Uznanie konkretnego ataku cybernetycznego za przypadek użycia siły zbrojnej nie wy-starcza jeszcze do stwierdzenia, że poszkodowane państwo może podjąć zgodne z prawem działania w samoobronie. Dopuszczalność takich działań zależy bowiem od tego, czy akt uzasadniający reakcję obronną wyczerpuje znamiona napaści zbrojnej24. W doktrynie przed-miotu podkreśla się, że nie każdy przypadek użycia siły zbrojnej powinien być traktowany jako napaść zbrojna. Twórcy KNZ świadomie przyjęli nieco wyższy próg, pozwalający na uznanie konkretnych przejawów użycia siły za napaść zbrojną, tym samym na odwołanie się do instytucji prawa do samoobrony25. Jeśli więc atak cybernetyczny nie osiąga tego progu, będzie istniała możliwość wykorzystania środków odwetowych (countermeasures) na wa-runkach wskazanych w prawie międzynarodowym26. Warto jednak pamiętać, że środki te nie mogą polegać na stosowaniu siły zbrojnej.
Podstawowym problemem, z jakim boryka się każde państwo zamierzające odpowie-dzieć zbrojnie na atak cybernetyczny w ramach prawa do samoobrony, jest kwestia sposo-bu wyznaczenia progu napaści zbrojnej. Istnieją dwa konkurencyjne stanowiska. Jedno kładzie akcent na cele ataku przeprowadzonego za pomocą sieci internetowej, drugie na-tomiast na jego skutki.
W pierwszym przypadku atak cybernetyczny będzie uznany za napaść zbrojną, gdy zo-stanie wymierzony w elementy infrastruktury krytycznej państwa27. Nie ma istotnego zna-czenia, czy skutkiem działań są jakieś bezpośrednie straty ludzkie lub materialne (skutki tego rodzaju oczywiście mogą, ale nie muszą, wystąpić w dalszej perspektywie czasowej).
Zwolennicy takiego podejścia na pierwszy plan wysuwają konieczność efektywnej
elimi-23 Vide: Tallinn Manual on the International Law Applicable to Cyber Warfare. Document prepared by the International Group of Experts at the invitation of the NATO Cooperative Cyber Defence Centre of Excellence, Cambridge 2013, s. 48–52.
24 Art. 51 Karty Narodów Zjednoczonych stanowi: Nic w niniejszej Karcie nie narusza przyrodzonego prawa każdego człon-ka Organizacji Narodów Zjednoczonych, przeciwko któremu dokonano zbrojnej napaści, do indywidualnej lub zbiorowej sa-moobrony, zanim Rada Bezpieczeństwa zastosuje środki konieczne do utrzymania międzynarodowego pokoju i bezpiec-zeństwa. Pełny tekst w: Prawo międzynarodowe publiczne..., op.cit., s. 19.
25 M. Kowalski, Napaść zbrojna w prawie międzynarodowym-w poszukiwaniu współczesnej definicji, „Studia Prawnicze”
2008 z. 3, s. 61–62; T. Gadkowski, Problematyka samoobrony na tle zakazu użycia siły w prawie międzynarodowym, „Ruch Prawniczy, Ekonomiczny i Socjologiczny” 2013 z. 3, s. 14.
26 M.N. Schmitt, ‘Below the threshold’ cyber operations: The countermeasures response option and international law,
„Virginia Journal of International Law” 2014 nr 3, s. 698–732.
27 J.P. Terry, Responding to attacks on critical computer infrastructure: What targets? What rules of engagement?, w: Com-puter network attack..., op.cit., s. 421–435.
nacji zagrożeń bezpieczeństwa zasobów informatycznych obsługujących infrastrukturę o kluczowym znaczeniu dla funkcjonowania państwa i społeczeństwa28.
Do przeprowadzenia ataków cybernetycznych zorientowanych na pewien cel służy najczęściej sztuczne generowanie dużego ruchu na danym serwerze lub usłudze sieciowej. Zwykle prowa-dzi to do wyczerpania dostępnych zasobów systemu, a w rezultacie do jego przeciążenia. W tej sytuacji nietrudno wyobrazić sobie, na przykład, skutki braku prawidłowego działania mecha-nizmu dystrybucji i zaopatrzenia społeczeństwa w energię elektryczną, gaz czy wodę29.
Kwalifikowanie ataku cybernetycznego jako napaści zbrojnej za pomocą kryterium celu wydaje się jednak dyskusyjne. Problematyczne jest przede wszystkim stawianie znaku rów-ności między różnymi formami ingerencji cybernetycznej. Nie zostają bowiem dostatecznie dobitnie wskazane zróżnicowane skutki, jakie może powodować atak z wykorzystaniem sie-ci internetowej wymierzony w elementy krytycznej infrastruktury państwa. Działania tego typu mogą dać jedynie efekt propagandowy: wywołać stan wzburzenia i niepokoju społecz-nego, spowodować utratę danych, wygenerować potencjalne zagrożenie (np. aktywacja bom-by logicznej), a także – w pewnych warunkach – przyczynić się do powstania strat ludzkich i materialnych30. Naturalnie nie każda z wymienionych sytuacji może stanowić podstawę do podjęcia działań w samoobronie. Innym słabym punktem analizowanej koncepcji jest brak jednolitej definicji pojęcia „infrastruktura krytyczna”31. Często elementy tej infrastruktury są wyznaczane przez odniesienie do terminu „bezpieczeństwo państwa”, równie trudnego do zdefiniowania w prawie tak krajowym, jak i międzynarodowym32.
Drugi ze sposobów kwalifikowania ataku cybernetycznego jako przypadku napaści zbroj-nej wymaga spojrzenia na konsekwencje tego typu działań. Uznanie konkretnego ataku cybernetycznego za podstawę do rozpoczęcia akcji w samoobronie jest warunkowane tym, czy zakres i skutki wrogiego aktu w cyberprzestrzeni są pod względem dotkliwości po-równywalne z zakresem i skutkami przypisywanym tradycyjnemu rozumieniu napaści zbrojnej. Jak zauważył Międzynarodowy Trybunał Sprawiedliwości w sprawie Nikaragui, napaść zbrojna obejmuje nie tylko działania regularnych sił zbrojnych po drugiej stronie granicy państwowej, lecz także wysyłanie przez lub w imieniu państwa zbrojnych band, sił nieregularnych lub najemników, które dopuszczają się przeciwko innemu państwu aktów zbrojnych o takiej doniosłości, że akty te są równoznaczne z napaścią zbrojną sił regular-nych lub oznaczają istotne w nią zaangażowanie33. Skoro nie każde naruszenie zakazu
28 E.T. Jensen, Computer attacks on critical national infrastructure: A use of force invoking the right of self-defence, „Stan-ford Journal of International Law” 2002 vol. 38, s. 223–229.
29 D. Brown, A proposal for an international convention to regulate the use of information systems in armed conflict, „Har-vard International Law Journal” 2006 nr 1, s. 188.
30 D.B. Hollis, Why states need an international law for information operations? „Lewis & Clark Law Review” 2007 nr 4, s. 1041.
31 W art. 3 ust. 2 ustawy z 26 kwietnia 2007 r. o zarządzaniu kryzysowym infrastrukturę krytyczną zdefiniowano jako sys-temy oraz wchodzące w ich skład powiązane ze sobą funkcjonalne obiekty, w tym obiekty budowlane, urządzenia, insta-lacje, usługi kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorstw. DzU z 2007 r. nr 89, poz. 590.
32 M. Roscini, World wide warfare..., op. cit., s. 118–119.
33 Case concerning military and paramilitary activities in and against Nicaragua (Nicaragua v. United States of America), ICJ Reports 1986, Judgment of 27 June 1986, § 195.
użycia siły stanowi równocześnie napaść zbrojną, to atak cybernetyczny – na potrzeby sto-sownej kwalifikacji – powinien skutkować poważnymi stratami ludzkimi oraz materialny-mi albo materialny-mieć potencjał ich spowodowania34.
Prawdopodobieństwo wystąpienia znacznych strat ludzkich oraz materialnych jest oczy-wiście większe, gdy atak z wykorzystaniem sieci internetowej zostanie ukierunkowany na zasoby informatyczne infrastruktury krytycznej państwa. W odróżnieniu jednak od wspo-mnianej koncepcji cel bezprawnych działań nie ma w tym przypadku samodzielnego zna-czenia. Istotne są rezultaty. Dla przykładu, gdy na skutek ataku cybernetycznego nie uru-chomi się agregat prądotwórczy w szpitalu, zdrowie i życie wielu pacjentów będzie zagrożone. W szczególnie niekorzystnym położeniu znajdą się ci, których poddano poważ-nym zabiegom medyczpoważ-nym, a także ci, którzy zostali podłączeni do urządzeń podtrzymują-cych życie. Podobnie, gdy skutkiem wrogiego wykorzystania cyberprzestrzeni będzie awa-ria systemu nawigacji lotu statku powietrznego, mechanizmu rozpoznawania przeszkód nawigacyjnych w żegludze morskiej lub też nagłe zaburzenie systemu koordynacji sygnali-zacji świetlnej w ruchu lądowym. W tym kontekście zwraca się uwagę również na ewentu-alne skutki awarii układu chłodzenia reaktora jądrowego polegające na niebezpieczeństwie uwolnienia materiałów radioaktywnych do atmosfery35.
Skutki, o których mowa, nie zawsze muszą wystąpić automatycznie. Do uznania ataków cybernetycznych za napaść zbrojną wystarcza bowiem, że mają one potencjał wywołania zniszczeń. Część komentatorów problemu poszukuje analogii do blokady morskiej państwa przez obce siły zbrojne. Obecnie taki akt jest uznawany za agresję, mimo że nie powoduje bezpośrednich strat ludzkich i materialnych. Ewentualne straty mogą powstać dopiero wte-dy, gdy zostanie podjęta próba przełamania blokady36. Znamienne, że wejście sił rosyjskich na Krym w nocy z 27 na 28 lutego 2014 roku większość badaczy uznała za napaść zbrojną, chociaż wówczas nie doszło do bezpośrednich starć jednostek wojskowych37. Podjęcie ak-tywnej obrony przez stronę ukraińską niewątpliwie miałoby poważne konsekwencje i z du-żym prawdopodobieństwem można stwierdzić, że doprowadziłoby do eskalacji konfliktu.
Znaczenie potencjału spowodowania poważnych strat ludzkich i materialnych jako elemen-tu definicyjnego napaści zbrojnej dostrzegł również Międzynarodowy Trybunał Sprawiedliwości. W sporze Iranu ze Stanami Zjednoczonymi dotyczącym zniszczenia kom-pleksu platform naftowych Trybunał nie wykluczył, że celowe pozostawienie min na pasie wód morskich, docelowo skutkujące tylko uszkodzeniem (a nie zniszczeniem) pojedyncze-go okrętu wojennepojedyncze-go, w określonych warunkach może uzasadniać podjęcie działań w samo-obronie38.
34 H.B. Robertson, Self-defense against computer network attack under international law, w: Computer network attack..., op.cit., s. 135.
35 Y. Dinstein, Computer network attacks and self-defence, w: Computer network attack..., op.cit., s. 105.
36 S. Li, When does internet denial trigger the right of armed self-defense?, „The Yale Journal of International Law” 2013 vol. 38, s. 179–216.
37 Tak np. P. Grzebyk, Aneksja Krymu przez Rosję w świetle prawa międzynarodowego, „Sprawy Międzynarodowe” 2014 nr 1, s. 19–22; J. Kranz, Kilka uwag na temat aneksji Krymu przez Rosję, „Państwo i Prawo” 2014 z. 8, s. 31.
38 Case concerning Oil Platforms (Islamic Republic of Iran v. United States of America), ICJ Reports 2003, Judgment of 6 No-vember 2003, § 64.
Z analizy wynika, że przyjęcie kryterium skutków ataku cybernetycznego na potrzeby je-go prawnej kwalifikacji jako przypadku napaści zbrojnej ma zdecydowanie solidniejsze pod-stawy. Ujęcie takie koresponduje nie tylko ze stanowiskiem Międzynarodowego Trybunału Sprawiedliwości wyrażonym w systematycznie podtrzymywanej linii orzeczniczej, lecz tak-że z przekonaniem państw dotyczącym sposobu kwalifikowania zagrotak-żeń uzasadniających działania obronne. Wraz z postępującą informatyzacją wielu dziedzin życia standard ten mo-że niekiedy sprawiać wramo-żenie zbyt rygorystycznego39. Zaprezentowane uwagi uwzględnia-ją wyłącznie istnieuwzględnia-jący stan prawny]. Niewykluczone, że w przyszłości pod wpływem no-wych doświadczeń społeczność międzynarodowa będzie w stanie zaakceptować bardziej elastyczne podejście do problemu kwalifikacji ataków cybernetycznych40. Obecnie jednak takiej woli nie wykazuje. Wystarczy wspomnieć, że ataki cybernetyczne na Estonię w 2007 ro-ku nie zostały uznane przez społeczność międzynarodową ani przez władze w Tallinie za napaść zbrojną (przynajmniej nie w formie oficjalnego oświadczenia). Do rzadkości należa-ły nawet opinie, według których w ogóle doszło do użycia sinależa-ły zbrojnej wobec Estonii41.
Niektórzy eksperci uważają, że w zasadzie jedynym przypadkiem, który mógłby być kwa-lifikowany jako napaść zbrojna, było wykorzystanie w 2010 roku komputerowego wirusa Stuxnet do ataku na irańską instalację nuklearną w Natanz42. Mechanizm działania szkodli-wego oprogramowania polegał na przyspieszeniu pracy wirówek służących do wzbogacania uranu. W pewnym momencie wirówki zaczęły pracować z tak ogromną prędkością, że do-szło do zniszczenia lub uszkodzenia wielu z nich. Spowodowało to opóźnienie irańskiego programu nuklearnego o co najmniej dwa lata43. Ze względów propagandowych władze w Teheranie próbowały bagatelizować wagę zniszczeń, twierdząc, że wirus Stuxnet spowo-dował problemy44. Zważywszy jednak na szkody materialne i prawdopodobną katastrofę hu-manitarną będącą rezultatem awarii w obiekcie jądrowym, uznanie tego ataku cybernetycz-nego za napaść zbrojną nie jest całkowicie pozbawione podstaw.