UN GGE – prawo międzynarodowe w cyberprzestrzeni

Jednym z największych wyzwań w zakresie stosunków międzynarodowych jest zastosowanie istniejącego prawa międzynarodowego w cyberprzestrzeni. W 2003 r. Walne Zgromadzenie ONZ zwróciło się do Sekretarza Generalnego z prośbą o analizę potencjalnych zagrożeń bezpieczeństwa informacji, a także publikację ewentualnych środków prewencji i możliwości współpracy, które pomogłyby zminimalizować te zagrożenia. Efektem było powołanie Grupy ekspertów rządowych ds. rozwoju w dziedzinie informacji i telekomunikacji w kontekście bezpieczeństwa międzynarodowego (Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security – UN GGE), która zaadresowała to wyzwanie. W latach 2003-2020 obradowało sześć grup GGE.

Wybór  członków i zasady działania

Skład grupy GGE za każdym razem dobierany jest z zachowaniem proporcji geograficznych. Zgodnie z tradycją 5 miejsc przypada członkom Rady Bezpieczeństwa[1], pozostałe zostają rozdysponowane między państwami z uwzględnieniem interesów krajowych, równowagi politycznej i geograficznej, a także zaangażowania w prace poprzednich grup GGE. Ostateczną decyzję o składzie grupy podejmuje Sekretarz Generalny ONZ. Państwa, które otrzymają nominację, proszone są o wskazanie eksperta, który będzie ich reprezentantem. Najczęściej eksperci są urzędnikami państwowymi z doświadczeniem z obszaru bezpieczeństwa informacji, dyplomacji lub technicznym. Liczba członków poszczególnych grup GGE waha się od 15 do 25.

Każda grupa wybiera przewodniczącego spośród wszystkich członków. W 2004 i 2010 pracom grupy przewodniczył ekspert z Rosji, w 2013 z Australii, w 2015 z Brazylii, a w 2016 z Niemiec. Szósta grupa GGE 2019-2020 działa pod przewodnictwem Guilherme de Aguiar Patriota z Brazylii[2].

W czasie swojej kadencji, każda z grup GGE spotyka się cztery razy na tygodniowe sesje. Decyzje podejmowane są na drodze konsensusu. Spotkania odbywają się za zamkniętymi drzwiami bez udziału obserwatorów, co umożliwia ekspertom prowadzenie szczerego dialogu i wypracowanie porozumienia. Dlatego też grupa nie publikuje raportów ze swoich posiedzeń, a jedynym jawnym dokumentem jest raport końcowy.

Pierwsza Grupa GGE – 2004 – 2005 r.

Pierwsza Grupa Ekspertów Rządowych (GGE) została powołana w 2004 r. i składała się z przedstawicieli z piętnastu krajów (Białoruś, Brazylia, Chiny, Francja, Niemcy, Indie, Jordania, Korea Południowa, Malezja, Mali, Meksyk, Rosja, Południowa Afryka, Wielka Brytania i  Stany Zjednoczone). Przewodniczył jej rosyjski dyplomata A.V. Krutskikh. Grupa obradowała nad międzynarodowym podejściem do bezpieczeństwa informacji. Jednak znaczące rozbieżności w postrzeganiu tego tematu uniemożliwiły powstanie podsumowującego raportu. Największe rozbieżności dotyczyły kwestii ingerencji społeczności międzynarodowej w krajowe systemy bezpieczeństwa informacji, kwestii rozbrojenia, a także zakresu prac grupy.

Mimo braku konsensusu, państwa zdecydowały się na kontynuację obrad w ramach drugiej grupy GGE.

Druga grupa GGE – 2009 – 2010 r.

Okoliczności powołania drugiej grupy znacznie różniły się od poprzednich. W 2007 r. w Estonii miał miejsce pierwszy cyberatak, który sparaliżował sektor publiczny i część sektora prywatnego. W tym samym roku w Gruzji wykorzystano cyberataki w działaniach wojennych. Zaledwie rok później incydenty cyberbezpieczeństwa o charakterze politycznym zakłóciły stabilność Litwy. W efekcie Litwa oficjalnie uznała cyberbezpieczeństwo za element bezpieczeństwa narodowego. Atrybucję wszystkich powyższych ataków przypisano Rosji, która wraz z Chinami, Kazachstanem, Kirgistanem, Tadżykistanem i Uzbekistanem podpisały umowę o bezpieczeństwie informacji pod patronatem Szanghajskiej Organizacji Współpracy. Również NATO zaczęło dostrzegać wojskowe znaczenie cyberzagrożeń[3].

Powołana w takich okolicznościach grupa GGE skupiła swoje działania w obszarze bezpieczeństwa międzynarodowego. Uczestniczyło w niej 15 państw: Białoruś, Brazylia, Chiny, Estonia, Francja, Niemcy, Indie, Izrael, Włochy, Korea Południowa, Katar, Rosja, Południowa Afryka, Wielka Brytania i Stany Zjednoczone. W wyniku jej prac powstał raport, który wzywał do współpracy między państwami, sektorem publicznym i prywatnym w celu zwiększenia poziomu cyberbezpieczeństwa. Raport zawierał również listę zaleceń dotyczących analizy ryzyka, wymiany informacji i najlepszych praktyk, m.in.:

  • dalszy dialog między państwami w celu obniżenia ryzyka zagrożeń związanych z cyberbezpieczeństwem i ochroną infrastruktury krytycznej;
  • budowa wzajemnego zaufania, stabilizacja i obniżenie ryzyka wynikającego z wykorzystywania technologii ICT przez państwa, również w kontekście konfliktów międzynarodowych;
  • wymiana informacji na temat ustawodawstwa krajowego, krajowych strategii, rozwiązań technologicznych, politycznych i przykładów dobrych praktyk; 
  • identyfikacja środków wspierających rozwój technologii w państwach słabiej rozwiniętych[4].

Link: Raport z prac grupy GGE 2010

Trzecia grupa UN GGE 2012-2013

Trzecia grupa GGE obradowała w latach 2012-2013 . Została ona powołana w 2011r. Rezolucją Walnego Zgromadzenia ONZ nr. 66/24. Do obrad zaproszono 15 ekspertów z Argentyny, Australii, Białorusi, Kanady, Chin, Egiptu, Estonii, Francji, Niemiec, Indii, Indonezji, Japoni, Rosjii, Wielkiej Brytanii i USA. Eksperci obradowali trzykrotnie w latach 2012-2013. Opublikowany 24 czerwca  2013 r. raport przedstawiał znacznie dalej idące wnioski, niż dokumenty wypracowane przez poprzednie grupy. 

Eksperci podkreślili, że prawo międzynarodowe ma zastosowanie w cyberprzestrzeni. Działalność państw w Internecie, również działalność infrastruktury informacyjno-komunikacyjnej na terytorium danego państwa, podlega zarówno Karcie Narodów Zjednoczonych, normom i zobowiązaniom dotyczącym suwerenności państwowej, jak i pozostałym przepisom prawa. Oznacza to m.in., że ani państwa członkowskie, ani podmioty przez nie nadzorowane, nie mogą wykorzystywać serwerów pośredniczących, tzw. serwerów proxy, do bezprawnych działań w cyberprzestrzeni. Nie wolno też wspierać innych podmiotów, które prowadzą takie działania.

Główne tezy raportu końcowego grupy GGE 2012/2013

Zalecenia dotyczące norm i zasad postępowania państw:

  • konieczność stosowania norm obowiązującego prawa międzynarodowego w cyberprzestrzeni, w tym Karty Narodów Zjednoczonych;
  • przyjęcie międzynarodowego kodeksu postępowania w zakresie bezpieczeństwa informacji;
  • poszanowanie praw człowieka i podstawowych wolności zawartych prawie międzynarodowym przy podejmowaniu działań związanych z cyberbezpieczeństwem;
  • zintensyfikowanie prac przeciwko działalności przestępczej w cyberprzestrzeni;
  • zakaz wykorzystywania serwerów proxy w celach bezprawnych działań w cyberprzestrzeni;
  • włączenie społeczeństwa i sektora prywatnego w działania na rzecz zwiększenia poziomu cyberbezpieczeństwa.

Zalecenia dotyczące środków budowy zaufania i wymiany informacji:

  • opracowanie środków budowy zaufania, które zwiększą przejrzystość i przewidywalność współpracy międzynarodowej (dobrowolna wymiana informacji, stworzenie ram współpracy, udostępnianie informacji o zaistniałych incydentach, współpraca krajowych zespołów CERT, wspólna reakcja na incydenty, współpraca w zakresie egzekwowania prawa);
  • promowanie uzupełniających działań i najlepszych praktyk zarówno na poziomie krajowym, jak i międzynarodowym, z wykorzystaniem istniejących organizacji, tj. Unii Europejskiej, Forum Regionalnego ASEAN, Ligi Państw Arabskich, Organizacji Państw Amerykańskich, OBWE itp.;
  • prowadzenie regularnego dialogu między państwami, w celu intensyfikacji współpracy i wzmocnienia wzajemnych zobowiązań (spotkania powinny odbywać się z udziałem ONZ, a także innych organizacji międzynarodowych).

Zalecenia dotyczące środków budowy potencjału:

  • wsparcie państw, które potrzebują pomocy we wzmocnieniu umiejętności technicznych i rozwijaniu ustawodawstwa, zapewniającego wysoki poziom cyberbezpieczeństwa;
  • wspieranie międzynarodowych wysiłków na rzecz budowania potencjału cyberbezpieczeństwa poprzez ustanowienie krajowych ram prawnych, możliwości egzekwowania prawa, ograniczanie wykorzystania technologii ICT do celów przestępczych;
  • identyfikacja sprawców, rozpowszechnianie najlepszych praktyk poprzez:
    • zwiększanie zdolności reagowania na incydenty poprzez wzmocnienie współpracy między zespołami CERT,
    • wykorzystanie e-learningu do dzielenia się wiedzą,
    • większą współpracę międzynarodową w zwalczaniu incydentów,
    • zaangażowanie instytutów badawczych w badania i analizy bezpieczeństwa teleinformatycznego, które mogą wspierać państwa członkowskie ONZ.

Link: Raport z prac grupy GGE 2013r.

Czwarta grupa UN GGE 2014-2015

Czwarta grupa UN GGE została powołana 68/243 Rezolucją Walnego Zgromadzenia ONZ w grudniu 2013 r. Tym razem w obradach grupy wzięło udział 20 ekspertów, przedstawicieli państw: Białoruś, Brazylia, Chiny, Kolumbia, Egipt, Estonia, Francja, Niemcy, Ghana, Izrael, Japonia, Kenia, Malezja, Meksyk, Pakistan, Republika Korei, Rosja, Hiszpania, Wielka Brytania, USA. W raporcie opublikowanym w 2015r. eksperci wezwali państwa członkowskie do współpracy w celu zapobiegania szkodliwym praktykom z obszaru ICT, a także bardziej zaawansowanej wymiany informacji i pomocy w ściganiu cyberprzestępców. Stanowczo podkreślono także, że państwa nie powinny świadomie wspierać działań w cyberprzestrzeni, które są wymierzone w struktury innych państw, zwłaszcza ich infrastrukturę krytyczną. Ochroną należy objąć również systemy wykorzystywane przez służby ratunkowe, a także instytucje zapewniające integralność łańcucha dostaw. Wykryte podatności należy raportować tak, aby rosła odporność na cyberzagrożenia wszystkich państw.

Główne tezy raportu końcowego grupy GGE 2014-2015

  • dalszy rozwój koncepcji budowy bezpieczeństwa międzynarodowego w oparciu o wykorzystanie nowoczesnych technologii;
  • zaangażowanie sektora nauki i biznesu w działania zapewniające cyberbezpieczeństwo, włączenie środowisk badawczych w prowadzenie analiz związanych z rozwojem ICT;
  • wzmocnienie wiodącej roli ONZ w promowaniu dialogu na temat bezpieczeństwa technologii informacyjno-komunikacyjnych;
  • zachęcanie do dalszej współpracy i tworzenia nowych platform dialogu międzynarodowego;
  • zwołanie przy ONZ kolejnej grupy GGE w 2016 r.

Walne Zgromadzenie przyjęło sprawozdanie w grudniu 2015 roku i wezwało państwa członkowskie do przestrzegania jego założeń.

Link: Raport z prac grupy GGE 2015

Piąta grupa UN GGE 2016-2017

W 2016 powołano piątą grupę UN GGE, która obradowała w latach 2016-2017. W jej pracach uczestniczyło 25 ekspertów z Australii, Botswany, Brazylii, Kanady, Chin, Kuby, Egiptu, Estonii, Finlandii, Francji, Niemiec, Indii, Indonezji, Japonii, Kazachstanu, Kenii, Meksyku, Holandii, Rosji, Senegalu, Serbii, Korei Południowej, Szwajcarii, Wielkiej Brytanii, USA. Grupie przewodniczyły Niemcy, a jej prace ostatecznie zakończyły się brakiem konsensusu. Nie powstał raport końcowy. Zamiast tego w czerwcu 2017r. do ONZ wpłynęły oświadczenia dwóch delegacji: reprezentantów Stanów Zjednoczonych i Kuby, wyjaśniające powody braku porozumienia. Stany Zjednoczone oczekiwały od grupy wypracowania jasnych i konkretnych wytycznych stosowania prawa międzynarodowego w zakresie zastsowania nowoczesnych technologii, w tym prawa humanitarnego, prawa do samoobrony, a także prawa odpowiedzialności państwa i środków zaradczych. Aktualnie, zgodnie z prawem międzynarodowym, państwa mogą leganie używać siły w ramach samoobrony, w odpowiedzi na poważny atak zbrojny i proporcjonalnie do poniesionej szkody. Podobnie w przypadku prawa humanitarnego, które opiera się na rozróżnieniu między cywilami, a wojskowymi. W przypadku cyberataków niezwykle trudne jest wytypowanie pojedynczego sprawcy, poszkodowanych, cywilów i wojskowych. Zdaniem przedstawicieli Kuby, a nieoficjalnie wiadomo również, że podobne stanowisko zajęły Rosja i Chiny, zastosowanie tych przepisów w cyberprzestrzeni mogłoby prowadzić do jej militaryzacji[5].

Dopiero w grudniu 2018 roku  zapowiedziano powołanie szóstej grupy UN GGE. .

Szósta grupa UN GGE 2019-2020r.

22 grudnia 2018r. na 73. Zgromadzeniu Ogólnym ONZ powołano szóstą grupę GGE, która ma kontynuować pracę poprzednich grup. Przewodniczącym został Ambassador Guilherme de Aguiar Patriota z Brazylii. Grupa liczy 25 członków, ekspertów z dziedziny bezpieczeństwa informacji, dyplomacji, a także o zapleczu technicznym. Eksperci podejmą pracę nad wypracowaniem wspólnego zrozumienia istniejących i potencjalnych zagrożeń bezpieczeństwa informacji, a także możliwych środków zapobiegawczych. Będą również rozwijać podejście zastosowania prawa międzynarodowego do nowych technologii informacyjno-komunikacyjnych, a także opracowywać normy i wytyczne z zakresu policy, środków budowy zaufania wśród państw członkowskich. W okresie swojej działalności grupa spotka się na czterech tygodniowych sesjach, z których pierwsza odbyła się 9-13 grudnia 2019r., a następne planowane są na marzec 2020, sierpień 2020 i maj 2021. W latach 2019-2021 planowane są również konsultacje z 6 organizacjami regionalnymi. Efektem prac grupy będzie raport, który zostanie ogłoszony na 76. Zgromadzeniu Ogólnym ONZ w 2021r

Otwarta grupa robocza – OEWG

Równolegle z szóstą grupą GGE utworzono Otwartą grupę roboczą ds. Rozwoju technologii teleinformatycznych w kontekście bezpieczeństwa międzynarodowego (Open-Ended Working Group on Developments in the Field of ICTs in the Context of International Security – OEWG). W grupie uczestniczą wszystkie zainteresowane państwa, a jej głównymi zadaniami jest dyskusja na temat: dalszego rozwijania zasad, i norm, a także sposobów ich wdrażania; praca nad środkami budowy zaufania; praca nad zastosowaniem prawa międzynarodowego w cyberprzestrzeni; regularny dialog instytucjonalny z szerokim udziałem wszystkich interesariuszy; a także budowanie zdolności ochrony systemów IT przed istniejącymi i potencjalnymi zagrożeniami.

Grupa jest prowadzona w formie otwartej, co oznacza że każde państwo będące członkiem ONZ może się zaangażować w jej pracę. Jednocześnie będą prowadzone konsultacje z biznesem, organizacjami pozarządowymi, oraz przedstawicielami świata nauki. Przewodniczącym grupy jest Ambassador Jürg Lauber ze Szwajcarii, a raport z jej działalności zostanie ogłoszony na 75. Zgromadzeniu Ogólnym ONZ w 2020 r. 

PODSUMOWANIE:

Grupa ekspertów rządowych ds. rozwoju w dziedzinie informacji i telekomunikacji w kontekście bezpieczeństwa międzynarodowego po raz pierwszy została powołana w 2003r. Od tego czasu obradowało 6 grup UN GGE, których głównym zadaniem jest analiza zastosowania prawa międzynarodowego w cyberprzestrzeni, a także wypracowanie środków prewencji i możliwości współpracy, które wpłyną na podniesienie poziomu cyberbezpieczeństwa na świecie. 

1 grupa UN GGE (2004 – 2005)

Skład: 15 ekspertów pod przewodnictwem Rosji.

Prace grupy zakończyły się brakiem konsensusu.

2 grupa UN GGE (2009-2010)

Skład: 15 ekspertów pod przewodnictwem Rosji.

Prace grupy zakończyły się raportem podkreślającym konieczność współpracy pomiędzy państwami, sektorem publicznym i prywatnym w celu zwiększenia poziomu cyberbezpieczeństwa

3 grupa UN GGE (2012-2013)

Skład: 15 ekspertów pod przewodnictwem Australii.

Prace grupy zakończyły się raportem podkreślającym zasadność zastosowania prawa międzynarodowego w cyberprzestrzeni. Eksperci zgodzili się, że działalność infrastruktury informacyjno-komunikacyjnej państw podlega zarówno Karcie Narodów Zjednoczonych, jak i normom i zobowiązaniom dotyczącym suwerenności państwowej, a także innym przepisom prawa.

4 grupa UN GGE (2014-2015)

Skład: 20 ekspertów pod przewodnictwem Brazylii.

Prace grupy zakończyły się raportem nawołującym do dalszej współpracy w celu budowania bezpieczeństwa międzynarodowego, zaangażowania sektora nauki i biznesu w działania z zakresu cyberbezpieczeństwa, a także wzmocnienia wiodącej roli ONZ w promowaniu dialogu na rzecz bezpieczeństwa.

5 grupa UN GGE (2016 -2017)

Skład: 25 ekspertów pod przewodnictwem Niemiec.

Prace grupy zakończyły się brakiem konsensusu.

6 grupa UN GGE (2019-2020)

Skład: 25 ekspertów pod przewodnictwem Brazylii

Wynik pracy grupy zostanie przedstawiony na 76. Zgromadzeniu Ogólnym ONZ w 2021r. 

Równolegle z 6 grupą UN GGE powołano otwartą grupę roboczą OEWG, w skład której wchodzą wszystkie zainteresowane państwa. Główne zadania grupy to dyskusja na temat:

  • dalszego rozwijania zasad, i norm, a także sposobów ich wdrażania;
  • pracy nad środkami budowy zaufania;
  • pracy nad zastosowaniem prawa międzynarodowego w cyberprzestrzeni;
  • regularnego dialogu instytucjonalnego z szerokim udziałem wszystkich interesariuszy;
  • budowania zdolności ochrony systemów IT przed istniejącymi i potencjalnymi zagrożeniami.

Wyniki pracy grupy OEWG zostaną ogłoszone na 75. Zgromadzeniu Ogólnym ONZ w 2020 r. 


[1] Rada bezpieczeństwa ONZ jest jednym z pięciu organów ONZ, odpowiedzialnym za utrzymanie międzynarodowego pokoju i bezpieczeństwa. W radzie uczestniczy 15 państw, które mają status stałych członków i 10 państw wybieranych na kadencję dwuletnią. Źródło: https://www.msz.gov.pl/pl/p/msz_pl//polityka_zagraniczna/polska_w_rb/rada_bezpieczenstwa_informacje_ogolne/

[2] https://dig.watch/processes/un-gge

[3] https://ict4peace.org/wp-content/uploads/2012/08/Eneken-GGE-2012-Brief.pdf s. 7-8

[4] https://www.unidir.org/files/medias/pdfs/final-report-eng-0-189.pdf

[5] https://www.nti.org/learn/treaties-and-regimes/united-nations-groups-governmental-experts/#communications

TAGI Dobre praktyki, ONZ,