Aplicando Jus Ad Bellum no ciberespaço

admin

apesar do seu potencial de perturbação da paz e da segurança internacionais, não existe uma estrutura jurídica internacional específica para analisar os ciberataques. Consequentemente, os estudiosos aplicam o quadro de jus ad bellum – “disposições internacionais sobre a justificação para entrar em um conflito armado” – aos ciberataques, mas a discussão está sujeita a interpretações variadas., Especificamente, o artigo 2.º, n. º 4, e o artigo 51. º da Carta das Nações Unidas (“ONU”) dos direitos e liberdades (“carta”) que regem a proibição do uso da força e do direito à autodefesa estão no centro do debate. Este documento analisa a aplicação destas disposições aos ciberataques em três secções. Em primeiro lugar, identifica as características únicas dos ciberataques., Em segundo lugar, explora a literatura existente sobre a legalidade dos ciberataques e adota os critérios de Michael Schmitt de que os ciberataques constituem usos da força e ataques armados quando eles se assemelham suficientemente às consequências de seus homólogos tradicionais. Em terceiro lugar, identifica quatro áreas que contestam a aplicabilidade destas leis aos ciberataques, nomeadamente: responsabilidade do estado, autodefesa antecipada, princípios de necessidade e proporcionalidade e espionagem., Este artigo argumenta que, embora o artigo 2.º, n. º 4, e o artigo 51. º possam ser interpretados como incluindo ciberataques, as características únicas da tensão do ciberespaço são a sua aplicação.os ataques cibernéticos são tentativas de hackers de danificar ou destruir uma rede ou sistema de computadores. Em virtude de sua programação altamente sofisticada, os ataques cibernéticos diferem dos ataques tradicionais de quatro maneiras. Em primeiro lugar, são muitas vezes indirectas, tornando difícil estabelecer a origem e as consequências imediatas do ataque., Em segundo lugar, a natureza intangível dos alvos e das armas desafia a caracterização do ataque como um uso da força. Em terceiro lugar, o locus dos dados alvo de ataque que residem em um servidor de informação –desafia noções tradicionais de violações de fronteiras. Em quarto lugar, os ciberataques não resultam necessariamente em destruição física irreversível e, em vez disso, podem simplesmente neutralizar, desligar ou intangível “quebrar” um sistema.estes factores podem explicar o desenvolvimento de ciberataques como uma alternativa desejável à agressão militar tradicional para intervenientes estatais e não estatais., Além disso, devido à interligação de sistemas informáticos civis e militares e à facilidade com que qualquer pessoa com um sistema de internet em rede pode lançá-los, os ciberataques não conhecem fronteiras e têm o potencial de perturbar gravemente ou causar danos às infra-estruturas públicas ou privadas. Eles constantemente ameaçam sistemas governamentais, corporativos e privados em todo o mundo e desafiam a segurança internacional, a segurança pública e a estabilidade econômica. Devido ao anonimato e imprevisibilidade dos ciberataques, a prevenção é difícil., No entanto, apesar da gravidade potencial do impacto comparável aos usos tradicionais da força, os ciberataques não são explicitamente regidos pelo direito internacional e apresentam uma área cinzenta sob jus ad bellum.interpretando Jus Ad Bellum enquanto redigido com o conflito armado tradicional em mente, a linguagem do artigo 2.º, n. º 4, e do artigo 51. º pode ser interpretada de forma ampla para incluir ciberataques. Em referência à carta, exemplos e jurisprudência, esta secção estabelece como os ciberataques podem ser incluídos ao abrigo destas disposições.,a proibição do uso da força é um princípio fundamental do Direito Internacional. Artigo 2(4) da Carta sustenta que “todos os membros deverão evitar em suas relações internacionais, da ameaça ou uso da força contra a integridade territorial ou a independência política de qualquer estado.”Como regra habitual do Direito Internacional, esta proibição estende-se a todos os estados, independentemente da adesão à ONU. Além disso, o uso convencional de jus ad bellum refere-se a atos de Estados., Consequentemente, embora possam suscitar outras preocupações jurídicas, os ciberataques mobilizados por intervenientes não estatais são irrelevantes para a jus ad bellum.apesar de não estar definido no direito internacional, o “uso da força” nos termos do artigo 2.º, n. º 4, inclui claramente a força armada –relevante para jus ad bellum – e exclui a coerção política ou económica. A principal diferença entre a força armada e a coerção política ou econômica é a capacidade fisicamente destrutiva do primeiro., Dado que a força tradicional é baseada em instrumentos e causa destruição física, fatalidade ou lesão, é concebível que um ciberataque cause tais danos seja considerado um uso da força nos termos do artigo 2.o, n. o 4. O vírus Stuxnet de 2010 pode ser o exemplo mais claro de um ataque cibernético qualificado como uso da força. O vírus, que visava a instalação nuclear de Natanz no Irã, fez com que o Irã substituísse 1.000 das 9.000 centrifugadoras IR-1 na instalação.,quando o ataque não causa danos físicos, a classificação de uma operação como uso da força é objeto de debate entre abordagens expansionistas e restritivas. A abordagem expansionista sustenta que o resultado destrutivo não tem que causar a destruição física da propriedade. Assim, uma operação cibernética que interferiu com o funcionamento de um sistema de computador de tal forma que ele foi considerado “quebrado” constituiria uma força armada., A esta luz, os ataques de negação de Serviço contra sites Georgianos em 2008 durante a Guerra Russo-georgiana – projetado para desligar as redes de computadores, esmagando – os com tráfego inútil-se qualificaria. Embora os ataques não tenham causado danos físicos, causaram uma grande perturbação.a abordagem restritiva sugere que os ataques de negação de serviço se assemelham mais à coerção política ou económica no que respeita à falta de destruição física e, portanto, estão fora do âmbito do n. º 4 do artigo 2.º., Os defensores da abordagem interpretam literalmente o n. º 4 do artigo 2.º e argumentam que qualquer outra coisa que não a força armada tradicional deve ser excluída e tolerada como “alternativas pacíficas a uma guerra total”.”Assim, os ciberataques não constituem um uso da força, apesar de seu impacto prejudicial e ameaça substancial à segurança internacional.

Schmitt, um jurista Internacional sobre questões de “uso da força”, reconcilia estas abordagens na convicção de que os ciberataques devem se encaixar em um tradicional quadro de referência baseado em consequências para se qualificar como força armada., Cada operação cai algures num continuum entre a força armada e a coerção política ou económica. Schmitt critérios para a colocação ao longo do continuum incluem a gravidade do dano, o imediatismo das consequentes danos, a franqueza de ligação entre as forças armadas e as suas consequências, o cruzamento de uma fronteira internacional, a capacidade de avaliar ou discernir o ato consequências físicas, e a legalidade do ato sob a lei nacional e internacional (de que a violência é supostamente ilegal, ao passo que políticas ou coerção econômica, não é)., Embora os critérios de imediatismo e de fronteira violada sejam menos relevantes para os ciberataques, os restantes critérios são úteis para identificar violações do artigo 2.o, n. o 4. Os critérios de Schmitt criaram um equilíbrio satisfatório e também foram geralmente aceites nos últimos anos. A sua abordagem constitui a base mais frutífera para analisar a jus ad bellum no contexto dos ciberataques, permitindo uma análise mais completa do n. o 4 do artigo 2.o e da sua aplicação.,o direito à autodefesa é uma excepção ao n. º 4 do artigo 2.º se um ataque armado for lançado contra um estado, desencadeando assim o direito desse estado de exercer o uso da força em autodefesa. O artigo 51º da carta – também uma regra habitual do direito internacional – reconhece o “direito inerente à autodefesa individual ou colectiva se ocorrer um ataque armado contra um membro das Nações Unidas.”Como o” ataque armado ” não está definido na Carta, caberá aos tribunais explorar a amplitude do termo e se ele inclui ataques cibernéticos.

na Nicarágua v., EUA, o Tribunal Internacional de Justiça (“ICJ”) distinguiu ataques armados da força armada, sustentando que o primeiro deve atingir um nível mínimo de severidade para constituir um uso grave da força, transcendendo assim o equivalente a um “mero incidente de fronteira”.”Isso implica que nem todos os usos da força constituirão um ataque armado, criando situações em que um estado pode ser alvo de um uso da força, mas incapaz de responder em autodefesa. No contexto dos ciberataques, a questão será se um ataque causou danos da magnitude prevista pelo TIJ., Além disso, ainda está por determinar se infligir danos através de uma programação sofisticada constitui um “ataque armado”. No entanto, como um meio de causar destruição, os tribunais são susceptíveis de reconhecer o armamento cibernético como armas, na acepção de “ataque armado”.”

também pode ser o caso de que os ciberataques vêm como uma série de eventos que só cumulativamente cumprem o limiar para um ataque armado. Por exemplo, é geralmente acordado que se Stuxnet tivesse ocorrido como uma série de ataques em vez de um único uso de força, provavelmente teria qualificado como um ataque armado., No entanto, na Nicarágua contra EUA, RDC contra Uganda e plataformas petrolíferas, o ICJ demonstrou a vontade de considerar um acúmulo de eventos como constituindo um ataque armado. Assim, uma interpretação liberal de” ataque armado ” potencialmente engloba um ataque cibernético patrocinado pelo Estado, desencadeando assim a aplicação do artigo 51.º. No entanto, continuam a existir dificuldades de interpretação adicionais, que são discutidas a seguir.,embora o artigo 2. º, n. º 4, e o artigo 51.º possam ser interpretados como incluindo ciberataques, estas leis são adaptadas para fazer face aos ataques tradicionais e, consequentemente, não abordam as características únicas dos ciberataques. Concretamente, a aplicação destas leis levanta questões relativas à responsabilidade do estado, à autodefesa antecipada, aos princípios da necessidade e da proporcionalidade e à espionagem.,enquanto o artigo 51 Não afirma explicitamente que o atacante deve ser um ator do Estado, o ICJ tem defendido que ele é desencadeado exclusivamente por atos de Estados. No entanto, atribuir ciberataques aos estados é um dos maiores desafios para reivindicar com sucesso a autodefesa. Nas plataformas petrolíferas, o ICJ sustentou que um estado invocando o direito à autodefesa deve provar não só que um ataque armado ocorreu, mas que foi um ato de Estado., O artigo 11. o dos artigos da Comissão do Direito Internacional sobre a responsabilidade do Estado pelos atos ilícitos internacionais-indicativos do direito internacional consuetudinário – afirma que um estado pode “adotar” a conduta de um ator não-estatal. Essa adoção é geralmente estabelecida usando o controle efetivo do teste aplicado pela CIJ na Nicarágua v. estados unidos, que estabelece um padrão de completa dependência entre um estado e um grupo armado que é “uma dependência de um lado e de controle sobre o outro” que o grupo pode legitimamente ser considerado como um órgão do estado., Embora tecnicamente aplicável aos ciberataques, esta ligação é relativamente difícil de provar.por exemplo, enquanto os ciberataques de 2008 contra a Geórgia evidenciaram a coordenação entre hackers e órgãos estatais russos, não há provas claras da responsabilidade da Rússia. Da mesma forma, os devastadores ataques cibernéticos de 2007 contra a Estônia que podem ter emanado da Rússia após o movimento da Estônia de um memorial soviético da Segunda Guerra Mundial não poderia ser atribuído à Rússia. Assim, mesmo que tivessem constituído um ataque armado, a estónia não poderia ter invocado com sucesso a autodefesa.,o uso crescente de botnets – redes de computadores comprometidos controlados conjuntamente sem o conhecimento dos proprietários – também dificulta a distinção entre ataques provenientes de um endereço específico e aqueles que utilizam um computador comprometido. No ataque Estoniano, a Rússia alegou que os poucos computadores rastreados com sucesso para suas instituições tinham sido comprometidos. O fato de que um ataque cibernético “se origine de uma infraestrutura cibernética governamental não é evidência suficiente para atribuir a operação a esse estado.,”Em vez disso, apenas indica que o estado está de alguma forma associado a essa operação.o estabelecimento de uma ligação suficiente também é difícil quando os ataques são lançados por indivíduos vagamente conectados ao lado da ação tradicional do estado. Por exemplo, a ação da Rússia na Ossétia do Sul durante a Guerra Russo-georgiana de 2008 foi apoiada por civis patriotas que “participaram” do conflito, lançando ciberataques contra a Geórgia sem autorização da Rússia., Apesar de não cumprir o limiar nem constituir um grupo armado – um aspecto importante da atribuição–, este evento destaca o problema na determinação da responsabilidade do estado quando um estado não tem conhecimento dos ciberataques que ocorrem no seu território. Como Heather Dinniss-autora de guerra cibernética e leis de guerra – opinou, um estado deve conscientemente permitir que seu território seja usado para tal ação, se a atribuição deve ser estabelecida.a atribuição atempada também é fundamental para uma reivindicação bem sucedida de autodefesa. Isto decorre do princípio da necessidade, a seguir discutido., Devido ao anonimato e sofisticação dos ataques cibernéticos, muitas vezes leva um tempo relativamente mais longo para identificar o perpetrador em comparação com os ataques tradicionais. Nas plataformas petrolíferas, o TIJ considerou que um estado vítima deve abster-se de mobilizar uma resposta forçada até que sejam estabelecidas provas sólidas que liguem o ataque armado a um estado. Uma resposta imediata e enérgica baseada em suspeitas infundadas pode, sem dúvida, aumentar as hostilidades., No entanto, a necessidade de esperar por provas concretas também corre o risco de a resposta final ser vista como uma represália Armada planeada, proibida ao abrigo do Direito Internacional, em vez de autodefesa. Além disso, embora o momento adequado para a resposta seja inerentemente contextual, quanto mais tempo for o atraso, maior será o risco de a situação se tornar mais uma questão de política internacional do que de julgamento sob princípios jurídicos internacionais estabelecidos.,assim, atualmente, o direito internacional tem a capacidade de classificar um ataque cibernético como um ataque armado se o ataque for atribuído a um estado. No entanto, ainda não desenvolveu regras adequadas para determinar quando o ataque pode ser atribuído a um estado.quando o direito de um estado à autodefesa é desencadeado, a resposta está sujeita a critérios rigorosos antes de ser qualificada como uso legítimo da força. É certo que o acto tem de ser antecipado e não preventivo., A autodefesa preventiva é considerada contrária ao direito internacional, uma vez que o direito à autodefesa só é desencadeado se já tiver ocorrido um ataque armado. O artigo 51. º usa explicitamente a expressão “se ocorrer um ataque armado”, rejeitando assim as alegações de autodefesa que precedem o uso real da força. Isso foi reconhecido após a invasão americana do Iraque em 2003, quando a administração Bush afirmou que a invasão era uma resposta necessária ao suposto programa de armas de destruição em massa do Iraque., A ONU rejeitou esta alegação, alegando que “não favorece a … reinterpretação do artigo 51.º.”

O problema reside na aplicação dos critérios de autodefesa antecipada a um ataque cibernético. Autodefesa antecipada implica que se um ataque armado é iminente, o estado da vítima pode interceptar o ataque, em vez de esperar o lançamento. Para ataques cibernéticos, uma intrusão em uma rede pode ser descoberta antes da destruição da rede, caso em que o estado da vítima pode entrar ou destruir o sistema de computador que lança o ataque., Por exemplo, o malware muitas vezes apresenta um tipo de “backdoor payload” que permite ao atacante controlar um computador e, posteriormente, outros conectados a ele. No entanto, identificar uma intrusão como o primeiro passo de um ataque armado dependerá da informação disponível, e a análise pode levar a resultados inconclusivos. Além disso, não está claro como a condição de que o ataque cibernético seja iminente será interpretada. Assim, a questão permanece se um estado poderia legitimamente atacar ou entrar em computadores estrangeiros para evitar um ataque cibernético.,os princípios da necessidade e proporcionalidade na Nicarágua v. EUA, o TIJ confirmou o consenso do Incidente de Caroline de 1837, que estabeleceu que um ato de autodefesa deve ser necessário e proporcional ao ataque armado. A necessidade implica que agir em autodefesa deve ser essencial para a protecção do estado e dos seus interesses. Especificamente, o uso da força deve ser crucial para repelir o ataque e remédios alternativos devem ter sido esgotados anteriormente. A necessidade sublinha também o princípio de que os actos de autodefesa devem ocorrer em tempo útil., Como já foi referido, isto pode ser um desafio para os ciber-actos de autodefesa, onde a determinação da origem do ataque é difícil e demorado. Este problema não é tratado ao abrigo da legislação existente.a proporcionalidade exige um equilíbrio entre a resposta e o objectivo de pôr fim ao ataque. A ação não pode ser retaliatória ou punitiva e não tem que usar o mesmo método de armamento usado pelo Estado atacante. Por conseguinte, a proporcionalidade pode permitir o uso da força tradicional contra um ciberataque., Dinniss dá o exemplo de um estado vítima bombardeando fisicamente o computador de ataque, assumindo que o ataque cibernético lançado a partir desse computador foi suficientemente sério para justificar o bombardeio.como discutido, uma operação cibernética sem um resultado fisicamente destrutivo não constitui um uso da força. No entanto, estas operações podem ainda ser permitidas em conflitos armados como constituindo Espionagem, o que é legal ao abrigo do Direito Internacional. Embora seja geralmente aceite que a espionagem é distinta do uso da força, a espionagem cibernética desafia esta distinção., Por exemplo, a coleta de inteligência cibernética não detectada – embora não seja um uso da força – pode ser o primeiro passo no planejamento de um ataque futuro. Em tal situação, o estado da vítima só seria capaz de retaliar através de contra-espionagem ou outros meios, em vez de através da força, perpetuando o conflito. Assim, a espionagem cibernética carrega o potencial para danos significativos caindo de fora do Artigo 2(4), demonstrando assim uma outra falha da legislação existente para aplicar a cyber-agressão.,

conclusão

embora nenhum ataque cibernético tenha sido considerado até à data como um ataque armado, com a evolução tecnológica é concebível que os ataques cibernéticos atinjam este limiar no futuro. No entanto, a lei existente que rege a jus ad bellum não aborda satisfatoriamente as características únicas dos ciberataques e está sujeita a um grande grau de interpretação. Consequentemente, os estados podem manipular potencialmente as interpretações de jus ad bellum e sua aplicação aos ciberataques para servir os interesses nacionais., Assim, se o direito internacional deve governar os ciberataques de forma adequada, na aceção de jus ad bellum, deve estar sujeito a um maior desenvolvimento jurisprudencial.

Endnotes

Michael N. Schmitt, “Computer Network Attack and the Use of Force in International Law: Thoughts on a Normative Framework,” Columbia Journal of Transnational Law 37, no.3 (1999): 888.

ibidem., 67.

ibidem., 70.

ibidem., 72.Michael N. Schmitt, “Cyber Operations and the Jus Ad Bellum Revisited,” Villanova Law Review 56, no. 3 (2011): 571.John H. Currie, et al.,, International Law: Doctrine, Practice, and Theory (Toronto: Irwin Law, 2014), 843.

Carta da ONU art. 2, 4. actividades militares e paramilitares na Nicarágua e contra a Nicarágua (Nicarágua contra Estados Unidos da América), 1986 I. C. J. Rep 14 at 213.a questão de saber se se trata de uma força armada é considerada abaixo na discussão do artigo 51.º.Dinniss, Cyber Warfare, 41.Dinniss, Cyber Warfare, 57.Remus, ciberataques, 182.Dinniss, Cyber Warfare, 101.Remus, ciberataques, 181.

ibidem.

ibidem., 182.Michael N., Schmitt,” Computer Network Attack and the Use of Force in International Law: Thoughts on a Normative Framework”, Columbia Journal of Transnational Law 37, no. 3 (1999): 915.

ibidem., 914.Dinniss, Cyber Warfare, 64.Remus, ciberataques, 183.Nicarágua contra Estados Unidos a 200.

Carta da ONU art. 51.Nicarágua v. Estados Unidos em 191.

ibidem. a 195.Remus, ciberataques, 188.Dinniss, Cyber Warfare, 96.

ibidem., 57.,consequências jurídicas da construção de um muro no Território Palestiniano Ocupado, parecer consultivo, 2004 I. C. J. Rep 126, 139-142. Ver também Nicarágua contra Estados Unidos em 195.plataformas petrolíferas a 57.Res. 56/85, annex, Responsibility of States for Internationally wrong Acts at 11 (Jan. 28, 2002).Nicarágua v. Estados Unidos da América em 115.Dinniss, Cyber Warfare, 101.

Schmitt, Jus Ad Bellum Revisited, 578.Dinniss, Cyber Warfare, 66.

ibidem.Dinniss, Cyber Warfare, 98.

ibidem.plataformas petrolíferas a 61.,Dinniss, Cyber Warfare, 102.Currie et al, Direito Internacional, 901.

Carta da ONU art. 51.Remus, ciberataques, 186.Currie et al, Direito Internacional, 903.Secretário-Geral da ONU, um mundo mais seguro: a nossa responsabilidade partilhada, Doc. A/59 / 565 at 192 (Dec. 2, 2004).Currie et al, Direito Internacional, 901.Remus, ciberataques, 186.Dinniss, Cyber Warfare, 89.Nicarágua v. Estados Unidos em 194.Dinniss, Cyber Warfare, 102.

ibidem., 104.Dinniss, Cyber Warfare, 104.,Anna Wortham, “deverá A Ciberexploração constituir alguma vez uma demonstração de intenções hostis que possam violar disposições da Carta das Nações Unidas que proíbam a ameaça ou o uso da força?”Federal Communications Law Journal 64, no.3 (2012): 652, http://www.repository.law.indiana.edu/fclj/vol64/iss3/8.

ibidem.Remus, ciberataques, 188.

ibidem.

ibidem.actividades Armadas no território do Congo (República Democrática do Congo contra Uganda), 2005 I. C. J. Rep 168.Currie, John H., et al. Direito internacional: doutrina, prática e Teoria. Toronto: Irwin Law, 2014.Deibert, Ronald J., Código Negro: vigilância, Privacidade e o lado negro da Internet. Toronto: McClelland & Stewart, 2013.Droege, Cordula. “Get off my cloud: cyber warfare, international humanitarian law, and the protection of civilians.”International Review of the Red Cross 94, no.886 (2012): 533-578, doi:10.1017/S1816383113000246.Res. 56/85, annex, Responsibility of States for Internationally Worthful Acts (Jan. 28, 2002).Kessler, Oliver e Wouter Werner. “Expertise, Uncertainty, and International Law: A Study of the Tallinn Manual on Cyberwarfare.,”Leiden Journal of International Law 26 (2013): 793-810. doi: 10.1017 / S0922156513000411.consequências jurídicas da construção de um muro no Território Palestiniano Ocupado, parecer consultivo, 2004 I. C. J. Rep 126.actividades militares e paramilitares na Nicarágua e contra a Nicarágua (Nicarágua contra Estados Unidos da América), 1986 I. C. J. Rep 14.Plataformas Petrolíferas (Islamic Republic of Iran v. United States of America), 2003 I. C. J. Rep 16.

Schmitt, Michael N. ” Computer Network Attack and the Use of Force in International Law: Thoughts on a Normative Framework.,”Columbia Journal of Transnational Law 37, no.3 (1999): 885-937.

Schmitt, Michael N. “Cyber Operations and the Jus Ad Bellum Revisited,” Villanova Law Review 56, no. 3 (2011): 569-606.artigo da Carta das Nações Unidas. 2, 4.artigo da Carta das Nações Unidas. 51.Secretário-Geral da ONU, um mundo mais seguro: a nossa responsabilidade partilhada, Doc. A/59 / 565 (Dez. 2, 2004).Wortham, Anna. “A Ciberexploração deve Alguma vez constituir uma demonstração de intenção hostil que pode violar as disposições da Carta das Nações Unidas que proíbem a ameaça ou o uso da força?”Federal Communications Law Journal 64, no., 3 (2012): 643-660. http://www.repository.law.indiana.edu/fclj/vol64/is

Escrito por: Sophie Barnett
Escrito em: Universidade de Toronto
Escrito por: Gerard Kennedy e Brian Kolenda
Data do escrito: junho de 2016

Ler Mais sobre E-Relações Internacionais

  • Como Devemos Governar a Força Letal de Guerra?, Uma Avaliação do Jus Ad Vim
  • Desafios e Oportunidades para Walzer do “Jus ad Vim” para o Século 21
  • Mitigar o Custo Humano do Conflito Moderno: Jus in Bello e atentados cibernéticos
  • Domar ‘Oeste Selvagem’: O Papel das Normas Internacionais no Ciberespaço
  • estados unidos-China Relações no Ciberespaço: As Vantagens e os Limites de uma Análise Realista
  • Jus Commercium Armis: Entre o Abismo dos Braços

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *