Регулирование киберконфликтов

Примечание редакции. Если вам интересно, предпринимает ли международное сообщество какие-то попытки регулировать применение кибероружия: да, уже предпринимает. Но пока слабенько. Как именно - рассказывает профессор Гарварда, бывший помощник Министра обороны США и председатель Национального совета разведки Джозеф Най в своей колонке для Project Syndicate.

В ходе недавнего опроса специалистов по кибербезопасности на их ежегодной конференции BlackHat в Лас-Вегасе 60% опрошенных заявили, что, по их мнению, США подвергнутся успешной атаке против критически важной инфраструктуры страны в ближайшие два года. При этом политическую жизнь Америки продолжает трясти от последствий российского кибервмешательства в ход выборов 2016 года. Являются ли кибератаки неизбежным будущим, или же можно выработать нормы, чтобы поставить под контроль международные киберконфликты?

Мы можем обратиться к урокам истории ядерной эпохи. Хотя кибертехнологии и ядерные технологии совершенно различны, процесс, в ходе которого общество учится обузданию столь мощных разрушительных технологий, демонстрирует поучительные сходства. Государствам мира понадобилось примерно два десятилетия, чтобы достичь первых соглашений о сотрудничестве в ядерную эпоху. Если вести отсчёт проблемы кибербезопасности не с момента появления интернета в 1970-х, а с конца 1990-х годов, когда бурный рост превратил интернет в фундамент экономической и военной взаимозависимости (тем самым повысив нашу уязвимость), история сотрудничества в этой сфере насчитывает как раз примерно два десятилетия.

В ядерную эпоху первыми безуспешными попытками сотрудничества стали проекты соглашений на базе ООН. В 1946 году США выдвинули план Баруха для установления контроля ООН над ядерной энергетикой, но СССР тут же отверг его, выбрав позицию технологического отставания. Лишь после Карибского кризиса 1962 года было подписано первое соглашение о контроле над вооружениями — Договор о запрещении ядерных испытаний 1963 года. Затем, в 1968 году, появился Договор о нераспространении ядерного оружия, а в 1972 году — двусторонний договор СССР и США об ограничении стратегических вооружений.

Что касается киберсферы, то ещё в 1999 году Россия предложила заключить соглашение стран ООН о запрете электронного и информационного оружия (включая пропаганду). Вместе с Китаем и другим членами Шанхайской организации сотрудничества Россия продолжает настаивать на заключении такого широкого договора на базе ООН.

США выступили против этого плана, увидев в нём попытку ограничить американский потенциал, и продолжают считать, что соблюдение такого широкого, но иллюзорного договора невозможно будет проверить. Вместо этого, США, Россия и 13 других стран договорились, что генеральный секретарь ООН назначит Группу правительственных экспертов (ГПЭ). Её первое заседание состоялось в 2004 году.

Поначалу результаты работы этой группы были малозначительными, но к июлю 2015 года она опубликовала доклад, одобренный затем на саммите стран «Большой двадцатки». В докладе предлагались нормы, помогающие ограничивать конфликты, и меры по созданию взаимного доверия. Группы экспертов — частое явление в работе ООН, однако крайне редко их труд выходит за рамки ООН и поднимается до высот саммита 20 самых влиятельных государства мира. Несмотря на этот экстраординарный успех ГПЭ, в июле нынешнего года группа не смогла и оказалась просто неспособна опубликовать согласованный доклад за 2017 год.

В работе ГПЭ есть определённые ограничения. Технически участники группы являются советниками генерального секретаря ООН, а не наделёнными полнотой полномочий официальными представителями своих стран. Кроме того, с годами число стран-членов ГПЭ выросло с изначальных 15 до 20, а затем до 25, поэтому группа стала более громоздкой, а на её работе стали сильнее отражаться политические проблемы. По словам одного дипломата, который играл в этом процессе центральную роль, об интересе к участию в ГПЭ заявили уже около 70 стран. Однако с ростом количества участников возрастает и трудность достижения соглашения.

Есть масса мнений по поводу будущего ГПЭ. Первый проект нового доклада появился ещё в начале этого года, при этом опытный немецкий председатель группы доказывал, что не следует просто переписывать доклад 2015 года, а надо попытаться сказать в нём больше о тех шагах, которые странам мира следует предпринимать в мирное время.

Некоторые государства предлагали новые нормы, касающиеся целостности данных и поддержания ключевых структур интернета. Было достигнуто общее согласие по вопросу о мерах по созданию взаимного доверия, а также по поводу необходимости укрепления потенциала. США и согласные с ними страны добивались дополнительного разъяснения предыдущего соглашения: международные законы о вооружённых конфликтах, в том числе право на самооборону, применимы к киберпространству. Однако Китай, Россия и их союзники с этим не согласились. Тем временем, ухудшение американо-российских отношений омрачило политический климат.

Пока одни государства надеются возродить работу ГПЭ или даже расширить её в некий более широкий процесс в рамках ООН, другие страны настроены более скептично и считают, что дальнейший прогресс будет ограничен дебатами между государствами-единомышленниками, а не вести к неким универсальным соглашениям.

К нормам, которые можно считать созревшими для дискуссий вне ГПЭ, следует отнести: защищённый статус базовых функций интернета; стандарты цепочек поставок и ответственность в Интернете вещей; отношение к избирательным процессам как к защищённой инфраструктуре; и, если говорить шире, это нормы для таких проблем, как преступность и информационные войны. Всё это относится к числу тех тем, которые может рассматривать новая неформальная международная комиссия по стабильности в киберпространстве, созданная в этом году и возглавленная бывшим министром иностранных дел Эстонии Мариной Кальюранд.

Прогресс на следующих этапах выработки норм потребует одновременного использования множества различных форматов, как частных, так и государственных. Например, соглашение 2015 года между Китаем и США об ограничении промышленного кибершпионажа являлось двусторонним договором, но позднее данную идею поддержала и «Большая двадцатка».

В некоторых случаях разработка норм государствами-единомышленниками может на более поздних этапах привлечь интерес других стран. В других случаях, например, когда речь заходит об Интернете вещей, формулированию норм стандартов безопасности может помочь активная работа частного сектора и некоммерческих организаций над созданием кодексов поведения. Наконец, на каких-то направлениях совсем не обязательно ждать, пока прогресс будет достигнут на всех остальных.

Нормативный режим может стать более действенным, если подобные взаимосвязи не будут слишком жёсткими, и на данном этапе всеобъемлющий договор ООН может повредить этой гибкости. Расширять участие важно для того, чтобы нормы были всеми приняты, но для достижения прогресса нужно действовать на многих фронтах. Учитывая это, провал ГПЭ в июле 2017 года не следует воспринимать как конец данного процесса.