Politikusok és szakértők tíz éve riogatnak az internetes terrorizmus és a kiberháború veszélyével, de ezek a híresztelések erősen túloznak, és sokszor üzleti érdek húzódik meg mögöttük. Mindenesetre tisztázandó, mi legyen az internetes támadások helye a hadijogban.
„A kiberbiztonsági jelentések igen gazdagon adagolják a metaforákat – digitális Pearl Harborral, kiber-Katrinával fenyegetnek – ám sajnos annál szegényesebb tényanyagot tárnak elénk”– írja a Boston Review-ban Jevgenyij Morozov.
Május 29-én Obama elnök bejelentette, hogy nemzeti kiberbiztonsági tervet dolgoztat ki, mert „e téren néz szembe a nemzet az egyik legsúlyosabb gazdasági és nemzetbiztonsági kihívással”.
Ami a dolog gazdasági részét illeti, számos hír kelt szárnyra arról, hogy gonosztevők elektromos energiahálózatokat bénítottak meg internetes behatolással, de valójában egyetlen eset ismert, azt is egy csalódott belső ember követte el Ausztráliában. „Riasztó, hogy oly sokan veszik készpénznek a Fehér Ház kijelentéseit, anélkül, hogy további bizonyítékokat követelnének. Hát semmit sem tanultunk az iraki tömegpusztító fegyverekkel kapcsolatos állítások ügyéből?”
Eddig a nagy kiberbiztonsági pániknak egyetlen eredménye ismeretes: az internetbiztonsági piac kétszer olyan gyorsan nő, mint a számítástechnikai ipar egésze.
Ahhoz, hogy a terroristák vagy a háborús ellenség internetes támadással megbénítsa az ország életét, túl kell terhelnie a rendszert üzenetekkel. Ez ellen sokféleképp védekeznek, de végső soron minél nagyobb a rendszer és az alrendszerek kapacitása, annál reménytelenebb a vállalkozás. És Amerikáé elég nagy, bár persze növelhető. Más kérdés a behatolók elleni küzdelem, de ez elméletben nem különbözik a mindenkori kémelhárítás feladatától. A kényes alrendszereket jól kell védeni, a legkényesebbeket el kell különíteni az internettől, a kényes anyagokat rejtjelezni kell: ennek technikája ma igen fejlett.
A gyakorlatban a legtöbb túlterhelő támadást bűnözők indítják, éspedig zsarolás céljával. Például az internetes szerencsejátékot Amerikában tiltja a törvény. Amikor egy-egy ilyen cég fenyegetést kap, hogy adatok özönével a nagy futballmeccs napján megbénítják a szerverét, inkább fizet néhány tízezer dollárt, és nem jelenti az ügyet az amerikai hatóságoknak, hiszen tilosban jár.
Volt már a világnak dolga nemzetközi politikai kibertámadással is, éspedig Észtország esetében, ahogy annak idején a Metazin is beszámolt róla. 2007-ben Tallinn központjából eltávolították a szovjet katona emlékművét, s ez nagy felháborodást váltott ki Oroszországban. Ezt követően internetes támadásokkal hosszú időre megbénították az észt kormányhivatalok és az észt bankrendszer számítógépes hálózatát. Annak idején a nemzetközi sajtó felfigyelt arra, hogy Oroszországban hackerek hada vállalkozik ilyesfajta feladatokra megbízási díjért. A Metazin kiberzsoldosoknak nevezte őket.
Már ekkor is felmerült a gyanú, hogy a támadások nem teljesen függetlenek az orosz hatóságok szándékaitól, de mint Morozov írja, erre azóta sincs bizonyíték. A NATO szakértői a helyszínen tanulmányozták az ügyet, de kutatásaik eredményéről nem tudni semmit. Ennél sokkal erősebb gyanú ébredt az orosz kormánnyal szemben, amikor egy évvel később, a grúziai háború idején lefagytak a grúz kormányzati szerverek. Morozov ezt az esetet sem látja bizonyítottnak. Ami nem is meglepő, hiszen szinte lehetetlen kétséget kizáróan azonosítani a támadást irányító számítógépeket, és még ha sikerülne, akkor sem derülne ki, ki a hackerek megbízója.
Megemlíti azonban, hogy ideje lenne beilleszteni a kibertámadások ügyét a nemzetközi hadijogba. Ez a kérdés a grúz–orosz háború idején is felvetődött, de azóta mintha feledésbe merült volna. Pedig jó lenne tudni, katonai támadásnak minősül-e egy-egy ilyen internetes akció. És ha igen, mekkora méretűnek kell lennie ahhoz, hogy agressziónak lehessen tekinteni? Továbbá, háború idején milyen célpontok támadása jogos, és melyek tekintendők civil célpontnak?
Morozov azonban mindezeket a kérdéseket erősen elméleti jellegűnek tekinti, mert az ilyesfajta célok eléréséhez a kis államoknak a nagyokkal szemben nincs elég kapacitásuk, a nagyoknak pedig bőségesen van egyszerűbb, hagyományos eszközük is.
Mások jóval borúlátóbbak, és arra figyelmeztetnek, hogy a normák hiánya akár komoly fegyveres konfliktus kirobbanásával is fenyegethet.
Mivel az Európa Tanács által 2001-ben elfogadott kiberbűnözés elleni határozat erről a kérdésről nem rendelkezik, kizárólag a megtámadott államon múlik, hogy a kibertámadást háborús cselekedetként értékeli-e. Peter Hoekstra amerikai republikánus honatya például ellentámadást és szankciók bevezetését követelte Észak-Koreával szemben, miután július elején amerikai és dél-koreai szerverek ellen vélhetően Phenjan által megrendelt támadások indultak. Néhány hónapja egy hasonló eset kapcsán Kevin Chilton, a légierő tábornoka még messzebbre ment volna: felvetette, hogy az Egyesült Államoknak rakétákkal kellene ellencsapást mérnie a kibertámadókra. A kibertámadások igazi veszélye nem a szerverek leállása, hanem az aránytalan válaszlépés – figyelmeztetett nemrégiben Shaun Waterman biztonságpolitikai elemző.