Международное право и кибервойны

Почти каждый вооружённый конфликт ХХI века сопровождается дистанционными атаками на серверы, спутники, энерго- и транспортные сети. Они не оставляют дымящихся руин, зато выводят из строя больницы или портят спутниковую связь — урон сопоставим с реальными бомбардировками. Поэтому за последние десять лет государства ускоренными темпами создают «цифровой свод законов», который должен удержать кибероружие в правовых рамках. Ниже — разбор ключевых актов и того, как они работают (или не работают) сегодня.

Почему кибервойны требуют особого регулирования

Традиционное международное право вооружённых конфликтов (МПВОК) формировалось под артиллерийские обстрелы и танковые броски. Кибероперации игнорируют границы и маскируются под обычный сетевой трафик: виновника трудно идентифицировать, ущерб — быстро выходит за пределы одной страны, а условные «удар-ответ» могут затронуть частные дата-центры тысяч километров от фронта. Эта «распылённость» угроз делает классические нормы о пропорциональности, различении целей и нейтралитете куда менее очевидными.

Кроме того, в цифровой сфере критически важна роль частного сектора. Провайдеры облачных сервисов, производители микрочипов и операторы подводных кабелей становятся невольными участниками конфликта. Их обязанности и права должны быть чётко расписаны, иначе на практике они решают всё сами — иногда вразрез с национальными интересами или гуманитарными принципами.

Международные источники права: от Устава ООН до «Таллинна»

Устав ООН, статья 2(4), по-прежнему запрещает угрозу силой и применение силы. Большинство государств сходятся во мнении, что запрет распространяется и на деструктивные кибератаки против критической инфраструктуры. Однако возникает спор: является ли, к примеру, вывод из строя электросети «использованием силы» или это лишь нарушение суверенитета? Единого ответа нет — разночтения восполняются доктринами и практикой отдельных стран.

Ряд положений Международного гуманитарного права, включая Женевские конвенции, задают принципы пропорциональности, предосторожности и различения между гражданскими и военными объектами. Но цифровой код не носит камуфляж: один и тот же сервер обслуживает больницу и войсковую часть. Поэтому юристы всё чаще прибегают к аналогиям и «прямой трансляции» гуманитарных норм на кибератаки.

Таллиннский руководящий документ 3.0

Неофициальный, но влиятельный Tallinn Manual начал обновляться в 2021 году: к 2026-му готовится версия 3.0, которая учтёт свежую государственную практику, позицию международных форумов и дебаты вокруг автономного оружия. Несмотря на академический характер, документом активно пользуются юристы военных штаб-квартир: он конкретизирует, когда кибератака достигает порога «использования силы» и как считать коллатеральный цифровой ущерб.

ООН и многосторонние форматы

С 2019 по 2025 год работала Открытая рабочая группа ООН (UN OEWG). На финальной сессии в июле 2025-го страны договорились создать постоянный механизм обсуждения ответственного поведения государств в киберпространстве. Итоги фиксируют, что международное право применимо в сети, однако детали — например, режим самозащиты — оставлены на усмотрение государств. Переговоры о обязательном договоре пока буксуют: кампанию за новый «кибер-ДОК» продвигает ряд стран Глобального Юга, тогда как Запад предпочитает не переписывать существующие нормы.

Также не стоит забывать о Группах правительственных экспертов (GGE) и форумах ОБСЕ, ОАГ, АСЕАН: они формируют региональные «правила дорожного движения» — например, обязательство уведомлять соседа о значительных уязвимостях.

Европейский подход: Cyber Resilience Act (ЕС) 2024

ЕС пошёл от частного к общему: вместо боевых сценариев регламентирует жизненный цикл цифровых продуктов. Регламент (ЕС) 2024/2847 — Cyber Resilience Act — вступил в силу 10 декабря 2024 года; основные требования станут обязательными с 11 декабря 2027-го. Нерешённые уязвимости или отсутствие процедуры обновлений с 2027-го будут означать прямой запрет на продажу товара на едином рынке.

• Кого касается: производителей, импортеров и дистрибьюторов «продуктов с цифровыми элементами» — от смарт-колонки до ПЛК на электростанции.
• Что требует: безопасную разработку; обязательное исправление критических дыр; координированное раскрытие уязвимостей; ведение технической документации сроком не менее 10 лет.
• Что грозит: штраф до 2,5 % мирового оборота или отзыв продукта.

Формально CRA не касается военных систем, но создаёт косвенную ответственность поставщикам оборонных объектов двойного назначения; аналогичные требования США уже тестируют в программе Cyber Trust Mark.

США: Стратегия Пентагона и «Defend Forward»

Обновлённая DoD Cyber Strategy 2023 систематизировала политику «Defend Forward» — упреждающие операции за пределами собственных сетей, призванные «ломать» злоумышленнику инструменты до того, как тот ударит по домашней инфраструктуре. Документ выделяет четыре линии усилий: защитить нацию, готовить войска к победе, укреплять партнёрства и создавать устойчивые преимущества.

Практика последних лет показывает, что США не колеблются публично признавать кибердействия элементом самообороны и применяют их совместно с санкциями, дипломатией и уголовными делами.

Другие крупные юрисдикции

Россия опирается на «Доктрину информационной безопасности» 2021 года и Федеральный закон «О национальной программе…», который фактически допускает хак-объединения под государственным контролем. Китай действует в рамках закона о кибербезопасности 2017 года и регламента по данным 2021 года; оба документа дают широкие полномочия военной киберразведке.

Правоприменение этих норм вне национальных границ вызывает претензии: к примеру, российская концепция «технического суверенитета» широко трактует территориальную юрисдикцию, а китайские правила экспорта алгоритмов влияния затрагивают зарубежных разработчиков.

Будапештская конвенция и второй протокол 2024

Хотя документ адресует прежде всего киберпреступность, Конвенция Совета Европы о киберпреступности (Будапешт, 2001) и её второй дополнительный протокол 2024 года создают процессуальные механизмы для обмена электронными доказательствами, прямые запросы регистраторам доменов и экстренное сотрудничество — инструменты, которыми активно пользуются и военные прокуроры.

Практические трудности: атрибуция, пропорциональность, ущерб

Атрибуция. Без убедительных доказательств вины конкретного субъекта трудно применить право на самооборону или встретить солидарность союзников. Для коллективной атрибуции НАТО требует «разумной уверенности», но не раскрывает методологию — результатом становятся политические, а не юридические дискуссии.

Пропорциональность. Оценка побочных последствий усложняется: одна ошибка в скрипте — и вместо отключения радара падают серверы роддома. Юристы предлагают подход «функционального эквивалента»: считать цифровую станцию аналогом моста или электростанции и экстраполировать нормы МПВОК.

Оценка ущерба. Стандартные категории (раненые, разрушенные здания) не учитывают потерю зашифрованных данных или длительный простой логистической сети. Пока что суды привязывают компенсации к реальным финансовым потерям, но вопрос гуманитарного ущерба (например, смертность в больнице из-за сбоя) остаётся открытым.

Обязанности бизнеса и граждан

• Операторы критической инфраструктуры подчиняются директиве NIS 2 (ЕС) и аналогичным законам США, обязаны сообщать об инцидентах и внедрять резервное копирование.
• Разработчики ПО попадают под CRA и новые правила раскрытия уязвимостей США (обязательное CVE-трекер-ID).
• Обычные пользователи всё чаще становятся подданными «цифровой реквизиции»: владелец домашнего роутера, заражённого бот-нетом, может лишиться доступа по суду, если девайс используется в атаках на инфраструктуру.

Тренды до 2030-х

1. Автономные киберсистемы. Искусственный интеллект способен сам выбирать цели и генерировать эксплойты; регулятору придётся решать, кому приписывать ответственность — субъекту-оператору или разработчику.
2. Квантовый взлом. С приходом квантовых компьютеров устареют многие алгоритмы шифрования, а значит изменятся пороги «значительного вреда» и критерии нападения.
3. Экологические последствия. Массовое отключение дата-центров может привести к росту выбросов, если резервные мощности работают на угольных ТЭС; экоправо уже стучится в дверь киберюристов.
4. Унификация терминологии. Разброс понятий «вмешательство», «применение силы» и «агрессия» мешает правоприменению; ожидается, что к 2030 году МККК предложит международный глоссарий.

Заключение

В отличие от «традиционных» войн правовые рамки киберконфликтов ещё складываются. Международное сообщество пытается балансировать между суверенитетом, свободой Интернета и базовой гуманитарной защитой. Практика «малых шагов» — пилотные регламенты ЕС, доктрины НАТО, рабочие группы ООН — уже формирует мозаичную, но рабочую систему. Однако ключевые споры — атрибуция, порог применения силы, ответственность частного сектора — остаётся нерешёнными. Следить за ними придётся как военным юристам, так и разработчикам IoT-чайников: именно там проходят невидимые линии фронта.

Новый кодекс кибервойны ещё не завершён — но каждый из нас уже прописан в его преамбуле.