Атака с помощью вируса Stuxnet против иранского ядерного предприятия представляла собой «акт применения силы» и, возможно, противоречила международному законодательству и уставу НАТО, говорится в массивном документе, подготовленном группой экспертов по международному праву по заказу Совместного центра НАТО по обмену передовым опытом в сфере киберзащиты (Co-operative Cyber Defence Centre of Excellence, CCDCOE). Этот центр располагается в столице Эстонии Таллинне, поэтому и данная работа носит название «Таллиннское руководство по международному законодательству, относящемуся к сфере киберобороны».
«Таллиннское руководство» представляет собой трёхсотстраничный документ, над составлением которого работали гражданские и военные юристы из стран НАТО, а также аналитики компаний, занимающихся вопросами кибербезопасности. Интересно, что для консультации привлекали даже Международный комитет Красного Креста.
Ведущий автор «Руководства» Майкл Шмитт, профессор международного права в Военно-морском колледже ВМФ США в Род-Айленде, заявил: «Мы написали эту работу в помощь юридическим советникам правительств и военных, это почти что учебник. Написанием законов занимаются государства, а не академики. Мы хотели создать нечто, что поможет государствам определяться со своей позицией в подобных случаях».
В целом позиция Шмитта сводится к следующему: если кибератаки осуществляются до того, как начнутся открытые военные действия, «это преступление», то есть действие, остающееся в рамках криминального права. Но если кибератака сопровождает «обычные» военные действия, то организаторы этих атак могут рассматриваться как комбатанты — со всеми вытекающими из международного права последствиями, вплоть до пленения или физического уничтожения киберзлоумышленников как солдат враждебной армии.
С такой позицией, впрочем, далеко не все согласны.
Двадцать экспертов, участвовавших в разработке документа, единогласно признали, что история со Stuxnet — это акт применения силы. Однако они оказались далеко не столь единодушны в отношении того, можно ли считать этот случай киберсаботажа «вооружённым нападением». Признать его таковым значит признать за Ираном право на ответные действия с применением оружия. То есть на начало полномасштабных военных действий. С кем? С теми, кто спонсировал создание и использование этого червя, очевидно.
Газета Washington Times приводит мнение Джеймса Льюиса, представителя Центра стратегических и международных исследований (Center for Strategic and International Studies), который говорит, что в таких случаях юристов не следует спускать с поводка и что к настоящему времени конфликтов в киберпространстве набралось не так много, чтобы государства могли разрабатывать нормы и правила интерпретации международного законодательства в приложении к сфере кибербезопасности. Авторов «Таллиннского руководства» Льюис назвал «опережающими события»:
— Кибератака обычно не будет рассматриваться как акт применения силы. По этой причине, например, Эстония не стала применять Статью V в 2007 году.
Речь идёт о ключевой статье Североатлантического договора — документа, на основании которого существует блок НАТО:
Договаривающиеся стороны соглашаются с тем, что вооружённое нападение на одну или нескольких из них в Европе или Северной Америке будет рассматриваться как нападение на них в целом, и, следовательно, соглашаются с тем, что в случае, если подобное вооружённое нападение будет иметь место, каждая из них, в порядке осуществления права на индивидуальную или коллективную самооборону, признаваемого Статьёй 51-й Устава Организации Объединённых Наций, окажет помощь Договаривающейся стороне, подвергшейся или Договаривающимся сторонам, подвергшимся подобному нападению, путём немедленного осуществления такого индивидуального или совместного действия, которое сочтёт необходимым, включая применение вооружённой силы с целью восстановления и последующего сохранения безопасности Североатлантического региона.
Атаки 11 сентября 2001 года — единственный раз, когда блок НАТО действительно отреагировал в соответствии с этой статьёй.
Что же касается 2007 года, то речь идёт о скандале в связи с переносом Бронзового солдата — Монумента павшим во Второй мировой войне из центра Таллинна на военное кладбище. Киберпространство Эстонии подверглось многочисленным DDoS-атакам, источники части которых находились в России. Естественно, ходили слухи, что эти атаки были организованы чуть ли не российскими властями или особо патриотично настроенными хакерами (как минимум призывы атаковать сайт правительства Эстонии действительно имели место быть на разных форумах — [1], [2]).
Эстония лишь потребовала расследовать эти кибератаки, но, как уже сказано, к Статье V прибегать не стала. К счастью. Тем более что доказать, что за спиной хакеров, долбивших чей-либо правительственный сайт, стояло недружественное государство, крайне трудно. Если вообще возможно.
С 2011 года США занимаются разработкой доктрины о кибербезопасности, общий смысл которой сводится ко фразе «Если вы отключите нам энергосеть, то мы можем заткнуть вам ракетой дымоход». Иными словами, если хакерская атака наносит ущерб, сопоставимый с ущербом от прямого военного вмешательства, то ответом на неё может стать ответное военное вмешательство — настоящее. Позиция, изложенная в «Таллиннском руководстве», выглядит как расширение этого подхода: если имеет место полномасштабная война, мы будем рассматривать организаторов крупномасштабных кибератак как участников боевых действий, членов вражеских вооружённых сил.
Как известно, знаем, «Цифровым Перл-Харбором» США пугают себя и других далеко не первый год, однако пока ничего подобного не происходило — никаких серьёзных атак на жизненно важную инфраструктуру, ничего похожего на содержание фильма «Крепкий орешек-4». Разве что атаки на ресурсы, принадлежащие крупным американским СМИ, которые вроде как проводило и проводит киберподразделение Народно-освободительной армии КНР.
А вот Stuxnet был. И нанёс вполне ощутимый ущерб иранской военной программе под условным названием «Мирный атом». И как ни относись к планам Ирана, Stuxnet, по существу, является кибератакой против государственного предприятия суверенной державы.
В прошлом году в США вышла книга Дэвида Сэнгера «Конфронтация и сокрытие: Тайные войны Обамы и удивительное использование американской мощи», в которой — со ссылкой на осведомлённые источники — прямо говорится об американо-израильском происхождении червя Stuxnet, оставившего завод по обогащению Урана в Натанце без работоспособных центрифуг (подробнее см. в статье Бёрда Киви «Боевой червь Stuxnet»).
В разработке вируса, по данным Дэвида Сэнгера, вследствие ошибки израильских программистов о существовании Stuxnet стало известно широкой публике. Согласно изначальному плану Stuxnet должен был остаться в Натанце, однако из-за проблем в коде он распространился и за пределы предприятия. И только потому, что он попался в итоге компании Symantec и подвергся препарированию, о его существовании вообще стало известно.
«Таллиннское руководство» отчасти является последствием этой утечки. Хотя более важным, пожалуй, представляется тот факт, что данный документ является попыткой сформулировать общую точку зрения НАТО на то, в каком соотношении находятся между собой конфликты в киберпространстве и «традиционные» военные действия с юридической точки зрения. Потому что одно дело — угрозы «заткнуть дымоход» и другое — вполне однозначная (в теории) перспектива применения Статьи V в ответ на атаку a la Stuxnet, но только против члена Североатлантического альянса.
Важно подчеркнуть следующее: вопреки поверхностному впечатлению, «Таллиннское руководство» не создаёт оснований для физической ликвидации хакеров военными силами НАТО. Как пишет Кевин Джон Хеллер, доцент Мельбурнской школы права, из текста «Таллиннского руководства» следует, что право государства на физическое устранение хакеров регулируется целиком и полностью лишь международным гуманитарным правом. Те правила ведения кибервойны, которые прописаны в «Руководстве», вступают в действие только при условии реальных военных действий.
«Попросту говоря: правила «Руководства», допускающие применение смертоносной силы, не распространяются на кибератаки, совершённые в мирное время», — пишет Хеллер.
То есть «Таллиннское руководство» не даёт санкций ни на ракету в дымоход, ни на пулю промеж глаз организатору крупной DDoS-атаки против, например, Пентагона, если этот организатор не проживает на территории государства, объявившего войну США.
P.S. Интересно, однако, что даже в документе, подготовленном по заказу учреждения внутри НАТО, законность использования Stuxnet ставится под сомнение. В связи с этим возникает вопрос: не является ли этот документ свидетельством трений между США и остальными участниками Североатлантического альянса или между США и Израилем? Отношения между союзниками переживают не самые лучшие времена, и в конце прошлого года слышались прогнозы и слухи о том, что Израиль и Штаты могут вот-вот рассориться. А это может иметь самые плачевные последствия для всего Ближнего Востока.
И тогда получится, что глупая ошибка программистов, из-за которой Stuxnet недостаточно хорошо замаскировался, будет иметь «эффект бабочки». Хотя по большому счёту уже имеет.
Другой взгляд на проблему читайте в колонке Михаила Ваннаха «Юридический флёр кибернетической войны: НАТО выработало 95 правил для сражений в информационном пространстве».