Schmittova analýza - Schmitt Analysis

Schmittova analýza je právní rámec vyvinut v roce 1999 společností Michael N. Schmitt, přední autor časopisu Tallinská příručka, za rozhodnutí, zda a stát účast v a kybernetický útok představuje a použití síly.[1] Takový rámec je důležitý jako součást procesu adaptace mezinárodního práva na rostoucí hrozbu kybernetické války. Charakteristiky kybernetického útoku mohou určit, který právní režim bude řídit chování státu, a Schmittova analýza je jedním z nejčastěji používaných způsobů analýzy těchto charakteristik.[2] Lze jej také použít jako základ pro školení profesionálů v právní oblasti pro řešení kybernetických bojů.

Motivace

Jak se společnost stává pro kritickou infrastrukturu více závislou na počítačích, země se stále více zajímají o hrozby v EU kyberprostor. Prevalence počítačů a tempo technologických inovací významně pokročilo v civilizaci, ale zanechalo mnoho zranitelných míst, které lze zneužít. Země musí být připraveny se bránit a vědět, jak odpovídajícím způsobem reagovat na útoky na počítačové sítě (CNA). Tyto jedinečné útoky se v mnoha ohledech liší od fyzického použití síly, ke kterému dochází v tradiční válce. Útočníci nyní mohou vzdáleně deaktivovat své cíle jednoduše prostřednictvím přenosu dat. CNA mají rovněž širokou definici a ne každá CNA uzákoněná jedním státem po druhém je dostatečným důvodem pro to, aby státy eskalovaly do ozbrojeného zapojení.

V závislosti na tom, zda se s CNA zachází jako s použitím síly, či nikoli, by se protiprávní strana posuzovala na základě buď MHP nebo IHRL. A jus ad bellum je souborem právních předpisů, které definují, kdy je rozumné, aby se suverénní státy uchýlily k použití síly k obraně svých zdrojů, lidí a zájmů. Článek 51 Charty OSN definuje situaci, kdy by suverénní stát mohl použít sílu, a stanoví, že:

„Nic v této Listině nezasahuje do inherentního práva na individuální nebo kolektivní sebeobranu, pokud dojde k ozbrojenému útoku na člena Organizace spojených národů, dokud Rada bezpečnosti nepřijme opatření nezbytná k udržení mezinárodního míru a bezpečnosti. Opatření přijatá členy při výkonu tohoto práva na sebeobranu budou okamžitě ohlášeni Radě bezpečnosti a nijak to neovlivní pravomoc a odpovědnost Rady bezpečnosti podle této Charty kdykoli přijmout opatření, která považuje za nezbytná k tomu, aby udržovat nebo obnovovat mezinárodní mír a bezpečnost. “

Stát má samostatnost jednat v sebeobraně, ale potřebuje důkaz, že existuje bezprostřední hrozba. Rovněž musí jednat podle kritérií proporcionality a nezbytnosti. Schmittova analýza je rámcem pro hodnocení CNA podle sedmi parametrů, aby se zjistilo, zda představuje neoprávněné použití síly, a aby vlády rozhodly o platném postupu po útoku.[3]

Historické pozadí

Estonské kybernetické útoky z roku 2007, zaměřené na estonské internetové zdroje, se zdají být prvními kybernetickými útoky, které byly použity jako zbraň v politickém konfliktu. V Estonsku panovalo napětí mezi občany, kteří chtěli, aby byla jejich země nezávislejší, a rusko-estonskými občany. Protože útoky pocházely z ruských adres, byla ruská vláda obviněna, že je podporuje.[4] Rada bezpečnosti OSN na estonské kybernetické útoky nereagovala. Poté se hrozba kybernetické války mezi státy zdála mnohem reálnější a bezprostřední. Tato událost rovněž zdůraznila význam mezinárodní spolupráce pro ochranu kyberprostoru. Rovněž objasňuje potřebu mezinárodní legislativy týkající se toho, co lze považovat za vhodnou vládní reakci na CNA.[5][6]

Během konfliktu mezi gruzínskými nacionalisty a Gruzií v roce 2008 Jižní Osetie separatisté, mnoho gruzínských webů bylo poškozeno a útoky DDoS. Během tohoto konfliktu byl vytvořen web s názvem StopGeorgia.ru, který obsahoval odkazy na potenciální cíle útoků spolu se škodlivým softwarem. Kybernetických útoků by se mohli účastnit ruští civilisté a je otázkou, zda tato přímá účast naznačuje, že by již neměli být považováni za civilisty.

V roce 2010 byl objeven červ Stuxnet, který infikoval zařízení na obohacování uranu v Natanzu v Íránu a existuje podezření, že zničil až 1 000 odstředivek, což o několik let znemožnilo íránský jaderný program. Ruská společnost Kaspersky uvedl, že virus mohl být rozmístěn pouze s podporou národních států a že by vedl k vytvoření nového druhu závodů ve zbrojení na světě. S ohledem na způsobenou škodu, spolu s invazivností, nedostatkem jasné legitimity a spekulacemi, že červ byl vyvinut a nasazen za pomoci vlády USA s možnou izraelskou nebo německou pomocí, lze Stuxnet považovat za použití síly. I když to nemusí být považováno za nezákonné použití síly, protože cílené íránské jaderné aktivity byly nezákonné. Z tohoto důvodu byl virus nazýván kybernetickou zbraní, i když íránská vláda netvrdila, že byl obětí kybernetického útoku. Nečinnost íránské vlády může mít důsledky pro vývoj právních norem týkajících se kyberprostoru a Schmittův rámec nečinnost státu neřeší.[2][7]

CNA jako použití síly

Schmittova analýza je silně svázána s čl. 2 odst. 4 Charta OSN, ve kterém se uvádí, že:

„Všichni členové se ve svých mezinárodních vztazích zdrží hrozby nebo použití síly proti územní celistvosti nebo politické nezávislosti kteréhokoli státu nebo jakýmkoli jiným způsobem, který není v souladu s cíli Organizace spojených národů.“

Ne každé použití síly spadá do působnosti čl. 2 odst. 4, pouze ta, která může ohrozit mezinárodní mír. A článek neurčuje ozbrojené síly a je zde otázka, zda jej lze číst jako jakýkoli druh síly, dokonce i ekonomickou sílu, například prostřednictvím násilného ekonomického nátlaku. Myšlenka je, že jakékoli použití síly, které není v Listině povoleno, je protiprávní. V praxi je však nutné mít určitou míru flexibility. Existují situace, jako například situace dekolonizace a humanitární intervence, že přísné dodržování tohoto pravidla nemusí být v souladu se zájmy komunity. A zákony týkající se použití síly se musí přizpůsobit a vyvíjet se novým situacím a okolnostem, jako jsou situace v kybernetické válce. Bylo by obtížné klasifikovat každou CNA jako použití síly, například s přihlédnutím k tomu, že některé nemusí dokonce způsobit žádné přímé fyzické poškození. Aby bylo možné využít zavedeného zákona, který se týká ozbrojených sil, navrhl Schmitt srovnání charakteristik a důsledků CNA. Cílem tohoto přístupu od případu k případu je správná klasifikace s tím, že CNA spadají do kategorie použití síly a které nikoli.[3]

Analogie jaderného boje

Útoky na počítačové sítě jsou, jako zbraně hromadného ničení, asymetrické povahy. Vzhledem k tomu, že infrastruktura, jako jsou energetické sítě, doprava a telekomunikace, jsou vzájemně propojeny, může mít útok na jeden web katastrofický dominový efekt. Destruktivní schopnosti kybernetických útoků byly srovnávány s účinky jaderného záření a účinkem EMP jaderných výbuchů. Malé země, které chtějí mít dopad, mohou využít toho, jak levné je zavedení CNA levné. Jaderné zbraně také nebyly postaveny mimo zákon, ale spolu s jinými válečnými zbraněmi je třeba být velmi opatrní při používání nebo hrozbě použití těchto zbraní a dodržovat pravidla proporcionality, nutnosti a lidskosti. Jaderné zbraně a informační zbraně nerozlišují mezi civilisty a necivilisty.[8]

Kritéria analýzy

K hodnocení útoku na počítačovou síť se používá sedm kritérií. Analýza se zaměřuje převážně na kritéria, která jsou závislá na důsledcích CNA (a jako takový je kybernetický útok považován za kybernetický útok pouze v případě úrazu, smrti a předmětů a jejich funkčnosti),[9] a proto je užitečnější pro analýzu událostí poté, co k nim došlo, a ne tak, jak jsou plánovány. Toto utilitární zaměření převládá také v EU jus in bello, která usiluje o lidstvo a přitom v některých případech umožňuje kompromis mezi vojenskými zisky a civilními oběťmi. Schmittova analýza je také subjektivní a závisí do značné míry na kontextu. Nepokouší se stanovit měření, kde hranice, kde se CNA stávají, používají sílu, ale místo toho se pokouší porovnat charakteristiky konkrétní CNA a charakteristiky tradičního použití síly.[1][2][10]

  1. Závažnost: Toto je úroveň destrukce způsobené útokem. Zohledňuje se rozsah, trvání a intenzita útoku. Znehodnocení webových stránek veřejného činitele by mohlo být považováno za použití síly, zatímco deaktivace systému online bankovnictví nebo vypnutí bezpečnostních mechanismů jaderné elektrárny by mohlo být.
  2. Okamžitost: Rychlost, k níž dojde ke škodě, kdy okamžitější útok ponechává méně prostoru pro dialog a jednání mezi útočníkem a cílem. Aby stát mohl jednat v sebeobraně, měl by mít nezvratný důkaz, že ohrožení národa je okamžité.
  3. Přímost: CNA může mít neočekávané důsledky a může být obtížné předpovědět úplný dopad kybernetického útoku. Takto je jasné, že důsledky jsou ve skutečnosti důsledky CNA, nikoli jiných událostí.
  4. Invazivita: CNA jsou obvykle méně invazivní než pohyb vojsk na území státu. Pokud kybernetický útok ovlivňuje suverenitu státu, je pravděpodobnější, že bude považován za použití síly.
  5. Měřitelnost: Takto jasné jsou přesné důsledky CNA, pokud jde o to, jak velké škody byly způsobeny. U ozbrojeného nátlaku jsou důsledky velmi jasné.
  6. Předpokládaná legitimita: Stát by mohl použít CNA jako metodu obranného protiútoku. Sebeobrana je jednou z výjimek ze zákazu používání násilí. Stát může také zaměstnávat CNA způsobem, který se nepodobá ozbrojenému nátlaku.
  7. Odpovědnost: USDOD tvrdí, že pokud útok ze státu A do státu B není sponzorován státem A, pak stát B nemá právo napadnout národ státu A, a měl by místo toho požádat, aby zasáhl a zastavil útok. Ale protože útočníci mohou směrovat svá data přes vzdálená místa, může být obtížné s jistotou přiřadit CNA obviněnému státu, jako tomu bylo v Estonsku v roce 2007.

Relevantním faktorem při provádění Schmittovy analýzy je otázka, zda se pachatelé útoku pokusili jednat v souladu se zákonem o ozbrojeném konfliktu (LOAC). To by mohl být případ Stuxnetu, který byl navržen tak, aby minimalizoval vedlejší škody, a jen se náhodně rozšířil nad svůj zamýšlený cíl. Tento pokus může znamenat účast státu na útoku, protože soukromé osoby nemusí být tak znepokojeny mezinárodním právem. A také to znamená, že útok bude pravděpodobně charakterizován jako použití síly, i když nezpůsobí skutečné poškození.

Potenciální nedostatky

Hlavní problém s používáním Schmittova rámce spočívá v tom, že vyžaduje přičítání, za útok musí nést odpovědnost útočící země. Zdá se, že se to ve většině případů neděje, protože státy provádějí své akce v kyberprostoru tajně a neberou odpovědnost. Existuje také možnost, že stát, který byl napaden, nebude jednat proti pachatelům a nebude obviňovat jiný stát z protiprávního jednání. Někteří rovněž kritizují dodržování rámce čl. 2 odst. 4 paradigmatu založeného na nástrojích a restriktivní definici nezákonného použití síly a upřednostňují rámec více založený na důsledcích.

Viz také

Reference

  1. ^ A b Schmitt, Michael N., Computer Network Attack and the Use of Force in international law: Thoughts on a Normative Framework (1999). Columbia Journal of Transnational Law, Vol. 37, 1998-99. K dispozici na SSRN: https://ssrn.com/abstract=1603800
  2. ^ A b C Stuxnet, Schmittova analýza a debata o kybernetickém „použití síly“ .. „Svobodná knihovna. 2012 Národní univerzita obrany 8. prosince 2016 Odkaz
  3. ^ A b Schmitt, Michael N., Cyber ​​Operations and the Jus in Bello: Key Issues (2. března 2011). Naval War College International Law Studies, 2011. Dostupné na SSRN: https://ssrn.com/abstract=1801176
  4. ^ Schmidt, Andreas. „Estonské kybernetické útoky.“ Divoké doménové konflikty v kyberprostoru 2012 (1986): 1986–2012.
  5. ^ Waxman, Matthew C., Cyber-Attacks and the Use of Force: Back to the Future of Article 2 (4) (16. března 2011). Yale Journal of International Law, sv. 36, 2011. Dostupné na SSRN: https://ssrn.com/abstract=1674565 nebo https://dx.doi.org/10.2139/ssrn.1674565
  6. ^ Papanastasiou, Afroditi, Aplikace mezinárodního práva v operacích kybernetické války (8. září 2010). K dispozici na SSRN: https://ssrn.com/abstract=1673785 nebo https://dx.doi.org/10.2139/ssrn.1673785
  7. ^ Kybernetický útok „cíleně na Írán“. Al-Džazíra. 24-9-2010.
  8. ^ Scott J. Shackelford, Od jaderné války k čisté válce: Analogizace kybernetických útoků v mezinárodním právu, 27 Berkeley J. Int'l Law. 192 (2009). Dostupné v: http://scholarship.law.berkeley.edu/bjil/vol27/iss1/7
  9. ^ Vossen, Celine, kybernetické útoky podle Charty OSN. Kritické úvahy o následném uvažování. (11. srpna 2014). K dispozici na SSRN: https://ssrn.com/abstract=2594675 nebo https://dx.doi.org/10.2139/ssrn.2594675
  10. ^ Michael, J. B.; Wingfield, T.C .; Wijesekera, D. (2003). „Měřené reakce na kybernetické útoky pomocí Schmittovy analýzy: Případová studie scénářů útoků na softwarově náročný systém“. Sborník 27. výroční mezinárodní konference o počítačovém softwaru a aplikacích. COMPAC 2003. str. 622–626. CiteSeerX  10.1.1.111.4082. doi:10.1109 / CMPSAC.2003.1245406. ISBN  978-0-7695-2020-9.