Анализ Шмитта

Анализ Шмитта — это правовая основа, разработанная в 1999 году Майклом Н. Шмиттом , ведущим автором Таллиннского руководства , для принятия решения о том, является ли участие государства в кибератаке применением силы . ^[1] Такая основа важна как часть процесса адаптации международного права к растущей угрозе кибервойны. Характеристики кибератаки могут определить, какой правовой режим будет регулировать поведение государства, и анализ Шмитта является одним из наиболее часто используемых способов анализа этих характеристик. ^[2] Его также можно использовать в качестве основы для подготовки специалистов в юридической сфере по вопросам кибервойны.

Мотивации

Поскольку общество становится все более зависимым от компьютеров в критически важной инфраструктуре, страны все больше беспокоятся об угрозах в киберпространстве . Распространение компьютеров и темпы технологических инноваций значительно продвинули цивилизацию, но оставили множество уязвимостей, которыми можно воспользоваться. Страны должны быть готовы защитить себя и знать, как соответствующим образом реагировать на атаки на компьютерные сети (CNA). Эти уникальные атаки во многом отличаются от физического применения силы, которое происходит в традиционной войне. Злоумышленники теперь могут удаленно вывести из строя свои цели, просто передав данные. CNA также имеют широкое определение, и не каждый CNA, принятый одним государством в отношении другого, является достаточным основанием для того, чтобы государства перерастали в вооруженное столкновение.

В зависимости от того, рассматривается ли CNA как применение силы или нет, виновная сторона будет осуждена на основании либо МГП , либо МППЧ . А jus ad bellum — это свод законов, определяющий, когда суверенным государствам разумно прибегать к использованию силы для защиты своих ресурсов, людей и интересов. Статья 51 Устава ООН определяет ситуацию, когда суверенное государство может применить силу, и гласит:

"Nothing in the present Charter shall impair the inherent right of individual or collective self-defense if an armed attack occurs against a Member of the United Nations, until the Security Council has taken measures necessary to maintain international peace and security. Measures taken by Members in the exercise of this right of self-defense shall be immediately reported to the Security Council and shall not in any way affect the authority and responsibility of the Security Council under the present Charter to take at any time such action as it deems necessary in order to maintain or restore international peace and security."

Государство имеет автономию действовать в целях самообороны, но ему необходимо доказательство существования непосредственной угрозы. Ему также необходимо действовать согласно критериям соразмерности и необходимости. Анализ Шмитта представляет собой основу для оценки CNA по семи параметрам, чтобы определить, представляет ли это неправомерное применение силы, а также для того, чтобы правительства могли принять решение о правильном образе действий после нападения. ^[3]

Историческая справка

Эстонские кибератаки 2007 года, нацеленные на интернет-ресурсы Эстонии, оказались первыми кибератаками, которые использовались в качестве оружия в политическом конфликте. В Эстонии возникла напряженность между гражданами, которые хотели, чтобы их страна была более независимой, и русско-эстонцами. Поскольку атаки исходили с российских адресов, российское правительство было обвинено в поддержке атак. ^[4] Совет Безопасности ООН не отреагировал на кибератаки Эстонии. После этого угроза кибервойны между государствами казалась гораздо более реальной и неизбежной. Это мероприятие также подчеркнуло важность международного сотрудничества для защиты киберпространства. Это также выявляет необходимость международного законодательства относительно того, что квалифицируется как надлежащая реакция правительства на CNA. ^[5]^[6]

Во время конфликта 2008 года между грузинскими националистами и южноосетинскими сепаратистами многие грузинские веб-сайты подверглись порче и DDoS-атакам. В ходе конфликта был открыт сайт StopGeorgia.ru, на котором были размещены ссылки на потенциальные объекты атак, а также вредоносное программное обеспечение. Российские гражданские лица могут участвовать в кибератаках, и возникает вопрос, означает ли это прямое участие, что их больше не следует считать гражданскими лицами.

В 2010 году был обнаружен червь Stuxnet, который заразил предприятия по обогащению урана в Натанзе в Иране и предположительно уничтожил до 1000 центрифуг, что отбросило ядерную программу Ирана на несколько лет. Российская компания «Касперский» заявила, что вирус мог быть внедрен только при поддержке государства и что это приведет к созданию нового типа гонки вооружений в мире. Учитывая нанесенный ущерб, а также агрессивность, отсутствие четкой легитимности и предположения о том, что червь был разработан и развернут с помощью правительства США и возможной помощи Израиля или Германии, означает, что Stuxnet можно рассматривать как применение силы. Хотя это нельзя рассматривать как незаконное применение силы, поскольку намеченная ядерная деятельность Ирана была незаконной. По этой причине вирус был назван кибероружием, хотя иранское правительство не утверждало, что оно стало жертвой кибератаки. Бездействие иранского правительства может иметь последствия для развития правовых норм, касающихся киберпространства, а бездействие государства не рассматривается в рамках концепции Шмитта. ^[2]^[7]

CNA как применение силы

Анализ Шмитта тесно связан со статьей 2(4) Устава ООН , которая гласит:

"All Members shall refrain in their international relations from the threat or use of force against the territorial integrity or political independence of any state, or in any other manner inconsistent with the Purposes of the United Nations."

Не каждое применение силы подпадает под действие статьи 2(4), а только то, которое может угрожать международному миру. В статье не указывается вооруженная сила, и возникает вопрос, можно ли ее понимать как любой вид силы, даже как экономическую силу, например, посредством насильственного экономического принуждения. Идея состоит в том, что любое применение силы, не разрешенное Уставом, является противоправным. Однако на практике необходима определенная гибкость. Существуют ситуации, такие как деколонизация и гуманитарная интервенция, в которых строгое следование этому правилу может не соответствовать интересам общества. А закон о применении силы должен адаптироваться и развиваться к новым ситуациям и обстоятельствам, например, кибервойнам. Было бы трудно классифицировать каждое CNA как применение силы, учитывая, например, что некоторые из них могут даже не причинять какого-либо прямого физического ущерба. Чтобы использовать действующее законодательство, касающееся вооруженных сил, Шмитт предложил сравнить характеристики и последствия CNA. Целью данного индивидуального подхода является правильная классификация тех случаев, когда CNA попадают в категорию применения силы, а какие нет. ^[3]

Аналогия с ядерной войной

Атаки на компьютерные сети, как и оружие массового поражения , асимметричны по своей природе. Поскольку инфраструктура, такая как электросети, транспорт и телекоммуникации, взаимосвязаны, атака на один объект может иметь катастрофический эффект домино. Разрушительные возможности кибератак сравнивают с воздействием ядерной радиации и ЭМИ-эффектом ядерных взрывов. Небольшие страны, желающие оказать влияние, могут воспользоваться тем, насколько дешевым является запуск CNA. Ядерное оружие также не объявлено вне закона, но, наряду с другими видами оружия ведения войны, необходимо быть очень осторожными при использовании или угрозе применения этого оружия и следовать правилам соразмерности, необходимости и гуманности. И ядерное оружие, и информационное оружие не делают различия между гражданскими и негражданскими лицами. ^[8]

Критерии анализа

Для оценки атаки на компьютерную сеть используются семь критериев. Анализ фокусируется преимущественно на критериях, которые зависят от последствий CNA (и, как таковая, кибератака считается кибератакой только в том случае, если есть травмы, смерть, а также объекты и их функциональность), ^[9] поэтому более полезно анализировать события после того, как они произошли, а не по мере их планирования. Эта утилитарная направленность также преобладает в jus in bello , которое стремится к человечности, но в то же время допускает, например, в некоторых случаях компромисс между военными достижениями и жертвами среди гражданского населения. Анализ Шмитта также субъективен и во многом зависит от контекста. Он не пытается установить границы применения силы, а вместо этого пытается сравнить характеристики конкретной CNA и характеристики традиционного применения силы. ^[1]^[2]^[10]

Серьезность: это уровень разрушений, вызванных атакой. Во внимание принимаются масштаб, продолжительность и интенсивность атаки. Повреждение веб-сайта общественного деятеля может рассматриваться как не применение силы, в то время как отключение системы онлайн-банкинга или отключение механизмов безопасности атомной электростанции может считаться таковым.
Непосредственность: Скорость нанесения вреда, при которой более немедленная атака оставляет меньше места для диалога и переговоров между атакующим и целью. Чтобы государство могло действовать в порядке самообороны, оно должно иметь неопровержимые доказательства того, что угроза нации является непосредственной.
Прямота: CNA может иметь неожиданные последствия, и может быть трудно предсказать полный эффект кибератаки. Вот насколько ясно, что последствия на самом деле являются последствиями КНА, а не других событий.
Инвазивность: CNA обычно менее агрессивны, чем перемещение войск на территорию государства. Если кибератака затрагивает суверенитет государства, то ее, скорее всего, будут рассматривать как применение силы.
Измеримость: насколько ясны точные последствия CNA с точки зрения размера нанесенного ущерба. Последствия вооруженного принуждения, как правило, очень очевидны.
Презумптивная легитимность: государство может использовать CNA в качестве метода защитной контратаки. Самооборона является одним из исключений из запрета на применение насилия. Государство также может использовать CNA таким образом, чтобы это не напоминало вооруженное принуждение.
Ответственность: Министерство обороны США утверждает, что если нападение государства А на государство Б не спонсируется государством А, то государство Б не имеет права вторгаться в страну государства А и вместо этого должно попросить его вмешаться и остановить нападение. Но поскольку злоумышленники могут перенаправлять свои данные через удаленные места, может быть сложно с уверенностью приписать CNA обвиняемому государству, как это произошло в Эстонии в 2007 году.

Важным фактором при проведении анализа Шмитта является вопрос, пытались ли исполнители нападения действовать в соответствии с Законом о вооруженных конфликтах (LOAC). Это может быть случай Stuxnet, который был разработан для минимизации сопутствующего ущерба и лишь случайно распространился за пределы намеченной цели. Такая попытка может означать причастность государства к нападению, поскольку частные лица могут быть не столь обеспокоены международным правом. А это также означает, что нападение с большей вероятностью будет характеризоваться как применение силы, даже если оно не причинит реального ущерба.

Потенциальные недостатки

Основная проблема с использованием схемы Шмитта заключается в том, что она требует указания авторства, а атакующая страна должна нести ответственность за атаку. В большинстве случаев этого не происходит, поскольку государства осуществляют свои действия в киберпространстве скрытно и не берут на себя ответственности. Существует также вероятность того, что подвергшееся нападению государство не примет мер против нарушителей и не будет обвинять другое государство в незаконных действиях. Некоторые также критикуют следование этой системе парадигме, основанной на документах, изложенной в статье 2(4), и ограничительному определению незаконного применения силы, а также отдают предпочтение системе, в большей степени основанной на последствиях.

См. также

Ссылки

^ Jump up to: ^а ^б Шмитт, Майкл Н., Атака на компьютерные сети и применение силы в международном праве: мысли о нормативной базе (1999). Колумбийский журнал транснационального права, Vol. 37, 1998–99. Доступно в SSRN: https://ssrn.com/abstract=1603800.
^ Jump up to: ^а ^б ^с Stuxnet, Schmitt Analysis и дебаты о кибер-применении силы». Бесплатная библиотека. 2012 Национальный университет обороны, 8 декабря 2016 г. https://www.thefreelibrary.com/Stuxnet%2c+Schmitt+Analysis%2c +и+кибер+%22применение силы%22+дебаты.-a0328945066
^ Jump up to: ^а ^б Шмитт, Майкл Н., Кибероперации и закон в Белло: ключевые проблемы (2 марта 2011 г.). Исследования международного права Военно-морского колледжа, 2011 г. Доступно на SSRN: https://ssrn.com/abstract=1801176 .
^ Шмидт, Андреас. «Эстонские кибератаки». Ожесточенные доменные конфликты в киберпространстве 2012 (1986): 1986-2012.
↑ Ваксман, Мэтью К., Кибератаки и применение силы: Назад в будущее статьи 2 (4) (16 марта 2011 г.). Йельский журнал международного права, Vol. 36, 2011. Доступно на SSRN: https://ssrn.com/abstract=1674565 или https://dx.doi.org/10.2139/ssrn.1674565.
^ Папанастасиу, Афродити, Применение международного права в операциях кибервойны (8 сентября 2010 г.). Доступно в SSRN: https://ssrn.com/abstract=1673785 или https://dx.doi.org/10.2139/ssrn.1673785.
^ «Кибератака «нацелена на Иран»: вредоносное программное обеспечение, обнаруженное в системах по всему миру, могло быть предназначено для атаки на реактор в Бушере, говорят эксперты» . Аль-Джазира на английском языке . 24 сентября 2010 г. Архивировано из оригинала 8 июля 2012 г. Проверено 8 марта 2021 г. {{cite web}}: CS1 maint: неподходящий URL ( ссылка )
^ Скотт Дж. Шакелфорд, От ядерной войны к сетевой войне: аналогия кибератак в международном праве, 27 Беркли Дж. Международное право. 192 (2009). Доступно по адресу: http://scholarship.law.berkeley.edu/bjil/vol27/iss1/7.
^ Воссен, Селин, Кибератаки в соответствии с Уставом Организации Объединенных Наций. Критические размышления о консеквенциалистских рассуждениях. (11 августа 2014 г.). Доступно в SSRN: https://ssrn.com/abstract=2594675 или https://dx.doi.org/10.2139/ssrn.2594675.
^ Майкл, Дж.Б.; Вингфилд, Техас; Виджесекера, Д. (2003). «Измеренные ответы на кибератаки с использованием анализа Шмитта: тематическое исследование сценариев атак для системы с интенсивным использованием программного обеспечения». Материалы 27-й ежегодной международной конференции по компьютерному программному обеспечению и приложениям. КОМПАК 2003 . стр. 622–626. CiteSeerX 10.1.1.111.4082 . дои : 10.1109/CMPSAC.2003.1245406 . ISBN 978-0-7695-2020-9 . S2CID 23277767 .

[Schmitt1999-1] Jump up to: ^а ^б Шмитт, Майкл Н., Атака на компьютерные сети и применение силы в международном праве: мысли о нормативной базе (1999). Колумбийский журнал транснационального права, Vol. 37, 1998–99. Доступно в SSRN: https://ssrn.com/abstract=1603800.

[Stuxnet-2] Jump up to: ^а ^б ^с Stuxnet, Schmitt Analysis и дебаты о кибер-применении силы». Бесплатная библиотека. 2012 Национальный университет обороны, 8 декабря 2016 г. https://www.thefreelibrary.com/Stuxnet%2c+Schmitt+Analysis%2c +и+кибер+%22применение силы%22+дебаты.-a0328945066

[Schmitt2011-3] Jump up to: ^а ^б Шмитт, Майкл Н., Кибероперации и закон в Белло: ключевые проблемы (2 марта 2011 г.). Исследования международного права Военно-морского колледжа, 2011 г. Доступно на SSRN: https://ssrn.com/abstract=1801176 .

[Estonia-4] Шмидт, Андреас. «Эстонские кибератаки». Ожесточенные доменные конфликты в киберпространстве 2012 (1986): 1986-2012.

[Waxman2011-5] Ваксман, Мэтью К., Кибератаки и применение силы: Назад в будущее статьи 2 (4) (16 марта 2011 г.). Йельский журнал международного права, Vol. 36, 2011. Доступно на SSRN: https://ssrn.com/abstract=1674565 или https://dx.doi.org/10.2139/ssrn.1674565.

[Papanastasiou2010-6] Папанастасиу, Афродити, Применение международного права в операциях кибервойны (8 сентября 2010 г.). Доступно в SSRN: https://ssrn.com/abstract=1673785 или https://dx.doi.org/10.2139/ssrn.1673785.

[Stuxnet2-7] «Кибератака «нацелена на Иран»: вредоносное программное обеспечение, обнаруженное в системах по всему миру, могло быть предназначено для атаки на реактор в Бушере, говорят эксперты» . Аль-Джазира на английском языке . 24 сентября 2010 г. Архивировано из оригинала 8 июля 2012 г. Проверено 8 марта 2021 г. {{cite web}}: CS1 maint: неподходящий URL ( ссылка )

[Shackelford2009-8] Скотт Дж. Шакелфорд, От ядерной войны к сетевой войне: аналогия кибератак в международном праве, 27 Беркли Дж. Международное право. 192 (2009). Доступно по адресу: http://scholarship.law.berkeley.edu/bjil/vol27/iss1/7.

[VossenCeline2014-9] Воссен, Селин, Кибератаки в соответствии с Уставом Организации Объединенных Наций. Критические размышления о консеквенциалистских рассуждениях. (11 августа 2014 г.). Доступно в SSRN: https://ssrn.com/abstract=2594675 или https://dx.doi.org/10.2139/ssrn.2594675.

[MichaelWingfield2003-10] Майкл, Дж.Б.; Вингфилд, Техас; Виджесекера, Д. (2003). «Измеренные ответы на кибератаки с использованием анализа Шмитта: тематическое исследование сценариев атак для системы с интенсивным использованием программного обеспечения». Материалы 27-й ежегодной международной конференции по компьютерному программному обеспечению и приложениям. КОМПАК 2003 . стр. 622–626. CiteSeerX 10.1.1.111.4082 . дои : 10.1109/CMPSAC.2003.1245406 . ISBN 978-0-7695-2020-9 . S2CID 23277767 .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]