien door de negatieve gevolgen die een dergelijke aanval
zou gehad hebben voor het Europese bankensysteem.479 Wel bestaat er onzekerheid over de vraag
hoeveel niveaus van indirecte effecten er dienen in rekening te worden genomen door de planners of
uitvoerders van een aanval.480 Schmitt argumenteert dat alle effecten die redelijkerwijs voorzienbaar
zijn, ongeacht van welke rang, in rekening dienen te worden genomen voor de
proportionaliteitsbeoordeling.481 De Tallinn Manual volgt hierin en stelt dat: ‘the collateral damage
factored into the proportionality calculation includes any indirect effects that should be expected by
those individuals planning, approving, or executing a cyber attack’.482 Ook Dinniss volgt hierin en
stelt dat dit redelijkerwijs kan afgeleid worden uit de bewoording van artikel 51(5)(b) dat spreekt over
‘het verwachte risico’.483 Roscini spreekt echter enkel over de secundaire en tertiaire effecten.484 Ook
de VS lijkt van mening te zijn dat enkel rekening dient te worden gehouden met de secundaire en
tertiaire effecten. Zo stelt de ‘US Counterinsurgency Field Manual’ dat ‘in order te establish whether
an attack is discriminate leaders must consider not only the first-order, desired effects of a munition
or action but also possible second- and third-order effects-including undesired ones’.485
Opdat de proportionaliteit van de redelijkerwijs voorzienbare indirecte effecten van een cyberoperatie
zou kunnen worden beoordeeld is echter vooreerst de bepaling van deze vereist. In cyberspace is het
nu echter net de moeilijkheid om met enige zekerheid de te verwachten collaterale effecten van een
cyberoperatie te bepalen. Dit valt enerzijds te wijten aan het feit dat cyberoperaties een relatief nieuw
fenomeen zijn waardoor weinig bekend is omtrent hun impact, en anderzijds aan het feit dat het door
de onderlinge verbondenheid van netwerken, moeilijk is alle mogelijke effecten van dergelijke
Handbook on the Law of Naval Operations, NWP 1-14M/MCWP 5-12.1/COMDTUP P5800.7A, 2007, para. 8.11.4. 479 J. MARKOFF, T. SHANKER, ‘Halted ’03 Iraq Plan Illustrates U.S. Fear of Cyberwar Risk’, New York Times, 1 Augustus 2009, http://www.nytimes.com/2009/08/02/us/politics/02cyber.html?_r=0. 480 H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, p. 208. 481 M. SCHMITT, Essays on Law and War at the Fault Lines, Springer, 2012, p. 296; M. SCHMITT, ‘The impact of high and low-tech warfare on the principle of distinction’, Briefing Paper, International Humanitarian Law Research Initiative, Program on Humanitarian Policy and Conflict Research at Harvard University; http:www.ihlresearch.org/portal/ihli/alabama.php, p. 10. 482 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 160. 483 H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, p. 208. 484 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 220. 485 US Department of the Army, Counterinsurgency, FM No 3-24, December 2006, para 7-36, https://fas.org/irp/doddir/army/fm3-24.pdf.
78
operaties te voorzien.486 Wat kan dus beschouwd worden als redelijk voorzienbaar en wat kan er
bijgevolg verwacht worden van een bevelhebber om de gevolgen van een cyberoperatie te verifiëren
met het oog op een goede proportionaliteitsbeoordeling? Dit vraagstuk speelt echter in het kader van
de voorzorgen die dienen te worden genomen bij aanvallen en zal bijgevolg daar verder aan bod
komen.487
Als laatste kan in het licht van de dual-use goederen, de vraag gesteld worden in welke mate het feit
dat een staat opzettelijk burgerlijke en militaire systemen heeft geïntegreerd, de
proportionaliteitsbeoordeling beïnvloedt. Kan hetzelfde argument worden gemaakt als bij ‘vrijwillige
menselijke schilden’488, dat indien de beschermers hun militaire en burgerlijke systemen zodanig
hebben geïntegreerd dat een militair systeem niet kan aangevallen worden zonder impact te hebben op
het burgerlijke systeem, de burgerlijke impact niet moet worden meegerekend in de
proportionaliteitsanalyse? Volgens Dinniss dient deze vraag negatief te worden beantwoord daar die
bescherming alleen bestaat voor burgers en niet voor burgerlijke goederen. Bovendien stelt ze dat de
meeste burgers zich er niet bewust van zouden zijn dat de systemen zo nauw met elkaar verbonden
zijn waardoor de parallel zou moeten worden gemaakt met ‘de onvrijwillige menselijke schilden’ die
wel in rekening dienen te worden genomen.489
HET PRINCIPE VAN VOORZORG
Het principe van voorzorg stelt een aantal voorzorgsmaatregelen voorop die de partijen dienen te
nemen met het oog op het vermijden of het op zijn minst minimaliseren van de collaterale effecten
voor personen en goederen die geen legitieme doelwitten van een aanval zijn. Twee soorten
voorzorgsmaatregelen kunnen worden onderscheiden. Vooreerst de zogenaamde actieve voorzorgen,
met name de voorzorgen die dienen te worden genomen door een partij bij het conflict bij de
uitvoering van aanvallen op het territorium onder de controle van de vijand (de voorzorgen bij de
uitvoering van aanvallen).490 Als tweede de zogenaamde passieve voorzorgen, met name
voorzorgsmaatregelen die door de partijen bij het conflict dienen te worden genomen ter bescherming
van de burgerlijke populatie, individuele burgers en burgerlijke goederen in hun eigen territorium of in
486 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 573; E. DIAMOND, ‘Applying International Humanitarian Law to Cyber Warfare’, p. 79, http://www.inss.org.il/uploadImages/systemFiles/05%20Applying.pdf. 487 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 573. 488 M. SCHMITT, Essays on Law and War at the Fault Lines, Springer, 2012, 298. 489 H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, pp. 208-209. 490 Zie artikel 57 AP I.
79
het territorium onder hun controle, tegen de gevaren die kunnen voortvloeien uit de cyberaanvallen
van een tegenpartij (de voorzorgen tegen de effecten van aanvallen).491492 Deze
voorzorgsmaatregelen kunnen beschouwd worden als een eerste vereiste voor de partijen bij een
conflict om de andere principes en regels betreffende het voeren van de vijandelijkheden in het IHR te
respecteren.493 Bijvoorbeeld, het principe van onderscheid kan enkel worden nageleefd indien de
partijen bij het conflict stappen ondernemen om de aard van het doelwit dat ze willen aanvallen te
verifiëren.494 Deze intrinsieke link tussen de vooropgestelde voorzorgsmaatregelen en andere IHR
normen betekent niet dat deze eerste verplichtingen vervallen van zodra deze laatsten voldaan zijn. De
verplichtingen met betrekking tot de voorzorgsmaatregelen bestaan op zich en autonoom naast de
andere regels inzake het voeren van de vijandelijkheden.495,496
VOORZORGEN BIJ DE UITVOERING VAN AANVALLEN
Partijen dienen bepaalde voorzorgsmaatregelen te nemen bij de uitvoering van aanvallen om de regels
voortvloeiend uit het principe van onderscheid te respecteren en te implementeren. Deze
voorzorgverplichtingen kunnen teruggevonden worden in artikel 57 AP I en Regels 52 tot 58 van de
Tallinn Manual en worden algemeen erkend gewoonterecht uit te maken in internationale gewapende
conflicten en volgens de meerderheid tevens in niet-internationale gewapende conflicten.497498 Deze
491 Zie artikel 58 AP I. 492 M. SASSOLI, A. BOUVIER, A. QUINTIN, How Does Law Protect In War, third Edition, Vol. I, ICRC, Geneva, 2006, p. 28. 493 W. J. FENRICK, ‘The Law Applicable to Targeting and Proportionality after Operation Allied Force: A View from the Outside’, YIHL, vol. 3, 2000, p. 57. 494 T. BOUTRUCHE, ‘Expert Opinion on the Meaning and Scope of Feasible Precautions under International Humanitarian Law and Related Assessment of the Conduct of the Parties to the Gaza Conflict in the Context of the Operation “Protective Edge”’, p. 9, https://www.diakonia.se/globalassets/blocks-ihl-site/ihl-file-list/ihl--expert-opionions/precautions-under-international-humanitarian-law-of-the-operation-protective-edge.pdf. 495 Zo kunnen de voorzorgverplichtingen geschonden zijn zelfs indien de andere regels van het IHR gerespecteerd worden. 496 T. BOUTRUCHE, ‘Expert Opinion on the Meaning and Scope of Feasible Precautions under International Humanitarian Law and Related Assessment of the Conduct of the Parties to the Gaza Conflict in the Context of the Operation “Protective Edge”’, p. 10, https://www.diakonia.se/globalassets/blocks-ihl-site/ihl-file-list/ihl--expert-opionions/precautions-under-international-humanitarian-law-of-the-operation-protective-edge.pdf. 497 J. HENCKAERTS, L. DOSWALD-BECK, C. ALVERMANN, Customary International Humanitarian Law: Volume 1, Rules, Cambridge University Press, 2005, Regels 15-24; Y. SANDOZ, C. SWINARKI, B. ZIMMERMAN, Commentary on the Additional Protocols of 8 June 1977 to the Geneva Conventions of 12 August 1949, ICRC/Martinus Nijhoff Publishers, Dordrecht, para. 4772; UK Ministry of Defence, The Joint Service Manual of the Law of Armed Conflict, JSP 383, 2004, p. 393; M. SCHMITT, C. GARRAWAY, Y. DINSTEIN, The Manual on the Law of Non-International Armed Conflict With Commentary, Sanremo, 2006, Regel 2.1.2, p. 25; NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, pp. 164-175; ICTY, 2 Oktober 1995, nr. IT-94-1-A, The Prosecutor v. Dusko Tadic, paras. 111-12. 498 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 232.
80
omhelzen naast een algemene verplichting om bij de uitvoering van militaire operaties constant zorg te
dragen om de burgerlijke populatie, burgers of burgerlijke goederen te sparen499, de verplichting tot
het nemen van een aantal concrete voorzorgsmaatregelen. Boivin heeft deze in essentie samengevat:
degenen die de cyberoperatie plannen of erover beslissen moeten (1) al het praktisch uitvoerbare doen
om te verifiëren dat de doelwitten die zullen worden aangevallen van militaire aard zijn500, (2) alle
praktisch uitvoerbare voorzorgsmaatregelen nemen in de keuze van de middelen en methoden van
oorlogvoering501, (3) al het praktisch uitvoerbare doen om te beoordelen of het kan verwacht worden
dat een aanval buitensporige collaterale schade zal veroorzaken502, (4) al het praktisch uitvoerbare
doen om van een aanval af te zien of deze uit te stellen indien het duidelijk wordt dat de
proportionaliteitsregel zal geschonden worden, dat een doelwit geen militair objectief is of dat het
speciale bescherming geniet503, (5) een effectieve voorafgaande waarschuwing geven indien de aanval
waarschijnlijk een impact zal hebben op de burgerlijke populatie, tenzij de omstandigheden dit niet
toelaten504 en (6) wanneer er een keuze mogelijk is tussen verschillende militaire objectieven, het
doelwit kiezen dat het minste gevaar oplevert voor de burgers en de burgerlijke goederen505.506
Een voorbeeld van een situatie waarin van een aanval werd afgezien conform artikel 57(2)(b) API is
het geval waarin de NAVO verkeerde berichten en doelwitten wou uploaden in het
luchtverdedigingscommandonetwerk van Joegoslavië, wat de capaciteit van deze laatste om NAVO-
vliegtuigen aan te vallen gedurende de Operation Allied Force zou beïnvloed hebben, maar
uiteindelijk van deze operatie afzag wegens de risico’s voor de burgerluchtvaart.507 Een ander
gelijkaardig voorbeeld is de situatie waarin, in het kader van de operaties tegen Libië in 2011, van het
plan werd afgezien om cyberoperaties te gebruiken om het luchtverdedigingssysteem van Libië te
verstoren wegens het risico op burgerlijke repercussies.508509 In wat volgt zal echter niet worden
ingegaan op elk van bovenvermelde concrete voorzorgsmaatregelen daar dit niet relevant zou zijn in
het kader van deze uiteenzetting. Deze verhandeling zal zich beperken tot de bespreking van de
499 Artikel 57(1) AP I; J. HENCKAERTS, L. DOSWALD-BECK, C. ALVERMANN, Customary International Humanitarian Law: Volume 1, Rules, Cambridge University Press, 2005, Regel 15. 500 Artikel 57(2)(a)(i) AP I. 501 Artikel 57(2)(a)(ii) AP I. 502 Artikel 57(2)(a)(iii) AP I. 503 Artikel 57(2)(b) AP I. 504 Artikel 57(2)(c) AP I. 505 Artikel 57(3) AP I. 506 A. BOIVIN, ‘The Legal Regime Applicable to Targeting Military Objectives in the Context of Contemporary Warfare’, University Centre for International Humanitarian Law, 2 (2006) 36, www.adh-geneva.ch/docs/publications/collection-research-projects/CTR_objectif_militaire.pdf. 507 J. KELSEY, ‘Note: Hacking into International Humanitarian Law: The Principles of Distinction and Neutrality in the Age of Cyber Warfare’, Michigan Law Review [Vol. 106:1427], Mei 2008, pp. 1434-5. 508 T. RID, P. MCBURNEY, ‘Cyber-Weapons’, The RUSI Journal, 29 Februari 2012, p. 6. 509 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 234.
81
belangrijkste aspecten/problematieken omtrent de toepassing van het voorzorgsprincipe in het
cyberdomein, met name de moeilijkheden en mogelijk vereiste maatregelen in het kader van de plicht
tot informatievergaring die onder bepaalde omstandigheden kan worden afgeleid uit het principe van
voorzorg, en de vraag of er een algemene verplichting tot het gebruik van cybertechnologie in plaats
van conventionele wapens bestaat met het oog op het minimaliseren van de collaterale schade.
Vooraleer we hier op ingaan dient eerst wat meer uitleg te worden gegeven over de algemeen vereiste
standaard bij het principe van voorzorg, zijnde ‘praktische uitvoerbaarheid’.510 Veel staten hebben
dit begrip geïnterpreteerd en gedefinieerd als ‘those precautions that are practicable or practically
possible, taking into account all the circumstances ruling at the time, including humanitarian and
military considerations’.511 Deze definitie wordt ook vooropgesteld door artikel 3(4) van Protocol
II512, artikel 1(5) van Protocol III513 en artikel 3(10) van gewijzigd Protocol II514 bij de Conventional
Weapons Treaty515.516 ‘Praktische uitvoerbaarheid’ is dus een flexibele notie die noodzakelijkerwijs
afhankelijk is van de concrete omstandigheden in een bepaald geval en de middelen waarover de
aanvaller beschikt.517 Wat er kan verwacht worden van de bevelhebber zal bijgevolg ad hoc dienen te
worden beoordeeld en zal bijvoorbeeld afhankelijk zijn van de beschikbare informatie en tijd. Bij een
tegenaanval zal er bijvoorbeeld minder tijd voorhanden zijn om de nodige voorzorgsmaatregelen te
treffen dan bij een vooraf bepaalde cyberaanval tegen een specifiek doelwit. De ‘praktische
510 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 164. 511 Zie bijvoorbeeld UK Declaration of Understanding, gecorrigeerde brief van 28 Januari 1998 verzonden naar de Zwitserse regering door Christopher Hulse, HM Ambassadeur van Groot-Brittannië; Artikel 3(10) Amended Mines Protocol; UK Additional Protocols Ratification Statement, para. (b); US Navy/US Marine Corps/US Coast Guard/The Commander’s Handbook on the Law of Naval Operations, NWP 1-14M/MCWP 5-12.1/COMDTUP P5800.7A, 2007, para. 8.3.1.; UK Ministry of Defence, The Joint Service Manual of the Law of Armed Conflict, JSP 383, 2004, para. 5.3.2. (zoals gewijzigd); Canada, Office of the Judge Advocate General, Law of Armed Conflict at the Operational and Tactical Levels, B-GJ-005-104/FP-021 (2001), A-4; PROGRAM ON HUMANITARIAN POLICY AND CONFLICT RESEARCH AT HARVARD UNIVERSITY (HPCR), Manual on International Law Applicable to Air and Missile Warfare, with Commentary, 2010, Rule 1(q); J. HENCKAERTS, L. DOSWALD-BECK, C. ALVERMANN, Customary International Humanitarian Law: Volume 1, Rules, Cambridge University Press, 2005, Regel 15. 512 Protocol on Prohibitions or Restrictions on the Use of Mines, Booby-Traps and Other Devices (Protocol II), Geneva, 10 Oktober 1980. 513 Protocol on Prohibitions or Restrictions on the Use of Incendiary Weapons (Protocol III). Geneva, 10 Oktober 1980. 514 Protocol on Prohibitions or Restrictions on the Use of Mines, Booby-Traps and Other Devices, zoals gewijzigd op 3 Mei 1996 (Amended Protocol II). 515 The Convention on Prohibitions or Restrictions on the Use of Certain Conventional Weapons Which May be Deemed to Be Excessively Injurious or to Have Indiscriminate Effects van 10 Oktober 1980, Geneva, zoals gewijzigd op 21 December 2001. 516 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 168; H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, p. 211. 517 ICTY, 13 Juni 2000, nr. PR/P.I.S./510-E, Final Report to the Prosecutor by the Committee Established to Review the NATO Bombing Campaign Against the Federal Republic of Yugoslavia, para. 29.
82
uitvoerbaarheidslimiet’ dient echter niet gebruikt te worden ter rechtvaardiging van de uitvoering van
een aanval. Indien de aanvaller bijvoorbeeld niet in staat is voldoende informatie met betrekking tot de
aard van het doelwit te vergaren, dient hij zijn aanval te beperken tot die delen van het systeem
waarvoor hij over voldoende informatie beschikt om hun status als legitieme doelwitten te
verifiëren.518
DE PLICHT TOT INFORMATIEVERGARING DIE ONDER BEPAALDE OMSTANDIG-HEDEN KAN WORDEN AFGELEID UIT HET PRINCIPE VAN VOORZORG
Uit het principe van voorzorg kan onder bepaalde omstandigheden de verplichting worden afgeleid om
bepaalde maatregelen te nemen om alle beschikbare informatie te vergaren om het doelwit en de
potentiële collaterale effecten van een aanval te verifiëren.519 Dit is echter niet zo evident gelet op het
specifieke karakter van cyberspace en cyberoperaties. Hierna volgt eerst een uiteenzetting van de
problemen die hieromtrent opduiken, waarna zal gekeken worden naar de mogelijke maatregelen die
kunnen vereist worden met het oog op dergelijke informatievergaring.
DE VERIFICATIE VAN DE POTENTIËLE COLLATERALE EFFECTEN VAN EEN CYBEROPERATIE
Het zal onder bepaalde omstandigheden vereist zijn om de potentiële collaterale effecten van een
cyberoperatie te verifiëren om te voldoen aan bepaalde voorzorgverplichtingen.520 Zo kan bijvoorbeeld
gewezen worden op de verplichting om alle uitvoerbare voorzorgsmaatregelen te nemen bij de keuze
van de middelen en methoden van oorlogvoering om collaterale burgerlijke slachtoffers en collaterale
schade aan burgerlijke goederen te vermijden of in ieder geval te minimaliseren.521 Er kan pas een
keuze worden gemaakt die conform is aan het voorzorgsprincipe indien er bepaald is welk middel
en/of welke methode het minst of geen collaterale burgerlijke schade zal veroorzaken, en opdat dat
kan geweten worden is uiteraard vereist dat de potentiële collaterale burgerlijke schade die deze
zouden veroorzaken wordt bepaald. Hetzelfde geldt voor de verplichting om een aanval te stoppen of 518 E. JENSEN, ‘Cyber Attacks: Proportionality and Precautions in Attack’, US Naval War College, Volume 89, 2013, p. 210; C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 574. 519 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 573; K. DORMANN, ‘Computer Network Attack and International Humanitarian Law’, Extract van ‘The Cambridge Review of International Affairs “Internet and State Security Forum?”’, Trinity College, Cambridge, GB, 19 Mei 2001, ICRC, 2003, https://www.icrc.org/eng/resources/documents/article-/other/5p2alj.htm. 520 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 573; K. DORMANN, ‘Computer Network Attack and International Humanitarian Law’, Extract van ‘The Cambridge Review of International Affairs “Internet and State Security Forum?”’, Trinity College, Cambridge, GB, 19 Mei 2001, ICRC, 2003, https://www.icrc.org/eng/resources/documents/article-/other/5p2alj.htm. 521 Artikel 57(2)(a)(ii) AP I; J. HENCKAERTS, L. DOSWALD-BECK, C. ALVERMANN, Customary International Humanitarian Law: Volume 1, Rules, Cambridge University Press, 2005, Regel 17.
83
op te schorten indien het duidelijk wordt dat het buitensporige collaterale schade zal teweegbrengen.522
Ook kan verwezen worden naar Jensen die stelt dat hoewel de effectieve uitoefening van de algemene
verplichting om constant zorg te dragen in een specifieke militaire operatie dient te worden
overgelaten aan de bevelhebber, het duidelijk is dat het uitoefenen van constante zorg op z’n minst
betekent dat deze de effecten op de burgerlijke populatie niet kan negeren.523,524 Opdat een
bevelhebber de effecten op de burgerlijke populatie in rekening zou kunnen nemen dienen deze
effecten vooreerst bepaald te worden.525
Problematisch is echter dat dergelijke collaterale schade zowel de directe als de indirecte effecten
omvat en bijgevolg ook de indirecte effecten dienen te worden bepaald. Zoals hierboven reeds gesteld
is het in cyberspace echter moeilijker om deze indirecte effecten te voorzien dan bij klassieke
kinetische wapens, gelet op de onderlinge verbondenheid van netwerken en het feit dat cyberoperaties
een relatief nieuw fenomeen zijn waardoor er slechts beperkte kennis voorhanden is omtrent hun
impact.526 Het is namelijk zeer moeilijk om de indirecte effecten van een operatie op voorhand te
beoordelen zonder (of slechts met beperkte) kennis van de werking van de computersystemen die men
wil aanvallen en zonder (of slechts beperkt) te weten met welke andere systemen deze verbonden zijn.
In een conventionele militaire campagne waarbij beroep wordt gedaan op landkrachten of
luchtaanvallen, kan de nabijheid van burgerlijke structuren of andere beschermde goederen in kaart
worden gebracht door vliegtuigen, drones et cetera. In cyberspace daarentegen, is de topografie
grotendeels onbekend. De vorm van cyberspace, inclusief de netwerk-koppelingen van een server met
burgerlijke infrastructuren, is als het ware terra incognita.527 De vraag kan dus gesteld worden wat er
kan verwacht worden van degenen die een aanval plannen of erover beslissen528 om te verifiëren wat
de indirecte gevolgen van een cyberoperatie zullen zijn en welke voorzorgsmaatregelen zij dus dienen
te nemen om deze te determineren.529
522 Artikel 57(2)(b) AP I; J. HENCKAERTS, L. DOSWALD-BECK, C. ALVERMANN, Customary International Humanitarian Law: Volume 1, Rules, Cambridge University Press, 2005, Regel 19. 523 E. JENSEN, ‘Cyber Attacks: Proportionality and Precautions in Attack’, US Naval War College, Volume 89, 2013, p. 203. 524 Zie ook J-C. WOLTAG, Cyber Warfare Military Cross-Border Computer Network Operations under International Law, Intersentia, 2014, p. 212. 525 Hetzelfde geldt voor de verplichtingen ex artikel 57(2)(iii) en artikel 57(3) AP I. 526 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 573. 527 R. WEDGWOOD, ‘Propotionality, Cyberwar, and the Law of War’, in M. SCHMITT en B. O’DONNEL (eds.), International Law Studies: Volume 76, ‘Computer Network Attack and International Law’, p. 228. 528 De Tallinn Manual stelt dat degene die de cyberaanvallen uitvoeren soms ook degene kunnen zijn die ze goedkeuren. Dit geldt ook voor de hierna volgende verplichtingen. Zie NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 167. 529 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 573.
84
DE VERIFICATIE VAN HET DOELWIT
Ex artikel 57(2)(a)(i) AP I zijn degenen die een aanval plannen of erover beslissen vereist om al het
uitvoerbare te doen om te verifiëren dat het doelwit van de aanval een militair karakter heeft en het
niet verboden is dit aan te vallen. Indien er sprake is van een vooraf bepaalde cyberaanval tegen een
specifiek doelwit zal deze verplichting hoogstwaarschijnlijk geen problemen opleveren. Voorafgaande
extensieve systeem-surveillance en scanning is immers vereist om toegangspunten en efficiënte
uitgangspunten te determineren opdat de aanval zou kunnen slagen. Bijgevolg zou het determineren
van de aard van het doelwit geen probleem mogen zijn. 530
Bij de verificatie van ‘opportuniteitsdoelwitten’, liggen de zaken daarentegen wat moeilijker.
Aanvallen refereren naar daden van geweld in zowel de aanval als de verdediging. Bijgevolg dienen
ook defensieve aanvallen in overeenstemming te zijn met het principe van voorzorg. Indien de
bevelhebber de cyberaanval van een tegenpartij wil beantwoorden, zal deze dus moeten verifiëren wat
de bron van de aanval is en of deze een militair objectief uitmaakt.531 Problematisch is hier dat het zeer
moeilijk kan zijn om de bron van een cyberaanval (en dus het doelwit van de tegenaanval) te
bepalen.532 De meeste daders zullen immers de herkomst van de cyberaanval verbergen.533 Er bestaan
verschillende technieken om het zeer moeilijk te maken de bron van een cyberoperatie te achterhalen,
zoals de techniek van ‘looping’ of ‘weaving’, waarbij er achtereenvolgens verschillende intermediaire
servers worden gebruikt als tussenstops om de herkomst van de aanval te vermommen en het doelwit
zodanig te misleiden dat het lijkt alsof de cyberoperatie afkomstig is van de laatste schakel in de
keten.534,535 Verder wordt ook vaak de techniek van ‘spoofing’ gehanteerd, waarbij de data zodanig
wordt vervalst dat het lijkt alsof de aanval van een ander IP-adres komt.536537 Zo kan bijvoorbeeld
verwezen worden naar het geval in 1999 waarbij het Amerikaanse Ministerie van Transport het
530 J. GREEN, Cyber Warfare: a Multidisciplinary Analysis, Routledge, 22 Mei 2015, p. 140. 531 H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, p. 211. 532 Dit is natuurlijk niet altijd zo. Het kan bijvoorbeeld zijn dat de aanvaller zichzelf bekendmaakt, zoals bij het ‘I Love You’-virus waarvan de brondcode de ‘handtekening’ van de ontwikkelaar bevatte, of dat er gebruik wordt gemaakt van traditionele aanvallen die gemakkelijk kunnen worden toegerekend aan een bepaalde bron, zoals de aanval van Israël op de Syrische ‘air-defences’ voorafgaand aan de luchtaanval. De meeste aanvallen zullen echter anoniem zijn uitgevoerd. 533 T. HOEREN, ‘Zoning und Geolocation-Technische Ansätze zur Reterriorialisierung des Internet’, Multimedia und recht, 2007, pp. 5-6. 534 H. LIPSON, ‘Tracking and Tracing Cyber-Attacks: Technical Challenges and Global Policy Issues’, Carnegie Mellon Software Engineering Institute, 2002, p. 14, http://www.dtic.mil/cgibin/GeTRDoc?AD=AD-A408853&Location=U2&doc=GeTRDoc.pdf. 535 R. WEDGWOOD, ‘Propotionality, Cyberwar, and the Law of War’, in M. SCHMITT en B. O’DONNEL (eds.), International Law Studies: Volume 76, ‘Computer Network Attack and International Law’, p. 227. 536 H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, p. 99; C. ECKERT, ‘IT-Sicherheit: Konzepte-Verfahren-Protokolle’, Oldenbourg, München, 2009, pp. 106-108. 537 J-C. WOLTAG, Cyber Warfare Military Cross-Border Computer Network Operations under International Law, Intersentia, 2014, pp. 29-30.
85
slachtoffer werd van een DoS-aanval. De aanval leek door het gebruik van ‘spoofing’ afkomstig te zijn
van een server in Maryland gerund door aanhangers van de Falun Gong beweging, maar was eigenlijk
afkomstig van het Chinese Ministerie voor Openbare Veiligheid.538 Bij dergelijke defensieve
cyberoperaties zal dus vaak het verkeerde doelwit worden aangevallen.539 Daarenboven kunnen deze
‘verkeerde doelwitten’ servers uitmaken die grotendeels toegewijd zijn aan burgerlijke functies en die
zich zelfs kunnen bevinden in een ander land dan dat vanwaar de aanval afkomstig is.540 De vraag kan
dus gesteld worden hoever deze verificatieplicht van de personen die een cyberoperatie plannen of
erover beslissen reikt en wat de verwachte kennis is van deze.541 Wordt er vereist dat ze dergelijke
technieken kunnen doorprikken?
Bovendien komen dergelijke defensieve cyberaanvallen vaak voor in de vorm van geautomatiseerde
‘hack-backs’. Dit zijn automatische pre-geprogrammeerde cyberaanvallen die zich richten op de
computer waarvan de aanval afkomstig is.542 Het probleem dat de bron van de herkomst vaak zal
vermomd zijn en het bijgevolg kan zijn dat het verkeerde doelwit wordt aangevallen zal ook hier
spelen. Bovendien dient, gelet op het feit dat deze ‘hack-backs’ een technisch probleem aanpakken en
niet bezorgd zijn om de burgerlijke of militaire natuur van de computers en het feit dat dergelijke
cyberaanvallen afkomstig kunnen zijn van duizenden of zelfs miljoenen computers, de legaliteit van
dergelijke ‘hack-backs’ in elk geval voorzichtig te worden geëvalueerd in het licht van het
voorzorgsprincipe.543 Het feit dat het geautomatiseerde karakter van deze het risico op schendingen
van het principe van onderscheid en proportionaliteit kan verhogen, leidt er echter niet toe dat deze
noodzakelijk inconsistent zijn met de verplichting om voorzorgen te nemen bij de uitvoering van
aanvallen. Deze verplichting zal dan van toepassing zijn vóór de aanval, met name op het moment dat
de software wordt geprogrammeerd en de data ontworpen en geüpload, of tot op het moment dat van
de aanval kan worden afgezien.544
538 H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, p. 100. 539 H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, p. 211; L. DOSWALD-BECK, ‘Some Thoughts on Computer Network Attack and the International Law of Armed Conflict‘, in M. SCHMITT en B. O’DONNEL (eds.), International Law Studies: Volume 76, ‘Computer Network Attack and International Law’, US Naval War College, pp. 170-171, http://stockton.usnwc.edu/cgi/viewcontent.cgi?article=1394&context=ils. 540 R. WEDGWOOD, ‘Propotionality, Cyberwar, and the Law of War’, in M. SCHMITT en B. O’DONNEL (eds.), International Law Studies: Volume 76, in Computer Network Attack and International Law, p. 227. 541 H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, p. 211. 542 Ingevolge artikel 49 AP I zijn dergelijke defensieve operaties ook aanvallen die de principes van onderscheid, proportionaliteit en voorzorg dienen na te leven. 543 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 574. 544 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 285.
86
MOGELIJKE VEREISTE MAATREGELEN
Om het (militair karakter van een) doelwit te verifiëren of de potentiële collaterale schade te
beoordelen is voldoende informatie vereist. Gelet op de hierboven uiteengezette problemen kan de
vraag gesteld worden wat kan verwacht worden van degenen die een aanval plannen of er over
beslissen in het licht van het principe van voorzorg om deze informatie te vergaren. De Rechtsleer stelt
een aantal voorzorgsmaatregelen voorop die kunnen vereist worden op dat vlak. Zoals hierboven reeds
gesteld is ‘praktische uitvoerbaarheid’ een flexibele notie die noodzakelijkerwijs afhankelijk is van de
concrete omstandigheden in een bepaald geval en de middelen waarover de aanvaller beschikt.545 Of
de hierna uiteengezette voorzorgsmaatregelen zullen vereist zijn zal dus afhangen van de concrete
omstandigheden.
Vooreerst wordt computernetwerkexploitatie in een poging de cyberlinks in kaart te brengen om zo
de potentiële gevolgen beter te kunnen beoordelen, vooropgesteld. Dinniss stelt: ‘Certainly the
attacker will be required to have conducted some sort of mapping of the target network or system to
ascertain what ancillary networks or systems are connected to the target.’.546 Ook Jensen stelt dat er
kan verwacht worden van een bevelhebber dat hij de netwerken voldoende in kaart brengt om de
effecten van de aanval die hij aan het plannen is te kunnen determineren, en vooral de effecten op
burgers en burgerlijke goederen.547 Droege gaat hiermee akkoord en stelt dat dit reeds vaak gebeurt in
het kader van de ontwikkeling van een cyberaanval als deze specifiek ontworpen is om een bepaald
computersysteem aan te vallen.548 Er bestaan hier ook al voorbeelden van in de praktijk. Zo kan
verwezen worden naar de malware ‘Flame’ die samen met de Stuxnet malware werd gebruikt. Flame
was ontworpen om de Iranese computernetwerken heimelijk in kaart te brengen en de computers van
Iranese ambtenaren te monitoren.549 Wedgwood stelt weliswaar dat de technische praktische
uitvoerbaarheid hiervan in vraag kan gesteld worden en dat het gevaar bestaat dat de poging om
binnen te dringen om de topografie van het netwerk en de infrastructuren in kaart te brengen op zich
ontdekt wordt en beschouwd wordt als een vijandelijke daad.550
545 ICTY, 13 Juni 2000, nr. PR/P.I.S./510-E, Final Report to the Prosecutor by the Committee Established to Review the NATO Bombing Campaign Against the Federal Republic of Yugoslavia, para. 29. 546 H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, p. 208. 547 E. JENSEN, ‘Cyber Attacks: Proportionality and Precautions in Attack’, US Naval War College, Volume 89, 2013, p. 210. 548 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, Regel 53, para. 6. 549 E. NAKASHIMA, G. MILLER, J. TATE, ‘U.S., Israel developed Flame computer virus to slow Iranian nuclear efforts, officials say’, Washington Post, 19 Juni 2012, http://articles.washingtonpost.com/2012-06-19/world/35460741_1_stuxnet-computer-virus-malware. 550 R. WEDGWOOD, ‘Propotionality, Cyberwar, and the Law of War’, in M. SCHMITT en B. O’DONNEL (eds.), International Law Studies: Volume 76, ‘Computer Network Attack and International Law’, p. 228.
87
Als mogelijke voorzorgsmaatregel haalt Wedgwood tevens het bouwen van firewalls in het instrument
van de cyberaanval aan. Waar het niet praktisch uitvoerbaar zou zijn om op voorhand de cyberlinks in
kaart te brengen, kan het een oplossing zijn om het instrument van de cyberaanval zelf te laten filteren
of de topografie in kaart te laten brengen, door bijvoorbeeld de inhoud van de bestanden te
karakteriseren vooraleer ze te vernietigen.551 Dit zou kunnen helpen om een onderscheid te maken
tussen militaire en burgerlijke goederen gelinkt aan dezelfde server.552
Als laatste wordt beroep doen op computerexperts vaak vooropgesteld als voorzorgsmaatregel. Zo
stelt Schmitt dat computerexperts in ieder geval dienen te worden betrokken om de potentiële
collaterale schade en de aard van de doelwitten te beoordelen, gelet op de complexiteit van
cyberoperaties, de hoge waarschijnlijkheid van impact op burgerlijke systemen en het relatief laag
begrip van de werking en de mogelijke effecten van dergelijke operaties in hoofde van degenen die de
beslissingen dienen te maken.553 Dezelfde stelling kan teruggevonden worden in de Tallinn Manual. 554
Dinniss stelt dat bevelhebbers hun beslissingen dienen te maken op basis van alle beschikbare
informatie op dat moment, maar dat zij ook de best mogelijke informatie dienen te bekomen555 en te
goeder trouw te handelen met de nodige zorgvuldigheid556.557 Bijgevolg leidt zij hieruit af dat wanneer
bevelhebbers zelf niet beschikken over de nodige kennis zij beroep dienen te doen op een specialist.
Verder kan ook nog verwezen worden naar Diamond558 en Droege559 die van eenzelfde mening zijn.
551 E. JENSEN, ‘Cyber Attacks: Proportionality and Precautions in Attack’, US Naval War College, Volume 89, 2013, pp. 203-204. 552 R. WEDGWOOD, ‘Propotionality, Cyberwar, and the Law of War’, in M. SCHMITT en B. O’DONNEL (eds.), International Law Studies: Volume 76, ‘Computer Network Attack and International Law’, p. 228. 553 M. SCHMITT, ‘Wired warfare: computer network attack and jus in bello’, IRRC, 2002, p. 393. 554 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, Regel 52, para. 6. 555 Veel militaire handboeken stellen dat de bevelhebber de best mogelijke informatie dient te bekomen, inclusief informatie betreffende concentraties van burgerlijke personen, belangrijke burgerlijke goederen, specifiek beschermde goederen, de natuurlijke omgeving en de burgerlijke omgeving van militaire objectieven Zie J. HENCKAERTS, L. DOSWALD-BECK, C. ALVERMANN, Customary International Humanitarian Law: Volume 1, Rules, Cambridge University Press, 2005, 55, waarbij de militaire handboeken van Algerije Australië, Oostenrijk, België, Canada, Ecuador, Egypte, Duitsland, Ierland, Italië, Nederland, Nieuw-Zeeland, Spanje, Groot-Brittannië en de VS werden geciteerd. 556 M. BOTHE, ‘Legal Restraints on Targeting: Protection of Civlian Population and the Changing Faces of Modern Conflict’, 2001, 31 Israel Y.B. Hum. Rts 35: omtrent het militair karakter van een geselecteerd doelwit voor de aanval. 557 H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, p. 207. 558E. DIAMOND, ‘Applying International Humanitarian Law to Cyber Warfare’, p. 80, http://www.inss.org.il-/uploadImages/systemFiles/05%20Applying.pdf. 559 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 574.
88
VERPLICHTING OM CYBERTECHNOLOGIE TE GEBRUIKEN?
Cyberoperaties kunnen in sommige gevallen tot gevolg hebben dat er minder collaterale schade aan
burgers of burgerlijke infrastructuren wordt veroorzaakt dan dat het geval zou zijn bij kinetische
operaties. Zo kan het bijvoorbeeld minder schadelijk zijn om bepaalde burgerlijke diensten die tevens
worden aangewend voor militaire doeleinden, te verstoren dan om de volledige infrastructuur te
vernietigen.560 Schmitt geeft als voorbeeld dat de verstoring van het spoorverkeer door een
cyberaanval uit te voeren op het geautomatiseerde schakelsysteem, minder collaterale burgerlijke
schade zal veroorzaken dan kinetische aanvallen tegen de sporen en het rollend materieel.561 Ook kan
bijvoorbeeld gewezen worden op de eerder aangehaalde bombardering van het radio-en
televisiestation in Belgrado door de NAVO gedurende de Kosovo luchtcampagne in 1999 om een
einde te stellen aan het militair gebruik ervan.562 Dit station werd immers gebruikt als deel van het
controlemechanisme en propaganda-apparaat van de Milošević-regering.563 Hetzelfde resultaat, met
name een einde stellen aan dit militair gebruik, zou eveneens kunnen bekomen zijn door de
functionaliteit ervan te verstoren door middel van een cyberaanval. Het verschil zou echter geweest
zijn dat een dergelijke cyberaanval minder collaterale schade aan burgers en burgerlijke
infrastructuren zou veroorzaakt hebben. De vraag wordt dan ook gesteld of er een algemene
verplichting bestaat om cybertechnologie te gebruiken indien deze voorhanden is in plaats van
conventionele wapens om de collaterale schade te minimaliseren.
De reikwijdte van de verplichting om de meest geavanceerde technologie te gebruiken, is echter niet
vrij van discussie. Zo wordt ook in het kader van precisiegeleide munitie dezelfde vraag gesteld.
Verschillende personen zijn van mening dat staten die in het bezit zijn van precisiegeleide munitie
verplicht zijn om die te gebruiken in plaats van conventionele munitie, met het oog op de
minimalisatie van de collaterale schade.564 Maar heel wat staten betwisten het bestaan van een
560 Ingevolge hun duaal gebruik zouden dergelijke infrastructuren immers legitiem kunnen aangevallen worden; Zie supra p. 58. 561 M. SCHMITT, ‘CNA and the Jus in Bello: An Introduction’, in K. BYSTRO ̈M (ed.), Computer Network Attacks and the Applicability of International Humanitarian Law, Swedish National Defence College, 2004, p. 117. 562 J. BROWN, P. MILLER, ‘Foreign Journalists Feel the Heat of Backlash’, Scotsman, 24 April 1999, http://findarticles.com/p/articles/mi_7951/is_1999_April_24/ai_n32632439/?tag=content; P. RICHTER, ‘Milosevic Not Home as NATO Bombs One of His Residences’, L.A. Times, 23 April 1999, A34. 563 ICTY, 13 Juni 2000, nr. PR/P.I.S./510-E, Final Report to the Prosecutor by the Committee Established to Review the NATO Bombing Campaign Against the Federal Republic of Yugoslavia, paras. 72, 39,1257 en 1283; T. MCCORMACK, Yearbook of International Humanitarian Law, Vol. 6, 2003, Cambridge University Press, pp. 381-382. 564 S. BELT, ‘Missiles over Kosovo: Emergence, Lex Lata, of a Customary Norm Requiring the Use of Precision Munitions in Urban Areas’, 2000, 47 Naval Law Review, pp. 115-75; R. WOLFRUM, ‘The Attack of September 11, 2001, the Wars Against the Taliban and Iraq: Is there a Need to Reconsider International Law on the Recourse to Force and the Rules in Armed Conflict?, MPIL, p. 51, http://www.mpil.de/files/pdf3/mpunyb_wolfrum_7.pdf; M. SCHMITT, ‘Precision Attack and International Humanitarian Law’, 2005, 87(859) IRRC, p. 461.
89
dergelijke verplichting en er is geen statenpraktijk voorhanden die de creatie van een
gewoonterechtelijke regel hieromtrent kan ondersteunen.565,566 Er bestaat dus geen internationale
consensus omtrent de vraag of partijen in ieder geval het meest precieze of het meest technologisch
geavanceerde wapen zouden moeten gebruiken.
Niettemin omhelst het principe van voorzorg een aantal specifieke verplichtingen die in rekening
dienen te worden genomen bij elke individuele aanval, waaruit in bepaalde omstandigheden een
dergelijke verplichting kan worden afgeleid. Zo kan bijvoorbeeld verwezen worden naar de
verplichting om al het uitvoerbare te doen bij de keuze van de middelen en methoden van aanval met
het oog op het vermijden of in ieder geval het minimaliseren van collaterale burgerlijke
repercussies.567 Deze regel vereist bijgevolg dat een bevelhebber gebruikmaakt van cybertechnologie
indien dit uitvoerbaar is en tot minder burgerlijke slachtoffers of schade zou leiden in vergelijking met
meer conventionele wapens.568 Ook kan bijvoorbeeld verwezen worden naar de verplichting om af te
zien van de beslissing om een aanval uit te voeren indien kan verwacht worden dat deze collaterale
burgerlijke schade en leed zal veroorzaken die buitensporig zullen zijn gelet op het verwachte concreet
en rechtstreeks militair voordeel.569 Als hetzelfde militair voordeel kan worden verkregen door een
cyberwapen dat minder risico vormt op burgerlijke repercussies dan een conventioneel wapen, is de
aanvaller verplicht dit te gebruiken.570571
565 US Department of Defense Office of General Counsel, ‘An Assessment of International Legal Issues in Information Operations’, Mei 1999, p. 24, http://www.au.af.mil/au/awc/awcgate/dod-io-legal/dod-io-legal.pdf; C. PUCKETT, ‘In this Era of “Smart Weapons”, Is a State under an International Legal Obligation to Use Precision-Guided Technology in Armed Conflict?’, 2004, 18(2) Emory International Law Review, pp. 688-700. 566 J-C. WOLTAG, Cyber Warfare Military Cross-Border Computer Network Operations under International Law, Intersentia, 2014, p. 212. 567 Artikel 57(2)(a)(ii) AP I; NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, Regel 54; UK Ministry of Defence, The Joint Service Manual of the Law of Armed Conflict, JSP 383, 2004, pp. 82-83. 568 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 574-575; K. DÖRMANN, ‘Applicability of the Additional Protocols to Computer Network Attacks’, ICRC, 2004, p. 6, http://www.icrc.org/ eng/resources/documents/misc/68lg92.htm; M. SCHMITT, ‘The Principle of Discrimination in 21st Century Warfare’, 2 YALE H.R. & DEV. L.J. 143, p. 170; PROGRAM ON HUMANITARIAN POLICY AND CONFLICT RESEARCH AT HARVARD UNIVERSITY, Commentary on the HPCR Manual on International Law Applicable to Air and Missile Warfare, 2010, Commentaar bij Regel 32(b), para. 3, http://www.ihlresearch.org/amw/ aboutmanual.php; M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 235; H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, p. 213; E. DIAMOND, ‘Applying International Humanitarian Law to Cyber Warfare’, p. 80, http://www.inss.org.il/uploadImages/system-Files/05%20Applying.pdf. 569 Artikel 57(2)(a)(iii) AP I. 570 J-C. WOLTAG, Cyber Warfare Military Cross-Border Computer Network Operations under International Law, Intersentia, 2014, p. 213. 571 Gelet op het nauwe verband van deze verplichting met het proportionaliteitsprincipe kan deze argumentatie doorgetrokken worden naar deze laatste.
90
Het kan echter ook voorkomen dat het gebruik van cybertechnologie juist aanleiding geeft tot meer
collaterale schade. Zoals hierboven reeds uiteengezet is de kans op en de reikwijdte van indirecte
effecten immers groter bij cyberwapens dan bij conventionele wapens gelet op de onderlinge
verbondenheid in cyberspace. Of er een verplichting bestaat tot het gebruik van cybertechnologie zal
dus sterk afhankelijk zijn van de concrete omstandigheden. Zo besloot de VS het Irakees Tiger-song
luchtverdedigingsnetwerk aan te vallen door middel van traditionele luchtaanvallen in plaats van
cybermiddelen, om de effecten te beperken tot de militaire objectieven in Irak. Het gebruik van
cybermiddelen zou immers collaterale effecten gehad hebben voor het oliepijpleiding
communicatiesysteem.572 Stuxnet vormt dan weer een voorbeeld waarin het gebruik van
cybermiddelen aanleiding gaf tot een minimalisering van de collaterale schade. Stuxnet was immers
speciaal ontworpen om pas effect te hebben wanneer het doelwit was bereikt waardoor de collaterale
schade werd geminimaliseerd.573 Er dient er weliswaar nogmaals op gewezen te worden dat het in de
praktijk niet zo evident is om alle indirecte effecten van een cyberaanval te anticiperen, waardoor het
moeilijk kan zijn om te beoordelen of de cyberaanval werkelijk aanleiding zal geven tot minder of
geen collaterale burgerlijke repercussies.574
Er kan bijgevolg besloten worden dat, hoewel er geen algemene verplichting bestaat om cyberwapens
te gebruiken, dit in individuele gevallen wel verplicht kan zijn gelet op de specifieke regels van het
voorzorgsprincipe. Dit geldt echter slechts in zoverre dat de staat beschikt over cyberwapens. Staten
zijn immers niet verplicht om dergelijke wapens te ontwikkelen.575,576 Dit vindt zijn ratio in het feit dat
een dergelijke verplichting ertoe zou leiden dat armere landen zich niet zouden kunnen verdedigen
zonder het IHR te schenden daar zij de middelen niet hebben om hoogtechnologische wapens aan te
schaffen.577
572 J. GREEN, Cyber Warfare: a Multidisciplinary Analysis, Routledge, 22 Mei 2015, p. 136. 573 J. GREEN, Cyber Warfare: a Multidisciplinary Analysis, Routledge, 22 Mei 2015, p. 136. 574 K. DÖRMANN, ‘Applicability of the Additional Protocols to Computer Network Attacks’, ICRC, 2004, p. 6, http://www.icrc.org/ eng/resources/documents/misc/68lg92.htm 575 H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, p. 215. 576 Hetzelfde geldt met betrekking tot precisiegeleide munitie. Zie M. SCHMITT, ‘Precision Attack and International Humanitarian Law’, 2005, 87(859) IRRC, p. 460. 577 J-C. WOLTAG, Cyber Warfare Military Cross-Border Computer Network Operations under International Law, Intersentia, 2014, p. 213.
91
VOORZORGEN TEGEN DE EFFECTEN VAN AANVALLEN
De partijen bij een gewapend conflict dienen bepaalde voorzorgsmaatregelen te nemen om de
burgerlijke populatie, individuele burgers en burgerlijke goederen in hun eigen territorium of in het
territorium onder hun controle te beschermen tegen de gevaren die kunnen voortvloeien uit de
(cyber)aanvallen van een tegenpartij (de zogenaamde passieve voorzorgsmaatregelen). In tegenstelling
tot de regels met betrekking tot de voorzorgen bij de uitvoering van aanvallen, zijn de hier besproken
regels niet alleen van toepassing ten tijde van een gewapend conflict. Immers, hoewel dit artikel enkel
geadresseerd is aan de partijen bij een gewapend conflict, vereist het dat staten reeds in vredestijd
passieve voorzorgsmaatregelen nemen ter anticipatie op een eventueel toekomstig gewapend conflict
die een impact zou kunnen hebben op burgers of burgerlijke goederen.578 Deze verplichting kan
teruggevonden worden in artikel 58 AP I en wordt als gewoonterechtelijk erkend in internationaal
gewapende conflicten579, maar volgens de meerderheid niet in niet-internationaal gewapende
conflicten580. Artikel 58 AP I stelt dat de Partijen bij het conflict, voor zover dat ook maar enigszins
praktisch uitvoerbaar is, dienen (1) te trachten de burgerbevolking, de burgers en de goederen van
burgerlijke aard onder hun gezag uit de nabijheid van militaire objectieven te verwijderen, (2) te
vermijden militaire objectieven in of nabij dichtbevolkte gebieden te plaatsen, en (3) alle andere 578 E. JENSEN, ‘Cyber Attacks: Proportionality and Precautions in Attack’, US Naval War College, Volume 89, 2013, p. 211; Y. SANDOZ, C. SWINARSKI, B. ZIMMERMAN (eds, ICRC), Commentary on the Additional Protocols of 8 June 1977 to the Geneva Conventions of 12 August 1949, Martinus Nijhoff, Dordrecht, 1987, para. 2244. 579 J. HENCKAERTS, L. DOSWALD-BECK, C. ALVERMANN, Customary International Humanitarian Law: Volume 1, Rules, Cambridge University Press, 2005, Regels 22-24; M. SCHMITT, C. GARRWAY, Y. DINSTEIN, The Manual on the Law of Non-international Armed Conflict, International Institute of Humanitarian Law, 2006, para. 2.3.7; Y. DINSTEIN, The Conduct of Hostilities under the Law of International Armed Conflict, Tweede Editie, Cambridge University Press, 2010, p. 145; NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, Regel 59; US Navy/US Marine Corps/US Coast Guard/The Commander’s Handbook on the Law of Naval Operations, NWP 1-14M/MCWP 5-12.1/COMDTUP P5800.7A, 2007, para. 8.3; UK Ministry of Defence, The Joint Service Manual of the Law of Armed Conflict, JSP 383, 2004, para. 5.36-4.36.2; Canada, Office of the Judge Advocate General, Law of Armed Conflict at the Operational and Tactical Levels, B-GJ-005-104/FP-021 (2001), para. 421; PROGRAM ON HUMANITARIAN POLICY AND CONFLICT RESEARCH AT HARVARD UNIVERSITY, Commentary on the HPCR Manual on International Law Applicable to Air and Missile Warfare, 2010, Regels 42-5, http://www.ihlresearch.org/amw/ aboutmanual.php; The Federal Ministry of Defence of the Federal Republic of Germany, Humanitarian Law in Armed Conflicts Manual, (ZDv 15/2), 1992, para. 513. 580 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, Regel 59; E. JENSEN, ‘Cyber Attacks: Proportionality and Precautions in Attack’, US Naval War College, Volume 89, 2013, p. 211; Slechts een minderheid zou de toepassing van de regels doortrekken: zie onder andere J. HENCKAERTS, L. DOSWALD-BECK, C. ALVERMANN, Customary International Humanitarian Law: Volume 1, Rules, Cambridge University Press, 2005, Regel 22; M. SCHMITT, C. GARRWAY, Y. DINSTEIN, The Manual on the Law of Non-international Armed Conflict, International Institute of Humanitarian Law, 2006, para. 2.3.7; Artikel 8 Tweede Protocol inzake het Verdrag van ‘s-Gravenhage van 1954 inzake de bescherming van culturele goederen in geval van een gewapend conflict; H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, p. 218; R. GEISS, H. LAHMANN, ‘Cyber warfare: applying the principle of distinction in an interconnected space’, Israeli Law Review, Vol. 45, No. 3, November 2012, p. 393.
92
noodzakelijke voorzorgen te nemen om de burgerbevolking, de burgers en de goederen van burgerlijke
aard onder hun gezag tegen de uit militaire operaties voortvloeiende gevaren te beschermen. Er dient
er op gewezen te worden dat het verzuim of de onmogelijkheid van een staat om zijn verplichtingen
onder artikel 58 te vervullen geen impact heeft op de mogelijkheid van de tegenpartij om legitiem
cyberaanvallen uit te voeren, zolang deze aanvallen in overeenstemming zijn met de toepasselijke
regels van het IHR.581
Hierna zal worden ingegaan op elk van deze verplichtingen, maar vooreerst dient de notie ‘ook maar
enigszins praktisch uitvoerbaar’ nader te worden bekeken. Bij de voorzorgen die dienen te worden
genomen bij de uitvoering van aanvallen werd reeds besproken wat er dient te worden verstaan onder
‘praktisch uitvoerbaar’, maar wat houdt de notie ‘ook maar enigszins’ in? Dit begrip beklemtoont
louter het belang om de bovenvermelde voorzorgsmaatregelen te nemen en omhelst geen verplichting
om voorzorgsmaatregelen te nemen die, hoewel theoretisch mogelijk, niet praktisch uitvoerbaar zijn.
Verwezen kan worden naar het Commentaar bij de Aanvullende Protocollen van het ICRC waarin
staat: ‘it is clear that precautions should not go beyond the point where the life of the population
would become difficult or even impossible’.582583
SEGREGATIE De Partijen bij het conflict moeten, voor zover dat ook maar enigszins praktisch uitvoerbaar is,
proberen de burgerbevolking, de burgers en de goederen van burgerlijke aard onder hun gezag uit de
nabijheid van militaire objectieven te verwijderen.584 Met betrekking tot cyberoperaties kan deze
segregatie betrekking hebben op enerzijds de fysieke installaties die worden bestuurd door
computersystemen en anderzijds computerdata, netwerken en informatie infrastructuren.585
Wat betreft de fysieke installaties die worden bestuurd door computersystemen is de
segregatieverplichting van toepassing op dezelfde manier als bij iedere andere fysieke installatie.
581 J. HENCKAERTS, L. DOSWALD-BECK, C. ALVERMANN, Customary International Humanitarian Law: Volume 2, Rules, Cambridge University Press, 2005, p. 71; NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 180; E. JENSEN, ‘Cyber Attacks: Proportionality and Precautions in Attack’, US Naval War College, Volume 89, 2013, p. 216. 582 Y. SANDOZ, C. SWINARKI, B. ZIMMERMAN, Commentary on the Additional Protocols of 8 June 1977 to the Geneva Conventions of 12 August 1949, ICRC/Martinus Nijhoff Publishers, Dordrecht, 1987, para. 2245. 583 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, Commentaar bij Regel 59, p. 177. 584 Artikel 58(a) AP I; PROGRAM ON HUMANITARIAN POLICY AND CONFLICT RESEARCH AT HARVARD UNIVERSITY, Commentary on the HPCR Manual on International Law Applicable to Air and Missile Warfare, 2010, Regel 43, http://www.ihlresearch.org/amw/ aboutmanual.php; J. HENCKAERTS, L. DOSWALD-BECK, C. ALVERMANN, Customary International Humanitarian Law: Volume 1, Rules, Cambridge University Press, 2005, Regel 24. 585 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 238.
93
Ingevolge artikel 58 AP I zouden staten dus verplicht zijn om dergelijke militaire en burgerlijke
fysieke installaties te segregeren om te vermijden dat schade wordt toegebracht aan nabijgelegen
burgerlijke goederen en burgers wanneer een militair objectief wordt aangevallen door
cybermiddelen.586 Deze verplichting rust echter op de veronderstelling dat deze installaties
verschillend zijn en dat ze afzonderlijk moeten worden gehouden. Het probleem in cyberspace is
echter niet de colocatie van dergelijke installaties, maar het feit dat de meerderheid van de burgerlijke
en militaire fysieke installaties één en dezelfde zijn gelet op het vaak voorkomend duaal gebruik van
deze587, en ‘duaal gebruik’ wordt op zich niet verboden door artikel 58 AP I.588589 De legaliteit van het
gebruik van cyberinfrastructuren voor zowel militaire als burgerlijke doeleinden, kan duidelijk uit de
statenpraktijk worden afgeleid.590 Daar segregatie in het merendeel van de gevallen dus onmogelijk zal
zijn, verliest deze bepaling grotendeels zijn betekenis in het cyberdomein.591
Wat betreft computerdata, netwerken en informatie infrastructuren ondervindt de toepassing van
deze segregatieverplichting eveneens moeilijkheden. De verplichting tot segregatie beoogt hier te
vermijden dat cyberaanvallen indirecte effecten hebben voor burgerlijke computers,
computernetwerken of cyberinfrastructuren.592 Dergelijke segregatie werd al vaak bepleit.593 Zo
beveelt ook het Amerikaanse Ministerie van Defensie aan dat ‘where there is a choice, military
systems should be kept separate from infrastructures used for essential civilian purposes’.594
Dergelijke segregatie is echter niet praktisch uitvoerbaar gelet op de onderlinge verbondenheid in
cyberspace en het vaak voorkomend duaal gebruik.595 Zo reist de meeste militaire informatie via
burgerlijke netwerken en, zijn de meerderheid van de informatieinfrastructuren die worden gebruikt
586 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, Regel 59, p. 179. 587 R. GEISS, H. LAHMANN, ‘Cyber warfare: applying the principle of distinction in an interconnected space’, Israeli Law Review, Vol. 45, No. 3, November 2012, p. 394. 588 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 576. 589 Dit artikel heeft dus enkel betrekking op de proximiteit van burgers en burgerlijke goederen tot die fysieke installaties (die worden bestuurd door computersystemen) die kwalificeren als militaire objectieven, inclusief dual-use doelwitten. 590 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, Regel 59, p. 179. 591 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 576 592 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, Regel 59, p. 179. 593 E. JENSEN, ‘Cyber Warfare and Precautions Against the Effects of Attacks’, 88 Texas Law Review, 2010, pp. 1533-1569; A. SEGAL, ‘Cyber space governance: the next step’, Council on Foreign Relations, Policy Innovation Memorandum No. 2, 14 November 2011, p. 3, http:// www.cfr.org/cybersecurity/cyberspace-governance-next-step/p24397. 594 Department of Defense Office of General Counsel, An Assessment of International Legal Issues in Information Operations, Mei 1999, p. 7, http://www.au.af.mil/au/awc/awcgate/dod-io-legal/ dod-io-legal.pdf. 595 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 575.
94
voor verbinding, zoals satellieten, glasvezelkabels en servers, privaat bezit, maar worden deze in het
merendeel van de gevallen voor zowel burgerlijke als militaire doeleinden gebruikt.596,597 Zoals gesteld
wordt er bijvoorbeeld geschat dat 98% van alle communicaties van de VS-regering via netwerken
loopt die zowel burgerlijk bezit zijn als burgerlijk bediend worden.598 Aangezien de
segregatieverplichting juist zou vereisen dat de militaire systemen en netwerken van de burgerlijke
worden losgemaakt en dat er geen gebruik wordt gemaakt van burgerlijke netwerken voor militaire
communicaties599, is dergelijke segregatie praktisch onmogelijk en dus zeker niet praktisch uitvoerbaar
in de zin van artikel 58 AP I.600 Het zou zeer moeilijk en zeer kostelijk te verwezenlijken zijn.
Regeringen zouden hun eigen computer hardware en software voor militair gebruik moeten
ontwikkelen, en over heel de wereld eigen militaire communicatielijnen, inclusief kabels, routers en
satellieten tot stand brengen.601 Bovendien kan geen dergelijke statenpraktijk worden
teruggevonden.602
VERMIJDING Artikel 58(b) AP I vereist dat de Partijen bij het conflict, voor zover dat ook maar enigszins praktisch
uitvoerbaar is, vermijden om militaire objectieven in of nabij dichtbevolkte gebieden te plaatsen.603
Deze verplichting speelt in de situatie waarin militaire objectieven (nog) niet geplaatst zijn en heeft
dus een preventief karakter.604 Deze bepaling zal echter enkel betekenis hebben met betrekking tot de
fysieke lokalisatie van cyberinfrastructuren die legitiem kunnen worden aangevallen. In de
cybercontext bestaat er immers geen equivalent voor ‘dichtbevolkte gebieden’. Bijvoorbeeld, hoewel
voornamelijk burgers gebruik maken van sociale netwerksites, kunnen deze niet worden gelijkgesteld 596 Zie supra, p. 58. 597 Er bestaan natuurlijk ook gesloten militaire systemen en bepaalde belangrijke burgerlijke netwerken die afgescheiden zijn van militaire, maar voor het merendeel zullen deze onderling verbonden zijn. 598 E. JENSEN, ‘Cyber Warfare and Precautions Against the Effects of Attacks’, Texas Law Review, 2010. 599 E. JENSEN, ‘Cyber Attacks: Proportionality and Precautions in Attack’, US Naval War College, Volume 89, 2013, p. 213. 600 H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, pp. 218-219; C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, pp. 575-576; M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 238; N. TSAGOURIAS, R. BUCHAN, Research Handbook on International Law and Cyberspace, Edward Elgar Publishing, 29 Juni 2015, p. 137. 601 E. JENSEN, ‘Cyber Warfare and Precautions Against the Effects of Attacks’, Texas Law Review, 2010, pp. 1551-1552. 602 R. GEISS, H. LAHMANN, ‘Cyber warfare: applying the principle of distinction in an interconnected space’, Israeli Law Review, Vol. 45, No. 3, November 2012, p. 393. 603 J. HENCKAERTS, L. DOSWALD-BECK, C. ALVERMANN, Customary International Humanitarian Law: Volume 1, Rules, Cambridge University Press, 2005, Regel 23; PROGRAM ON HUMANITARIAN POLICY AND CONFLICT RESEARCH AT HARVARD UNIVERSITY, Commentary on the HPCR Manual on International Law Applicable to Air and Missile Warfare, 2010, Regel 42, http://www.ihlresearch.org/amw/aboutmanual.php. 604 Y. SANDOZ, C. SWINARKI, B. ZIMMERMAN, Commentary on the Additional Protocols of 8 June 1977 to the Geneva Conventions of 12 August 1949, ICRC/Martinus Nijhoff Publishers, Dordrecht, 1987, paras. 2257-2258; J. HENCKAERTS, L. DOSWALD-BECK, C. ALVERMANN, Customary International Humanitarian Law: Volume 1, Rules, Cambridge University Press, 2005, commentaar bij Regel 22.
95
met dichtbevolkte gebieden daar deze notie betrekking heeft op fysieke aanwezigheid.605 Bijgevolg zal
deze bepaling van weinig belang zijn en zal hier niet verder op worden ingegaan.
BESCHERMING
Artikel 58(c) AP I vereist dat de partijen bij het conflict, voor zover dat ook maar enigszins praktisch
uitvoerbaar is, alle andere noodzakelijke voorzorgen nemen om de burgerbevolking, de burgers en de
goederen van burgerlijke aard onder hun gezag tegen de uit militaire operaties voortvloeiende gevaren
te beschermen. Deze voorziening is een ‘catch-all’ bepaling die de bescherming van de burgerlijke
infrastructuren via andere middelen dan strikte separatie wil bekomen.606 Dit is de enige paragraaf van
artikel 58 AP I die werd opgenomen in de Tallinn Manual.607 In wat volgt zal niet verder worden
ingegaan op wat er dient te worden verstaan onder de noties ‘gevaren’ en ‘onder hun gezag’ daar dit
geen cyberspecifieke discussie oplevert. Wel zal kort worden ingegaan op de mogelijke specifieke
maatregelen die kunnen vereist worden ingevolge deze bepaling.
Artikel 58(c) AP I gaat verder dan de eerste twee paragrafen en vereist allerlei voorzorgen die een
beschermend effect kunnen hebben ten voordele van de burgerlijke populatie of burgerlijke goederen,
in plaats van één bepaalde soort voorzorgsmaatregel.608,609 Mogelijke voorzorgsmaatregelen zijn
bijvoorbeeld het gebruik van cyberverdedigingen en standaardmaatregelen van cyberhygiëne zoals het
gebruik van antivirusprogramma’s, de uitvoering van regelmatige back-ups om dataherstel of
hervatting van de dienstverlening te faciliteren610, waarschuwingen van imminente of lopende
aanvallen en het voorzien van technische bijstand om netwerken te herstellen of deze om te leiden naar
605 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 179. 606 N. TSAGOURIAS, R. BUCHAN, Research Handbook on International Law and Cyberspace, Edward Elgar Publishing, 29 Juni 2015, p. 137; NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, p. 177. 607 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, Regel 59. 608 R. GEISS, H. LAHMANN, ‘Cyber warfare: applying the principle of distinction in an interconnected space’, Israeli Law Review, Vol. 45, No. 3, November 2012, p. 395. 609 Zo suggereert het ICRC commentaar bij artikel 58 als mogelijke voorzorgsmaatregelen in het kader van conventionele oorlogvoering onder andere het voorzien van de mobilisatie van defensieorganisaties, van systemen die een waarschuwing geven bij dreigende aanvallen, en van responsieve brand- en hulpdiensten. Zie Y. SANDOZ, C. SWINARKI, B. ZIMMERMAN, Commentary on the Additional Protocols of 8 June 1977 to the Geneva Conventions of 12 August 1949, ICRC/Martinus Nijhoff Publishers, Dordrecht, 1987, pp. 694-695 ; Zie ook J. HENCKAERTS, L. DOSWALD-BECK, C. ALVERMANN, Customary International Humanitarian Law: Volume 2, Rules, Cambridge University Press, 2005, p. 70. 610 R. GEISS, H. LAHMANN, ‘Cyber warfare: applying the principle of distinction in an interconnected space’, Israeli Law Review, Vol. 45, No. 3, November 2012, p. 395.
96
alternatieve systemen611, de distributie van beschermende software612, en het monitoren van netwerken
en systemen613.614
Het is echter niet duidelijk hoe ver deze verplichting gaat in het kader van cyber warfare.615 Omhelst
dit bijvoorbeeld ook de verplichting voor staten om indien dit ‘ook maar enigszins praktisch
uitvoerbaar is’ de voortdurende cyberfunctionaliteit te verzekeren, waar dergelijke functionaliteit
cruciaal is voor de instandhouding van belangrijke burgerlijke infrastructuren.616 Geiss en Lahmann
zijn van mening dat dit het geval is.617 Ook Jensen beveelt de VS bijvoorbeeld aan om, opdat deze zou
voldoen aan zijn verplichtingen onder artikel 58 AP I, een aantal maatregelen te nemen zoals het in
kaart brengen van de burgerlijke systemen, netwerken en industrieën die militaire objectieven zullen
worden, en het verzekeren dat de private sector voldoende beschermd is.618 De tendens van de
verschillende staten om hun cruciale infrastructuren te beschermen gaat in ieder geval in die
richting.619 Zo heeft de VS-regering bijvoorbeeld gesteld dat het industrieën zal waarschuwen wanneer
deze het doelwit van een aanval blijken te zijn, zodat ze hun beveiligingen kunnen verhogen.620,621 Ook
kan verwezen worden naar Duitsland dat recent minimumvoorzorgen heeft opgelegd aan 2000 Duitse
instellingen die worden erkend als ‘cruciale infrastructuren’ om cyberaanvallen af te weren. Zo dienen
deze instellingen goedkeuring te verkrijgen van het Duitse Federaal Bureau voor
Informatiebeveiliging (BSI) dat hun activiteiten voldoen aan bepaalde minimum
611 E. JENSEN, ‘Cyber Attacks: Proportionality and Precautions in Attack’, US Naval War College, Volume 89, 2013, p. 215; E. TIKK, ‘Ten Rules for Cyber Security’, NATO Cooperative Cyber Defense Centre of Excellence, Tallinn, Estonia, Survival Vol. 53 no.3, Juni/Juli 2011, pp. 126-127. 612 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, Commentaar bij Regel 59, p. 179. 613 NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, Commentaar bij Regel 59, p. 179. 614 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, pp. 238-239. 615 H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, p. 219. 616 E. JENSEN, ‘Cyber Warfare and Precautions Against the Effects of Attacks’, Texas Law Review, 2010, p. 1553; C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 576. 617 R. GEISS, H. LAHMANN, ‘Cyber warfare: applying the principle of distinction in an interconnected space’, Israeli Law Review, Vol. 45, No. 3, November 2012, p. 395 618 E. JENSEN, ‘Cyber Warfare and Precautions Against the Effects of Attacks’, 88 Texas Law Review, 1522, 2010, 1563; C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 576. 619 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 576. 620 L. BALDOR, ‘Pentagon Warns Public About Cyber Attacks by China’, Boston, 20 Augustus 2010, http://www.boston.com/news/nation/washington/articles/2010/08/20/pentagon_warns_public_about_cyber_attacks_by_china/; M. FINNEGAN, ‘US Government Warns over Gas Pipeline Cyberattacks’, Techeye, 9 Mei 2012, http://news.techeye.net/security/us-government-warns-over-gas-pipeline-cyberattacks. 621 E. JENSEN, ‘Cyber Attacks: Proportionality and Precautions in Attack’, US Naval War College, Volume 89, 2013, p. 215.
97
veiligheidsstandaarden.622 Het is echter niet duidelijk of (deze) staten deze voorzorgsmaatregelen
hebben genomen omdat ze menen dit te moeten doen ingevolge hun verplichting ex artikel 58(c) AP
I.623
Er dient er op gewezen te worden dat de meeste cruciale infrastructuren en netwerken die zouden
kunnen worden blootgesteld aan een cyberaanval door militair gebruik of nabijheid, onder de controle
van de private sector zijn.624 Bijgevolg zal coöperatie met internetproviders en de private sector vereist
zijn voor het treffen van enige voorzorgsmaatregel, wat delicate problemen creëert met betrekking tot
confidentialiteit en het recht op privacy.625626
CONCLUSIE
Het wordt algemeen aanvaard dat het IHR van toepassing is op cyber warfare, maar heel wat aspecten
van de vraag wanneer het IHR van toepassing is, blijven onbeantwoord. Zo is het nog steeds niet
geheel duidelijk wanneer het IHR van toepassing zal zijn op cyberoperaties buiten de context van een
bestaand gewapend conflict. Ook bestaat er onenigheid omtrent de vraag welke cyberoperaties de
toepasselijkheid van de regels betreffende het voeren van de vijandelijkheden uitlokken. Zijn dit
cyberoperaties in het algemeen of zijn dit enkel cyberaanvallen? En wat dient er te worden verstaan
onder de notie ‘cyberaanvallen’? Deze vragen blijven het voorwerp van discussie.
Bovendien, zelfs wanneer de toepasselijkheid van de IHR-regels is vastgesteld, blijft, zoals hierboven
werd gezien, de transpositie van de regels en principes van het IHR tot het cyberdomein niet
zonder moeilijkheden, en resteren er ook op dat vlak heel wat open vraagstukken.627 Zo werd er tot de
conclusie gekomen dat het principe van onderscheid, het kernprincipe van het IHR, in cyberspace
622 DEUTSCHE WELLE, ‘Germany adopts cyber attack precautions’, 10 Juli 2015, http://www.dw.com/en/germany -adopts-cyber-attack-precautions/a-18575261. 623 E. JENSEN, ‘Cyber Attacks: Proportionality and Precautions in Attack’, US Naval War College, Volume 89, 2013, p. 215; C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 576. 624 H. HARRISSON DINNISS, Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge, 2012, p. 219. E. JENSEN, ‘Cyber Attacks: Proportionality and Precautions in Attack’, US Naval War College, Volume 89, 2013, p. 214. 625 E. TIKK, ‘Ten Rules for Cyber Security’, NATO Cooperative Cyber Defense Centre of Excellence, Tallinn, Estonia, Survival Vol. 53 no.3, Juni/Juli 2011, p. 125. 626 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 239. 627 N. MELZER, ‘Cyberwarfare and International Law’, UNIDIR, 2011, p. 36; Y. DINSTEIN, ‘The Principle of Distinction and Cyber War in International Armed Conflicts’, Journal of Conflict & Security Law Vol. 17 No. 2, 2012, p. 277.
98
geen voldoende waarborg biedt voor de bescherming van de burgerlijke cyberinfrastructuren en alle
burgerlijke infrastructuren die daarvan afhankelijk zijn. Immers, gelet op het vaak voorkomend duaal
gebruik in cyberspace zal bijna elke cyberinstallatie ingevolge de gehanteerde definitie van ‘militair
objectief’ legitiem kunnen aangevallen worden.628 Met zoveel goederen in het cyberdomein die
worden beschouwd als legitieme doelwitten, verliest het principe van onderscheid grotendeels zijn
beschermende waarde. Ook blijven heel wat vragen onopgelost in verband met de interpretatie van de
uitzondering op het verbod op het aanvallen van burgers indien en voor zolang deze rechtstreeks
deelnemen aan de vijandelijkheden. Wat betreft het principe van proportionaliteit is nog steeds niet
geheel duidelijk wat in het kader van cyber warfare als relevante collaterale schade dient te worden
beschouwd voor de proportionaliteitsbeoordeling. Dient ook de verstoring van de functionaliteit in
rekening te worden genomen? En hoever dient er te worden gegaan bij de consideratie van de indirecte
effecten? Als laatste kan ook gewezen worden op de onduidelijkheid betreffende de
voorzorgsmaatregelen die dienen te worden genomen in het kader van het principe van voorzorg,
zowel wat betreft de voorzorgen die dienen te worden genomen bij de uitvoering van aanvallen, als de
voorzorgen die dienen te worden genomen tegen de effecten van aanvallen.
Gelet op bovenstaande vraagstukken kan de vraag gesteld worden of het IHR voldoende bescherming
biedt voor de burgers en burgerlijke infrastructuren tegen de schadelijke effecten van cyber warfare en
of het IHR dus volstaat om dit fenomeen te regelen. Er kan op dit moment echter geen eenduidig
antwoord worden gegeven op die vraag. Immers, het grootste probleem betreffende de toepassing van
het IHR op cyber warfare zijn de onduidelijkheden en discussies waartoe het specifieke karakter van
cyberspace en cyberoperaties aanleiding geeft. Of het IHR voldoende bescherming zal bieden zal dus
afhangen van de interpretatie en toepassing ervan door de staten, maar zelfs indien het te goeder trouw
en met de grootste zorg wordt geïnterpreteerd kan het, gelet op de potentiële zwakheden van het
principe van onderscheid, proportionaliteit en voorzorg, en de gebrekkige kennis van de
mogelijkheden en effecten van cyberwapens, niet uitgesloten worden dat strengere regels nodig zullen
zijn.629
In het licht van de heersende humanitaire zorgen waartoe cyber warfare aanleiding geeft kunnen de
lege lata en de lege ferenda een aantal oplossingen worden vooropgesteld. Zo kan bijvoorbeeld
verwezen worden naar het voorstel van Geiss en Lahmann om de lijst van ‘werken en installaties die
gevaarlijke krachten bevatten’ in artikel 56 AP I naar analogie uit te breiden naar bepaalde
componenten van de cyberinfrastructuur, gelet op de ernstige humanitaire gevolgen die zouden 628 K. DÖRMANN, ‘Applicability of the Additional Protocols to Computer Network Attacks’, ICRC, 2004, p. 5, http://www.icrc.org/eng/resources/documents/misc/68lg92.htm. 629 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 578.
99
kunnen resulteren uit een aanval op bijvoorbeeld belangrijke internetknooppunten of centrale servers
waarvan miljoenen belangrijke burgerlijke functies afhangen.630 Deze zouden dan niet kunnen worden
aangevallen zelfs als ze militaire objectieven uitmaken omdat de gevaren voor de burgerlijke populatie
altijd zouden worden beschouwd als zwaarder wegend dan het militaire voordeel dat kan worden
verkregen door deze aan te vallen. Het kan echter betwijfeld worden, zoals Geiss en Lahmann ook zelf
erkennen, of een dergelijke analogie wel haalbaar is.631 Immers, artikel 56(1) AP I stelt het volgende:
‘Werken of installaties die gevaarlijke krachten bevatten, te weten stuwdammen, dijken of
kerncentrales, mogen geen voorwerp van een aanval zijn, zelfs niet wanneer zij militaire objectieven
zijn indien die aanvallen het vrijkomen van gevaarlijke krachten zouden veroorzaken en daardoor
zware verliezen aan mensenlevens onder de burgerbevolking zouden tot gevolg hebben.’. De
vernietiging van centrale servers kan wel leiden tot wijdverspreide, onvoorspelbare en mogelijks
oncontroleerbare indirecte effecten, maar deze kan geen aanleiding geven tot gevaarlijke emissies
zoals het geval zou zijn bij de vernietiging van de goederen opgesomd in artikel 56 AP I. Hierdoor kan
betwijfeld worden of dergelijke gevolgen wel kunnen beschouwd worden als ‘het vrijkomen van
gevaarlijke krachten’.632 Bovendien wordt de uitsluiting ex artikel 56(1) AP I enkel gerechtvaardigd
door het feit dat dergelijke aanvallen meestal zware verliezen aan mensenlevens onder de
burgerbevolking tot gevolg zullen hebben. Cyberaanvallen tegen centrale cyberinfrastructuur
componenten kunnen aanleiding geven tot gelijkaardige catastrofale scenario’s, maar dit zal eerder
uitzonderlijk zijn. De gevolgen van cyberaanvallen zullen meestal niet hetzelfde niveau van ernst
bereiken als een aanval op een kerncentrale of een dam, ook al zullen deze hoogstwaarschijnlijk van
grote schaal zijn en verlies van cyberfunctionaliteit veroorzaken voor duizenden mensen.633
Ook de grootschalige segregatie van militaire en burgerlijke netwerken en cyberinfrastructuren zou
kunnen worden vooropgesteld, maar zoals hierboven reeds werd uiteengezet bij de voorzorgen tegen
effecten van aanvallen, kan dit niet beschouwd worden als ‘ook maar enigszins praktisch uitvoerbaar’
in de zin van artikel 58 BW en bestaat hiertoe dus geen verplichting. Aangezien regeringen hun eigen
computer hardware en software zouden moeten ontwikkelen voor militair gebruik en over heel de
wereld eigen militaire communicatielijnen, inclusief kabels, routers en satellieten tot stand brengen,
630 R. GEISS, H. LAHMANN, ‘Cyber warfare: applying the principle of distinction in an interconnected space’, Israeli Law Review, Vol. 45, No. 3, November 2012, p. 391. 631 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 577. 632 R. GEISS, H. LAHMANN, ‘Cyber warfare: applying the principle of distinction in an interconnected space’, Israeli Law Review, Vol. 45, No. 3, November 2012, p. 392. 633 R. GEISS, H. LAHMANN, ‘Cyber warfare: applying the principle of distinction in an interconnected space’, Israeli Law Review, Vol. 45, No. 3, November 2012, p. 392.
100
valt het te sterk betwijfelen dat staten dergelijke segregatie op eigen initiatief zouden doorvoeren.634
Bovendien kan geen dergelijke statenpraktijk worden teruggevonden.635
Als laatste kan de creatie van bepaalde digitale ‘safe havens’ in cyberspace worden
vooropgesteld.636 Dit houdt in dat staten verklaringen afleggen omtrent burgerlijke goederen die zij
beschouwen als off-limits bij de uitvoering van cyberoperaties.637 Indien staten zouden overeenkomen
omtrent dergelijke digitale ‘safe havens’ zou dit vergelijkbaar zijn met de ‘gedemilitariseerde zones’
voorzien in artikel 60 AP I.638 De vraag kan echter gesteld worden of dit op korte termijn wel haalbaar
is. Dialoog en confidence-building measures (CBMs)639 zullen hiertoe vereist zijn, en waar er relatief
gemakkelijk tot een consensus zal kunnen gekomen worden omtrent bepaalde gebieden zoals
ziekenhuizen en medische data, zal dat veel minder gemakkelijk zijn met betrekking tot gebieden
zoals financiële systemen en elektriciteitsnetten.640 Bovendien is het gelet op de verborgen aard van de
manipulatie en infiltratie van cyberspace niet duidelijk hoeveel dergelijke verklaringen en
overeenkomsten zullen vertrouwd worden.641
Verder kunnen ook een aantal oplossingen buiten het bestaand IHR worden aangereikt. Het idee om
een internationaal verdrag te ontwerpen dat zich specifiek toespitst op de kenmerken van cyber
warfare of een verbod op bepaalde of alle middelen en methoden van cyber warfare omhelst, is al
langer het voorwerp van discussie onder de staten. Zo pleiten Rusland en China al lang voor een
verdrag dat het offensief gebruik van cybertechnologie door staten regelt en aanvallen op
computernetwerken verbiedt.642 Rusland heeft zelfs een ontwerpverdrag inzake Internationale
634 E. JENSEN, ‘Cyber Warfare and Precautions Against the Effects of Attacks’, Texas Law Review, 2010, pp. 1551-1552. 635 R. GEISS, H. LAHMANN, ‘Cyber warfare: applying the principle of distinction in an interconnected space’, Israeli Law Review, Vol. 45, No. 3, November 2012, p. 393. 636 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 576; R. GEISS, H. LAHMANN, ‘Cyber warfare: applying the principle of distinction in an interconnected space’, Israeli Law Review, Vol. 45, No. 3, November 2012, p. 398. 637 A. SEGAL, ‘Cyber space governance: the next step’, Council on Foreign Relations, Policy Innovation Memorandum No. 2, 14 November 2011, p. 3, http:// www.cfr.org/cybersecurity/cyberspace-governance-next-step/p24397. 638 Dit zijn zones die de potentieel kunnen gebruikt worden voor militaire operaties, maar waaromtrent de partijen bij het conflict zijn overeengekomen dat ze deze niet zullen gebruiken voor militaire doeleinden. 639 Dit zijn volgens The United Nations Office for Disarmament Affairs (UNODA) ‘planned procedures to prevent hostilities, to avert escalation, to reduce military tension, and to build mutual trust between countries’. Zie https://www.un.org/disarmament/cbms/. 640 A. SEGAL, ‘Cyber space governance: the next step’, Council on Foreign Relations, Policy Innovation Memorandum No. 2, 14 November 2011, p. 3, http:// www.cfr.org/cybersecurity/cyberspace-governance-next-step/p24397. 641 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, pp. 576-577. 642 J. MARKOFF, A. KRAMER, ‘U.S. and Russia Differ on a Treaty for Cyberspace’, The New York Times, 27 Juni 2009, http://www.nytimes.com/2009/06/28/world/28cyber.html?pagewanted=all&r=0.
101
Informatiebeveiliging opgesteld.643 Ook kan verwezen worden naar de ontwerpresolutie die op 12
September 2011 door Rusland, China, Tajikistan en Oezbekistan werd voorgelegd aan de Algemene
Vergadering van de VN betreffende een Internationale Gedragscode voor Informatiebeveiliging644 en
de Verklaringen van China en Brazilië in de eerste commissie van de Algemene Vergadering van de
VN.645 China, de Russische Federatie, Kazachstan, de Kirgizische Republiek, de Republiek
Tadzjikistan en Oezbekistan zijn tevens partijen bij een overeenkomst die werd aangenomen in het
kader van de Shanghai-samenwerkingsorganisatie (SSO) in 2009646, en Indië, de Islamitische
Republiek Iran, Mongolië en Pakistan participeren hier eveneens in als waarnemers. Heel wat staten,
zoals de VS647, stellen daarentegen dat er geen nood is aan een dergelijk verdrag en dat de bestaande
IHR-regels en law enforcement mechanismen volstaan.648 Een parallelle discussie wordt gevoerd door
cyberveiligheidsexperten en academici, waaronder sommigen pleiten voor een nieuw verdrag ter
regulering van cyber warfare649, anderen voor een verdrag dat alle of op zijn minst bepaalde
cyberwapens verbiedt650. Nog anderen pleiten tegen een verdrag, daar dit niet afdwingbaar zou zijn
gelet op de toerekenbaarheidsmoeilijkheden, daar verificatie van de implementatie onmogelijk zou
643 Zie Russisch Ministerie voor buitenlandse zaken en Veiligheidsraad, Verdrag inzake Internationale Informatiebeveiliging, 2011, http.//www.mid.ru/bdomps/nsosndoc.nsf/1e50de28fe77fdcc32575d900298676/-7b17ead7244e2064c3257925003bcbcc!OpenDpcument. 644 Brief van 12 September 2011 van de Permanente Vertegenwoordigers van China, de Russische Federatie, Tajikistan, and Oezbekistan aan de VN geadresseerd aan de Secretaris-Generaal, UN Doc. A/66/359 van 14 September 2011. 645 Respectievelijk UN Doc A/C.1/66/PV.17, 20 Oktober 2011, p. 9 en UN Doc A/C.1/65/PV.16, 21 Oktober 2010, p. 3. 646 Overeenkomst tussen de regeringen van de lidstaten van de samenwerkingsorganisatie van Shanghai inzake de samenwerking omtrent internationale informatiebeveiliging, 2009. 647 J. MARKOFF, ‘Before the Gunfire, Cyberattacks’, The New York Times, 12 Augustus 2008, http://www.ny-times.com/2008/08/13/technology/13cyber.html. 648 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 287. 649 M. SCHULMAN, ‘Discrimination in the law of information warfare’, Colombia Journal of Transnational Law, Vol. 37, 1999, p. 964; D. BROWN, ‘A proposal for an international convention to regulate the use of information systems in armed conflict’, Harvard International Law Journal, Vol. 47, No. 1, Winter 2006, p. 179; D. HOLLIS, ‘Why states need an international law for information operations’, Lewis and Clark Law Review, Vol. 11, 2007, p. 1023; W. HAGUE, ‘Security and freedom in the cyber age-seeking the rules of the road’, Speech op de Conferentie inzake Veiligheid te München, 4 Februari 2011, https://www.gov.uk/government/speeches/ security-and-freedom-in-the-cyber-age-seeking-the-rules-of-the-road; W. HAGUE, ‘Foreign Secretary opens the London Conference on Cyberspace’, 1 November 2011, https://www.gov.uk/government/ speeches/foreign-secretary-opens-the-london-conference-on-cyberspace. 650 M. O’CONNEL, ‘Cyber mania’, Cyber Security and International Law, Meeting Summary Clatham House, 29 Mei 2012, http://www.chathamhouse.org/sites/default/files/public/Research/International%20Law/290512-summary.pdf; M. GLENNY, ‘We will rue Stuxnet’s cavalier deployment’, The Financial Times, 6 Juni 2012; S. KEMP, ‘Cyberweapons: bold steps in a digital darkness?’, Bulletin of the Atomic Scientists, 7 Juni 2012, http://thebulletin.org/web-edition/op-eds/cyberweapons-bold-steps-digital-darkness; B. SCHNEIER, ‘An internat-ional cyberwar treaty is the only way to stem the threat’, US News, 8 Juni 2012, http://www.usnews.-com/debate-club/should-there-be-an-international-treaty-on-cyberwar fare/an-international-cyberwar-treaty-is-the-only-way-to-stem-the-threat; D. HOLIS, ‘An e-SOS for cyberspace’, Harvard International Law Journal, Vol. 52, No. 2, Zomer 2011.
102
zijn, en cyberwapens minder beschadigend kunnen zijn dan de traditionele wapens.651,652 Het lijkt er,
gelet op het huidige politieke klimaat, dus niet op dat er snel tot een internationale consensus zal
kunnen worden gekomen. Hoewel de toenemende frequentie en hevigheid van cyberoperaties ervoor
zou kunnen zorgen dat de sceptici hun negatieve houding ten opzichte van een internationaal verdrag
zouden bijstellen, kan de vraag nog steeds gesteld worden of de aanname van een dergelijk verdrag
wel wenselijk is. Dit zou immers contraproductief kunnen uitdraaien. Cyberoperaties omhelzen
nieuwe middelen en methoden waarvan we de werking en de mogelijkheden nog steeds niet ten volle
begrijpen, of die nog steeds niet onderzocht zijn. Het is misschien wenselijker om hier eerst verder
onderzoek naar te voeren. Zo zouden misschien meer landen, zoals China en de VS in 2011,
gezamenlijke oefeningen kunnen uitvoeren. Bovendien ontwikkelt deze technologie zich zodanig snel
dat een nieuw verdrag onmiddellijk achterhaald zou kunnen zijn.653
Verder kunnen ook voorstellen als ‘informeel multilateralisme’654,655 of een internationale
cyberveiligheidsorganisatie als een onafhankelijk platform voor internationale coöperatie met het
oog op het ontwikkelen van verdragen om cyberwapens te controleren, worden vooropgesteld656.657
Ook de mogelijkheid tot het vragen van een advies aan het Internationaal Hof van justitie omtrent
de legaliteit van cyberoperaties, zou kunnen worden verkend.658
Het blijft momenteel een open vraagstuk waar deze discussies heen zullen leiden en of staten gewillig
zullen zijn om hierover te discussiëren en maatregelen te treffen. In ieder geval dienen de partijen bij
een gewapend conflict in de tussentijd, indien zij ervoor kiezen cyberwapens aan te wenden, het
bestaande IHR te respecteren als een minimum.659
651 H. LIN, T. RID, ‘Think again: cyberwar’, Foreign Policy, Maart/April 2012, p. 7, http://www.foreignpolicy-.com/articles/2012/02/27/cyberwar?print=yes&hidecomments=yes&page=full; J. GOLDSMITH, ‘Cybersecurity treaties: a skeptical view’, in P. BERKOWITZ (ed.), Future Challenges in National Security and Law, http://media.hoover.org/sites/default/files/ documents/FutureChallenges_Goldsmith.pdf. 652 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, pp. 577-578. 653 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 287. 654 Multilateralisme is een activiteit waarbij een staat met twee of meer andere staten gezamenlijk optreedt. 655 A. SEGAL, ‘Cyber space governance: the next step’, Council on Foreign Relations, Policy Innovation Memorandum No. 2, 14 November 2011, p. 3, http:// www.cfr.org/cybersecurity/cyberspace-governance-next-step/p24397. 656 E. KASPERSKY, ‘Der Cyber-Krieg kann jeden treffen’, Süddeutsche, 13 September 2012, http://www.sued-deutsche.de/digital/sicherheit-im-internet-der-cyber-krieg-kann-jeden-treffen- 1.1466845. 657 C. DROEGE, ‘Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians’, ICRC, 2012, p. 578. 658 M. ROSCINI, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, p. 286. 659 R. GEISS, H. LAHMANN, ‘Cyber warfare: applying the principle of distinction in an interconnected space’, Israeli Law Review, Vol. 45, No. 3, November 2012, p. 398.
103
BIBLIOGRAFIE
RECHTSLEER
BOEKEN
-‐ ALLHOFF, F., HENSCHKE, A., STRAWSER, B., Binary Bullets: The Ethics of Cyberwarfare,
Oxford University Press, 2015, 320 p.
-‐ ARQUILLA, J., RONFELDT, D., Cyberwar is coming!, Rand Corporation, 1992, 35 p.
-‐ BOTHE, M., PARTSCH, K., SOLF, W., New Rules for Victims of Armed Conflicts: Commentary
to the Two 1977 Protocols Additional to the Geneva Conventions of 1949, Martinus Nijhoff
Publishers, Dordrecht, 1982, 824 p.
-‐ CARR, J., Inside Cyber Warfare: Mapping the Cyber Underworld, O'Reilly Media Inc., 2011,
318 p.
-‐ CHAPPLE, M., SEIDL, C., Cyberwarfare: Information Operations in a Connected World, Jones
& Bartlett Publishers, 2014, 500 p.
-‐ CLARK, R., KNAKE, R., Cyber warfare: The Next Threat to National Security and What to Do
About It, HarperCollins, 2010, 320 p.
-‐ CLIQUET, A., DE MOOR, N., Leidraad Internationaal Publiekrecht, Academia Press, 2012,
131 p.
-‐ COLARIK, A., Cyber Terrorism: political and economic implications, Hershey, PA.: Idea
Group Pub., 2006, 172 p.
-‐ DAVID, E., Principes de droit des conflits armés, Bruylant, 1994, 792 p.
-‐ DELIBASIS, D., The Right to National Self-defense: In information Warfare operations, Arena
books, 2007, 418 p.
-‐ DINNISS, H., Cyber Warfare and the Laws of War, Cambridge University Press, Cambridge,
2012, 331 p.
104
-‐ DINSTEIN, Y., The Conduct of Hostilities under the Law of International Armed Conflict, Eerste Editie, Cambridge University Press, 2004, 296 p.
-‐ DINSTEIN, Y., The Conduct of Hostilities under the Law of International Armed Conflict,
Tweede Editie, Cambridge University Press, 2010, 340 p.
-‐ DINSTEIN, Y., War, Aggression and Self-Defence, Cambridge University Press, 1988, 353 p.
-‐ ECKERT, C., IT-Sicherheit: Konzepte-Verfahren-Protokolle, Oldenbourg, München, 2009,
995 p.
-‐ GARRIE D., GERVAIS, M., PRECIADO, M., NOA, J., HILLS, M., Journal of Law & Cyber
Warfare: The New Frontier of Warfare, Lulu.com, 2013, 212 p.
-‐ GILL, T., GEiß, R., HEINSCH, R., MC CORMACK, T., PAULUSSEN, C., DORSEY, J., Yearbook of
International Humanitarian Law, Volume 15, Volume 2012, Springer Science & Business
Media, 2013, 256 p.
-‐ GREEN, J., Cyber Warfare: A Multidisciplinary Analysis, Routledge, 2015, 196 p.
-‐ GREENBERG, L., GOODMAN, S., SOO HOO, K., Information Warfare and International Law,
CRRP, Washington DC, 1998, 59 p.
-‐ HENCKAERTS, J., DOSWALD-BECK, L., ALVERWANN, C., Customary International
Humanitarian Law: Volume 1, Rules, Cambridge University Press, 2005, 622 p.
-‐ HENDERSON, I., The Contemporary Law of Targeting: Military Objectives, Proportionality
and Precautions in Attack under Additional Protocol I, Martinus Nijhoff, 2002, 84 p.
-‐ ICRC, Commentary on the First Geneva Convention: Convention (I) for the Amelioration of
the Condition of the Wounded and Sick in Armed Forces in the Field of 12 August 1949,
ICRC, Cambridge Press, 2017. p. 1294
-‐ LIIVOJA, R., MCCORMACK, T., Routledge Handbook of the Law of Armed Conflict, Routledge,
28 April 2016, 721 p.
-‐ CORMACK, T., Yearbook of International Humanitarian Law, Vol. 6, 2003, Cambridge
University Press, 874 p.
105
-‐ MELZER, N., Interpretive Guidance on the Notion of Direct Participation in Hostilities under
Humanitarian Law, ICRC, Geneva, 2009, 85 p., https://www.icrc.org/eng/assets/files/other-
/icrc-002-0990.pdf.
-‐ NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn Manual on the
International Law Applicable to Cyber Warfare, Cambridge University Press, 2013, 281 p.
-‐ OWENS, W., DAM, K., LIN, H., (eds.), Technology, Policy, Law, and Ethics Regarding U.S.
Acquisition and Use of Cyberattack Capabilities, The National Academies Press, Washington
D.C., 2009, 390 p.
-‐ PICTET, J. (ed.), Commentary on the First Geneva Convention: Convention (I) for the
Amelioration of the Condition of the Wounded and Sick in Armed Forces in the Field of 12
August 1949, ICRC, Cambridge Press, 1952, 436 p.
-‐ PICTET, J. (ed.), Commentary on the Third Geneva Convention: Convention (III) Relative to
the Treatment of Prisoners of War of 12 August 1949, ICRC, 1960, 23 p.
-‐ PORCHE, I., PAUL, C., YORK, M., SERENA, C., SOLLINGER, J., Redefining Information Warfare
Boundaries for an Army in a Wireless World, Rand Corporation, 2013, 176 p.
-‐ RADZIWILL, Y., Cyber-Attacks and the Exploitable Imperfections of International Law,
BRILL, 2015, 430 p.
-‐ RID, T., Cyber War Will Not Take Place, London, Hurst & Co, 2013, 256 p.
-‐ ROSCINI, M., Cyber Operations and the Use of Force in International Law, OUP Oxford,
2014, 307 p.
-‐ SANDOZ, Y., SWINARSKI, C., ZIMMERMAN, B., (eds, ICRC), Commentary on the Additional
Protocols of 8 June 1977 to the Geneva Conventions of 12 August 1949, Martinus Nijhoff,
Leiden, 1987, 1658 p.
-‐ SASSOLI, M., BOUVIER, A., QUINTIN, A., How Does Law Protect In War, third Edition, Vol. I,
Geneva, ICRC, 2006, 401 p.
106
-‐ SCHINDLER, D., The Different Types of Armed Conflicts According to the Geneva
Conventions and Protocols, Alphen aan den Rijn: Sijthoff en Noordhoff, 1979, 147 p.
-‐ SCHMITT, M., ‘Essays on Law and War at the Fault Lines’, Springer, 2012, 640 p.
-‐ SCHMITT, M., GARRAWAY, C., DINSTEIN, Y., The Manual on the Law of Non-international
Armed Conflict: With Commentary, Martinus Nijhoff, Leiden, 2006, 71 p.
-‐ TSAGOURIAS, N., BUCHAN, R., Research Handbook on International Law and Cyberspace,
Edward Elgar Publishing, 2015, 560 p.
-‐ TYAGI, R., Understanding Cyber Warfare and its Implications for Indian Armed Forces, Vij
Books India Pvt Ltd, 2013, 384 p.
-‐ WINGFIELD, T., The Law of Information Conflict: National Security Law in Cyberspace,
Aegis Research Corp, 2000, 497 p.
-‐ WINTERFELD, S., ANDRESS, J., The Basics of Cyber Warfare: Understanding the
Fundamentals of Cyber Warfare in Theory and Practice, Syngress, 2013, 164 p.
-‐ WOLTAG, J-C., Cyber Warfare Military Cross-Border Computer Network Operations under
International Law, Intersentia, 2014, 313 p.
HOOFDSTUKKEN IN VERZAMELWERKEN
-‐ BARNETT, R., ‘A Different Kettle of Fish: Computer Network Attack’, in SCHMITT, M. en
O’DONNEL, B. (eds.), International Law Studies: Volume 76, ‘Computer Network Attack and
International Law’, US Naval War College, 2002, pp. 21-33,
http://stockton.usnwc.edu/cgi/viewcontent.cgi?article=1394&context=ils.
-‐ BROWN, G., ‘Law at cyberspeed: Answering Military Cyber Operators, Legal Questions’, in
HEINTSCHELL VON HEINEGG, W. en BERUTO, G. (eds.), International Humanitarian Law and
New Weapons Technologies, Franco Angeli, 2012, pp. 166-170.
107
-‐ BROWN., G., ‘Why Iran didn’t admit Stuxnet was an attack’, in ELIASON, C. (ed.), Future of
Defense, Cyber Strategy, 2011 Essay Contest Winners, Joint Force Quarterly, Issue 63, 2011,
pp. 70-74, http://www.ndu.edu/press/why-iran-didntadmit-stuxnet.htm.
-‐ DO ̈RMANN, K., ‘The Applicability of the Additional Protocols to Computer Network Attacks:
An ICRC Viewpoint’, in BYSTRO ̈M, K., (ed.), Computer Network Attacks and the
Applicability of International Humanitarian Law, Swedish National Defence College, 2004. p.
12
-‐ DOSWALD-BECK, L., ‘Some Thoughts on Computer Network Attack and the International
Law of Armed Conflict‘ in SCHMITT, M. en O’DONNEL, B. (eds.), International Law Studies:
Volume 76, ‘Computer Network Attack and International Law’, US Naval War College, pp.
163-185, http://stockton.usnwc.edu/cgi/viewcontent.cgi?article=1394&context=ils.
-‐ FENRICK, W., J., ‘The Law Applicable to Targeting and Proportionality after Operation Allied
Force: A View from the Outside’, in FISCHER, H. (ed.), Yearbook of International
Humanitarian Law 2000, Vol. 3, Cambridge University Press, 2002, pp. 53-80.
-‐ GILES, K., ‘Russia’s public stance on cyberspace issues’, in CZOSSECK, C., OTTIS R. en
ZIOLKOWSKI, K. (eds.), paper given at the 2012 4th International Conference on Cyber
Conflict, NATO CCD COE Publications, Tallinn, 2012,
http://www.conflictstudies.org.uk/files/Giles- Russia_Public_Stance.pdf.
-‐ GOLDSMITH, J., ‘Cybersecurity treaties: a skeptical view’, in BERKOWITZ, P. (ed.), Future
Challenges in National Security and Law, 2010, http://media.hoover.org/sites/default/files/
documents/FutureChallenges_Goldsmith.pdf. pp. 52-67
-‐ GREENWOOD, C., ‘The Law of Weaponry at the Start of the New Millenium’ in SCHMITT, M.
en GREEN, L. (eds.), The Law of Armed Conflict: Into the Next Millenium, Naval War College,
Newport, RI, 1998, pp. 185-231.
108
-‐ GREENWOOD, C., ‘Scope of Application of Humanitarian Law’, in FLECK, D. (ed.), The
Handbook of International Humanitarian Law, 2nd ed., Oxford, 2008, pp. 43-78
-‐ JENSEN, E., ‘Cyber Attacks: Proportionality and Precautions in Attack’, in SCHMITT, M. (ed.),
International Law Studies: Volume 89, 2013, US Naval War College, 2013, pp. 198-217.
-‐ KLEFFNER, J., ‘Scope of application of international humanitarian law’, in FLECK D. (ed.), The
Handbook of International Humanitarian Law, Oxford University Press, 2013, pp. 43-78
-‐ O'DONNELL, B. en KRASKA, J., ‘International Law of Armed Conflict and Computer Network
Attack: Developing the Rules of Engagement’, in SCHMITT, M. en O’DONNEL, B. (eds.),
International Law Studies: Volume 76, ‘Computer Network Attack and International Law’, US
Naval War College, pp. 395-419.
-‐ OETER, S., ‘Methods and Means of Combat’, in FLECK, D. (ed.), The Handbook of
International Humanitarian Law, Oxford University Press, 2008, pp. 119-236
-‐ SCHMITT, M., ‘‘Attack’ as a term of art in international law: the cyber operations context’, in
CZOSSECK, C., OTTIS, R., en ZIOLKOWSKI, K. (eds), 4th International Conference on Cyber
Conflict, 2012, NATO CCD COE Publications, Tallinn, pp. 283-293.
-‐ SCHMITT, M., ‘CNA and the Jus in Bello: An Introduction’, in BYSTRO ̈M, K. (ed.), Computer
Network Attacks and the Applicability of International Humanitarian Law, Swedish National
Defence College, 2004, pp. 101-125.
-‐ SCHMITT, M., ‘Computer network attack: the normative software’, in FISCHER, H. (ed.),
Yearbook of International Humanitarian Law Vol. 4 2001, TMC Asser Press, Den Haag,
2004, pp. 53-86.
-‐ SCHMITT, M., Cyber operations in international law: the use of force, collective security, self-
defense and armed conflict, in NATIONAL RESEARCH COUNCIL, Proceedings of a Workshop
on Deterring Cyber Attacks, Washington DC, The National Academies Press, 2010, pp. 151-
178
109
-‐ SCHMITT, M., ‘Cyber operations and the jus in bello: key issues’, in PEDROZO, R. en
WOLLSCHLAEGER, D. (eds.), International Law Studies: Vol. 87, ‘International Law and the
Changing Character of War’, Naval War College, 2011, pp. 89-110.
-‐ SCHMITT, M., ‘War, Technology and the Law of Armed Conflict’, in HELM, A. (ed.),
International Law Studies: Vol. 82, The Law of War in the 21st Century: Weaponry and the
Use of Force, 2006, pp. 138-182.
-‐ WEDGWOOD, R., ‘Propotionality, Cyberwar, and the Law of War’, in SCHMITT, M. en
O’DONNEL, B. (eds.), International Law Studies: Volume 76, ‘Computer Network Attack and
International Law’, US Naval War College, pp. 219-232.
-‐ WOLFRUM, R., ‘The Attack of September 11, 2001, the Wars Against the Taliban and Iraq: Is
there a Need to Reconsider International Law on the Recourse to Force and the Rules in
Armed Conflict?, in VON BOGDANDY, A. en WOLFRUM, R. (eds.), Max Planck Yearbook of
United Nations Law, Volume 7, 2003, Koninklijke Brill N.V, pp. 1-78,
http://www.mpil.de/files/pdf3/mpunyb_wolfrum_7.pdf.
BIJDRAGEN IN TIJDSCHRIFTEN
-‐ ALDRICH, R., ‘How Do You Know You Are at War in the Information Age?’, 22 HOUS. J.
INT'L L, 2000, pp. 223-260.
-‐ ALVAREZ ORTEGA, E., ‘The attribution of international responsibility to a State for conduct of
private individuals within the territory of another State’, InDret 1/2015, Barcelona, Januari
2015, pp. 1-40, http://www.indret.com/pdf/1116_es.pdf.
-‐ ARQUILLA, J.,’Can information warfare ever be just?’, Ethics and Information Techonology
1(3), 1999, pp. 203-212.
-‐ BARTELS, R., ‘Internationaal Humanitair Recht in de kijker: gewapend conflict is geen
eenduidig begrip’, IRRC, 2008, pp. 1-81.
110
-‐ BELT, S., ‘Missiles over Kosovo: Emergence, Lex Lata, of a Customary Norm Requiring the
Use of Precision Munitions in Urban Areas’, 47 Naval Law Review, 2000, pp. 115-175
-‐ BECKETT J., ‘New War, Old Law: Can the Geneva Paradigm Comprehend Computers?’,
Leiden Journal of International Law 13, 2000, pp. 33-51.
-‐ BHASKAR, S., ‘Cyber War and Jus in Bello’, Foreign Policy, 2012, pp. 1-3.
-‐ BLITZ, J., ‘Security: A huge challenge from China, Russia and organised crime’, Financial
Times, 2015, pp. 1-10.
-‐ BROWN, D., ‘A proposal for an international convention to regulate the use of information
systems in armed conflict’, Harvard International Law Journal, Vol. 47, No. 1, 2006, pp. 179-
221.
-‐ BROWN, G., POELLET, K., ‘The Customary International Law of Cyberspace’, 6 STRATEGIC
STUDIES QUARTERLY, 2012, pp. 126-145.
-‐ COLLINS, S., ‘Stuxnet: the emergence of a new cyber weapon and its implications’, Journal of
Policing, intelligence and Counter Terrorism, 2015, pp. 1-15.
-‐ COMMAND FIVE PTY LTD, ‘SK Hack by an Advanced Persistent Threat’, Abstract, 2011,
pp. 1-24.
-‐ DELUCA C., ‘The Need for International Laws of War to Include Cyber Attacks Involving
State and Non-State Actors’, PACE INT’L L. REV. ONLINE COMPANION 278, 2013, pp.
278-315.
-‐ DILANIAN, K., ‘Cyber-attacks a bigger threat than Al Qaeda, officials say’, Los Angeles Times,
2013, pp. 1-2.
-‐ DINSTEIN, Y., ‘The Principle of Distinction and Cyber War in International Armed Conflicts’,
Journal of Conflict & Security Law Vol. 17 No. 2, 2012, pp. 261-277.
-‐ DÖRMANN, K., ‘Applicability of the Additional Protocols to Computer Network Attacks’,
ICRC, 2004, pp. 1-12, http://www.icrc.org/ eng/resources/documents/misc/68lg92.htm.
111
-‐ DÖRMANN, K., ‘Computer Network Attack and International Humanitarian Law’, Extract van
‘The Cambridge Review of International Affairs “Internet and State Security Forum?”’,
Trinity College, Cambridge, GB, 19 Mei 2001, ICRC, 2003,
https://www.icrc.org/eng/resources/documents/article/other/5p2alj.htm.
-‐ DROEGE, C., ‘Get off my cloud: cyber warfare, international humanitarian law, and the
protection of civilians’, IRRC, 2012, pp. 533-578.
-‐ FULGHAM, A., ‘Infowar to Invade Air Defense Networks’, 157 AVIATION WEEK & SPACE
TECH. No. 19, 2002, pp. 31-43
-‐ GEISS, R., ‘Cyber Warfare: Implications for Non-international Armed Conflicts’, INT’L L.
STUD. 627 Volume 89, 2013, pp. 627-645.
-‐ GEISS, R., ‘The conduct of Hostilities in and via Cyberspace’, ASIL Proceedings 104th
Annual Meeting, 2010, pp. 371-374
-‐ GEISS, R., LAHMANN, H., ‘Cyber warfare: applying the principle of distinction in an
interconnected space’, Israeli Law Review Vol. 45 No. 3, 2012, pp. 381-399.
-‐ GLENNY, M., ‘We will rue Stuxnet’s cavalier deployment’, The Financial Times, 6 Juni 2012
-‐ HATHAWAY, O., et al., ‘The Law of Cyber-Attack’, 100 CAL. L. REV. 817, 2012, pp. 817-886,
http://www.npr.org/templates/story/story.php?storyId=130023318.
-‐ HOEREN, T., ‘Zoning und Geolocation-Technische Ansätze zur Reterriorialisierung des
Internet’, Multimedia und recht, 2007, pp. 3-6.
-‐ HOLIS, D., ‘An e-SOS for cyberspace’, Harvard International Law Journal, Vol. 52, No. 2,
2011, pp. 112-144
-‐ HOLLIS, D., ‘Why states need an international law for information operations’, Lewis and
Clark Law Review, Vol. 11, 2007, pp. 1023-1061.
-‐ ICRC, ‘International Humanitarian Law and the Challenges of Contemporary armed
conflicts’, IRRC, 2015, pp. 1-61.
-‐ ICRC, ‘What limits does the law of war impose on cyber attacks?’, IRRC, pp. 1-2.
112
-‐ ICRC, ‘Opinion Paper: How is the Term ‘Armed Conflict’ Defined in International
Humanitarian Law?’, IRRC, 2008, pp. 1-5.
-‐ JENSEN, E., ‘Cyber Warfare and Precautions Against the Effects of Attacks’, 88 Texas Law
Review, 2010, pp. 1533-1569.
-‐ JENSEN, E., ‘Unexpected consequences from knock-on effects: a different standard for
computer network operations?’, American University International Law Review 1145, Vol. 18,
2002–2003, pp. 1144-1188.
-‐ JINKS, D., ‘The applicability of the Geneva Conventions to the Global war on terrorism’,
Virginia Journal of international law, 2005, pp. 1-168.
-‐ KASHER, A., ‘The principle of Distinction’, Journal of Military Ethics Vol. 6, 2007, Issue 2:
Just and Unjust Wars: Thirty Years On, pp. 1-152.
-‐ KELSEY, J., ‘Note: Hacking into International Humanitarian Law: The Principles of
Distinction and Neutrality in the Age of Cyber Warfare’, Michigan Law Review Vol.
106:1427, 2008, pp. 1427-1452.
-‐ KELSEY, T., ‘Hacking into International Humanitarian Law: The Principles of Distinction and
Neutrality in the Age of Cyber Warfare’, Michigan Law Review 106, 2008, pp. 1428-1452.
-‐ KODAR, E., ‘Applying the Law of Armed Conflict to Cyber Attacks; From the Martens Clause
to Additional Protocol I’, ENDC Proceedings: Volume 15, 2012, pp. 107–132,
http://www.ksk.edu.ee/wpcontent/uploads/2012/12/KVUOA_Toimetised_15_5_Kodar.pdf.
-‐ LEVIE, H., ‘The Status of Belligerent Personnel ‘Splashed’ and Rescued by a Neutral in the
Persian Gulf Area’, 31 Virginia Journal of International Law 611, 1991, pp. 239-245.
-‐ LIN, H., RID, T., ‘Think again: cyberwar’, Foreign Policy, Maart/April 2012,
http://www.foreignpolicy.com/articles/2012/02/27/cyberwar?print=yes&hidecomments=yes&
page=full. pp. 58-61
-‐ MAC ̌ÁK, K., ‘Military Objectives 2.0: The Case for Interpreting Computer Data as Objects
under International Humanitarian Law’, 48(1) Israel Law Review, 2015, pp. 1-30.
113
-‐ MANAP, N., TEHRANI, P., ‘Cyber Terrorism: Issues in its Interpretation and Enforcement’,
International Journal of Information and Electronics Engineering, Vol. 2, No. 3, 2012, pp.
409- 413.
-‐ MCGAVRAN, W., ‘Intended Consequences: Regulating Cyber Attacks’, 12 TUL. J. TECH. &
INTELL. PROP. 259, Vol 12, 2009, pp. 259-275
-‐ PARKS, H., ‘The Protection of Civilians from Air Warfare’, 27 Isr. Y.B. on Hum. Rts. 65,
1997, pp. 85-86
-‐ PICTET, J., ‘The principles of International Humanitarian law (III)’, IRRC Volume 6, Issue 68,
1996, pp. 1-567.
-‐ PRICHARD, J., MACDONALD, L., ‘Cyber Terrorism: A Study of the Extent of Coverage in
Computer Security Textbooks’, Journal of Information Technology Education, Vol. 3, 2004,
pp. 279-289, http://jite.org/documents/Vol3/v3p279-289-150.pdf.
-‐ PUCKETT, C., ‘In this Era of “Smart Weapons”, Is a State under an International Legal
Obligation to Use Precision-Guided Technology in Armed Conflict?’, 18(2) Emory
International Law Review, 2004, pp. 645-724
-‐ RID, T., ‘Think again: cyberwar’, Foreign Policy, March/April 2012, p. 58-61,
http://www.foreignpolicy.com/articles/2012/02/27/cyberwar?print=yes&hidecomments=yes&
page=full.
-‐ SCHAAP, M., ‘The Development of Cyber Warfare Operations and Analyzing its Use under
International Law’, The Air Force Law Review Vol. 64, 2009, pp. 121-174.
-‐ SCHMITT, M., ‘Bellum Americanum: The U.S. View of TwentyFirst Century War and its
Possible Implications for the Law of Armed Conflict’, 19 MICH. J. INT'L L. 1051, 1988, pp.
1051-1081
-‐ SCHMITT, M. ‘Classification of Cyber Conflict’, 8 Augustus 2012, Oxford Academic, pp. 245-
260.
114
-‐ SCHMITT, M., ‘Precision Attack and International Humanitarian Law’, IRRC 87(859), 2005,
pp. 445-466.
-‐ SCHMITT, M., ‘Rewired Warfare: rethinking the law of cyber attack’, IRRC 96 (893), 2014,
pp. 189-206.
-‐ SCHMITT, M., ‘The law of Cyber Warfare: Quo Vadis?’, Stanford Law and Policy Review 27,
2014, pp. 1-3.
-‐ SCHMITT, M., ‘The Principle of Discrimination in 21st Century Warfare’, 2 YALE H.R. &
DEV. L.J. 143, pp. 143-187
-‐ SCHMITT, M., ‘Wired warfare: computer network attack and jus in bello’, IRRC 2002, pp. 1-
399.
-‐ SCHMITT, M., HARRISON, H., WINGFIELD, T., ‘Computers and War: The Legal Battlespace’
2004, HPCR, pp. 1-19.
-‐ SCHULMAN, M., ‘Discrimination in the law of information warfare’, Colombia Journal of
Transnational Law, Vol. 37, 1999, pp. 939-968.
-‐ SHUE, H., WIPMANN, D., ‘Limiting Attacks on Dual-Use Facilities Performing Indispensable
Civilian Functions’, 35 Cornell International Law Journal 559, 2002, pp. 559-579.
-‐ SWANSON, L., ‘The Era of Cyber Warfare: Applying International Humanitarian Law to the
2008 Russian-Georgian Cyber Conflict’, Loyola of Los Angeles International and
Comparative Law Review, 22 Maart 2010, pp. 303-333.
-‐ RID, T., MCBURNEY, P., ‘Cyber-Weapons’, The RUSI Journal, 29 Februari 2012, pp. 6-13.
-‐ TIKK, E., ‘Ten Rules for Cyber Security’, Survival: Global Politics and Strategy, Vol. 53 no.3,
Juni-Juli 2011, pp. 119-132.
-‐ TURNS, D., ‘cyber Warfare and the Notion of Direct Participation in Hostilities’, Journal of
conflict and Security Law 17, 2012, pp. 279-297.
-‐ ZHANG, L., ‘A Chinese perspective on cyber war’, 30 Juni 2012, IRRC, No. 886, pp. 801-807,
https://www.icrc.org/eng/resources/documents/article/review-2012/irrc-886-zhang.htm.
115
-‐ ZIOLKOWSKI, K., ‘Computer Network Operations and the Law of Armed Conflict’, Military
Law and Law of War Review 49, 2010, pp. 47-94.
NIEUWSARTIKELEN
-‐ ABBASI, W., ‘Pakistan hackers defaced over 1000 Indian Websites’, The News International,
6 April 2013.
-‐ AL ARABIYA NEWS, ‘Saudi Aramco says cyber attack targeted kingdom’s economy’, Al
Arabiya News, 9 December 2012, https://english.alarabiya.net-
/articles/2012/12/09/254162.html.
-‐ BALDOR, L., ‘Pentagon Warns Public About Cyber Attacks by China’, BOSTON.COM, 20
Augustus 2010, http://www.boston.com/news/nation/washington/articles/2010/08/20/-
pentagon_warns_public_about_cyber_attacks_by_china/.
-‐ BBC NEWS, ‘Taiwan Plays Cyber War Games’, BBC News, 7 Augustus 2000.
-‐ BROWN, J., MILLER, P., ‘Foreign Journalists Feel the Heat of Backlash’, Scotsman, 24 April
1999, http://findarticles.com/p/articles/mi_7951/is_1999_April_24/ai_n32632439/-
?tag=content.
-‐ DEUTSCHE WELLE, ‘Germany adopts cyber attack precautions’, 10 Juli 2015, Deutsche Welle,
http://www.dw.com/en/germany-adopts-cyber-attack-precautions/a-18575261.
-‐ ECONOMIST, ‘Newly Nasty: Defences Against Cyberwarfare Are Still Rudimentary. That’s
Scary’, Economist, 24 Mei 2007, http://www.economist.com/node/9228757?story_id=-
9228757.
-‐ FINKLE, J., ‘State actor seen in ‘enormous’ range of cyber attacks’, Reuters, 2011.
-‐ FINNEGAN, M., ‘US Government Warns over Gas Pipeline Cyberattacks’, TECHEYE.NET, 9
Mei 2012, http://news.techeye.net/security/us-government-warns-over-gas-pipeline-
cyberattacks.
116
-‐ FISHER M, ‘Syrian hackers claim AP hack that tipped stock market by $136 billion. Is it
terrorism?’, Washington Post, 23 April 2013.
-‐ HARRIS, S., ‘The Cyber War Plan’, National Journal Online, 14 November 2009, www.
nationaljournal.com/member/magazine/the- cyberwar-plan-20091114.
-‐ HART, K., ‘Longtime Battle Lines are Recast in Russia and Georgia’s Cyberwar’, Washington
Post, 14 Augustus 2008, D1.
-‐ HERRIDGE, C., ‘NSA chief: Cyber-attacks skyrocket, account for largest 'transfer of wealth'
ever’, Fox News, 9 Juli 2012, http://www.foxnews.com/politics/2012/07/09/nsa-chief-cyber-
attacks-skyrocket-account-for-largest-transfer-wealth-in/%20%20ixzz2XJe3lSlk#ixzz2-
cnw5ditF.
-‐ KASPERSKY, E., ‘Der Cyber-Krieg kann jeden treffen’, Süddeutsche, 13 September 2012,
http://www.sueddeutsche.de/digital/sicherheit-im-internet-der-cyber-krieg-kann-jeden-treffen-
1.1466845.
-‐ KEIZER, G., ‘Is Stuxnet the ‘best’ malware ever?’, Infoworld, 16 September 2010,
http://www.infoworld.com/article/2626009/malware/is-stuxnet-the--best--malware-ever-.html.
-‐ MARKOFF, J., ‘Before the Gunfire, Cyberattacks’, The New York Times, 12 Augustus 2008,
http://www.nytimes.com/2008/08/13/technology/13cyber.html.
-‐ MARKOFF, J., KRAMER, A., ‘U.S. and Russia Differ on a Treaty for Cyberspace’, The New
York Times, 27 Juni 2009, http://www.nytimes.com/2009/06/28/world/28cyber.html?-
pagewanted=all&r=0.
-‐ MARKOFF J., SHANKER, T., ‘Halted ‘03 Iraq Plan Illustrates U.S. Fear of Cyberwar Risk’,
New York Times, 1 Augustus 2009, www.nytimes.com/2009/08/02/us/ politics/02cyber.html.
-‐ NAKASHIMA, E., MILLER, G., TATE, J., ‘U.S., Israel developed Flame computer virus to slow
Iranian nuclear efforts, officials say’, Washington Post, 19 Juni 2012,
http://articles.washingtonpost.com/2012-06-19/world/35460741_1_stuxnetcomputer-virus-
malware.
117
-‐ RICHTER, P., ‘Milosevic Not Home as NATO Bombs One of His Residences’, L.A. Times, 23
April 1999.
-‐ RUSSEL, J., ‘Japanese Government hit by Chinese Trojan Horse Attack’, 25 Oktober 2011,
thenextweb, https://thenextweb.com/asia/2011/10/25/japanese-government-hit-by-chinese-
trojan-horse-attack/#.tnw_nbYbbppq.
-‐ SAFIRE, W., ‘The Farewell Dossier’, New York Times, 2 Februari 2004, A21,
http://www.nytimes.com/2004/02/02/opinion/the-farewell-dossier.html.
-‐ SANGER, D., ‘Obama order sped up wave of cyberattacks against Iran’, The New York Times,
1 Juni 2012, http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-
cyberattacksagainst-iran. html?pagewanted=all&_moc.semityn.
-‐ SANGER, D., ‘U.S. Tries Candor to Assure China on Cyberattacks’, New York Times, 6 April
2014, www.nytimes.com/2014/04/07/world/us-tries-candor-to-assure-china-on-
cyberattacks.html?.
-‐ SATTER, R., ‘Afghanistan Cyber Attack: Lt. Gen. Richard P. Mills Claims to Have Hacked the
Enemy’, The World Post, 24 Augustus 2012, www.huffingtonpost.com/2012/08/24/-
afghanistan-cyber-attack-richardmills_n_1828083.html.
-‐ SHANKER, J., ‘Halted ’03 Iraq Plan Illustrates U.S. Fear of Cyberwar Risk’, New York Times,
1 Augustus 2009, http://www.nytimes.com/2009/08/02/us/politics/02cyber.html?r=0.
-‐ SCHMITT, C., ‘US information warriors wrestle with new weapons’, 13 Maart 2003,
NewsMax.com, www.newsmax.com/archives/articles/2003/3/12/134712.shtml.
-‐ SCHMITT, E., SHANKAR, Y., ‘U.S. Debated Cyberwarfare in Attack Plan on Libya’, New York
Times, 17 Oktober 2011, www.nytimes.com/2011/10/18/world/africa/cyber- warfare-against-
libya-was-debated-by-us.html?hp.
-‐ SCHNEIER, B., ‘An international cyberwar treaty is the only way to stem the threat’, US News,
8 Juni 2012, http://www.usnews.com/debate-club/should-there-be-an-international-treaty-on-
cyberwar fare/an-international-cyberwar-treaty-is-the-only-way-to-stem-the-threat.
118
-‐ SCHWIRTZ, M., ‘Estonia bans travel for Kremlin Youth Group’, New York Times, Januari
2008, http://www.nytimes.com/2008/01/30/world/europe/30russia.html?_r=0.
-‐ SHELDON, J., ‘Cyberwar, Cyberwarfare, Cyber warfare’,
https://www.britannica.com/topic/cyberwar.
-‐ THE ECONOMIST, ‘Internet Blackouts: Reaching for the Kill Switch’, The Economist, 10
Februari 2011, http://www.economist.com/node/18112043.
-‐ THE GUARDIAN, ‘Military Blamed after Planes Vanish from Europe Air-Traffic Control
Screens’, The Guardian, 13 Juni 2014.
-‐ THE TELEGRAPH, ‘Japan Parliament Hit by China-Based Cyber Attack’, 25 Oktober 2011,
http://www.telegraph.co.uk/news/worldnews/asia/japan/8848100/Japan-parliament-hit-by-
China-based-cyber-attack.html.
-‐ WATSON, I., ‘Cyberwar Explodes in Syria’, CNN, 22 November 2011,
www.cnn.com/2011/11/22/world/meast/syria-cyberwar/.
ELEKTRONISCHE ARTIKELEN
-‐ BOIVIN, A., ‘The Legal Regime Applicable to Targeting Military Objectives in the Context of
Contemporary Warfare’, University Centre for International Humanitarian Law, 2 (2006) 36,
www.adh-geneva.ch/docs/publications/collection-esearchprojects/CTR_objectif_militaire.pdf.
-‐ BOUTRUCHE, T., ‘Expert Opinion on the Meaning and Scope of Feasible Precautions under
International Humanitarian Law and Related Assessment of the Conduct of the Parties to the
Gaza Conflict in the Context of the Operation “Protective Edge”’, Diakonia, 52 p.,
https://www.diakonia.se/globalassets/blocks-ihl-site/ihl-file-list/ihlexpertopionions-
/precautions-under-international-humanitarian-law-of-the-operation-protective-edge.pdf.
119
-‐ CLAYTON, M., ‘Exclusively: New thesis on how Stuxnet iniltrated Iran nuclear facility’, The
Christian Science Monitor, http://www.csmonitor.com/World/SecurityWatch/2014/0225/-
Exclusive-New-thesis-on-how-Stuxnet-infiltrated-Iran-nuclear-facility.
-‐ CLULEY, G., ‘Japanese Parliament hit by Cyber-Attack’, 25 Oktober 2011, Naked Security by
Sophos, http://nakedsecurity.sophos.com/2011/10/25/japanese-parliament-hit-by-cyberattack//
-‐ COLEMAN, K., ‘Russia’s Cyber Forces’, Defensetech, 27 Mei 2008,
http://www.defensetech.org/archives/cat_cyberwarfare.html.
-‐ DIAMOND, E., ‘Applying International Humanitarian Law to Cyber Warfare’, Memorandum
No. 138, Tel Aviv: Institute for National Security Studies, Juli 2014, pp. 67-84,
http://www.inss.org.il/uploadImages/systemFiles/05%20Applying.pdf.
-‐ DION, M., BRENNER, S., ‘Civilians in Information Warfare: Conscription of Telecom
Networks and State responsibility for International Cyber Defence’, International Conference
on Information Warfare and Security, 2010, pp. 1-49.
-‐ FALLIERE, N., MURCHU, L., CHIEN, E., ‘W32.Stuxnet Dossier Version 1.4.’ Symantec
Corporation, Februari 2011, 68 p., https://www.symantec.com/content/en/us/enterprise-
/media/security_response/whitepapers/w32_stuxnet_dossier.pdf.
-‐ GALPERIN, E., MARQUIS-BOIRE, M., SCOTT-RAILTON, J., ‘Quantum of Surveillance: Familiar
Actors and Possible False Flags in Syrian Malware Campaign’, Electronic Frontier
Foundation, 2013, www.eff.org/files/2013/12/28/quantum_of_surveillance4d.pdf.
-‐ HEIKERO ̈, R., ‘Emerging threats and Russian Views on information warfare and information
operations’, FOI Swedish Defence Research Agency, Maart 2010,
http://www.highseclabs.com/Corporate/foir2970.pdf.
-‐ JANCZEWSKI, L., COLARIK, A., ‘Cyber Warfare and Cyber Terrorism’, Hershey, New York,
Information Science Reference, 2008.
120
-‐ KEMP, S., ‘Cyberweapons: bold steps in a digital darkness?’, Bulletin of the Atomic Scientists,
7 Juni 2012, http://thebulletin.org/web-edition/op-eds/cyberweapons-bold-steps-digital-
darkness.
-‐ LIMNELL, J., ‘The Danger of Mixing Cyberespionage with Cyberwarfare’, Wired,
http://www.wired.com/insights/2013/07/the-danger-of-mixing-cyberespionage-with-
cyberwarfare.
-‐ MANISCHALCHI, J., ‘What is Cyberwar?’, Ethics and Information Technology, 2015, pp. 1-10.
-‐ MELE, S., ‘Cyber warfare and its damaging effects on citizens’, September 2010,
http://www.stefanomele.it/public/documenti/185DOC-937.pdf.
-‐ MELZER, N., Cyberwarfare and International Law, UNIDIR, 2011, 38 p.
-‐ OPENNET INITIATIVE, ‘Pulling the Plug: A Technical Review of the Internet Shutdown in
Burma’, 29 September 2007, https://opennet.net/research/bulletins/013.
-‐ ROUSE, M., ‘Definition distributed denial-of-service attack (DDoS)’, SearchSecurity, Mei
2013, http://searchsecurity.techtarget.com/definition/distributed-denial-of-service-attack.
-‐ RYAN, J., 'iWar’: A New Threat, Its Convenience – and Our Increasing Vulnerability’, NATO
Review, December 2007, http://www.nato.int/docu/review/2007/issue4/english/analysis2.html
-‐ SEGAL, A., ‘China, international law and cyber space’, Council on Foreign Relations, 2
Oktober 2012, http://blogs.cfr.org/asia/2012/10/02/china-international-law-and-cyberspace/.
-‐ SHACHTMAN, N., ‘Kremlin Kids: We Launched the Estonian Cyber War’, Wired, 11 Maart
2009, http://www.wired.com/dangerroom/2009/03/pro-kremlin-gro/.
-‐ SKLEROV, M., ‘Solving The Dillemma of State Responses to Cyberattacks: A Justification for
the Use of Active Defenses Against States who Neglect Their Duty to Prevent’, April 2009,
103 p., https://www.hsdl.org/?view&did=12115.
-‐ STUPPLES, D., ‘What is information warfare?’, World Economic Forum, 3 December 2015,
https://www.weforum.org/agenda/2015/12/what-is-information-warfare/.
121
-‐ THEOHARY, C., ROLLINS, J., ‘Cyberwarfare and Cyberterrorism: In Brief’, Congressional
Research Service, 2015, 15 p.
-‐ TIKK, E., ‘Frameworks for International Cyber Security’, CCD COE Publications, Tallinn,
2011, 22 p.
-‐ TIKK, E., KASHA, K., VIHUL, L., ‘International Cyber Incidents: Legal Considerations’,
Cooperative Cyber Defence Centre of Excellence (CCD COE), 2010, 130 p.
-‐ VATIS, M., ‘Cyber Attacks During the War on Terrorism: A Predictive Analysis’, Institute for
Security Technology Studies At Dartmouth College, 22 September 2001, 27 p.,
http://www.ists.dartmouth.edu/docs/cyber_a1.pdf.
-‐ WEINER, J., ‘Discrimination, Indiscriminate Attacks, and the Use of Nuclear Weapons’,
ICNP, 19 December 2011, 56 p., http://lcnp.org/pubs/Weiner_Discrimination-Indiscriminate-
Attacks.pdf.
-‐ ZHOU, D., ‘Iran Wages Cyber War Against US Banks and Arab Energy Firms’, Polymic,
November 2012, http://www.policymic.com/articles/16555/iran-wages-cyber-war-against-us-
banks-and-arab-energy-firms.
ANDERE BRONNEN
-‐ CENTER FOR STRATEGIC AND INTERNATIONAL STUDIES, CYBERSECURITY AND
CYBERWARFARE, ‘Preliminary Assessment of National Doctrine and Organization’, UNIDIR
Resources Paper, 2011, http://www.unidir.org/files/publications/pdfs/cybersecurity-and-
cyberwarfare-preliminary-assessment-of-national-doctrine- and-organization-380.pdf.
-‐ DRÖGE, C., ‘No Legal Vacuum in Cyberspace’ (online interview), ICRC, 16 Augustus 2011,
http://www.icrc.org/eng/resources/documents/interview/2011/cyber-warfare-interview-2011-
08-16.htm.
122
-‐ HAGUE, W., ‘Foreign Secretary opens the London Conference on Cyberspace’, 1 November
2011, https://www.gov.uk/government/speeches/foreign-secretary-opens-the-london-
conference-on-cyberspace
-‐ HAGUE, W., ‘Security and freedom in the cyber age-seeking the rules of the road’, Speech op
de Conferentie inzake Veiligheid te München, 4 Februari 2011,
https://www.gov.uk/government/speeches/ security-and-freedom-in-the-cyber-age-seeking-
the-rules-of-the-road.
-‐ KOH, H., ‘International law in cyberspace’, speech at the US Cyber Command Inter-Agency
Legal Conference, 18 September 2012, http://opiniojuris.org/2012/09/19/harold-koh-on-
international-law-in-cyberspace/.
-‐ LIPSON, H., ‘Tracking and Tracing Cyber-Attacks: Technical Challenges and Global Policy
Issues’, Special Report CMU/SEI-2002-SR-009, Carnegie Mellon Software Engineering
Institute, University, Pittsburgh, Pennsylvania, 2002, 70 p., http://www.dtic.mil/cgi-
bin/GeTRDoc?AD=ADA408853&Location=U2&doc=GeTRDoc.pdfMarkoff.
-‐ O’CONNEL, M., ‘Cyber mania’, Meeting Summary Clatham House, Cyber Security and
International Law, 29 Mei 2012, http://www.chathamhouse.org/sites/default/files-
/public/Research/International%20Law/290512-summary.pdf.
-‐ PROGRAM ON HUMANITARIAN POLICY AND CONFLICT RESEARCH AT HARVARD UNIVERSITY,
Commentary on the HPCR Manual on International Law Applicable to Air and Missile
Warfare, 2010, http://www.ihlresearch.org/amw/manual.
-‐ SASSOLI, M., ‘Legitimate targets of attacks under international humanitarian law’,
Background Paper prepared for the Informal High-Level Expert Meeting on the Reaffirmation
and Development of International Humanitarian Law, Cambridge, 27–29 January 2003,
HPCR, 2003, pp. 3–6, http://www.hpcrresearch.org/sites/default/files/publications-
/Session1.pd.
123
-‐ SCHMITT, M., ‘The impact of high and low-tech warfare on the principle of distinction’,
Briefing Paper, International Humanitarian Law Research Initiative, Program on
Humanitarian Policy and Conflict Research at Harvard University, IHL Research,
http:www.ihlresearch.org/portal/ihli/alabama.php.
-‐ SEGAL, A., ‘Cyber space governance: the next step’, Council on Foreign Relations, Policy
Innovation Memorandum No. 2, 14 November 2011, p. 3, http://
www.cfr.org/cybersecurity/cyberspace-governance-next-step/p24397.
-‐ SILANOE, G., ‘The Old Binding the New: Can a cyber-attack be conducted in conformity with
the principle of distinction?’, Tilburg University Law School, Juni 2014, 52 p.,
http://arno.uvt.nl/show.cgi?fid=134393.
RECHTSPRAAK
-‐ ICC, 15 Juni 2006, nr. ICC-01/05-01/08, Prosecutor v. Bem- ba Gombo.
-‐ ICC, 14 Maart 2012, nr. ICC-01/04-01/06, Prosecutor v. Lubanga.
-‐ ICJ, 24 Mei 1980, nr. ICJ GL No 64, Case concerning United States Diplomatic and Consular
Staff in Tehran.
-‐ ICJ, 27 Juni 1986, nr. ICJ GL No 70, Military and Paramilitary Activities in and against
Nicaragua.
-‐ ICJ, 8 Juli 1996, nr. ICJ GL No 95, Legality of the Threat or Use of Nuclear Weapons,
advisory opinion.
-‐ ICJ, 26 Februari 2007, nr. ICJ GL No 91, Case concerning the Application of the Convention
on the Prevention and Punishment of the Crime of Genocide.
-‐ ICTR, 2 September 1998, nr. ICTR-96-4-T, Prosecutor v. Akayesu.
-‐ ICTR, 6 December 1999, nr. ICTR-96-3-T Prosecutor v. Rutaganda.
124
-‐ ICTR, 16 Mei 2005, nr. SCSL-2004-14-AR73, Prosecutor v. Fofana, Afzonderlijke mening
van Rechter Robertson.
-‐ ICTY, 2 Oktober 1995, nr. IT-94-1-A, The Prosecutor v. Dusko Tadic.
-‐ ICTY, 16 November 1998, nr. IT-96-21-T, Delalic Case.
-‐ ICTY, 15 Juli 1999, nr. IT-94-1-A The Prosecutor v. Dusko Tadic, Afzonderlijk advies van
Rechter Shahabuddeen.
-‐ ICTY, 13 Juni 2000, nr. PR/P.I.S./510-E, Final Report to the Prosecutor by the Committee
Established to Review the NATO Bombing Campaign Against the Federal Republic of
Yugoslavia.
-‐ ICTY, 30 November 2005, nr. IT-03-66-T, The Prosecutor v. Fatmir Limaj.
-‐ Supreme Court of Israel, 14 December 2006, nr. HCJ 769/02, Targeted Killings case.
-‐ ICTY, 3 April 2008, nr. IT-04_84_Y, Prosecutor v. Ramush Haradinaj.
-‐ ICTY, 10 Juli 2008, nr. IT-04-82-T, The Prosecutor v. Boskoski.
-‐ ICTY, 17 Juli 2008, nr. IT-01-42-A, Prosecutor v. Strugar.
-‐ UKHL, 6 Augustus 2008, nr. [2008] UKHL 59, McKinnon v Government of the USA and
another.
VERDRAGEN EN VERKLARINGEN
-‐ Aanvullend Protocol inzake de bescherming van de slachtoffers van internationale gewapende
conflicten van 8 juni 1977 (Aanvullend Protocol I), in werking getreden op 7 december 1978.
-‐ Aanvullend Protocol inzake de bescherming van de slachtoffers van niet-internationale
gewapende conflicten van 8 juni 1977 (Aanvullend Protocol II), in werking getreden op 7
december 1978.
125
-‐ Convention on Prohibitions or Restrictions on the Use of Certain Conventional Weapons
Which May be Deemed to Be Excessively Injurious or to Have Indiscriminate Effects van 10
Oktober 1980, Geneva, zoals gewijzigd op 21 December 2001.
-‐ Convention (IV) respecting the Laws and Customs of War on Land and its annex: Regulations
concerning the Laws and Customs of War on Land, Den Haag, 18 Oktober 1907.
-‐ Handvest van de Verenigde Naties van 26 Juni 1945, opgemaakt te San Francisco.
-‐ Het Statuut van Rome van het Internationaal Strafhof, U.N. Doc. A/CONF.183/9*, 1998.
-‐ Overeenkomst tussen de regeringen van de lidstaten van de samenwerkingsorganisatie van
Shanghai inzake de samenwerking omtrent internationale informatiebeveiliging, 2009.
-‐ Protocol on Prohibitions or Restrictions on the Use of Mines, Booby-Traps and Other Devices
(Protocol II), Geneva, 10 Oktober 1980.
-‐ Protocol on Prohibitions or Restrictions on the Use of Mines, Booby-Traps and Other
Devices, zoals gewijzigd op 3 Mei 1996 (Amended Protocol II).
-‐ Protocol on Prohibitions or Restrictions on the Use of Incendiary Weapons (Protocol III),
Geneva, 10 Oktober 1980.
-‐ Second Protocol to the Hague Convention of 1954 for the Protection of Cultural Property
in the Event of Armed conflict, Den Haag, 26 Maart 1999.
-‐ Verdrag van Genève voor de verbetering van het lot der gewonden en zieken, zich bevindende
bij de strijdkrachten te velde van 12 Augustus 1949 (‘Eerste Geneefse Conventie’ – GC I), in
werking getreden op 21 Oktober 1950.
-‐ Verdrag van Genève betreffende de verbetering van het lot der gewonden, zieken en
schipbreukelingen van de strijdkrachten ter zee van 12 Augustus 1949 (‘Tweede Geneefse
Conventie’ – GC II), in werking getreden op 21 Oktober 1950.
-‐ Verdrag van Genève betreffende de behandeling van krijgsgevangenen van 12 augustus 1949
(‘Derde Geneefse Conventie’ – GC III), in werking getreden op 21 Oktober 1950.
126
-‐ Verdrag van Genève betreffende de bescherming van burgers in oorlogstijd van 12 Augustus
1949 (‘Vierde Geneefse Conventie’ – GC IV), in werking getreden op 21 Oktober 1950.
-‐ Verdrag van Wenen inzake het verdragenrecht, 23 Mei 1969, 1969-05-23/31.
DOCUMENTEN
DOCUMENTEN VAN INTERNATIONALE ORGANISATIES
-‐ Brief van 12 September 2011 van de Permanente Vertegenwoordigers van China, de
Russische Federatie, Tajikistan, en Oezbekistan aan de VN geadresseerd aan de Secretaris-
Generaal, 14 September 2011, UN Doc. A/66/359 (2011).
-‐ ICRC, International Humanitarian Law and the Challenges of Contemporary Armed Conflicts,
official working document of the 31st International Conference of the Red Cross and Red
Crescent, Geneva, Oktober 2011, ICRC Doc. 31IC/11/5.1.2 (2011).
-‐ NATO, ‘NATO Glossary of Terms and Definitions’, 2013, NATO Doc. AAP-06 (2014).
-‐ HIGH REPRESENTATIVE OF THE EUROPEAN UNION FOR FOREIGN AFFAIRS AND SECURITY
POLICY, ‘The proposal by the High Representative of the European Union for Foreign Affairs
and Security Policy, Joint Communication to the European Parliament, the Council, the
European Economic and Social Committee and the Committee of the Regions – Cyber
Security Strategy of the European Union: an Open, Safe and Secure Cyberspace’, Brussel,
7.2.2013, JOIN (2013) 1 final.
-‐ UN ‘Draft Articles on the Responsibility of States for Internationally Wrongful Acts’,
Yearbook of the International Law Commission, vol. II, Part Two, 2001, A/CN.4/SER.A/2001.
-‐ UN Report of the Secretary-General on Developments in the field of information and
telecommunication in the context of international security, 23 Juni 2004, UN Doc. A/59/116
(2004).
127
-‐ UN Report of the Secretary-General on Developments in the field of information and
telecommunication in the context of international security, 20 Juli 2010, UN Doc. A/65/154
(2010).
-‐ UN Report of the Secretary-General on Developments in the field of information and
telecommunication in the context of international security, 15 Juli 2011, UN Doc. A/66/152
(2011).
-‐ Verklaring van China in de eerste commissie van de Algemene Vergadering van de VN, 21
Oktober 2010, UN Doc. A/C.1/65/PV.16 (2010).
-‐ Verklaring van Brazilië in de eerste commissie van de Algemene Vergadering van de VN, 20
Oktober 2011, UN Doc. A/C.1/66/PV.17 (2011).
REGERINGSDOCUMENTEN
-‐ American Department of the Air Force, Cornerstones of Information Warfare, 17 April 1997,
htttp://www.dtic.mil/cgi-bin/GeTRDoc?AD=ADA323807.
-‐ Canada, Office of the Judge Advocate General, Law of Armed Conflict at the Operational and
Tactical Levels, 2001, B-GJ-005-104/FP-021 (2001).
-‐ German Ministry of Defense, Humanitarian Law in Armed Conflict, 1992,
http://www.humanitaeres-voelkerrecht.de/ManualZDv15.2.pdf.
-‐ Ministère de la Défense, Manuel de droit des conflits armés, 2001, Definitie van ‘Oorlog’,
http://www.cicde.defense.gouv.fr/IMG/pdf/20130226_np_cicde_manuel-dca.pdf.
-‐ Ministero Della Difesa, The Italian Military Penal Code of War,
http://www.difesa.it/Giustizia_Militare/Legislazione/WartimeMilitarycriminalcodes/Ibook/Pa
gine/TitleI.aspx.
-‐ Royal Australian Air Force, Operations Law for RAAF Commanders, AAP1003, Tweede
Editie, Mei 2004.
128
-‐ The Commander’s Handbook on the Law of Naval Operations, Department of the
Navy/Department of Homeland Security, USA, July 2007, para. 8.3.
-‐ The Military Doctrine of the Russian Federation Approved by Russian Federation Presidential
Edict on 5 February 2010, http://www.sras.org/military_doctrine_ russian_federation_2010.
-‐ UK Declaration of Understanding, gecorrigeerde brief van 28 Januari 1998 verzonden naar de
Zwitserse regering door Christopher Hulse, HM Ambassadeur van Groot-Brittannië.
-‐ UK Ministry of Defense, The Joint Service Manual of the Law of Armed Conflict, JSP 383,
2004.
-‐ UK Statement made upon Ratification of Additional Protocols I and II, reprinted in
Documents on the Law of War 510 (Adam Roberts and Richard Guelf feds., 3rd ed. 2000).
-‐ US Chairman, Joint Chiefs of Staff, Joint Publication 3-60: Joint Targeting, 2007,
http://www.bits.de/NRANEU/others/jp-doctrine/jp3_60(07).pdf.
-‐ US Council on Foreign Affairs, US Joint Doctrine for Targeting, 31 Januari 2013.
-‐ US Department of the Army, Counterinsurgency, FM No 3-24, December 2006,
https://fas.org/irp/doddir/army/fm3-24.pdf.
-‐ US Department of Defense Office of General Counsel, An Assessment of International Legal
Issues in Information Operations, 1999, http://www.au.af.mil/au/awc/awcgate/dod-io-legal/
dod-io-legal.pdf.
-‐ US Department of Defense Office of General Counsel, ‘An Assessment of International Legal
Issues in Information Operations’, Mei 1999, 50 p.,
http://www.au.af.mil/au/awc/awcgate/dod-io-legal/dod-io-legal.pdf.
-‐ US Department of Defense, The National Military Strategy for Cyberspace Operations, 2006,
GL-1.
-‐ US Department of Defense Strategy for Operating in Cyberspace, July 2011,
http://www.defense.gov/news/d20110714cyber.pdf.
129
-‐ US Navy/US Marine Corps/US Coast Guard/The Commander’s Handbook on the Law of
Naval Operations, NWP 1-14M/MCWP 5-12.1/COMDTUP P5800.7A, 2007.
-‐ US Joint Pub 3-13 ‘Information Operations’, 27 November 2012,
http://www.dtic.mil/doctrine/new_pubs/jp3_13.pdf
-‐ The Federal Ministry of Defence of the Federal Republic of Germany, Humanitarian Law in
Armed Conflicts Manual (ZDv 15/2), 1992.
-‐ The Vice Chairman of the Joint Chiefs of Staff, ‘Memorandum for Chiefs of the Military
Services, Commanders of the Combatant Commands and Directors of the Joint Staff
Directorates: US Joint Terminology for Cyberspace Operations’, Washington D.C., 20318-
9999, 2010, 16 p.
-‐ Russisch Ministerie voor buitenlandse zaken en Veiligheidsraad, Verdrag inzake
Internationale Informatiebeveiliging, 2011, http.//www.mid.ru/bdomps/ns-
osndoc.nsf/1e50de28fe77fdcc32575d900298676/7b17ead7244e2064c3257925003bcbcc!Open
Document.