В феврале 2018 года генеральный секретарь ООН Антониу Гутерриш, перечисляя глобальные вызовы, выделил и опасность кибервойн. По его мнению, в отличие от того, как начинались войны в прошлом, следующая война может начаться с масштабной кибератаки, которая уничтожит военный потенциал и парализует инфраструктуру противника. Гутерриш призвал страны как можно скорее приступить к серьезному разговору на эту тему.
Внимание генерального секретаря ООН к конфликтам в киберпространстве зафиксировало серьезность этой проблемы. Однако если для кого-то предостережение главного международного чиновника и могло показаться чем-то новым, то для специалистов оно совсем не стало откровением. К тому моменту международная дискуссия о военно-политических аспектах информационной безопасности и выработке общих правил шла уже два десятка лет.
К 2018 году не только технические специалисты, но и дипломаты, военные, юристы, исследователи-международники и другие специалисты обладали широкими представлениями о том, какое значение информационно-коммуникационная среда (или киберпространство) может иметь для мировой политики и, в частности, конфликтов. Это понимание не было сугубо теоретическим, но основывалось на реальном опыте жизни в цифровую эпоху: начиная с первых относительно безобидных вирусов, год от года киберугрозы только усиливались по мере повсеместного внедрения новых технологий во все сферы экономики и общественной жизни. Государства уже не были чужаками в киберпространстве – количество свидетельств того, что военные и спецслужбы постепенно осознали преимущества использования новых возможностей и экспериментировали с ними, только росло. При этом международное сообщество потратило немало времени на переговоры в разных форматах и смогло договориться о первых сводах правил для киберпространства.
Эпизоды кибервойны между государствами уже существуют. Хуже всего то, что у нас нет правил регулирования этого вида войны, неясно, как к нему применяется Женевская конвенция или международное гуманитарное право
Антониу Гуттериш, генеральный секретарь ООН
Иными словами, международное сообщество, и особенно ведущие государства, вроде бы были неплохо подготовлены и могли найти что ответить на призыв Антониу Гутерриша.
Но в реальности и четыре с половиной года назад, и сегодня в сфере международной информационной безопасности по-прежнему много неопределенности и вопросов без однозначного ответа.
Начиная с того, что считать кибервойной, и до, возможно, наиболее важного: почему дипломатические усилия урегулировать или предотвратить ее пока не приносят успеха.
Необъявленные кибервойны
Если мы попытаемся определить, что такое кибервойна, то неизбежно столкнемся с двумя противоположными, но устойчивыми взглядами на это явление в публичном поле.
С одной стороны, часто встречается широкая трактовка кибервойны, охватывающая любые резонансные инциденты информационной безопасности, прежде всего если причастными к ним считаются государства. Так, одно из ранних упоминаний кибервойны относится к 1999 году, когда США в ходе бомбардировок Югославии подключили к операции и специалистов информационных операций[1]. На Западе первым примером кибервойны часто называют масштабные DDoS-атаки на госорганы и банки Эстонии в 2007 году на фоне протестов вокруг переноса из центра Таллинна «Бронзового солдата», памятника павшим в Великой Отечественной войне[2].
Годы 2010-е начались с расследования хорошо подготовленной атаки на иранский завод по обогащению урана в Натанзе с помощью червя, получившего название Stuxnet. Атакующим удалось вывести из строя около 1000 центрифуг[3]. Беспрецедентный случай нанесения физического ущерба государству с помощью вредоносного кода привлек внимание не только исследователей информационной безопасности, но и политиков – как подтверждение гипотетических сценариев и предвестник наступления новой угрозы.
Универсальных параметров для определения того, как кибератаки должны соотноситься с военными действиями в реальном мире, до сих пор нет, но здравый смысл подсказывает, что физический ущерб войдет в число таких критериев. В 2013 году группа юристов-международников под эгидой таллиннского Центра передового опыта по киберобороне (импульсом к созданию которого стали атаки 2007 года) пришла к заключению, что атака на завод в Натанзе, вероятно, представляла собой незаконное применение силы, – однако не определились, может ли она считаться вооруженным нападением[4].
Но термин «кибервойна» за прошедшее десятилетие использовался все чаще. В ноябре 2015 года хакеры Anonymous объявили кибервойну ИГИЛ*[5]. Позднее о кибервойне против террористической организации рассказали США[6] и их союзники: Австралия[7] и Великобритания[8] (британские чиновники объясняли развитие собственных сил угрозой кибервойны со стороны ИГИЛ*, включая намерение таким образом убивать людей[9]).
В самих США угроза кибервойны с 2016 года стала прочно ассоциироваться с Россией: скандал вокруг вмешательства в президентские выборы и последующие расследования сделали тему хакеров и кибератак частью широкой общественной дискуссии. Сенатор Джон Маккейн призывал рассматривать российское вмешательство как военные действия[10]. Рассуждения о кибервойне стали популярными в прессе[11], а в 2021 году накануне российско-американского саммита журналист NBC прямо спросил президента России Владимира Путина, ведет ли он кибервойну против США[12].
Год спустя, в мае 2022 года, в таких терминах говорил уже сам Путин. На фоне масштабных кибератак против российских организаций, не прекращающихся с начала военных действий на Украине, президент РФ заявил на заседании Совета безопасности: «По сути, против России развязана настоящая агрессия, война в информационном пространстве»[13].
С другой стороны, несмотря на эти и многие другие заявления о кибервойне, существует и совсем другая оценка. Согласно ей, ни один из произошедших инцидентов, ни одна из известных или подозреваемых операций государств не дотягивают до громкого определения кибервойны.
Этот более сдержанный или даже скептический тезис исходит, например, из того, что значительная часть активности в киберпространстве, которую называют кибервойной, производит больше шума, чем реальных последствий. Это прежде всего касается хактивистских и подражающих им групп – или так называемых «патриотических хакеров», кибервойна которых часто сводится в DDoS-атакам, взломам сайтов с целью дефейса и другим относительно несложным действиям. Если же речь идет об операциях государств, то они, как правило, сопровождают конвенциональную войну, которая является основным полем боя. Так, борьба американских военных хакеров с ИГИЛ* в киберпространстве проходила параллельно с кампанией руководимой США коалиции против террористов в Ираке и Сирии и носила лишь вспомогательную роль.
Следуя этой логике, все, что было опробовано государствами и другими игроками в части противоборства в киберпространстве, недостаточно серьезно, чтобы называться кибервойной.
Кибервойна или киберразведка?
Еще одно направление критики касается самой аналогии между действиями в киберпространстве и войной. Некоторые эксперты считают, что правильнее рассматривать кибероперации не как новый этап развития военного дела, а как эволюцию другой силовой составляющей государственного аппарата – разведки. В своей широко цитируемой статье 2011 года «Кибервойны не будет» исследователь Томас Рид обосновывает, что все политически мотивированные атаки по сути сводятся к трем разновидностям действий, которыми занимались спецслужбы: шпионажу, саботажу и подрывной работе[14]. И в реальном мире, и в киберпространстве подобные операции могут сопровождать военные действия, но могут осуществляться и отдельно от них.
Безусловно, точность терминов важна, прежде всего в контексте международного права – многолетние дискуссии об этом далеки от завершения. Но, как показывает даже краткий обзор, отсутствие общего определения кибервойны не мешает журналистам, политикам и исследователям прибегать к этому слову для обозначения реального явления – использования государствами и другими политически мотивированными игроками хакерского инструментария на международном уровне для решения своих задач.
Одна из причин, почему вокруг кибервойн столько неопределенности, в том, что государства очень неохотно, если вообще рассказывают о них и еще более неохотно берут ответственность за те или иные действия. Даже наиболее детально описанные атаки, вроде саботажа иранской ядерной программы, все еще остаются «бесхозными». По отчетам компаний по кибербезопасности, утечкам и журналистским расследованиям мы знаем, что за ней наверняка стояли спецслужбы США и Израиля, но официально о своей ответственности эти страны не заявляли. То же можно сказать о подавляющем количестве киберопераций за редким исключением. Например, США и их союзники более или менее открыто рассказывали о действиях своих киберподразделений против ИГИЛ*. Дональд Трамп в 2020 году похвастался тем, что санкционировал операцию Киберкомандования США против «фабрики троллей» в России в преддверии промежуточных выборов в Конгресс 2018 года[15]. А в 2022 году украинский премьер-министр Михаил Федоров отчитался об успехах украинской IT-армии – группы, созданной по его призыву в феврале, в первые дни военных действий на Украине[16].
О кибервойнах все говорят, но одновременно их как бы нет. Это переносит их в некую серую зону, с которой государства не спешат разбираться. Неудивительно, что в таких условиях плохо работают дипломатические способы разрешения противоречий.
Неработающие кибернормы
История выработки правил поведения государств в киберпространстве насчитывает два с половиной десятилетия. Одной из первых попыток, которая, вероятно, дала толчок всем последующим процессам – в том числе переговорам в ООН, которые упоминал в 2018 году Антониу Гутерриш, – стали неформальные консультации между российскими и американскими военными специалистами. По словам одного из участников, Джона Аркиллы, встреча произошла в 1996 году в Москве[17].
Это был период, когда государства еще слабо ориентировались в цифровой среде, а зарождавшееся в сети сообщество, наоборот, провозглашало отказ от национальных правительств. Именно в том году была опубликована Декларация независимости киберпространства Джона Барлоу с призывом к правительствам индустриального мира: «От имени будущего я прошу вас, у которых все в прошлом, – оставьте нас в покое».
В этом контексте обсуждение возможного режима контроля над кибервооружениями между Россией и США было дальновидным, но, по-видимому, преждевременным. Аркилла утверждает, что российская сторона была заинтересована обсуждать правила поведения для новой среды, однако в Пентагоне идея не нашла поддержки, поскольку американцы считали, что в этой области они сильно впереди[18]. Россия же, считает эксперт, взяла наработки за основу своего предложения в ООН.
Резолюция Генассамблеи 53/70 под заголовком «Достижения в сфере информатизации и телекоммуникаций в контексте международной безопасности», проект которой был внесен Россией в 1998 году, стала важной вехой для отечественной дипломатии, закрепив за ней роль инициатора нового (и, как оказалось, многолетнего) переговорного процесса. Но и для международного сообщества этот документ оказался знаковой отправной точкой. Одноименная резолюция принималась в Генассамблее ежегодно, отражая постепенное развитие представлений государств о киберугрозах в контексте международной безопасности. В 2004 году в рамках этого процесса была созвана первая Группа правительственных экспертов (ГПЭ) из 15 государств-членов для оценки угроз, поиска путей сотрудничества и укрепления информационных и телекоммуникационных систем. Работа той группы завершилась безуспешно, но последующие созывы аналогичных групп в расширяющемся составе привели к формированию основ ответственного поведения государств в киберпространстве. А в 2018 году с подачи России был запущен новый формат – Рабочая группа открытого состава (РГОС), который дал возможность приять участие в переговорах по вопросам международной информационной безопасности уже не только узкому кругу стран, но всем членам ООН.
ПРИЗЫВ К ПРАВИТЕЛЬСТВАМ ИНДУСТРИАЛЬНОГО МИРА
«От имени будущего я прошу вас, у которых все в прошлом, – оставьте нас в покое!»
Джон Барлоу, автор декларации независимости киберпространства
Конечно, ООН не была единственным местом для обсуждения правил для киберпространства, переговоры шли и на других уровнях: в рамках клубов вроде «Группы двадцати» и ОЭСР, региональных организаций (ШОС, АСЕАН, НАТО и др.), инициатив частного сектора – в одном исследовании насчитывается три с половиной десятка договоренностей, принятых с 2008 года[19]. Но уникальность подхода, выработанного в ООН[20], – консенсусное принятие и глобальный охват.
Этот подход включает 11 норм, правил и принципов ответственного поведения, которые в теории могли бы быть полезны для предотвращения и урегулирования конфликтов, разворачивающихся в киберпространстве. Так, согласно одной из норм в случае киберинцидентов государства должны изучить всю релевантную информацию для определения виновного – в том числе, они могут обратиться за разъяснениями к тому государству, чья инфраструктура могла использоваться для нанесения атаки. В идеале следование этой норме позволило бы избегать голословных обвинений и разрешать спорные ситуации.
Еще одна норма предписывает государствам заведомо не допускать, чтобы их территория использовалась «для совершения международно-противоправных деяний с использованием ИКТ». В перечне норм есть указание не совершать атаки против критической инфраструктуры друг друга, а также отвечать на запросы о помощи в случае, если у обратившегося государства произошел подобный инцидент. И так далее.
Внимательно изучив эти нормы, несложно переложить их на случаи из реального мира. Если Коста-Рика вводит чрезвычайное положение из-за атак вирусов-шифровальщиков на госорганы, она может обратиться за помощью к своим партнерам (США и Испания действительно оказали ей содействие[21]). Норма об ответственном раскрытии уязвимостей может быть реализована через соответствующее законодательство. Примеров, где применяются или могли бы применяться эти нормы, немало.
Однако в еще большем числе случаев эти нормы игнорируются. Государственные или окологосударственные хакеры продолжают искать бреши в критической инфраструктуре противника, что хорошо видно на примере ирано-израильского противостояния: в 2020 году кибератакам подверглась израильская система водоснабжения[22], а в 2021 году – иранские железные дороги[23] и система автозаправок[24]. Похожую динамику можно увидеть в конфликтах во многих уголках мира.
Вопреки норме об ответственном раскрытии уязвимостей неурегулированным остается рынок шпионского программного обеспечения, а в некоторых странах спрос на эксплойты уязвимостей нулевого дня обеспечивают прежде всего государственные органы. Нормы об обращении за помощью или информацией хорошо выглядят на бумаге, но на практике действуют только между дружественными странами.
К сожалению, неэффективность норм заложена в них изначально: в документах ООН они названы добровольными и не имеющими обязательной силы. А значит, их исполнение остается на усмотрение государств. Обычно такие нормы называют политически обязательными, что подразумевает некоторую степень ответственности государств. Однако стимулов к такому поведению тем меньше, чем меньше реальных примеров следования этим нормам. Получается порочный круг.
Еще одна причина, вероятно, носит бюрократический характер. Нормы согласуются прежде всего дипломатами. Конечно, за ними, особенно в больших странах, стоит межведомственный механизм. Но все же дипломатические договоренности, притом необязательные, не так просто транслируются на уровень практиков. Свидетельством того, что, например, военные не обязательно осведомлены о нормах, правилах и принципах ответственного поведения в киберпространстве, служит заявление одного американского военачальника об операциях в киберпространстве: «Мы сражаемся с врагом, которого нельзя увидеть [...] И мы ведем войну там, где не существует международных норм»[25].
Наконец, сам неопределенный характер кибервойн ставит под сомнение применимость к ним каких-либо норм. Если государства не признают, что ведут какие-то операции, то зачем им придерживаться ограничений? Конечно, отдельные проявления следования нормам в действиях государств или окологосударственных группировок можно обнаружить, например, сдержанность в плане нанесения физического ущерба, но однозначно сказать, чем это обусловлено и насколько устойчиво, нельзя.
Стоит ли ждать катастрофы?
Прогресс, достигнутый международным сообществом в выработке кибернорм, нельзя отрицать. По сравнению с периодом, когда переговоры только начинались и у многих стран было смутное представление о том, какие правовые, политические и военные вызовы возникают перед ними в новой среде, к настоящему времени всем членам ООН удалось прийти к общим правилам, которые должны соблюдаться на добровольной основе. По сути, основной, если не единственный прорыв последних десятилетий – это появление информационной безопасности в глобальной повестке.
С другой стороны, если не углубляться в детали дипломатических процессов, а задаться вопросом «удалось ли странам избежать превращения киберпространства в поле для противоборства?», – ответ вряд ли будет удовлетворительным. Общие правила поведения пока мало влияют на использование государствами и другими игроками ИКТ в конфликтах. Параллельно с выработкой норм примеры таких конфликтов только множились, а возможности для участия в них совершенствовались. Это в свою очередь наталкивает на весьма пессимистичные мысли.
В беседах с техническими специалистами по информационной безопасности, гораздо лучше знакомыми с киберугрозами, чем с мировой политикой вокруг них, часто можно услышать мрачные прогнозы. Если государства неспособны соблюдать согласованные правила и только повышают ставки, то, полагают они, по-настоящему что-то изменить сможет только серьезная катастрофа, спровоцированная действиями в киберпространстве.
Пока такие прогнозы напоминают предсказания Кассандры – они недостаточно воздействуют на политических лидеров, которые, видимо, считают риск продолжения противоборства в киберпространстве допустимым и контролируемым.
Если нам хочется увидеть в этом темном царстве лучи света, то можно отметить, что борьба с киберугрозами со стороны государств служит мощным стимулом для развития информационной безопасности. Однако обойтись только техническими решениями не получится. Как бы мы не понимали кибервойну, она имеет политические причины, а значит, должен продолжиться и поиск политических инструментов для ее усмирения.
*признана в РФ террористической организацией
Автор - Олег Шакиров, научный сотрудник Института актуальных международных проблем Дипломатической академии МИД России
©«Новый оборонный заказ. Стратегии»
№ 4 (75), 2022 г., Санкт-Петербург
[1] Brewin Bob. Kosovo ushered in cyberwar. FCW. 27.09.1999. https://fcw.com/1999/09/kosovo-ushered-in-cyberwar/244883/.
[2] Traynor Ian. Russia accused of unleashing cyberwar to disable Estonia. The Guardian. 17.05.2007. https://www.theguardian.com/world/2007/may/17/topstories3.russia
[3] Zetter Kim. An Unprecedented Look at Stuxnet, the World's First Digital Weapon. Wired. 03.11.2014. https://www.wired.com/2014/11/countdown-to-zero-day-stuxnet/.
[4] Zetter Kim. Legal Experts: Stuxnet Attack on Iran Was Illegal 'Act of Force'. Wired. 25.03.2013. https://www.wired.com/2013/03/stuxnet-act-of-force/.
[5] Cohen Paula. Anonymous hackers' group declares war on ISIS. CBS News. 16.11.2015. https://www.cbsnews.com/news/anonymous-hackers-declare-war-on-isis/.
[6] America's Cyber War Against ISIS. WNYC Studios. 07.04.2016. https://www.wnycstudios.org/podcasts/takeaway/segments/cyber-strategy-war-isis.
[7] Marshallsea Trevor. Australian official lifts lid on cyberwarfare. ABC News. 27.03.2019. https://abcnews.go.com/International/wireStory/australian-official-lifts-lid-cyberwarfare-61973106.
[8] Schneier Bruce. UK Admitting "Offensive Cyber" Against ISIS/Daesh. Schneier on Secuirty. 24.10.2016. https://www.schneier.com/blog/archives/2016/10/uk_admitting_of.html.
[9] Wright Oliver. Isis plotting cyber warfare to kill people in UK, claims George Osborne. Independent. 17.11.2015. https://www.independent.co.uk/news/uk/politics/paris-terror-attack-uk-government-to-invest-ps2bn-in-cyber-force-to-combat-online-terror-threats-a6737071.html.
[10] Schleifer Theodore, Walsh Deirdre. McCain: Russian cyberintrusions an 'act of war'. CNN. 31.12.2016. https://edition.cnn.com/2016/12/30/politics/mccain-cyber-hearing/index.html.
[11] Summers Timothy. What we know about how Russia combined cyberwar and infowar in 2016. Fast Company. 27.07.2018. https://www.fastcompany.com/90209667/what-we-know-about-how-russia-combined-cyberwar-and-infowar-in-2016.
[12] Интервью американской телекомпании NBC. Президент России. 14.06.2021. kremlin.ru/events/president/news/65861.
[13] Заседание Совета Безопасности. Президент России. 20.05.2022. kremlin.ru/events/president/news/68451.
[14] Thomas Rid (2012) Cyber War Will Not Take Place, Journal of Strategic Studies, 35:1, 5-32, DOI: 10.1080/01402390.2011.608939
[15] Thiessen Marc A. Trump confirms, in an interview, a U.S. cyberattack on Russia. Washington Post. 10.07.2020. https://www.washingtonpost.com/opinions/2020/07/10/trump-confirms-an-interview-us-cyberattack-russia/.
[16] Pascual Manuel G. Fedorov: “La propaganda rusa, como el poder de su ejército, está sobrevalorada”. El País. 27.04.2022. https://elpais.com/tecnologia/2022-04-27/fedorov-la-propaganda-rusa-como-el-poder-de-su-ejercito-esta-sobrevalorada.html.
[17] Markoff John, Kramer Andrew E. U.S. and Russia Differ on a Treaty for Cyberspace. New York Times. 27.06.2009. https://www.nytimes.com/2009/06/28/world/28cyber.html.
[18] Tiezzi Shannon. John Arquilla on the New Challenge of Cyberwarfare. The Diplomat. 14.09.2021. https://thediplomat.com/2021/09/john-arquilla-on-the-new-challenge-of-cyberwarfare/.
[19] The Use of Norms to foster Trust and Security. IGF Best Practice Forum Cybersecurity. 2021. https://www.intgovforum.org/en/filedepot_download/235/20623.
[20] Он зафиксирован в докладах ГПЭ 2010, 2013, 2015, 2021 годов и докладе РГОС 2021 года.
[21] Murray Christine, Srivastava Mehul. How Conti ransomware group crippled Costa Rica — then fell apart. Financial Times. 09.07.2022. https://www.ft.com/content/9895f997-5941-445c-9572-9cef66d130f5.
[22] Cyber attacks again hit Israel’s water system, shutting agricultural pumps. Times of Israel. 17.07.2020. https://www.timesofisrael.com/cyber-attacks-again-hit-israels-water-system-shutting-agricultural-pumps/.
[23] Bergman Ronen. Mysterious Hacker Group Suspected in July Cyberattack on Iranian Trains. New York Times. 14.08.2021. https://www.nytimes.com/2021/08/14/world/middleeast/iran-trains-cyberattack.html.
[24] Yee Vivian. Iranian Motorists Hit with Cyberattack at Filling Stations. New York Times. 26.10.2021. https://www.nytimes.com/2021/10/26/world/middleeast/iran-gas-station-hack.html.
[25] Schmitt Michael. Norm-Skepticism in Cyberspace? Counter-Factual and Counterproductive. Just Security. 28.02.2020. https://www.justsecurity.org/68892/norm-skepticism-in-cyberspace-counter-factual-and-counterproductive/.
