Lavintensive cyberoperationer og statssuverænitet i cyberspace
I marts 2021 blev en FN-rapport, som bekræfter, at folkeretten gælder i cyberspace, vedtaget. På trods af FN-rapporten er der fortsat betydelige uenigheder blandt staterne om, hvilke typer af cyberoperationer folkeretten forbyder. Det er især på spørgsmålet om de mest almindelige typer af cyperoperationer, kaldet lavintensive cyberoperationer, at staterne er splittede. Lavintensive cyberoperationer er operationer, der trænger ind i computersystemer lokaliseret på en anden stats territorium, men som ikke kvalificerer som magtanvendelse eller ulovlig intervention i juridisk forstand. Denne CMS-rapport ”Low-intensity cyber operations and state sovereignty in cyberspace” sammenligner og vurderer tre forskellige positioner med hensyn til, hvorvidt lavintensive cyberoperationer overtræder territorialstatens suverænitet og dermed folkeretten. Rapporten er forfattet af Kevin Jon Heller (CMS) og er udgivet i samarbejde med DJØF Forlag.
Tre forskellige positioner
Der findes grundlæggende tre forskellige positioner med hensyn til, hvorvidt lavintensive cyberoperationer overtræder staters suverænitet. Den første position er, at lavintensive cyberoperationer aldrig er uretmæssige, eftersom suverænitetsbegrebet blot er et princip i international ret og ikke en primær regel, der selvstændigt kan blive overtrådt. Den anden position - kaldet den rene suverænitetstilgang - er, at lavintensive cyberoperationer altid er uretmæssige, fordi suverænitetsprincippet udgør en bindende folkeretlig regel, der overtrædes ved enhver indtrængen uden samtykke i et computersystem lokaliseret på en anden stats territorium. Den tredje position - kaldet den relative suverænitetstilgang - er, at selvom suverænitetsprincippet er en bindende folkeretlig regel, så er det kun den delmængde af lavintensive cyberoperationer, som forårsager en form for fysisk skade på territorialstaten eller efterlader dens cyberinfrastruktur ude af funktion, der er uretmæssige.
Anbefalinger
Mange stater, heriblandt Danmark, har ikke taget eksplicit stilling til spørgsmålet. Rapporten konkluderer, at en småstat som Danmark, der må forventes at være mere optaget af at forsvare sig mod cyberangreb end at anvende cybermidler offensivt, bør tilslutte sig en position, der retligt regulerer staternes brug af lavintensive cyberoperationer. Rapporten anbefaler derfor, at Danmark tilslutter sig enten den rene eller den relative suverænitetstilgang. Hvilken position der er mest attraktiv, vil afhænge af en afvejning af en række retlige og politiske hensyn.