دفاع حقوقی در برابر «تهدیدات سایبری»

جوان آنلاین: در جریان جنگ ۱۲ روزه میان ایران و رژیم اشغالگر صهیونیستی، زیرساخت‌های بانکی ایران طی هفته‌های اخیر هدف حملات سایبری گسترده‌ای قرار گرفت، این حملات که شامل نفوذ به بانک‌های ملی، سپه، پاسارگاد و حتی صرافی نوبیتکس بود، نه‌تنها موجب اخلال در خدمات حیاتی مالی کشور شد بلکه بحث‌های تازه‌ای را در خصوص وضعیت امنیت سایبری، مسئولیت دولت‌ها و جایگاه این اقدامات در حقوق بین‌الملل برانگیخت. این حملات شامل تخریب داده‌های بانکی، اختلال در خدمات عمومی و سرقت دارایی‌های دیجیتال بود. آیا حملات سایبری به زیرساخت‌های مالی یک کشور می‌تواند مصداق استفاده از زور یا اقدام خصمانه در حقوق بین‌الملل باشد؟ مسئولیت بین‌المللی اسرائیل در قبال این اقدامات چیست؟ و چگونه می‌توان از منظر حقوقی، پاسخ مناسبی برای این تهدیدات نوظهور ترسیم کرد؟ این گزارش به دنبال یافتن پاسخ‌های دقیق و مستند برای این پرسش هاست. 

زیرساخت‌های مالی مانند نظام‌های بانکی، سامانه‌های پرداخت بین‌المللی و مقررات ضدپولشویی، به عنوان ابزار‌هایی برای تحقق اهداف حقوق بین‌الملل از جمله حفظ صلح، امنیت و توسعه پایدار عمل می‌کنند. این زیرساخت‌ها همچنین پلی میان منافع ملی دولت‌ها و منافع مشترک جهانی هستند و نقش مهمی در ایجاد همکاری‌های چند‌جانبه دارند. اهمیت این موضوع به حدی است که همواره اصلاحات گسترده‌ای در ساختار مالی بین‌المللی صورت می‌گیرد تا ریسک‌های سیستمی کاهش یابند و استاندارد‌های مالی تقویت شوند. فارغ از اهمیت این بخش، به طور کلی کنوانسیون چهارم ژنو (۱۹۴۹) و پروتکل الحاقی اول (۱۹۷۷)، کشور‌ها را از هدف قرار دادن غیرنظامیان و زیرساخت‌های غیرنظامی منع می‌کنند. در ماده ۵۲ پروتکل اول الحاقی به کنوانسیون ژنو، یک شیء تنها در صورتی هدف نظامی محسوب می‌شود که مشارکت مؤثر در عملیات نظامی داشته باشد و نابودی آن مزیت نظامی قطعی فراهم آورد، بنابر این مطابق ماده ۵۲ پروتکل اول الحاقی به کنوانسیون ژنو، اهداف غیرنظامی نباید مورد حمله قرار گیرند. بانک‌هایی که خدمات عمومی ارائه می‌دهند، از جمله بانک‌های سپه، ملی و پاسارگاد در اغلب موارد مشمول حمایت‌های حقوق بشردوستانه هستند. حمله به این بانک‌ها با تأکید بر عدم‌مشارکت مستقیم در عملیات نظامی، مصداق نقض حقوق بین‌الملل است. 

حملات سایبری چگونه رخ دادند؟

طبق گزارش‌های رسمی و اطلاعات منتشرشده حملات سایبری از سوی گروه‌های هکری‌ای که به اسرائیل نسبت داده شده‌اند، انجام گرفت. مهم‌ترین ویژگی‌های این حملات عبارت بودند از:
۱. قطع کامل خدمات آنلاین بانکی شامل اینترنت بانک، همراه بانک، سامانه‌های خودپرداز و در برخی موارد سامانه‌های پرداخت حقوق دولتی
۲. نفوذ به دیتابیس‌های حساس که به حذف تراکنش ها، از دست رفتن اطلاعات حساب‌ها و اختلال گسترده در پردازش داده‌ها منجر شد
۳. ادعای افشای اطلاعات‌میلیون‌ها مشتری بانک ملی ایران شامل شماره کارت، کد ملی، شماره همراه و تاریخ تولد که در فضای مجازی منتشر شد، هرچند بانک ملی و شرکت داده ورزی سداد صحت این ادعا را رد کردند. 

حمله سایبری در حقوق بین‌الملل و مصادیق اقدام خصمانه

در حال حاضر، هیچ معاهده جامع بین‌المللی‌ای درخصوص جنگ سایبری وجود ندارد، اما بسیاری از اصول کلی حقوق بین‌الملل، به ویژه منشور ملل متحد، قابل اعمال به حملات سایبری است. ماده ۲ منشور ملل متحد استفاده از زور علیه تمامیت سرزمینی یا استقلال سیاسی کشور‌ها را ممنوع می‌داند. اگر حمله سایبری به خسارت گسترده، فلج شدن زیرساخت‌های حیاتی یا خطر مرگ برای شهروندان منجر شود، می‌تواند در چارچوب استفاده از زور قرار گیرد. اصل عدم‌مداخله نیز دولت‌ها را از دخالت در امور داخلی کشور‌های دیگر از جمله نظام مالی، اقتصادی یا سیاسی منع می‌کند. طبق معیار‌های ارائه شده از سوی گروه تالین (Tallinn Manual) در خصوص حقوق بین‌الملل در جنگ سایبری، حملاتی که:
۱. زیرساخت مالی یک کشور را به طور گسترده مختل کنند
۲. به اختلال در توان پرداخت حقوق، بودجه عمومی یا خدمات مالی منجر شوند
۳. امنیت ملی و اعتماد عمومی را به خطر بیندازند، می‌توانند در قالب یک اقدام خصمانه یا حتی جنگ سایبری طبقه بندی شوند. 

مسئولیت بین‌المللی رژیم‌صهیونیستی

در صورت اثبات منشأ دولتی این حملات، بر اساس پیش‌نویس مواد مسئولیت دولت‌ها در قبال اعمال بین‌المللی خلاف مصوب کمیسیون حقوق بین‌الملل سازمان ملل متحد، اسرائیل از منظر حقوقی مسئول است. شرایط تحقق مسئولیت دولت:
۱. ارتباط مستقیم یا غیرمستقیم عملیات سایبری با یک نهاد دولتی (ارتباط گروه هکری با ارتش یا واحد‌های اطلاعاتی)
۲. قابل انتساب بودن اقدام به اسرائیل (در صورت کنترل عملیاتی یا دستور مستقیم)
۳. نقض تعهدات بین‌المللی مانند اصل عدم‌مداخله، اصل حسن همجواری و ممنوعیت استفاده از زور. 
در صورت تحقق چنین شرایطی، ایران حق دارد:
۱. از طریق سازمان ملل شکایت رسمی ارائه دهد
۲. درخواست جبران خسارت کند
۳. اقدامات متقابل مشروع انجام دهد (تا زمانی که مغایر با مقررات بین‌المللی نباشد). 

پیامد‌های داخلی و منطقه‌ای حملات سایبری

در پی انتشار ادعای سرقت اطلاعات‌میلیون‌ها حساب بانکی، جامعه ایرانی با موجی از نگرانی مواجه شد، حتی اگر داده‌ها جعلی باشند، آسیب به اعتماد عمومی به سیستم بانکی به تنهایی خسارتی غیرقابل انکار است که ممکن است به کاهش سپرده گذاری، افزایش نقدینگی و بی ثباتی اقتصاد خرد منجر شود. همچنین اختلال در پرداخت حقوق کارکنان دولتی، بازنشستگان و سربازان، به خدشه دارشدن اعتماد عمومی و افزایش فشار‌های اجتماعی منجر شده است. این موضوع می‌تواند جزو مصادیق تهدید امنیت ملی نیز تعبیر شود، به ویژه در مناطقی که خدمات مالی وابسته به این بانک هاست. ایران می‌تواند این حملات را در محافل بین‌المللی مطرح کرده و پروژه‌های منطقه‌ای همکاری سایبری را دنبال کند. همچنین این حملات می‌تواند به عنوان مبنایی برای تدوین رژیم حقوقی مقابله با جنگ سایبری در مجامع بین‌المللی عمل کند. 

برای مقابله با چنین تهدیداتی، مجموعه‌ای از اقدامات حقوقی، فنی و دیپلماتیک ضروری است:
۱. تدوین استراتژی ملی حقوق سایبری شامل مقررات شفاف درباره مقابله، بازیابی و همکاری بین‌المللی
۲. افزایش بودجه و ظرفیت تخصصی امنیت سایبری بانکی
۳. استفاده از ابزار‌های حقوقی بین‌المللی شامل شکایت رسمی به مجامع حقوقی مانند دیوان بین‌المللی دادگستری یا شورای امنیت
۴. تشویق به تشکیل کنوانسیون جهانی امنیت سایبری تحت نظارت سازمان ملل برای تعیین خطوط قرمز و پاسخ‌های مشروع
۵. شفاف‌سازی عمومی از سوی نهاد‌های دولتی برای حفظ اعتماد عمومی و جلوگیری از شایعات.

بررسی تجربه‌های جهانی

بنگلادش و حمله به شبکه سوئیفت ۲۰۱۶: در این حمله ۱۰۱میلیون دلار از حساب بانک مرکزی در نیویورک به سرقت رفت. بنگلادش با همکاری بانک فدرال نیویورک و سوئیفت، پیگیری قضایی و دیپلماتیک را آغاز کرد. این پرونده باعث شد سوئیفت استاندارد‌های امنیتی خود را به‌روزرسانی کند. نتیجه این تجربه برای ما این است که ایران باید در تعامل با نهاد‌های بین‌المللی مانند سوئیفت، چارچوب‌های امنیتی خود را تقویت و در صورت حمله از مسیر‌های دیپلماتیک و حقوقی برای پیگیری استفاده کند. 

امریکا و حمله به Equifax ۲۰۱۷: این حمله به افشای اطلاعات ۱۴۷‌میلیون نفر منجر شد. شرکت مذکور مجبور به پرداخت ۷۰۰‌میلیون دلار خسارت شد، با این حال قوانین فدرال در زمینه حفاظت از داده‌ها بازنگری و تقویت شد. نتیجه این تجربه برای ما این است که ایران نیازمند تصویب قانون جامع حفاظت از داده‌های شخصی است تا در صورت افشای اطلاعات بانکی، امکان پیگیری حقوقی و جبران خسارت فراهم باشد. 

کره‌جنوبی و حمله به Darkseoul ۲۰۱۳: طی این حمله در ۳۲ هزار سرور بانکی و رسانه‌ای اختلال ایجاد شد. کره‌جنوبی با استناد به منشور ملل متحد، حمله را مصداق اقدام خصمانه دانست و در مجامع بین‌المللی مطرح کرد. نتیجه این تجربه برای ما این است که ایران می‌تواند با استناد به دستورالعمل تالین و منشور ملل متحد، حملات سایبری را در قالب نقض اصل عدم‌مداخله یا استفاده از زور مطرح کند. 

عربستان و حمله گروه شمعون ۲۰۱۶: به موجب این حمله داده‌های بانکی به طور کامل حذف و خدمات متوقف شدند. عربستان به سرعت زیرساخت‌های پشتیبان را فعال کرد و تیم‌های واکنش سریع تشکیل داد. نتیجه این تجربه برای ما این است که اهمیت لزوم ایجاد سامانه‌های پشتیبان آفلاین و تیم‌های واکنش سریع در بانک‌ها برای کاهش خسارات و بازیابی اطلاعات را افزایش دهیم. 

اتحادیه اروپا و مقررات DORA ۲۰۲۲: در نتیجه افزایش حملات به مؤسسات مالی در اروپا، این مقرره تصویب شد، تصویب مقررات DORA برای الزام بانک‌ها به تاب آوری سایبری و گزارش‌دهی حملات است. نتیجه این تجربه برای ما این است که ایران می‌تواند با الگوبرداری از DORA، مقرراتی برای الزام بانک‌ها به امنیت سایبری، گزارش دهی حملات و پاسخگویی قانونی تدوین کند. 

جمع‌بندی راه‌حل‌های حقوقی قابل اجرا برای ایران

تجربه بین‌المللی، راه حل حقوقی، پیشنهاد برای ایران، حمله به سوئیفت، پیگیری دیپلماتیک و اصلاح استانداردها، تعامل با نهاد‌های مالی بین‌المللی و تقویت امنیت انتقال پول، افشای اطلاعات، جبران خسارت و تصویب قانون حفاظت داده، تدوین قانون جامع حفاظت از داده‌های بانکی، حمله دولتی، طرح در مجامع بین‌المللی، استفاده از ظرفیت منشور ملل متحد و دستورالعمل تالین، حذف داده ها، فعال‌سازی پشتیبان و واکنش سریع، الزام بانک‌ها به داشتن بک‌آپ آفلاین و تیم امنیتی، مقررات DORA، تاب آوری سایبری و گزارش دهی، تدوین مقررات ملی مشابه برای بانک‌ها و صرافی ها.

نتیجه‌گیری

در جهان امروز، جنگ‌ها صرفاً با توپ و تفنگ رخ نمی‌دهند بلکه کد‌های صفر و یک می‌توانند به اندازه موشک‌ها و تانک‌ها ویرانگر باشند. حملات اخیر اسرائیل به زیرساخت‌های مالی ایران، نقطه عطفی در چالش‌های امنیت سایبری خاورمیانه بود که بُعد حقوقی آن کمتر مورد توجه قرار گرفته است. با تقویت چارچوب‌های حقوقی، نهاد‌سازی بین‌المللی و افزایش ظرفیت ملی در برابر تهدیدات سایبری، می‌توان چشم انداز ایمن تری برای آینده اقتصاد دیجیتال و حاکمیت ملی ترسیم کرد.