شهد العقد الأخير تطورًا غير مسبوق في قدرات الحرب السيبرانية، حيث تحولت الهجمات الإلكترونية من مجرد عمليات تجسس أو تخريب محدودة إلى تهديدات وجودية تستهدف البنى التحتية الحيوية للدول. تثير هذه الهجمات إشكاليات قانونية كبرى، خاصة عندما تستهدف منشآت مدنية كالمستشفيات ومحطات الطاقة وشبكات المياه، التي تتمتع بحماية خاصة بموجب القانون الدولي الإنساني. 

في عصر التحول الرقمي، باتت البنية التحتية المدنية للدول تعتمد اعتمادًا شبه كلي على الشبكات المعلوماتية وأنظمة التحكم الرقمية. فمحطات الطاقة الكهربائية، وشبكات توزيع المياه، وأنظمة النقل، والمستشفيات، والمطارات، وشبكات الاتصالات، كلها تدار اليوم بواسطة أنظمة حاسوبية متصلة بالإنترنت أو بشبكات داخلية قابلة للاختراق.

هذا التطور التكنولوجي، رغم فوائده الهائلة، خلق سطحًا واسعًا للهجمات السيبرانية. فلم يعد الخصم بحاجة إلى قنابل تقليدية لتعطيل محطة كهرباء أو تعطيل مستشفى بأكمله؛ بل يمكنه ذلك من خلف شاشة حاسوب، عبر فيروس أو برمجية خبيثة تخترق أنظمة التحكم، مسببة أضرارًا بشرية ومادية جسيمة. وشهد العالم في السنوات الأخيرة هجمات سيبرانية كشفت هشاشة هذه البنى، مثل هجوم "نوت بترا" (2017) الذي أصاب مستشفيات بريطانية، وهجوم "كولونيال بايبلاين" (2021) على إمدادات الوقود في أمريكا، وهجمات متكررة على شبكات الكهرباء في أوكرانيا. وفي النزاعات المسلحة المعاصرة، كالحرب الروسية الأوكرانية والحرب على غزة، جرى توثيق هجمات سيبرانية متزامنة مع العمليات العسكرية التقليدية استهدفت بنى تحتية مدنية أساسية.

هنا يبرز السؤال الجوهري: هل القانون الدولي الإنساني، الذي صيغت قواعده الأساسية في منتصف القرن العشرين، قادر على توفير حماية فعالة للبنية التحتية المدنية من هذه الهجمات السيبرانية؟ فالقانون الدولي الإنساني يكرس حماية خاصة للأعيان المدنية، ويحظر الهجمات العشوائية أو غير المتناسبة، ويفرض التزامات بالتحقق من الهدف. لكن تطبيق هذه المبادئ على العمليات السيبرانية يواجه تحديات تقنية وقانونية فريدة، أبرزها إشكالية الإسناد (Attribution)، وطبيعة الضرر غير المادي أحيانًا، وصعوبة تحديد اللحظة الفعلية للهجوم، وفكرة انتشار التأثيرات إلى أنظمة أخرى غير مقصودة.

البنية التحتية المدنية والهجمات السيبرانية في القانون الدولي الإنساني

_ مفهوم البنية التحتية المدنية في القانون الدولي الإنساني

لم يرد تعريف محدد لمصطلح "البنية التحتية المدنية" في نصوص اتفاقيات جنيف أو بروتوكولاتها الإضافية، إلا أن الفقه القانوني والقضائي الدولي يتبنى فهمًا واسعًا يشمل كل المنشآت والمرافق والأنظمة التي تخدم السكان المدنيين وتلبية حاجاتهم الأساسية. وتستمد الحماية القانونية لهذه البنى من عدة قواعد أساسية:

- المادة 52 من البروتوكول الأول الإضافي (1977) التي تنص على أن "الأعيان المدنية لا تكون هدفًا للهجوم أو لأعمال انتقامية"، وتعرف الأعيان العسكرية بشكل محدد.

- المادة 54التي تحظر مهاجمة الأعيان التي لا غنى عنها لبقاء السكان المدنيين، مثل المواد الغذائية والمناطق الزراعية وشبكات المياه.

- المادة 56 المتعلقة بحماية المنشآت التي تحتوي على قوى خطرة، كالسدود والسدود البحرية والمحطات النووية.

كما أن قواعد القانون الدولي الإنساني العرفي، التي تعتبر ملزمة لجميع أطراف النزاع بغض النظر عن التصديق على المعاهدات، تؤكد حماية البنية التحتية المدنية.

_ الهجمات السيبرانية في سياق النزاع المسلح

تُعرف الهجمات السيبرانية بأنها عمليات هجومية تُنفذ عبر الفضاء الإلكتروني تستهدف أنظمة المعلومات أو الشبكات أو الأجهزة الرقمية، بقصد تعطيلها أو تعطيل وظائفها، أو تدميرها، أو اختراقها، أو التلاعب بها، مما يسبب أضرارًا مادية أو بشرية أو اقتصادية.

في سياق النزاع المسلح، تتفاوت الهجمات السيبرانية في طبيعتها:

- هجمات تعطيلية (Disruptive): تهدف إلى تعطيل الخدمات مؤقتًا، كحجب مواقع إلكترونية أو إغراق شبكات.

- هجمات تخريبية (Destructive): تهدف إلى إتلاف الأنظمة أو البيانات أو الأجهزة، كاستخدام فيروسات تمسح البيانات أو تتلف الضوابط الصناعية.

- هجمات تلاعبية (Manipulative): تهدف إلى تغيير المعلومات أو إدخال بيانات كاذبة، كإعطاء قراءات خاطئة لأنظمة المراقبة أو التحكم.

ومن أمثلة الهجمات التي استهدفت بنى تحتية مدنية:

- هجوم "ستوكس نت" عام 2010 الذي استهدف أجهزة الطرد المركزي النووية الإيرانية، وتسبب في تدمير مادي لها.

- الهجمات على شبكة الكهرباء الأوكرانية عامي 2015و2016 مما أدى إلى انقطاع الكهرباء عن مئات الآلاف من المدنيين.

- هجوم "واناكراي" عام 2017 الذي أصاب أكثر من 200ألف حاسوب في 150 دولة، وتضررت منه المستشفيات البريطانية بشدة.

انطباق مبادئ القانون الدولي الإنساني على الهجمات السيبرانية

لطالما أكدت اللجنة الدولية للصليب الأحمر، وخبراء الأمم المتحدة، والفقه القانوني، أن القانون الدولي الإنساني ينطبق على العمليات السيبرانية أثناء النزاعات المسلحة، تمامًا كما ينطبق على الأسلحة التقليدية. وهذا ما أقرته أيضًا مجموعة الخبراء الحكوميين في إطار اتفاقية الأسلحة التقليدية (CCW). بيد أن التطبيق العملي لهذه المبادئ يثير إشكاليات محددة.

ينص مبدأ التمييز على التزام أطراف النزاع بالتمييز في جميع الأوقات بين المدنيين والمقاتلين، وبين الأعيان المدنية والأهداف العسكرية. وبالتالي، يحظر توجيه الهجمات السيبرانية ضد البنية التحتية المدنية بشكل مباشر.

لكن المشكلة تنشأ عندما تكون البنية التحتية ذات استخدام مزدوج ، أي تُستخدم لأغراض مدنية وعسكرية في آنٍ معًا. فمثلًا، شبكة الاتصالات قد تنقل بيانات مدنية وعسكرية؛ ونظام تحديد المواقع العالمي (GPS) يخدم الملاحة المدنية والتوجيه العسكري. في هذه الحالات، لا تصبح البنية التحتية محمية تلقائيًا، بل يلزم تقييم ما إذا كانت تشكل هدفًا عسكريًا وفقًا للمادة 52 من البروتوكول الأول: أن تسهم بفعالية في العمل العسكري للخصم، وأن يشكل تدميرها أو تحييدها ميزة عسكرية محددة.

التحدي هنا هو أن الهجوم السيبراني قد لا يستطيع التمييز بدقة بين الاستخدامين، خاصة عندما تنتقل البرمجية الخبيثة عبر شبكات مترابطة.

يحظر القانون الدولي الإنساني شن أي هجوم يكون من المتوقع أن يتسبب في أضرار عارضة بين المدنيين أو أضرار على الأعيان المدنية تكون مفرطة مقارنة بالميزة العسكرية المباشرة والملموسة المتوقعة من الهجوم.

في الهجمات السيبرانية، يصبح حساب التناسب معقدًا للغاية. فالأضرار غير المباشرة يمكن أن تكون هائلة وغير متوقعة. على سبيل المثال، هجوم سيبراني يستهدف نظامًا للإنذار المبكر في منشأة عسكرية قد ينتشر "بالتلوث" إلى شبكة الكهرباء المدنية، مما يسبب انقطاع التيار عن مستشفى، مما يؤدي بدوره إلى وفيات غير مقصودة. كما أن التأثيرات قد تتأخر أو تظهر بعد شهور من الهجوم، أو قد تنتشر إلى دول أخرى غير طرف في النزاع.

لذلك، يتطلب تطبيق التناسب في السيبرانية تقديرًا فنيًا دقيقًا لسلوك البرمجيات الخبيثة، وإمكانيات عزل الأنظمة، وهو ما قد لا يتوفر لدى القادة العسكريين في خضم العمليات.

يلتزم أطراف النزاع باتخاذ احتياطات كافية أثناء التخطيط للهجوم وأثناء تنفيذه، بغية تجنب الأضرار الجانبية وتقليلها. ويشمل ذلك التحقق من أن الهدف هو بالفعل هدف عسكري، واختيار وسائل وأساليب الهجوم التي تقلل الخطر على المدنيين والأعيان المدنية.

في الهجمات السيبرانية، قد يكون التحقق من الهدف شبه مستحيل بسبب إمكانية انتحال العناوين الإلكترونية (IP spoofing)، أو استخدام خوادم وسيطة في دول ثالثة. كما أن وسائل الهجوم السيبراني، كالبرمجيات المنتشرة ذاتيًا (Worms)، يصعب توجيهها بدقة أو إيقافها بعد الإطلاق. فالبرمجيات غالبًا ما تنتقل بناءً على ثغرات لا يعرفها حتى مطورها بالكامل، مما يجعل مبدأ الاحتياط عسير التطبيق في العمليات السيبرانية الهجومية واسعة النطاق.

التحديات الكبرى في حماية البنية التحتية المدنية

ربما يكون التحدي الأصعب الذي يواجه القانون الدولي الإنساني في الفضاء السيبراني هو إثبات من نفذ الهجوم. فالهجمات السيبرانية يمكن أن تنطلق من خوادم في دول متعددة، وباستخدام عناوين مزورة، أو من خلال أجهزة مخترقة لضحايا أبرياء (ما يسمى بالبوت نت). في النزاع المسلح التقليدي، عادة ما يُعرف مصدر القذيفة أو الطائرة. أما في الفضاء السيبراني، فغالبًا تبقى الهوية الحقيقية للمهاجم غامضة ما لم تتعاون الدول وتتبادل المعلومات الاستخباراتية، وهذا نادر في زمن النزاع.

غياب الإسناد الواضح يعني غياب المسؤولية الدولية، وبالتالي غياب إمكانية المطالبة بالتعويض أو المتابعة الجنائية. وقد تستغل الدول هذا الغموض لتنفيذ هجمات سيبرانية على بنى مدنية لدول خصم، مع نفي مسؤوليتها، مما يفقد القواعد القانونية فاعليتها.

في القانون الدولي الإنساني، يرتبط تطبيق القواعد بوجود هجوم (Attack)، وهو مفهوم يُفهم تقليديًا على أنه فعل عنيف موجه ضد الخصم. لكن العمليات السيبرانية قد تكون بطيئة، وتستمر لفترات طويلة، وتتكون من آلاف العمليات الفرعية الصغيرة. متى يتحول الاختراق إلى هجوم؟ متى يجوز للدولة المستهدفة الرد باستخدام القوة؟ هذه الأسئلة تخلق منطقة رمادية قانونية خطيرة.

كثير من الهجمات السيبرانية لا تسبب ضررًا ماديًا مباشرًا، بل تؤدي إلى خسائر اقتصادية، أو فقدان بيانات، أو تعطيل خدمات. هل يرقى فقدان البيانات الطبية للمرضى أو شل نظام الدفع الإلكتروني إلى مستوى "الضرر" الذي يحظى بالحماية بموجب القانون الدولي الإنساني؟ الفقه القانوني يتجه إلى اعتبار أن الأضرار الوظيفية (Functional damage) التي تؤثر على قدرة البنية التحتية على أداء دورها الأساسي تُعتبر ضررًا، حتى لو لم تدمّر الأجهزة المادية. لكن لا يوجد إجماع دولي بعد.

على عكس الأسلحة الكيميائية أو البيولوجية أو الألغام الأرضية، لا توجد معاهدة دولية شاملة تحظر أو تنظم الأسلحة السيبرانية بشكل خاص. الجهود في إطار الأمم المتحدة تقتصر على قواعد غير ملزمة، مثل تقرير مجموعة الخبراء الحكوميين (2013، 2015، 2021) الذي خلص إلى تطبيق القانون الدولي الإنساني، دون تفاصيل ملزمة.

المحكمة الجنائية الدولية تختص بجرائم الحرب والجرائم ضد الإنسانية. لكن لتوجيه اتهام بهجوم سيبراني غير مشروع على بنية تحتية مدنية، يجب تجاوز عقبات الإسناد، وإثبات النية الجنائية (Mens Rea)، وإثبات أن الهجوم تسبب في موت أو معاناة شديدة. عمليًا، لم تشهد المحكمة الجنائية الدولية حتى الآن قضية واحدة تتعلق بهجوم سيبراني في نزاع مسلح.

آليات وسُبل تعزيز الحماية للبنية التحتية المدنية

على الرغم من هذه التحديات، توجد العديد من السبل القانونية والسياسية والتقنية لتعزيز الحماية.

بدلاً من انتظار معاهدة جديدة (وهو أمر يستغرق سنوات)، يمكن اعتماد وثيقة إرشادية ملزمة قانونياً (مثل بروتوكول إضافي أو قرار من مجلس الأمن) توضح كيفية تطبيق مبادئ التمييز والتناسب والاحتياط في العمليات السيبرانية. وقد سبق للجنة الدولية للصليب الأحمر أن أصدرت قواعد وتوصيات في هذا المجال، ويمكن تحويلها إلى إطار اتفاقي

يُقترح إنشاء آلية دولية محايدة (ربما تحت مظلة الأمم المتحدة أو الاتحاد الدولي للاتصالات) لتقصي الهجمات السيبرانية الكبرى وإسنادها إلى أطراف معينة، وذلك بناءً على معايير فنية وقانونية صارمة. هذه الآلية يمكن أن تقدم تقاريرها إلى مجلس الأمن أو المحكمة الجنائية الدولية.

يمكن تعديل نظام روما الأساسي للمحكمة الجنائية الدولية بإضافة فقرة تنص صراحة على أن توجيه هجوم سيبراني واسع النطاق ومتعمد ضد بنية تحتية مدنية تشكل جريمة حرب، مع توضيح شروط الإسناد والإثبات. هذا من شأنه أن يرفع الردع.

يتطلب القانون الدولي الإنساني من الدول اتخاذ تدابير لمنع انتهاكات القانون. يمكن إلزام الدول بوضع أنظمة أمن سيبراني إلزامية للمشغلين الحيويين (طاقة، مياه، صحة)، وإنشاء فرق استجابة للطوارئ السيبرانية، وتبادل المعلومات حول التهديدات.

بالتوازي مع الجهود التشريعية، يجب تعزيز ثقافة قانونية دولية مفادها أن تطوير أو نشر برمجيات مصممة خصيصًا لاستهداف المنشآت المدنية (كمستشفيات) هو انتهاك خطير للقانون الدولي، ويجب أن يقابل بعقوبات دولية.

لتطبيق مبدأ الاحتياط والتناسب في الهجمات السيبرانية، يجب أن يشارك مهندسو الأمن السيبراني في التخطيط للعمليات، لتقييم المخاطر الثانوية للبرمجيات الضارة وإمكانيات احتوائها.

تثبت هذه الدراسة أن البنية التحتية المدنية في عصر الرقمنة أصبحت أكثر عرضة للخطر من أي وقت مضى، وأن الهجمات السيبرانية تمثل تهديدًا وجوديًا للسكان المدنيين أثناء النزاعات المسلحة. وعلى الرغم من أن القواعد الأساسية للقانون الدولي الإنساني – كالتمييز والتناسب والاحتياط – تنطبق نظريًا على العمليات السيبرانية، فإن طبيعة الفضاء الإلكتروني تعيق تطبيقها الفعال بسبب غياب الإسناد الواضح، وصعوبة التنبؤ بالتأثيرات المتسلسلة، وضعف آليات المساءلة الجنائية.

المشكلة ليست في القواعد بقدر ما هي في غياب الإرادة السياسية والاتفاق الدولي على تفعيلها آليًا، وفي ثغرات تقنية وقانونية تسمح للفاعلين السيئين بالإفلات من العقاب. لذا، توصي الدراسة بما يلي:

إن حماية البنية التحتية المدنية من الهجمات السيبرانية ليست مجرد مسألة تقنية أو قانونية، بل هي مسؤولية إنسانية وأخلاقية. إذا سمحنا بأن تصبح محطات المياه والمستشفيات وأنظمة الطاقة أهدافًا سهلة في الحرب السيبرانية، فإننا نجرد النزاعات المسلحة من أي قيد إنساني متبقٍ. حان الوقت ليطارد القانون الخوارزميات، كما يطارد اليوم القنابل والرصاص.