18+
Кибербезопасность и международное право (часть 1)
23.10.2012
Кибермания.
Компьютерная безопасность считается одной из самых «горячих» тем в современном международном праве и крайне рентабельной в обсуждениях о национальной безопасности. Крайне важно, чтобы гражданское общество имело доступ к безопасной и защищенной Сети.
Американский генерал Демпси считает, что сегодня в вопросах безопасности США более уязвимы, чем когда-либо, и главная проблема – это кибератаки. Все остальные соглашаются с этой точкой зрения и даже верят, что США и другие страны ведут сегодня самую настоящую кибервойну.
Такая перспектива рассматривается некоторыми как "кибермания" и относится к разряду переоценённых угроз. Основная задача для правительств – это охрана людей от обычных преступлений и шпионажа в интернете. К разряду главных проблем относятся действия мошенников, направленные на кражу секретных деловых сведений и финансовой информации, а отнюдь не правительственные хакеры. Таким образом, предпринимались серьёзные попытки озадачить правительства, характеризующие интернет как военную угрозу.
Сингер и Шахтман утверждают, что применение аналогий реальных боевых действий, особенно Холодной войны, идут в ущерб решению реальных вопросов компьютерной безопасности, а именно промышленного шпионажа и преступлений. Уже сейчас мы можем видеть негативные последствия таких сравнений в попытках приобрести совершенную систему киберзащиты. Сингер, Шахтман, Мюеллер и другие заявляют, что такой подход является фундаментальным упущением, если цель – это безопасный и доступный Интернет.
Потуги втиснуть проблемы интернет-безопасности в категорию войны также ведут и к упущениям в анализе релевантного международного права. В международном праве когерентно описаны коммуникативные и торговые взаимодействия в сети, но это право юридически никак не относится к международным вооруженным конфликтам.
Как мы изобретаем проблему кибервойн?
Неуверенность в безопасности Интернета стара, как и он сам. В 1998 была произведена атака правительственных сайтов Индонезии силами 3000 китайских хакеров. С тех пор предпринимались десятки тысяч попыток проникнуть в главные компьютерные сети, принадлежащие министерствам обороны, банкам, СМИ. Такие случаи происходят ежедневно. Большая часть этих компьютерных взломов имеет целью похищение или промышленный шпионаж, и обычно обозначаются, как "эксплуатация компьютерной сети" (ЭКС). Меньшая - как "атака компьютерной сети" (АКС). Возможно, более подходящим названием было бы "вмешательство в компьютерную сеть" (ВКС). Так, ВКС будет больше походить на термины "экономический или торговый ущерб", нежели "атака", которая больше подходит военным категориям.
Всего существуют три примера, которые постоянно обсуждаются, дабы поддержать взгляды на то, что проблема безопасности Интернета – это проблема военной безопасности. Приведём их:
1) Эстония и НАТО, Апрель 2007: В ответ на перемещение мемориала советским воинам, хакеры начали вмешиваться в работу эстонских правительственных сайтов через DDoS атаки. Хакеры переместили некоторые сайты и перенаправляли пользователей на изображения советских солдат. Вмешательство продолжалось приблизительно месяц, аффектируя несколько банков и газет. Эстонские официальные лица заявили, что произошедшее было тем же самым, как если бы организованные военные силы закрыли порты Эстонии и отнеслись бы к этому, как к эпизоду "кибервойны". Происхождение вмешательства так осталось неизвестным. Широко распространялась версия спровоцированной атаки из России, но этого никогда не смогут установить. Некоторые утверждали, что нападение на Эстонию подлежит рассмотрению в соответствии с Североатлантическим договором (НАТО) по статье 5. НАТО не ответило контратакой, но зато учредило заведение по интернет-обороне в Эстонии, назвав его Объединённый Центр Передового опыта Киберзащиты(ОЦПКЗ).
Сама Эстония создала добровольное соединение, подобное такому подразделению в Национальной Гвардии США, и стала лидером в определении путей по прекращению онлайн-вмешательств.
2) Грузия-Россия, 2008: Первое известное применение интернета в течение традиционного военного конфликта в целях вмешательства в гражданское использование интернета. Это произошло в 2008 году во время попытки Грузии включить в себя регион Южной Осетии. Грузия вызвала конфликт, атакуя русских солдат, которые были частью миротворческого контингента на территории Южной Осетии по договору Грузия-Россия 1991 года. В ночь с 7 на 8 августа Грузия учинила военное нападение, убив приблизительно десять русских солдат и ранив многих других. Россия контратаковала, заставив отступить агрессора в тридцатипятимильный предел грузинской столицы Тбилиси. Грузия обвинила Россию в инициации DDoS атак против ряда грузинских веб-сайтов, включая правительственные, сайты СМИ, а также коммерческие сайты. Вмешательство в их работу продолжалось около месяца. Реальная физическая борьба длилась около недели.
3) Стакснет, 2009-2010: Компьютерный червь, прозванный Стакснетом, заразил компьютеры Сименса, которые использовались в ядерной программе Ирана. Эксперты полагают, что червь был целенаправленно создан военными США с помощью Израиля и учёных Сименса. Эффектом воздействия червя было увеличение количества оборотов центрифуг выше положенной нормы. В раннем 2011, официальные лица Израиля и США объявили, что иранские ядерные программы были отброшены назад на "несколько лет". Червь Стакснет, однако, поразил также компьютеры и в других странах, включая Индию, Индонезию и Россию. Считается, что около 40% компьютеров было поражено вне Ирана. Стакснет был объявлен первым червём, созданным специально для поражения реальных физических инфраструктур, электростанций, ГЭС, и промышленных единиц. Ральф Лангнр, немецкий эксперт в области компьютерной безопасности, с уверенностью высказал мнение, что Стакснет - правительственный продукт: "Это не просто какой-нибудь хакер, сидящий в подвале дома своих родителей. Для меня совершенно очевидно, что требовались серьёзные ресурсы для осуществления подобной атаки межнационального уровня".
В Соединённых Штатах военное ведомство готово перехватить инициативу. В 2010 Пентагон основал Киберкомандование. Это субподразделение Стратегического Командования, одной из боевых организаций Единой Командной Системы США.
Компьютерному Командованию были даны весьма широкие полномочия. Оно не только ответственно за защиту информационных сетей министерства обороны, но также должно "быть готовым, и по приказу осуществлять управление целым спектром военных компьютерных операций для активных действий во всех регионах, обеспечивая полную свободу действий США и Союзников в киберпространстве, и мешать делать это нашим противникам".
Сингер и Шахтман верят, что новая киберстратегия минобороны по компьютерной защите будет основана на том же фундаменте, что и стратегия США в холодной войне. Они считают, что засекреченная ныне версия киберстратегии представляет собой "новую доктрину сдерживания", заявляя, что любые вредоносные действия в пределах компьютерной сферы могут быть встречены ассиметричным ответом в других областях деятельности. "Поменяйте "договор" и "ядерный" на "компьютерный" и "кинетический" и новая доктрина откроет себя как старую добрую доктрину сдерживания 1960х годов с "гибкой реакцией", где условная атака может быть встречена такой же условной, либо ядерной. Компьютерное Командование Пентагона и Бейджинское Отделение третьей армии Народно-освободительной армии заполнят собой пустующие места старого Воздушного Стратегического Командования и Стратегических Ракетных Сил Красной Армии".
В сходном направлении, но уже внутри США, в 2011-12 гг., Конгресс начал обсуждение введения новых законодательных актов, касающихся компьютерной безопасности. Одна группа в Конгрессе предпочитает сохранять в качестве источника права по данному вопросу Департамент Национальной Безопасности (ДНБ), но другая группа твёрдо стоит на том, что Пентагон должен курировать это дело. Сенатор Джон Маккейн является одним из противников получения Департаментом таких полномочий, предпочитающий делать акцент на сотрудничестве с Компьютерным Командованием и Агентством Национальной Безопасности (АНБ). Маккейн делал заявления против перевода ДНБ в роль "суперрегулятора". Генерал Кит Александр разделяет опасения Маккейна. Александр, на данный момент, является главой как Компьютерного Командования, так и директором АНБ. Маккейн и Александр отмечают, что Компьютерное Командование и АНБ уже имеют огромный технический опыт по сравнению с ДНБ, и используют это в качестве аргумента в пользу военных при помощи ресурсов и легитимной власти.
Проще говоря, часть давления в сторону милитаризации компьютерной безопасности исходит из деловых соображений в секторе военной безопасности. С этой точки зрения, консультант Майк Макконел хочет продвигать идею размышлений о компьютерной безопасности в терминах холодной войны. Он настаивает на необходимости стратегии как сдерживания, так и превентивных ударов в зависимости от степени угрозы.
Закон, ограничивающий кибервойну.
Как уже было обозначено выше, киберпространство, как площадка для войны, не регулируется международным правом, регулирующим использование силы. Некоторые предпочитают совсем не рассматривать международные законы в дискуссиях. Другие не исключают международное право, но интерпретируют его таким образом, что оно исключает само себя. В мае 2011 президент Обама обозначил, что международное право будет играть определённую роль в планах США по компьютерной безопасности, но также он заметил, что это будет интерпретация международных законов теми, кто стоит за широкие права США прибегать к силе в случае конфликтов. Это можно было увидеть на примере Международной стратегии для Киберпространства, когда Белый Дом объявил: "Соединённые Штаты будут отвечать на враждебные акты в компьютерном пространстве так же, как если бы это была любая другая угроза нашей стране, если это будет оправдано. Все штаты обладают неотъемлемым правом на самооборону, и мы признаём, что враждебные действия, связанные с киберпространством могут спровоцировать на действия связанные с соглашениями с нашими военными партнёрами".
Это сигнализирует о прочтении Устава ООН в таком ключе, что термин "если происходит вооружённое нападение2 в Статье 51 избегается. В то время как некоторые сочтут благоприятным, что администрация, в той или иной степени, всё же ссылается на международное право, хоть соблюдение международных законов в области военной безопасности в прошлом является весьма далеким от образца. В особенности в компьютерной сфере, учитывая, что если США действительно выпустили вирус Стакснет, миру уже дан пример готовности нарушать международные законы в киберпространстве.
Даже если бы прошлое администрации было бы лучше, даже если бы она придерживалась простых постановлений Устава ООН, актуальность учреждения закона о киберпространстве могла быть названа преувеличенной. Когда киберпространство мыслиться первым и самым главным способом коммуникаций и экономической активности, международные законы, ограничивающие использование силы, видятся не относящимися к делу компьютерной безопасности. Актуальным законом будет тот, который бы контролировал экономические права и регулировал вмешательства, но отнюдь не закон самообороны. Можно привести аналог с использованием химического оружия: химикаты могут быть превращены в могущественные средства массового уничтожения, о которых стоит заботиться военным, но не военный сектор является местом, где сосредоточена большая часть химвеществ и средства для их контроля. Международное сообщество не потерпело бы власти военных над чрезвычайно полезным химсектором.
Часть препятствий, состоящая в убеждении правительств, что военная парадигма не годится для компьютерной безопасности, является следствием того, что международные группы учёных, работающие над вопросами компьютерной безопасности с первых дней появления интернета, так или иначе, связаны с военными. Конечно, верно то, что первыми настоящими американскими авторами компьютерной безопасности являются Майкл Шитт, Уолтер Гэри Шарп и Джордж Волкерс. После более, чем десяти лет изучения, едва ли какой-нибудь учёный опубликовал ещё столько материалов на вышеописанные темы вне военной перспективы.
Такие факты могут усиливать ту точку зрения, что компьютерная безопасность – это фундаментально военная безопасность. Подходя к вопросу критически, однако, проясняется, что авторы из области военной безопасности основывают свои работы на слабых гипотетических событиях, никак не реальных мировых проблемах компьютерной нестабильности, преступлений и шпионажа. Стакснет – реальная мировая проблема, которая, как кажется, очевидно больше подходящая под военную категорию, но Иран был бы не в состоянии ответить силой на вирус в соответствии с действующим международным правом самообороны. Проблема Стакснета аппелирует к более мягкому прочтению международного права по использованию силы; но существует сложность в том, каким образом военные силы законно могут отреагировать на компьютерное вмешательство.
Международный закон по использованию силы.
Спор должен начаться со ссылки на статью 2(4) Устава ООН, как общего правила. Статья 2(4) запрещает в целом использование силы за исключением случаев самообороны, как изложено в Статье 51 или с разрешения Совета по Безопасности. Итоговый документ Мирового Саммита 2005 года пересматривает правила использования поддержки мирового сообщества для строго соблюдения правил использования силы.
В дополнение к Уставу ООН, Международный Суд в шести положениях указал на важность соблюдения привычных всем международных законов и общих принципов, относящихся к законным применениям силы. Для использования военных сил в самообороне необходимо, чтобы атака была вооружённой, значимой; она должна быть связана с регионом, где будет проводиться самооборона; использование силы должно быть последним действием и иметь успех именно в достижении защиты, а также должна быть пропорционально нанесённому урону.
Весьма затруднительно приложить такие правила к действиям в киберпространстве, если не невозможно вообще. Урон материальный был замечен только в деле атаки Стакснета на Иран. Такой тип ущерба не подходит в рамки условий Статьи 51. Как Международный Суд заявил в деле о Никарагуа: "Запрет на вооружённые атаки может применяться при посылании одной страной вооружённых формирований на территорию другой страны, если в случае такой операции их действия будут квалифицированы как вооружённое нападение, нежели пограничный инцидент переносимый регулярными войсками". Международный Суд осуществлял подобную оценку "уровня и эффекта" насильственных действий в делах о нефтяных платформах, израильской стене и деле ДРК против Уганды. Несмотря на то что атака Стакснета была противозаконной, она не была приравнена к вооружённой атаке.
К тому же причастность этих атак не была подтверждена ни в одном из трёх дел. Практика стран показывает, что для определения причастности к атакам необходимо собрать прозрачные и убедительные доказательства. Обычно в делах о кибератаках трудно найти убедительные доказательства: "Обладая анонимностью благодаря современным технологиям, определить принадлежность кибератаки к какой-либо стране чрезвычайно трудно. В то время, как страна-жертва может вполне успешно отследить кибератаку к определенному серверу в другой стране, это может занять огромное количество времени, и даже тогда может быть невозможным найти индивида или группу, совершивших атаку. Например, "агрессор" мог использовать непричастные системы и использовать их как "зомби" в проведении атак".
Наконец, необходимость и пропорциональность могут стать непреодолимыми условиями. Эстония и Иран даже не смогли определить толком, кто атаковал их компьютеры. Это требует времени, плюс существует проблема доказательства, что контратака сможет достигнуть защитной цели. Контратаки в целях самообороны при использовании компьютерных приложений встретят трудность ограничения количества предполагаемых целей. Более 40% компьютеров, пораженных Стакснетом, находились вне Ирана.
То, что кибератака и компьютерный шпионаж не считаются вооружённой атакой, не означает, что в международное право закралась ошибка. Вмешательство в экономическую сферу страны, воздушное пространство, водное или сухопутное, даже если не ограничено Статьёй 2(4) Устава ООН, все равно запрещено общими правилами невмешательства. Этот факт, кажется очевидным в ряде договоров, Резолюциях ООН, а также решений Международного Суда, которые осуждают насилие, вмешательство или интервенцию, не дотягивающие до уровня военных столкновений. Международный Суд отнёсся к некоторым из таких поведений как к менее серъезным проявлениям силы, которые нарушают принципы невмешательства, при этом не подпадая под действие Статьи 51. В дополнение, суд ссылался на декларацию Генеральной Ассамблеи ООН о дружественных отношениях, на конвенцию ОАГ по правам и обязанностям стран в случае гражданской войны, и другие авторитетные источники, содержащие в себе принципы невмешательства.
Кибербезопасность законным путём.
Что может быть сделано для защиты от покушений на принципы невмешательства? Какие меры возможно законно применить к ВКС, если международное право поднимает прочные барьеры и перед использованием кибероружия, и перед ответами на кибератаки с использованием силы? В общих чертах, международное право поддерживает урегулирование конфликтов в как экономической, так и коммуникационной сфер киберпостранства и содержит принудительные меры для законного ответа на любые компьютерные угрозы. Для кибератак будет законным тот же комплекс мер, которые законны против экономических нарушений и нарушений договоров о военном контроле. В экономической области ответы на нарушения имеют тенденцию называться "контрмерами". в области применения вооружённых сил они известны как "санкции".
Контрмеры – это принудительные меры по давлению, не включающие использование значительных вооруженных сил, доступных стране в одностороннем порядке в ответ на международный акт нарушения. Различные договоры по контролю за вооружениями, такие как договор о нераспространении ядерного оружия и конвенция о химическом оружии обеспечиваются полномочиями Совета по Безопасности. Следующий ряд заявлений содержит больше деталей о контрмерах и санкциях, хотя должно быть отмечено, что, несмотря на возможность использования таких альтернатив, как использование военных сил, однако, в случае защиты киберпространства для сохранения оного для экономических и коммуникативных целей, потребует защитные меры, а не наступательные. Хорошая кибербезопасность не может быть заменена просто контрмерами, не говоря уже о военных действиях.
Односторонние контрмеры в мирное время.
Литература по международному праву содержит мало информации по контрмерам, как и законных ответов на кибератаки. Вероятно, из-за того, что, как уже было обозначено, учёные-юристы в области кибербезопасности разделены на тех, кто является экспертом во внутригосударственных вопросах права, особенно по правам частной жизни и интеллектуальной собственности в интернете, и на тех, кто исследует международное право использования силы. Как было отмечено выше, существуют всего несколько основных авторов, изучающих компьютерную безопасность. И это не удивительно, что контрмеры упускаются из виду.
Тем не менее, контрмеры являются механизмами, через которые международное право допускает сторонам применять самозащиту, принудительное исполнение их прав. Самозащита играет большую роль в исполнении международного права, компенсируя отсутствие на международном уровне как централизованных полицейских сил, так и принудительных судов. Международный Суд в деле Габчиково – Нагимарос обозначил 4 элемента законных контрмер, которые указывают на отношение этого закона к компьютерным проблемам:
1. В первую очередь контрмеры базируются на прецедентах.
2. Страна, потерпевшая должна предъявить просьбу прекратить вмешательство (или совершить репарационные выплаты) стране, осуществляющей нарушение.
3. Результат контрмер должен быть соизмерим с нанесённым ущербом, учитывая правовую сторону дела.
4. Целью контрмер должно быть побуждение страны, нарушившей международный закон, соблюдать данные ею обязательства, следовательно, меры должны быть обратимыми.
Если страна стала жертвой кибервмешательства и имеет убедительные доказательства, что в этом виновно другое суверенное государство, жертва имеет право совершить нарушение против агрессора, соизмеримое с ущербом, нанесённым последним, и должно носить целью побуждение завершения первоначальной серии ущерба. В большинстве случаев компьютерных нарушений доказательство, что другое государство стоит за определённым актом нарушения, может быть представлено только после того, как акт нанесения ущерба уже совершён. Это показывает, что большая часть контрмер, касающихся компьютерных нарушений, будет нацелена на денежные репарации. Представители современного международного киберсообщества уже являются экспертами в вопросах оценки урона, причиняемого преступными компьютерными действиями. Таким образом, потерпевшее государство должно использовать ряд законных контрмер путём, похожим на действия стран, пострадавших от торгового ущерба или имеющих право применять контрмеры против страны-нарушителя в рамках ВТО.
Санкции Совета по Безопасности.
Если кибератаки угрожают безопасности государства, но не эквивалентны вооружённым нападениям, обозначенным Статьёй 51, также возможна просьба вмешаться Совету Безопасности ООН. Совет на протяжении десятилетий налагал санцкции в ряде различных ситуации. Он может совершать такие же действия и при серии серьёзных кибератак. Также необходим будет договор, определяющий правомерность и неправомерность определённых действий в интернете для того, чтобы сделать дело ясным и предупреждать возможности компьютерных нарушений.
Международное сообщество позаимствовало договоры из других сфер "двусторонних" взаимодействий, как, например, договор о нераспространении ядерного оружия и конвенция о химическом оружии. Оба договора стремятся положить конец любому использованию химического или ядерного оружия или обладанию им, и в то же время, содействуют легитимному невоенному использованию химикатов и атомной мощи. В случае с договором о нераспространении ядерного оружия и конвенции о химическом оружии, Совбез может быть вовлечён, если страны нарушают договор. Совет уже был вовлечён в деле с ядерным оружием Северной Кореи, несмотря на тот факт, что Корея вышла из договора о нераспространении ядерного оружия.
Россия продвигала договор, аналогичный конвенции о химическом оружии, дабы регулировать информационную сферу деятельности на протяжении многих лет. В речи 18 марта 2012 Владислав П. Шерстюк, заместитель Секретаря Совета Безопасности РФ, изложил основные российские принципы разоружения в киберпространстве. Россия предложила договор, по которому государству запрещалось секретное внедрение зловредных кодов или схем, которые могли бы быть активированы дистанционно после в случае войны.
Однако США противодействовало принятию такого предложения. Это может объясняться планами США использовать сеть для военных целей, как, считается, они уже проделали в случае с червём Стакснет. Официальные лица США публично заявляют, что Компьютерное Командование имеет в первую очередь оборонную функцию, но нежелание введения договора о кибервооружении ставит вопрос об истинной позиции США.
Помощь в применении закона, ограничивающего компьютерную войну.
Каковы бы ни были причины позиции, занятой США, разработка договора по разоружению и нахождению альтернатив военным силам для регулирования киберпространства является витальной, если интернет остаётся возможным для использования гражданским населением. В дополнение к установлению ясных правил для прав и обязанностей государств в интернете, договор может регулировать какие действия разрешено осуществлять простым индивидуумам. Договор может определить, какой тип активности всем странам нужно контролировать через национальные законы и принудительные органы и в сотрудничестве с какими международными и национальными органами. Моделью для такого когерентного договора уже может стать форма конвенции Будапешта о киберпреступлениях.
Хорошая кибергигиена.
Но контрмеры, санкции и даже принудительное исполнение закона не могут заменить настоящие меры по компьютерной и сетевой безопасности. Существенным шагом в поддержании хорошей компьютерной защиты будет практика и обучение каждого, кто законно использует интернет и заботится о безопасности. В этом отношении лучше всего подойдёт сравнение с профилактикой эпидемий, нежели с войной или преступлением. Интернет облегчил хакерам задачу дистанционно похищать информацию. В большей степени это связано с увеличением количества смартфонов.
Правительствам и организациям будет необходимо создавать стимулы для получения помощи от частных корпораций и для того, чтобы поддерживать и развивать международное сотрудничество, особенно через международные организации, такие как Международный Союз Телекоммуникаций (МСТ). Это должно быть сделано путём перемещения ресурсов из военного сектора в интернет-сектор, как частный коммерческий, так и международно-организационный. Лучшая практика в развитии культуры безопасности может быть эффективно принесена в интернет через холистский подход, который включает всех участвующих лиц, объединенных интересом в обеспечении доступа к безопасному интернету. МСТ является подходящей организацией для того, чтобы возглавить организацию безопасности в киберпространстве.
Таким образом, до сих пор проблема кибербезопасности изучалась учёными-юристами в области международного права, экспертов в вопросах военной силы. Они создали предпосылки для того, чтобы законно защитить интернет с помощью военных сил или угрозы применения военных сил по аналогии со стратегиями холодной войны. Государства приняли эту модель, вливая ресурсы в ВПК, чтобы сохранить интернет безопасным и иметь те преимущества, которые этот комплекс даёт для атаки оппонентов. Совершение таких действий требует отфильтрованных аналогий физических атак кибератакам.
Сейчас интернет менее безопасен, чем при Компьютерном Командовании или при натовском ОЦПКЗ. Так что настало время для компьютерного разоружения и фокусирования на мирной защите интернета. Девизом должно стать: лучшая киберзащита - это хорошая компьютерная защита.
