В 2021 году все государства-члены ООН пришли к соглашению о принципах ответственного поведения государств в киберпространстве, основанных на нормах, разработанных Группой правительственных экспертов ООН в 2015 году. Старший вице-президент и директор программы стратегических технологий американского аналитического центра Center for Strategic and International Studies Джеймс Эндрю Льюис опубликовал доклад, в котором анализируются особенности этого соглашения, а также даются рекомендации по достижению международного консенсуса по кибербезопасности.
Соглашение о принципах ответственного поведения государств в киберпространстве является существенным шагом вперед в построении международной кибербезопасности. Однако, по словам автора доклада, международный опыт с 2015 года показал, что согласования норм недостаточно для обеспечения их соблюдения или создания стабильности в киберпространстве.
«Это сместило дискуссию от того, какие нормы необходимы, к тому, как создать подотчетность и что делать, когда нормы игнорируются. Хотя нормы, согласованные всеми государствами-членами, в конечном итоге укрепят международную стабильность, для достижения прогресса необходимо будет разработать коллективную дипломатическую стратегию для улучшения соблюдения норм и повышения ответственности в случае их игнорирования», — говорится в докладе.
Предположение эксперта заключается в том, что ответственность за злонамеренные действия в киберпространстве может быть усилена только в том случае, если решение государства не соблюдать нормы соглашения будет иметь последствия.
«Бездействие в ответ на проступки, по-видимому, только поощряет противников. Ближайшая задача — определить условия коллективного действия. Среди демократических стран-единомышленников было первоначальное и неофициальное соглашение о том, что подотчетность требует наложения последствий за несоблюдение норм, но необходимо решить несколько вопросов. К ним относятся соглашение о стандартах установления источника злонамеренного действия и соглашение о пропорциональном, законном и эффективном ответе. Коллективный подход необходим для успеха усилий по обеспечению подотчетности», — подчеркивает автор доклада.
Одним из недостатков согласованных ООН норм Джеймс Эндрю Льюис называет отсутствие у них «свободы воли» или способности действовать. По его словам, возможности достижения согласия в Организации Объединенных Наций по реагированию на злонамеренные действия в киберпространстве очень ограничены.
«Теоретически ответственность возлагается на международное сообщество, действующее через Совет Безопасности Организации Объединенных Наций (СБ ООН), но на самом деле это означает, что возможности достижения согласия в Организации Объединенных Наций по реагированию на злонамеренные действия в киберпространстве очень ограничены. Обеспечение подотчетности всегда было трудным для международного сообщества, не только в киберпространстве. Кроме того, Государства по понятным причинам неохотно соглашаются на принудительные меры — особенно те, которые связаны с применением силы или угрозой ее применения — в отношении киберинцидентов, виновность которых отрицается, правила до сих пор не ясны, а ущерб со стратегической точки зрения обычно минимален. Отсутствие последствий для отдельных кибер-действий позволяет легко игнорировать попытки привлечь к ответственности», — говорится в докладе.
По словам Джеймса Эндрю Льюиса, способность определить источник атаки имеет решающее значение для повышения ответственности в киберпространстве и придания смысла согласованным на международном уровне нормам. Автор предлагает государству-жертве кибератаки ответить на ряд вопросов, которые являются критериями для установления источника атаки — то есть решения задачи атрибуции. Например, чьи стратегические интересы лучше всего удовлетворяются путем нарушения суверенитета посредством кибератак? Кто, судя по их публичным действиям и заявлениям, может нарушить суверенитет государства-жертвы кибератаки? Поддерживают ли последствия этого нарушения стратегические интересы другого государства? Имеются ли прецедентные действия подозреваемого государственного субъекта? Сталкивались ли другие государства с аналогичными нарушениями, возможно, одновременно, и указали ли они источник нарушения? Предоставили ли союзники или страны-партнеры подтверждающую информацию об источнике нападения?
Ответив на эти и ряд других вопросов, государство, ставшее жертвой кибератаки, могло бы определить источник атаки.
«Наша цель должна состоять в том, чтобы достичь понимания с авторитарными странами в отношении того, что больше не приемлемо в киберпространстве. Значимые переговоры с противниками США в ближайшей перспективе невозможны — они не заинтересованы в серьезном взаимодействии, а Соединенным Штатам не хватает доверия, — но, если Соединенные Штаты будут проводить напористую стратегию, они в конечном итоге могут усадить их за стол переговоров. В любых переговорах Запад не получит всего, чего хочет», — подчеркивается в докладе.
Дискуссия о международных нормах кибербезопасности, по словам автора доклада, «наметила возможные новые направления, но оставила много открытых вопросов, на некоторые из которых можно ответить только в свете опыта».
«Какую форму примут последствия, какие сообщения должны их сопровождать и сколько времени потребуется оппонентам, чтобы отреагировать и приспособиться к новому дипломатическому подходу, — все это открытые вопросы. Чтобы эти нормы имели силу, необходимо определить действия, соответствующие обязательствам по международному праву и согласующиеся между союзниками», — заключает автор доклада.
