Киберправо и киберэтика

Когда кибератака представляет собой применение силы?

Download 1,84 Mb.

bet	34/97
Sana	06.07.2022
Hajmi	1,84 Mb.
	#752104
Turi	Учебное пособие

1 ... 30 31 32 33 34 35 36 37 ... 97

Bog'liq
учебное пособие (2)

Когда кибератака представляет собой применение силы? Не все кибератаки одинаковы. Последствия кибератаки, которая блокирует доступ к новостному веб-сайту на 1 час, будут относительно незначительными по сравнению с атакой, которая мешает управлению воздушным движением и вызывает крушение самолетов. Действительно, последствия последнего были бы сравнимы с применением силы для сбивания самолетов. Таким образом, необходим не единый ответ на вопрос о том, связаны ли кибератаки с применением силы, а структура для оценки конкретной атаки или класса атак.
Для этого мы обратимся к работе Майкла Шмитта, профессора международного права и директора программы перспективных исследований в области безопасности в Европейском центре исследований в области безопасности им. Джорджа Маршалла в Германии. В статье 1999 года Шмитт, бывший профессор права в Военно-морском колледже США и Академии ВВС США, предложил семь критериев, позволяющих отличить операции с применением силы от экономических, дипломатических и других мягких мер (Schmitt, 1999). Для каждого критерия существует спектр последствий, верхний предел которых напоминает применение силы, а нижний предел напоминает мягкие меры. Следующее описание основано как на статье Шмитта, так и на работе Томаса Вингфилда, автора книги «Закон информационного конфликта» (Вингфилд, 2000, стр. 120–127).

Серьезность. Это касается убитых или раненых людей и материального ущерба. Предпосылка заключается в том, что вооруженные нападения с применением силы часто приводят к большим жертвам или материальному ущербу, в то время как мягкие меры этого не делают.
Непосредственность. Это время, необходимое для того, чтобы последствия операции вступили в силу. Как правило, вооруженные нападения с применением силы имеют немедленный эффект, от секунд до минут, в то время как более мягкие меры, такие как торговые ограничения, могут не ощущаться в течение нескольких недель или месяцев.
Прямота. Это связь между операцией и ее последствиями. В случае вооруженного нападения последствия, как правило, вызваны применением силы и связаны с ним, тогда как в случае более мягких мер может быть несколько объяснений.
Инвазивность. Это относится к тому, включала ли операция пересечение границ в целевую страну. Как правило, вооруженное нападение физически пересекает границы, тогда как более мягкие меры осуществляются внутри границ страны-спонсора.
Измеримость. Это способность измерять последствия операции. Предпосылка заключается в том, что последствия вооруженных нападений легче поддаются количественной оценке (количество жертв, стоимость материального ущерба в долларах), чем более мягкие меры, например, разрыв дипломатических отношений.
Предполагаемая легитимность. Это относится к тому, считается ли операция законной в международном сообществе. В то время как использование вооруженной силы, как правило, является незаконным при отсутствии какой-либо уважительной причины, такой как самооборона, использование мягких мер, как правило, является законным при отсутствии какого-либо запрета.
Ответственность. Это относится к степени, в которой последствия действия могут быть отнесены к государству, а не к другим субъектам. Предпосылка состоит в том, что вооруженное принуждение находится в исключительной компетенции государств и в большей степени может быть обвинено государствами, в то время как негосударственные субъекты способны заниматься такой мягкой деятельностью, как пропаганда и бойкоты.

Чтобы увидеть, как эти критерии могут применяться к кибератаке, рассмотрим вторжение в систему управления воздушным движением, в результате которого два больших самолета входят в одно и то же воздушное пространство и сталкиваются, что приводит к гибели 500 человек на борту двух самолетов. С точки зрения серьезности кибератака явно занимает высокое место. Непосредственность также высока, хотя задержка между вторжением и крушением может быть несколько больше, чем между чем-то вроде ракетного удара и крушением самолетов. Что касается непосредственности, давайте предположим, что причина крушения ясна из информации в компьютерах управления воздушным движением и из черных ящиков на борту самолетов, так что прямолинейность имеет большое значение. Инвазивность, однако, умеренная, требующая только электронного вторжения, а не физического. Измеримость, с другой стороны, высока: 500 погибших и два уничтоженных самолета. Презумптивная легитимность также высока в том смысле, что действие будет рассматриваться как нелегитимное, сродни ракетной атаке (верхняя граница спектра соответствует высокой нелегитимности). Ответственность бывает от умеренной до высокой. В принципе, преступником может быть кто угодно, но уровень навыков и знаний, необходимых для проведения этой атаки, исключает большинство хакеров, что предполагает государственное спонсорство. Таким образом, пять критериев (серьезность, безотлагательность, непосредственность, предполагаемая легитимность и измеримость) имеют высокий рейтинг, а два — как минимум средний (инвазивность и ответственность). Таким образом, нападение больше похоже на применение силы, чем на более мягкую, легитимную форму принуждения.
Теперь рассмотрим массивную распределенную атаку типа «отказ в обслуживании» (DDoS) против ключевого правительственного веб-сайта, которая использует ботнет из сотен или тысяч скомпрометированных компьютеров (зомби) и делает сайт недоступным в течение 1 дня. Это, вероятно, будет ранжироваться от низкого до умеренного по серьезности, но с высоким по срочности. Прямота будет от умеренной до высокой. Несмотря на то, что последствия можно с легкостью отнести к аппаратному или программному сбою, мониторинг сети и проверка интернет-журналов показали, что проблема вызвана массовым натиском трафика. Инвазивность будет примерно такой же, как и в предыдущем сценарии, а именно умеренной за счет электронного проникновения. Измеримость будет высокой, так как легко определить время простоя целевого веб-сервера. Предполагаемая легитимность также будет иметь высокий балл, поскольку DoS-атаки, как и применение силы, обычно считаются незаконными и нарушающими законы. Ответственность будет от низкой до умеренной. Требуются определенные навыки, но установить авторство будет сложно, и многие хакеры смогут это сделать. Таким образом, с точки зрения серьезности и ответственности нападение меньше похоже на силу, чем нападение, вызвавшее авиакатастрофу, но и не похоже на законные меры.
При «первичном анализе Шмитта» семь оценок суммируются и берется среднее значение. Для «вторичного анализа Шмитта» критериям присваиваются веса и вычисляется средневзвешенное значение. Это позволит, например, серьезности учитывать больше, чем другие критерии. Приведен пример с графиками, показывающими результаты как первичного, так и вторичного анализа Шмиттана. В той мере, в какой конкретная кибератака выглядит как применение силы, ее применение нарушит статью 2(4), что может привести к ответу Совета Безопасности ООН по статье 39 или применению силы по статье 51 в целях самообороны со стороны цели. . Однако в соответствии со статьями 39 и 51 кибератаки, напоминающие силу, будут разрешены в качестве средства защиты от агрессоров, применяющих либо физическую, либо киберсилу.
Напротив, если нападение больше похоже на легитимные, мягкие меры, чем на применение силы, то его применение не должно представлять собой нарушение статьи 2(4). Более того, если оно не будет сочтено серьезным, оно, скорее всего, не вызовет реакции Совета Безопасности ООН по статье 39, поскольку оно не будет истолковано как угроза миру или акт агрессии. Это также не дает стране-мишени основания для применения силы в целях самообороны в соответствии со статьей 51. Конечно, все это теория. На практике страна, ставшая жертвой кибератаки, может воспринимать ее как акт, заслуживающий физического (или кибер) ответа, независимо от того, как оценивают его преступники по критериям Шмитта или любым другим.
Этические последствия заключаются в том, что кибератаки, напоминающие силу, как и применение физической силы, морально оправданы только в том случае, если они соответствуют статьям 2(4), 39 и 51 Устава ООН; то есть они по своей природе носят оборонительный характер. Неспровоцированные акты агрессии в киберпространстве, напоминающие применение силы, юридически недопустимы. Кибератаки, которые не соответствуют порогу применения силы согласно статье 2(4), с большей вероятностью будут этичными, чем атаки, превышающие порог, но они не обязательно являются правильными с моральной точки зрения. Их этические последствия должны быть изучены, как и любые другие действия правительства, например, экономические санкции. Однако в целом должно быть легче оправдать кибероперации по этическим соображениям, поскольку эти операции отходят от силы по спектру насилия.

Download 1,84 Mb.

Do'stlaringiz bilan baham:

1 ... 30 31 32 33 34 35 36 37 ... 97