Låt oss se på några definitioner:

Regel 1 (sidan 15): Om överhöghet: En stat får utöva kontroll över den cyberinfrastruktur och olika aktiviteter [som har samband med cyberinfrastrukturen] inom dess territorium.
Det här är grunden för alla staters oberoende. Stater kan inte kräva överhöghet över cyberrymden som sådan, bara den del som befinner sig på deras territorium. Det innebär också att staten kan utöva jurisdiktion och myndighet över det som befinner sig på dess territorium. Det här kan slås ihop med

Regel 5 (sidan 26): En stat får inte medvetet tillåta att cyberinfrastrukturen inom dess territorium, eller som befinner sig under regeringens kontroll, används för handlingar som kan påverka en annan stat på ett negativt eller olagligt sätt.
Alla stater ska alltså respektera alla andra staters överhöghet. Expertgruppen hade stora svårigheter att sätta gränser för den här regeln, till exempel om den skulle kunna tillämpas på stater vars infrastruktur bara används för transport av en cyberattack.

Regel 30 (sidan 106): Definitionen av en cyberattack, oavsett om den är offensiv eller defensiv, är en cyberoperation som kan förväntas skada en person eller orsaka en persons död, eller skada eller förstöra ett objekt.

För det här anger man sedan tilläggskriterier, såsom att civilister och civila objekt inte får attackeras och att ”bruk av våld” inte enbart ska ses som ett utlösande av kinetisk energi. Som ett exempel tar man upp en cyberoperation mot ett scada-system som används för driften av ett kraftnät – om den resulterar i brand räknas operationen som en attack.

Dessutom måste man betänka sekundära skador. Om attacken mot scada-systemet orsakar att en damm öppnas, vilket i sin tur kan orsaka översvämningar på andra ställen utan att själva scada-systemet skadas i attacken, är det också en attack.

Regel 34 (sidan 115): Följande personer får utsättas för cyberattack: a) medlemmar av väpnade styrkor, b) medlemmar i organiserade väpnade grupper, c) civila som deltar i fientligheter, och d) under en internationell väpnad konflikt, deltagare i massuppror.

Reglerna (regel 32-33) gör klart att oskyldiga civila, alltså sådana som inte deltar i angreppet, inte får attackeras. Här var experterna inte helt eniga, men man kan tyda det man kommit fram till som ”sticker du ut huvudet så kan du få det rakat”. Medlemskap i en fientlig organisation kan vara nog för att få utsättas för attack, varför till exempel medlemskap i Anonymous eller andra hackergrupper kan räcka. Du bör alltså inte vifta med din data-Kalasjnikov om du inte själv är beredd att ta emot en kulkärve.

Fakta

Utredningens svar kan sammanfattas så här: Cyberrymden är inte en laglös zon där vem som helst kan utföra fientliga aktiviteter utan regler eller begränsningar.

Nato:s Cooperative Cyber Defence Centre of Excellence bildades den 14 maj 2008 i syfte att stärka Nato:s cyberförsvarsförmåga. Centrumet finns i Tallinn i Estland och är en internationell insats som sponsras av Estland, Lettland, Litauen, Tyskland, Ungern, Italien, Polen, Slovakien, Spanien, Nederländerna och USA.

Organisationens uppdrag är att förbättra förmåga, samarbete och informationsutbyte mellan Nato och dess medlemsländer och samarbetspartners vad gäller cyberförsvar, genom utbildning, forskning och utveckling, erfarenheter och samråd.

Det är inte underligt att högkvarteret förlades till just Tallinn, att det öppnades just när det gjorde och de baltiska staterna ställt sig bakom organisationen. I april 2007 flyttade estniska myndigheter ett gammalt sovjetiskt soldatmonument i Tallin. Det blev upptakten till en cyberattack av aldrig tidigare skådad omfattning – läs mer på tinytw.se/estattack

Tallinmanualens fullständiga titel är ”Tallinn Manual on the International Law Applicable to Cyber Warfare”. Den är utgiven av Cambridge University Press och Michael N Schmitt står som redaktör: tinytw.se/ccdcoe249

Läs även
Michael N Schmitts artikel ”International Law in Cyberspace: The Koh Speech and Tallinn Manual Juxtaposed” (pdf): tinytw.se/kohspeech

Nato:s Cooperative Cyber Defence Centre of Excellence:
www.ccdcoe.org

Comprehensive National Cybersecurity Initiative:
tinytw.se/cnci

International strategy for cyberspace (pdf):

tinytw.se/wisc

Om EU:s it-myndighet i Tallinn:

tinytw.se/eutall