Кибер-атаки как новый способ ведения военных действий: возможность применения норм международного гуманитарного права

Проблемам кибернетической безопасности уделяют внимание на самых высоких уровнях. Новые подразделения, ответственные за кибернетическую безопасность, создаются не только в правительствах различных государств, но и в вооруженных силах. Возрастание возможности применения в вооруженном конфликте кибер-технологий актуализирует вопрос о применения к такого рода операциям норм международного гуманитарного права.

По мнению многих ученых, нормы МГП могут применяться только тогда, когда операции в кибернетическом пространстве ведутся в контексте вооруженного конфликта или в связи с ним [1]. Не вызывает возражений утверждение, что в случае проведения операции в киберпространстве в контексте вооруженного конфликта, они регулируются теми же нормами МГП, что и этот конфликт.

Но целый ряд операций, характеризующихся как кибернетические военные действия, могут осуществляться не только в контексте вооруженных конфликтов. Такой термин, как «кибер-атака» может ассоциироваться с способами военных действий, но операции, которые этим термином обозначают, могут проводятся и не во время вооруженного конфликта. Всем известен термин кибер-преступления, которые совершаются в повседневных ситуациях, которые не имеют ничего общего с войной.

Могут складываться ситуации, которые находятся между ситуациями существующих вооруженных конфликтов, которые ведутся традиционными методами, и кибер-операциями и ситуации, которые никак не являются вооруженным конфликтом. Классифицировать такие ситуации труднее. Например, так складывается ситуация, когда нападения на компьютерные сети являются единственными совершаемыми враждебными действиями или когда они остаются одиночными актами. Исследователи считают, что если нападение осуществлялось государством, оно может считаться международным вооруженным конфликтом [2]. А если кибер-атаку осуществляет неправительственная организация против правительства, - можно ли такую ситуацию считать немеждународным вооруженным конфликтом?

Ответ на вопрос, может международный вооруженный конфликт начаться в результате компьютерной атаки, зависит от следующих обстоятельств: 1) присваивается ли нападение на компьютерную сеть государству и 2) приравнивается ли оно к применению вооруженной силы [3].

Вопрос о присвоении операции государству может вызвать другие трудные вопросы, в силу того, что в киберпространстве анонимность пользователя является обычным делом[4]. Поэтому, пока стороны не могут быть идентифицированы как два государства, невозможно классифицировать такую ситуацию в качестве международного вооруженного конфликта. Эта проблема скорее фактическая, чем правовая, и преодолеть эту неопределенность можно через правовые допущения. Например, если нападение на компьютерную сеть исходило из правительственной инфраструктуры конкретного государства, можно допустить, что операция приписывается государству — особенно в свете нормы международного права, которая устанавливает, что государства не должны сознательно разрешать использовать свою территорию для совершения актов, нарушающих права других государств [5]. Но большинство ученых отстаивают точку зрения, что допущение в таком случае не допустимо, и необходимо доказывать причастность государства к кибер-атаке. Такая точка зрения основана на решении Международного Суда ООН, который закрепил, что причастность государства к любому фактическому действию должно доказываться [6].

Вместе с этим, определить хакера могут следующие элементы:

1. Атакующая ЭВМ, которая подключена напрямую к атакуемой системе. Но следует отметить, что эта ЭВМ может принадлежать ни в чем невинному человека, который может не знать об использовании ЭВМ.
2. ЭВМ, которая начала работу.
3. Расположение ЭВМ, начавшей работу.
4. Оператор ЭВМ.
5. Государства, под чьей юрисдикцией находится оператор.
6. Лицо, в интересах которого действует оператор (если имеется такое лицо) [7].

Важен также вопрос о присвоении государству кибер-атак, совершенных частными лицами, т.е. хакерами. Согласно Проектам статей об ответственности государств, в ст.8 говорится, что государство несет ответственность за поведение лица или группы лиц, «если это лицо или группа лиц фактически действует по указаниям либо под руководством или контролем этого государства при осуществлении такого поведения» [8]. Международный суд ООН также отметил, что для того чтобы действие частной стороны вменялось в вину государству, руководство или эффективный контроль государства над операцией, в ходе которой были совершены предполагаемые преступления, должны быть продемонстрированы, и не только вообще в отношении всех действий, предпринимаемых лицами или группами лиц, совершившими нарушения, и если такой контроль не осуществлялся над конкретной операцией, ее нельзя вменить в вину государству, даже если она проведена группой, степень зависимости которой от государственных властей была высокой [9]. Здесь опять же все упирается в вопрос факта.

Вторым критерием, который необходимо удовлетворить, является критерий «применения вооруженной силы» в отношениях между государствами. Но в условиях применения кибер-оружия возникает вопрос: что может считаться вооруженной силой в кибернетической сфере? Ведь в кибернетической войне нет традиционных систем оружия и кинетической силы.

Для ответа на этот вопрос необходимо сравнить последствия нападений на компьютерную сеть с последствиями применения обычного оружия. Большинство авторов придерживаются того мнения, что если нападение на компьютерную сеть присваивается государству и имеет одни и те же последствия, что и физическое применение силы, это будет международный вооруженный конфликт [10]. Применительно к этому моменту, необходимо отметить, что для того, чтобы приравнять кибер-атаку к обычной, надо сравнивать ущерб, причиненный кибер-оружием, и ущерб от обычного оружия. Если ущерб совпадает, то нормы международного гуманитарного права применяются, например, если кибер-оружием причинили вред системе водоснабжения, что является гражданским объектом, нападение на которые прямо запрещено ст. 52 Дополнительного Протокола №1 к Женевским Конвенциям 1949 г. [11]. Но помимо этого необходима еще практика государств, поэтому нам только предстоит увидеть, какие именно нападения на компьютерную сеть государства будут рассматривать как применение вооруженной силы.

Теперь обратимся к кибер-атакам применительно к немеждународным вооруженным конфликтам. Здесь основным вопросом это: как провести различие между преступным поведением и вооруженным конфликтом? Часто в прессе действия хакеров или хакерских групп, например, такие группы, как Anonymous или Wikileaks, называют «войной» [12]. Конечно, в таких статьях слово «война» носит переносный характер, но все равно необходимо определить параметры для квалификации ситуации применения кибер-оружия в качестве немеждународного вооруженного конфликта.

В отсутствие договорного определения немеждународного вооруженного конфликта практика государств и доктрина вывели свое определение немеждународного вооруженного конфликта, которое МТБЮ суммировал следующим образом: немеждународный вооруженный конфликт имеет место «всегда, когда …происходит длительное вооруженное насилие в отношениях между правительственными властями и организованными вооруженными группами или между такими группами в границах государства» [13]. Поэтому два критерия определяют наличие немеждународного вооруженного конфликта: вооруженное противостояние должно достичь определенного минимального уровня интенсивности и стороны в конфликте должны продемонстрировать минимальный уровень организации.

В отношении хакерских групп, как организованных групп, возникает вопрос, который заключается в том, могут ли группы, которые организованы исключительно в интернете, представлять собой вооруженные группы по смыслу МГП. По мнению М. Шмитта, члены виртуальных организаций, возможно, никогда не встречались и даже не знают настоящие имена друг друга. Тем не менее, такие группы могут действовать скоординированным образом против правительства, получать приказы от виртуального руководства и быть высоко организованными [14]. Но при этом, маловероятно, что группы хакеров, связанные только виртуальными сообщениями, будут иметь организацию и структуру, требуемую для того, чтобы быть стороной в конфликте.

Для определения интенсивности компьютерных атак, необходимой для признания существования немеждународного вооруженного конфликта, снова надо обращаться к сравнению тяжести последствий с последствиями кинетических операций. И если кибер-атаки приводят к тем же последствиям по интенсивности, что и при использовании обычного оружия, то можно говорить о наличии немеждународного конфликта. Но кибернетические операции сами по себе, скорей всего, не приведут ко многим из тех последствий, что перечислены в качестве параметров интенсивности насилия. Это, скорее всего, будут только последствия таких операций, достаточных для того, чтобы достичь необходимого уровня интенсивности.

Итак, с уверенностью можно сказать, что нормы международного гуманитарного права будут применяться к кибер-атакам, которые станут осуществляться в рамках протекающего международного или немеждународного вооруженного конфликта наряду с военными действиями с применением обычного оружия. На практике не исключается «чисто» кибернетическая война, без применения обычного оружия и без ведения обычных военных действий, но еще предстоит увидеть, насколько вероятными окажутся случаи такой войны в ближайшем будущем, а также предстоит увидеть, в каком направлении будет развиваться практика в таком случае.