Критерии для квалификации действий в киберпространстве: работа на местах

02.06.2016

26 мая я принял участие в круглом столе «Операции в киберпространстве во время вооруженных конфликтов и принцип пропорциональности: мысли вслух», организованном Региональной делегацией Международного комитета Красного Креста, ПИР-Центром и Институтом проблем информационной безопасности (ИПИБ) МГУ. Красный Крест не в первый раз проводит такие мероприятия на своей московской площадке — так, в ноябре 2014 г. в аналогичной конференции в Президент-отеле участвовали и эксперты ИПИБ, и представители МИД и Минобороны РФ, и международные эксперты в сфере МГП. Несмотря на то, что Красный Крест, будучи хранителем международного гуманитарного права, уже давно обратил внимание на вопросы прочтения, адаптации МГП к киберпространству, в международном масштабе «ледоколом» для этой темы стало издание Таллиннского руководства экспертами МГЭ CCD COE НАТО.

Основное впечатление, которое осталось у меня по итогам обсуждения: дискуссия «дозрела» до того, чтобы выйти за рамки базовых вопросов. Вопроса о том, применимо ли в принципе МГП к киберпространству, среди международных экспертов уже пару лет как нет — да, однозначно применимо. Однако при попытке продвинуться дальше обсуждение по факту стопорится и ограничивается констатацией проблем уже не столько теоретико-правового, сколько практического плана. Речь идет прежде всего о двух моментах:

  • Принципиально ограниченных возможностях атрибуции действий в киберпространстве.
  • Отсутствии критериев и «пороговых параметров», позволяющих отграничить те или иные международно-правовые квалификации действий в киберпространстве друг от друга — т. е. того, что по-английски называется calibration.

О проблеме атрибуции также читайте в статье Алексея Лукацкого «Определение источника кибератак»

Индекс Безопасности № 2 (113), Лето 2015

Проблему атрибуции здесь хотелось бы вынести за скобки — с ней действительно больше вопросов, чем ответов, и применением МГП к киберпространству она отнюдь не ограничивается. С критериями и порогами, позволяющими отделить одну правовую классификацию действий/поведения в киберпространстве от другой, ситуация, как представляется, немного иная. Чтобы четко проиллюстрировать проблему, вернемся к выводам авторов первой редакции Таллиннского руководства от 2013 г. Среди прочих в документе содержатся следующие заключения членов Международной группы экспертов:

  • Международно-правовой запрет на применение силы (use of force) распространяется на кибероперации. В отсутствие разработанного определения критерием использования силы признается «нанесение ущерба здоровью людей или повреждение имущества» в результате кибероперации.
  • Государство, которое стало жертвой «вооруженного нападения с использованием ИКТ», имеет право ответить применением силы, будь то средства ИКТ или кинетические вооружения. Вооруженным нападением считаются действия, которые повлекли гибель людей или масштабное разрушение имущества.

Также читайте:

Круглый стол «Применение международного права в киберпространстве»

Индекс Безопасности № 3 (114), Осень 2015

Собственно говоря, ущерб здоровью / гибель людей и повреждение / разрешение инфраструктуры — и остаются почти единственными обсуждаемыми критериями для международно-правовой квалификации тех или иных действий в киберпространстве. Ключевые конкретные задачи в этом плане — отделение понятия использования силы (use of force) от вооруженного нападения (armed attack) по смыслу Устава ООН с использованием ИКТ. Кроме того, третье неизвестное в этом уравнении — понятие агрессии из Статьи 39 того же Устава, которое подробно расписано в Резолюции ГА ООН от 1974 г., но никак не связано с ИКТ и киберпространством. Применимость Устава ООН — а значит и этих трех ключевых понятий — к киберпространству была озвучена одновременно с выходом Таллинского руководства ГПЭ ООН в ее докладе от 2013 г., и подтверждена в докладе 2015 г. А вот в плане критериев ясности с тех пор не прибавилось. Иллюстрация тому — выступление на круглом столе МККК известного международного эксперта, д-ра Нильса Мёльцера, профессора Женевской академии МГП и прав человека. В своей презентации д-р Мёльцер выделяет три разных взгляда на квалификацию того или иного действия в киберпространстве как «вооруженного нападения» (attack):

1) Используемый в документах, составляющих корпус норм МГП, термин «нападение с применением насилия» (violent attack) явно предполагает некие физические либо кинетические последствия такого насилия. Сюда идеально укладывается критерий наличия жертв и разрушений инфраструктуры в результате кибератаки.

2) Достаточно нанесения ущерба/нарушения работы инфраструктуры, если такое нарушение носит постоянный, а не временный характер, и не может быть устранено без принятия специальных дополнительных мер или проведения работ. В таком случае под понятие «атаки» теоретически может подпадать и Stuxnet, и многие другие кейсы кибератак против критически важных объектов (КВО) и иных промышленных объектов за последние годы — например, атака на германский сталеплавильный завод Thyssen-Krupp в ноябре 2014 г., которая привела к повреждению элементов конструкции доменной печи. А вот подпадает ли под это понимание атаки недавний кейс с отключением энергосетей на западе Украины, неясно — ведь энергоснабжение объектов было восстановлено достаточно быстро и не потребовало физической замены инфраструктуры и переоснащения подстанций.

3) Для квалификации действий как атаки достаточно перехвата злоумышленниками контроля над отдельными объектами, а также временное и обратимое нарушение их функционирования. Такой подход может показаться излишне широким, но если приложить его к условному кейсу масштабной кибератаки на финансовый сектор, он имеет право на жизнь. Уже набивший оскомину пример — перехват хакерами контроля над электронной площадкой Нью-йоркской фондовой биржи скорее всего приведет к финансовой панике глобального масштаба. Даже если допустить, что данные о счетах и транзакциях не пострадают в ходе атаки, а контроль над сетью будет восстановлен в течение нескольких часов, этого может оказаться достаточно для мощного удара по финансовому сектору США. В апреле 2013 г. биржевую панику и краткосрочный обвал индекса Dow Jones на 150 пунктов вызвал куда менее серьезный инцидент, когда хакеры взломали твиттер-аккаунт Associated Press и разместили там запись об атаке на Белый Дом и ранении Барака Обамы.

Итак, сообщество международных экспертов хорошо понимает и четко формулирует проблему выработки четкой системы критериев для квалификации действий в киберпространстве. Парадоксально то, что работы по решению этой проблемы не видно. Именно это и удивило меня на мероприятии: несмотря на очень высокий качественный уровень дискуссии, в части выводов вся она сводилась к тезису «вопросов больше, чем ответов, посмотрим, как будет развиваться процесс дальше». Но процесс развивается не в вакууме — именно это сообщество, с участием в том числе МККК, его и делает, в том числе на площадке CCD COE в Таллинне. Да, можно надеяться на то, все ответы будут даны в Таллиннском руководстве 2.0, которое уже должны были опубликовать весной этого года, но немного отложили. Однако по сообщениям экспертов CCD COE, новая редакция документа не закрывает пробелы первого издания, а в большей степени исследует территорию инцидентов и действий, не пересекающих порога войны (below the threshold). Таким образом, подробная проработка вопроса критериев и соотношения между собой ключевых понятий из Устава ООН применительно к киберпространству может оказаться за рамками нового Руководства.

Но есть и более общий вопрос — а откуда составителям Таллиннского руководства, равно как и участникам обсуждений на площадке МККК и ГПЭ ООН в идеале следует черпать экспертизу конкретно по вопросам критериев, позволяющих квалифицировать киберинцидент?

Позволю себе предположить, что у практиков — прежде всего у специалистов частного сектора, которые постоянно сталкиваются с различными инцидентами и выстраивают стратегии реагирования, предупреждения, минимизации ущерба — а также оценки и квалификации инцидента. Прежде всего я бы говорил о специалистах по ИБ АСУ ТП критических инфраструктуру, а также вендорах, разрабатывающих решения и продукты для таких систем. Во многом поэтому я постарался привлечь на круглый стол в «Гуманитариуме» представителя департамента защиты критических инфраструктур Лаборатории Касперского Матвея Войтова. Анализ громких кейсов кибератак на информационные системы КВО за последние два года был с большим интересом воспринят экспертами-теоретиками — этот тот пласт знаний, которого им не хватает.

Ни в коей мере не занижая важность работы теоретиков МГП, отмечу — анализ реальных и смоделированных кейсов киберинцидентов является слабой стороной многих рабочих форматов с их участием. Даже Таллиннское руководство — наиболее статусный и подробный экспертный документ по теме адаптации МГП к киберпространству — мало что может предложить в этом плане, помимо Stuxnet. Также международно-правовой дискуссии о киберпространстве остается принципиально чужд аппарат количественных критериев оценки киберинцидентов и их последствий. Считается, что разговор должен идти об общеправовых принципах, а конкретика отдается на откуп…кому? Возьмем простой пример с Международной группой экспертов CCD COE, работавшей над первым изданием Руководства. Группа включала в себя 17 участников и четырех наблюдателей — всего двое из этого списка были указаны в качестве технических экспертов: д­­-р Рейн Оттис и д-р Кеннет Джирс. Оба эксперта сегодня связаны с военными и научно-исследовательскими структурами, а солидный опыт в частном секторе есть лишь у д-ра Джирса, который, в частности, работал аналитиком по глобальным угрозам в FireEye. Можно возразить, что для анализа вопросов, связанным с МГП и военным правом, гораздо важнее опыт работы в сфере кибербезопасности в оборонной сфере. Отчасти это так, однако есть две принципиальные оговорки. Во-первых, с учетом того, что целью государственной кибератаки или военной кибероперации может стать любой объект, в том числе гражданский, а в США до 80% КВО находятся в собственности частных операторов, взгляды и мнения частной отрасли, как кажется, должны быть донесены и представлены в рамках процессов, подобных таллиннскому. Кроме того, в сфере кибербезопасности именно частный сектор, а не государство зачастую выступает передовым источником компетенций, лучших практик и стандартов обеспечения безопасности критических инфраструктур. Понятие и тема стандартов здесь особенно важны, поскольку стандарты так или иначе основываются и включают в себе аппарат критериев и метрик, применяемых для выработки, реализации и контроля исполнения тех или иных мер защиты объектов.

Переходя к совсем практическому примеру, неясно, почему к участию в таллиннском процессе не привлекаются представители CERT’ов, включая, например, ICS-CERT и другие центры, обеспечивающие реагирование на инциденты на КВО. Эксперты-практики, вообще говоря, крайне редко приглашаются для участия в дискуссиях, связанных с международно-правовым измерением киберпространства и кибербезопасности. Вообще лично у меня сложилось впечатление, что сообщество теоретиков МГП зачастую и не ищет диалога с практиками, не стремится докопаться до той конкретики, на которой буксуют проработанные ими общеправовые принципы, включая тот же принцип пропорциональности. Начинать разговор с технарями — значит выходить за рамки удобной парадигмы «вот общий принцип, мы читаем его так, но как обеспечить возможность реального применения — не знаем, потому что нет четких критериев, увы». В итоге миры теоретиков МГП и отрасли ИБ, включая ИБ КВО, существуют параллельно и практически не пересекаются друг с другом. Но ведь затея с адаптацией МГП к киберпространству — это не интеллектуальная задача и не фундаментальная наука, у нее есть конкретная цель: создать некую рабочую правовую основу для действий международного сообщества в ситуациях тех или иных серьезных инцидентов. И такие инциденты происходят (Stuxnet) либо считаются возможными — то есть проблема реальна и затрагивает частный сектор не меньше, чем международно-правовых экспертов. Отсюда происходит и активность частных игроков в продвижении собственных инициатив по регулированию действий государств и посредников в киберпространстве. Стоит вспомнить хотя бы предложенный Microsoft весной 2015 г. свод международных норм поведения в киберпространстве.

Возвращаясь к CERT’ам/CSIRT’ам — ведь именно ими накоплен солидный опыт квалификации и классификации инцидентов по различным системам критериев. Так, международный Форум команд по реагированию на инциденты и обеспечению безопасности (FIRST), объединяющий более 300 команд со всего мира, разработал собственную классификацию киберинцидентов для корпоративных CSIRT’ов. Одна из ее компонентов — трехуровневая шкала критичности инцидентов. Степень критичности определяется через воздействие на сервисы и сетевую инфраструктуру; каждой степени соответствует та или иная политика реагирования, включая требования по времени и режиму реагирования. Американский US-CERT предлагает систему оценки инцидентов по трем параметрам: функциональному воздействию, информационному воздействию и способности затронутых систем к восстановлению. Собственно, эта же система изложена в рекомендациях Национального института стандартов и технологий США (NIST) «Руководство по управлению инцидентами компьютерной безопасности» от августа 2012 г. Аналогичные наработки и классификации есть и у других CSIRT'ов и иных структур отрасли ИБ во многих странах мира.

И предметный диалог их разработчиков с экспертами по МГП может быть полезен для продвижения в решении вопросов критериев, позволяющих квалифицировать действия в киберпространстве. Понятное дело, речь не идет о том, чтобы механически перенести рабочие классификации CERT'ов на почву международного права — но трансляция опыта, самого подхода в выработке методологии и формированию параметров оценки инцидентов может быть продуктивна.

Впрочем, и если не работать над правовыми критериями и интерпретациями в рамках международных площадок, катастрофы не произойдет — прочтения МГП применительно к кибероперациям будут развиваться на национальном уровне, в рамках отдельных стран и альянсов. Этот процесс уже происходит в США — в 2015 г. было опубликовано первое издание Руководства по праву вооруженных конфликтов с отдельной главой по кибероперациям. В документе приводились три конкретных примера киберинцидента, которые могут рассматриваться в качестве акта незаконного применения силы по смыслу статьи 2(4) Устава ООН: такой инцидент должен повлечь расплавление ядерного топлива в реакторе АЭС, либо открытие дамбы ГЭС в густонаселенной местности, ведущее к разрушениям, либо нарушение работы сервисов авиасообщения, повлекшее авиакатастрофу. Руководство не является законом и не носит обязывающего характера; кроме того, в качестве основного принципа используется аналогия: приводятся примеры таких действий, которые могли бы рассматриваться в качестве акта применения силы и если бы они совершались без использования ИКТ (например, плотина была бы взорвана, а самолет сбит ракетой). Однако процесс идет дальше: 9 мая 2016 г. в Конгресс США был внесен проект «Закона об акте войны в киберпространстве». Документ, первый в своем роде в международной практике, обязывает президента разработать политику, позволяющую установить, при каких обстоятельствах или условиях то или иное действие в киберпространстве может быть признано актом войны против США. В частности, предлагается:

  • Установить, каким образом последствия кибератаки могут быть соотнесены и приравнены к последствиям атаки с использованием конвенциональных вооружений, в том числе в части материальных разрушений и жертв.
  • Определить не имеющие физических проявлений последствия существенного масштаба, интенсивности или продолжительности.

Если закон будет принят, в результате реализации его положений возникнет первый государственный прецедент обязывающей интерпретации понятия войны применительно к киберпространству. Если такой прецедент повлечет за собой похожие шаги со стороны других стран, как союзников США по блоку НАТО, так и возможных оппонентов в кибернетическом противостоянии, это во многом переопределит сегодняшнюю дискуссию об адаптации МГП к киберпространству. Но роль МККК в этом случае уже вряд ли будет проактивной: хранителю МГП не останется ничего другого, кроме как зафиксировать сумму взглядов и подходов и интерпретаций, сложившихся на национальном уровне. Насколько такая сумма будет внутренне непротиворечивой, соответствующей духу МГП и, главное, насколько она будет снижать риск эскалации конфликтов в киберпространстве и способствовать их более гуманному развитию — большой вопрос.

Вместо вывода еще раз подчеркну: давайте сближать миры теоретиков и практиков и вовлекать представителей отрасли ИБ КВО в диалог об адаптации МГП к киберпространству. Никто ничего точно не потеряет, а выиграть можно на уровне более глубокой и предметной проработки уже известных и поставленных вопросов.

Комментарии к посту

Комментариев еще нет
loading