Análise Schmitt - Schmitt Analysis

A análise de Schmitt é uma estrutura legal desenvolvida em 1999 por Michael N. Schmitt , principal autor do Manual de Tallinn , para decidir se o envolvimento de um estado em um ataque cibernético constitui um uso da força . Tal estrutura é importante como parte do processo de adaptação do direito internacional à crescente ameaça da guerra cibernética. As características de um ataque cibernético podem determinar qual regime jurídico regerá o comportamento do Estado, e a análise de Schmitt é uma das formas mais comumente usadas de analisar essas características. Também pode ser usado como base para o treinamento de profissionais da área jurídica para lidar com a guerra cibernética.

Motivações

À medida que a sociedade se torna mais dependente de computadores para infraestrutura crítica, os países estão cada vez mais preocupados com as ameaças no ciberespaço . A prevalência de computadores e o ritmo da inovação tecnológica fizeram a civilização avançar significativamente, mas deixaram muitas vulnerabilidades que podem ser exploradas. Os países devem estar preparados para se defender e saber responder adequadamente aos ataques a redes de computadores (CNAs). Esses ataques únicos são diferentes em muitos aspectos dos usos físicos da força que acontecem na guerra tradicional. Os invasores agora podem desabilitar remotamente seus alvos simplesmente por meio da transmissão de dados. Os CNAs também têm uma definição ampla, e nem todo CNA promulgado por um Estado sobre outro é razão suficiente para os Estados escalarem para o engajamento armado.

Dependendo se o CNA for tratado como um uso da força ou não, o ofensor será julgado com base no DIH ou no DIDH . E o jus ad bellum é o corpo da lei que define quando é razoável para Estados soberanos recorrerem ao uso da força para defender seus recursos, pessoas e interesses. O artigo 51 da Carta das Nações Unidas define uma situação em que um estado soberano pode empregar o uso da força e afirma que: 

"Nothing in the present Charter shall impair the inherent right of individual or collective self-defense if an armed attack occurs against a Member of the United Nations, until the Security Council has taken measures necessary to maintain international peace and security. Measures taken by Members in the exercise of this right of self-defense shall be immediately reported to the Security Council and shall not in any way affect the authority and responsibility of the Security Council under the present Charter to take at any time such action as it deems necessary in order to maintain or restore international peace and security."

Um Estado tem autonomia para atuar em legítima defesa, mas precisa da prova de que existe uma ameaça iminente. Também precisa atuar de acordo com os critérios de proporcionalidade e necessidade. A análise de Schmitt é uma estrutura para avaliar um CNA, de acordo com sete parâmetros, para determinar se ele constitui um uso indevido da força e para os governos decidirem sobre um curso de ação válido após o ataque.

Contexto histórico

Os ataques cibernéticos da Estônia de 2007, visando os recursos da Internet da Estônia, parecem ser os primeiros ataques cibernéticos a serem usados ​​como arma em um conflito político. Na Estônia, havia tensão entre os cidadãos que queriam que seu país fosse mais independente e os russo-estonianos. Como os ataques vieram de endereços russos, o governo russo foi acusado de endossar os ataques. O Conselho de Segurança da ONU não reagiu aos ataques cibernéticos da Estônia. Depois, a ameaça de guerra cibernética entre os Estados parecia muito mais real e iminente. Este evento também destacou a importância da cooperação internacional para a proteção do ciberespaço. Também traz à luz a necessidade de legislação internacional sobre o que se qualifica como uma resposta governamental apropriada aos CNAs.

Durante o conflito de 2008 entre nacionalistas georgianos e separatistas da Ossétia do Sul , muitos sites georgianos foram alvo de desfiguração e ataques DDoS. Durante este conflito, um site chamado StopGeorgia.ru foi colocado e nele havia links para possíveis alvos de ataques, junto com softwares maliciosos. Civis russos poderiam participar dos ataques cibernéticos, e há a questão de saber se essa participação direta implica que eles não devem mais ser considerados civis.

Em 2010, foi descoberto o verme Stuxnet que infectou as instalações de enriquecimento de urânio de Natanz no Irã e que se suspeita ter destruído até 1000 centrífugas, atrasando o programa nuclear iraniano em vários anos. A empresa russa Kaspersky disse que o vírus só poderia ter sido implantado com o apoio do Estado-nação e que isso levaria à criação de um novo tipo de corrida armamentista no mundo. Considerando os danos causados, juntamente com a invasão, a falta de legitimidade clara e a especulação de que o worm foi desenvolvido e implantado com a ajuda do governo dos EUA com possível ajuda israelense ou alemã, o Stuxnet poderia ser visto como um uso da força. Embora possa não ser visto como um uso ilegal da força, uma vez que as atividades nucleares do Irã visadas eram ilegais. Por esse motivo, o vírus foi denominado ciber-arma, embora o governo iraniano não afirme que foi vítima de um ciberataque. A inação do governo iraniano pode ter implicações para o desenvolvimento de normas legais relacionadas ao ciberespaço, e a inação de um estado não é abordada pela estrutura de Schmitt.

CNA como um uso da força

A análise de Schmitt está fortemente ligada ao Artigo 2 (4) da Carta da ONU , que afirma que: 

"All Members shall refrain in their international relations from the threat or use of force against the territorial integrity or political independence of any state, or in any other manner inconsistent with the Purposes of the United Nations."

Nem todo uso de força cai no âmbito do Artigo 2 (4), apenas aqueles que podem ameaçar a paz internacional. E o artigo não especifica a força armada, e há a questão de se ela pode ser lida como qualquer tipo de força, mesmo força econômica, como por meio de coerção econômica violadora. A ideia é que qualquer uso da força não autorizado pela Carta é ilícito. Na prática, porém, é necessário ter um certo grau de flexibilidade. Existem situações, como as de descolonização e intervenção humanitária, em que o cumprimento estrito desta regra pode não estar alinhado com os interesses da comunidade. E a lei sobre o uso da força precisa se adaptar e evoluir para novas situações e circunstâncias, como as da guerra cibernética. Seria difícil classificar todo CNA como um uso da força, considerando, por exemplo, que alguns podem nem mesmo causar danos físicos diretos. Para fazer uso da lei estabelecida que trata das Forças Armadas, Schmitt propôs comparar as características e consequências dos CNAs. O objetivo dessa abordagem caso a caso é classificar adequadamente com os CNAs que se enquadram na categoria de uso da força e quais não.

A analogia da guerra nuclear

Os ataques a redes de computadores são, como armas de destruição em massa , de natureza assimétrica. Como a infraestrutura, como redes elétricas, transporte e telecomunicações, está interligada, um ataque a um local pode ter um efeito dominó catastrófico. As capacidades destrutivas dos ataques cibernéticos foram comparadas aos efeitos da radiação nuclear e ao efeito EMP das explosões nucleares. Países pequenos que desejam causar impacto podem tirar proveito de como é barato lançar um CNA. As armas nucleares também não foram proibidas, mas junto com outras armas de guerra, é necessário ter muito cuidado ao usar ou ameaçar usar essas armas e seguir regras de proporcionalidade, necessidade e humanidade. Tanto as armas nucleares quanto as armas de informação não fazem distinção entre civis e não civis.

Critérios de análise

Sete critérios são usados ​​para avaliar o ataque à rede de computadores. A análise se concentra predominantemente em critérios que dependem das consequências do CNA (e, como tal, um ataque cibernético é considerado um ataque cibernético apenas quando há ferimentos, morte e objetos e sua funcionalidade) e, portanto, é mais útil para analisar eventos depois que aconteceram e não como estão sendo planejados. Esse enfoque utilitário também é predominante no jus in bello , que luta pela humanidade, embora ainda permita, em alguns casos, um trade-off entre ganhos militares e baixas civis, por exemplo. A análise de Schmitt também é subjetiva e depende muito do contexto. Ele não tenta estabelecer medidas para os limites em que os CNAs se tornam usos da força, mas, em vez disso, tenta comparar as características de um determinado CNA e as características dos usos tradicionais da força.

  1. Gravidade: este é o nível de destruição causado pelo ataque. O escopo, a duração e a intensidade do ataque são levados em consideração. Desfigurar o site de uma figura pública pode ser considerado não um uso de força, enquanto desabilitar um sistema de banco on-line ou desligar os mecanismos de segurança de uma usina nuclear pode ser.
  2. Imediato: a velocidade com que o dano é feito, onde um ataque mais imediato deixa menos espaço para diálogo e negociação entre o atacante e o alvo. Para que um Estado aja em legítima defesa, deve haver provas irrefutáveis ​​de que a ameaça à nação é imediata.
  3. Franqueza: um CNA pode ter consequências inesperadas e pode ser difícil prever o impacto total de um ataque cibernético. É assim que fica claro que as consequências são, na verdade, consequências do CNA e não de outros eventos.
  4. Invasividade: os CNAs normalmente são menos invasivos do que o movimento de tropas no território de um Estado. Se um ataque cibernético afetar a soberania de um estado, é mais provável que seja considerado um uso da força.
  5. Mensurabilidade: mostra o quão claras são as consequências exatas do CNA em termos de quanto dano foi feito. Na coerção armada, as consequências tendem a ser muito claras.
  6. Legitimidade presuntiva: um Estado pode empregar um CNA como método de contra-ataque defensivo. A legítima defesa é uma das exceções à proibição da aplicação de violência. Um estado também pode empregar CNAs de uma forma que não se assemelhe à coerção armada.
  7. Responsabilidade: O USDOD argumenta que se um ataque do Estado A ao Estado B não for patrocinado pelo Estado A, então o Estado B não tem o direito de invadir a nação do Estado A e, em vez disso, deve pedir-lhe que intervenha e pare o ataque. Mas, como os invasores podem rotear seus dados por locais remotos, pode ser difícil atribuir com certeza um CNA ao Estado acusado, como aconteceu na Estônia em 2007.

Um fator relevante ao realizar uma Análise Schmitt é perguntar se os perpetradores do ataque tentaram agir de acordo com a Lei de Conflitos Armados (LOAC). Esse pode ser o caso do Stuxnet, que foi projetado para minimizar os danos colaterais e apenas se espalhar além de seu alvo pretendido acidentalmente. Essa tentativa pode implicar o envolvimento do Estado no ataque, uma vez que os particulares podem não estar tão preocupados com o direito internacional. E também significa que é mais provável que o ataque seja caracterizado como um uso da força, mesmo que não cause danos reais.

Possíveis deficiências

O principal problema com o uso da estrutura de Schmitt é que ela requer atribuição, a nação atacante deve ser responsabilizada pelo ataque. Isso não parece acontecer na maioria dos casos, já que os estados realizam suas ações no ciberespaço de forma sigilosa e não assumem a responsabilidade. Também existe a possibilidade de que o estado que foi atacado não tome medidas contra os infratores e não acuse outro estado de ação ilícita. Alguns também criticam a adesão da estrutura ao paradigma baseado em instrumentos do Artigo 2 (4) e à definição restritiva do uso ilegal da força, e favorecem uma estrutura mais baseada nas consequências.

Veja também

Referências