Почему миру нужен новый Кибердоговор для критической инфраструктуры
Кибербезопасность

Почему миру нужен новый Кибердоговор для критической инфраструктуры

Источник
Хотя государства признают необходимость улучшения защиты критической инфраструктуры от кибератак, национальные и международные усилия принесли ограниченные результаты. Решением мог бы стать глобальный договор, укрепляющий сотрудничество в этом вопросе.

Дня не проходит без новостей о том, что критическая инфраструктура — в энергетике, здравоохранении, транспорте или других секторах — подвергается компьютерным атакам. В начале февраля агентства кибербезопасности пяти стран предупредили операторов инфраструктуры о присутствии спонсируемых китайским государством субъектов, стремящихся позиционировать себя для кибератак на критическую инфраструктуру США “в случае крупного кризиса или конфликта с Соединенными Штатами”. Парой месяцев ранее СМИ сообщили, что ядерный объект в Соединенном Королевстве стал объектом кибератаки, что вызвало вопросы о последствиях потенциальной неисправности ядерных объектов.

Тем не менее, хотя большинство стран признают необходимость защиты критической инфраструктуры от кибератак, в большинстве из них также отсутствует законодательство на этот счет. На международном уровне сотрудничество в этой области также ограничено. В 2015 году государства-члены ООН приняли набор добровольных норм, которые охватывают критическую инфраструктуру, и согласились с тем, что существующее международное право также применяется в киберпространстве, но эти решения оказали незначительное влияние. Напротив, список государств, ставших жертвами кибератак на национальную инфраструктуру, остается длинным. По данным Международного энергетического агентства, эти атаки по меньшей мере удвоились в большинстве секторов в период с 2020 по 2022 год. Киберриски для критической инфраструктуры продолжают расти — тенденция, усугубляемая конкурентным геополитическим контекстом и однозначной поддержкой Западом Украины в войне против России.

Атаки на критическую инфраструктуру, возможно, становятся новой нормой, но реакция не может быть обычной. Международному сообществу необходимо рассмотреть вопрос о принятии глобального договора о кибербезопасности для защиты критической инфраструктуры. В области, где многие государства уже активно участвуют, международный договор мог бы дополнить существующие правила и способствовать повышению глобального уровня кибербезопасности. Обязательные, запретительные меры могут натолкнуться на сопротивление правительств, и влияние таких мер на количество и масштаб кибератак в конечном итоге будет зависеть от соблюдения государствами. Но позитивные обязательства, направленные на кибербезопасность и безопасность операторов критической инфраструктуры, могут изменить правила игры в повышении киберустойчивости во всем мире.

Это предложение не отменяет применимости существующего международного права в киберпространстве. Скорее, новая правовая база обеспечила бы дополнительные гарантии, установив позитивные обязательства и запретив определенные виды действий. По общему признанию, идея кибердоговорного договора не нова. Но это не повторение призыва Microsoft 2017 года к Женевской конвенции о цифровых технологиях или более ограниченного 2023 года предложения Немецкого совета по международным отношениям, который призвал государства подписать двусторонние декларации о недопустимости проведения киберопераций против отдельных объектов критической инфраструктуры. Он также не поддерживает пересмотренную Россией концепцию киберконвенции 2023 года, которая, несмотря на ссылки на защиту критической инфраструктуры, просто инструментализировала международное право для получения явных политических выгод.

Вместо этого это предложение является приглашением государствам или группам государств, в частности ЕС, взять на себя руководство и поощрять ответственное поведение государств в киберпространстве по конкретному политическому вопросу. В этом смысле новый договор воплотил бы в жизнь две идеи, представленные генеральным секретарем ООН в 2023 году: превратить критическую инфраструктуру в зону, свободную от кибератак, и разработать глобальный механизм подотчетности в киберпространстве. Это также способствовало бы более ранним размышлениям на заседаниях Совета Безопасности ООН о кибератаках на критическую инфраструктуру и ответственности государств.

Есть пять ключевых причин, по которым сейчас важно объединить международное сообщество вокруг договора о защите критической инфраструктуры.

РЕАГИРОВАНИЕ НА КОНКРЕТНЫЙ ГЛОБАЛЬНЫЙ ВЫЗОВ

Глобальный характер кибератак на критическую инфраструктуру, которые варьируются от атак на систему социального обеспечения Коста—Рики и финансовый сектор Австралии до нападений на порты Южной Африки и норвежские энергетические компании— подчеркивает необходимость укрепления международного сотрудничества в этой области. Акцент на защите критической инфраструктуры достаточно узок, чтобы избежать основного греха других предложений, которые либо слишком широки по охвату, таких как российское предложение 2023 года, в котором основное внимание уделяется информационной безопасности в целом, либо просто повторяют существующие международные обязательства.

Кибератаки на критическую информационную инфраструктуру вызывают обеспокоенность по поводу функционирования цифровых обществ и наносят ущерб гражданскому населению. По мере роста оцифровки услуг, поддерживаемой разработкой и внедрением новых технологий, таких как искусственный интеллектриски, связанные с подключением, будут расти. Воздействие этих технологий выходит за рамки их непосредственных последствий для функционирования критической инфраструктуры и может существенно повлиять на способность людей адаптироваться к системным рискам изменения климата, деградации окружающей среды и нехватки ресурсов. Поскольку кибератаки на критическую инфраструктуру попадают в заголовки газет и мобилизуют правительства к действиям, они также могут привести к недопониманию, эскалации и, в конечном итоге, к конфликту. Растущее признание активной киберзащиты и развитие возможностей кибератак в рамках национальных кибердоктрин повышают вероятность наихудших сценариев.

Скептики могут возразить, что согласование универсального определения критической инфраструктуры было бы невозможно, что привело бы к провалу всего процесса. Но такой аргумент чрезмерно прост. Существуют разные способы определения критической инфраструктуры. Одним из подходов могло бы быть определение конкретных секторов или критериев, связанных с последствиями сбоя инфраструктуры. Такой подход предложен в Рекомендации Организации экономического сотрудничества и развития (ОЭСР) 2019 года по цифровой безопасности критически важных видов деятельности, в которой основное внимание уделяется “экономической и социальной деятельности, прерывание которой может иметь серьезные последствия” для определенных целей, таких как здоровье граждан или эффективное функционирование правительства. В этих рамках каждому государству может быть предоставлено право решать, на какую именно инфраструктуру или услуги распространяются обязательства по любому новому договору. Тип обязательств будет иметь решающее значение при определении того, возможен ли международный консенсус.

Что касается любых новых договорных положений, которые запрещают государствам проводить кибероперации против критической инфраструктуры других государств, формулировки должны быть более конкретными. Было бы трудно избежать определения типов соответствующей инфраструктуры, чтобы обеспечить правовую определенность, необходимую для такого рода обязательств. Недостатком такого предложения, конечно, является то, что все, что прямо не запрещено, может считаться разрешенным. Обойти эту трудность можно, сосредоточившись не на цели, то есть на материальном объеме обязательства, а на его последствиях. Приведу конкретный пример: в случае атак на ИТ-системы ветряных электростанций положения могут быть сосредоточены не на усилиях по нарушению работы самих систем, а на последствиях, которые вредоносная деятельность окажет на граждан и предприятия. Тогда сложность сместится к достижению соглашения о том, что представляет собой запрещенное воздействие.

Вопросы определения с меньшей вероятностью станут проблемой в случае позитивных обязательств по развитию международного сотрудничества или принятию стандартов кибербезопасности, таких как те, которые согласованы Международной организацией по стандартизации. То же самое относится и к обязательствам, касающимся уголовных преступлений, связанных с кибератаками. Короче говоря, вопрос об определениях будет сложной задачей, но его можно решить, учитывая спектр доступных подходов.

Скептики могут также предположить, что ограничение сферы действия нового документа защитой критической инфраструктуры приведет к нацеливанию на активы, которые не определены как критические. Но это тоже далеко от истины. Наличие более конкретного закона, посвященного определенным видам обязательств, не означает, что общее международное право и такие отрасли, как право прав человека, не применяются. Если бы кибероперации государств против критической инфраструктуры были запрещены, те же действия против других типов инфраструктуры все еще могли быть незаконными на основании других норм международного права. Даже если более ограниченный охват не является идеальным, снятие ответственности с поставщиков критически важных услуг путем запрета атак на них должно стать первым шагом к тому, чтобы сделать киберпространство более безопасным и стабильным.

Конечно, государства могут выбрать очень широкое определение критической инфраструктуры. Но такое определение повлечет за собой конкретные обязательства и издержки как для заинтересованных государств, так и для организаций, управляющих критической инфраструктурой, включая расходы, связанные с отчетностью и надзором. Например, отчет о выполнении директивы ЕС от 2016 года о безопасности сетей и информационных систем (Директива NIS) показывает, что, хотя большинство государств-членов ЕС определили менее 500 операторов основных услуг, в Финляндии это число достигло почти 11 000, в том числе особенно большое число в секторе здравоохранения. В результате Финляндия должна обеспечить, чтобы эти организации внедрили адекватные меры кибербезопасности для управления рисками, надзора и правоприменения, которые требуют значительных ресурсов. Таким образом, решения о назначении определяются необходимостью сбалансировать выгоды от защиты объектов инфраструктуры и связанные с этим затраты на выполнение возложенных на них обязательств.

ЗАКРЕПЛЕНИЕ СУЩЕСТВУЮЩЕГО ПРОГРЕССА

Переговоры по новому правовому документу не начнутся с нуля, а выиграют от продолжающихся дебатов о применении существующего международного права в киберпространстве. Прогресс, достигнутый за два десятилетия в ходе обсуждения рамок ООН для ответственного поведения государств в киберпространстве, обеспечивает прочную основу как с точки зрения позитивных обязательств, так и запретов.

Три из одиннадцати добровольных норм ответственного поведения государств, принятых ООН, прямо говорят о том, что государства должны или не должны делать для защиты критической инфраструктуры. Во-первых, государства не должны осуществлять или сознательно поддерживать деятельность в области ИКТ, противоречащую их обязательствам по международному праву, если эта деятельность намеренно наносит ущерб критической инфраструктуре или ухудшает ее использование для предоставления общественных услуг (норма 13f). Во-вторых, государства должны принимать соответствующие меры для защиты своей критической инфраструктуры от угроз ИКТ (норма 13g). В-третьих, государства должны отвечать на просьбы о помощи от других государств, критическая инфраструктура которых подвергается вредоносным действиям в области ИКТ; государства также должны отвечать на просьбы о смягчении вредоносной деятельности в области ИКТ, исходящей с их территории и направленной против критической инфраструктуры других государств (норма 13h).

Каждая из этих норм была более подробно разработана в докладе Группы правительственных экспертов ООН за 2021 год (GGE). Многочисленные национальные материалы и заявления, сделанные в ходе Рабочей группы открытого состава (РГОС) по киберпро-блемам, созданной в 2020 году, дают дополнительные рекомендации относительно того, что мог бы охватывать новый договор, когда речь заходит о совместных мерах по обеспечению безопасности. Совет Безопасности ООН также рассмотрел проблему защиты критической инфраструктуры, призвав принять меры, в том числе по кибербезопасности, для предотвращения террористических атак на критическую инфраструктуру и реагирования на них.

Когда речь заходит о конкретных правонарушениях, связанных с кибероперациями, атаки на критическую инфраструктуру редко упоминаются в договорах о киберпреступности. Заметным исключением является Конвенция Африканского союза 2014 года о кибербезопасности и защите персональных данных, известная как Малабская конвенция. Конвенция призывает подписавшие ее государства принять законодательные и / или нормативные меры для обозначения и защиты своей критической информационной инфраструктуры. Кроме того, Пекинская конвенция 2010 года о борьбе с незаконными актами, касающимися международной гражданской авиации, касается киберопераций, в том числе путем криминализации таких операций против аэронавигационных средств.

Что касается запретов, то ситуация кардинально иная. Помимо добровольных и необязывающих норм, таких как нормы ООН, существует очень мало международных документов, запрещающих кибероперации против критической инфраструктуры, проводимые государствами в мирное время, если вообще существуют. Следует отметить, что любой международный запрет, вероятно, будет иметь ограниченную сферу применения. Например, хотя вышеупомянутая норма 13f рекомендует государствам воздерживаться от проведения киберопераций против критической инфраструктуры, сфера действия нормы ограничена двумя дополнительными критериями: конкретными последствиями запрещенных операций и их незаконностью в соответствии с действующим международным правом. В конечном счете, эта ограниченная сфера применения приводит к тому, что норма обеспечивает меньшую защиту, чем общее международное право. Для аналогичных положений в новом договоре необходимо было бы четко оговорить, что такие запреты не затрагивают другие существующие запреты, вытекающие из общего международного права.

Более многообещающим подходом к потенциальному новому договору могло бы стать сосредоточение внимания на серых зонах в международном праве. Несмотря на огромные усилия по обеспечению прозрачности и разъяснению применения международного права в киберпространстве, такие как Инструментарий киберправа и Оксфордский процесс по защите международным правом в киберпространстве, общего консенсуса в этой области нет. Чем больше государств публикуют статьи по международному праву, тем труднее становится найти области, в которых они сходятся. Учитывая различия в толковании международного права, запрет киберопераций против критической инфраструктуры может повысить уровень правовой защиты. Позаимствуя слова бывшего генерального прокурора Соединенного Королевства Суэллы Браверман, “различия в юридической аргументации не должны заслонять общую позицию”, согласно которой защита критической инфраструктуры имеет первостепенное значение для международного мира и безопасности.

Альтернативным путем, и, вероятно, более привлекательным с точки зрения укрепления международно-правовой базы, было бы уделять меньше внимания запрещению кибератак и больше – кибербезопасности и сохранности критической инфраструктуры. Такой подход мог бы применяться параллельно с усилиями по разъяснению применения международного права в киберпространстве. Действительно, разрабатывая новые обязательства, которые также направлены на обеспечение безопасности и стабильности в киберпространстве, и регулируя поведение государств в этой области, государства дали бы понять, что международное право является основной нормативной базой, направляющей их действия. Кроме того, принятие четких позитивных обязательств по кибербезопасности, а также сотрудничество по этому вопросу проложили бы путь к развитию автономного правового режима, основанного на внутренней согласованности различных правил, регулирующих защиту критической инфраструктуры.

Нынешняя практика далека от согласованности, несмотря на общую приверженность принципам ответственного поведения государств. Процессы ООН и национальные позиции по применению существующего международного права в киберпространстве могут служить важным источником вдохновения. Существует также большой свод национальных законов, нормативно-правовых рамок и политики, принятых правительствами, которые могут послужить основой для обсуждения новых положений договора. Многочисленные обязательные и необязательные международные документы содержат соответствующие обязательства по защите критической инфраструктуры, управлению кризисами, сотрудничеству между группами реагирования на компьютерные чрезвычайные ситуации (CERT), схемам сертификации, мерам кибербезопасности, государственно-частному партнерству и обмену информацией об угрозах. Известные примеры таких инструментов включают Декларацию Организации американских государств о защите критической инфраструктуры от возникающих угрозРамочную программу защиты критической информационной инфраструктуры Ассоциации государств Юго-Восточной Азии и Малабскую конвенцию.

Другие многосторонние организации выпустили аналогичные документы, такие как взгляд Международного союза электросвязи на защиту критической информационной инфраструктуры, Рекомендация ОЭСР по цифровой безопасности критически важных видов деятельности, Заявление G7 об экономической устойчивости и экономической безопасности и общая концепция критической инфраструктуры “Критической пятерки”. ЕС принял несколько нормативных рамок для повышения устойчивости критической инфраструктуры, включая Директиву NIS IIДирективу об устойчивости критически важных объектов и предлагаемый Закон о киберсолидарности.

УСИЛЕНИЕ ПОДОТЧЕТНОСТИ

Новый договор также отвечал бы потребности в большей подотчетности в киберпространстве. Нынешнее положение дел, при котором государства не несут ответственности за атаки на критическую инфраструктуру, которые могут причинить вред тысячам гражданских лиц, неприемлемо. Заявления о том, что в киберпространстве применяется существующее международное право, не привели к каким-либо конкретным изменениям в ситуации, поскольку государства неохотно используют существующие механизмы.

Укрепит ли новый договор подотчетность, будет зависеть от второстепенных обязательств, связанных с мониторингом выполнения договора, механизмом урегулирования споров и институциональными положениями, такими как создание постоянного секретариата. Что касается механизмов последующей деятельности, то давно установлено, что международный контроль, основанный на публичности, посредством которого государства должны сообщать, выполнили ли они положения конвенции и каким образом, играет важную роль в повышении подотчетности. Можно было бы предусмотреть конкретный график реализации.

Международный договор мог бы также обеспечить большую прозрачность в отношении шагов, которые государствам необходимо предпринять в случае спора о толковании конвенции. Например, в договоре можно было бы прямо предусмотреть консультации либо между подписавшими его сторонами, либо с третьей стороной. Но договор мог бы пойти еще дальше и включить положения, относящиеся к юрисдикции судебного органа или арбитра. Положения такого типа были бы особенно необходимы в случае запретительных положений из-за спорного характера присвоения в кибероперациях. По этой причине договор должен предусматривать создание положений об урегулировании споров.

Тем не менее, достичь высокого стандарта подотчетности все еще может быть трудно. Государства, наиболее часто связанные с враждебными кибероперациями, не являются самыми большими поклонниками международных механизмов урегулирования споров. Существует высокий риск того, что они никогда не подпишут договор, имеющий какие-либо ограничения по урегулированию споров, будут возражать против таких положений или, что еще хуже, будут стремиться к тому, чтобы такие положения никогда не попали в проект текста. Это, однако, не означает, что договор не окажет никакого влияния. Например, хотя Международный уголовный суд не пользуется всеобщим признанием в качестве механизма привлечения к ответственности за нарушения международного права, он все же может сыграть важную роль, когда дело доходит до выявления злоупотреблений киберпространством в связи с военными преступлениями, преступлениями против человечности, геноцидом и даже агрессией одного государства против другого.

Даже если переговоры о механизме подотчетности в межгосударственных отношениях провалятся, не следует недооценивать демократическую подотчетность правительств перед своими гражданами. Заключение договора о кибербезопасности является подотчетным процессом, поскольку свидетельствует о чувстве ответственности государств: обеспечение безопасности инфраструктуры, на которую их граждане полагаются в своей повседневной деятельности.

ПЕРЕОРИЕНТАЦИЯ НА НАРАЩИВАНИЕ КИБЕРНЕТИЧЕСКОГО ПОТЕНЦИАЛА

Новый договор о защите критической информационной инфраструктуры также будет способствовать рационализации и профессионализации международных усилий по наращиванию киберпотенциала. Глобальные инвестиции в инфраструктурные проекты и цифровую трансформацию растут, но лишь у горстки доноров есть надлежащие стратегии снижения рисков или включения кибербезопасности в такие проекты.

В отчете GGE ООН за 2021 год перечислены несколько конкретных мер по наращиванию киберпотенциала, которые напрямую связаны с защитой критической инфраструктуры, таких как разработка национальной политики, стратегий и программ в области ИКТ; повышение потенциала CERT и групп реагирования на инциденты компьютерной безопасности (CSIRTs) и укрепление механизмов их сотрудничества; повышение безопасности, устойчивости и защиты критической инфраструктуры; а также расширение технического и юридического потенциала всех государств для расследования и устранения серьезных инцидентов в области ИКТ. Результаты этих мер были неравномерными и им препятствовало дублирование усилий. Например, несколько доноров предоставили финансирование для создания сертификатов или поддержали одни и те же правительства в разработке их национальных стратегий кибербезопасности, особенно среди так называемых избранных. Между тем, прогресс в достижении других важных целей, таких как разработка национальных планов реагирования на киберкризисы и механизмов снижения рисков, замедляется.

Глава договора, посвященная технической помощи и наращиванию кибернетического потенциала, помогла бы устранить некоторые из этих пробелов. Одна из трудностей заключается в том, что положения, касающиеся защиты критической инфраструктуры, а также мер сотрудничества в этой области, разбросаны по разным отчетам ООН. Трудно понять приоритеты, определенные в последовательных программных документах, и их совокупную дополнительную ценность. Например, каждый из докладов ГПЭ ООН и РГОС содержит разные рекомендации и часто реинтегрирует только части предыдущих целей. В приложении о мерах укрепления доверия к ежегодному отчету о ходе работы РГОС за 2023 год содержится несколько приоритетов, но без четких указаний относительно того, как они были определены и существует ли какая-либо иерархия их важности.

Разъясняя, что государства должны делать для защиты критической инфраструктуры, новый договор помог бы государствам расставить приоритеты и предпринять конкретные действия. Это также позволило бы государствам выявить пробелы в своих возможностях по обеспечению соблюдения договора. Такая четкая и целенаправленная постановка целей могла бы повысить эффективность международных усилий по наращиванию киберпотенциала. Этот подход особенно хорошо сработал в контексте Будапештской конвенции о киберпреступности и связанных с ней проектов по наращиванию потенциала, таких как Глобальные действия по борьбе с киберпреступностью (GLACY/GLACY+) и других совместных проектов ЕС и Совета Европы. Глава договора, посвященная технической помощи и наращиванию потенциала, придаст более стратегическую направленность нынешним разрозненным усилиям международных и региональных организаций, многосторонних банков развития и других групп заинтересованных сторон.

ВДОХНУТЬ НОВУЮ ЖИЗНЬ В ПРОЦЕССЫ ООН

Наконец, новый договор о защите критической инфраструктуры может придать новое ощущение цели процессам ООН по ответственному поведению государств в киберпространстве. В частности, он может предложить рекомендации по продвижению дискуссий о Программе действий в киберпространстве (PoA) и представить потенциальное решение, если ООН не сможет придерживаться единого курса после 2025 года, когда закончится РГОС. Под руководством Франции уже есть предложение о том, чтобы Киберподписка заменила рабочую группу, но, как показала сессия РГОС в марте 2024 года, соглашения о дальнейших действиях нет. Это делает сценарий двух параллельных процессов вполне вероятным.

В сценарии, при котором Киберподписка становится единой платформой для этих дискуссий, он мог бы использовать подход, ориентированный на конкретные проблемы, начиная с акцента на защите критической инфраструктуры. Впервые предложенный в 2020 году, процесс киберподчинения до сих пор не дал четкого представления о том, чего он должен достичь. Включение обсуждения договора о кибербезопасности для критической инфраструктуры в рамках PoA в качестве приоритетной области придало бы предложению большую направленность. Это также означало бы нажатие кнопки перезагрузки дискуссий по пересмотренному проекту договора об информационной безопасности 2023 года, инициатором которого является Россия. Встречное предложение, более сфокусированное на защите критической инфраструктуры, позволило бы сторонникам Киберподписки владеть дискуссиями по договору и формировать их, вместо того чтобы постоянно занимать оборонительную позицию в отношении предложений по договору. Это также дало бы остальному международному сообществу возможность участвовать в дискуссиях о договоре, ориентируясь на содержание.

В альтернативном сценарии на период после 2025 года, при котором новая РГОС и Программа действий в киберпространстве существуют параллельно, первая могла бы обеспечить платформу для общих обсуждений, в то время как вторая используется для более целенаправленных дискуссий по конкретным вопросам. Это различие должно быть закреплено в соответствующих резолюциях ООН. Акцент на защите критической инфраструктуры в рамках Программы действий в области кибербезопасности превратил бы этот процесс в платформу, которая внесла бы очевидную добавленную стоимость в обсуждения в РГОС, избегая дублирования. Этот подход мог бы, например, следовать модели всеобъемлющих Программ действий ООН для наименее развитых стран, которые принимались неоднократно, каждый раз фокусируясь на другом вопросе. Это позволило бы сообществу ООН конструктивно продвигаться вперед с видимым конкретным результатом и без дополнительной нагрузки на государства-участники, ограничивая количество заседаний и избегая дублирования.

Соглашение о кибербезопасности также может быть использовано в качестве механизма для предоставления руководящих принципов по внедрению и мониторингу превентивных мер в рамках нового договора. Например, Программа действий ООН по стрелковому оружию и легким вооружениям предусматривает национальные отчеты об осуществлении, которые составляют основу для выявления передовой практики и извлеченных уроков. Подписавшие этот ПД также согласились ввести в действие Международный документ по отслеживанию, который обязывает государства надлежащим образом маркировать оружие, вести учет и сотрудничать в отслеживании оружия. Эти требования являются примерами того, как Соглашение о кибербезопасности могло бы служить платформой для разработки дополнительных руководящих принципов по реализации потенциального договора о кибербезопасности.

КТО БУДЕТ РУКОВОДИТЬ?

По общему признанию, предложение о новом кибердоговорном договоре представляет собой значительный отход от нынешней доминирующей позиции, занятой правительствами многих западных стран. Тем не менее, этот призыв не требует от государств отказа от своих существующих позиций. Гораздо более широкий набор нынешних подходов к позитивным обязательствам по сравнению с запретами предполагает, что международный консенсус с большей вероятностью будет достигнут по первому, чем по второму. В этом контексте рекомендация генерального секретаря ООН от июля 2023 года “объявить, что инфраструктура, необходимая для государственных услуг и функционирования общества, закрыта для злонамеренной киберактивности”, кажется чрезвычайно амбициозной.

Любое государство или группа государств, которые берут на себя руководство в этой области, должны будут инвестировать в интенсивные дипломатические усилия по взаимодействию с международными партнерами по обе стороны дебатов. Любое предложение по кибердоговорному договору будет спорным в текущем геополитическом контексте, как показали переговоры ООН по договору о киберпреступности, которые продолжаются с мая 2021 года. Включение в уравнение критической инфраструктуры делает ситуацию еще более сложной. Однако в конечном итоге, имеет ли такой договор какие-либо шансы на успех, будет зависеть от готовности государств достичь соглашения о его сфере охвата и механизме подотчетности. С международно-правовой точки зрения это означает достижение консенсуса по множеству вопросов: конкретные правонарушения, связанные с компьютерными атаками на критическую инфраструктуру, меры сотрудничества по предотвращению и устранению последствий киберопераций против критической инфраструктуры, обмен информацией о национальном законодательстве и мерах кибербезопасности.

ЕС является подходящим кандидатом для решения этой задачи. За последние десять лет ЕС вложил значительные средства в укрепление защиты своей критической инфраструктуры от кибератак. Фонд разработал сложную правовую базу для обеспечения высокого уровня кибербезопасности во всем союзе с помощью Директив NIS и NIS II и Закона о цифровой операционной устойчивости. ЕС также согласовал требования к кибербезопасности для продуктов с цифровыми элементами посредством Закона о киберустойчивости и работает над укреплением своих механизмов реагирования на чрезвычайные ситуации в киберпространстве и обеспечением взаимной помощи в случае инцидентов посредством Закона о киберсолидарности. И ЕС укрепили сети для технического, оперативного и политического сотрудничества между институтами ЕС и государствами-членами в случае крупномасштабных киберинцидентов, затрагивающих критическую инфраструктуру.

Чтобы обеспечить безопасную связь для своих граждан и защитить принцип открытых рынков, ЕС сопротивлялся призывам к общим запретам и принял методологию, основанную на оценке рисков, как в наборе инструментов союза для обеспечения безопасности 5G. ЕС также неоднократно подтверждал свою приверженность применению международного права в киберпространстве и укреплению нормативной базы ответственного поведения государств. Обязательства ЕС по защите прав человека в Интернете и ориентированному на человека видению цифровой трансформации обеспечивают доверие, которое потребуется при обсуждении нового договора.

Од Жери – старший научный сотрудник в области международного публичного права и цифровой безопасности в Geopolitics of the Datasphere (GEODE), исследовательском и учебном центре Парижского университета 8. Ее исследования сосредоточены на толковании международного права в киберпространстве и многосторонности в области цифровой безопасности.

Авторы хотели бы поблагодарить Ралуку Чернатони, Свена Херпига, Кубо Мачака, Пола Тиммерса, Гэвина Уайлда и Фан Янг за их комментарии к более ранним версиям этой статьи. Все ошибки и упущения принадлежат только авторам.

admin
Author: admin