Конец кибер-анархии?

10.01.2022
Автор термина "мягкая сила" размышляет о том, как нужно действовать США, чтобы установить свой контроль над киберпространством. В материале (который подготовлен, в первую очередь, для западных читателей) используются и методы дезинформации, такие как приписывания России осуществление вредоносных кибератак.

Атаки программ-вымогателей, вмешательство в выборы, корпоративный шпионаж, угрозы электросетям: судя по текущим заголовкам, похоже, мало надежд на то, что получится хоть как-то упорядочить анархию киберпространства. Непрекращающиеся плохие новости рисуют картину неуправляемого онлайн-мира, который с каждым днем ​​становится все более опасным – с мрачными последствиями не только для самого киберпространства, но и для экономики, геополитики, демократических обществ и основных вопросов войны и мира.

Учитывая эту удручающую реальность, любое предположение о возможности выработки правил поведения в киберпространстве обычно встречает скептицизм: считается, что основные атрибуты киберпространства делают практически невозможным соблюдение каких-либо норм или даже определение того, нарушаются ли они вообще.

Государства, заявляющие о своей поддержке кибернорм, одновременно проводят широкомасштабные кибероперации против своих противников. Например, в декабре 2015 года Генеральная Ассамблея ООН впервые одобрила набор из 11 добровольных, необязательных международных кибернорм. Россия помогла разработать эти нормы и позже подписала их публикацию. В том же месяце она провела кибератаку на энергосистему Украины, в результате чего около 225000 человек остались без электричества на несколько часов, а также активизировала свои усилия по вмешательству в президентские выборы в США в 2016 году. Для скептиков это послужило еще одним свидетельством того, что установление норм ответственного поведения государства в киберпространстве – несбыточная мечта.

Однако этот скептицизм свидетельствует о неправильном понимании того, как нормы работают и со временем укрепляются. Если нарушения не будут устранены, они могут ослабить нормы, но не сделают их неактуальными. Нормы создают ожидания в отношении поведения, которые позволяют привлекать к ответственности другие государства. Нормы также помогают узаконить действия официальных лиц и помогают государствам вербовать союзников, когда они решают отреагировать на нарушение. И нормы не появляются внезапно и не начинают работать в одночасье.

История показывает, что обществу нужно время, чтобы научиться реагировать на серьезные разрушительные технологические изменения и установить правила, которые защищают мир от новых опасностей. Прошло два десятилетия после того, как Соединенные Штаты сбросили ядерные бомбы на Японию, прежде чем страны пришли к соглашению по Договору об ограниченном запрещении испытаний и Договору о нераспространении ядерного оружия.

Хотя кибертехнологии порождают уникальные проблемы, международные нормы, регулирующие их использование, похоже, развиваются обычным образом: медленно, но неуклонно на протяжении десятилетий. По мере их утверждения такие нормы будут иметь все большее значение для снижения риска, который развитие кибертехнологий может представлять для международного порядка, особенно если Вашингтон, его союзники и партнеры подкрепят эти нормы другими методами сдерживания. Хотя некоторые аналитики утверждают, что сдерживание не работает в киберпространстве, этот вывод упрощен: он работает иначе, чем в ядерной сфере. И альтернативные стратегии оказались столь же или более несовершенными.

По мере того как число целей продолжает расти, Соединенные Штаты должны следовать стратегии, сочетающей сдерживание и дипломатию, чтобы укрепить барьеры в этом новом и опасном мире. История установления норм в других областях предлагает полезный пример для начала и должна развеять представление о том, что этот вопрос отличается от того, что происходило в прошлом.

Новый факт жизни (и войны)

Поскольку кибератаки становятся более дорогостоящими, стратегия США по защите от них остается неадекватной. Хорошая стратегия должна начинаться дома, но одновременно признавать нераздельность внутренних и международных аспектов киберпространства – область киберпространства по своей сути транснациональна. Кроме того, кибербезопасность подразумевает стирание общественных и частных уязвимостей.

Интернет – это сеть сетей, большинство из которых находятся в частной собственности. В отличие от ядерного или обычного оружия, правительство их не контролирует. Соответственно, компании сами выбирают компромисс между инвестированием в безопасность и максимизацией краткосрочной прибыли. Однако неадекватная защита корпораций может иметь огромные внешние издержки для национальной безопасности: вспомните недавнюю кибератаку России на программное обеспечение SolarWinds, которая предоставила доступ к компьютерам правительству США и частному сектору. И в отличие от военной безопасности, Пентагон играет здесь лишь частичную роль.

В сфере глобального военного конфликта компьютерные сети стали пятой областью в дополнение к традиционным четырем: суша, море, воздух и космос, – и военные США признали это, создав в 2010 году Киберкомандование США. К особым характеристикам нового кибер-домена относятся уменьшение расстояния (океаны больше не обеспечивают защиты), скорость взаимодействия (намного быстрее, чем ракеты в космосе), низкая стоимость (что снижает барьеры для входа) и сложность атрибуции (что способствует отрицанию и замедляет ответы).

Тем не менее скептики иногда называют кибератаки скорее неприятностью, чем серьезной стратегической проблемой. Они утверждают, что киберсреда идеальна для шпионажа и других форм тайных действий и подрывов, но она остается гораздо менее важной, чем традиционные области ведения войны; никто не погиб из-за кибератаки.

Однако принять такую ​​позицию становится все труднее. Атака программы-вымогателя WannaCry в 2017 году нанесла ущерб Британской национальной службе здравоохранения, оставив компьютеры зашифрованными и непригодными для использования, в результате чего тысячи пациентов не получили помощь, а больницы и производители вакцин стали жертвами атак программ-вымогателей и хакеров во время пандемии COVID-19.

Более того, даже эксперты не понимают, как использование кибер-инструментов может перерасти в физический конфликт. Рассмотрим, например, тот факт, что американские вооруженные силы сильно зависят от гражданской инфраструктуры и что киберпроникновение может серьезно ухудшить оборонительный потенциал США в кризисной ситуации.

А с экономической точки зрения, масштабы и стоимость киберинцидентов растут. По некоторым оценкам, спонсируемая Россией атака NotPetya на Украину в 2017 году, в результате которой были стерты данные с компьютеров банков, энергетических компаний, заправочных станций и государственных учреждений, стоила компаниям более 10 миллиардов долларов сопутствующего ущерба.

Число целей также быстро увеличивается. По оценкам экспертов, с развитием Big Data, искусственного интеллекта, передовой робототехники и Интернета вещей к 2030 году количество подключений к Интернету приблизится к триллиону. Мир подвергался кибератакам с 1980-х годов, но площадь атак резко расширилась; теперь она включает в себя все, от промышленных систем управления до автомобилей и персональных цифровых помощников.

Понятно, что угроза нарастает. Менее ясно, как стратегия США может адаптироваться к этому. Сдерживание должно быть частью подхода, но киберсдерживание будет отличаться от более традиционных и привычных форм ядерного сдерживания, которые Вашингтон практиковал на протяжении десятилетий.

Ядерная атака – это единичное событие, и цель ядерного сдерживания – предотвратить ее. Напротив, кибератаки многочисленны и постоянны, и их сдерживание больше похоже на сдерживание обычных преступлений: цель состоит в том, чтобы удерживать их в определенных пределах. Власти сдерживают преступность не только путем ареста и наказания людей, но также посредством воспитательного воздействия законов и норм, патрулирования кварталов и охраны общественного порядка. Для сдерживания преступлений не нужна угроза ядерного взрыва.

Тем не менее, наказание играет большую роль в киберсдерживании. Правительство США публично заявило, что ответит на кибератаки оружием по своему выбору и силой, пропорциональной ущербу, нанесенному его интересам. Несмотря на десятилетние предупреждения, «кибер-Перл-Харбора» пока не произошло.

Считают ли Соединенные Штаты кибератаку вооруженной атакой, зависит от ее последствий, но это затрудняет сдерживание более неоднозначных действий. Срыв Россией президентских выборов в США в 2016 году попал в такую​​ «серую зону». И хотя некоторые недавние китайские и российские кибератаки, по всей видимости, проводились в основном в целях шпионажа, администрация Байдена жаловалась, что их масштабы и продолжительность выходили за рамки обычного шпионажа.

Вот почему сдерживание в киберпространстве требует не только угрозы наказания, но и действий со стороны защиты (создание систем, достаточно устойчивых и достаточно прочных, чтобы взломать их, чтобы потенциальные злоумышленники не потрудились бы попытаться) и запутывания (создание связей с потенциальными противниками, так что что любая атака, которую они начнут, скорее всего, нанесет вред и их собственным интересам).

Каждый из этих подходов имеет ограничения при использовании по отдельности. Запутывание имеет больший эффект, когда используется против Китая из-за высокой степени экономической взаимозависимости, чем против Северной Кореи, с которой ее нет. Блокирование кибератак защитой эффективно для сдерживания негосударственных субъектов и государств второго уровня, но с меньшей вероятностью предотвратит атаки более мощных и опытных субъектов. Но сочетание угрозы наказания и эффективной защиты может повлиять на расчеты затрат и выгод от атак, которые проводят те или иные силы.

Помимо улучшения защиты сетей внутри Соединенных Штатов, в последние годы Вашингтон принял доктрины, которые киберкомандование США окрестило «упреждающая защита» и «настойчивое вмешательство» – проще говоря, мелкомасштабные киберпреступления, такие как нарушение работы, переадресация или отключение сети. Некоторые сообщения в прессе приписывают такую ​​практику сокращению вмешательства России в выборы в США в 2018 и 2020 годах. Но проникновение в сеть злоумышленника и разрушение сети создает некоторую опасность эскалации и требует тщательного контроля.

Установка некоторых правил

Несмотря на свои оборонительные и наступательные возможности, Соединенные Штаты остаются очень уязвимыми для кибератак и операций влияния из-за своих свободных рынков и открытого общества.

«Я думаю, что это хорошая идея хотя бы подумать о старой поговорке о том, что люди, живущие в стеклянных домах, не должны бросать камни», – заметил Джеймс Клэппер, тогдашний директор национальной разведки, во время выступления в Конгрессе в 2015 году по поводу возможных ответов Вашингтона на кибератаки.

Клэппер справедливо подчеркивал, что, хотя американцы могут лучше всех бросать камни, они живут «в самых стеклянных» домах. Эта реальность вызывает у Соединенных Штатов особый интерес к разработке норм, снижающих стимулы к тому, чтобы совершать резкие действия в киберпространстве.

Заключение договоров о контроле над кибер-вооружениями было бы чрезвычайно трудным, потому что они не поддавались бы проверке. Но дипломатия в киберпространстве вряд ли невозможна.

Фактически, международное сотрудничество по разработке кибернорм продолжается уже более двух десятилетий. В 1998 году Россия впервые предложила ООН подписать договор о запрещении электронного и информационного оружия. Соединенные Штаты отвергли эту идею, заявив, что договор в этой области будет непроверяемым, потому что то, является ли строка кода оружием или нет, может зависеть от намерений пользователя. Вместо этого Соединенные Штаты согласились с тем, что генеральный секретарь ООН должен назначить группу из 15 (позже расширенных до 25) правительственных экспертов для разработки свода правил поведения; они впервые встретились в 2004 году.

С тех пор было собрано шесть таких групп, и они выпустили четыре отчета, создав широкую основу норм, которые позже были одобрены Генеральной Ассамблеей ООН. Работа групп укрепила консенсус в отношении того, что международное право применяется к сфере киберпространства и имеет важное значение для поддержания в нем мира и стабильности.

В дополнение к рассмотрению сложных вопросов международного права, в отчете, выпущенном в 2015 году, было введено 11 добровольных, необязательных норм, наиболее важными из которых являются мандат на оказание государствам помощи по запросу и запреты на нападения на гражданскую инфраструктуру, которые действуют после крупных кибератак, и запрет на разрешение использовать свою территорию для противоправных действий.

Отчет был расценен как прорыв, но в 2017 году прогресс замедлился, когда группа экспертов не смогла прийти к согласию по международно-правовым вопросам и не подготовила консенсусный отчет.

По предложению России ООН дополнила существующий процесс, сформировав Рабочую группу открытого состава, которая открыта для всех государств и предполагает консультации с неправительственными субъектами: десятками частных компаний, организациями гражданского общества, учеными и техническими экспертами.

В начале 2021 года эта новая группа выпустила обширный, хотя и несколько анодный, отчет, в котором были подтверждены нормы 2015 года, а также актуальность международного права для киберпространства. В июне прошлого года шестая группа экспертов также завершила свою работу и выпустила отчет, в котором были добавлены важные детали к 11 нормам, впервые введенным в 2015 году. Китай и Россия по-прежнему настаивают на заключении договора, но, скорее всего, произойдет постепенная эволюция этих норм.

Помимо процесса ООН, было много других форумов для обсуждения кибернорм, включая Глобальную комиссию по стабильности киберпространства. Созданный в 2017 году голландским аналитическим центром при решительной поддержке правительства Нидерландов, GCSC (в котором я был членом) проходил под сопредседательством Эстонии, Индии и США, и в него входили бывшие правительственные чиновники, эксперты из гражданского общества и ученые из 16 стран.

GCSC предложил восемь норм для устранения пробелов в существующем руководстве ООН. Самыми важными были призывы защитить «общественное ядро» инфраструктуры Интернета от атак и запретить вмешательство в избирательные системы.

GCSC также призвал страны не использовать кибер-инструменты для вмешательства в цепочки поставок; не внедрять бот-сети в чужие машины, чтобы контролировать их без ведома хозяина; создать прозрачные процессы, которым государства могут следовать при оценке того, следует ли раскрывать недостатки и уязвимости, обнаруженные в чужом коде; побуждать государства незамедлительно устранять уязвимости кибербезопасности при обнаружении и не накапливать их для возможного использования в будущем; улучшить «кибергигиену», в том числе с помощью законов и нормативных актов; препятствовать частному надзору в этой области, сделав незаконным частный «хакерский» бизнес: то есть предпринимать контратаки против хакеров.

Эти усилия менее громкие (и менее затратные), чем разработка сложных систем киберзащиты, но они будут играть решающую роль в сдерживании злонамеренной активности в Интернете. Для киберпространства можно придумать и предложить множество других норм, но сейчас важный вопрос заключается не в том, нужны ли новые нормы, а в том, как они будут реализовываться, и когда и когда они изменят поведение государства.

Новые каперы

Нормы не действуют до тех пор, пока они не станут общепринятой государственной практикой, а на это может потребоваться время. Потребовалось много десятилетий, чтобы нормы против рабства сформировались в Европе и Соединенных Штатах в XIX веке. Ключевой вопрос заключается в том, почему государства когда-либо позволяют нормам ограничивать свое поведение. Есть по крайней мере четыре основных причины: координация, осмотрительность, репутационные издержки и давление внутри страны, включая общественное мнение и экономические изменения.

Общие ожидания, закрепленные в законах, нормах и принципах, помогают государствам координировать свои усилия. Например, хотя некоторые государства (включая США) не ратифицировали Конвенцию ООН по морскому праву, все государства рассматривают 12‑мильное ограничение как обычное международное право, когда дело касается споров о территориальных водах.

Преимущества координации – и риски, связанные с ее отсутствием – были очевидны в киберпространстве в тех немногих случаях, когда цели были взломаны путем злоупотребления системой доменных имен Интернета, которую иногда называют «телефонной книгой Интернета», которая управляется некоммерческой Интернет-корпорацией по присвоению имен и номеров или ICANN. Повреждая «телефонную книгу», такие атаки ставят под угрозу стабильность Интернета. Если государства не воздерживаются от вмешательства в структуру, которая позволяет частным сетям подключаться, Интернет не сможет существовать. И поэтому государства по большей части избегают этой тактики.

Осмотрительность проистекает из страха создать непредвиденные последствия в непредсказуемых системах и может перерасти в норму неиспользования или ограниченного использования определенного оружия или норму ограничения целей. Примерно так случилось с ядерным оружием, когда сверхдержавы оказались на грани ядерной войны в 1962 году, во время кубинского ракетного кризиса. Год спустя последовал Договор об ограниченном запрещении ядерных испытаний.

Более отдаленный, но исторический пример того, как благоразумие произвело норму против использования определенных тактик, – это судьба каперства. В XVIII веке национальные военно-морские силы обычно нанимали частных лиц или частные корабли для увеличения своей мощи на море. Но в следующем столетии государства отвернулись от каперов, потому что их н стали слишком дорогими.

По мере того как правительства изо всех сил пытались контролировать каперов, отношения менялись, и развивались новые нормы благоразумия и сдержанности. Можно представить себе нечто подобное, происходящее в сфере киберпространства, когда правительства обнаруживают, что использование прокси-серверов и частных субъектов для проведения кибератак приводит к негативным экономическим последствиям и увеличивает риск эскалации. В ряде государств «хакерство» уже объявлено вне закона.

Опасения по поводу ущерба репутации страны и «мягкой силы» также могут привести к добровольному сдерживанию. Табу развиваются со временем и увеличивают затраты на использование или даже владение оружием, которое может нанести огромный урон. Взять, к примеру, Конвенцию о биологическом оружии, вступившую в силу в 1975 году. Как убедился иракский лидер Саддам Хусейн, любая страна, желающая разработать биологическое оружие, должна делать это тайно и незаконно и сталкивается с широко распространенным международным осуждением в случае утечки доказательств ее деятельности.

Трудно представить появление подобного общего табу на использование кибероружия. Во-первых, сложно определить, является ли конкретная строка кода оружием или нет. Более вероятным является табу, запрещающее использование кибероружия против определенных целей, таких как больницы или системы здравоохранения. Такие запреты позволили бы использовать существующие табу на использование обычных вооружений против гражданского населения.

Во время пандемии COVID-19 общественное отвращение к атакам программ-вымогателей на больницы помогло усилить это табу и подсказало, как оно может применяться к другим областям в сфере киберпространства. Нечто подобное может развиться, если хакеры станут причиной увеличения количества несчастных случаев со смертельным исходом из‑за использования электромобилей.

Давление со стороны равных

Некоторые ученые утверждали, что нормы имеют естественный жизненный цикл. Они часто начинаются с «нормальных предпринимателей»: отдельных лиц, организаций, социальных групп и официальных комиссий, которые имеют огромное влияние на общественное мнение. После определенного периода созревания некоторые нормы достигают критической точки, когда каскады их принятия превращаются в широко распространенное убеждение, и лидеры обнаруживают, что они заплатят высокую цену за отказ от этих норм.

Зарождающиеся нормы могут возникать в результате изменения социальных установок, или они могут быть импортированы. Возьмем, к примеру, рост озабоченности всеобщими правами человека после 1945 года. Западные страны взяли на себя инициативу в продвижении Всеобщей декларации прав человека в 1948 году, но многие другие государства чувствовали себя обязанными подписать ее из-за общественного мнения и впоследствии оказались ограниченными внешним давлением и озабоченностью своей репутацией.

Можно было бы ожидать, что такие ограничения будут сильнее в демократических странах, чем в авторитарных государствах. Но Хельсинкский процесс, серия встреч между Советским Союзом и западными странами в начале 1970-х годов, успешно включил права человека в дискуссии по политическим и экономическим вопросам во время «холодной войны».

Экономические изменения могут также стимулировать спрос на новые нормы, которые могут способствовать эффективности и росту. Нормы, запрещающие каперство и рабство, получили поддержку, когда эта практика находилась в упадке.

Похожая динамика наблюдается сегодня и в киберсфере. Компании, оказавшиеся в невыгодном положении из-за противоречий между национальными законами, касающимися конфиденциальности и местоположения данных, могут оказывать давление на правительства с целью разработки общих стандартов и норм. Индустрия киберстрахования может оказать давление на власти, чтобы они конкретизировали стандарты и нормы, особенно в отношении технологий, встроенных в бесчисленное количество бытовых устройств (термостаты, холодильники, системы домашней сигнализации), которые сейчас подключены к сети: так называемый Интернет вещей.

По мере того, как все больше и больше устройств подключаются к Интернету, они вскоре станут объектами кибератак, а их влияние на повседневную жизнь граждан будет усиливаться и стимулировать спрос на внутренние и международные нормы. Общественное беспокойство только усилится, если взлом станет больше, чем просто неприятностью, и начнет стоить жизни. Если количество смертельных случаев увеличится, норма Кремниевой долины «создавать быстро, исправлять позже» может постепенно уступить место нормам и законам об ответственности, в которых больше внимания уделяется безопасности.

Киберправила созданы для того, чтобы их нарушать

Даже при международном консенсусе в том, что нормы необходимы, договариваться, где проводить «красные линии» и что делать, когда они пересекаются, – это другой вопрос. Возникает вопрос: даже если авторитарные государства подпишут нормативные соглашения, насколько вероятно, что они будут их придерживаться?

В 2015 году глава Китая Си Цзиньпин и президент США Барак Обама договорились не использовать кибершпионаж в коммерческих целях, но частные охранные компании сообщили, что Китай придерживался этого обещания всего год или около того, прежде чем он вернулся к своей старой привычке взламывать корпоративные и федеральные данные США, хотя это произошло в контексте ухудшения экономических отношений, отмеченного ростом тарифных войн.

Означает ли это, что соглашение не удалось? Вместо того чтобы ставить вопрос «да» или «нет», критики утверждают, что основное внимание (и любое последующее предупреждение против таких действий) следует делать на размере нанесенного ущерба, а не на точных линиях, которые были пересечены, или на том, как были выполнены нарушения. По аналогии можно сказать хозяевам разгульной вечеринки, что если шум станет слишком громким, вы вызовете полицию. Цель состоит не в том, чтобы остановить музыку, а в том, чтобы снизить громкость до более приемлемого уровня.

Бывают и другие случаи, когда Соединенным Штатам придется проводить принципиальные линии и защищать их. Поэтому они должны признать, что будут продолжать вторжения в киберпространство в целях, которые считают законными. И им необходимо будет четко указать нормы и ограничения, которые Вашингтон будет поддерживать, и призвать страны, которые их нарушают. Когда Китай или Россия переступают черту, Соединенным Штатам придется ответить целенаправленным возмездием.

Это может включать общественные санкции, а также частные действия, такие как замораживание банковских счетов некоторых олигархов или разглашение о них секретной информации. Практика киберкомандования США по защите и упорному взаимодействию может быть здесь полезна, хотя лучше всего она будет сопровождаться процессом спокойного общения.

Договоры о киберпространстве могут оказаться неработоспособными, но можно установить ограничения на определенные типы поведения и согласовать грубые правила поведения. Во время «холодной войны» отношения со шпионами каждой из сторон регулировались неформальными нормами; высылка, а не казнь, стала нормой. В 1972 году Советский Союз и Соединенные Штаты заключили Соглашение об инцидентах на море, чтобы ограничить поведение военно-морских сил, которое может привести к эскалации конфликта. Сегодня Китай, Россия и США могут договориться об ограничениях своего поведения в отношении масштабов и типа осуществляемого кибершпионажа, как Си и Обама сделали в 2015 году.

Или они могут договориться об ограничении своего вмешательства во внутриполитические процессы друг друга. Хотя в таких обещаниях не было бы точных формулировок официальных договоров, три страны могли бы независимо делать односторонние заявления о сферах самоограничения и наладить консультативный процесс для сдерживания конфликта. Идеологические разногласия затруднили бы подробное соглашение, но даже большие идеологические разногласия не помешали соглашениям, которые помогли избежать эскалации во время «холодной войны».

Благоразумие иногда бывает важнее идеологии. Похоже, именно такой подход использовался администрацией Байдена на июньском саммите с президентом России Владимиром Путиным в Женеве, где киберпространство играло большую роль в повестке дня, чем ядерное оружие.

Согласно сообщениям прессы, президент США Джо Байден передал Путину список из 16 областей критически важной инфраструктуры, включая химические вещества, связь, энергетику, финансовые услуги, здравоохранение и информационные технологии, которые, по словам Байдена, должны быть «закрыты для атак».

После саммита Байден сообщил, что он спросил Путина, как он себя почувствует, если российские трубопроводы будут выведены из строя с помощью программ-вымогателей. «Я указал ему, что мы обладаем значительными киберпотенциалами, и он это знает», – отметил Байден на пресс-конференции, – «Он точно не знает, какие именно у нас возможности, но понимает, что это важно. И если он действительно нарушит эти базовые нормы, мы ответим кибернетической защитой. Он знает об этом». Однако пока неясно, насколько слова Байдена были эффективны.

Одна из проблем с указанием того, что необходимо защитить, может заключаться в том, что это подразумевает, что в других областях ведется честная игра, и что атаки с использованием программ-вымогателей со стороны преступников в России будут продолжаться, несмотря ни на что. В киберсфере негосударственные субъекты в той или иной степени выступают в роли доверенных лиц государства, и правила должны требовать их идентификации и ограничения.

А поскольку правила дорожного движения никогда не будут идеальными, они должны сопровождаться консультативным процессом, который устанавливает основу для предупреждения и переговоров. Такой процесс вместе с сильными сдерживающими угрозами вряд ли полностью остановит вмешательство Китая и России, но если он снизит его частоту или интенсивность, он может усилить защиту демократии США от таких кибератак.

Изменение поведения

В киберпространстве не всем подходят одни и те же правила. Могут существовать некоторые нормы, связанные с координацией, которые подходят как для авторитарных, так и для демократических государств. Но другие нормы не могут варьироваться, например, программа «Свобода Интернета», представленная госсекретарем США Хиллари Клинтон в 2010 году. Она провозгласила свободный и открытый Интернет.

Можно представить себе нормы, организованные в виде набора концентрических кругов с тем, что европейцы называют «переменной геометрией» обязательств. Группы демократий могут установить для себя более высокие стандарты, согласовав нормы, касающиеся конфиденциальности, наблюдения и свободы слова, и обеспечив их соблюдение посредством специальных торговых соглашений, которые будут отдавать предпочтение тем, которые соответствуют более высоким стандартам, в соответствии с рекомендациями эксперта по кибербезопасности Роберт Кнейка. Такие соглашения могут оставаться открытыми для других государств – до тех пор, пока они хотят и могут соответствовать более высоким стандартам.

Дипломатия между демократическими странами по этим вопросам будет нелегкой, но она станет важной частью стратегии США. Как утверждали два бывших высокопоставленных должностных лица Пентагона Джеймс Миллер и Роберт Батлер: «Если союзники и партнеры США будут поддерживать кибернормы, они, вероятно, с большей готовностью поддержат возложение затрат на нарушителей, тем самым существенно повысив надежность и серьезность (посредством многостороннего введения затрат), а также устойчивость угроз США по наложению штрафов в ответ на нарушения».

Администрация Байдена борется с тем фактом, что область киберпространства создала важные новые возможности и уязвимости в мировой политике. Реорганизация и реинжиниринг внутри страны должны быть в центре итоговой стратегии, но для этого также необходим сильный международный компонент, основанный на сдерживании и дипломатии. Дипломатический компонент должен включать союзы между демократическими странами, наращивание потенциала в развивающихся странах и улучшение международных институтов. Такая стратегия должна также включать разработку норм с долгосрочной целью защиты старого «стеклянного дома» американской демократии от новых камней эпохи Интернета.

Источник