Revista online E-ARBITRAJ Implicațiile unui atac cibernetic în procedura arbitrală

Implicațiile unui atac cibernetic în procedura arbitrală

-

promovare online

Implicațiile unui atac cibernetic în procedura arbitrală
Dr. Sorana POP PĂUN*

Abstract

Articolul abordează în linii mari aspecte privind riscurile de producere a unui atac cibernetic în cursul derulării unei proceduri arbitrale, posibilile implicații ale unui astfel de atac, precum și identificarea unor măsuri ce pot conduce la diminuarea riscurilor și a prejudiciilor produse urmare producerii unor astfel de acte. 

  1. Introducere

Arbitrajul ca metodă de soluționare a diferendelor este aleasă în mod frecvent datorită avantajelor pe care le prezintă. Unul dintre acestea este nivelul de discreție al procedurilor și al soluțiilor, respectiv confidențialitatea informațiilor furnizate de părți și accesul restricționat al publicului la procedurile de arbitraj, comparativ cu ședințele de judecată care au caracter public.

Informațiile furnizate în procedurile arbitrale prezintă adesea un nivel înalt de sensibilitate ce au puterea de a genera prejudicii, de a influența prețuri pe diverse piețe, prezintă elemente de strategie corporatistă și uneori chiar guvernamentală. Soluțiile dispuse în procedurile arbitrale pot genera repercusiuni în ceea ce privește unele companii, în special cele care sunt listate la bursă.

Deși aparent o procedură arbitrală nu ar prezenta riscuri din punct de vedere al unui atac cibernetic, un hacker poate identifica o verigă slabă în procedura arbitrală și pentru diverse avantaje financiare sau într-un proces de spionaj corporatist poate accesa ilegal baze de date ale curților de arbitraj sau poate interfera cu procedurile derulate online, tot mai populare odată cu criza generată de pandemia de Covid-19.

În era tehnologiei, informația este deținută în format electronic, iar schimbul de informație se realizează prin mijloace tehnologice, ceea ce expune orice utilizator către riscul unui atac cibernetic. Nici părțile unei proceduri arbitrale nu sunt la adăpost de astfel de intervenții ilicite în sistemele electronice și de furtul de informație care poate genera daune semnificative uneia dintre părți. Printre țintele principale ale unui potențial atac cibernetic în cursul unei proceduri arbitrale menționăm:

  • Societățile / cabinetele de avocatură, consilierii juridici ai părților implicate în procedura arbitrală;
  • Arbitrii implicați în soluționarea cauzelor, cât și arbitrii din cauze deja soluționate;
  • Instituțiile arbitrale;
  • Părțile la diferend;
  • Alte părți care dețin informații cu privire la cauză, inclusiv experți, martori și furnizori de servicii.[1]

Fiecare parte identificată mai sus este un custode al informației și o veritabilă țintă. Odată transmisă informația în cursul unei proceduri arbitrale prin intermediul mijloacelor de comunicare electronică, originatorul nu mai deține controlul asupra acesteia și nici nu poate monitoriza securitatea informației, atât timp cât ea se regăsește în mediul virtual și în format electronic.

Instituțiile arbitrale la rândul lor sunt expuse atacurilor cibernetice, acestea deținând baze de date bogate în informații din multiple surse, inclusiv decizii în cauze soluționate de instituția arbitrală în cauză. În anul 2015 spre exemplu s-a înregistrat un atac cibernetic important a cărui țintă a fost Curtea Permanentă de Arbitraj a cărei pagină web a fost atacată în a treia zi a audierilor în cauza privind disputa teritorială asupra Sudului Mării Chinei dintre Philipine și China. Atacul și-a avut originile în China și a constat în infectarea paginii internet a Curții cu un virus iar toți cei care vizitau site-ul instituției erau victimele unui furt de informație.[2]

Având în vedere acest context apreciem că este important ca în gestionarea și administrarea cauzelor soluționate prin intermediul arbitrajului, tipul de amenințare cibernetică și opțiunile de protecție să fie înțelese într-o manieră adecvată.

  1. Înțelegerea amenințării

De-a lungul timpului s-a demonstrat că un atac cibernetic și un atacator pot avea multiple forme și întrupa multe persoane, de la persoane fizice, la persoane juridice și chiar inteligență artificială. Pentru o mai ușoară înțelegere a tipurilor de amenințări, doctrina a identificat trei categorii generice de atacatori: a) hacker / hacktivist; b) actori statali; c) actori motivatți de câștigul finainciar (furt de proprietate intelectuală spre exemplu) sau de scopuri ideologice (atacuri asupra anumitor instituții financiare).[3] Scopul clasificării nu este de a identifica toate tipurile de amenințări sau tipurile de atacuri, ci de a dezvolta un cadru pentru identificarea posibilității producerii unui atac.

 Hacker / Hacktivisti

Pentru această categorie / grup, deseori motivația ce stă în spatele unui atac nu este clară. Fie urmăresc câștiguri financiare, sau susțin anumite cauze sociale, politice sau pur și simplu urmăresc demonstrarea abilităților personale de penetrare a unor sisteme. Ce este important pentru părțile implicate într-o procedură arbitrală este să conștientizeze prezența acestor personaje în mediul virtual, înțelegând că informația poate fi tentantă și că există motivații multiple pentru accesul și sustragerea ilegală de informație.

  1. Actori statali

În luna mai a anului 2014, Departamentul de Justiție din Statele Unite a identificat și acuzat cinci persoane, membri ai Armatei Populare Chineze de Eliberare pentru activități de hacking în rețelele Westinghouse Electric, US Steel Corporation și alte companii, activități ce s-au materializat prin copiere de email-uri, instalare de viruși, furt de proprietate intelectuală și alte informații de la aceste companii considerate concurente pentru piața chineză.  Persoanele responsabile de aceste atacuri au fost identificate ca aparținând Unității 61398, unitate cibernetică din Shanghai Armata de Eliberare a Poporului. Acestea au fost printre primele acuzații de atacuri ciberneticie aduse unui actor statal.[4] Deși exemplul nu este direct legat de procedurile arbitrale, constituie o dovadă și o ilustrare a existenței motivației atacurilor cibernetice, iar în ceea ce privește procedurile arbitrale, motivația poate fi una de natură comercială ce conduce la furt de informație pentru denaturarea concurenței spre exemplu. Este astfel important pentru toate părțile implicate în proceduri arbitrale să recunoască caracterul vulnerabil al informației partajate și să identifice potențialele riscuri de furt, precum și eventualii autori ai unor atacuri cibernetice.

  1. Actori motivați de câștiguri financiare

Această categorie de atacatori este interesată în principal de câștigul financiar realizat ca urmare săvârșirii unui atac. Firmele de avocatură stochează multe informații cu caracter confidențial ale clienților, ceea ce crește riscul de vulnerabilitate în fața atacatorilor. Procedurile arbitrale la rândul lor implică transmiterea de informații cu caracter comercial sensibil ce ar putea fi utilizate pentru obținerea de profit. Pentru aceste considerente părțile implicate în proceduri arbitrale trebuie să fie deosebit de conștiente de aceste tipuri de amenințări. De reținut că inclusiv adversarii în cauzele supuse arbitrajului pot apela la astfel de actori pentru a avea acces la informație și a deturna soluția în favoarea lor.

  1. Consecințele unui atac cibernetic într-o procedură arbitrală

Orice atac cibernetic poate avea consecințe juridice, financiare sau asupra reputației persoanelor implicate în procedurile arbitrale.

Cercetări publicate în anul 2018 privind prețul acțiunilor pe termen lung și scurt și furtul sau alterarea de date au indicat că prețul acțiunilor companiilor care au fost victimele unor atacuri cibernetice au avut de suferit pe termen scurt, atingând un nivel de scădere cuprins între -2.89% și -4.6%. Pe termen lung, prețul acțiunilor acestor companii a fost afectat, înregistrând scăderi cuprinse între -3.7% și 11.35% într-un interval de aproximativ 2 ani de la data procedurii atacului. Daunele produse de atacurile cibernetice nu sunt limitate doar la valoarea acțiunii. Există riscul ca datele furate să aibă un puternic caracter confidențial, să fie de natură politică, să producă daune reputaționale etc. De asemenea, există posibilitatea ca partea ale căror date au fost furate să fie agresată cu solicitări de revendicare din partea unor persoane care nu sunt implicate în procedura arbitrală.[5]

  1. Evaluarea riscului de atac cibernetic într-o procedură arbitrală

 Evaluarea inițială – înainte de începerea procedurii arbitrale

Partea / părțile interesate, împreună cu consilierii / avocații săi, poate realiza o analiză de risc privind posibilitatea procedurii unui atact cibernetic înainte de demararea procedurii. Această evaluare constă în identificarea tipului de date și a caracterului acestora (sensibile, restricționate, confindențiale etc.) pe care ar urma să le partajeze în cursul procedurii, precum și a impactului pe care publicarea sau utilizarea ilicită a datelor respective l-ar avea asupra activității / imaginii etc. În funcție de rezultatele acestei evaluări de risc, se va ține seama de o serie de măsuri posbile pentru diminuarea riscurilor:

  • Modalitatea de stocare a datelor
  • Modalitatea de partajare a datelor (criptare)
  • Platformele puse la dispoziție pentru derularea procedurii arbitrale
  • Confidențialitatea opțiunilor părților în ceea ce privește nominalizarea arbitrilor.
  • Evaluarea riscurilor de atac cibernetic în timpul procedurilor prin partajarea datelor cu părți implicate în procedura arbitrală

Odată începută procedura arbitrală, o serie de elemente trebuie avute în vedere de părți pentru a proteja datele lor. Părțile pot realiza o listă completă de participanți la procedură și a persoanelor care au acces în adminstrarea informațiilor.

  • Consiliul Internațional pentru Arbitraj Comercial (International Council for Commercial Arbitration – ICCA) a propus un proiect de protocol privind securitatea cibernetică în proceduri arbitrale potrivit căruia se poate evalua riscul de atac cibernetic al unei cauze. Elementele propuse de protocol a fi luate în considerare în cadrul acestei evaluări sunt:
  • Statutul participanților, locul unde se află aceștia, resursele și capacitățile tehnice de care dispun aceștia;
  • Identificarea părților;
  • Firme de avocatură / consultanță implicate, măsurile de siguranță de care acestea dispun;
  • Identificarea experților implicați – sunt persoane independente sau aparțin de anumite instituții, care sunt măsurile de siguranță de care dispun;
  • Identificarea martorilor, mijloace de securitate a platformelor de comunicare, inclusiv email personal;
  • Furnizori de servicii în proceduri arbitrale (inclusiv cei ce pun la dispoziție platforme de discuții online), tipul de măsuri de siguranță oferite și elemente privind răspunderea pentru penetrări de sistem care să facă obiectul unui acord / contract între toate părțile implicate;
  • Instituțiile arbitrale, verificarea politicilor și măsurilor de securitate cibernetică de care dispun;
  • Identificarea tipului de informații ce urmează a fi partajate;
  • Cine și unde vor fi stocate datele;
  • Identificarea consecințelor accesului ilegal la date.

Această analiză va permite identificarea tipurilor de riscuri la care părțile se supun și luarea măsurilor adecvate pentru diminuarea acestor riscuri.

  • Măsuri ce pot fi dispuse de un tribunal arbitral pentru prevenirea atacurilor cibernetice

Deși nu există la acest moment o obligație pentru instituțiile arbitrale de a prezenta măsuri specifice privind protecția împotriva atacurilor cibernetice, este recomandat ca acestea să aibă în vedere următoarele aspecte:

  • Specificarea modului în care vor avea loc comunicările loc între părți și tribunal, între membrii tribunalului și cu alți participanți: prin parolă, e-mail protejat sau prin transfer securizat de fișiere;
  • Utilizarea unei platforme sigure pentru transmiterea unui volum mare de documente referitoare la caz sau documente sensibile;
  • Reducerea utilizării documentelor pe hârtie (care reprezintă un risc de confidențialitate) și / sau un protocol pentru stocarea acestora;
  • Reducerea numărului anumitor categorii de date sau informații deosebit de sensibile fără legătură cu disputa;
  • Reducerea accesului la anumite categorii de date;
  • Reducerea dezvăluirii inutile de informație;
  • Detectarea încălcărilor, notificarea și atenuarea acestora;
  • Alocarea răspunderii și a penalităților care se aplică în cazul unei încălcări (deși acest lucru poate fi greu de negociat în practică);
  • Asigurare împotriva încălcării și protejării datelor;
  • Reținerea și distrugerea documentelor.

Tribunalul va trebui să evalueze costurile asociate cu orice măsuri propuse împotriva riscurilor anticipate, totodată luând în considerare nevoia de eficiență și eficacitate a procesului arbitral.[6]

  1. Concluzii

Pe măsură ce tehnica se dezvoltă, modalitatea de soluționare a diferendelor prin arbitraj se adaptează la specificitățile tehnologice și conjuncturale, fiind totodată expusă unor noi riscuri. Important este ca aceste riscuri să fie conștientizate și acceptate de toate părțile implicate în procedurile arbitrale, nu pentru eliminarea amenințării, întrucât acest lucru este aproape imposibil, dar pentru identificarea soluțiilor de diminuare a riscurilor. Prin acceptarea inevitabilului, a faptului că pot avea loc accesări ilegale de date, poate ajuta practicienii să răspundă rapid și adecvat la acestea.

Dacă toate părțile implicate în procedura arbitrală abordează aceste aspecte cu același simț de asumare și răspundere, atunci pot fi obținute rezultate semnificative în prevenirea unor atacuri cibernetice în proceduri arbitrale.[7]

Bibliografie

Articole:

  • Peacock, V. Naish, C. Morgan, Cybersecurity matters: Arbitration away from prying eyes, Inside Arbitration Perspectives on Cross-Border Disputes, Herbert Smith Freehills, no. 8, iulie 2019
  • Healy & A Piiparinen, Did China Just Hack the International Court Adjudicating its South China Sea Territorial Claim?, – The Diplomat
  • Pastore, Practical Approaches to Cybersecurity in Arbitration, Fordham International Law Journal, vol. 40, nr. 3, 2017
  • Bischoff, ‘Analysis: How data breaches affect stock market share prices (2018 update)’, Comparitech, 6 September 2018

Surse electronice:

  • Press Release, Department of Justice, U.S. Charges Five Chinese Military Hackers for Cyber Espionage Against U.S. Corporations and a Labor Organization for Commercial Advantage (May 19, 2014), https://www.justice.gov/opa/pr/us-charges-five-chinese-militaryhackers-cyber-espionage-against-us-corporations-and-labor

*Sorana POP PĂUN  este consultant pe probleme de secruitate cibernetică în cadrul Organizației Aviației Civile Internaționale. Deține o diplomă în drept, un doctorat în drept aerian internațional și o diplomă de master în drept aerian și spațial de la Universitatea McGill, Institutul de Drept Aerian și Spațial.

[1] N. Peacock, V. Naish, C. Morgan, Cybersecurity matters: Arbitration away from prying eyes, Inside Arbitration Perspectives on Cross-Border Disputes, Herbert Smith Freehills, no. 8, iulie 2019, pag. 7.

[2] J. Healy & A Piiparinen, Did China Just Hack the International Court Adjudicating its South China Sea Territorial Claim?, Did China Just Hack the International Court Adjudicating Its South China Sea Territorial Claims? – The Diplomat

[3] J. Pastore, Practical Approaches to Cybersecurity in Arbitration, Fordham International Law Journal, vol. 40, nr. 3, 2017, pag. 1024.

[4] Press Release, Department of Justice, U.S. Charges Five Chinese Military Hackers for Cyber Espionage Against U.S. Corporations and a Labor Organization for Commercial Advantage (May 19, 2014), https://www.justice.gov/opa/pr/us-charges-five-chinese-militaryhackers-cyber-espionage-against-us-corporations-and-labor

[5] P. Bischoff, ‘Analysis: How data breaches affect stock market share prices (2018 update)’, Comparitech, 6 September 2018

[6] N. Peacock, V. Naish, C. Morgan, Cybersecurity matters: Arbitration away from prying eyes, Inside Arbitration Perspectives on Cross-Border Disputes, Herbert Smith Freehills, no. 8, iulie 2019, pag. 7.

[7] J. Pastore, Practical Approaches to Cybersecurity in Arbitration, Fordham International Law Journal, vol. 40, nr. 3, 2017, pag. 1031.

Ultimile știri

Comunicat de presa I.A.R.

Motto: “Arbitrajul vizează echitatea, iar justiţia statală legea; arbitrajul a fost inventat pentru ca echitatea să fie aplicată” - Aristotel COMUNICAT...

Lansarea platformei de administrare a proceselor arbitrale ad-hoc sub numele e-arbitraj

Institutului Arbitral Român anunță lansarea la data de 25.06.2020 a unei platforme de administrare a proceselor arbitrale ad-hoc sub...
- Advertisement -

Sesiunea de toamna 2020

In vederea adaptării la realitatea naționala si internaționala si venind in întâmpinarea celor doritori de perfecționare profesionala, Institutul Arbitral...

Jurisdicția arbitrală și acordul arbitral

Rezumat Caracterul privat al jurisdicției arbitrale. Natura duală a  arbitrajului,contractuală prin izvorul său și jurisdicțională prin procedura și mai cu...

De citit

Revista online E-ABITRAJ, numarul 2 / decembrie 2020 – mai 2021

Cuprins: Beatrice-Florentina Onica-Jarka, FCIArb, Conf. univ. dr., Vicepresedinte I.A.R,...

Arbitrabilitatea litigiilor în domeniul achizițiilor publice

Arbitrabilitatea litigiilor în domeniul achizițiilor publice  Daniel STIGER*  Abstract:  Arbitrabilitatea litigiilor...
promovare online

Vezi mai multe ...din aceeași categorie
Recomandate pentru tine