Анализ Шмитта - Schmitt Analysis

Анализ Шмитта это правовые рамки разработан в 1999 г. Майкл Н. Шмитт, ведущий автор Таллиннское руководство, для определения того, состояния участие в кибератака представляет собой применение силы.[1] Такая структура важна как часть процесса адаптации международного права к растущей угрозе кибервойны. Характеристики кибератаки могут определять, какой правовой режим будет регулировать поведение государства, и анализ Шмитта является одним из наиболее часто используемых способов анализа этих характеристик.[2] Его также можно использовать в качестве основы для обучения профессионалов в области права борьбе с кибервойнами.

Мотивации

По мере того как общество становится все более зависимым от компьютеров в качестве важнейшей инфраструктуры, страны все больше обеспокоены угрозами в киберпространство. Распространенность компьютеров и темпы технологических инноваций значительно продвинули цивилизацию, но оставили много уязвимостей, которые можно использовать. Страны должны быть готовы защитить себя и знать, как соответствующим образом реагировать на компьютерные сетевые атаки (CNA). Эти уникальные атаки во многом отличаются от физического использования силы, которое происходит в традиционной войне. Злоумышленники теперь могут удаленно отключать свои цели, просто передавая данные. CNA также имеют широкое определение, и не все CNA, принятые одним государством в отношении другого, являются достаточной причиной для эскалации вооруженных столкновений между государствами.

В зависимости от того, рассматривается ли CNA как применение силы или нет, виновная сторона будет оцениваться на основании либо МГП или IHRL. И jus ad bellum это свод законов, определяющий, когда суверенным государствам разумно прибегать к применению силы для защиты своих ресурсов, людей и интересов. Статья 51 Устава ООН определяет ситуацию, когда суверенное государство может применить силу, и гласит, что:

<< Ничто в настоящем Уставе не ущемляет неотъемлемое право на индивидуальную или коллективную самооборону в случае вооруженного нападения на члена Организации Объединенных Наций до тех пор, пока Совет Безопасности не примет меры, необходимые для поддержания международного мира и безопасности. Меры, принимаемые членами при осуществлении этого права на самооборону немедленно сообщается Совету Безопасности и никоим образом не влияет на полномочия и ответственность Совета Безопасности в соответствии с настоящим Уставом за принятие в любое время таких действий, которые он сочтет необходимыми для того, чтобы для поддержания или восстановления международного мира и безопасности ".

Государство имеет право действовать в порядке самообороны, но ему нужны доказательства того, что существует неминуемая угроза. Он также должен действовать согласно критериям соразмерности и необходимости. Анализ Шмитта представляет собой основу для оценки CNA по семи параметрам, чтобы определить, является ли оно противоправным применением силы, и чтобы правительства могли принять решение о правильном курсе действий после нападения.[3]

Историческое прошлое

Эстонские кибератаки 2007 года, нацеленные на интернет-ресурсы Эстонии, кажутся первыми кибератаками, использованными в качестве оружия в политическом конфликте. В Эстонии возникла напряженность между гражданами, которые хотели, чтобы их страна была более независимой, и русскими-эстонцами. Поскольку атаки исходили с российских адресов, российское правительство было обвинено в поддержке атак.[4] Совет Безопасности ООН никак не отреагировал на кибератаки Эстонии. После этого угроза кибервойны между государствами казалась гораздо более реальной и неизбежной. Это мероприятие также подчеркнуло важность международного сотрудничества для защиты киберпространства. Это также проливает свет на необходимость принятия международного законодательства в отношении того, что считается надлежащей реакцией правительства на CNA.[5][6]

Во время конфликта 2008 г. между грузинскими националистами и Южноосетинский сепаратистов, многие грузинские веб-сайты подверглись дефейсу и DDoS-атакам. Во время этого конфликта был открыт сайт StopGeorgia.ru, на котором были ссылки на потенциальные цели для атак, а также на вредоносное ПО. Российские гражданские лица могут участвовать в кибератаках, и возникает вопрос, подразумевает ли это прямое участие, что они больше не должны считаться гражданскими лицами.

В 2010 году был обнаружен червь Stuxnet, заразивший объекты по обогащению урана в Натанзе в Иране и предположительно уничтоживший до 1000 центрифуг, что на несколько лет отбросило ядерную программу Ирана. Российская компания Касперский сказал, что вирус мог быть развернут только при поддержке национального государства и что он приведет к созданию нового вида гонки вооружений в мире. Учитывая нанесенный ущерб, наряду с инвазивностью, отсутствием четкой легитимности и предположениями о том, что червь был разработан и развернут с помощью правительства США с возможной израильской или немецкой помощью, Stuxnet может рассматриваться как применение силы. Хотя это не может рассматриваться как незаконное применение силы, поскольку ядерная деятельность Ирана, на которую он нацелен, была незаконной. По этой причине вирус был назван кибероружием, хотя иранское правительство не утверждало, что он стал жертвой кибератаки. Бездействие иранского правительства может иметь последствия для развития правовых норм, касающихся киберпространства, а бездействие государства не рассматривается в рамках концепции Шмитта.[2][7]

CNA как применение силы

Анализ Шмитта сильно привязан к статье 2 (4) Устав ООН, в котором говорится, что:

«Все члены должны воздерживаться в своих международных отношениях от угрозы силой или ее применения против территориальной целостности или политической независимости любого государства или любым другим способом, несовместимым с целями Организации Объединенных Наций».

Не всякое применение силы подпадает под действие статьи 2 (4), только то, что может угрожать международному миру. И в статье не указывается вооруженная сила, и возникает вопрос, можно ли ее рассматривать как силу любого рода, даже как экономическую силу, например, посредством незаконного экономического принуждения. Идея состоит в том, что любое применение силы, не разрешенное Уставом, является противоправным. Однако на практике необходима определенная гибкость. Бывают ситуации, такие как деколонизация и гуманитарное вмешательство, в которых строгое соблюдение этого правила может не соответствовать интересам общества. А закон, касающийся применения силы, должен адаптироваться и развиваться к новым ситуациям и обстоятельствам, например, кибервойны. Было бы трудно классифицировать каждую CNA как применение силы, учитывая, например, что некоторые из них могут даже не причинить прямого физического ущерба. Чтобы использовать установленный закон, касающийся вооруженных сил, Шмитт предложил сравнить характеристики и последствия CNA. Эта цель этого индивидуального подхода состоит в том, чтобы должным образом классифицировать CNA, подпадающие под категорию применения силы, а какие нет.[3]

Аналогия с ядерной войной

Компьютерные сетевые атаки похожи на оружие массового поражения, асимметричный по характеру. Поскольку инфраструктура, такая как электрические сети, транспорт и телекоммуникации, взаимосвязаны, атака на один объект может иметь катастрофический эффект домино. Разрушительные возможности кибератак сравнивали с эффектами ядерной радиации и ЭМИ-эффектом ядерных взрывов. Небольшие страны, желающие оказать влияние, могут воспользоваться тем, насколько дешево запуск CNA. Ядерное оружие также не было объявлено вне закона, но наряду с другими средствами ведения войны необходимо очень осторожно подходить к использованию или угрозе применения этого оружия и соблюдать правила соразмерности, необходимости и гуманности. И ядерное оружие, и информационное оружие не делают различия между гражданскими и негражданскими лицами.[8]

Критерии анализа

Для оценки атаки на компьютерную сеть используются семь критериев. Анализ сосредоточен преимущественно на критериях, которые зависят от последствий CNA (и поэтому кибератака считается кибератакой только в том случае, если есть травмы, смерть и объекты и их функциональность),[9] и поэтому он более полезен для анализа событий после того, как они произошли, а не так, как они планируются. Эта утилитарная направленность также преобладает в jus in bello, который стремится к человечеству, но все же позволяет в некоторых случаях найти компромисс, например, между военными достижениями и жертвами среди гражданского населения. Анализ Шмитта также субъективен и сильно зависит от контекста. Он не пытается установить измерения для границ, где CNA становятся применением силы, а вместо этого пытается сравнить характеристики конкретного CNA и характеристики традиционного использования силы.[1][2][10]

  1. Серьезность: это уровень разрушения, вызванного атакой. Учитываются масштабы, продолжительность и интенсивность атаки. Порча веб-сайта общественного деятеля может считаться не применением силы, в то время как отключение системы онлайн-банкинга или отключение механизмов безопасности атомной электростанции может рассматриваться как применение силы.
  2. Непосредственность: скорость, с которой наносится вред, при которой более немедленная атака оставляет меньше места для диалога и переговоров между атакующим и целью. Чтобы государство могло действовать в порядке самообороны, оно должно иметь неопровержимые доказательства того, что угроза для нации является непосредственной.
  3. Прямолинейность: CNA может иметь неожиданные последствия, и может быть трудно предсказать полное воздействие кибератаки. Вот насколько ясно, что последствия на самом деле являются последствиями CNA, а не других событий.
  4. Инвазивность: CNA обычно менее агрессивны, чем перемещение войск на территорию государства. Если кибератака затрагивает суверенитет государства, то она, скорее всего, будет рассматриваться как применение силы.
  5. Измеримость: вот насколько ясны точные последствия CNA с точки зрения того, какой ущерб был нанесен. В случае вооруженного принуждения последствия, как правило, очень ясны.
  6. Предполагаемая легитимность: государство может использовать CNA как метод защитной контратаки. Самооборона - одно из исключений из запрета на применение насилия. Государство может также использовать CNA способом, не похожим на вооруженное принуждение.
  7. Ответственность: USDOD утверждает, что если атака из государства A на государство B не спонсируется государством A, то государство B не имеет права вторгаться в страну государства A и вместо этого должно попросить его вмешаться и остановить атаку. Но поскольку злоумышленники могут маршрутизировать свои данные через удаленные места, может быть трудно с уверенностью приписать CNA обвиняемому государству, как это произошло в Эстонии в 2007 году.

Важным фактором при выполнении анализа Шмитта является вопрос о том, пытались ли исполнители атаки действовать в соответствии с Законом вооруженного конфликта (LOAC). Это может быть случай Stuxnet, который был разработан для минимизации побочного ущерба и только случайно распространился за пределы своей намеченной цели. Эта попытка может означать причастность государства к атаке, поскольку частные лица могут не быть так обеспокоены международным правом. Это также означает, что нападение с большей вероятностью будет охарактеризовано как применение силы, даже если оно не причиняет реального ущерба.

Возможные недостатки

Основная проблема с использованием структуры Шмитта заключается в том, что она требует атрибуции, атакующая страна должна нести ответственность за атаку. В большинстве случаев этого не происходит, поскольку государства осуществляют свои действия в киберпространстве секретно и не берут на себя ответственность. Также существует вероятность того, что подвергшееся нападению государство не примет мер против преступников и не будет обвинять другое государство в незаконных действиях. Некоторые также критикуют приверженность структуры парадигме, основанной на инструментах статьи 2 (4) и ограничительному определению незаконного применения силы, и отдают предпочтение структуре, основанной на последствиях.

Смотрите также

использованная литература

  1. ^ а б Шмитт, Майкл Н., Атака компьютерных сетей и применение силы в международном праве: размышления о нормативной базе (1999). Колумбийский журнал транснационального права, Vol. 37, 1998-99. Доступно в SSRN: https://ssrn.com/abstract=1603800
  2. ^ а б c Stuxnet, Schmitt Analysis и дебаты о кибер «применении силы». »Бесплатная библиотека. 2012 Национальный университет обороны, 8 декабря 2016 г. https://www.thefreelibrary.com/Stuxnet%2c+Schmitt+Analysis%2c+and+the+cyber+%22use-of-force%22+debate.-a0328945066
  3. ^ а б Шмитт, Майкл Н., Кибероперации и Jus in Bello: ключевые проблемы (2 марта 2011 г.). Военно-морское училище по международному праву, 2011. Доступно на SSRN: https://ssrn.com/abstract=1801176
  4. ^ Шмидт, Андреас. «Эстонские кибератаки». Ожесточенные доменные конфликты в киберпространстве 2012 (1986): 1986-2012.
  5. ^ Ваксман, Мэтью С., Кибератаки и применение силы: назад в будущее статьи 2 (4) (16 марта 2011 г.). Йельский журнал международного права, Vol. 36, 2011. Доступно в ССРН: https://ssrn.com/abstract=1674565 или https://dx.doi.org/10.2139/ssrn.1674565
  6. ^ Папанастасиу, Афродити, Применение международного права в операциях кибервойны (8 сентября 2010 г.). Доступно в SSRN: https://ssrn.com/abstract=1673785 или https://dx.doi.org/10.2139/ssrn.1673785
  7. ^ Кибератака «нацелена на Иран». Аль-Джазира. 24-9-2010.
  8. ^ Скотт Дж. Шакелфорд, От ядерной войны до сетевой войны: аналог кибератак в международном праве, 27 Berkeley J. Int'l Law. 192 (2009). Доступны на: http://scholarship.law.berkeley.edu/bjil/vol27/iss1/7
  9. ^ Фоссен, Селин, Кибератаки согласно Уставу Организации Объединенных Наций. Критические размышления о консеквенциалистских рассуждениях. (11 августа 2014 г.). Доступно в SSRN: https://ssrn.com/abstract=2594675 или https://dx.doi.org/10.2139/ssrn.2594675
  10. ^ Майкл, J.B .; Wingfield, T.C .; Виджесекера, Д. (2003). «Измеренные ответы на кибератаки с использованием анализа Шмитта: тематическое исследование сценариев атак для программно-интенсивной системы». Труды 27-й ежегодной международной конференции по компьютерному программному обеспечению и приложениям. КОМПАК 2003. С. 622–626. CiteSeerX  10.1.1.111.4082. Дои:10.1109 / CMPSAC.2003.1245406. ISBN  978-0-7695-2020-9.