Новые средства нападения и проблемы международного гуманитарного права
Средства массовой информации в Российской Федерации и в других странах регулярно сообщают о кибератаках на сайты государственных и коммерческих структур. При этом, используя выражения «кибератака» и «кибервойна», разные люди, по-видимому, вкладывают в них разный смысл. В данном случае мы применяем термин «кибервойна» для обозначения средств и методов ведения войны, представляющих собой операции, которые осуществляются посредством или против компьютера или компьютерной сети через информационный поток, причем когда такие кибероперации ведутся в рамках вооруженного конфликта по смыслу международного гуманитарного права (МГП). Многие операции, называемые кибератаками, по сути, представляют собой незаконный сбор информации, например, промышленный шпионаж, и происходят вне рамок вооруженных конфликтов. Таким образом, они не подпадают под действие МГП. Российская Федерация использует понятие «кибервойны» и определяет его в своих официальных документах как часть более широкого понятия информационной войны.
Без права на защиту
Может показаться странным, что Международный комитет Красного Креста (МККК) интересуется таким явлением, как кибервойна. На самом деле МККК постоянно следит за развитием, использованием или возможностью использования в вооруженных конфликтах новых технологий, например, беспилотных летательных аппаратов и роботов. Он старается оценить реальные или потенциальные последствия их применения в гуманитарном плане, а также проанализировать, каким образом такое применение регулируется нормами МГП. В связи с применением к новым технологиям уже существующих правовых норм может также возникнуть вопрос, достаточно ли ясны эти нормы, если учитывать осбенности этих технологий и прогнозируемые последствия их использования в гуманитарном плане. С этой точки зрения новые технологии в телекоммуникационной сфере не являются исключением.
МККК особенно обеспокоен явлением кибервойны ввиду уязвимости киберсетей и последствий в гуманитарном плане, к которым могут привести кибератаки. Когда компьютеры или сети какого-либо государства подвергаются нападению, есть опасность того, что гражданское население может лишиться самого необходимого: питьевой воды, медицинской помощи и электричества. Когда выводятся из строя системы GPS, это также может привести к человеческим жертвам: например, если произойдут сбои в полетах спасательных вертолетов, от которых порой зависит выживание людей. Хотя военный потенциал киберпространства еще до конца понятен, представляется, что такие нападения на транспортные системы, электрические сети или даже на плотины или атомные электростанции технически возможны. Подобные нападения могут иметь далеко идущие последствия для благополучия, здоровья и жизни сотен тысяч людей. Таким образом, обязанность МККК напомнить, что в случае вооруженного конфликта необходимо постоянно принимать меры для того, чтобы не страдали гражданские лица и гражданские объекты. В самом деле, кибервойна подпадает под действие МГП так же, как любые новые виды оружия или методы ведения войны. В киберпространстве нет правового вакуума. Как и ряд других государств, Российская Федерация признала применимость МГП к кибервойне в нескольких документах, в частности, в «Основах государственной политики Российской Федерации в области международной информационной безопасности на период до 2020 года», подписанных президентом Путиным в июле 2013 года.
В том же 2013 году было опубликовано Таллинское руководство по международному праву, применимому к кибервойне. Несмотря на то что руководство было подготовлено по предложению Совместного центра передовых технологий в области кибернетической обороны НАТО, оно не является частью доктрины НАТО, но представляет собой не имеющий обязательного характера документ, составленный группой экспертов в личном качестве. МККК оказал содействие работе этой группы экспертов и в целом согласен с формулировкой норм, как они изложены в части руководства, посвященной праву кибернетических вооруженных конфликтов. Однако возможны исключения, когда, по мнению МККК, существующая норма МГП жестче или обеспечивает большую защиту, чем норма, изложенная в руководстве. Хотя Таллинское руководство имеет региональный, а не всемирный характер, МККК приветствует тот факт, что дискуссия на эту тему состоялась, и, конечно, надеется, что руководство будет полезным для дальнейшего обсуждения государствами этих непростых вопросов. В России высказывалось отрицательное мнение о Таллинском руководстве, поскольку оно как будто узаконивает кибервойну. Конечно, не для этого МККК участвовал как наблюдатель в работе составившей этот документ группы. Своим участием МККК стремился обеспечить отражение в руководстве той степени защиты, которую МГП предоставляет жертвам вооруженных конфликтов.
Еще несколько лет назад Российская Федерация представила в ООН «Правила поведения в области обеспечения международной информационной безопасности» и проект конвенции по тому же вопросу. В то время как эти документы значительно шире по своей сфере применения, чем МГП, МККК с удовлетворением отмечает то внимание, которое уже не первый год Российская Федерация уделяет данной проблематике. Хотя значение МГП, как основной отрасли права, которая может регулировать кибервойну, необходимо подтвердить, МККК не хотел бы исключать возможную необходимость дальнейшего развития права, что позволило бы ему в должной мере обеспечить защиту гражданского населения. Решение этого вопроса – дело государств.
Анонимный враг в условиях неопределенности
В чем же, по мнению МККК, состоят наиболее острые проблемы, которые кибервойна создает для применения МГП?
Во-первых, анонимность. В большинстве случаев бывает затруднительно, если вообще возможно, установить, кто виновен в кибератаке. Поскольку с точки зрения МГП установление ответственности государств и других участников вооруженных конфликтов является необходимым условием обеспечения правосудия, анонимность создает большие проблемы. Если нельзя установить, кто осуществил данную кибероперацию, чрезвычайно трудно определить, применимо ли к ней вообще МГП. Решение, по всей видимости, следует искать не только и не столько в юридической, сколько в технической сфере.
Во-вторых, можно ли считать, что кибероперации представляют собой такой уровень использования силы, который позволило бы применять к ним МГП? Несомненно, что ситуация может характеризоваться как вооруженный конфликт, когда кибероперации используются в сочетании с традиционным кинетическим оружием. Однако когда первым и, возможно, единственным враждебным действием является кибероперация, можно ли квалифицировать это как вооруженный конфликт по смыслу Женевских конвенций 1949 года и Дополнительных протоколов к ним? Хотя никто не взял на себя ответственность за такие операции, как «Стакснет» в 2010 году или кибератаки на банки или телевизионные станции в Сеуле в марте и июне 2013 года. Такие вопросы, несомненно, встали бы, если бы удалось установить, что эти операции совершены государствами. Нападение с использованием червя «Стакснет» привело к физическому повреждению иранской центрифуги, в то время как сеульские атаки 2013 года физических повреждений не вызвали. По мнению МККК, определить, применимо ли МГП к той или иной кибероперации в отсутствие каких-либо действий с использованием кинетического оружия, можно будет лишь на основании будущей практики государств по этому вопросу.
В-третьих, в тех ситуациях, когда применимо МГП, встает вопрос определения «кибератаки», чрезвычайно важного понятия для норм, регулирующих ведение военных действий, особенно в связи с принципами проведения различия, соразмерности и принятия мер предосторожности при нападении. Таллинское руководство определяет кибератаку, подпадающую под действие МГП, как «кибероперацию, будь то наступательную или оборонительную, которая, как можно с достаточным основанием ожидать, причинит ранение или смерть людям, либо ущерб объектам или приведет к разрушению последних». Однако сама суть вопроса заключается в деталях, а именно, что считается ущербом в кибермире. После напряженной дискуссии большинство экспертов согласились с тем, что потеря объектом функциональности также может представлять собой ущерб.
МККК считает, что если объект стал непригодным к использованию, не имеет значения, как именно был достигнут такой результат. Этот вопрос очень важен в практическом смысле, поскольку более ограничительное толкование понятия кибератаки может означать, что к таким операциям будет применимо меньшее число норм МГП и это будут менее конкретные нормы. Таким образом, например, кибероперация, приводящая к потере функциональности какой-либо гражданской сети, не будет подпадать под установленный МГП запрет на прямые нападения на гражданских лиц и гражданские объекты. В этом смысле хорошей иллюстрацией могут послужить произошедшие в марте 2013 года сеульские кибератаки, если допустить, что к ним было применимо МГП (что не установлено), поскольку несколько гражданских сетей были на какое-то время частично или полностью выведены из строя, но непосредственного физического ущерба, по всей видимости, причинено не было.
В-четвертых, речь идет о проблемах, которые создает для применения норм МГП, направленных на защиту гражданских лиц и объектов, такое явление как единство киберпространства. Есть только одно киберпространство, и одни и те же сети, маршруты и кабели используются как гражданскими, так и военными пользователями. Единство киберпространства может сделать невозможным проведение различия между военной и гражданской компьютерной сетью при кибератаке; если такая атака все же будет проведена, то будет нарушен запрет на нападения неизбирательного характера. Применение вредоносных программ, бесконтрольно самовоспроизводящихся и повреждающих гражданские киберсети, также запрещается. Кроме того, сторона в конфликте должна сделать все возможное, чтобы оценить вероятность причинения в ходе нападения побочного ущерба гражданским лицам и гражданским сетям или объектам, который был бы чрезмерным по отношению к непосредственному и конкретному военному преимуществу, и, если такая вероятность есть, воздержаться от нападения. Но можно ли в киберпространстве должным образом оценить такой побочный ущерб, включая косвенные последствия кибератаки?
Негуманное поведение
Это лишь краткий обзор данной темы. Есть много других серьезных проблем, таких как география киберконфликтов, применение права нейтральности и концепции суверенитета, определение кибероружия, а также вопрос о том, являются ли компьютерные данные объектом для норм, регулирующих ведение военных действий. Эти проблемы указывают на необходимость проявлять крайнюю осторожность при принятии решения о кибератаках и их осуществлении в ходе вооруженных конфликтов во избежание причинения вреда гражданским лицам и сетям. Эти проблемы также свидетельствуют о том, насколько важно, чтобы государства, разрабатывающие или приобретающие материальные средства для ведения кибервойны – как в наступательных, так и в оборонительных целях – оценивали их законность с точки зрения МГП, так же как в случае любых других новых видов оружия или методов ведения войны. Несомненно, только так можно гарантировать, что их вооруженные силы и другие государственные ведомства, которых это может касаться, смогут соблюдать обязательства этих стран по международному праву в случае использования киберпотенциала во время вооруженного конфликта. То обстоятельство, что все больше государств разрабатывают техническую базу для ведения кибервойны – как оборонительного, так и наступательного характера – только повышает актуальность этой темы.