НАТОвский центр повышения квалификации в области киберобороны 3 года назад пригласил группу независимых международных экспертов, которым была поставлена задача изучить, как существующие международные нормы права применяются к новым формам ведения войн в киберпространстве. В итоге родилось так называемое Таллинское руководство ( The Tallinn Manual on the International Law Applicable to Cyber Warfare ), которое иногда (особенно в России) преподносится как набор рекомендаций по ведению кибервойн и право на применение физической силы в ответ на кибернападения. Это не совсем так.
Во-первых, Таллинское руководство не является официальным документом ни центра CCD COE, ни НАТО, ни стран, которые входят в НАТО. Это всего лишь частная точка зрения участников рабочей группы, которая и написала Таллинское руководство. Да и с самим руководством немало мифов связано. Например, часто считается, что Таллинское руководство разрешает физическое устранение хакеров, участвующих в военных действиях в киберпространстве. Это не совсем так. Группа экспертов вообще не пришла к четкому мнению о том, относить ли тех или иных лиц к участникам киберконфликтов. Например, если кто-то напишет вредоносную программу, которая потом будет использована в кибервойнах, то будет ли автор вредоносной программы участником кибервойн? При этом авторы четко зафиксировали в 33-й статье правило, известном многим российским юристам, - "любые сомнения в виновности лица должны трактоваться в пользу подозреваемого". В Таллинском руководстве написано, что "в случае возникновения сомнений относительно того, является ли лицо гражданским, это лицо считается гражданским".
На самом деле трехлетний опыт экспертов, писавших Таллинское руководство, очень интересен и познавателен тем, что при отсутствии общепризнанных международных норм по кибербезопасности (а их практически нет, хотя определенные шаги предпринимаются ), приводится оценка применимости действующего законодательства к данной сфере.
Ключевые выводы, сделанные авторами документа таковы:
Во-первых, Таллинское руководство не является официальным документом ни центра CCD COE, ни НАТО, ни стран, которые входят в НАТО. Это всего лишь частная точка зрения участников рабочей группы, которая и написала Таллинское руководство. Да и с самим руководством немало мифов связано. Например, часто считается, что Таллинское руководство разрешает физическое устранение хакеров, участвующих в военных действиях в киберпространстве. Это не совсем так. Группа экспертов вообще не пришла к четкому мнению о том, относить ли тех или иных лиц к участникам киберконфликтов. Например, если кто-то напишет вредоносную программу, которая потом будет использована в кибервойнах, то будет ли автор вредоносной программы участником кибервойн? При этом авторы четко зафиксировали в 33-й статье правило, известном многим российским юристам, - "любые сомнения в виновности лица должны трактоваться в пользу подозреваемого". В Таллинском руководстве написано, что "в случае возникновения сомнений относительно того, является ли лицо гражданским, это лицо считается гражданским".
На самом деле трехлетний опыт экспертов, писавших Таллинское руководство, очень интересен и познавателен тем, что при отсутствии общепризнанных международных норм по кибербезопасности (а их практически нет, хотя определенные шаги предпринимаются ), приводится оценка применимости действующего законодательства к данной сфере.
Ключевые выводы, сделанные авторами документа таковы:
- Государства ответственны за кибероперации против других государств, которые ведутся с их территории, даже если такие операции ведутся не спецслужбами, но при этом государство дает "хлеб и кров" тем, кто атакует другие страны. Например, если какой-либо государственный чин призывает хакеров помочь в проведении кибер-операций против других государств, то призывающее государство будет нести все бремя ответственности за последствия, как будто само проводило такие действия. Кстати, этот вывод сразу разбивает все доводы экспертов, считающих, что Таллинское руководство написано НАТО (читай США) для обоснования своих действий в киберпространстве. Ведь именно руководство АНБ призывало американских хакеров "помочь Родине".
- Запрет на применение силы, включая и силу в киберпространстве. Четкого ответа, что является применение киберсил, эксперты не дают, но сходятся в том, что это, как минимум, должно сопровождаться нанесением ущерба отдельным лицам или даже повреждением тех или иных объектов. При этом действия, вызывающие раздражение или неудобство у той или иной страны, к применению силы не относится.
- Государства имеют право применять различные контрмеры против незаконных киберопераций. При этом данные контрмеры могут быть признаны незаконными, но только не в случае ответных действий (в этом случае их применение считается оправданным).
- Государство, ставшее жертвой "вооруженного нападения" в киберпространстве, повлекшего человеческие жертвы или иной серьезной ущерб, имеет право ответить с помощью силы в киберпространстве или физическом мире. Вот этот тезис достаточно часто приводит к спорам и дискуссиям, но на мой взгляд ничего сверхествественного в нем нет (при условии четкой идентификации нападавшей стороны). Также хочу отметить, что в России, в стратегии, приписываемой МинОбороны, есть аналогичный пункт - "В условиях эскалации конфликта в информационном пространстве и перехода его в кризисную фазу воспользоваться правом на индивидуальную или коллективную самооборону с применением любых избранных способов и средств, не противоречащих общепризнанным нормам и принципам международного права".
- Применение контрмер, в т.ч. и на территории иностранных государств, допустимо в отношении кибертеррористов.
- Вполне допустимо относить вооруженные конфликты полностью ведущиеся в киберпространстве к международному понятию "вооруженный конфликт". Это, в свою очередь, применять нормы международного гуманитарного права.
- Вооруженные конфликты, перетекшие в военные преступления, влекут за собой уголовную ответственность для тех лиц, которые руководят кибер-операциями, ведомыми в рамках вооруженного конфликта.
- Кибер-операции, направленные против гражданских объектов и лиц, не приводящие к нанесению вреда жизни и здоровью, не запрещены международным гуманитарным правом. При этом запрещено использовать кибер-операции для того, чтобы сеять страх среди населения ( недавний взлом Twitter'а Associated Press сюда замечательно попадает на мой взгляд).
- Руководство кибероперациями, повлекшими за собой жертвы среди гражданского населения (или могущие повлечь такой ущерб) классифицируются как военные преступления.
- Кибератаки должны направляться против конкретных целей и объектов. "Веерные" атаки, которые могут задеть гражданских, должны быть под запретом.
- Объекты, необходимые для выживания гражданского населения (лечебные учреждения, продовольственные магазины, ЖКХ-объекты), а также медицинский персонал и служители церкви подпадают под международное гуманитарное право и на них не должны быть направлены кибероперации (даже случайно).
