Кибератаки - противоправное использование цифровых технологий

Введение

Информационная безопасность определяется как состояние защищенности национальных интересов Российской Федерации в информационной сфере, состоящей из совокупности сбалансированных интересов личности, общества и государства, от внутренних и внешних угроз ^{[14, c. 91]}. В Стратегии национальной безопасности РФ ^[8] (п. 22) указано на то, что появляются новые формы противоправной деятельности, связанные с тспользованием информационных, коммуникационных и высоких технологий. Одной из форм такой противоправной деятельности являются так называемые кибератаки – хакерские нападения по информационные системы ^{[15, с. 11]}.

Первые сообщения о кибератаках появились еще в конце 1980-х гг., и c тех пор становятся все более разнообразными и разнонаправленными: они развиваются вместе с быстрыми технологическими изменениями, включая сам Интернет.

За первой атакой на сети НАСА с помощью червя WANK в 1989 г. последовали случаи, гораздо более масштабные по своим последствиям. Это, например, атака на веб-сайты французского правительства с помощью «netstrike» сети Testranonetwork в 1995 г.; ряд атак на правительственные сети в Мексике и США, направленные на поддержку мексиканских сапатистов в 1998 г.; «взрывы электронной почты Черных тигров в Интернете», направленные против посольства Шри-Ланки ^{[17, p. 13–15]}. Названные инциденты были ограничены по масштабу и интенсивности. Ни одно из этих нападений не было совершено каким-либо правительством, не составляло конфликт на межгосударственном уровне. Преступниками были в основном отдельные лица или небольшие группы, действовавшие независимо, предположительно без чьего-либо руководства или контроля. Их цель состояла в том, чтобы привлечь к себе внимание в связи со своими политическими, социальными или экономическими целями.

Первыми кибероперациями, которые следует рассматривать как операции военного характера, были те, которые возникли в эпоху Косово ^{[13, c. 42-43]}, связанные с конфликтами, проводимыми негосударственными субъектами, так называемыми «патриотическими хакерами», которые, однако, действовали если не под прикрытием, то, безусловно, под контролем соответствующих национальных правительственных учреждений. Этот ряд конфликтов был охарактеризован как первая война в Интернете, в знак признания не только кибератак, но и роли, которую играет Интернет, особенно в распространении информации о возникшем конфликте.

Кибердиверсия в отношении ядерной программы Ирана в 2010 г., атака против New York Stock Exchange (Нью-Йоркской фондовой биржи) в 2012 г. ^[21], а также против Южной Кореи, когда была парализована почти треть банковской системы страны ^[22], четко демонстрируют, что киберугрозы становятся все более тревожным явлением. Но следует ли рассматривать кибероперации такого рода как нечто новое, требующее разработки новых правовых инструментов на международном уровне, или к ним можно подходить с использованием действующих традиционных норм международного права ^{[9, c. 144]} ?

Россия, Китай и некоторые другие страны выступают за международный договор, аналогичный тому, который был принят по запрещению химического оружия, и настаивают на аналогичном подходе к регулированию киберпространства ^{[12, c. 25]}. Однако США и ЕС неоднократно отвергали такие предложения, утверждая о необходимости обновления норм международного права так, чтобы они могли надлежащим образом решать эти вопросы ^{[20, p. 187-209]}.

Важную роль информационной безопасности, бесспорно, осознают и страны, входящие в Европейский Союз ^{[16, c. 9]}. Позиция Евросоюза по этому вопросу выражена в Стратегии кибербезопасности: «Правовые обязательства, закрепленные в Международном пакте о гражданских и политических правах, Европейской конвенции о правах человека и других основополагающих документах, также должны соблюдаться в Интернете, презюмируя, что если вооруженные конфликты распространятся на киберпространство, международное гуманитарное право и, соответственно, нормы о правах человека, будут применяться, как и прежде» ^[1].

Примерно такую же позицию заняла и Международная группа экспертов, созванная по инициативе Центра по сотрудничеству в области кибербезопасности НАТО для создания фундаментального труда, названного Таллинским справочником, или Таллинским руководством (Tallinn Manual). Эксперты отвергли характеристику киберпространства как отдельной сферы регулирования, требующей новой институциональной структуры, и пришли к единодушному выводу, что общие принципы международного права должны также применяться и к киберпространству.

Современное международное право применительно к киберпространству

Первым документом, регулирующим киберпространство, была Конвенция о преступности в сфере компьютерной информации ^[6]. Это рамочный документ, другим он и не мог быть. Конвенция принята в 2001 г., и ее содержание сводилось к обязательству обмена информацией. Для нас важно, что угрозой, возникающей из киберпространства, в Конвенции названы покушения на конфиденциальность, целостность и доступность компьютерных данных и систем. В качестве преступников здесь выступали частные лица, но не государства. Конвенция стала основой для гармонизации государствами-членами их соответствующих национальных законов.

Некоторые шаги были приняты в рамках Европейского Союза ^[3]. Была принята директива, которая создала рамочную основу для идентификации критических инфраструктур в секторах энергетики, транспорта и связи; эта директива стала первым шагом на пути к принятию общей стратегии защиты в борьбе с терроризмом. Ясно, что содержание директивы было очень узким. Последующие действия ЕС были вызваны тем, что «кибератаки достигли беспрецедентного уровня сложности. Простые эксперименты теперь превращаются в изощренную деятельность, осуществляемую с целью получения прибыли или по политическим соображениям», как признано в Сообщении 2009 г. ^[2]. В этом документе подчеркивалась необходимость скоординированных коллективных действий.

В феврале 2013 г. Европейская комиссия, совместно с Высоким представителем Союза по иностранным делам и политике безопасности, представили предложение о стратегии кибербезопасности ^[4]. В Стратегии изложено общее видение проблемы, и, помимо обеспечения кибербезопасности, она является основой для принятия общей правовой базы, касающейся кибератак, их общего воздействия и потенциальных способов их устранения.

В совместном документе Европейского парламента и Европейского совета ^[5] дано направление на создание общей институциональной основы для максимального учета составных элементов уголовных преступлений, связанных с атаками на информационные системы, и направлено на улучшение сотрудничества между компетентными органами и учреждениями для эффективной борьбы с киберпреступностью. Для этого государства-члены должны принять соответствующие меры для повышения надежности своих информационных систем, с тем чтобы они были более эффективно защищены от киберпреступности.

Директива 2013/40/ЕС ^[5] направлена на гармонизацию криминализации конкретных видов деятельности (таких как незаконный доступ к информационным системам, незаконная система и вмешательство в данные) и не касается предотвращения рисков и инцидентов, связанных с НИС, ответных действий и устранения их последствий. Ее конечная цель – предложить широкому кругу государств меры по созданию безопасного информационного общества и зоны свободы, безопасности и правосудия. Позже, в ходе саммита НАТО в Уэльсе 5 сентября 2014 г., главы государств и правительств стран-членов Североатлантического альянса одобрили программу киберзащиты, в которой было признано, что международное право (включая гуманитарное право и Устав ООН ^[7]) также применяется к киберпространству. Признавая сложный и потенциально угрожающий характер кибератак для евроатлантического процветания, безопасности и стабильности, а также тот факт, что их последствия могут быть столь же вредными для современного общества, как и атаки с применением обычного вооружения, Североатлантический альянс решил включить кибератаки в основную задачу НАТО по коллективной обороне.

Другими словами, учитывая право Североатлантического союза принимать все необходимые меры (включая применение вооруженной силы) для восстановления международного мира и безопасности, было решено, что Совет безопасности сможет в каждом конкретном случае принимать решение о том, приведет ли кибератака или нет к применению ст. 5 ^[7], с тем, чтобы были приняты соответствующие меры. Кроме того, было заявлено, что Альянс привержен дальнейшему развитию национальных возможностей киберзащиты путем укрепления национальных сетей кибербезопасности, которые являются основой для выполнения задач НАТО и повышения устойчивости и защиты Альянса.

Оценка кибератак с юридической точки зрения

Прежде всего, встает вопрос о классификации кибератаки как случая применения силы или как вооруженного нападения. Сложность применения традиционных норм международного гуманитарного права для классификации кибератак обусловлена рядом факторов. Наиболее важным из них является практически полная невозможность должным образом оценить последствия кибератаки и установить личность или политические мотивы причинителя вреда.

Обратимся к результату труда международной группы экспертов – книге «Справочник по применению международного права к кибервойне» ^[18]. Это не юридический документ, но важное консультативное, наиболее полное издание относительно использования норм международного права (jus ad bellum и jus in bello) для толкования проблем кибервойны. К сожалению, ясных ответов в этом издании мы не найдем, так что пока не ясно, в каких случаях кибератаки являются актом «угрозы силой или ее применения», чтобы можно было правомерно применить запрет, содержащийся в п. 4 ст. 2 Устава ООН ^[7].В п. 4 ст. 2 Устава сказано: «Все Члены Организации Объединенных Наций воздерживаются в их международных отношениях от угрозы силой или ее применения как против территориальной неприкосновенности или политической независимости любого государства, так и каким-либо другим образом, несовместимым с Целями Объединенных Наций»^[7]; не ясно также, в каких случаях эти акты могут рассматриваться как агрессия или вооруженное нападение, дающие государству-члену ООН законное право на самооборону в соответствии со ст. 51 Устава ООН, где чётко прописано: «Настоящий Устав ни в коей мере не затрагивает неотъемлемого права на индивидуальную или коллективную самооборону, если произойдет вооруженное нападение на Члена Организации, до тех пор, пока Совет Безопасности не примет мер. Необходимых для поддержания международного мира и безопасности» ^[7].

Сами по себе термины «применение силы» или «вооруженное нападение» не имеют точного определения в международном праве, а в Таллинском справочнике к тому же предложено следующее определение: «кибероперация предполагает применение силы, когда ее масштабы и последствия сопоставимы с не-кибероперациями, достигающими уровня силы» (Правило 10), что совсем не проясняет ситуацию. В литературе это правило толкуется в том смысле, что имеются в виду кибернападения, которые могут привести к смерти или причинению вреда людям или материальному имуществу ^[19]. Это значит, что Таллинский справочник ставит во главу угла оценку результатов кибератак, а не само это действие. Однако это ставит под сомнение квалификацию таких атак, которые не приводят к смерти, травмам или физическому ущербу напрямую, а скорее косвенно. Как следует охарактеризовать эти действия? Большинство специалистов в области международного права считают, что ст. 2 (4) ^[7] может быть использована для охвата практически любого вида «применения силы», которое не одобрено Уставом, поскольку фраза «каким-либо другим образом» может обозначать любые меры, включая кибератаки.

Основываясь, очевидно, на той же логике и в соответствии со ст. 51 Устава ООН ^[7], Правило 13 Таллинского справочника гласит, что: «В качестве меры, направленной на то, чтобы предотвратить операцию, которая может привести к вооруженному нападению, может быть осуществлено его неотъемлемое право на самооборону. Является ли кибероперация вооруженной атакой зависит от ее масштаба и последствий».

Однако в данном случае также не ясно, в каких случаях кибератаки «соответствуют масштабам», чтобы их можно было классифицировать и рассматривать как «вооруженное нападение», позволяя одному государству реагировать, осуществляя свое законное право на самооборону в соответствии со ст. 51 Устава ООН ^[7].

Таким образом, можно понять, что как в Правиле 11, так и в Правиле 13 Таллиннского справочника, термин «масштаб и последствия» является сокращенным термином, который относится к количественным и качественным критериям, которые должны быть проанализированы для того, чтобы можно было определить, квалифицируется ли кибероперация как «применение силы» или «вооруженное нападение».

С юридической точки зрения, на наш взгляд, неясно, как характеризовать и оценивать кибератаки, особенно в случае такого применения силы, последствия которого не сразу очевидны.

Видимо, необходима разработка целой системы оценок, позволяющих провести параллель между обычными операциями, которые можно охарактеризовать как применение силы, и соответствующими кибероперациями, которые соответствуют обычным операциям своим масштабом и последствиями. Можно предложить следующие критерии: серьезность (серьезность атак), непосредственное воздействие (то есть незамедлительное проявление последствий), наличие причинно-следственной связи между кибератакой и ее последствиями, агрессивность (степень вмешательства кибератаки в действие соответствующей компьютерной системы), военный характер кибероперации, степень участия государства и отсутствие прямого запрещения соответствующей атаки международным правом.

Тем не менее, следует иметь в виду, что эти факторы не могут рассматриваться в качестве формальных юридических критериев. Признавая отсутствие нормативной основы для оценки концепции «применения силы» в киберпространстве, эти факторы можно было бы использовать в областях, где существует неопределенность или несогласованность в юридическом регулировании.

Отдельные специфические сложности борьбы с кибератаками

Применение норм международного права к киберпространству осложняется еще некоторыми важными факторами, прежде всего, неопределенностью в юрисдикции.Открытая архитектура Интернета, которая позволяет миллиардам пользователей по всему миру взаимодействовать друг с другом и с большим количеством услуг, предлагаемых на глобальной основе (серверами/интернет-провайдерами, которые могут находиться на другой стороне планеты), усложняет проблему юрисдикции в отношении преступлений, совершаемых в киберпространстве ^{[10; 11]}. Основной и наиболее распространенный принцип определения юрисдикции – это территориальный принцип, который означает, что государство имеет право на защиту от преступных деяний, которые совершаются в пределах его границ. Однако Интернет-среда отличается тем, что доказательства необходимо собирать онлайн, то есть в компьютерных системах, находящихся на иностранной территории. В принципе, международное право не допускает экстерриториальной юрисдикции для сбора доказательственных материалов. В таких случаях необходимо обратиться к заинтересованному государству с просьбой оказать взаимную помощь в обеспечении необходимыми материалами.

Следующим осложняющим фактором является вероятность того, что кибероперации проводят агенты государства, так что к ответственности могут быть привлечены сами государства. Пока не существует официального документа (соглашения или договора), указывающего на судебный механизм, который будет использоваться в тех случаях, когда государство стоит за кибератакой. По сути, участник кибератаки не несет никаких последствий за свои действия. В связи с этим приведем в пример Правило 2 Таллиннского справочника, в котором говорится: «Без ущерба для применимых международных обязательств государство может осуществлять свою юрисдикцию: в отношении лиц, занимающихся кибердеятельностью на его территории; в отношении кибер-инфраструктуры, расположенной на его территории; и экстерриториально, в соответствии с международным правом».

Впрочем, использование ИКТ позволяет злоумышленнику, используя преимущества множества интернет-сервисов или существующих облачных сервисов, скрывать свою территориальную (а также физическую) личность путем создания повторений и динамического перемещения данных, а также путем подмены географических координат вычислительных устройств.

Более того, всегда существует возможность того, что ИТ-устройство и/или система станут инструментом кибератаки без ведома пользователя/владельца. В этом случае устройство может превратиться в зомби-устройство (путем установки на него специального программного обеспечения) и участвовать в кибератаках, в то время как его пользователь полностью не осознает этого факта. Таким образом, в то время как ведущими действующими лицами обычно являются субъекты государства, деятельность негосударственных субъектов, в том числе киберпреступников и террористических групп, создает путаницу и неправильное представление о реальных «игроках» кибервойны.

По сути, конфликты в киберпространстве допускают сочетание преступлений, шпионажа и военных действий таким образом, что часто бывает довольно трудно – если не невозможно – их различить.

Вероятно, наиболее важной проблемой, возникающей в связи с кибероперациями, и тем, как они разрабатываются, является техническая сложность определения злоумышленников и позитивной идентификации ключевого участника киберопераций, что приводит, таким образом, к серьезным сложностям в решении проблемы атрибуции. Это происходит из-за того, что процесс декодирования и идентификации местоположения системы, которая привела к атаке, является длительным и дорогостоящим. Определение личности и мотивации преступника становится еще более сложным в случаях нападений, в которых участвуют посредники, возможно, даже не желая этого.

В таких случаях определение мотивации кажется трудным, главным образом из-за сложной архитектуры и географии киберпространства.

Заключение

Таким образом, научной общественности России еще предстоит выработать нормы, которыми будет предупреждаться, пресекаться и наказываться преступная деятельность в виде кибератак на информационные системы. Но уже вполне ясно, что в основе таких норм будут лежать общепризнанные основы международного права.

Исследование выполнено при финансовой поддержке РФФИ в рамках научного проекта № 18-29-16012.