В штаб-квартире ООН в Нью-Йорке в понедельник открылась сессия Рабочей группы открытого состава (РГОС) по кибербезопасности — запущенного по предложению России механизма по выработке правил поведения государств в информационном пространстве. Переговоры начались со скандала: Россия заблокировала аккредитацию на сессию западных IT-компаний и неправительственных организаций, а Украина заветировала ряд связанных с Россией структур. При этом США отказали в визе главе российской делегации на РГОС.
Фото: Анатолий Жданов, Коммерсантъ
Открывшаяся в понедельник сессия РГОС продлится до 29 июля. За неделю переговорщикам из более чем 190 стран предстоит согласовать доклад, отражающий их общее видение того, как сделать киберпространство более безопасным. Найти устраивающие всех формулировки и раньше было непросто, но в условиях резко возросшей на фоне ввода российских войск на Украину конфронтации между Россией и Западом эта задача усложнилась вдвойне.
РГОС была запущена в 2018 году по инициативе России — в противовес существовавшим ранее, но забуксовавшим механизмам обсуждения вопросов кибербезопасности в ООН. Ключевым из них была Группа правительственных экспертов (ГПЭ) ООН, в которую в разное время входили от 15 до 25 стран, включая Россию и США. В 2015 году они выпустили первый вариант кодекса ответственного поведения государств в сети, но затем рассорились и пару лет не собирались. В 2018 году США предложили реанимировать ГПЭ, в то время как Россия объявила о необходимости создания более инклюзивной площадки. Генассамблея в итоге поддержала обе инициативы: и российскую, и американскую. Многие эксперты полагали, что ГПЭ и РГОС войдут в клинч, но в итоге эти механизмы стали взаимодополняющими. Россия возобновила работу в ГПЭ, а США вошли в РГОС. В октябре 2021 года Россия и США внесли в ООН совместную резолюцию по кибербезопасности, поддержав продление мандата РГОС до 2025 года и упразднение ГПЭ. Однако после начала военной операции России на Украине диалог Москвы и Вашингтона по этой теме прекратился.
То, что работа РГОС идет по плану, несмотря на жесткую конфронтацию между Россией и Западом, само по себе можно расценить как позитивный сигнал. Однако конфликт вокруг Украины все же оказал негативное влияние на работу этого механизма: Россия заблокировала запросы на аккредитацию ряда западных IT-компаний, а также неправительственных и научных организаций, а Украина — российских.
Ситуация развивалась следующим образом. США и их союзники еще в прошлом году начали настаивать на том, чтобы негосударственные стейкхолдеры — представители бизнеса, неправительственных и научных организаций — были наделены на сессиях формальным статусом, то есть полноценной аккредитацией на официальные заседания.
Россия выступала за то, чтобы неправительственные делегации имели тот же статус, как и ранее, то есть неформальный.
«Для первого комитета Генеральной ассамблеи ООН, под эгидой которого работает РГОС, приглашение негосударственных игроков к какому-либо участию в переговорах — это нововведение, и не все горят желанием его опробовать,— пояснил “Ъ” консультант ПИР-Центра, научный сотрудник Института актуальных международных проблем Дипакадемии Олег Шакиров.— Тем более что на практике такое открытие играет на руку Западу: доля американских и европейских организаций, желающих и способных полноценно принять участие в РГОС, выше, чем из других регионов. Многих это настораживает, даже несмотря на то что западные организации совершенно не обязательно выступают с тех же позиций, что и их страны».
Согласовать модальности участия негосударственных делегаций несколько месяцев не получалось, несмотря на попытки выдвижения компромиссных предложений. В марте США и их союзники решили надавить и вынести решение этого вопроса за рамки РГОС — в Генассамблею, где они рассчитывали получить достаточно голосов. «До голосования дело, однако, не дошло, в апреле модальности все же согласовали: в них осталась возможность блокировать ту или иную организацию»,— продолжил Олег Шакиров, добавив, что право вето предлагалось использовать разумно.
В итоге два участника РГОС — Россия и Украина — заблокировали более трети от поступивших заявок (32 из 86).
Россия не дала ход целому ряду западных организаций и объединений: Microsoft, Cybersecurity Tech Accord (к которому присоединились Cisco, Dell, HP Inc., Oracle и еще около 150 IT-фирм), Global Forum on Cyber Expertise (членами которого, помимо государств, являются такие компании, как IBM, Symantec и Vodafone). Они сочли это политически мотивированным злоупотреблением правом вето, о чем написали в открытом письме на имя нынешнего председателя РГОС Бурхана Гафура. По мнению подписантов, ограничение возможностей значимых игроков участвовать в работе РГОС негативно скажется на эффективности этого механизма, в то время как «конфликты и нестабильность в интернете продолжают обостряться».
Особенно возмутил авторов обращения отказ в аккредитации международному объединению FIRST (Форум команд по обеспечению безопасности и реагирования на инциденты). Между тем в марте FIRST, следуя американским санкциям, объявил о приостановке членства восьми своих российских членов (среди них: BI.ZONE — «дочка» Сбербанка, Центр мониторинга и реагирования на компьютерные атаки Банка России — ФинЦЕРТ, Российский центр реагирования на компьютерные инциденты — RU-CERT, ICS CERT «Лаборатории Касперского»).
Украина, в свою очередь, заблокировала заявки от Центра международной информационной безопасности и научно-технической политики МГИМО, Российского совета по международным делам, Института государства и права РАН, Российского Федерального центра судебной экспертизы при Министерстве юстиции. Не был одобрен и запрос на аккредитацию от «Лаборатории Касперского». В компании “Ъ” сказали, что она принимала активное участие в работе первой РГОС (2018–2020) и намерена продолжить делиться своей экспертизой в рамках нового процесса, несмотря на отсутствие аккредитации.
По прогнозу Олега Шакирова, так же поступят и многие другие организации, чьи заявки на аккредитацию не были одобрены. «Полноценная аккредитация придала бы им дополнительный вес и возможность озвучить свою позицию на большем количестве площадок. Но они по-прежнему могут участвовать неформально, для этого председатель РГОС может проводить отдельные встречи»,— пояснил собеседник “Ъ”. Кроме того, они, по словам господина Шакирова, могут присылать в секретариат РГОС свои предложения, и их будут публиковать для всеобщего внимания.
«Отказ в аккредитации не отрезает возможность участия целиком. Но ситуация с негосударственными стейкхолдерами отражает напряженную обстановку внутри РГОС из-за конфликта вокруг Украины,— говорит эксперт.— Хотелось бы надеяться, что группа все равно сможет работать, многие государства в этом заинтересованы. Но поддерживать динамику будет сложно».
Между тем на открытии заседания РГОС первый заместитель постоянного представителя РФ при ООН Дмитрий Полянский сообщил, что США отказали в выдаче виз нескольким представителям аккредитованных при РГОС российских неправительственных организаций. Более того, визу не получили глава российской правительственной делегации — спецпредставитель президента РФ по вопросам международного сотрудничества в области информационной безопасности Андрей Крутских и ряд других официальных лиц от РФ. По его словам, Россия в связи с этим заявила решительный протест властям США. Действия Вашингтона Дмитрий Полянский назвал «недальновидными», «откровенно зловредными» и «хамскими».
Отметим, что в июне Россия внесла в свой черный список главу американской группы переговорщиков, координатора Госдепартамента по кибербезопасности Мишель Маркофф, обвинив ее (наряду с 60 другими американцами) «в причастности к вбросам о "злонамеренных" российских кибератаках».
В черновике доклада, который будут обсуждать участники открывшейся в Нью-Йорке сессии РГОС, среди прочего, говорится о необходимости сотрудничества между национальными группами реагирования на компьютерные инциденты (CERT); разработки и распространения передовых практик в области классификации и защиты критически важной инфраструктуры и критически важной информационной инфраструктуры; обеспечения целостности цепочки поставок и предотвращения внедрения в IT-продукты вредоносных скрытых функций; обмена оценками рисков и технической информацией между государствами. В том или ином виде эти предложения ранее уже обсуждались и даже одобрялись в рамках механизмов ООН, однако до сих пор все они носят сугубо добровольный характер. Российские официальные лица ранее не раз говорили, что их надо сделать юридически обязывающими.