Информационные войны Ю. А. Смолий Информационные войны Киберпризыв. Таллинское руководство. ЛЕКЦИЯ 6 Киберпризыв • Киберпризыв - это проводимое государством привлечение ITспециалистов и технологических экспертов к выполнению воинских обязанностей по обеспечению защиты общественных интересов в условиях неспособности государства ликвидировать угрозу самостоятельно. Возможные модели киберпризыва • Полностью государственные кибервойска (пример США – CyberCommand, Кит Александер) • В России затруднительно (условия службы, вертикаль подчинения, отсутствие стимулов для военнослужащих). • реализация киберподразделений государственных вооруженных сил, формируемых из гражданских лиц "по требованию" (по аналогии с национальной гвардией или резервом, которые формируются и обучаются заблаговременно и активизируются при возникновении необходимости в усилении регулярных военных формирований). Эстония – киберподразделение в рамках Сил Обороны Эстонии. Почему Эстония? • Жертва кибератак. Были мобилизованы IT-силы, «гасившие» атаки более месяца; выявлены слабые стороны в защите; сформировано общественное мнение. • Малая территория страны, 1,3 млн человек населения. • Высокий уровень IT-грамотности среди руководства страны. Тоомас Хендрик Ильвес – президент Эстонии – эксперт в области кибербезопасности. Все 10 ключевых фигур знали друг друга задолго до начала атак. • Электронные выборы 2009 г., банки Hansabank и SEB осуществляют сделки преимущественно online. Методика отбора киберпризывников • Расширенное анкетирование – образование, опыт работы, знакомство с основными платформами, программными системами и технологиями и прочее. Требует заинтересованности киберпризывника. • Необходимость компоновки «тимов» с одновременным призывом и скоординированным обучением. • Необходимость учета специфики текущей занятости потенциального призывника - не следует ожидать от специалиста по защите компаний финансового сектора успеха в защите систем электроснабжения. Освобождение призывника от кибер-призыва • Имеет смысл в том случае, если он перестает работать в определенной IT-области (с другой стороны, некоторые резервисты смогут использовать это для уклонения от службы). Необходимо также предусмотреть возможность освобождения от призыва "по идейным и религиозным причинам". Но основным доводом для уклонения в таких случаях является неприятие призывником любых видов насилия (а киберконфликты обычно не бывают связаны с физическим насилием над личностью). Активация киберрезервистов • Выбор критерия, на котором будет базироваться принятие решение об активации кибер-резервистов, сложен, так как источник атаки и сила, спонсирующая ее, могут оставаться неизвестными довольно длительное время даже после окончания атаки. Поэтому наиболее жизнеспособным вариантом кажется активация кибер-резервистов в случае наличия высокой вероятности существенного нарушения общественного правопорядка или в случае угрозы жизни и здоровью населения (обнаружения атаки, нацеленной на электроснабжение, водоснабжение, медицинское обслуживание). И, разумеется, кибер-резерв не должен заниматься отражением атак на второстепенные сервисы (например, на финансовые организации), где единственный вид потерь - материальные. Продолжительность службы Зависит от схемы активации: • если кибер-резервистов активизируют в момент обнаружения атаки или угрозы реализации атаки, то продолжительность службы и момент повторного обретения резервистами статуса гражданских лиц зависит от длительности атаки (или существования угрозы). • При реализации призыва по другой возможной схеме резервисты должны быть активны постоянно для того, чтобы они могли отклонить кибератаку в любой момент. Но это лишает их гражданского статуса* и возможности занимать гражданские рабочие позиции. С учетом расходов на отбор резервистов и их обучение имеет смысл призывать резервистов на ограниченный срок (не более пяти лет в связи с быстротой развития информационных технологий, а также тем фактом, что личные и профессиональные качества человека, влияющие на его "призывную ценность", могут измениться также быстро). *В соответствии с положениями четвертой статьи Третьей Женевской Конвенции сотрудники подразделения вооруженных сил государства в процессе защиты интересов этого государства имеют статус аналогичный статусу членов и резервистов национальной гвардии или резервных. Таким образом они считаются участниками военных действий в то время, когда они находятся на службе, и относятся к гражданским лицам в прочее время. Призыв и интеллектуальная собственность Вопросы о защите интеллектуальной собственности, используемой членами кибер-подразделений в своей работе, остается открытым. Например, эта проблема возникают в случае, когда для выполнения своих функций по защите резервист использует знания об исходном коде программного продукта, лицензированного "гражданским" работодателем этого резервиста. Аналогично в случае изменения исходного кода лицензированных программ резервистом для использования их в качестве защиты или при проникновении в компьютеры и использовании их с теми логинами-паролями, которые предоставил ему работодатель. Таким образом для легитимизации деятельности кибер-подразделений резервистов государство должно иметь право на доступ ко всем без исключения объектам интеллектуальной собственности, которые неизбежно должны быть раскрыты в рамках работы резервистов. Таллинское руководство РЕГЛАМЕНТАЦИЯ ДЕЙСТВИЙ КИБЕРРЕКРУТОВ NATO CCDCOE Центр передового опыта НАТО по совместной защите от киберугроз NATO CCDCOE Создан 14 мая 2008 года. Основная задача – повышение способности НАТО противостоять киберугрозам. Страны-участники • Эстония • Польша • Латвия • Словакия • Литва • Испания • Германия • Нидерланды • Венгрия • США • Италия Таллинское руководство «Таллинское руководство по международному праву, применимому при ведении кибервойны» (ориг: Tallinn Manual on the International Law Applicable to Cyber Warfare ) – документ, разработанный международной группой экспертов по просьбе Центра передового опыта НАТО по совместной защите от киберугроз (оригинал опубликован в издательстве Cambridge University Press, 2013 г.) Зачем и почему? • Женевские конвенции были приняты в 1949 году, не регулируют вопросы проведения информационных войн и кибервойн. • Согласно статье 36 Дополнительного протокола I 1977 года к Женевским конвенциям, каждое государство обязано гарантировать, что любые новые виды оружия, которые оно применяет или рассматривает к применению, используются строго в рамках, обозначенных международным гуманитарным правом. Основные пункты Таллинского руководства • Поддерживается традиционная модель разграничения между международными и немеждународными конфликтами и признается, что кибероперации сами по себе могут являться вооруженным конфликтом при наличии определенных обстоятельств, в частности в случае разрушительных последствий таких операций. Понятие кибератаки Кибератака – кибероперация наступательного или оборонительного характера, которая, как можно обоснованно предполагать, повлечет за собой ранения или гибель людей или ущерб или повреждения объектов». • Проблема: как толковать понятие «ущерб» в компьютерном мире. Если объект выведен из строя, неважно, было ли это сделано путем механического воздействия на объект или же путем кибероперации. Этот принцип имеет очень серьезное значение, так как в противном случае на кибератаку, направленную на выведение из строя гражданской сети, не распространяется предусмотренный МГП запрет на использование гражданских лиц и гражданских объектов в качестве непосредственных целей нападения. Являются ли хакеры законной целью для нападения в условиях кибервойны? • Понятие «хакеры» включает в себя такое множество людей, занятых в самых разных сферах деятельности, что нельзя говорить о том, что хакеры как таковые могут подвергаться нападениям. Большинство киберопераций не связаны с вооруженным конфликтом, поэтому МГП к ним вообще не применяется. Даже в условиях вооруженного конфликта большинство хакеров являются гражданскими лицами, которые пользуются предусмотренной МГП защитой от прямого нападения, хотя при этом в их отношении могут предусматриваться правоприменительные меры, а также и уголовное преследование, если их деятельность нарушает нормы соответствующих отраслей права. • Дело обстоит по-другому, если хакеры принимают непосредственное участие в военных действиях, предпринимая кибератаку в поддержку одной из сторон в вооруженном конфликте. В таком случае хакеры не могут ожидать, что неприятель воздержится от принятия ответных мер; хакеры утрачивают правовую защиту от прямых нападений на время осуществления кибератаки и принятия мер для подготовки к атаке, которые являются ее неотъемлемой частью. Может ли применение кибертехнологии при вооруженном конфликте иметь положительные последствия? При ведении военных операций государства обязаны исключать или, по крайней мере, минимизировать сопутствующие потери среди гражданских лиц и ущерб объектам гражданской инфраструктуры. Не преуменьшая сложности, все же нельзя исключать возможности того, что технический прогресс может в будущем привести к разработке видов кибероружия, которые в определенных обстоятельствах приведут к меньшему числу жертв и меньшему ущербу по сравнению с традиционными видами оружия, позволяя добиваться при этом не меньшего военного преимущества. МККК продолжит следить за развитием событий в этой области. Ответственность государств • Государства ответственны за кибероперации против других государств, которые ведутся с их территории, даже если такие операции ведутся не спецслужбами, но при этом государство дает "хлеб и кров" тем, кто атакует другие страны. Например, если какой-либо государственный чин призывает хакеров помочь в проведении кибер-операций против других государств, то призывающее государство будет нести все бремя ответственности за последствия, как будто само проводило такие действия. Кстати, этот вывод сразу разбивает все доводы экспертов, считающих, что Таллинское руководство написано НАТО (читай США) для обоснования своих действий в киберпространстве. Ведь именно руководство АНБ призывало американских хакеров "помочь Родине". Возможность физического ответа на киберудар • Запрет на применение силы, включая и силу в киберпространстве. Четкого ответа, что является применение киберсил, эксперты не дают, но сходятся в том, что это, как минимум, должно сопровождаться нанесением ущерба отдельным лицам или даже повреждением тех или иных объектов. При этом действия, вызывающие раздражение или неудобство у той или иной страны, к применению силы не относится. Права государств • Государства имеют право применять различные контрмеры против незаконных киберопераций. При этом данные контрмеры могут быть признаны незаконными, но только не в случае ответных действий (в этом случае их применение считается оправданным). • Государство, ставшее жертвой "вооруженного нападения" в киберпространстве, повлекшего человеческие жертвы или иной серьезной ущерб, имеет право ответить с помощью силы в киберпространстве или физическом мире. Вот этот тезис достаточно часто приводит к спорам и дискуссиям, но на мой взгляд ничего сверхествественного в нем нет (при условии четкой идентификации нападавшей стороны). Также хочу отметить, что в России, в стратегии, приписываемой МинОбороны, есть аналогичный пункт - "В условиях эскалации конфликта в информационном пространстве и перехода его в кризисную фазу воспользоваться правом на индивидуальную или коллективную самооборону с применением любых избранных способов и средств, не противоречащих общепризнанным нормам и принципам международного права". Контрмеры • Применение контрмер, в т.ч. и на территории иностранных государств, допустимо в отношении кибертеррористов. • Вполне допустимо относить вооруженные конфликты полностью ведущиеся в киберпространстве к международному понятию "вооруженный конфликт". Это, в свою очередь, применять нормы международного гуманитарного права. • Вооруженные конфликты, перетекшие в военные преступления, влекут за собой уголовную ответственность для тех лиц, которые руководят кибер-операциями, ведомыми в рамках вооруженного конфликта. • Кибер-операции, направленные против гражданских объектов и лиц, не приводящие к нанесению вреда жизни и здоровью, не запрещены международным гуманитарным правом. При этом запрещено использовать кибер-операции для того, чтобы сеять страх среди населения (взлом Twitter'а Associated Press). Кибероперации • Руководство кибероперациями, повлекшими за собой жертвы среди гражданского населения (или могущие повлечь такой ущерб) классифицируются как военные преступления. • Кибератаки должны направляться против конкретных целей и объектов. "Веерные" атаки, которые могут задеть гражданских, должны быть под запретом. • Объекты, необходимые для выживания гражданского населения (лечебные учреждения, продовольственные магазины, ЖКХобъекты), а также медицинский персонал и служители церкви подпадают под международное гуманитарное право и на них не должны быть направлены кибероперации (даже случайно).