Кибербезопасность и международное право

Международное сообщество проявляет серьезную заинтересованность в разработке комплексной, многосторонней системы кибербезопасности, поскольку широкое использование Интернета во всех аспектах повседневной жизни создает практически «необратимую зависимость» от его технологических преимуществ, а также в связи с тем, что концептуальные основы существующих правовых рамок с трудом поддаются адаптации к угрозам, возникающим в киберпространстве. Во многих развитых странах предпринимаются определенные шаги в направлении разработки комплексной политики информационной безопасности; тем не менее, их правительства тем не менее, их правительства вынуждены признать явную недостаточность односторонних действий.

В настоящее время не существует всеобъемлющей международно-правовой базы в отношении кибербезопасности. Международные усилия концентрируются на узкой сфере вопросов, в первую очередь касающихся конфиденциальности данных и прав человека, вместо реализации более широких мер, направленных на установление и дифференциацию различных уровней киберагрессии и кодификацию международных подходов к решению этой проблемы. Эти недостатки могут быть частично обусловлены самой природой хакерской атаки, бросающей вызов концептуальным категориям, которые мы до сих пор используем для недопущения хаоса и поддержания порядка в нашем обществе и в нашей жизни. Без всеобъемлющего международного определения типов киберагрессий, страны будут продолжать сталкиваться с трудностями в оценке законности своей реакции на такие атаки. В довершение всего, не существует международных органов, уполномоченных расследовать и преследовать в судебном порядке случаи киберагрессии, которые при выработке ответа на хакерские атаки были бы не ограничены принципом территориальной юрисдикции, принятым в правовой системе страны нападения. Противодействию киберагрессии мешает тот факт, что международное право не признает обязанность оказывать помощь другим государствам в расследовании случаев подобного рода при отсутствии соответствующей договоренности между сторонами.

Определение киберагрессии согласно действующему международному праву.

Хакерские атаки обычно имеют мало сходства с традиционной преступной деятельностью; как правило, бывает трудно установить преступных характер подобных деяний, в отличие от актов войны или терроризма. Хакерские атаки в значительной степени не поддаются простой категоризации видов вооружений, используемой в международном праве, что серьезно затрудняет применение традиционных определений преступности, терроризма и агрессии, приведенных в существующих правовых нормах.

Потерпевшие государства, прежде чем принять меры в рамках существующих международно-правовых норм, должны предварительно выяснить источник и характер конкретных случаев хакерских атак. При этом, кибератака должна рассматриваться либо в качестве традиционного вооруженного нападения, либо в качестве уголовного преступления.

Хакерская атака может приравниваться к физической атаке, совершенной с применением традиционного вооружения, при установлении двух условий: ответственность за нападение несет другое государство (а не отдельные лица или негосударственные группы) и атака не имеет криминальной подоплеки. Исторически обнаружить и предъявить доказательства физического нападения другого государства, совершившего таким образом акт военной агрессии, было довольно просто. Интервенция сопровождалась разрушением объектов материальной инфраструктуры и наступлением военнослужащих, в форме вооруженных сил государства-агрессора.

По самой природе кибепространства, хакерские атаки могут проводится с использованием географически рассредоточенных ресурсов, тем самым значительно усложняя идентификацию и локализацию нападавших. Кроме того, страны, не обладающие развитой цифровой инфраструктурой, при желании замаскировать источник нападения, могут где угодно заключить договор аренды выделенного оборудованиям, дающего возможность осуществлять хакерскую атаку против обозначенной цели. Установление ответственных сторон, ко всему прочему, осложняется ускоряющимся прогрессом компьютерных технологий, что создает почти непрерывную кривую обучаемости, которая ставит правоохранительные органы в крайнее невыгодное положение. Развитие цифровых технологий в сочетании с проблемой анонимности и ограничениями, накладываемыми принципом территориальной юрисдикции, в экспоненциальной степени осложняют проведение расследования. Государство должно продемонстрировать веские факты, несомненно доказывающие, что хакерскую атаку можно квалифицировать как «вооруженное нападение» в контексте международно-признанных правил ведения войны, для обоснования варианта силового ответа. В противном случае государственные органы, отвечающие за кибербезопасность, должны сфокусироваться на уголовном разбирательстве.

Существующие международное уголовное право, регулирующее правоотношения в области борьбы с киберпреступлениями.

Если у государства нет фактов, позволяющих доказать причастность иностранного государства или его агентов к хакерским атакам, законы и обычаи войны запрещают ответное применение силы, однако, пострадавшая страна может преследовать нападавших в соответствии с нормами уголовного права. Преследование уголовных преступлений на международном уровне, целиком зависящее от международных договоров и соглашений, как правило, ведется очень медленно. Установлению юрисдикции в отношении киберпреступлений препятствует принцип территориальной юрисдикции; способность государства применять свои законы к определенному преступлению зависит от физического места расположения источника и цели хакерской атаки. В то время как местоположение цели атаки очевидно, место положение ее источника часто не поддается определению. Несмотря эти проблемы, потерпевшее государство может попытаться привлечь к ответственности виновников нападения в соответствии с международными договорами, запрещающими преступную деятельность в киберпространстве.

Конвенция Совета Европы по киберпреступлениям, принятая в 2001 г. в Будапеште, является единственным многосторонним, юридически обязательным договором, касающимся преступной деятельности в сфере информационных технологий. Конвенция о киберпреступности имеет пять основных целей:

1. гармонизация материального уголовного законодательства по борьбе с киберпреступностью;
2. гармонизация уголовно-процессуального законодательства;
3. содействие взаимной правовой помощи;
4. кодификацию международного права, с акцентом на юрисдикционные нормы на основе территориальности;
5. обеспечение правовой базы для содействия развития и пониманию вопросов, связанных с киберпреступностью.

Конвенция направлена на защиту общества от киберпреступности и фокусируется на таких видах преступной деятельности, как нарушение авторских прав; мошенничествах, связанных с использованием компьютеров; детской порнографии; преступлениях, связанных с нарушениями безопасности сети. Несмотря на то, что Конвенция содержит перечень конкретных преступлений, определение элементов преступлений оставляется на собственное усмотрение каждой из сторон, а лучший способ реализации ее положений принимается в соответствии с внутренним законодательством. Конвенция не претендует на полноту изложенных универсальных стандартов для преследования хакерских преступлений и не устанавливает конкретных мер ответственности за их совершение. Кроме того, Конвенция не обязывает подписавшие стороны обеспечивать соблюдение внутреннего законодательства других участников, полагаясь вместо этого на международное сотрудничество. Важно отметить, что Конвенция не признает универсальной юрисдикции как инструмента преследования преступлений, связанных с информационными технологиями.

На 22-м саммите (Лион, 1996) «Большая восьмерка» утвердила подготовленные Экспертной группой по транснациональной организованной преступности Рекомендации по борьбе с транснациональной преступностью, в которых также включаются предложения по противодействию высокотехнологическим и компьютерные преступлениям. Рекомендации призывают к мобилизации международного сотрудничества по расследовании киберпреступлений, пересмотру материального и процессуального национального законодательства с целью обеспечения адекватного уголовного преследования на местном уровне и принятию Конвенции Совета Европы по киберпреступлениям. Однако, данные рекомендации не содержат конкретных руководящих принципов по осуществлению и не имеют обязательного характера.

ООН также работает в направлении разработки комплексного подхода по борьбе с киберпреступностью. ООН опубликовало Руководство по профилактике и борьбе с компьютерной преступностью в 1995 году, в котором исследуется правовые аспекты регулирования информационной безопасности и необходимость международного сотрудничества в расследовании киберпреступлений. В 2000 году Генеральная Ассамблея ООН приняла резолюцию 55/59, призывающая участников к дальнейшему совершенствованию всеобъемлющей внутригосударственной политики в отношении компьютерных преступлений. Хотя Резолюция 55/59 отражает признание киберпреступности в качестве общей проблемы, в ней предлагается только обобщенные политические рекомендации, которым не достает конкретного механизма для осуществления более широкой гармонизации внутреннего уголовного законодательства государств-участников.

Киберагрессия и международное военное право.

Правила ведения боевых действий применительно к кибервойне базируются на правовых принципах, предусмотренных в Уставе ООН. Международное военное право традиционно рассматривается в двух различных аспектах: право, регулирующие порядок предотвращения и урегулирования конфликта до начала активных боевых действий, и право, регулирующее применение силы после объявления войны. Первый из них, известный как jus ad bellum, определяет, каким образом и на каком основании государство может легитимно применить силу в ответ на предполагаемую угрозу. Jus ad bellum включает нормы, позволяющие определить является ли применение силы законным ответом на предполагаемую угрозу или акт агрессии, совершенный другим государством. До начала Второй мировой войны, суверенные государства могли законно в одностороннем порядке объявить войну, предварительно оплвестив о своих намерениях. Современное jus ad bellum, пересмотренное после войны, кодифицировано в Уставе ООН. Согласно Уставу ООН на Совет Безопасности ООН возлагается обязанность по поддержанию мира (ст. 39), запрещается угроза силой и ее применение (ст. 2.4), а также предусматривается право нации на самооборону (ст. 51). В соответствии со статьей 2.4 Устава ООН все государства-участники «воздерживаются в их международных отношениях от угрозы силой или ее применения как против территориальной неприкосновенности или политической независимости любого государства». Таким образом, применение государством вооруженных сил является преступлением против мира, объявленным вне закона со стороны международного сообщества, и допускается только в том случае, когда нация осуществляет неотъемлемое право на самооборону либо было санкционировано Советом Безопасности ООН.

Положения Устава ООН не позволяют четко установить равнозначность хакерской атаке, совершенной одним государством против другого, вооруженному нападению, дающему нации право на ответные силовые действия. Кроме того, концепция Устава ООН относительно «применения силы» не охватывает действия террористов и других негосударственных субъектов, которые часто стоят за хакерскими атаками. Поскольку акты киберагрессии не поддаются традиционной классификация в соответствии с международно-признанными нормами ведения боевых действий, как правило, принято считать, что государства должны относиться к международным хакерским атакам как к разновидности уголовного преступления. Даже в том случае, если хакерская атака осуществлена государством или его агентами, в рамках действующего международного правового режима запрещаются несанкционированные односторонние действия. Таким образом, потерпевшее государство, добиваясь справедливости, с большой долей вероятности, будет вынуждено прибегать к уголовному преследованию.

Автор: William M. Stahl.