Переговоры между Президентом России В. Путиным и Президентом США Дж. Байденом привлекли внимание экспертного сообщества во всем мире, в том числе и из сферы кибербезопасности. Предлагаем вашему вниманию перевод статьи Digital Watch, в которой представлен особый взгляд на итоги встречи в Женеве.
Отношения между США и Россией оставались напряженными на протяжении большей части прошлого века, а в последние годы появилась новая область для разногласий – киберпространство. От знаменитого взлома американских правительственных учреждений Moonlight Maze в 1996 году до последних атак на SolarWinds и Colonial Pipeline, киберотношения двух стран неуклонно ухудшались и продолжают ухудшаться.
Президент США Джо Байден и президент России Владимир Путин встретились в Женеве 16 июня, что стало важной вехой в отношениях между двумя странами.
Саммит между президентом США Джо Байденом и президентом России Владимиром Путиным состоялся почти через три года после саммита Путина и предыдущего президента США Дональда Трампа в Хельсинки.
Байден заявил перед встречей, что кибератаки России будут важной частью их разговора с Путиным. Напомним, что США обвинили российское правительство в попытках сорвать президентские выборы в США в 2016 году, а также к причастности к атаке на SolarWinds. Они также заявили, что российские группировки были виновны в кибератаке на Microsoft, атаке на Colonial Pipeline с использованием программы-вымогателя,кибератаке на Агентство США по международному развитию и кибератаке на JBS. Даже если Россия не является вдохновителем этих атак, то США считают, что именно российское правительство способно и должно прекратить эту волну кибератак против США.
Число кибератак в 21 веке возросло, в особенности, после 2010 года. Включение президентом США вопросов кибербезопасности в повестку саммита не является неожиданностью, так как только за несколько месяцев 2021 года, первого года президентства Байдена, на территории США произошло четыре крупных киберинцидента.
Главным прорывом Женевского саммита в области кибербезопасности стало объявление о начале консультаций экспертов по этой теме. Как отметил Байден, план состоит в том, чтобы «поручить экспертам» в обеих странах «работать над конкретным пониманием того, что запрещено делать, и следить за определенными случаями», которые исходят из России или США.
Байден предложил, что «на определенные объекты критической инфраструктуры должно просто быть запрещено совершать кибер- или иные атаки, и точка», и представил своему российскому коллеге список из 16 объектов США, которые относятся к критической инфраструктуры, такие как энергетические и водные системы.
Вероятно, что вопросы кибербезопасности будут включены в программу недавно объявленного двустороннего диалога по стратегической стабильности, «механизма, который приведет к контролю над новым, сложным оружием, которое сейчас незаметно появляется на рынке, сокращает время реагирования и повышает вероятность случайной войны». Однако после саммита это осталось непонятным.
Есть веские основания для оптимизма. «Киберразрядка» может стать возможным результатом. Слово «разрядка» широко применялось во время холодной войны для описания периода потепления в отношениях между Советским Союзом и Западом.
Повышение уровня сотрудничества на многостороннем уровне является одним из наиболее многообещающих аспектов. В сентябре 2020 года Россия проявила добрую волю, предложив меры, которые помогут обеим странам восстановить сотрудничество в области международной информационной безопасности. В последние месяцы администрация США также смягчила свою риторику в отношении России. В настоящее время обе страны сотрудничают в борьбе с кибератакой JBS.
Весной 2021 обе страны одобрили доклад Рабочей группы открытого состава (РГОС) ООН и доклад Группы правительственных экспертов (ГПЭ) ООН, которые сами по себе являются прорывами в многостороннем уровне.
Обе страны одобрили ряд других крупных многосторонних киберсоглашений, в том числе заключительные доклады ГПЭ и РГОС ООН, а также соглашения Организации по безопасности и сотрудничеству в Европе (ОБСЕ) о мерах укрепления доверия.
В 2013 году США и Россия вступили в диалог для понижения уровня опасности киберугроз. Соглашение предусматривало создание прямой «горячей линии по вопросам киберпространства» между Белым домом и Кремлем, оперативной связи между их группами быстрого реагирования на компьютерные инциденты (CERT) и двусторонней рабочей группой для расширения сотрудничества, связанного с соображениями национальной безопасности. Однако в 2014 году сотрудничество было заморожено из-за ситуации на Украине.
Встречи между официальными лицами США и России по кибербезопасности в Женеве в апреле 2016 года были посвящены работе ГПЭ ООН и мерам укрепления доверия ОБСЕ.
На саммите в Хельсинки в 2018 году Трамп и Путин снова выдвинули идею создания совместной рабочей группы США и России по кибербезопасности, но идея не нашла отклика, возможно, из-за предполагаемого вмешательства России в президентские выборы в США.
В сентябре 2020 года президент России предложил США восстановить сотрудничество в области международной информационной безопасности, в рамках которого предлагалось:
Однако ответа из Белого дома не последовало.
Администрация Байдена предприняла шаги по обновлению Национальной киберстратегии США, опубликовав в марте 2021 года Временное руководство по национальной безопасности. В документе говорится, что США находится в ситуации, когда «альянсы, институты, соглашения и нормы, лежащие в основе международного порядка, который Соединенные Штаты помогли установить, проходят проверку», и архитектура международного сотрудничества должна создаваться «вместе с союзниками и партнерами», в отличие от предыдущих киберстратегий. США также заявили о своем стремлении восстановить руководящую роль в многосторонних организациях.
Еще одним действием администрации США в этом году стало издание президентского указа о повышении кибербезопасности страны, являющегося прямым ответом на кибератаки. Этот перезидентский указ пересматривает национальную и федеральную систему кибербезопасности США путем:
Администрация Байдена в настоящее время повысила расследования атак с использованием программы-вымогателя до уровня террористических атак посредством Министерства юстиции США (DOJ).
Доктрина информационной безопасности Российской Федерации от 2016 года и Стратегия развития информационного общества в Российской Федерации на 2017-2030 годы показали российское видение того, что война включает в себя специально разработанное сочетание вооруженных нападений и невоенных мер. Кибераспект – это лишь часть многосферных усилий, используемых для формирования политического направления диспута и влияния на него.
Возвращаясь к саммиту Байдена и Путина в Женеве, также стоит отметить, что Россия и Иран подписали соглашение о сотрудничестве в области кибербезопасности в январе 2021 года о координации своей деятельности. Предположительно, это включает в себя обмен разведывательной информацией о кибердеятельности США, что создает проблемы для стратегии кибербезопасности США.
Кроме того, Россия в настоящее время обновила свою стратегию национальной безопасности для противодействия новым угрозам, которая предусматривает использование «силовых методов», где заявляется, что Москва может принять «симметричные или асимметричные меры для пресечения или предотвращения недружественных действий, угрожающих суверенитету и территориальной целостности Российской Федерации».
В приведенном ниже тексте кратко излагаются позиции США и России, основанные на обсуждениях в ООН.
Являются ли доклады ГПЭ за 2010, 2013, 2015 годы и соответствующие резолюции ООН обязательными и служат ли они основой для результатов РГОС?
Позиция США: Да.
Позиция России: Нет, ГПЭ и РГОС являются отдельными процессами
Как должен проходить институциональный диалог?
Позиция США: В рамках Программы действий (ПД)
Позиция России: В рамках новой РГОС 2021-2025
Какова роль ООН?
Позиция США: РГОС должна иметь четкий мандат для обсуждений
Позиция России: Дискуссии в целом должны проходить под эгидой ООН
Применяется ли действующее международное право к киберпространству?
Позиция США: Да, необходимо признать всю широту соответствующего международного права, включая международное гуманитарное право, законодательство в области прав человека, международное обычное право, касающееся ответственности государств за международно-противоправные деяния.
Позиция России: Да, но международное право нуждается в соответствующем обновлении под реалии киберцивилизации.
Применимо ли международное гуманитарное право к киберпространству?
Позиция США: Да; подтверждение его применимости не ведет к будущему конфликту, а, скорее, напоминает государствам об огромной ответственности уважать и защищать гражданских лиц в случае вооруженного конфликта.
Позиция России: Только в случае вооруженного конфликта.
Применяется ли международное гуманитарное право к киберпространству?
Позиция США: Никаких конкретных заявлений.
Позиция России: Нет, международное гуманитарное право и Ст. 51 Устава ООН не применяются в мирное время, большинство государств пока не признают кибератаки вооруженными нападениями.
Применяется ли законодательство в области прав человека к киберпространству?
Позиция США: Да, существует «необходимость признать всю широту соответствующего международного права, включая международное гуманитарное право, законодательство в области прав человека, международное обычное право, касающееся ответственности государств за международно-противоправные деяния».
Позиция России: За рамками ГПЭ/РГОС.
Как применяются другие необязательные нормы?
Позиция США: Необязательные нормы не готовы к кодификации.
Позиция России: Никаких заявлений.
Есть ли необходимость в новом юридически обязательном документе (договоре) по киберпространству?
Позиция США: Нет. «Соединенные Штаты Америки не считают необходимым новый международно-правовой документ. Мы также не считаем, что рассмотрение такого инструмента является лучшим способом устранения непосредственных угроз. [...] И мы также присоединяемся к мнению Республики Корея о том, что новые юридически связывающие обязательства являются нереалистичными, учитывая темпы технологического развития [...] мы не можем поддержать какие-либо формулировки, призывающие к новым юридически связывающим обязательствам. Это спорное предложение. Это, безусловно, не то мнение, которое когда-либо имело какую-либо поддержку в США. Несомненно, для нас это «тупик».
Позиция России: Да. «Мы исходим из предположения, что такие практические аспекты должны регулироваться специализированным универсальным международно-правовым документом, который предусматривал бы критерии применения существующих норм международного права к использованию ИКТ и прямо указывал бы на необходимость разработки новых норм. Настало время для таких шагов по регулированию использования ИКТ в условиях нынешнего фактического «правового вакуума».
Как можно определить идентификацию?
Позиция США: Закон об ответственности государств предусматривает приписывание деяний, в том числе кибератак, государствам. «Государства несут юридическую ответственность за деятельность, осуществляемую через предполагаемых частных субъектов, которые действуют по указанию государства, либо под его руководством или контролем. Если государство имеет достаточный контроль над предположительно частным лицом или группой лиц, совершающих международно-противоправное деяние, государство берет на себя ответственность за такое деяние, как если бы его совершили официальные представители самого государства. Такие правила призваны гарантировать, что государства не смогут прятаться за спинами якобы частных субъектов для совершения международно-противоправных деяний. (...) Также хочу отметить, что, несмотря на предложение некоторых государств об обратном, не существует международно-правового обязательства раскрывать доказательства, на которых основывается такая идентификация, до принятия соответствующих мер. Конечно, для этого может быть оказано политическое давление, и государства могут захотеть обнародовать такие доказательства, например, чтобы убедить другие государства присоединиться к ним в осуждении. Но это политический выбор – он не обусловлен международным правом».
Российская позиция: Через международные механизмы. «Мы должны избегать включения в текст концепции так называемой политической «идентификации» кибератак. Мы хотели бы подчеркнуть, что как доклад ГПЭ за 2015 год, так и первоначальный свод международных правил, норм и принципов поведения ответственных государств в информационном пространстве, одобренный подавляющим большинством государств Резолюцией Генеральной Ассамблеи ООН 73/27 в 2018 году, включают общее положение, в котором четко указывается на необходимость подкрепления любых обвинений в адрес государств соответствующими техническими доказательствами; все обвинения должны быть обоснованы».
«Хотя государства должны выполнять свои международные обязательства в отношении международно-противоправных деяний, приписываемых им, простого указания на то, что неправомерное поведение, связанное с ИКТ, происходит с определенной территории, само по себе не может быть достаточным для того, чтобы приписать деятельность такому государству. Обвинения в организации и осуществлении противоправных деяний, выдвинутые против государств, если они не подкреплены международно-приемлемыми доказательствами, могут усилить непонимание, повысить напряженность и потенциально привести к ответным мерам, противоречащим международному праву».
Существует ли право на самооборону и что представляет собой самооборона?
Позиция США: Да. Ответные меры/контрмеры. «Доктрина контрмер обычного международного права позволяет государству, которое является жертвой международно-противоправного деяния другого государства, принимать в такие меры против ответственного государства, которые в иных обстоятельствах были бы незаконными, с тем чтобы заставить такое государство выполнять свои международные обязательства, например обязательство прекратить свое международно-противоправное деяние. Таким образом, в качестве порогового значения доступность контрмер для борьбы со злонамеренной кибератакой требует предшествующее международно-противоправное деяние, которое может быть приписано другому государству. Как и в случае с любыми контрмерами, это создает вероятность потенциального привлечения государства, принимающего ответные меры, к ответственности за нарушение международного права, если выяснится, что на самом деле международно-противоправное деяние, которое вызвало право на принятие контрмер, отсутствовало, либо если государство, принимающее ответные меры, произвело неточную идентификацию. Это одна из причин, по которой не следует легкомысленно принимать контрмеры. Кроме того, в соответствии с законом о контрмерах, меры, принимаемые в ответ на международно-противоправное деяние, совершенное в киберпространстве или посредством киберпространства, которое может быть приписано государству, должны быть направлены только на государство, ответственное за противоправное деяние, и должны соответствовать принципам необходимости и соразмерности, включая требования о том, что контрмера должна быть разработана таким образом, чтобы заставить государство выполнить свои международные обязательства – например, обязательство прекратить свое международно-противоправное деяние – и должна прекратиться, как только государство-нарушитель начнет соблюдать соответствующие обязательства. Доктрина контрмер также, как правило, требует, чтобы пострадавшее государство призвало ответственное государство выполнить свои международные обязательства до того, как может быть принята контрмера – другими словами, доктрина, как правило, призывает к «предварительным требованиям». Достаточность предварительного требования должна оцениваться в каждом конкретном случае в свете особых обстоятельств рассматриваемой ситуации и цели требования, которая заключается в том, чтобы уведомить ответственное государство о требовании пострадавшего государства и дать ему возможность ответить. Контрмеры, принимаемые в ответ на международно-противоправную кибердеятельность, приписываемую государству, как правило, могут принимать форму контрмер на основе киберпространства или контрмер, не связанных с киберпространством. Это решение принимается по усмотрению государства, вводящего ответные меры, и будет зависеть от обстоятельств.»
Позиция России: Нет. Россия ставит под сомнение применение Статьи 51 Устава ООН к киберпространству. «Но никто не должен интерпретировать кибератаку как вооруженное нападение. Так что, следовательно, с юридической точки зрения статья 51 Устава ООН неприменима в случае ограбления банка или вмешательства в чужие избирательные кампании или если подвергается воздействию и нарушается работа больниц, как было в случаях кибератак».
Что такое кибератака и может ли она квалифицироваться как вооруженное нападение?
Позиция США: Это атака, направленная на использование киберпространства предприятием с целью нарушения, отключения, уничтожения или злонамеренного управления вычислительной средой/инфраструктурой; или нарушения целостности данных или кражи контролируемой информации. (источник: Национальный институт по стандартизации и технологии)
Позиция России: «Большинство государств пока не признают кибератаки как вооруженное нападение».
Что представляет собой суверенитет в киберпространстве?
Позиция США: Государства, осуществляющие деятельность в киберпространстве, должны учитывать суверенитет других государств, в том числе вне контекста вооруженного конфликта. Физическая инфраструктура, поддерживающая интернет и кибердеятельность, как правило, расположена на суверенной территории и находится под территориальной юрисдикцией государства. Из-за взаимосвязанного, взаимодействующего характера киберпространства операции, нацеленные на сетевые информационные инфраструктуры в одной стране, могут привести к последствиям в другой стране. Всякий раз, когда государство рассматривает возможность осуществления деятельности в киберпространстве, необходимо учитывать суверенитет других государств.
Позиция России: Конкретного заявления нет.
Существует ли обязательство уважать суверенитет других государств?
Позиция США: При определенных обстоятельствах несогласованная кибероперация одного государства на территории другого государства может нарушить международное право, даже если она недотягивает до порога применения силы. Это проблематичная область права, которая вызывает сложные вопросы. Сама конфигурация Интернета может привести к некоторому посягательству на другие суверенные юрисдикции. Когда именно несогласованная кибероперация нарушает суверенитет другого государства – вопрос, который юристы в правительстве США продолжают тщательно изучать, и в конечном итоге он будет решен с помощью практики и с точки зрения закона или необходимости государств.
Позиция России: Конкретного заявления нет.
Что представляет собой обязательство не вмешиваться во внутренние дела других государств?
Позиция США: На начальном этапе удаленные кибероперации с использованием компьютеров или других сетевых устройств, расположенных на территории другого государства, сами по себе не являются нарушением международного права. Другими словами, абсолютного запрета на такие операции с точки зрения международного права не существует. Это, пожалуй, наиболее очевидно в тех случаях, когда такая деятельность на территории другого государства не имеет последствий или имеет минимальные последствия. [...] При определенных обстоятельствах несогласованная кибероперация одного государства на территории другого государства может нарушить международное право, даже если она недотягивает до порога применения силы.
Позиция России: Конкретного заявления нет.
Необходимы ли конкретные рекомендации по мерам укрепления доверия (CBM)?
Позиция США: Да. «В отчете ГПЭ за 2015 год предлагается приоритетный набор мер кибербезопасности, включая ключевые рекомендации по разработке точек соприкосновения, механизмов консультаций и мер по обеспечению прозрачности. Однако, для того чтобы быть полезными, такие рекомендации должны выполняться, как минимум, на двусторонней основе и предпочтительно на многосторонней и, в конечном счете, на международной основе.»
Позиция России: Нет.
Следует ли привлекать региональные инициативы по наращиванию потенциала к наращиванию потенциала в области кибербезопасности?
Позиция США: Да. Наращивание потенциала на региональном и международном уровнях.
Позиция России: Нет. «Центральная роль ООН в обеспечении Международной информационной системы не ослабляется делегированием чрезмерных полномочий в этой области региональным органам и организациям. Навязывается роль модели с участием многих заинтересованных сторон, при этом особое внимание уделяется вкладу частного сектора, бизнеса и научных кругов в обеспечение ответственного поведения государств в информационном пространстве. В то же время в проекте игнорируются такие вопросы, как отсутствие регулирования деятельности частного сектора в области ИКТ, а также возникающая проблема монополизации этого рынка как одна из главных угроз развитию мирной и конкурентоспособной ИКТ-сферы».
В ходе обсуждений в рамках процессов ГПЭ и РГОС ООН становится ясно, что в большинстве случаев позиции США и России находятся на противоположных сторонах спектра.
Применимость международного права к киберпространству
В ходе обсуждений РГОС о применимости международного права США подтвердили, что международное право применяется к киберпространству; включая Устав ООН, международное гуманитарное право, законодательство в области прав человека, обычное международное право об ответственности государств за международно-противоправные деяния.
Хотя Россия согласна с США в том, что международное право применяется к киберпространству, она также утверждает, что его необходимо адаптировать. Россия воздерживается от обсуждения международного права в области прав человека и международного гуманитарного права, утверждая, что эти вопросы выходят за рамки обсуждений в рамках процессов ГПЭ и РГОС ООН.
Необходимость в новом юридически обязательном документе для регулирования киберпространства?
Россия утверждает, что киберпространство должно регулироваться специализированным универсальным международно-правовым документом, который предусматривал бы критерии применения действующих норм международного права к использованию информационно-коммуникационных технологий (ИКТ) и прямо указывал бы на необходимость разработки новых норм.
С другой стороны, США не считают, что использование такого документа является лучшим способом устранения непосредственных угроз, учитывая темпы технологического развития.
Кибератаки и Устав ООН
По мнению России, кибератака не приравнивается к вооруженному нападению в соответствии со статьей 51 Устава ООН и, следовательно, не может привести к реализации права на самооборону. Это контрастирует с позицией США, которые верят в доктрину контрмер и реторсии.
Куда следует относить кибератаки?
Что касается атрибуции кибератак, то США рассматривают разглашение доказательств как политический выбор на национальном уровне, в то время как Россия призывает к созданию международного механизма для идентификации и требует, чтобы он был подкреплен международно-приемлемыми доказательствами.
Кроме того, в то время как США решительно заявляли о принципах государственного суверенитета в киберпространстве, обязательствах уважать суверенитет и невмешательстве, Россия не высказала своих взглядов по этим вопросам на форумах ООН.
Источник: https://dig.watch/trends/cyber-detente
Обсерватория «DigWatch» - это независимая платформа, на которой размещаются обзоры последних событий, а также информация об акторах и инструментах цифровой политики. Обсерватория входит в «Женевскую Интернет-платформу» - инициативу правительства Швейцарии, реализуемую авторитетным международным фондом DiploFoundation под руководством Йована Курбалийя.
Любая деятельность, направленная на нарушение суверенитета и территориальной целостности России, неприемлема. ...
Директор АНО «Центр глобальной ИТ-кооперации» Вадим Глущенко рассказал, как правительство помогает бизнесу пер...