Группе правительственных экспертов ООН впервые удалось договориться о необходимости принятия правил поведения государств в информационном пространстве. В докладе, составленном специалистами из 20 стран, включая Россию, есть и первый набор таких норм: не обвинять друг друга огульно в кибератаках, не нападать на критически важную инфраструктуру других стран, не вставлять вредоносные закладки в IT-продукцию. Член группы, спецпредставитель президента РФ по вопросам международного сотрудничества в сфере информационной безопасности, посол по особым поручениям МИД РФ АНДРЕЙ КРУТСКИХ рассказал корреспонденту “Ъ” ЕЛЕНЕ ЧЕРНЕНКО, как России и США удалось найти общий язык в условиях политической конфронтации.
Фото: Анатолий Жданов, Коммерсантъ / купить фото
— Каково значение последнего доклада группы правительственных экспертов ООН?
— Это уже третий по счету доклад группы правительственных экспертов (ГПЭ), и, хотя первые два документа были крайне важными, этот по своей значимости просто революционен. Впервые удалось согласовать позиции 20 государств (среди которых помимо России были США, Китай, развивающиеся страны) по очень деликатному и важному вопросу о применимости международного права в информационной сфере. Россия и Китай вместе с другими странами ШОС давно указывают на необходимость выработки правил ответственного поведения государств в информационном пространстве, но ранее западные партнеры не очень охотно говорили на эту тему. В докладе она же впервые обсуждается в столь системной и неконфронтационной манере.
— Зачем нужны такие правила?
— Это как в случае с дорожным движением: чудовищные катастрофы случаются, но без базовых норм поведения порядка на дороге не было бы вообще. В 2011 году Россия вместе с рядом других стран—членов ШОС выдвинула первый проект «Правил поведения в области обеспечения международной информационной безопасности». На Западе его подвергли критике.
В январе этого года страны ШОС внесли доработанную версию правил в качестве официального документа ООН. В новой редакции акцент был сделан на права человека, свободу доступа, принцип наращивания потенциала развивающихся стран. При этом мы сразу заявили, что этот документ — не истина в последней инстанции, а основа для дальнейших переговоров. Тем не менее на Западе вновь с большим подозрением отнеслись к нашей инициативе, увидев в ней завуалированную попытку ввести цензуру в сети и усилить государственный контроль интернетом. Хотя ничего подобного в этом документе нет.
— Позвольте с вами поспорить. Мне кажется, что некоторые из положений проекта правил ШОС могут именно так и быть интерпретированы.
— Это как его читать. Метод чтения между строк нередко используется в дипломатии — он позволяет срывать определенные вуали. Но с другой стороны, он часто ведет к тому, что люди домысливают то, чего нет. Устранить сомнения можно в процессе обсуждения, к чему мы и приглашали наших коллег, представив проект правил от имени государств—членов ШОС.
В ходе последнего заседания ГПЭ такая дискуссия наконец состоялась: стали выдвигаться общеприемлемые формулировки правил и была поставлена цель продолжить эту работу уже в следующем году с тем, чтобы представить ее результаты на 72-й сессии Генассамблеи ООН в 2017 году.
— Так это будут правила, принципы или нормы?
— Российская сторона пошла на нестандартный дипломатический ход, предложив — ради достижения компромисса — вписать в доклад все три термина. Какая разница, какой термин использовать? О вине судят по напитку, а не по бутылке, в которую он разлит. В нашем деле главное — содержание документа. Западные партнеры очень осторожно относятся к любым новым регулирующим мерам, они опасаются, что это будут оковы на свободу деятельности в информационном пространстве. По их настоянию, в докладе было записано, что предлагаемые нормы ответственного поведения государств являются добровольными и не имеют обязательного юридического характера.
— Это не умаляет значение документа?
— В этом ничего страшного нет. Мы воспринимаем этот доклад как начало некоего процесса. Когда международное сообщество созреет, нормы можно будет сделать юридически обязательными. А до тех пор они будут иметь статус моральных обязательств.
— Американские дипломаты говорят, что этот доклад — победа дипломатии США.
— Все 20 представителей стран—участниц ГПЭ внесли свой вклад в достижение результата. Это была командная работа. Что же касается конкретно американцев, то они действительно во многом выступили движущей силой при составлении соответствующих разделов этого доклада, хотя и мы в рамках дискуссионного процесса нередко первыми выдвигали идеи тех или иных правил. Но документ сложился во многом благодаря конструктивной гибкости, проявленной экспертом США, и я не собираюсь этого отрицать.
— С учетом нынешней конфронтации между Россией и США, не получается ли так, что если американцы в чем-то выиграли, то мы уступили?
— Мы не рассматриваем этот процесс как игру с нулевой суммой. Если кто-то что-то приобретает, это не значит, что другой обязательно должен проиграть. Мы работали как партнеры. Все понимают, что в сфере информационно-коммуникационных технологий (ИКТ) угрозы общие и они трансграничные. С этими угрозами можно бороться только сообща.
Американцы выступили с предложениями по структуре документа, высказали конкретные идеи по содержанию разделов. Россия вместе с другими странами ШОС и БРИКС продвигала идею необходимости осознания общности угроз в информационном пространстве и приоритетности этой темы с точки зрения обеспечения национальной и глобальной безопасности. Благодаря этим кирпичикам, многие из которых закладывались еще в ходе предыдущих встреч ГПЭ, работа группы не превратилась в перетягивание каната, а была основана на совместной нацеленности на результат. Все страны имели возможности вынести на обсуждение свое видение свода правил. И каждое предложение обсуждалось в конструктивном ключе.
Но, не буду скрывать, поиск компромисса давался нелегко. США в группе представляла опытный дипломат Мишель Маркофф — сложный и крутой переговорщик, прекрасно владеющая темой. Естественно, и я, и другие коллеги не стеснялись отстаивать права, заботясь о наиболее полном отражении своих национальных позиций, это нормально. Главное, что все мы были настроены на составление доклада, под которым могли бы подписаться представители всех 20 стран. И это получилось.
— Это удивительно, потому что России и США в последнее время мало о чем удается договориться…
— Тот факт, что нам удалось договориться в условиях конфронтации и санкций, делает этот доклад еще более значимым. Это мощный политический сигнал того, что отношения (между Россией и США.— “Ъ”) небезнадежны, что мы можем договариваться и предпринимать совместные и коллективные дипломатические усилия.
— На ваш взгляд, что самое важное из того, о чем удалось договориться?
— С моей точки зрения, ключевым является тот факт, что в докладе отражена позиция России и ее партнеров по ШОС и БРИКС, что главное — не легализовать и не регулировать конфликты в информационном пространстве, а предотвращать использование ИКТ в военно-политических целях. Это первый принципиально важный момент.
Во-вторых, в докладе сказано, что нельзя огульно обвинять друг друга в кибератаках, как это сейчас нередко происходит. По мнению группы, односторонних заявлений о том, что то или иное государство может быть причастно к противоправным действиям в информационном пространстве, недостаточно для того, чтобы приписать данную вредоносную активность этому государству. Обвинения государств в организации и осуществлении кибернападений должны быть доказаны. Это исключает возможность огульного привлечения государств к ответственности за атаки, якобы совершенные в информационном пространстве, как это было в случае введения США санкций против КНДР в ответ на взлом серверов кинокомпании Sony Pictures (снявшей комедию о покушении на Ким Чон Ына.— “Ъ”).
В третьих, в докладе несколько раз подчеркивается, что ИКТ должны использоваться исключительно в мирных целях. Это означает, что такие действия, как вывод из строя при помощи компьютерного червя Stuxnet объектов иранской атомной промышленности, становятся вне закона. По крайней мере вне морального закона. (Как следует из книги «Противостоять и скрывать: тайные войны Обамы и неожиданное использование американской силы» обозревателя газеты The New York Times, обладателя Пулитцеровской премии Дэвида Сэнгера, Stuxnet был создан США и Израилем.— “Ъ”.)
В-четвертых, в докладе впервые признана незаконной и вредоносной деятельность по внедрению закладок в IT-продукцию. Этот пункт был внесен в документ по инициативе России.
И, наконец, группа подтвердила суверенное право государств распоряжаться информационно-коммуникационной инфраструктурой на своей территории и определять свою политику в сфере международной информационной безопасности. Кроме того, в документ включены основные рекомендации по наращиванию международного сотрудничества в области международной информационной безопасности, отмечена значимость мер укрепления доверия, преодоления «цифрового разрыва». Предусматривается изучение способов увеличения объемов технической помощи, возможностей по реагированию на инциденты, связанные с использованием ИКТ, ускорение передачи соответствующих знаний и технологий — прежде всего развивающимся странам.
— А что с принципом невмешательства во внутренние дела государств, столь важным для России?
— Это все тоже есть в докладе. В нем перечислены все основные принципы устава ООН, и прямо сказано, что все они, включая принципы уважения суверенитета и невмешательства, в полной мере применимы к информационной сфере.
— Что теперь будет с этим докладом?
— Доклад передан генеральному секретарю ООН для представления на 70-й сессии Генеральной ассамблеи ООН (в конце сентября.— “Ъ”). Но, поскольку записанные в докладе нормы выработаны консенсусом в рамках ооновского механизма, можно считать, что они уже носят характер действующих рекомендаций ООН.
Однако ставить точку в этом вопросе пока рано. По правде говоря, мы находимся в самом начале дискуссии о нормах и правилах поведения в информационном пространстве. В этом году группа рассматривала эту тему в первом приближении — наряду с другими важными аспектами международной информационной безопасности. А ведь выработка правил поведения — это не какая-то абстрактная «высокая политика», это насущная потребность для всех государств, заинтересованных в том, чтобы обезопасить себя и своих граждан от кибератак, кибершпионажа и прочих киберугроз. Этот вопрос заслуживает того, чтобы его рассматривали отдельно и более пристально. В докладе заложена возможность созыва новой экспертной группы, и если эту идею осенью одобрит Генассамблея, то следующее заседание данной группы состоится уже в 2016 году. Вопрос о нормах будет для нее основным. Мы надеемся, что в ходе этих переговоров будет выработан еще более подробный документ, который потом будет внесен на рассмотрение Генассамблеи ООН в качестве резолюции.
— Но резолюции ГА ООН тоже не являются обязующими. Будет ли Россия в какой-то момент настаивать на резолюции Совбеза ООН по соответствующим нормам?
— Не побоюсь раскрыть стратегический замысел России в этом плане. Все три доклада ГПЭ, а также двусторонние российско-китайские и российско-американские соглашения в сфере информационной безопасности, как и другие двусторонние и региональные договоренности, в том числе в рамках ОБСЕ и АСЕАН, Россия рассматривает в качестве «маленьких шагов к большой цели».
— Какой?
— В идеале Россия предпочла бы юридически обязывающую международную конвенцию под эгидой ООН об обеспечении глобальной информационной безопасности. Но мы понимаем, что для такого документа ряд наших западных партнеров пока еще не созрел. Тем не менее о базовых правилах поведения нужно договариваться уже сегодня.
— Но все же не совсем понятно — зачем? Ведь все как-то работает…
— Ключевое слово в вашем вопросе — «как-то». А ведь работает же плохо. Напомню статистику, приведенную президентом Владимиром Путиным на заседании коллегии ФСБ в марте этого года: в 2014 году на официальные сайты и информационные системы органов власти России было совершено 74 млн кибератак. И это не мировой рекорд. В ходе наших переговоров в Пекине и в Белом доме с обеих сторон приводились данные, что между США и Китаем происходит почти миллион кибернападений друг на друга в неделю. Что это, как не проверка на киберуязвимость? Если таковая будет нащупана, последствия могут быть непредсказуемыми.
Если же верить оценкам правительства Великобритании, то сегодня только за счет хакерских атак из мировой экономики ежегодно изымается от $500 млрд до $1 трлн. При этом информационные ресурсы критически важной инфраструктуры (финансовой отрасли, медицинской сферы, объектов энергетического и транспортного сектора и т. п.) остаются очень уязвимыми. Если мы договариваемся об определенных правилах, что можно и что нельзя, это повышает безопасность и граждан, и бизнеса, и государства.
— Но ведь хакерам наплевать на устанавливаемые государствами правила…
— Хакеры живут не в изолированном мире. Они живут в государствах. А в докладе ГПЭ содержится важное положение о том, что государства несут ответственность за все, что происходит в их информационном пространстве и исходит с их территории. Следовательно, государства не должны поощрять деятельность хакерских группировок, как то было, когда глава Агентства национальной безопасности (АНБ) США фактически призвал американских хакеров к киберкаперству. Рекомендации ГПЭ возлагают на государство ответственность за то, чтобы оно боролось с противоправным использованием ИКТ в пределах своего национального суверенитета — не поощряло такие действия и не использовало их в своих целях, а предпринимало усилия для их предотвращения.
— То есть получается, что в 2007 году российские власти были бы, если бы такие правила уже тогда существовали, обязаны предотвратить атаку киберактивистов на эстонские интернет-ресурсы после скандала с «Бронзовым солдатом»?
— Вопрос о нападении на эстонские сайты очень деликатный: дело в том, что доказать причастность официальных российских структур к той атаке никто так и не смог, а впоследствии было установлено, что большая часть трафика шла через серверы вне территориальных границ России — по данным самих же эстонских экспертов, 80% ударов осуществлялись с территории США.
— Атаки часто осуществляются с задействованием серверов, расположенных в третьих странах…
— В соответствии с новым докладом ГПЭ впредь использовать информационную инфраструктуру третьих стран (посредников) для осуществления компьютерных диверсий предосудительно. Это тоже было российское предложение.
— По данным американских СМИ, Россия и ряд других участников ГПЭ заблокировали идею США внести в доклад положение о том, что 51-я статья Устава ООН (гарантирующая государству право на самооборону в случае, если на него осуществлено вооруженное нападение) применима к киберпространству. Так ли это?
— О блокировании чьих-либо инициатив речь не шла. Был найден устроивший всех переговорщиков компромисс: в докладе сказано, что все статьи Устава ООН применимы к информационному пространству, что подразумевает и 51-ю статью. В этом плане не могу не отметить большую заслугу эстонского делегата Марины Кальюранд (с 15 июля она возглавляет МИД Эстонии.— “Ъ”). Ее отнюдь не упрекнешь в особых симпатиях к России, но она была настроена на очень конструктивный и серьезный разговор. Благодаря ее мудрости было предложено важное компромиссное решение, причем в критический момент переговоров.
— А вокруг чего велся спор?
— В 51-й статье Устава ООН речь идет о «вооруженном нападении». Но сегодня в мире нет общего представления, что понимать под «вооруженным нападением» применительно к сфере использования ИКТ. И если мы, не задумываясь, запишем, что 51-я статья Устава ООН применима к сфере ИКТ, то дадим сильным странам возможность использовать любую хакерскую атаку как повод к ответному применению силы, то есть к войне.
Ведь США еще в 2010 году первыми официально признали киберпространство таким же потенциальным полем боя, как сушу, море и воздух. А в 2011-м они первыми разработали государственную стратегию действий в киберпространстве, оставляющую за Вашингтоном право реагировать на компьютерные диверсии всеми доступными средствами вплоть до применения ядерного оружия. И если сейчас безоговорочно «благословить» отсыл к 51-й статье Устава ООН, то получится, что сильные кибердержавы смогут обвинить любую другую страну в осуществлении кибератаки, квалифицировать ее — не имея никаких юридических оснований — как «вооруженное нападение» в соответствии со своими национальными трактовками и нанести «ответный» удар, причем необязательно только кибернетическими средствами.
С учетом возникающих в этой связи рисков мы и целый ряд других стран и были против вычленения 51-й статьи. В качестве компромисса мы согласились на констатацию того, что все положения Устава ООН применимы к киберпространству. При этом в докладе особо подчеркивается, что мировому сообществу нужно договориться о ключевых терминах и понятиях в сфере использования ИКТ. Это включает и такие понятия, как «вооруженное нападение».