Criminaliteit is van alle tijden en de preventie ervan zal altijd hoog op de politieke agenda blijven staan. De velden waarop het kat-en-muisspel zich afspeelt zijn vooral de laatste jaren drastisch aan het veranderen. Uit een onderzoek van de Europese Commissie over cybercrime en cybersecurity zijn verrassende cijfers naar voren gekomen.1 Ik dacht al van de ernst van de zaak op de hoogte te zijn, het bleek echter nog veel groter. Meer dan 150 landen en meer dan 230.000 systemen waren in mei 2017 slachtoffer van de befaamde WannaCry ransomware aanvallen. Deze aanvallen hadden een grote impact op de essentiële voorzieningen van staten. Het had bijvoorbeeld grote gevolgen voor ziekenhuizen.2 Hiernaast is het aantal veiligheidsincidenten over alle industrieën sinds 2015 met 38% gestegen. Dit is de grootste stijging in de laatste 12 jaar. Als laatste bestaat in sommige lidstaten van de Europese Unie 50% van de criminaliteit uit cybercrime!

“Hackers die worden gelinkt aan de Chinese overheid zouden zich hebben gericht op Nederlandse overheidsinstanties”. Een aantal weken geleden kwam RTL Nieuws met deze informatie op basis van anonieme bronnen.3 Het betreft de hackersgroep APT10. Het doel van deze groep is het stelen van intellectuele eigendom. Op deze manier kan China gebruik maken van de innovaties die door concurrerende bedrijven zijn behaald. Hiermee hoopt het de voorloper te worden en te blijven in de industrie. Deze groep richt zijn aanvallen op zogenaamde ‘Managed Service Providers’.4 Dit zijn bedrijven die op afstand de IT-infrastructuur van een consument beheren.5 Via deze commerciële dienstverleners breken zij op grote schaal in bij bedrijven en instanties. Ondanks veel spierballentaal vanuit onder meer de Verenigde Staten en het Verenigd Koninkrijk, blijft de hackersgroep actief. Onlangs heeft deze groep weer van zich laten horen in Noorwegen.6 Er zijn nog weinig voorbeelden van staten die andere staten aansprakelijk hebben gesteld voor cybercrime. Dit heeft natuurlijk politieke redenen. Maar wat zijn de redenen op internationaalrechtelijk gebied? Kan een staat wel een andere staat verantwoordelijk houden voor cybercrime aanvallen gepleegd door onderdanen? Voor deze vragen ga ik voornamelijk kijken naar de door de Verenigde Naties vastgestelde ‘Draft Articles on the Responsibility of States for Internationally Wrongful Acts’ (hierna: DARS) en ‘Responsibility of States for Internationally wrongful acts’ (hierna: ILC).

Internationale onrechtmatige daden

Voor staatsaansprakelijkheid is in het internationale recht geen duidelijke allesomvattende regeling aan te wijzen. Er zijn artikelen inzake de Staatsaansprakelijkheid (de ILC), maar deze zijn voornamelijk gewoonterechtelijk van aard. Toch is dit de beste bron voor een algemeen beeld van de mogelijkheden voor staatsaansprakelijkheid. In artikel 1 ILC is opgenomen dat elke internationale onrechtmatige daad van een staat, de aansprakelijkheid van deze staat met zich meebrengt. In artikel 2 staan twee voorwaarden voordat men kan spreken van een internationale onrechtmatige daad. Ten eerste moet er sprake zijn van een handeling (of nalaten) door een staat in strijd met een internationale verplichting die op die staat rust. Ten tweede moet deze handeling aan de staat kunnen worden toegerekend.

Handeling in strijd met een internationale verplichting

De eerste eis wordt in het internationale recht zeer breed geïnterpreteerd. Zo leidt iedere schending van een internationale verplichting in beginsel tot een onrechtmatige daad en dus tot aansprakelijkheid.7 In de context van cybercrime is van belang welke internationaalrechtelijke verplichtingen er worden geschonden. Als een staat is aangesloten bij een cybercrime verdrag, bijvoorbeeld het verdrag van Boedapest8, dan vloeien hieruit verplichtingen voort die bij cyberaanvallen geschonden worden. Indien een staat geen partij is bij dit soort verdragen, dan wordt het al een stuk lastiger. Er zou dan nog een beroep kunnen worden gedaan op gewoonterechtelijke verplichtingen.  

Toerekening

Indien we dus uitgaan van een schending van het internationale recht, komen we nu bij een heikel punt aan. De toerekening van een handeling aan een staat. Het uitgangspunt is dat alle handelingen van staatsorganen aan de staat worden toegerekend, zie artikel 4 lid 1 ILC. Zoals echter al uit een aantal recente cyberaanvallen blijkt, zijn het op het oog onafhankelijk opererende groeperingen die hierachter zitten. Er zijn echter wel mogelijkheden om deze gedragingen aan een staat toe te rekenen. Dit is vanzelfsprekend een stuk lastiger te bewijzen dan wanneer een staatsorgaan erachter zit.

Een staat kan aansprakelijk worden gesteld voor handelingen van private personen als de staat effectieve controle uitoefent over of instructies geeft aan die personen. Dit volgt uit artikel 8 ILC. Deze effectieve controle is in de Nicaragua-zaak door het Internationaal Gerechtshof geformuleerd.9 Uit deze zaak bleek dat het steunen van een gewapende opstand in Nicaragua middels financiële steun en training door de Verenigde Staten, niet aan de Verenigde Staten kon worden toegerekend. Er moet dus een zogenaamde effectieve controle test worden uitgevoerd, of het moet duidelijk worden dat de staat de private personen heeft geïnstrueerd. In het geval van een groep hackers zal het zeer lastig ofwel onmogelijk worden om één van deze twee gevallen te bewijzen.

Is aansprakelijkheid dan een kansloze zaak?

Uit de voorgaande problemen lijkt te volgen dat staten die worden geconfronteerd met cyberaanvallen weinig kunnen ondernemen. De koppeling van een handeling aan het schenden van een internationale verplichting is met steeds meer bilaterale en multilaterale verdragen geen onoverkomelijk obstakel. De toerekening van deze handelingen aan een staat is daarentegen zeer complex. De individuele verantwoordelijke personen worden wel door staten beschuldigd. Het moment dat een staat een andere staat aansprakelijk stelt voor cybercrime zal echter nog ver in de toekomst liggen.

 

Namens de redactiecommissie,

 

Luuk Wassink

 

 

  1. Europese Commissie, ‘Resilience, Deterrence and Defence: Building strong cybersecurity in Europe’, ec.europa.eu, 11 december 2018, online via: http://ec.europa.eu/newsroom/document.cfm?doc_id=46998
  2. J. Schellevis, ‘Zeker vijftien ziekenhuizen geïnfecteerd met ransomware’, nos.nl, 25 juni 2017, online via: https://nos.nl/artikel/2179941-zeker-vijftien-ziekenhuizen-geinfecteerd-met-ransomware.html
  3. RTL Nieuws, ‘AIVD: China hackt in Nederland en steelt gevoelige informatie’, rtlnieuws.nl, 19 januari 2019, online via: https://www.rtlnieuws.nl/nieuws/nederland/artikel/4580046/aivd-chinese-geheime-dienst-betrokken-bij-hacken-nederland
  4. B. Barrett, ‘How China’s elite hackers stole the world’s most valuable secrets’, wired.com, 20 december 2018, online via: https://www.wired.com/story/doj-indictment-chinese-hackers-apt10/
  5. M. Rouse, ‘Definition managed service provider (MSP)’, searchitchannel.techtarget.com, 11 juni 2015, online via: https://searchitchannel.techtarget.com/def