Новая кибердипломатия: государства сдают позиции в нормотворчестве?
Вход
Авторизуйтесь, если вы уже зарегистрированы
(Голосов: 43, Рейтинг: 4.37) |
(43 голоса) |
Преподаватель-практик факультета международных отношений СПБГУ
Сфера международной политики исторически формировалась государственными акторами, особенно в вопросах безопасности. Традиции политического реализма прочно закрепили привилегированное положение государств не только в проведении международной политики, но и в установлении норм международного права. Даже с появлением влиятельных транснациональных акторов из частного сектора и гражданского общества и их признанием полноценными участниками международных отношений последними нео-теориями международных отношений, они все равно не рассматривались как акторы, способные сформулировать и закрепить нормы международного права для какой-либо из областей.
Появление новых информационных технологий, повлекших за собой вызовы для безопасности государств, добавило новых участников за стол переговоров о кибернормах и ответственном поведении в киберпространстве.
Сегодня большинство ведущих государств уклоняется от выработки и подписания каких-либо юридически обязывающих соглашений по кибернормам, поскольку это введет за собой правовую ответственность за нарушение обязательств. В условиях «вакуума власти» негосударственные акторы активно включились в игру и стараются получить выгоду от сложившейся неопределенной ситуации в киберпространстве.
Эти новые акторы — частные компании и технические сообщества — становятся все более влиятельными, поскольку они производят контент, программное и аппаратное обеспечение, владеют и управляют важнейшей инфраструктурой Интернета. Отсутствие киберпотенциала для необходимого мониторинга и реагирования на инциденты в киберпространстве привело к возникновению компьютерных групп реагирования на чрезвычайные ситуации и команд компьютерной безопасности по реагированию на инциденты (CERTs / CSIRTs). Они могут быть как национальными, так и отраслевыми, либо служить потребностям конкретных государственных ведомств.
Частные компании также заинтересованы активно принимать участие в формировании норм для киберпространства, так как и они, и их клиенты страдают от кибератак в первую очередь. Существует потребность в глобальном кодексе поведения для защиты общего киберпространства. Microsoft впервые выступила в 2014 г. с предложением Цифровой Женевской конвенции, содержащей шесть основных принципов международной кибербезопасности, применимых в мирное время и активно продолжает продвигать свой проект и сегодня. С тех пор негосударственный сектор активизировался, и за последний год были представлены следующие инициативы: Соглашение о кибербезопасности (Cybersecurity Tech Accord), Хартия доверия Siemens (Charter of trust), Хартия информационной безопасности критических объектов промышленности, представленная Норникелем, а также две нормы, предложенные Глобальной комиссией по киберстабильности (GCCS) — защита «публичного ядра» Интернета и обеспечение безопасности инфраструктуры, используемой для проведения выборов и референдумов.
Последние нормотворческие инициативы по кибербезопасности были объявлены гигантами в ИТ-отрасли, и первыми сторонниками таких проектов является крупный бизнес — 62 компании подписали Tech Accord и среди них Facebook, CISCO, Dell, Microsoft, Nokia, Panasonic, Telefonica, и другие. У Хартии Siemens 11 сторонников среди которых Аirbus, IBM и T-Mobile. Ближайшие несколько лет мы, вероятно, станем свидетелями «каскада кибернорм», предложенных негосударственными акторами, а также их постепенной интернализации.
Подводя итоги, нынешнее положение дел можно охарактеризовать как промежуточный этап в дипломатии кибербезопасности: государства приложили немалые усилия для разработки международного киберправа, но договориться о юридически обязательных правилах оказалось непосильной задачей. Наиболее вероятный сценарий дальнейшего развития ситуации — государства будут внимательно следить за инициативами негосударственных акторов, и в конечном итоге станут включать наиболее подходящие нормы для дискуссий на межправительственном уровне. На данный момент группы государств-единомышленников диаметрально противоположны в своем видении кибербезопасности и не готовы променять свою относительную свободу действий в киберпространстве ради всеобщей безопасности и стабильности. В условиях отсутствия общих правил поведения бизнесу остается следовать самостоятельно определенным стандартам и нормам кибербезопасности, чтобы снизить в определенной мере издержки от кибератак.
Сфера международной политики исторически формировалась государственными акторами, особенно в вопросах безопасности. Традиции политического реализма прочно закрепили привилегированное положение государств не только в проведении международной политики, но и в установлении норм международного права. Даже с появлением влиятельных транснациональных акторов из частного сектора и гражданского общества и их признанием полноценными участниками международных отношений последними неотеориями международных отношений, они все равно не рассматривались как акторы, способные сформулировать и закрепить нормы международного права для какой-либо из областей.
Появление новых информационных технологий, повлекших за собой вызовы для безопасности государств, добавило новых участников за стол переговоров о кибернормах и ответственном поведении в киберпространстве.
Мир или война в киберпространстве?
Последние двадцать лет государства предпринимали много попыток прийти к компромиссу по вопросу регулирования использования информационно-коммуникационных технологий (ИКТ). Примечательно, что изначально ИКТ рассматривались с точки зрения новых возможностей и инноваций для развития потенциала страны и экономики, в то время как лишь малая горстка стран обращала внимание на потенциальные риски злоупотребления ИКТ в военных целях для нарушения международного мира и безопасности. [1]
Однако сегодня риски превратились в суровую реальность — государства не только используют технологии в целях разведки и военного превосходства, но и совершают противоправные действия, оценка которых неоднозначна с точки зрения применения международного права, поскольку механизм для этого до сих пор не выработан. Тем не менее это не останавливает другие государства от угрозы применения силы в ответ на совершенные кибератаки. Пока проблемы достоверной технической атрибуции кибератак не решены, мы наблюдаем случаи политической атрибуции инцидентов. Национальный Центр Кибербезопасности Великобритании в начале октября выпустил сообщение, где приводится информация об атрибуции ряда кибератак, в том числе на WADA и Национальный демократический Комитет США в 2016 году, а также ОЗХО в 2018 году, с формулировками, что с «высокой степенью уверенности» и «почти определенно» эти атаки связаны с деятельностью ГРУ. Международная поддержка таких обвинений в виде официальных обвинений, предъявленных США семи офицерам ГРУ, только усугубляет ситуацию с точки зрения международной безопасности. Обвинения, основанные исключительно на косвенных фактах и политической атрибуции инцидентов, и следующие за ними санкционные меры создают опасный прецедент для мировой политики.
Как известно, регулирование любой сферы на международном уровне является задачей не из легких. А случай с киберпространством вообще выбивается из существующей практики. Несмотря на то, что исследователи часто сравнивают киберпространство с другими доменами и проводят параллели с правовыми режимами для космоса, открытого моря или Антарктики, такие подходы часто ведут в никуда, поскольку трансграничность киберпространства становится камнем преткновения. [2] Однако не только технические характеристики киберпространства представляют сложность для будущего регулирования. Имеются также политические и юридические проблемы.
Во-первых, существуют различные дискурсы понимания кибербезопасности: интерпретация того, что на самом деле представляет «безопасность» в киберпространстве/информационном пространстве, отличается у «восточных» и «западных» государств. Также существенно различается восприятие угроз, исходящих из киберпространства. Эти несоответствия препятствуют государственному диалогу о правилах и нормах ответственного поведения. Во-вторых, мы являемся свидетелями «кризиса международного киберправа». После пяти раундов работы группы правительственных экспертов ООН (ГПЭ) мы видим нежелание государств — членов группы развивать обычное международное право, применимое к киберпространству. Процесс признания того, что существующее международное право применимо к нему, занял почти 10 лет после первого заседания группы в 2003 г. В 2015 г. государства добились значительного прогресса, опираясь на достигнутый консенсус, и расширили перечень добровольных норм и правил поведения государств в киберпространстве. К сожалению, последний созыв рабочей группы в 2017 г. завершился неэффективно и поставил продолжение этого формата под вопрос. Однако Россия планирует следующий созыв ГПЭ на 2019 г. (несмотря на неспособность пятой группы завершить работу консенсусным докладом) и надеется заручиться поддержкой стран так называемой группы 77: «Сегодня число желающих присоединиться достигло 68 стран, которые пытаются заручиться поддержкой российской стороны, как организаторов этого процесса на площадке ООН». В 2017 г. ГПЭ потерпела неудачу в том числе из-за позиции США и их сторонников, которые заявили, что формат ГПЭ исчерпал себя. Безусловно, главной линией разлома между двумя лагерями было расхождение во мнениях относительно применимости международного гуманитарного права, поскольку оно «узаконивало бы сценарий войны и военных действий в контексте ИКТ».
«Мутная вода» киберпространства
Заслуживают внимания и другие причины невозможности на государственном уровне договориться о регулировании киберпространства. Судя по всему, государства придерживаются выжидательной тактики по отношению к любым нормативным новшествам. Кроме того, артикуляция любой кибернормы автоматически накладывает соответствующие ограничения на действия государств в киберпространстве: они должны признать наличие конкретных кибервозможностей для того, чтобы их ограничить для поддержания стабильности в киберпространстве. Ранее ни одна из великих держав не собиралась признавать наличие в своем распоряжении наступательных средств, которые позволяют им вести шпионаж, не санкционированно проникать в сети критической инфраструктуры, или влиять на результаты выборов в других странах. Однако США нарушили эту «традицию», опубликовав весной 2018 года новую «Дорожную карту» Киберкомандования США, провозгласив курс на так называемую наступательную кибероборону: «американские военные должны совершать рейды по зарубежным сетям и выводить из строя подозрительные серверы до того момента, как они попытаются запустить вредоносные программы». Тем не менее, пока нет поддающегося количественной оценке предмета переговоров в отношении кибероружия, маловероятно, что государства позаимствуют идеи из практики договоров об ограничении стратегических наступательных вооружений, по крайней мере в ближайшем будущем.
Не следует забывать, что киберпространство, несмотря на приведенные выше аргументы, не является «беззаконной территорией». Напротив, оно напоминает лоскутное одеяло, состоящее из двусторонних соглашений по кибербезопасности, а также региональных систем коллективной кибербезопасности, например, для НАТО, ОДКБ и ШОС. Кроме того, растет число национальных и региональных нормативных актов, охватывающих вопросы киберпреступности, защиты и локализации данных. Все эти механизмы применимы к ограниченному кругу деятельности в киберпространстве, но ими не следует пренебрегать, поскольку они создают рамки для государств-членов и, следовательно, определяют общую точку зрения на вопросы обеспечения кибербезопасности.
Сегодня большинство ведущих государств уклоняется от выработки и подписания каких-либо юридически обязывающих соглашений по кибернормам, поскольку это введет за собой правовую ответственность за нарушение обязательств.
Тем не менее идея всеобъемлющего глобального договора о киберпространстве, аналогичного Договору об Антарктике, кажется все более нежизнеспособной. Во-первых, процесс его согласования займет слишком много времени, а законотворчество всегда идет с отставанием по времени от технологического развития. Во-вторых, государствам следует согласовать свои позиции по ключевым вопросам кибербезопасности; в противном случае прогресса ожидать не придется. Последние 10 лет были посвящены именно обсуждению того, что допустимо в киберпространстве: различные страны продвигали свои проекты при поддержке экспертного и международного сообщества. Стоит упомянуть несколько известных инициатив: Международный кодекс поведения в сфере информационной безопасности, продвигаемый странами ШОС; российское предложение Конвенции о международной информационной безопасности; меры ОБСЕ по укреплению доверия в целях снижения риска возникновения конфликтов в результате использования ИКТ; декларация G7 об ответственном поведении государств в киберпространстве; в Лондоне в 2011 году было положено начало глобальной конференции, где обсуждаются вопросы кибербезопасности на высоком уровне. Несмотря на то, что все эти параллельные процессы пытались решить проблемы отсутствия доверия между государствами, они содержали конкурирующие дискурсы и отвлекали государства от реального сотрудничества. В конечном итоге установился негласный консенсус, что лучше согласовать ряд общих норм и правил, которые были бы необязательными, но приемлемыми для всех.
Но с общими нормами и правилами все оказалось тоже не так просто. Финнемор и Холлис (два выдающихся теоретика конструктивизма) указывали, что в стремлении к гармонизации норм все участники забыли, что в «культивировании кибернорм» важен процесс, а не конечный результат в виде согласованного текста [3]. Кроме того, сама норма является очень неустойчивой конструкцией, так как не у всех ее приверженцев есть полное понимание ее взаимосвязи с законом как таковым. Кроме того, значение норм, несмотря на то что они могут быть закреплены в документе, может изменяться с течением времени, так как те, кто их использует, постоянно интерпретируют нормы в соответствии с текущим контекстом.
Таким образом, сегодня большинство ведущих государств уклоняется от выработки и подписания каких-либо юридически обязывающих соглашений по кибернормам, поскольку это введет за собой правовую ответственность за нарушение обязательств. В условиях «вакуума власти» негосударственные акторы активно включились в игру и стараются получить выгоду от сложившейся неопределенной ситуации в киберпространстве.
Эти новые акторы — частные компании и технические сообщества — становятся все более влиятельными, поскольку они производят контент, программное и аппаратное обеспечение, владеют и управляют важнейшей инфраструктурой Интернета. Отсутствие киберпотенциала для необходимого мониторинга и реагирования на инциденты в киберпространстве привело к возникновению компьютерных групп реагирования на чрезвычайные ситуации и команд компьютерной безопасности по реагированию на инциденты (CERTs / CSIRTs). Они могут быть как национальными, так и отраслевыми, либо служить потребностям конкретных государственных ведомств. Последний Глобальный Форум по управлению Интернетом в 2017 году выявил феномен дипломатии CERT-ов, поскольку продуктивное сотрудничество для реагирования на киберинциденты требует высокого уровня доверия и устойчивых личных контактов между членами различных CERT в силу трансграничного характера киберугроз. Государства могут подозрительно относиться друг к другу по разным политическим причинам, в то время как технологические акторы охотнее сотрудничают в вопросах безопасности.
Кибербезопасность и интриги в песочнице
Частные компании также заинтересованы активно принимать участие в формировании норм для киберпространства, так как и они, и их клиенты страдают от кибератак в первую очередь. Существует потребность в глобальном кодексе поведения для защиты общего киберпространства. Microsoft впервые выступила в 2014 году с предложением Цифровой Женевской конвенции, содержащей шесть основных принципов международной кибербезопасности, применимых в мирное время и активно продолжает продвигать свой проект и сегодня. С тех пор негосударственный сектор активизировался, и за последний год были представлены следующие инициативы: Соглашение о кибербезопасности (Cybersecurity Tech Accord), Хартия доверия Siemens (Charter of Trust), Хартия информационной безопасности критических объектов промышленности, представленная Норникелем, а также две нормы, предложенные Глобальной комиссией по киберстабильности (GCCS) — защита «публичного ядра» Интернета и обеспечение безопасности инфраструктуры, используемой для проведения выборов и референдумов.
Чтобы сравнить эти инициативы, за основу была взята концепция нормы по Мартой Финнемор и Дунканом Холлисом [4]. Любая норма состоит из четырех составляющих: идентичность — обозначает группу, к которой применима норма; поведение — конкретные действия, требуемые нормой от группы; проприетарность — основание, по которому нормы маркируют поведение как соответствующее; и коллективные ожидания — общее представление членов группы о соответствующем поведении.
Ближайшие несколько лет мы, вероятно, станем свидетелями «каскада кибернорм», предложенных негосударственными акторами, а также их постепенной интернализации.
Каждая инициатива обращается к различным идентичностям. Tech Accord взывает к технологической отрасли и призывает разрабатывать сервисы и продукты, защищающие пользователей от кибератак, а также не помогать государствам запускать атаки. Microsoft обращается к государствам, чтобы они воздерживались от проведения атак на критическую инфраструктуру, ограничили гонку кибервооружений, и сократили наступательные операции в киберпространстве. Siemens требует действий как от государств, так и от бизнеса — их предложение напоминает скорее организационную политику кибербезопасности: требование создать профильные министерства и назначить глав информационной безопасности (CISO); включить в учебные планы курсы по защите информации и кибербезопасности. Норникель и Комиссия по киберстабильности предлагают нормы, применимые ко всем заинтересованным сторонам. Хартия Норникеля осуждает использование ИКТ в целях недобросовестной конкуренции и нанесения ущерба объектам промышленности, и «приветствует усилия международного сообщества по приданию опорным информационно-коммуникационным инфраструктурам, формирующим основу глобальной сети, статуса демилитаризованной зоны, свободной от силового противоборства политических субъектов». Здесь как раз прослеживается отсылка к норме о защите «публичного ядра» Интернета, предложенной Комиссией по киберстабильности: «государственные и негосударственные акторы не должны проводить или сознательно допускать деятельность, которая преднамеренно и существенно наносит ущерб общей доступности или целостности публичного ядра интернета и, следовательно, стабильности киберпространства». Также Комиссия предлагает воздерживаться от киберопераций, направленных на подрыв технической инфраструктуры, необходимой для проведения выборов, референдумов или плебисцитов».
Общая идея инициатив заключается в том, чтобы снизить уровень кибератак различными способами: пресечь злоупотребление сетями, программным обеспечением и устройствами для осуществления вредоносной деятельности; усовершенствовать механизмы расследования киберинцидентов, а также содействовать развитию культуры кибербезопасности. Интересно, что каждая инициатива апеллирует к собственному основанию проприетарности. Участники Tech Accord используют корпоративную этику и отношения с клиентами в качестве основы для интернализации норм. Подписанты Хартии Siemens ссылаются на концепцию доверия в цифровом будущем: «люди и организации должны верить, что их цифровые технологии безопасны и надежны, иначе они не примут цифровую трансформацию — поэтому мы и подписываем Хартию». Эти же идеи есть и в Хартии Норникеля, хотя в ней также содержатся отсылки к резолюциям Генеральной Ассамблеи ООН о «Достижениях в области информатизации и телекоммуникаций в контексте международной безопасности», принимаемые ежегодно с 1998 г. по сегодняшний день. Microsoft прямо опирается на существующее международное право, также как и нормы, сформулированные Комиссией по киберстабильности. Последняя, кстати, предлагает новое основание проприетарности: стабильное функционирование «публичного ядра» Интернета как важнейшего компонента киберпространства. Пока трудно определить каковы будут коллективные ожидания от норм, поскольку упомянутые выше инициативы являются лишь предложениями; мы сможем получить достаточно данных для анализа только в том случае, если акторы будут добровольно следовать предложенным нормам в течение некоторого периода времени. Нормотворчество не является конечным процессом. Этап интерпретации норм является одним из важнейших в процессе «культивирования», поэтому и коллективные ожидания от нормы также формируются со временем.
Форма, в которой выражается норма, также важна для ее интернализации. Упомянутые инициативы показывают, что бизнес, как правило, представляет предложения по кибернормам в форме публичных обязательств. Это интересный поворотный момент для дальнейших исследований в области консолидации кибернорм. Чтобы публичное обязательство было эффективным инструментом, компания должна своевременно информировать общественность о своем прогрессе в достижении заявленных целей. Только участники Tech Accord заявили, что будут публично отчитываться о своем прогрессе. Намерение было подтверждено на конференции CyFy в Индии в октябре 2018 г.
Примечательно, что кибербезопасность иногда рассматривают с точки зрения дилеммы общественного блага, «в которой отдельные члены общества должны принять решение о том, вносить ли вклад в определенное общественное благо». Локхорст, Ван Дийк, и Стаац обнаружили, что публичные обязательства помогают структурно изменить поведение людей с разным уровнем доверия [5]. Те, кто имеет низкий уровень доверия, готовы внести свой вклад, если они знают, что общественное благо будет обеспечено с большой долей вероятности, особенно если ключевые игроки уже обязались внести свой вклад. Применительно к нашей теме идея может сработать подобным образом: последние нормотворческие инициативы по кибербезопасности были объявлены гигантами в ИТ-отрасли, и первыми сторонниками таких проектов является крупный бизнес — 62 компании подписали Tech Accord и среди них Facebook, CISCO, Dell, Microsoft, Nokia, Panasonic, Telefonica, и другие. У Хартии Siemens 11 сторонников среди которых Аirbus, IBM и T-Mobile. Ближайшие несколько лет мы, вероятно, станем свидетелями «каскада кибернорм», предложенных негосударственными акторами, а также их постепенной интернализации.
Подводя итоги, нынешнее положение дел можно охарактеризовать как промежуточный этап в дипломатии кибербезопасности: государства приложили немалые усилия для разработки международного киберправа, но договориться о юридически обязательных правилах оказалось непосильной задачей. Наиболее вероятный сценарий дальнейшего развития ситуации — государства будут внимательно следить за инициативами негосударственных акторов, и в конечном итоге станут включать наиболее подходящие нормы для дискуссий на межправительственном уровне. На данный момент группы государств-единомышленников диаметрально противоположны в своем видении кибербезопасности и не готовы променять свою относительную свободу действий в киберпространстве ради всеобщей безопасности и стабильности. В условиях отсутствия общих правил поведения бизнесу остается следовать самостоятельно определенным стандартам и нормам кибербезопасности, чтобы снизить в определенной мере издержки от кибератак.
1. Россия являлась инициатором первой резолюции ГА ООН о «Достижениях в области информатизации и телекоммуникаций в контексте международной безопасности в 1998 году» (A/53/576)
2. Eichensehr, K. (2015) the Cyber-Law of Nations. The Georgetown Law Journal, Vol 103: 317-380
3. Finnemore, M., & Hollis, D. B. (2016). Constructing norms for global cybersecurity. American Journal of International Law, 110(3), 425–479. P.438
4. Finnemore, M., & Hollis, D. B. (2016). Constructing norms for global cybersecurity. American Journal of International Law, 110(3), 425–479. P.438
5. Lokhorst, A., van Dijk, E., & Staats, H. (2009). Public commitment making as a structural solution in social dilemmas. Journal of Environmental Psychology, 29, 400–406.
(Голосов: 43, Рейтинг: 4.37) |
(43 голоса) |
Аналитическая записка РСМД и East-West Institute
«Мутная вода» киберпространстваРазвитие информационно-коммуникационных технологий создаёт серьёзные вызовы международной безопасности
Кибербезопасность и интриги в песочницеКомментарий к докладу Сообщества европейских лидеров «Жизнь в (цифровом) отрицании: российский подход к киберсдерживанию»
Мир или война в киберпространстве?Альтернатива кибергонке существует — это тот самый «мирный план», который предлагает Россия и страны, выступающие за укрепление мира и безопасности в информационном пространстве