The problem of attribution of cyberattacks against objects of critical infrastructure and ways of its solving ; Проблема атрибуцій кібератак проти об'єктів критичної інфраструктури та шляхи її вирішення в міжнародному праві

Abstract

The article examines the problem of legal attribution of cyberattacks in international law. The main challenge associated with this problem is a high threshold for invocation of state responsibility that is based on the effective control test. Therefore, the author supports the idea to create an independent international mechanism responsible for technical attribution of cyberattacks. For this purpose, International Atomic Energy Agency, which deals with technical issues and expertise, may be used as a model. Technical outcomes thus could solve the existing problem of impunity for cyberattacks against objects of critical infrastructure that plays indispensable functions. It is argued that technical attribution and its outcomes are essential prerequisite for legal attribution and the possibility to treat private actors as de facto agents of state. This is due to the fact that most reports on technical attribution contain evidence of the use of state infrastructure, as well as evidence about the nexus between hackers or hacker groups and governmental agencies. The article also contains the analysis of proposed models of this international mechanism. First, there is a proposition to create a mechanism able to carry out technical attribution based on the cooperation of state and non-state actors. Second, the private sector proposes to create a mechanism that would foresee only consultations with states and information-sharing. Therefore, the membership of the states is excluded, and the information provided by states will not be necessary considered in case doubts exists concerning the reliability of data. This proposal is made due to the fact that, according to the private sector, states will try to interfere in the process of technical attribution in light of their political motives or reach a decision to exclude a particular situation in which they or their allies are involved. The author concludes that a new mechanism should not exclude the membership of state representatives. The rationale behind this conclusion is that not only technical but also political indicators must merit considerations. And this approach is supported by both states and private sector, otherwise - there is a high risk of technical indicators to be falsified. Furthermore, governments are usually in possession of important information about the specific cyberattack committed against its critical infrastructure and the context in which it was carried out. There is also a low probability that international community will agree to create an international mechanism consisting of representatives of private sector, whose conclusions could potentially be used in the process of establishing state responsibility. Therefore, most probably, resolving the attribution issue will be delayed. ; У статті досліджено проблему атрибуції кібератак у міжнародному праві. Встановлено, що неможливість присвоєння державі поведінки приватних осіб зумовлена високим порогом тесту ефективного контролю. Отже, аналізується пропозиція щодо створення міжнародного механізму за прикладом МАГАТЕ, який би займався питаннями технічної атрибуції для подальшого встановлення правової атрибуції і відповідальності в межах міжнародного права. Лише такі висновки незалежного міжнародного механізму зможуть задовольнити вимоги ефективного контролю та поводження з приватними особами як з агентами держави. Це зумовлено тим, що в більшості звітів щодо технічної атрибуції наявні докази використання державної інфраструктури, а також взаємодії хакерів та хакерських груп з державними органами. У статті також розглянуті запропоновані моделі цього міжнародного механізму. З одного боку, пропонується такий міжнародний механізм, який би здійснював технічну атрибуцію на підставі взаємодії державних та недержавних акторів, з іншого боку, приватний сектор пропонує створити механізм, який би передбачав виключно консультації та отримання інформації від держав. Тому виключається членство держав, а інформація, яка надана ними, не буде обов'язковою для врахування у випадку сумнівів щодо достовірності даних. Ця пропозиція зумовлена тим, що, на думку приватного сектору, держави спробують втрутитися в процес технічної атрибуції через свої політичні мотиви або намагатимуться досягти рішення щодо відсіювання розслідування кібератаки, до якої вони або їхні союзники причетні. Автор доходить висновку про доцільність створення міжнародного механізму, який не передбачає повне виключення представників держави. Це пояснюється тим, що не лише технічні, а й політичні індикатори повинні бути враховані. Такий підхід знаходить підтримку серед усіх зацікавлених сторін через те, що технічні дані можуть бути скомпрометовані. Крім того, в розпорядженні державних агентів зазвичай знаходиться важлива інформація щодо конкретної кібе-ратаки та контексту, в якому вона була здійснена. Не менш важливо й те, що міжнародна спільнота навряд чи погодиться на створення міжнародного механізму з представників приватного сектору, висновки якого потенційноможуть стати доказами у встановленні відповідальності держав. Як наслідок, вирішення проблеми зі встановленням атрибуції буде відкладено на невизначений час.