Эксперт ЦПУР Олег Шакиров — новых международных договоренностях по кибербезопасности
«Коммерсантъ» от 11.06.2021, 18:32
Кибербезопасность может стать одной из ключевых тем предстоящего саммита президентов России и США Владимира Путина и Джо Байдена. На протяжении пяти лет обвинения во взломах — в числе главных раздражителей между Москвой и Вашингтоном, двусторонние переговоры по этой тематике заморожены, а информационная среда все чаще воспринимается как поле для конфронтации. На этом фоне почти незамеченным остался редкий пример успешного сотрудничества российских и американских дипломатов: при их активном участии в ООН был недавно принят доклад о правилах поведения государств в киберпространстве.
Доклад стал результатом работы Группы правительственных экспертов (ГПЭ) — специального формата для переговоров по вопросам использования информационно-коммуникационных технологий в контексте международной безопасности.
Достижение консенсуса экспертами, представляющими Россию, США, Китай, Индию, Великобританию и ещё 20 стран, само по себе можно считать успехом, на который многие наблюдатели не рассчитывали. ГПЭ была запущена в конце 2018 года одновременно с другим переговорным форматом — Рабочей группой открытого состава (РГОС). Создание двух параллельных треков на тот момент было беспрецедентным событием: с середины 2000-х государства небольшими группами (от 15 до 25 экспертов) вели дискуссии о кибербезопасности в рамках предыдущих созывов ГПЭ.
Теперь же подходы разделились: США выступали за продолжение переговоров в узком кругу, Россия инициировала новый формат — РГОС, открытый для всех членов ООН и других заинтересованных сторон. Сторонники обоих подходов голосовали против проекта оппонентов, но многие страны проголосовали и за ГПЭ, и за РГОС, благодаря чему оба формата начали работу.
Несмотря на острую конкуренцию между Россией и США на этапе утверждения, породившую опасения за жизнеспособность киберповестки в ООН в целом, обе страны конструктивно включились в процессы, против которых поначалу голосовали. В итоге принятием консенсусных докладов завершилась сначала работа РГОС, а затем и ГПЭ.
Вклад двух групп в глобальную дискуссию о кибербезопасности носит разный характер: Рабочая группа открытого состава расширяет ее, а Группа правительственных экспертов — углубляет.
Главная заслуга РГОС, как это и задумывалось,— в подключении к переговорам всех членов ООН.
Те нормы и представления, которые ранее были выработаны небольшим числом стран, например о применимости международного права к киберпространству, были вынесены на широкое обсуждение и в конечном счете подтверждены всеми государствами.
В рамках РГОС также удалось впервые обеспечить подключение к переговорам представителей частного сектора, исследовательских и некоммерческих организаций. Этот опыт оказался востребованным, и Генассамблея продлила работу группы на следующие пять лет.
Но в содержательном плане дискуссию продвигает вперед именно новый доклад ГПЭ. Участники этой группы тоже опирались на достижения предыдущих этапов переговоров (прежде всего на доклады ГПЭ 2010, 2013 и 2015 годов), но не просто переподтверждали, а детализировали договоренности таким образом, чтобы прояснить, как должно выглядеть их практическое исполнение. Этот на первый взгляд несложный путь потребовал от переговорщиков не только профессиональных навыков, но и готовности к компромиссам: Мишель Маркофф, и.о. координатора по кибервопросам в Госдепартаменте и эксперт от США в ГПЭ, в Twitter в личном качестве отметила усилия Владимира Шина из МИДа России и Ванг Лей из МИДа Китая. «Они помогли нам подняться над нашими разногласиями»,— написала госпожа Маркофф.
Дополнительный уровень интерпретации, по сути, превращает документ в практическое руководство для государств. Так, если в 2015 году эксперты согласовали 11 норм для киберпространства в виде конкретных, но кратких, длиной в одно предложение пунктов, то новый доклад ГПЭ разворачивает каждую из них на несколько параграфов. В них поясняется, что означает норма и какие действия способствуют ее имплементации.
Например, согласно докладу, норма о необходимости учета всей релевантной информации при атрибуции киберинцидентов (то есть установлении ответственности) предполагает, что жертва кибератаки должна консультироваться со страной, с территории которой предположительно была осуществлена атака, и учитывать результат консультаций наряду с другими сведениями. Уточняется, что в случае, если государство установило ответственность другой страны и хочет ответить на вредоносную деятельность, такой ответ должен соответствовать Уставу ООН и другим нормам международного права, а также иметь в виду дипломатические, правовые и консультативные варианты, иными словами — невоенные способы.
Норма о том, что государства не должны позволять использовать свою территорию для проведения международных кибератак, означает, что они будут прилагать все уместные шаги, чтобы разрешить ситуацию.
Здесь же предусмотрен порядок уведомлений одним государством другого, а также уточняется, что нахождение источника атаки на территории страны само по себе не означает его ответственность.
В докладе очерчен круг секторов, которые могут относиться к критической инфраструктуре — прежде такой конкретизации в докладах ООН не приводилось, поскольку государства используют разные подходы для категоризации таких систем. Теперь в качестве критической инфраструктуры однозначно выделен сектор здравоохранения, значимость которого подчеркнула пандемия. Другими примерами названы энергетика, водоснабжение и санитария, образование, коммерческие и финансовые услуги, транспорт, телекоммуникации и электоральные процессы. Но этот список не исчерпывающий. Государства не должны проводить или поддерживать кибератаки, которые могут нанести ущерб или нарушить работоспособность критической инфраструктуры. В развитие еще одной нормы в докладе предложен порядок направления и обработки запросов об оказании помощи государству, критическая инфраструктура которого подвергается кибератакам.
Это лишь некоторые предложения ГПЭ. Аналогичным образом эксперты добавили пояснения для норм более технического характера (защита цепочек поставок, раскрытие уязвимостей), вопросов, связанных с международным правом (здесь уточняется, что государства не должны вмешиваться во внутренние дела других государств с использованием информационно-коммуникационных технологий), мер укрепления доверия, положений о помощи для наращивания потенциала в сфере кибербезопасности, а также перспектив продолжения переговоров в ООН.
Совокупно рекомендации носят настолько комплексный характер, что целиком им вряд ли соответствует хоть одно государство.
Конфликты с участием военных хакеров разворачиваются совсем не по тем правилам, о которых договорились в ООН кибердипломаты.
Но хотя доклад ГПЭ не подкреплен юридической силой, он задает образец ответственного поведения в киберпространстве, на который страны, по идее, должны ориентироваться как во внутренней, так и во внешней политике. Главным испытанием для этих договоренностей будет то, насколько им будут следовать ведущие державы.
Если попробовать перенести рекомендации доклада на российско-американские отношения, то они теоретически могли бы быть полезны для решения актуальных проблем. По словам главы МИДа РФ Сергея Лаврова, после инаугурации президента США Джо Байдена российская сторона напомнила Белому дому о прошлогоднем предложении Владимира Путина восстановить двустороннее сотрудничество по кибервопросам. При 45-м президенте США Дональде Трампе такой диалог не велся, несмотря на неоднократные призывы со стороны Москвы. Соответствующие пункты о важности сотрудничества и поддержания диалога можно найти в разделе доклада о мерах укрепления доверия.
В Вашингтоне к этой теме подходят с другой стороны: после майского инцидента, когда компания Colonial Pipeline на шесть дней отключила крупнейший в стране топливный трубопровод из-за атаки вирус-шифровальщика, Джо Байден заявил, что рассчитывает обсудить с Владимиром Путиным некие стандарты действий государств в случае, если с их территории совершаются киберпреступления. Доклад ГПЭ не только содержит подходящую норму, но и предлагает порядок взаимодействия государств как раз в случае атак на жизненно важные системы.
Наивно рассчитывать, что при нынешнем недоверии между Россией и США доклад ГПЭ радикально изменит их позиции по кибервопросам. Но даже отдельные шаги в направлении, предложенном экспертами, в том числе дипломатами обеих стран, позволили бы улучшить двусторонние отношения.