De cyber (counter)attack en de bevoegdheid van de militaire inlichtingendienst (ADIV) Brussel 24 september 2015 Frank Franceus, Directeur dienst Enquetes - Vast Comité I 1
1. Cyber-attack a reality? Videoclip http://map.norsecorp.com/ 2
2. Het amendement nr. 83 (H.Vandenberghe et al., 2009) n.a.v. een aanbeveling van het Vast Comité I Verantwoording Het bestaande artikel 11, 1, van de wet van 30 november 1998 legt reeds de verantwoordelijkheid voor de veiligheid van de militaire informatica- en verbindingssystemen en die systemen die de minister van Landsverdediging beheert bij de algemene Dienst Inlichting en Veiligheid van de Krijgsmacht. Rekening houdend met de recente wereldwijde toename van cyberaanvallen op overheidssystemen, in het bijzonder op vitale systemen of systemen met gevoelige of geclassificeerde informatie, maakt de voorgestelde wijziging het mogelijk te reageren op dergelijke aanvallen, met indien nodig de mogelijkheid tot inwinnen van inlichtingen via intrusie in informaticasystemen zoals voorzien in het voorgestelde artikel 18/16 (art. 14 van het wetsvoorstel). Een dergelijke actie moet er toe leiden de aanvallers te identificeren en de aanval te neutraliseren. Het expliciet inschrijven van deze defensieve mogelijkheid in de opdrachten van de algemene Dienst Inlichting en Veiligheid van de Krijgsmacht beantwoordt aan een aanbeveling van het Vast Comité I. In dit verband wordt bijvoorbeeld verwezen naar het activiteitenverslag van het Vast Comité I, 2006, blz. 11. 3
3. Wet van 4 februari 2010, houdende wijziging van de Wet op de inlichtingen- en veiligheidsdiensten van 30 november 1998 Art. 11, 1, 2 : De Algemene Dienst Inlichting en Veiligheid heeft als opdracht : ( ) in het kader van de cyberaanvallen op militaire informatica- en verbindingssystemen of systemen die de minister van Landsverdediging beheert, de aanval te neutraliseren en er de daders van te identificeren, onverminderd het recht onmiddellijk met een eigen cyberaanval te reageren overeenkomstig de bepalingen van het recht van de gewapende conflicten 4
4. What constitutes an act of war, when it comes to cyberwarfare? https://www.youtube.com/watch?v=wnaqaihzx_w 5
5. Law of Armed Conflict (LoAC) : not an easy subject Ius ad bellum - «recht tot de oorlog» = rechtsregels om tot oorlog over te gaan / om een gewapend conflict te starten (aanval) of om er op te reageren (tegenaanval) UNO-handvest (art. 2 & 51) Gewoonterecht, internationale rechtspraak Ius in bello «recht tijdens de oorlog» = rechtsregels tijdens het voeren van de oorlog Vooral : Conventies van Genève (1947) : humanitair oorlogsrecht Ook de Conventies van Den Haag : inperking van ingezette wapens / methodes + Specifieke internationale conventies Daarnaast : UN Articles on State Responsibility (countermeasures / plea of necessity / force majeure). 6
6. Attributie (toewijzing / identificatie) One of the things that scares military officials the most about cyberwar is that, if an attack comes, they may not know who the enemy is (Hirsch) Wei Jinching (1996) : An information war is inexpensive, as the enemy country can receive a paralyzing blow through the Internet, and the party on the receiving end will not be able to tell whether it is a child's prank or an attack from its enemy. Attributie van belang voor : Doelwit voor de tegenaanval Karakterisering Toepasselijk rechtssysteem (ingeval het om een niet-militair gaat) Respecteren van neutraliteit & vermijden collatoral damage Estland-incidenten : 178 landen van oorsprong Quid aanvallen van binnenuit? 7
7a. UNO-handvest en het LoAC (a) Art. 2 (4) UNO-handvest : Verbod van geweld «All Members shall refrain in their international relations from the threat or use of force against the territorial integrity or political independence of any state, or in any other manner inconsistent with the Purposes of the United Nations» Art. 41 / 46 UNO-handvest : armed force (security council) Art. 51 UNO-handvest : Recht op zelfverdediging : «Nothing in the present Charter shall impair the inherent right of individual or collective self-defence if an armed attack occurs against a Member of the United Nations, until the Security Council has taken measures necessary to maintain international peace and security» 8
7b. Use of force (armed conflict) Tallinn Manual, rule 23, par. 8 The development of further State practice notwithstanding, network intrusions, the deletion or destruction of data (even on a large scale), computer network exploitation, and data theft do not amount to a non-international armed conflict. The blocking of certain internet functions and services would not, for example, suffice to trigger a noninternational armed conflict, nor would the morphing of governmental or other official websites. Tallinn Manual, rule 38, par 4 & 5 The meaning of the term object is essential to understanding this and other Rules found in the Manual. An object is characterized in the ICRC Additional Protocols Commentary as something visible and tangible. ( ). For the purpose of this Manual, computers, computer networks, and other tangible components of cyber infrastructure constitute objects. The majority of the International Group of Experts agreed that the law of armed conflict notion of object should not be interpreted as including data. Data is intangible and therefore neither falls within the ordinary meaning of the term object norcomports with the explanation of it offered in the ICRC Additional Protocols Commentary. Nevertheless, as noted in the Commentary to Rule 30, a cyber operation targeting data may, in the view of the majority of the Experts, sometimes qualify as an attack when the operation affects the functionality of computers or other cyber systems Tallinn Manual onderkent slechts één geval : Stuxnet.maar wie zat er achter? 9
8. Beperkingen uit het ius in bello Bescherming van burgers en hun goederen : verwevenheid van systemen. Verbod van niet-discriminerende middelen : quid virussen (Stuxnet) Warning : Tallinn Manual, rule 58 : Effective advance warning shall be given of cyber attacks that may affect the civilian population unless circumstances do not permit. This Rule derives from Article 57(2)(c) of Additional Protocol I and Article 26 of thehague Regulations. ( ) Rule 58 applies only to cyber attacks as defined in Rule 30; it does not apply to cyber operations falling short of that level. Additionally, it does not apply to situations in which civilian objects will be damaged or destroyed without the civilian population being placed at risk. This point is especially important in the cyber context since cyber. Warnings may be conveyed through the enemy if it is reasonable to conclude in the circumstances that the enemy will warn its population. For instance, if dual-use cyber infrastructure is to be attacked, the attacking force may elect to warn the enemy of the impending attack on the assumption that the enemy will warn the civilian population to take steps to minimize any expected collateral damage. However, if it is unreasonable to conclude the enemy will do so (perhaps because the enemy wants to use affected civilians and civilian objects as shields), such a warning will not suffice. Instead, the attacker would need to directly warn the civilian population itself, subject to the conditions set forth in this Commentary. 10
9. Conclusie «There has never been, nor will there ever be a cyberwar» (Prof. Thomas Rid, Kings College London, 2013) 11
Einde van de presentatie Referenties en disclaimer Voor een gedetailleerde uiteenzetting van de in deze presentatie opgenomen standpunten, zie Franceus, F., Cyberaanvallen en het recht van de gewapende conflicten : bemerkingen bij een juridische primeur in België en de Verenigde Staten, Cahier Inlichtingenstudies,2012/2, Maklu (ook beschikbaar op http://www.politiestudies.be/vrij.cfm?id=166) Videoclips : www.youtube.com Disclaimer & Caution: De door de auteur uitgedrukte ideeën en standpunten kunnen enkel aan hemzelf toegeschreven worden en binden in geen enkele mate het Vast Comité I. Citaten zonder expliciete toestemming van de auteur, onder welke vorm en in welk medium dan ook,, worden uitdrukkelijk verboden. Conctact : Frank Franceus, Directeur van de dienst Enquêtes Vast Comité van toezicht op de Inlichtingen- en veiligheidsdiensten, frank.franceus@comiteri.be, www.comiteri.be 12