Ideen om en “Cyber Geneve-Konvensjonen” har fått damp i de siste fem årene. Basert på den opprinnelige Geneve-Konvensjonen, som dateres tilbake til 1864, ville det sikre at visse typer angrep, samt spesifikke mål, ville forbli off-grensene i en cyberwar.
Begrepet regler som dikterer hva som ikke bør være tillatt i krigen skjedde etter Swiss national Henry Dunant besøkte sårede soldater under den Andre italienske Krigen av Forening og fant ut at lite ble gitt for å hjelpe skadet og dør. Han kalles for en permanent lindring byrå som ville gi humanitær hjelp i tider med krig — som ble den Internasjonale Røde Kors.
Enda viktigere, Dunant foreslått en statlig traktaten til å gjenkjenne organisasjonen og dens nøytralitet. For sin innsats ble han en corecipient av den første Nobels Fredspris i 1901.
Den første Genève-Konvensjonen ble om syke og sårede soldater, men i tiden ble utvidet til å dekke behandling av krigsfanger. Etter den andre Verdenskrig, det ble endret til å dekke krigsforbrytelser.
Haag-Konvensjonene
Genève-Konvensjonene’ primære fokus har vært på sårede soldater, behandling av innsatte og hvordan krigsforbrytere kunne bli straffet.
Faktisk, Genève-Konvensjonene er ofte forvirret med Haag-Konvensjonene av 1899 og 1907, som var blant de første formelle uttalelser som omhandlet krigens lover og forbrytelser. (En tredje Haag-Konvensjonen var å ta plass i 1915, men gjorde det ikke på grunn av utbruddet av første Verdenskrig.)
Poenget med begge konvensjonene er at i krig visse ting bør være forbudt. Haag-Konvensjonene som er lagt ut regler om bruk av kjemiske og biologiske våpen, som var sidestepped og deretter regelrett ignorert under den første Verdenskrig.
Likevel, krigførende land har fulgt reglene, verken side i andre Verdenskrig, brukte giftgass til tross for det faktum at begge sider hadde store lagre i stedet.
En lignende traktaten kunne sikre at noen ting ville være off-limits i cyberwarfare, som fører til at et kjernefysisk anlegg for å smelte ned.
Den
Royal United Services Institute fornyet anrop for en slik pakt tidligere i år, noe som tyder på at etableringen av en enkel digital markør kunne sikre at systemer og trafikk kan identifiseres som er beskyttet i cyberconflict under en internasjonal konvensjon.
Legging Bakken Arbeid
Haag-Konvensjonene ville ikke ha vært mulig hadde det ikke vært for Geneve-Konvensjonen. Før disse konvensjoner, regler i krig ble i hovedsak bygd opp av ledere på den tiden.
En Cyber-Geneve-Konvensjonen kanskje har solid fotfeste, som sikkerhet beslutningstakere allerede har diskutert noen emner på arrangementer som 2011 sikkerhetskonferanse i München. Mer nylig, President Obama og Kinesisk President Xi Jinping i oktober forpliktet til en cybersecurity-avtalen som ville begrense tyveri av intellektuell eiendom.
Det gjenstår spørsmålet om slike bindende avtaler er verdt det digitale papiret de er skrevet på.
“Avtalen mellom USA og Kina er egentlig ikke rettskraftig,” sa Fyren Nizan, administrerende DIREKTØR i
IntSights Cyber Intelligence.
Mens regjeringer har avtalte å ikke stjele hverandres IP-avtalen egentlig ikke skissere hvordan de nasjoner ville stoppe eller hindre deres borgere og bedrifter fra å engasjere seg i en slik taktikk.
“I dag kan du ikke alltid vet hvem som står bak angrepet, og det er relativt enkelt å dekke dine spor,” Nizan fortalte TechNewsWorld. “Det er ikke rettskraftig fordi du ikke har en organisasjon som
International Atomic Energy Agency i sted.”
Hva er Off-Limits
Nøkkelen begrunnelsen for en avtale, er imidlertid fortsatt basert på ideen om at visse mål som skal være off-limits i krigføring.
“En slik avtale kommer til å være en nødvendighet i måten ting er på vei,” sa Bruce McConnell, global vice president i EastWest Institutt.
“Sivile kjernekraftverk er et flott eksempel på hva som bør være forbudt i alle slags cyberattack,” fortalte han TechNewsWorld.
“Grunnen til at en slik avtale er nødvendig er en av eskalering, spesielt i cyberspace hvor det kan være veldig vanskelig å si hvem som avfyrte det første skuddet,” McConnell lagt til.
“Det andre problemet er en av feilberegning, der det kan være en mindre skala, hack ender opp med å koste liv og ødelegge kritisk infrastruktur,” sa han.
Statlig Støtte
Som et resultat av President obamas møte med President Xi og deres påfølgende avtalen, og det er lite trolig at USA og Kina vil direkte nettangrep mot hverandre. Sikkert de vil utøve nok tilbakeholdenhet for å unngå den slags stor-skala angrep som ville bli ansett for krigshandlinger om konvensjonelle våpen ble brukt.
En nær analogi er hvordan agenter fra den serbiske hemmelig samfunn Svart Hånd myrdet Østerrike-Ungarns erkehertug og satt av første Verdenskrig i 1914. Disse midlene ikke har offisiell støtte av den serbiske regjering, men i stedet jobbet på sitt oppdrag. Østerrikes regjering svarte med å erklære krig mot Serbia.
“Det er en god analogi og summerer opp de farene vi står overfor i dag,” bemerket McConnell.
“Vi så nylig i nettangrep mot Estland som ikke var direkte av Moskva, men ble orkestrert av dårlig hevnere,” la han til. “I dag er det mange grupper som kunne eller ville mål rivaliserende makter’ systemer som ikke offisielt arbeid på bøker.”
Anonyme Trusler
En annen vesentlig trussel mot disse kommer fra sivile spillere som ikke er tilknyttet noen regjering. Hacker kollektivt kjent som Anonyme nylig erklært krig mot ISIS, og verken side er sannsynlig å respektere noen avtaler.
“Hvis land som melder seg på, spørsmålet flytter til hvordan de kontrollerer sine befolkninger,” bemerket Stephen Coty, direktør for trussel forskning på Alert Logic.
“Hacking er fortsatt mellom Kina og USA, slik at å signere et papir kan ikke ha gjort mye av en forskjell,” fortalte han TechNewsWorld. “Hvis noe, regjeringer kan se ut til tredjeparter for å
opprettholde deniability.”
Det bringer trussel tilbake full sirkel, der grupper kan være knyttet til en statlig indirekte — slik som Serbia Sorte Hånd.
“Når disse gruppene gå etter privat sektor-som kanskje ikke er omfattet av slike avtaler uansett-selskaper kan se ut til å hacke tilbake”, foreslo McConnell. “I dette tilfellet, kunne vi ende opp med cyber
kapere, med brev marque å gå etter hackere. Og det bringer oss tilbake til eskalering bekymring.”
Cyberwar Vs. Cyberespionage
Den endelige bekymring med en Cyber Geneve/Haag-Konvensjonen er at det ville være knyttet til cyberwar, men som ikke adressen spionasje. Verken Geneve eller Haag-Konvensjonene dekker spionasje eller spionere — så selv om en slik avtale ble skrevet, kan det igjen åpne muligheten for at landene skal bruke cyberspace for å samle inn informasjon.
“Spionasje allerede er spilt av noen uskrevne regler som de fleste av oss ikke fullt ut forstår,” sa McConnell.
“Hva gjør dette annerledes er at i tradisjonell spionasje du får informasjon som er i den virkelige verden, eller kjører eiendeler,” sa han.
“I cyber verden, det kan være mer enn bare å stjele data, det kan være å forlate noe bak som kan føre til skader også,” McConnell lagt til.
Eksempler på dette er Stuxnet og Flame-viruset angrep rettet mot irans kjernefysiske program i 2009-2010. De angrep uklare linjen mellom ” business-as-usual spionasje og angrep — og tydelig var rettet mot fysisk skade heller enn å samle inn informasjon.
Iran er antatt å stå bak flere mindre respons til angrepene, for å illustrere hvordan slike angrep kan eskalere alt for fort.
Alternative Fremgangsmåter
En konvensjon er kanskje ikke har mye makt eller autoritet, hvis det fungerer som et uavhengig organ, mye som IAEA, foreslo IntSights’ Nizan.
I stedet for en konvensjon, “USA bør fokusere innsatsen på å lage en gjennomførbar mekanisme som kan holde ansvarlig nasjonen for alle hacking grupper i det,” la han til.
Som kan føre til et internasjonalt organ for deling av data om Ip-adresser og trussel aktører og lukke sløyfen når det er nødvendig, men nøkkelen er å definere straff for brudd. Det kan også målrette mot useriøse grupper og nonstate spillere.
“Akkurat som atomic energy problemet, kan du gjøre det svært vanskelig å gjennomføre nettangrep hvis du har en slik en rettskraftig Cyber-Konvensjonen,” sa Nizan. “I slutten, grupper som ISIS stole på kompromitterte servere og tilkoblinger for å gjennomføre en cyberattack. Den Vestlige verden kan sørge for at det er ikke lett å få de ressursene ved hjelp av denne typen av konvensjonen.”
