Юридический флёр кибернетической войны: НАТО выработало 95 правил для сражений в информационном пространстве

31 октября 1517 года в столице Саксонии Виттенберге произошло примечательное событие. Доктор богословия Мартин Лютер приколотил к дверям Замковой церкви документ, вошедший в историю как «95 тезисов», или, совсем кратко, XCV. Уникальную смесь размышлений о глубочайших проблемах теологии и актуальной политической полемики. С этого момента в странах католической Европы пошел процесс, известный как Реформация. Ознаменовавшийся множеством религиозных войн (последняя из них, пожалуй, война Зондербунда, союза клерикальных кантонов, против союзного правительства Швейцарии в 1847 году…). И – приведший к колоссальному ускорению научно-технического прогресса (в том числе и из-за того, что христарадничавшим бродягам перестали подавать, а начали отправлять их в работные дома, плести канаты для Королевского флота, под охраной которых развозить по колониям, расширяя рынки для возникающей индустрии…).

С вывешивания этой бумаги началась Реформация

Ну а 5 марта 2013 года миру была представлена книга, вышедшая в издательстве Cambridge University Press. Написана она международной группой экспертов под руководством профессора Майкла Н.Шмитта, главы отделения международного права в Naval War College, практически – академии ВМФ США. Называется книга The Tallinn Manual on the International Law Applicable to Cyber Warfare, или, сокращенно «Таллиннское руководство». Иждивением НАТО (NATO Cooperative Cyber Defence Centre of Excellence и породил данный документ) с ее полным текстом можно ознакомиться здесь.

А здесь содержатся 95 правил кибервойны

И содержит это книжка тоже девяносто пять… Но не тезисов, а Правил. Правил кибервойны! На первый взгляд список международной группы экспертов выглядит очень благородно – профессор из Католического (старейшего из всех католических) университета во фламандском Лёвене (занятно, что в Первую мировую войска кайзера стерли этот город с лица земли, а будущий лауреат Нобелевской премии Томас Манн, в компании с уже получившим Нобеля Герхардом Гауптманом, деяние это горячо оправдывал – впрочем, союзники, весной 1944-го, по Лёвену тоже отбомбились на славу, вторично испепелив библиотеку). Ученый немец из университета в Потсдаме (ну, это новодел, образца 1991-го года – склероз, забыл, какая организация там сидела до этого, и какое событие в тишайшем городке было в мае 1945-го…). Куча законников из Школ права различных штатов и англосаксонских стран в Южных морях. И даже пара персон из Международного Комитета Красного Креста (без гуманитарных бюрократов на планете ныне не обходится ни одна подлость…). Но занималась эта пестрая компания (особенно радует присутствие делегатов трижды удостоенного Нобелевской премии мира Красного Креста) созданием всеобъемлющего руководство для Североатлантического Альянса по ведению кибернетической войны. Кибернетической, как мы увидим далее, тут скорее как характеристика стадии технологического развития, на которой война эта будет проходить…
А почему это руководство Таллиннское? Ну, это связано с событиями 27 апреля 2007 года. Тогда в столице Эстонии произошли столкновения полиции с защитниками «Бронзового солдата», памятника на братской могиле красноармейцев, погибших при освобождении города от нацистов. А через несколько дней правительственные сайты Эстонии столкнулись с киберугрозой. Была это тривиальная DDoS-атака. Но – большой мощности. Ричард А.Кларк, бывший советник президента Джорджа «Дабью» Буша по кибербезопасности, назвал ее «самой крупной в истории». Несколько ботнетов, до миллиона компьютеров, повели атаку на «адреса серверов, управляющих телефонной сетью, системой верификации кредитных карт, каталогами интернет-ресурсов». Эстония – страна кибернетизированная, про ее успехи в информатизации писали давно. И поэтому она оказалась уязвимой. «Hansapank, крупнейший банк в стране, не устоял. На всей территории нарушились торговля и связь». (Впрочем, эстонские хакеры тоже порезвились, о чем КТ в свое время рассказывала…)

Могли ли входившие в Таллин бойцы и офицеры знать, что имени города суждено будет в будущем обозначить новую эпоху войн…

Эстонцы пожаловались в НАТО (это, примерно, как в случае отсутствия горячей воды не пойти попинать ЖЭК, а написать в МЧС…). Слетевшиеся со всего мира эксперты выяснили «что в программном коде использовалась кириллица» – неожиданно для страны, где для около 30% населения русский язык родной. Еще были найдены ведущие в Россию следы (учитывая любовь компатриотов к пиратщине, в которую боты порой заложены изначально, неудивительно) – и тут Кларк (мы цитировали «Питер»-овский перевод его книги «Третья мировая война. Какой она будет?») говорит: «Имеет ли российская госбезопасность отношение к кибератаке в Эстонии? Возможно, стоит переформулировать вопрос. Они предложили провести атаку, способствовали ей, отказались расследовать дело и наказать виновных? Но, в конце концов, так ли это различие важно, если вы гражданин Эстонии, который не может снять свои деньги с карты банка Hansapank?». Вот и все… Традиции юриспруденции, ведущие начала от Рима, с обязательными процедурами установления субъекта и умысла, объявлены ничтожными; лозунг императора Священной Римской империи Фердинанда I Pereat mundus et fiat justicia заменен целесообразностью… «Так ли это различие важно…»

А «Таллиннское руководство» это уже полноценное руководство для ведения войн информационной эпохи. Примерно такое же, какими для эпохи индустриальной были «Характер операций современных армий» Триандафиллова, «Achtung — Panzer!» Гудериана, «Il Dominio dell’Aria» Дуэ. Именно для ведения войн, а не для их ограничения. Ограничения по кибероперациям, в ходе которых будут уничтожены АЭС, дамбы и плотины, установленные Правилом 80, не должны никого вводить в заблуждение. Ведь что такое война по Клаузевицу? Продолжение политики иными, насильственными, методами. А на что может быть направлена реальная политика? Да на захват – либо рынков, либо ресурсов. А территория, зараженная или затопленная, так себе рыночек… Да и ресурсы с нее брать неудобно. Вот отсюда и ограничение! Бомбила же 617-я эскадрилья RAF дамбы и плотины в Германии («Затопить Германию» Пола Брикхилла и фильмы – «The Dam Busters» середины 50-х плюс один из эпизодов современной «Foyle’s War«). По очень простой причине – рынком для англосаксов Германии только еще предстояло стать, а ныне мы живем в условиях глобального хозяйства, как в 1913 году…

Дамбы в Рейхе англичане сносили с помощью катящихся по волнам бомб

И не должны вводить в заблуждения прочие правила – от начальных, говорящих о Суверенитете и Юрисдикции, до конечных, посвященных Нейтралитету при действиях Совета Безопасности. Слова, как и Гражданские, Наемники, Защита детей и Защита журналистов не имеют тут уже привычного значения. Равно как и предусмотренный Правилом 85 запрет Коллективного наказания. Документ только имеет юридический, хоть и не обязательный ни для одной страны на свете, вид. На самом деле он – очень прагматичен. Рекомендации избегать человеческих жертв – это только рекомендации. А во главу угла ставится оценка достигаемого эффекта в случае своей операции или потенциального ущерба в случае операции противника. А противником может быть не только военный, одетый в форму, носящий ясно видимые знаки различия, хакер. Противником может оказаться любой, чья деятельность будет сочтена угрожающей. Член какой-нибудь хакерской организации. Или просто одиночка. И всех их, в случае необходимости, можно будет убивать или калечить (kill and injure). Нет-нет. Убивать и калечить не просто так. Их предварительно надо будет уличить в том, что они сами осуществляли или планировали нечто смертоносное, равно как разрабатывали вредоносное программное обеспечение, которое могло привести к тяжелым последствиям. То есть практически выдана «лицензия на убийство» оффшорного программиста, который принял через Сеть заказ на разработку того, что может кому-то навредить. Не обнулить ему кредитку, а убить.
Навскидку моделируется следующая ситуация. Террорист регистрирует фирму по индустриальной безопасности. Затем набирает (через Сеть) специалистов (от Бангалора до Хабаровска), которым ставит задачу для проверки безопасности химзавода, ГЭС или чего подобного, проанализировать их компьютерные системы. Проанализировать, придумав способ нарушения их фуекционирования. Задача – рутинная. И вполне легальная. И поймай полиция такого разработчика – суд его оправдает, ибо нет умысла на злодеяние (а закона запрещающего писать программы, в отличие от законов, запрещающих без лицензий ладить оружие и боеприпасы, нигде, вроде, нет…). Но попади такой компьютерщик в прицел кибервоинов – все, он превращается в законную цель. В результате кибератаки (для которой потенциально может быть использован его продукт) действительно могут погибнуть люди. И поэтому джеймсбонды с парой нулей могут подловить бедолагу в Турции на пляже, да и утопить. Или прирезать в родном подъезде. А в перспективе – когда беспилотники станут поменьше и подешевле – послать к нему с визитом и дрон, как ныне это делается с заподозренными в связях с Аль-Каидой.
То есть международное право – это флёр, маскировка. Суть дела в том, что человечество деловито осваивает для войны новое пространство, любезно предоставленное технологией. Массовые армии и глубокие операции Триандафиллова, господство в воздухе Дуэ, бронетехника Гудериана… Теперь настал черед киберпространства. И интерес к нему военных прямо пропорционален тому, какую роль оно играет в глобальной экономике, как быстро прогрессирует ИТ. А роль эта крайне велика – и именно об этом говорит появление 95 правил!