Эксперты НАТО разработали первое в мире руководство о применении существующего международного права к кибервойнам. В России считают сам факт появления такого документа потенциально опасным.
Опубликованный несколько недель назад 300-страничный документ Объединенного центра передового опыта по киберобороне НАТО (NATO CCDCOE), по данным "Власти", уже привлек внимание целого ряда российских ведомств — от МИДа и Минобороны до Совбеза и спецслужб. Документ называется "Таллинское руководство по ведению кибервойн". Столица Эстонии фигурирует в названии неслучайно: именно там расположен CCD COE, открытый в 2008 году, через год после истории с Бронзовым солдатом и массированными хакерскими атаками на эстонские сайты. Эстония провозгласила себя первой жертвой межгосударственного киберконфликта и обвинила Россию в нападении. Доказать причастность официальной Москвы к атакам, впрочем, не удалось. Да и ущерб, нанесенный Таллину, был недостаточно серьезным для применения статьи НАТО о коллективной обороне.
В "Таллинском руководстве" впервые представлены алгоритмы действий государств и военных альянсов на случай более масштабных атак. Цель документа — доказать, что существующие международные правовые нормы (прежде всего международное гуманитарное право) применимы и к киберпространству. А значит, вопреки позиции России и ряда других государств, новые законы не нужны.
Над составлением документа работали 20 авторитетных гражданских и военных юристов из стран НАТО, а также технические эксперты в области кибербезопасности. Для консультации привлекались представители Киберкомандования США, Объединенного командования НАТО и Международного комитета Красного Креста. Руководил проектом профессор международного права Военно-морского колледжа ВМФ США Майкл Шмитт.
Результатом работы команды Шмитта стал свод из 95 правил, относящихся к конфликтам с применением информационно-коммуникационных технологий. Правила, охватывающие вопросы суверенитета и ответственности государств, описывают средства и методы атак в киберпространстве и ограничивают возможности кибердиверсий против гражданских лиц и нейтральных стран. Эксперты НАТО выделяют несколько видов кибератак и объясняют, какие международно-правовые принципы применимы к каждому из них.
Атаки, проводимые в отсутствие полноценных военных действий, авторы причисляют к "противоправным действиям". Ответить на такую атаку государство, которому причинен ущерб, может, либо привлекая агрессора к ответственности, либо прибегая к "пропорциональным контрмерам". Как следует из "Руководства", если, например, Узбекистан проведет кибероперацию против электростанции на плотине в Киргизии, чтобы принудить ее к увеличению подачи воды в реку, протекающую сквозь оба государства, Киргизия может ответить принятием пропорциональных контрмер, например кибератакой против системы управления ирригацией Узбекистана.
Авторы подчеркивают, что в зависимости от масштаба и последствий (гибель людей, повреждение или уничтожение объектов) атака в мирное время может быть приравнена к "применению силы" или "вооруженному нападению", что дает государству-жертве право на самооборону, в том числе и с использованием традиционного оружия. Авторы "Руководства" убеждены: по масштабам и последствиям кибератаки могут сравняться с применением химического, биологического и радиологического оружия.
В то же время в "Руководстве" сказано, что "кибероперации психологического характера, не ведущие к разрушениям и направленные исключительно на подрыв доверия к правительству или экономическим структурам, нельзя квалифицировать как применение силы". Финансирование из-за рубежа хакеров, осуществляющих диверсии против своего государства, также не может считаться применением силы. Другое дело, если иностранное государство предоставит вредоносное программное обеспечение и научит им пользоваться.
Вооруженным нападением, по мнению экспертов НАТО, не могут считаться такие действия, как кибершпионаж, компьютерные кражи, а также кибероперации, влекущие за собой "краткие или периодические перерывы в оказании второстепенных компьютерных услуг" (например, атаки на сайты). В то же время в "Руководстве" сказано, что при определенных условиях кибератака против Нью-Йоркской биржи может считаться вооруженным нападением на США.
В последнем случае не имеет значения, была ли атака совершена государством или группой хакеров по его наводке. (Эстонцы, например, твердо убеждены, что в 2007 году на них напали члены движения "Наши" по указанию Кремля.) "Поведение негосударственных субъектов права может быть приписано государству и стать причиной привлечения его к международно-правовой ответственности",— говорится в документе.
Ответственность государства может наступить, даже если оно использует для атаки на противника услуги посредника, находящегося на территории другой страны. Если группа хакеров, базирующаяся на территории Ирана и получающая инструкции из КНДР, заразит вирусом компьютеры в Саудовской Аравии и с их помощью выведет из строя системы в США, ответственность ляжет на Пхеньян. Государства, чья территория и инфраструктура использовались для совершения атаки, могут быть привлечены к ответственности лишь в том случае, если они знали о планах злоумышленников и не предотвратили их.
По мнению составителей "Руководства", к 2012 году "ни один международный компьютерный инцидент не был однозначно и публично признан международным сообществом как операция, которую можно квалифицировать как вооруженное нападение". Единственным инцидентом, подпадающим под определение "применение силы", эксперты называют червь Stuxnet, выведший из строя иранские центрифуги на ядерном объекте в Натанзе в 2010 году. В документе, впрочем, не сказано, кто создал этот вирус. Большинство российских экспертов полагает, что его разработали в США и Израиле.
Самый большой раздел "Руководства" посвящен кибератакам, сопровождающим традиционные вооруженные конфликты. На них, по мнению авторов документа, распространяются все нормы международного гуманитарного права, вплоть до признания участников и организаторов компьютерных диверсий комбатантами, которые могут быть пленены или физически ликвидированы. К специфике киберпространства приспособлены и многие другие правовые положения о вооруженных конфликтах. Запрещается проводить кибероперации против гражданских лиц (за исключением участников народного ополчения) и объектов, например больниц. Атаки против плотин и атомных электростанций предлагается проводить "с особой осторожностью", дабы свести к минимуму жертвы среди гражданского населения. Эксперты НАТО рекомендуют, задействуя вредоносные программные средства для сокращения электроснабжения противника путем нарушения работы АЭС, особое внимание "уделить обеспечению постоянной целостности системы охлаждения" реактора.
Далее подробно объясняется, в каких еще случаях можно атаковать гражданские объекты. Например, завод, производящий компьютерное оборудование или программное обеспечение по контракту с вооруженными силами неприятеля представляет собой, по мнению экспертов НАТО, "военную цель", даже если на нем выпускаются и товары гражданского назначения. А операция против SCADA-системы водохранилища может быть "задействована для спуска воды на область, в которой ожидается осуществление неприятельских военных операций, что предотвратит ее использование противником".
На Западе появление "Таллинского руководства" было воспринято очень позитивно. Многие американские эксперты отметили, что его ключевые идеи совпадают с позицией Вашингтона, в соответствии с которой для киберпространства не надо создавать новых законов. Кир Джайлс, глава лондонского Центра изучения конфликтов, который до недавнего времени был структурой британского Минобороны, однако, заявил "Власти", что у "Руководства" есть существенный недостаток: в его составлении не принимали участие представители ряда ключевых кибердержав, не входящих в НАТО, а значит, оно не может претендовать на универсальность.
Российские власти и особенно военные к появлению "Таллинского руководства" действительно отнеслись весьма настороженно. Россия выступает не просто за предотвращение милитаризации киберпространства, но в принципе за запрет на применение кибероружия. Москва сочла обнародование этого документа шагом на пути к легитимизации самого понятия кибервойн. Об этом в ходе апрельской конференции Института проблем информационной безопасности МГУ прямо заявил представитель Минобороны РФ Константин Песчаненко. Его поддержал посол по особым поручениям МИД РФ Андрей Крутских. По его мнению, в то время как Россия пытается предотвратить милитаризацию киберпространства, предлагая международному сообществу (в том числе на уровне ООН) принять свод специальных правил поведения в этой среде, США и их союзники уже договариваются о правилах ведения кибервойн.
Ряд российских экспертов, впрочем, считают, что в появлении "Таллинского руководства" есть и плюсы. По словам эксперта Российского института стратегических исследований (РИСИ) Александра Бедрицкого, Москва, в свое время инициировавшая широкое международное обсуждение вопросов, связанных с ведением межгосударственного противоборства в киберпространстве, долгое время сталкивалась с неготовностью Вашингтона к диалогу. "Теперь ситуация начинает меняться, и сами американцы заинтересованы в продвижении собственной модели кибербезопасности на международной арене",— заявил эксперт "Власти". Впрочем, по его мнению, несмотря на активизацию переговорных усилий, стороны в ближайшем времени вряд ли придут к согласию. "Гораздо более вероятным представляется, что США и их союзники по НАТО будут пытаться всячески продвигать свою модель понимания кибербезопасности, а в случае невозможности достижения прогресса на переговорах с РФ возложат на нее всю ответственность за происходящее",— полагает он.
Эксперт ПИР-Центра Олег Демидов, однако, полагает, что компромисс возможен. "Если Россия и ее союзники видят свою миссию в том, чтобы не допустить межгосударственных киберконфликтов и вывести такие явления за рамки приемлемых действий на международной арене, то "Таллинское руководство" отвечает скорее на вопрос "Что делать, если гром все же грянул?",— сказал он "Власти".— Эти подходы могут быть взаимодополняющими". По мнению эксперта, "Таллинское руководство", не будучи подкреплено какими-либо международными нормами, удерживающими государства от вступления в кибервойны, действительно может способствовать легитимизации киберконфликтов, "врастанию их в систему международных отношений в XXI веке в качестве допустимого средства решения внешнеполитических задач и обеспечения национальных интересов". "Нужен балансир в виде международно-правовых ограничений, на которых настаивает Россия,— отмечает он.— Однако в условиях нерешенной проблемы атрибуции источника кибератак и невероятно низкого технологического и ресурсного порога создания и применения кибероружия российские инициативы пока напоминают попытку удержать в руках воду. Они лишь выиграют, если вберут в себя корпус правил, дающих ответ на вопрос "Что делать, если запрет все же нарушен?"".
Впрочем, несмотря на то что по юридическим вопросам позиции РФ и США (а также НАТО) сильно расходятся, в практическом аспекте между ними впервые наметилось сближение. По данным "Власти", в ходе июньской встречи президентов РФ и США Владимира Путина и Барака Обамы планируется подписать ряд межправительственных соглашений о мерах доверия в киберпространстве. Впредь если кто-то посредством компьютерной диверсии выведет из строя, к примеру, дамбу в США, в результате чего погибнет большое количество людей, то даже если следы атаки будут вести в Москву, американцы не станут сразу принимать контрмеры, хотя "Таллинское руководство" дает им на то право. В соответствии с подготовленными договоренностями они, по крайней мере, сначала позвонят и попросят объяснений.