Cyber Due Diligence
Rehn, Dennis (2023-05-04)
Cyber Due Diligence
(04.05.2023)
Julkaisu on tekijänoikeussäännösten alainen. Teosta voi lukea ja tulostaa henkilökohtaista käyttöä varten. Käyttö kaupallisiin tarkoituksiin on kielletty.
suljettu
Julkaisun pysyvä osoite on:
https://urn.fi/URN:NBN:fi-fe2023052347102
https://urn.fi/URN:NBN:fi-fe2023052347102
Tiivistelmä
This master's thesis researches the application of a due diligence obligation to state conduct in cyberspace, with a focus on three key principles: the Corfu Channel principle, the no-harm rule, and rule 6 of the Tallinn Manual 2.0. By analysing these principles and their unique features, the research aims to understand the requirements for applying the general principle of due diligence in international law to cyberspace, focusing on the type and threshold of harm and the knowledge requirement.
However, the unique characteristics of cyberspace, such as the speed and volume of data, the decentralized design and the almost complete anonymity it offers users, present challenges to applying international law. This thesis examines issues related to jurisdiction, the prevalence of non-state actors and the lack of consensus in the international community regarding both the applicability of international law in general and a due diligence obligation to cyberspace. The research draws on case law and academic sources to propose a due diligence obligation that is most suitable for cyberspace. The due diligence obligation proposed would apply to all possible harm in cyberspace, including both non-physical and physical harm as well as indirect harm. The threshold of harm should be flexible depending on the severity of the cyberattack or the cumulative harm of several below-threshold attacks. Finally, the obligation should include a knowledge requirement that encourages a proactive approach and multi stakeholder-cooperation without amounting to a general duty of prevention.
To make this a reality, three main actions are needed. Firstly, there is a need for international cooperation in the form of international agreements, preferably based on existing foundations. Secondly, there is a need for capacity building by all states to build a minimum capacity enabling them to detect and mitigate cyberattacks. Finally, there is a need for a general technology-neutral approach to enable the applicability of a due diligence obligation to any future technology. Tämä maisterin tutkielma tutkii huolellisuusvelvoitteen soveltamista valtion käyttäytymiseen kyberavaruudessa, keskittyen kolmeen keskeiseen periaatteeseen: Corfu Channelin periaate, valtiovastuun periaate kansainvälisestä ympäristöoikeudesta ja Tallinn Manual 2.0:n sääntö 6. Näiden periaatteiden ja niiden ainutlaatuisten piirteiden analysoinnin avulla tutkimus pyrkii ymmärtämään huolellisuusvelvoitteen soveltamisvaatimukset kyberavaruuteen, keskittyen vahingon tyyppiin ja kynnykseen sekä tietovaatimukseen.
Kyberavaruuden ainutlaatuiset ominaisuudet, kuten datan nopeus ja määrä, hajautettu rakenne ja melkein täydellinen anonymiteetti käyttäjille, aiheuttavat haasteita kansainvälisen oikeuden soveltamiselle. Tämä tutkielma tutkii kysymyksiä, jotka liittyvät tuomiovaltaan, ei-valtiollisten toimijoiden yleisyyteen ja kansainvälisen yhteisön yhteisymmärryksen puutteeseen sekä kansainvälisen oikeuden soveltamiskelpoisuuteen yleisesti ja huolellisuusvelvoitteeseen kyberavaruudessa.
Tutkimus perustuu oikeustapauksiin ja akateemisiin lähteisiin ehdottaakseen kyberavaruudelle sopivinta huolellisuusvelvoitetta. Ehdotettu huolellisuusvelvoite olisi sovellettavissa kaikkiin mahdollisiin haittoihin kyberavaruudessa, mukaan lukien sekä epäsuorat että suorat, ei-fyysiset ja fyysiset haitat. Vahingon kynnyksen tulisi olla joustava ja riippua kyberhyökkäyksen vakavuudesta tai useiden alle kynnysarvon olevien hyökkäysten kumulatiivisesta haitasta. Lopuksi velvoite tulisi sisältää tietovaatimuksen, joka edistäisi proaktiivista lähestymistapaa ja monen sidosryhmän yhteistyötä ilman yleistä ehkäisyvelvollisuutta.
Tämän toteuttamiseksi tarvitaan kolme keskeistä toimenpidettä. Ensinnäkin tarvitaan kansainvälistä yhteistyötä kansainvälisten sopimusten muodossa, mieluiten perustuen olemassa oleviin perustuksiin. Toiseksi tarvitaan kaikkien valtioiden kapasiteetin kehittämistä, jotta ne pystyvät havaitsemaan ja torjumaan kyberhyökkäyksiä. Lopuksi tarvitaan yleisen teknologianeutraalin lähestymistavan, jotta voidaan soveltaa huolellisuusvelvoitetta mihin tahansa tulevaan teknologiaan.
However, the unique characteristics of cyberspace, such as the speed and volume of data, the decentralized design and the almost complete anonymity it offers users, present challenges to applying international law. This thesis examines issues related to jurisdiction, the prevalence of non-state actors and the lack of consensus in the international community regarding both the applicability of international law in general and a due diligence obligation to cyberspace. The research draws on case law and academic sources to propose a due diligence obligation that is most suitable for cyberspace. The due diligence obligation proposed would apply to all possible harm in cyberspace, including both non-physical and physical harm as well as indirect harm. The threshold of harm should be flexible depending on the severity of the cyberattack or the cumulative harm of several below-threshold attacks. Finally, the obligation should include a knowledge requirement that encourages a proactive approach and multi stakeholder-cooperation without amounting to a general duty of prevention.
To make this a reality, three main actions are needed. Firstly, there is a need for international cooperation in the form of international agreements, preferably based on existing foundations. Secondly, there is a need for capacity building by all states to build a minimum capacity enabling them to detect and mitigate cyberattacks. Finally, there is a need for a general technology-neutral approach to enable the applicability of a due diligence obligation to any future technology.
Kyberavaruuden ainutlaatuiset ominaisuudet, kuten datan nopeus ja määrä, hajautettu rakenne ja melkein täydellinen anonymiteetti käyttäjille, aiheuttavat haasteita kansainvälisen oikeuden soveltamiselle. Tämä tutkielma tutkii kysymyksiä, jotka liittyvät tuomiovaltaan, ei-valtiollisten toimijoiden yleisyyteen ja kansainvälisen yhteisön yhteisymmärryksen puutteeseen sekä kansainvälisen oikeuden soveltamiskelpoisuuteen yleisesti ja huolellisuusvelvoitteeseen kyberavaruudessa.
Tutkimus perustuu oikeustapauksiin ja akateemisiin lähteisiin ehdottaakseen kyberavaruudelle sopivinta huolellisuusvelvoitetta. Ehdotettu huolellisuusvelvoite olisi sovellettavissa kaikkiin mahdollisiin haittoihin kyberavaruudessa, mukaan lukien sekä epäsuorat että suorat, ei-fyysiset ja fyysiset haitat. Vahingon kynnyksen tulisi olla joustava ja riippua kyberhyökkäyksen vakavuudesta tai useiden alle kynnysarvon olevien hyökkäysten kumulatiivisesta haitasta. Lopuksi velvoite tulisi sisältää tietovaatimuksen, joka edistäisi proaktiivista lähestymistapaa ja monen sidosryhmän yhteistyötä ilman yleistä ehkäisyvelvollisuutta.
Tämän toteuttamiseksi tarvitaan kolme keskeistä toimenpidettä. Ensinnäkin tarvitaan kansainvälistä yhteistyötä kansainvälisten sopimusten muodossa, mieluiten perustuen olemassa oleviin perustuksiin. Toiseksi tarvitaan kaikkien valtioiden kapasiteetin kehittämistä, jotta ne pystyvät havaitsemaan ja torjumaan kyberhyökkäyksiä. Lopuksi tarvitaan yleisen teknologianeutraalin lähestymistavan, jotta voidaan soveltaa huolellisuusvelvoitetta mihin tahansa tulevaan teknologiaan.