Кембридж (США) — В течение жизни буквально одного поколения Интернет превратился в ключевой фундамент экономического, социального и политического взаимодействия и открыл колоссальные позитивные возможности. Но одновременно с возросшей взаимозависимостью появились уязвимости и конфликты. Атаки со стороны государственных и негосударственных структур участились, угрожая стабильности киберпространства.
В ноябре на Парижском форуме мира Глобальная комиссия по стабильности киберпространства (сокращённо GCSC) опубликовала доклад о том, как можно создать всеобъемлющие рамки для обеспечения кибер-стабильности. Многосторонняя комиссия GCSC (я входил в число её членов) изначально была учреждена по инициативе голландского правительства; её возглавили сопредседатели из Эстонии, Индии и США, а в состав вошли бывшие правительственные чиновники, эксперты из гражданского общества, а также учёные из 16 стран.
За прошедшие годы прозвучало множество призывов к принятию законов и норм для противодействия новым международным угрозам безопасности, исходящим от информационных технологий. Первым стало выдвинутое двадцать лет назад российское предложение в ООН принять обязывающий договор. К сожалению, учитывая природу кибер-оружия и волатильность технологий, подобный договор оказался бы неверифицируемым и мог быстро устареть.
Вместо этого ООН создала Группу правительственных экспертов (GGE), которая разработала необязывающий набор норм в 2013 и 2015 годах. В 2017 году эта группа не сумела опубликовать свой доклад, однако её работа продолжается в расширенном составе; в ООН к ней присоединилась Рабочая группа открытого состава (OEWG), в работе которой в сентябре приняли участие около 80 стран. Помимо этого, генеральный секретарь ООН Антониу Гутерреш создал Группу высокого уровня, опубликовавшую свой доклад в преддверии ожидающейся более широкой дискуссии в ООН в 2020 году.
Комиссия GCSC определяет кибер-стабильность как состояние, когда частные лица и учреждения могут быть вполне уверены в том, что у них есть возможность пользоваться кибер-услугами безопасным и надёжным образом; что управление переменами происходит сравнительно мирно; и что возникающие противоречия регулируются без их эскалации. Стабильность опирается на существующее международное право, которое, как подтверждают доклады группы GGE 2013 и 2015 годов, применяется и к киберпространству.
Впрочем, в качестве следующего шага принятие обязывающего международного правового договора выглядит преждевременно. Утверждение норм ожидаемого поведения может стать более гибким, средним звеном между строгим договором и полным бездействием. Как объясняет Майкл Чертофф, один из сопредседателей комиссии GCSC, а ранее министр внутренней безопасности США, нормы могут существовать параллельно с законами, но они более динамичны в условиях быстрых изменений в технологиях.
Комиссия GCSC предложила восемь норм для устранения пробелов в ранее провозглашённых принципах, сфокусировав своё внимание на технических вопросах, которые фундаментально важны для кибер-стабильности. Эти нормы можно рассматривать как общую систему координат в продолжающихся политических дискуссиях.
Первая норма — невмешательство в публичное ядро Интернета. Авторитарные и демократические государства могут не соглашаться по поводу свободы слова или регулирования онлайн-контента, но они могут договориться не вмешиваться в базовые элементы Интернета, например, в систему доменных имён, без которой невозможны предсказуемые взаимные подключения внутри сети сетей, которой является Интернет.
Во-вторых, государственные и негосударственные структуры не должны поддерживать кибер-операции, нацеленные на нарушение нормальной работы технической инфраструктуры, которая нужна для проведения выборов, референдумов или плебисцитов. Хотя эта норма не предотвращает все виды возможного вмешательства, подобные, например, тем, что происходили во время американских выборов в 2016 году, она прочерчивает чёткие линии вокруг важнейших технических компонентов.
В-третьих, государственные и негосударственные структуры не должны тайно вмешиваться в разработку и производство товаров и услуг, если такое вмешательство может существенно нарушить стабильность киберпространства. Небезопасные производственные цепочки представляют собой серьёзную угрозу стабильности.
В-четвёртых, государственные и негосударственные структуры не должны использовать общие публичные ресурсы в качестве «ботнетов» (это кибер-роботы, которые базируются и действуют в чужих устройствах без ведома или согласия их владельцев).
В-пятых, государства должны создать процедурно прозрачные системы, позволяющие оценить, насколько необходимо и когда надо раскрывать публичные уязвимости или недостатки в информационных системах или технологиях. Подобные недостатки часто становятся основой для кибероружия. Накапливание таких уязвимостей для возможного использования в будущем создаёт риск для всех. По умолчанию их следует обнародовать и исправлять.
В-шестых, разработчики и производители товаров и услуг, от которых зависит стабильность киберпространства, должны делать акцент на безопасности; предпринимать разумные шаги с целью гарантировать, что в их продукции нет существенных уязвимостей; устранять недостатки, когда они обнаруживаются, и действовать в этих случаях прозрачно. Все стороны обязаны делиться информацией об уязвимостях, чтобы помочь противодействовать кибер-деятельности со злыми умыслами.
В-седьмых, государства должны принимать соответствующие меры, в том числе утверждать законы и регламенты, которые будут гарантировать элементарную кибер-гигиену. Подобно тому, как вакцинация помогает предотвратить распространение заразных болезней, например, кори, также и элементарная кибер-гигиена может серьёзно помочь, лишая кибер-злоумышленников лёгкой добычи, которая их привлекает.
И последнее: негосударственные структуры не должны участвовать в атакующих кибер-операциях, а государственные структуры должны предотвращать подобные деяния и реагировать в тех случаях, если они совершаются. Частные движения интернет-самообороны, которые иногда называют «хак-бэк», могут привести к эскалации и стать одной из крупнейших угроз для кибер-стабильности. В прошлом государства сквозь пальцы смотрели на действия морских пиратов и даже поддерживали их, однако затем они поняли, что риски эскалации и нежелательных конфликтов оказались слишком высоки. То же самое можно сказать и о стабильности в кибер-пространстве.
Эти восемь норм сами по себе не гарантируют стабильности в киберпространстве, но в сочетании с другими нормами, принципами и мерами по установлению доверия, которые сегодня предлагаются, они могли бы стать хорошим началом. В долгосрочной перспективе государства будут соблюдать нормы поведения для улучшения координации, управления неопределённостью, защиты репутации или в ответ на внутреннее давление. Мир очень далёк от такого нормативного режима в киберпространстве, но комиссия GCSC помогла подтолкнуть этот процесс вперёд.