October 2019

רכבים חכמים ואחריות לנזקי סייבר

נכתב על ידי: נח שלומוביץ'.

Read More

בשאלת האחריות לנזקים הנגרמים כתוצאה משימוש ברכבים חכמים, מתייחדת שאלת הנזקים הנובעים מפעילות קיברנטית עוינת (נזקי סייבר) כיוצאת דופן במהותם של הנזקים, ובדרכי ההתמודדות המוצעות איתן.

להלן נסקור, את משמעותם של נזקים אלה, ונציע מודל אחריות וביטוח שייתן מענה מיטבי לאתגרים הנובעים מאופים המיוחד של נזקי סייבר.

השימוש ברכבים אוטונומיים, אינו חזון עתידני גרידא, הוא חי, קיים וקורם עור וגידים במספר גדל והולך של מדינות. ב-2016 הציגה חברת שיתוף הרכבים Uber את הרכב האוטונומי שלה שהחל לפעול בפיטסבורג (לעת עתה תוך חיוב נוכחות של "נהג בטיחות במושב הנהג)[1] בדומה לכך Waymo (לשעבר חטיבת הרכב האוטונומי של Google ) הציגה ב- 2017 בשיתוף עם חברת Fiat Chrysler את המיני ואן האוטונומי שלה[2], כשהיא מציגה את הפוטנציאל שבשיתוף הפעולה בין יצרני הרכב המסורתי, ובין יצרני הטכנולוגיות החדישות. במקביל נשמעים דיווחים של חברות רבות (BMW, TESLA ועוד) על כוונה להוציא בתוך חמש שנים, דגמי מכוניות אוטונומיות לשוק[3] ומשקיעים שונים מתחומי תעשייה שונים מגלים עניין גובר והולך בהפניית משאבים לתחום המכוניות האוטונומיות[4]. גם בישראל, התקבלה החלטת ממשלה לפיה יוקמו מרכז ניסויים לתחבורה חכמה, ומאגרי מידע שיונגשו לאותה המטרה[5].

 ההנחה הבסיסית השלטת היום בעולם המחקר היא שככל שרכבים אוטונומיים יתפסו חלק גדול יותר מנפח הרכבים הנעים בדרכים, כך תימדד ירידה משמעותית במספר תאונות הדרכים, ובמקביל בעלויות הביטוחיות של הפעלת רכבים[6]. הערכה עכשווית מדברת על צמצום של כ-40% בהיקף הפעילות של שוק ביטוח הרכב האישי[7].

עד אמצע המאה, החדירה של AVs ו- ADAS אחרים תתבטא בסופו של דבר בכך שתאונות כלי רכב הממוקמות כיום במקום השני בדירוג סיבות המוות יעברו למקום התשיעי בקרב סוגי תאונות.

הנחות אלה מבוססות על העובדה לפיה מרבית הנזקים הנגרמים כתוצאה משימוש בכלי רכב הם נזקים שמקורם בגורם האנושי, דהיינו מרבית התאונות נגרמות בשל טעויות אנוש של נהגים[8]. הוצאתו של הגורם האנושי מהמשוואה היא המאפיין המשמעותי ביותר של הרכב האוטונומי. לצד הוצאת רכיב הנהג מתמונת הנהיגה, ההתפתחות המשמעותית בתחום הרכבים האוטונומיים, חושפת את היצרנים, של הרכבים ושל המערכות השונות שבהן, לחבויות בגין נזקים היגרמו במהלך הפעלתם של הרכבים. כפועל יוצא משאלת האחריות הנזיקית עולה ביתר שאת נושא היקף הכיסויים הביטוחים להם הם יזקקו. הגישה אל היצרנים כוללת למעשה את כלל שרשרת הייצור, תוך התמקדות בשאלה מי נושא באחריות לפעולות שתבוצענה על ידי המערכות שיחליפו את הנהג.

למרות שבמבט ראשוני, חוסר הוודאות המשפטי ביחס לתמונת האחריות הנזיקית, נראה בלתי נמנע ביחס לטכנולוגיות החדשות, הרי שמבט ממעמיק יותר יגלה כי אימוץ מדיניות משפטית של דיני הנזיקין (חקיקה+ פסיקה) כפי שהתפתחה להתמודד עם הטכנולוגיות הישנות, יכולה להתאים גם לטכנולוגיות החדשות. כמו שהיא, או בשינויים רגולטוריים מסוימים. חלקים נרחבים מהבעיות הנעוצות בדרך כלל בדיני הנזיקין, ייפתרו בשל העובדה שהמערכות החדשות, מהוות למעשה סוג של נהג אחד, הנוהג ברכבים מרובים, הן בשל התקשורת שתתקיים בין הרכבים השונים ובין מוקדי ניהול דרך, והן בשל העובדה שכל טעות הנלמדת ומתוקנת, יכולה להיות מתוקנת בכלל המערכות הפועלות. משמעות נוספת לכך תתבטא גם בעקומות למידה יעילות וגבוהות של מערכות אלה. מערכת הפעלה אחת להרבה מכוניות – יכולה לתקן טעויות במהירות גבוהה יותר.

במקביל, יוכל גם כל יצרן, בשרשרת הייצור, להוכיח בצורה קלה את קיום המחויבות שלו כנגד אירוע נזיקי, ככל שהדברים אמורים במערכות ההפעלה, זאת על ידי הצגה של נתוני ניסויים שנערכו לפני היציאה לשוק של כל מערכת.

ניתן להניח שכבר בתקופה הנוכחית, בה מבוצעים הניסויים השונים בתפעולם והשתלבותם של רכבים אוטונומיים, מתבצעות בדיקות ומדידות המבוססות על נתוני אמת, אשר יוכלו בעתיד לשמש בסיס אקטוארי לביצוע מיפוי של נזקים צפויים, ובהתאם להיערך מהבחינה הביטוחית לכיסויים של נזקים עתידיים אלה. יהא המשטר הביטוחי אשר יהא.

בניגוד לאמור בכל הנוגע לתאונות דרכים שמקורן בנהיגה, ואשר לגביהן, ניתן יהיה בקלות יחסית ליצור מנגנונים לחיזוי, כימות ומניעה שלהם, ובמיוחד בהתחשב בכך שמספרם עתיד לרדת בצורה משמעותית, הרי שרכבים מקושרים וחכמים מציגים נקודת תורפה חדשה לגמרי בדמות הסכנה הנובעת מפגיעות סייבר[9].

בניגוד לתאונות הנובעות ממערכות ההפעלה של הרכבים, אשר כאמור, ניתן יהיה בקלות יחסית לאמוד את שיעורן, ולתת להן מענה של אחריות, ובהתאם גם של ביטוח, הרי שתאונות הנובעות מפגיעת סייבר הן בגדר תעלומה. על אף שהעיסוק בשאלות הנוגעות לאחריות נזיקית הנובעת מכשלים בתוכנה, נמשך כבר למעלה מארבעה עשורים, מעטות מאד ההתייחסויות המשפטיות לשאלת האחריות הנזיקית הנובעת מהם, זאת למעט מקרים העוסקים במערכות שהן חלק משירותים פיננסיים[10].

הסיבות בשלהן נזקים הנובעים מתקיפות סייבר, קשים מאד לניבוי ולחיזוי, הן: קיומו של צד שלישי המחבל בפעולה בכוונה, צד שלא ניתן לחזות את התנהגותו. עד שיתרחב השימוש ברכבים אוטונומיים, פגיעות מסוג זה תהיינה פחות אטרקטיביות, למפגע, משום שהשפעתן תהיה שולית, ולכן קשה יהיה למדוד אותן בשלבי הניסוי בהן ימדדו גורמים אחרים לתאונות ולנזקים[11], וסיבה שלישית שהיא שילוב של השתיים הקודמות, חסימת פרצות אבטחה יגררו בהכרח שכלול של אמצעי הפריצה, באופן שמוכר בתחום אבטחת הסייבר, מאפיין שמשמעותו היא פגיעה ביכולת לאמוד את נזקי העתיד על סמך עובדות העבר.

לפיכך, על מנת לאפשר בחירת המודלים הנכונים, משפטית וביטוחית להתמודדות עם סיכונים אלה, יש לבחון את מהותם של הסיכונים, ואת כלל הגורמים והפעולות המעורבים בכל תהליך נזיקי מסוג זה.

כבר כיום, בעידן המכוניות המודרניות, המופעלות על ידי נהגים אנושיים, קיימות נקודות חולשה המאפשרות לגורם עוין (Hacker) להשתלט על רכיבים מסוימים ברכב, ולגרום לו לתקלה, או לתאונה. קיומן של עשרות מערכות מחשוב המתקשרות זו עם זו ברכב, כמו גם האפשרויות של חלק מהן לקישוריות, מהוות נקודות חדירה המאפשרות להשתלט על מערכות הבלמים ההיגוי, או כל מערכת אחרת הנוגעת לנסיעה ברכב ולבטיחותה. כך למשל ניתן בקלות על ידי שיחה לטלפון הסלולרי המחובר למערכת השמע, או על ידי הכנסת דיסק הכולל תוכנת השתלטות למערכת המוזיקה, להשתלט על מערכות רבות ברכב. ככל שמערכות רכב ייהפכו לאוטונומיות, ולמקושרות יותר כך תגברנה נקודות הכניסה בהן יוכלו גורמים עוינים להשתלט על מערכות ברכב ולגרום לו לחוסר תפקוד וכתוצאה מכך לנזק[12], יתר על כן ככל שגדלה הקישוריות של מערכות מבוססות סייבר, ובכלל זה רכבים אוטונומיים אל מערכות תשתית מרכזיות, כך גדלה מידת ההתקפות על אותן מערכות תשית, באמצעות שימוש באותה קישוריות[13]. בהתאם, ככל שעולה מספר ההחלטות והפעולות שאותן מבצעות מערכות הרכב בעצמן, וללא התערבות גורם אנושי, כך כל התחברות למערכות הרכב יוצרת מספר רב של אפשרויות חבלה.

הבעייתיות בחיזוי היקפם ומהותם של פגיעות הסייבר ברכבים אוטונומיים וחוסר הוודאות הנובע ממנה, עלול להוות גורם מצנן, שיאט את כניסתם של רכבים אוטונומיים לפעילות. בניגוד לסיכונים מחושבים, סיכונים בלתי וודאיים יוצרים חוסר בהירות תמחירית, שבתורה מעלה את מחירי המוצר ומורידה את הביקוש אליו. גם גלגול הסיכון לפתחן של חברות הביטוח, לא ימנע את הבעיה אלא יעביר אותה לתחום תמחור הפרמיות הביטוחיות.

לצד חוסר הוודאות העובדתי הכרוך בפגיעות סייבר, תשמש גם חוסר וודאות משפטית שתקשה אף היא על ביצוע תחשיבים אקטואריים מדויקים. קיומן של בעיות שאינן נופלות במסגרות המוכרות והרגילות של תחומי האחריות השונים, ובכללן גם נסיבות מסוג חדש, יגרום לפחות בתקופה הראשונה לפסיקות סותרות של בתי המשפט, הן בתוך מערכות שיפוט לאומיות, ובוודאי ברחבי העולם. תופעה שאף אם פסיקות מחייבות, ופרקטיקות של משפט משווה יפתרו, הרי שייקח זמן לא מבוטל עד שיגיעו לוודאות משפטית[14].

הדעה הרווחת היום בין החוקרים היא שיש לבצע גלגול של האחריות מהנהגים והמשתמשים ברכב אל היצרנים, האחראים כעת למערכת ההפעלה שלו. גלגול זה ייעשה במסגרת חוקי האחריות למוצרים פגומים ויכלול מנגנונים של אחריות מוגברת או אחריות מוחלטת[15].

ראוי ליתן את הדעת על כך שכלל הנתונים יחייבו שינויים רדיקליים בתחום ביטוחי תאונות הדרכים. מבטחי רכב סיפקו תמיד פוליסות לכיסוי נזקים במקרה של תאונות שנגרמו על ידי טעות אנושית. עם כלי רכב אוטונומיים, ללא נהיגה אנושית, חברות הביטוח עשויות לשנות את הליבה של המודל העסקי שלהם, תוך התמקדות בעיקר על ביטוח יצרני הרכב מפני כישלון טכני של רכבים אוטונומיים, במקום הגנה על לקוחות פרטיים מפני סיכונים הקשורים לשגיאה אנושית בתאונות. מעבר זה עשוי לשנות את ענף ביטוח הרכב מענף הממוקד במיליוני צרכנים פרטיים, לכזה שעניינו במפעילי OEM ותשתיות, בדומה לביטוחי חברות שיט וספנות[16]. העיון בתצורת OEM הוא בעל חשיבות מיוחדת בתצורה של הרכב האוטונומי שיכלול כפי שיפורט להלן, קשת רחבה מאד של רכיבים בעלי פגיעות סייבר, ואשר לא תמיד יצרן המשתמש בהם יוכל לחזות או להתמודד איתה[17].

בהתאם לכך, צדדים שלישיים המעורבים בתכנון מערכות בטיחות ברכבים חכמים ייחשפו גם הם באופן מוגבר לתביעות הקשורות באחריות למוצרים[18].

מספר לא קטן של שאלות טעונות הכרעה במישור זה, כך למשל חלוקת האחריות בין המערכת אוטונומית והנהג האנושי ככל שקיים כזה. האם האדם יישא באחריות לתאונה כאשר קיימת אפשרות להתערבות אנושית ידנית בהחלטות המכונה[19].

שאלה מעניינת נוספת[20] היא האם שיקולים של הגנת הפרטיות, יאפשרו שימוש בנתונים מוקלטים (קופסא שחורה, קבצי לוג וכד') כדי לברר ולקבוע עובדות המכריעות בשאלת האחריות?

בנוסף לשאלת החלוקה בין משתמש ובין יצרן, אין כיום למעשה בנמצא מנגנון משפטי ברור המאפשר להכריע בשאלה כיצד לחלק את האחריות בין כלל הצדדים השלישיים האחראים למוצר: מתכנני המערכות, יצרני החלקים, ספקי התוכנה, מפעילי התוכנה, יצרן הרכב ועוד כך שעצם ההצבעה על רכיב מסוים או אפילו קבוצה של רכיבים כאחראים לכשל שגרם לתאונה, הוא קשה מאד.

קושי נוסף העולה ממודל הטלת האחריות על היצרנים, קשור בעובדה שעל מנת לרכוש כיסוי ביטוחי מתאים, בפני כל מקרה פרטני של נזק, תהיינה היצרניות חייבות להעריך את עלות הפרמיה הביטוחית לכל חיי הרכב כבר במועד מכירתו הראשונה. פעולה שכאמור תהווה גורם מצנן משמעותי בשילובם של רכבים אוטונומיים.

חסרון אחר טמון בעובדה שגם במקרים של אחריות מוגברת, אופי פגיעות הסייבר, שכאמור אינו תמיד צפוי מראש, יכול להביא לשחרור של היצרנית מאחריות במקרים מסוימים, בהם יוכחו עמידה בתקנים ובדרישות הרגולטוריות או חוסר יכולת לצפות או להיערך לנזקים מסוג מסוים. נסיבות מסוימות עשויות ליפול בין תחומי האחריות של היצרנים השונים מבלי יכולת להצביע על אחד מהם כנושא באחריות. כלל המצבים האלה יכולים להותיר משתמשי דרך רבים חשופים לנזקים שייתכן ולא יהיה עליהם פיצוי כלל או שיצריך את המדינה לפצות ניזוקים.

אנו סבורים כי חלק גדול מהבעיות האמורות יכולות למצוא את פתרונן במודל המבוסס על אחריות מוחלטת לנזקי סייבר, באופן בו מפעיל הרכב, או המחזיק בו, בהיעדר מפעיל, יחוב בנזיקין ובהתאם בביטוח, על בסיס פרמטרים רלבנטיים, ובתקופות שנתיות, כמקובל בביטוחי חובה לרכב.

גם כאן, כמו במודלים של אחריות על מוצרים, אפשר יהיה להרחיב את המודל ולהחילו בנוסף לנזקי גוף גם על נזקי רכוש.

ההנחה שתיבדק במחקר היא כזו, לפיה חלוקה של הנזק לרוחב (בין משתמשים) ולאורך (ביטוח תקופתי מדי שנה) תאפשר חיזוי אקטוארי מדויק יותר, ובעיקר תמנע חוסר ודאות, בנקודת המכירה של הרכב, חוסר ודאות שיגרור הוצאה ביטוחית יקרה, שבתורה תייקר את מחיר כלי הרכב.

פרמיות ביטוחיות מתעדכנות מדי שנה, ומאפשרות עדכון כמעט בזמן אמת של כלל הפרמטרים הנלמדים והמוטמעים במערכת. היכולת לתקן את החישובים, כמו גם החלוקה שלהם על פני כלל תקופת חיי הרכב, יורידו את סף הכניסה של הטכנולוגיות לשימוש המוני. הן גם יבטיחו שלא ייווצר מצב שבו משתמש דרך לא יקבל פיצוי על נזק הנובע מפגיעת סייבר.

 אמנם, כפי שהניסיון מראה, מודל זה לא ימנע התדיינויות משפטיות, אולם אלה יתמקדו בקיומם והוכחתם של נזקים ולא בשאלות של אחריות.

יהיו שיטענו שהיעדר דיון משפטי בשאלות של אחריות יקשה על איתורן של נקודות תורפה, ויפחית את המוטיבציה לתקנן או למנוע אותן. התשובה לכך יכולה לבוא משילובם של מספר גורמים שישמשו כחלק מהמודל. כך למשל, ניתן להעניק למבטח זכות שיבוב או שיפוי כלפי יצרנים שלא עמדו בחובות הרגולטוריות שלהם, או שהוכחה רשלנות מצידם.

 

[1] Anthony Levandowski & Travis Kalanick, Pittsburgh, Your Self-Driving Uber is Arriving

Now, UBER (Sept. 14, 2016), https://newsroom.uber.com/pittsburgh-self-driving-uber

[https://perma.cc/5H49-LMR3].

[2] Bill Vlasic, Self-Driving Minivan Could Steer Car Industry, N.Y. TIMES, Jan. 9, 2017,

at B1;

[3] Mark A. Geistfeld, A Roadmap for Autonomous Vehicles: State Tort Liability, Automobile Insurance, and Federal Safety Regulation, 105 Calif. L. Rev. 1611 (2018) at 1615.

[4] Tim Higgins, Autos: Autonomy for Cars Attracts Suppliers’ Attention, WALL ST. J.,

Jan. 10, 2017, at B6

[5] החלטת ממשלה מספר 6132 מיום 32.3.6

[6] Geistfeld, at 1616;

[7] JERRY ALBRIGHT ET AL., KPMG, MARKETPLACE OF CHANGE: AUTOMOBILE INSURANCE

IN THE ERA OF AUTONOMOUS VEHICLES 26 (2015),

https://assets.kpmg.com/content/dam/kpmg/pdf/2016/06/id-market-place-of-...

in-the-era-of-autonomous-vehicles.pdf [https://perma.cc/A57Z-UM8Q]; at 14

[8] Araz Taeihagh & Hazel Si Min Lim (2018): Governing autonomous vehicles:

emerging responses for safety, liability, privacy, cybersecurity, and industry risks, Transport

Reviews, [https://doi.org/10.1080/01441647.2018.1494640] at 8;

[9] Geistfeld at 1660;

[10] Alan Butler, Products Liability and the Internet of (Insecure) Things: Should Manufacturers Be Liable for

Damage Caused by Hacked Devices?, U. MICH. J.L. REFORM (forthcoming) (manuscript at 103),

http://papers.ssrn.com/sol3/papers.cfm?abstract_id=2955317 [https://perma.cc/KJ6G-WP65].

[11] Geistfeld at 1661;

[12] ר' סקירה על פגיעותם של רכבים אוטונומיים

Tom Simonite, Our Future Self-Driving Car Will Be Way More Hackable, MIT Technology Review, January 26, 2016;

 

[13] Iacono, M.; Marrone,S. Risk assessment and monitoring in intelligent data-centric systems. In Security and Resilience in Intelligent Data-Centric Systems and Communication Networks; Elsevier: New York, NY,USA, 2018; pp. 29–52.

[14] Geistfeld at 1619;

[15] ר' למשל השוואה בין דיני המחשבים, דיני תאונות הדרכים, ודיני האחריות לנזקי כלב כמקורות אפשריים להחלת מודלים משפטיים על רכבים אוטונומיים:

Sophia H. Duffy & Jamie P. Hopkins, Sit, Stay, Drive: The Future of Autonomous Car Liability, 16 SMU Sci. & Tech. L. Rev. 453 (2013). Available at: https://scholar.smu.edu/scitech/vol16/iss3/4

[16] Michele Bertoncello & Dominik Wee, Ten Ways Autonomous Driving Could Redefine the Automotive World,

MCKINSEY & CO. (June 2015) Para. 5;

[17] CERT-UK, “Cyber-Security risks in the supply chain,” Tech. Rep., 2015

[18] Marchant, G. M., & Lindor, R. A. (2012). The coming collision between autonomous vehicles and the

liability system. Santa Clara Law Review, 52, 1321.

[19] Collingwood, L. (2017). Privacy implications and liability issues of autonomous vehicles. Information &

Communications Technology Law, 26(1), 32–45.

[20] Dhar, V. (2016). Equity, safety, and privacy in the autonomous vehicle Era. Computer, 49(11), 80–83.

Read Less

Clone of France Speaks Out on IHL and Cyber Operations: Part II

By: Michael Schmitt. First Published at EJIL: Talk!

Read More

In the first part of this post I discussed the position paper’s articulation of the views of France on the applicability of IHL to cyber operations, on the classification of armed conflicts, and on their geographical scope in the cyber context. In this part I will examine the position paper’s views on the concept of “attack,” on the conduct of hostilities and on data as an object.

The Meaning of the Term “Attack”

The issue of the meaning of the term “attack” has occupied center stage from the very inception of legal thinking about cyber operations during an armed conflict. It is a critical one because most key IHL “conduct of hostilities” rules are framed in terms of attacks – it is prohibited to direct “attacks” against civilians or civilian objects (distinction), an “attack” expected to cause collateral damage that is excessive to the anticipated military advantage is prohibited (proportionality), parties must take precautions in “attack” to minimize harm to civilians (precautions in attack), etc. These prohibitions, limitations, and requirements beg the question of when a cyber operation qualifies as an “attack” such that the rules govern it.

Article 49(1) of AP I defines attacks as “acts of violence against the adversary, whether in offense or defence.” This restatement of customary law is universally understood as including acts against both the adversary and civilians. The critical issue is what is meant by “violence” in the cyber context.

The French position paper highlights the AP I definition and develops it with respect to cyber operations. For France, a cyber operation that does not cause injury or physical damage is nevertheless an “attack” if it causes the targeted system to fail to operate as intended, that is, if it loses its intended functionality. These effects may be permanent or temporary. Permanent effects always qualify an operation as an attack. Temporary effects also suffice if they require repair, replacement of parts, reinstallation of network software and the like. This view is highly defensible as a matter of law, for the plain meaning of damage reasonably extends to systems that do not operate as intended and require some form of repair to regain functionality.

France correctly notes that most cyber operations conducted during an armed conflict do not rise to the level of an attack. It offers the example of a denial of service cyber operation interfering with the enemy’s governmental propaganda capability. As this operation is only temporary and requires no repair, it would not be an attack, as the term is understood in IHL, and therefore would not be governed by applicable IHL rules irrespective of whether the target qualifies as a military objective.

Importantly, the position paper cautions that even when a cyber operation does not amount to an attack it remains subject to applicable IHL provisions. The document offers no examples, but the cautionary note is an important reminder that irrespective of whether a cyber operation is an attack as a matter of law, certain cyber infrastructure, such as medical systems, may not be made the object of a cyber operation. The position paper may also be referring to the Article 57(1), AP I, requirement to take “constant care…to spare the civilian population, civilians and civilian objects” “[i]n the conduct of military operations.” Although there is some debate as to whether the provision applies to operations not qualifying as an attack, I am of the view that it does and therefore would govern such cyber operations when, as suggested in the ICRC’s commentary to the article, they are “carried out by the armed forces with a view to combat.” As an example, it would encompass denial of service cyber operation against enemy satellites intended to degrade their communications of intelligence, surveillance, and reconnaissance capabilities.

Unfortunately, the paper asserts that France deviates from the definition of “attack” found in Tallinn Manual 2.0. In doing so, it misapplies the Manual.

In fact, the French view was put forth by the majority of the IGE. As the Manual carefully points out, the numbered rules represent text upon which all the participating Experts agreed – it constitutes the least common denominator of positions. In this case, there was consensus, expressed in Rule 92, that any cyber operations causing injury or death to persons or damage or destruction to objects qualifies as an attack. But a large majority of the Experts also agreed that interference with the functionality of cyber infrastructure amounted to damage for the purpose of the rule. Of these, all agreed that if physical repair of the system was needed, as in replacement of components, the causal cyber operation amounted to an attack. Still others went further and were of the view that if the operation necessitated reloading the operating system or essential data upon which the intended function of the system relied, an attack had occurred. Thus, the French position mirrors that of the majority of the IGE.

The Conduct of Hostilities and Data as an “Object”

With respect to the rules governing the conduct of hostilities, the French position paper usefully catalogues most rules, confirming their direct applicability to cyber attacks and, in certain cases, other cyber operations. For instance, it notes, inter alia, that cyber operations may not be indiscriminate (they must capable of being aimed and be aimed at a military objective, and their effects must be controllable); adopts the standard definition of military objectives found in AP I, Article 52(2), and acknowledges that dual use cyber targets (cyber infrastructure used for both military and civilian purposes) are military objectives; requires that all feasible measures be taken to identify the targeted cyber infrastructure as a military objective; mandates the careful selection of means of warfare and targets in order to minimize harm to civilians while achieving the desired military effect; emphasizes that certain property is specially protected from cyber attack, including cultural property, the environment (France is bound by AP I’s protections of the environment, but expresses no view on whether the protections are customary, as the United States claims they are not), objects indispensable to the civilian population, and medical facilities; and notes that parties to a conflict have a duty to take “passive precautions” to protect the civilian population against the dangers that might result from cyber operations (although no illustrative measures are cited, redundancy of civilian systems/data and separating civilian and military networks are typical examples). It accurately observes that data necessary for delivery of protected services is protected, a position that earlier had been taken by the Tallinn Manual 2.0 IGE.

This raises the complex and troublesome issue of data as an “object.” IHL protects civilian objects from attack. There is wide consensus, with which France surely agrees, that the deletion or alteration of data resulting in a loss of functionality as described above qualifies as an attack on the cyber infrastructure concerned and, if it is civilian in character, is unlawful. The question is whether an operations having effects on the data itself, without a knock-on effect on tangible objects, qualifies as an attack on an “object.”

This issue divided the Tallinn Manual 2.0 IGE and remains unresolved in the broader international law community. The dilemma is that if data is an object, it would seem to rule out, for instance, cyber psychological operations that alter, destroy, or replace, civilian data, as in manipulating an on-line newscast feed or altering a podcast. There is a long history of operations with similar effects being undertaken by non-cyber means. Indeed, psychological operations directed at the civilian population have been a feature of warfare for centuries. Many militaries are unlikely to be comfortable forgoing this useful tool, for the position will be seen as affording too little weight to the military factor in the balancing of military necessity and humanitarian considerations that undergirds IHL.

On the other hand, if data is not an object, civilian data would be wholly unprotected, thereby opening the door to cyber operations against data the loss of which would be highly disruptive for the civilian population, such as banking data, tax records and social services data. To open the door this wide would be to undervalue humanitarian considerations in the aforementioned balancing.

France has taken the former position. It is of the view that in light of the current dependence of societies on digital information, data is protected pursuant to the principle of distinction. Examples cited include civil (governmental) data, banking data, and medical data, although the last would be protected in any event. Importantly, the position paper focuses on so-called “content data,” an approach championed by Heather Harrison-Dinniss, presumably leaving cyber operations that target data upon which the functionality of cyber infrastructure depends (“program data”) to be dealt with through consideration of the effect on the infrastructure itself, as discussed above.

It will be interesting to see how the French approach plays out in “combined” operations conducted with other States that either may wish to target content data that does not qualify as a military objective or that simply treat data as lying outside the plain meaning of the term “object,” which tends to denote something tangible. In my view, both approaches are sensible interpretations of the law – and both have unacceptable consequences with respect to the military necessity-humanitarian considerations IHL balancing.

Perhaps the better approach to both the “attack” and “data as an object” conundrums is to, as I recently have suggested elsewhere, adopt two new policies, that over time may mature into law. The first would “accord special protection to certain ‘essential civilian functions or services’ by committing to refrain from conducting cyber operations against civilian infrastructure or data that interfere with them.” For situations not reached by this policy, States would commit to “refraining from conducting cyber operations to which the IHL rules governing attacks do not apply when the expected concrete negative effects on individual civilians or the civilian population are excessive relative to the concrete benefit related to the conflict that is anticipated to be gained through the operation.”

The French position paper also found reason to expressly question the findings of the Tallinn Manual 2.0 IGE with regard to the issue of doubt. There is general agreement that in case of doubt as to the status of an individual (e.g., combatant or civilian in an IAC), the person is to be considered a civilian. However, most cyber operations will target cyber infrastructure (or through an effect on them, the objects upon which they rely). Article 52(3) of AP I provides that if there is doubt as to whether an object of a type normally dedicated to civilian purposes is a military objective under IHL, it shall be considered to be civilian in character. France takes exactly this position with respect to cyber attacks. 

By contrast, the corresponding Tallinn Manual 2.0 rule, as highlighted in the French position paper, provides that cyber infrastructure falling into this category may only be attacked “after careful consideration.” It did so because not all countries, and in particular the United States, agree that Article 52(3) reflects customary law. Accordingly, some members of the IGE hesitated to set forth a Tallinn Manual 2.0 rule that would purport to bind non-Parties to AP I.

Yet, again, the position paper misinterprets the substantive significance of the Tallinn Manual 2.0 rules. As noted in the accompanying commentary to the rule, a majority of the Experts, of which I was one, were of the view that the AP I rule restates customary law and thus was in complete agreement with the French position. The only reason that the text of the rule does not reach that far is because unanimity could not be achieved on the matter. So, in fact, the Tallinn Manual 2.0 text is strong support for the French position.

A final point of interest with respect to the French position paper is its treatment of targetable individuals. It notes that military personnel who have cyber duties, groups of hackers placed under the command of the State, and members of organized armed groups who engage in cyber operations, may be targeted. No one would doubt this is the case, but the reference to members of an organized armed group who conduct operations against the adversary suggests that France has embraced the “continuous combat function” criterion proposed by the ICRC, but rejected by some States, including the United States, as well as many scholars and practitioners, including myself. By the ICRC view, those members not having a regular combat function in the group, which would encompass individuals conducting many cyber operations, would only be targetable while they nevertheless “directly participate in hostilities.” The competing view is that all members of an organized armed group are targetable by cyber or kinetic means.

Civilians who are not targetable based on their status may only be attacked for so long as they are directly participating in hostilities (see here and here). The French explanation is rather cautious in this regard, citing such examples as installing malicious code, preparing a botnet to launch a denial of service attack, and developing malware for perpetration of a specific hostile act. In my view, direct participation in hostilities is in fact a rather broad term that encompasses not only conducting attacks, but engaging in most cyber operations, such as probing for vulnerabilities to exploit or monitoring cyber traffic of potential tactical or operational level intelligence value. Since there is no bright line test for determining whether a particular cyber activity is “direct enough” to qualify as direct participation, and the issue has generated some controversy, it is unclear whether France is taking a restrictive approach in this regard, as the ICRC has done in the non-cyber context, or has simply elected to include examples about which there can be no disagreement.

Concluding Thoughts

As in my Just Security post on the peacetime aspects of the French position paper, I applaud France for having taken the lead in issuing what is the most in-depth statement by any State on how IHL applies to cyber operations conducted during armed conflicts. In most cases, France has arrived at conclusions with which most States and commentators are likely to agree, and that are consistent with the work of the Tallinn Manual 2.0 IGE. In a few cases, the conclusions deviate from those I support; yet in no case was that deviation unreasonable or unsupportable. The document is a sophisticated analysis that will hopefully inspire more States to issue their own positions, for in no situation is it ever more important to have clear rules of the game than in combat.

 

Read Less