A silhouette of a man in a balaclava mask sitting at a laptop computer Sergei Konkov\TASS via Getty Images

Как будут создаваться новые нормы кибербезопасности?

КЕМБРИДЖ (США) – В феврале генеральный секретарь ООН Антониу Гутерреш призвал к глобальным действиям для минимизации угроз кибервойн для гражданского населения. Гутерреш посетовал, что «для этого вида войн нет правовых рамок», и отметил, что пока не ясно, «применима ли к ним Женевская конвенция или международное гуманитарное право».

Exclusive insights. Every week. For less than $1.

Learn More

Десять лет назад кибербезопасность не привлекала большого внимания в качестве международной проблемы. Но после 2013 года её стали называть одной из главных угроз для США. Хотя о точных цифрах можно спорить, в «Регистре киберопераций», который ведёт Совет по международным отношениям, содержатся данные о почти 200 атаках, организованных 18 государствами с 2005 года (в том числе 20 атак в одном только 2016 году).

Термин кибербезопасность описывает широкий спектр проблем, и они не были главной заботой для небольшого сообщества учёных и программистов, создававших интернет в 1970-е и 1980-е годы. В 1996 году всего лишь 36 млн человек, или около 1% мирового населения, пользовались интернетом. К началу 2017 года уже 3,7 млрд человек, или почти половина населения мира, находились в онлайне.

Когда в конце 1990-х годов число пользователей стало быстро расти, интернет превратился в важнейшую платформу для экономических, социальных и политических контактов. Но вместе с расширением взаимозависимости и экономических перспектив появились угрозы безопасности и уязвимость. Некоторые эксперты ожидают, что число интернет-подключений может вырасти почти до триллиона к 2035 году, что объясняется развитием новых технологий – большие данные, машинное обучение, «интернет вещей». Число потенциальных целей для атак, которые могут осуществлять как частные, так и государственные игроки, невероятно возрастёт, и это будет всё что угодно – от систем промышленного контроля до кардиостимуляторов и беспилотных автомобилей.

Многие эксперты призывают к принятию законов и норм, чтобы обезопасить эту новую среду. Но разработка подобных стандартов в киберсфере наталкивается на несколько серьёзных препятствий. Согласно закону Мура об удваивании мощности компьютеров каждые два года, кибервремя движется очень быстро, а вот человеческие привычки, нормы и государственная практика меняются значительно медленней.

Начать с того, что интернет является транснациональной сетью сетей, и большинство из этих сетей находятся в частной собственности, поэтому негосударственные структуры играют важнейшую роль. Киберинструменты могут иметь двойное назначение, они быстрые, дешёвые, зачастую их легко отрицать, их верификация и атрибуция затруднены, а входные барьеры здесь низки.

Кроме того, хотя интернет транснационален, инфраструктура (и люди), на которую он опирается, находится внутри различных юрисдикций суверенных государств. При этом крупные государства расходятся в своих целях. Например, Россия и Китай подчёркивают важность суверенного контроля, в то время как многие демократические страны требуют более открытого интернета.

Однако расшифровка «www» в виде «wild west web» («паутина дикого запада») является карикатурой. В киберпространстве всё же существуют некоторые нормы. Государствам потребовалось примерно два десятилетия, чтобы достичь первых соглашений о сотрудничестве для ограничения конфликтов в ядерную эпоху. Если считать датой возникновения международной проблемы кибербезопасности не момент появления интернета в начале 1970-х, а момент, когда он начал быстро распространяться в конце 1990-х годов, тогда получается, что межправительственному сотрудничеству по вопросам ограничения киберконфликтов сейчас как раз уже почти два десятка лет.

В 1998 году Россия впервые предложила подписать договор на уровне ООН о запрете электронного и информационного оружия (в том числе для пропагандистских целей). Вместе с Китаем и другими членами Шанхайской организации сотрудничества Россия продолжает настаивать на заключении широкого договора в рамках ООН. А США продолжают считать, что соблюдение такого договора невозможно проверить.

Вместо этого генеральный секретарь ООН назначил Группу правительственных экспертов  (UNGGE), которые провели первую встречу в 2004 году, а в июле 2015 года предложили комплекс норм, позднее одобренных «Большой двадцаткой». В деятельности ООН группы экспертов  не являются чем-то необычным, но крайне редко их работа поднимается из недр этой организации до уровня признания на саммите 20 самых могущественных государств мира. Успех UNGGE был экстраординарным, однако в 2017 году эта группа не смогла согласовать свой следующий доклад.

Куда же мир идёт теперь? Нормы могут предлагаться и разрабатываться самыми разными инициаторами политических решений. Например, новая неправительственная Глобальная комиссия по вопросам стабильности в киберпространстве (её председателем стала Марина Кальюранд, бывший министр иностранных дел Эстонии) выступила с призывом защитить публичное ядро интернета. Это понятие включает в себя маршрутизацию (routing), систему доменных имён, сертификаты безопасности и критическую инфраструктуру.

Тем временем, правительство Китая, опираясь на регулярные Всемирные интернет-конференции в Учжэне, опубликовало принципы (уже одобренные Шанхайской организацией сотрудничества), которые призывают признать право суверенных государств контролировать онлайн-контент на своей территории. Но это совсем не обязательно должно противоречить призывам защитить публичное ядро, поскольку здесь речь идёт о возможности подключения, а не о контенте.

Среди других инициаторов норм – компания Microsoft, которая предлагает заключить новую Женевскую конвенцию об интернете. Столь же важной является разработка норм, связанных с конфиденциальностью личной жизни и безопасностью; это касается шифрования, программных лазеек, удаления детской порнографии, дезинформации и призывов, разжигающих ненависть, и, наконец, террористических угроз.

Страны-члены ООН обдумывают сейчас следующие шаги в работе над кибернормами, и возможным решением здесь может стать отказ взваливать слишком большое бремя на какой-то один институт, подобный UNGGE. Для достижения прогресса может потребоваться одновременное использование множества площадок. В одних случаях работа над принципами и процедурами, которую будут вести государства со схожим менталитетом, поможет создать нормы, к которым другие страны смогут присоединиться позднее. Например, Китай и США заключили двустороннее соглашение об ограничении кибершпионажа в коммерческих целях. В других случаях – к ним можно отнести, например, нормы безопасности для интернета вещей, – возглавить разработку кодексов поведения может частный сектор, страховые компании и некоммерческие организации.

Совершенно определённо, разработка норм кибербезопасности будет длительным процессом. И прогресс на отдельных направлениях не должен тормозиться ожиданием такого же прогресса на других направлениях.

http://prosyn.org/LmXpHIF/ru;

Handpicked to read next