Нормой обычного международного права (см. модуль 3 Серии модулей по киберпреступности для получения дополнительной информации об обычном праве) является невмешательство во внутренние или внешние дела другого государства ( Nicaragua v . United States, 1986).Эта норма включена в положения различных договоров и конвенций, таких как статья 8 Конвенции Монтевидео о правах и обязанностях государств 1933 года, статья 3(e) Устава Организации американских государств 1948 года, Декларация о принципах международного права, касающихся дружественных отношений и сотрудничества между государствами в соответствии с Уставом Организации Объединенных Наций 1970 года, статья 2(b) и статья 2(c) Договора о дружбе и сотрудничестве в Юго-Восточной Азии 1976 года и статья 4(g) Учредительного акта Африканского Союза 2000 года.
Определенные формы кибервмешательств могут подорвать доверие общественности к способности правительства поддерживать основные услуги, общественный порядок и экономическую стабильность. Такие формы кибервмешательств могут включать в себя: проведение DDoS-атак на критически важные системы инфраструктуры; использование вредоносных программ для заражения объектов критически важной инфраструктуры с целью повреждения систем, кражи, удаления и изменения данных и/или нарушения работы служб; и распространение дезинформации, фальшивых новостей и пропаганды, чтобы подорвать авторитет государства и добиться желаемого ответа со стороны соответствующего правительства и населения. Однако при этом задача проведения грани между законными и незаконными формами кибервмешательств с правовой точки зрения (на основе принципов суверенного равенства, невмешательства и территориальной целостности) является чрезвычайно сложной. Отчасти это связано с тем, что государства недостаточно четко формулируют свою позицию в отношении того, как обычные международно-правовые нормы должны применяться в киберпространстве (Tallinn Manual 2.0, p. 3). Тем не менее, в Организации Объединенных Наций ведутся дискуссии по этим вопросам, хотя существуют противоречивые толкования характера и масштабов применения этих правил в киберпространстве (см., например, A/RES/73/266 и A/RES/73/27).
Прежде чем потерпевшая страна может предпринять какие-либо действия, необходимо доказать факт нарушения международного права и отнести это поведение на счет государства (а не частных лиц, действующих самостоятельно). Подобно правилам первого порядка, правила второго порядка, касающиеся требований о представлении доказательств для целей атрибуции в киберпространстве, являются предметом обсуждений в той же степени, что и вопрос о необходимости создания независимой беспристрастной организации для вынесения таких заключений (см. например, отчет корпорации RAND Stateless Attribution: Toward International Accountability in Cyberspace).
Даже если будет установлено, что деяние подпадает под категорию международно-противоправных, существуют обстоятельства, которые могут исключить противоправность той или иной кибероперации. Эти общепринятые обстоятельства изложены в статьях, принятых Комиссией международного права, Об ответственности государств за международно-противоправные деяния 2001 года (United Nations, 2001; см. ниже вставку «Обстоятельства, исключающие противоправность»).
Статья 20 - Согласие
Юридически действительное согласие государства на совершение конкретного деяния другим государством исключает противоправность этого деяния в отношении первого государства, в той мере, в какой это деяние остается в пределах вышеуказанного согласия.
Статья 21 - Самооборона
Противоправность деяния государства исключается, если это деяние является законной мерой самообороны, принятой в соответствии с Уставом Организации Объединенных Наций.
Статья 25 - Состояние необходимости
1. Государство не может ссылаться на состояние необходимости как на основание для исключения противоправности деяния, не соответствующего международно-правовому обязательству этого государства, за исключением тех случаев, когда это деяние: (а) является единственным для государства путем защиты существенного интереса от большой и неминуемой опасности; и; (b) не наносит серьезного ущерба существенному интересу государства или государств, в отношении которых существует данное обязательство, или международного сообщества в целом.
2. В любом случае государство не может ссылаться на состояние необходимости как на основание для исключения противоправности, если: а) данное международно-правовое обязательство исключает возможность ссылки на состояние необходимости; или (b) это государство способствовало возникновению состояния необходимости.
Согласно правилу 6 Таллиннского руководства 2.0 «Международное право, применимое к кибероперациям» 2017 года, «государство должно осуществлять должную осмотрительность, не позволяя использовать свою территорию либо территориальную или кибернетическую инфраструктуру, находящуюся под его правительственным контролем, для киберопераций, которые затрагивают права других государств и оказывают на них неблагоприятное воздействие». Более того, государства обязаны не допускать использования своей территории для совершения кибератак на другие страны ( дело о проливе Корфу, 1949). В соответствии с принципом должной осмотрительности государства обязаны предпринимать действия для прекращения киберопераций, проводимых с их территории, с использованием разумно доступных средств, когда они получают уведомление об этих кибероперациях (правило 7 Таллиннского Руководства 2.0).
Таллиннские руководства (2013; 2017) не носят обязывающего характера.
Правило 14 Таллиннского руководства 2.0 гласит: «государство несет международную ответственность за действие, связанное с использованием киберпространства, которое относится на счет этого государства, и которое представляет собой нарушение международно-правового обязательства». Кибердействия государственных органов, органов других государств и негосударственных субъектов могут быть отнесены на счет государства (см. правила 15-17 Таллиннского руководства 2.0; и статьи 4, 6, 8 и 11 доклада Комиссии международного права «Ответственность государств за международно-противоправные деяния» 2001 года, изложенные во вставке ниже).
Статья 4 Поведение органов государства
1. Поведение любого органа государства рассматривается как деяние данного государства по международному праву независимо от того, осуществляет ли этот орган законодательные, исполнительные, судебные или какие-либо иные функции, независимо от положения, которое он занимает в системе государства, и независимо от того, является ли он органом центральной власти или административно-территориальной единицы государства.
2. Понятие «орган» включает любое лицо или лица, которое имеет такой статус в соответствии с внутренним правом государства.
Статья 6 Поведение органов, предоставленных в распоряжение государства другим государством
Поведение органа, предоставленного в распоряжение государства другим государством, рассматривается как деяние первого государства по международному праву, если этот орган действует в осуществление элементов государственной власти того государства, в распоряжение которого он предоставлен.
Статья 8 Поведение под руководством или контролем государства
Поведение лица или группы лиц рассматривается как деяние государства по международному праву, если это лицо или группа лиц фактически действует по указаниям либо под руководством или контролем этого государства при осуществлении такого поведения.
Статья 11 Поведение, которое признается и принимается государством в качестве собственного
Поведение, которое не присваивается государству на основании предшествующих статей, тем не менее, рассматривается как деяние данного государства по международному праву, если и в той мере, в какой это государство признает и принимает данное поведение в качестве собственного.
Группа G7, в своей Декларации об ответственном поведении государств в киберпространстве, «отмечает, что нормы обычного международного права, регулирующие ответственность государств, устанавливает стандарты для отнесения деяний на счет государств, которые могут применяться к деятельности в киберпространстве. В этой связи государства не могут избежать юридической ответственности за международно-противоправные кибердействия, если совершают их через прокси» (2017, p. 2). Кибер-прокси - это «посредники, осуществляющие или непосредственно способствующие осуществлению наступательного кибердействия, которое стало возможным благодаря осознанной поддержке, будь то активной или пассивной, со стороны бенефициара (Maurer, 2018, p. 173). Маурер (Maurer, 2018) определил три типа отношений между государствами и прокси, исходя из степени, в которой государства контролируют прокси: делегирование (прокси жестко контролируются государством); оркестровка (прокси действуют в соответствии с указаниями государства, но не находятся под жестким контролем); и санкционирование (действия прокси пассивно поддерживаются государством) (pp. 173-174). Кибер-прокси обеспечивают государствам возможность обоснованно заявлять о своей непричастности, когда кибероперации против других стран осуществляются с их территории. В конечном счете, использование кибер-прокси затрудняет задачу атрибуции кибератак, чтобы можно было связать их с конкретными странами и привлечь их к ответственности за эти действия.
Термин «кибер-прокси» (используемый выше) не следует путать с термином «прокси-серверы» (рассматриваются в модуле 5 Серии модулей по киберпреступности: «Расследование киберпреступлений»), которые представляют собой промежуточные серверы, используемые для доступа в Интернет на законных основаниях.
Современные постоянные угрозы (или APT), рассматриваемые в различных разделах данного модуля, могут служить в качестве кибер-прокси.
Maurer , Tim . (2018). Cyber Mercenaries: The State, Hackers, and Power. Cambridge: Cambridge University Press.
Еще одной нормой международного обычного права является мирное урегулирование споров. В частности, статья 2(3) Устава ООН гласит, что «[в]се члены Организации Объединенных Наций разрешают свои международные споры мирными средствами таким образом, чтобы не подвергать угрозе международный мир, безопасность и справедливость». Эта норма также включена в Декларацию Генеральной Ассамблеи ООН 1970 года о принципах международного права, касающихся дружественных отношений и сотрудничества между государствами в соответствии с Уставом ООН, и в Манильскую декларацию о мирном разрешении международных споров, принятую Генеральной Ассамблеей ООН в 1982 году.
Меры реагирования на угрозу определяются в зависимости от типа совершенной кибератаки. Страна может реагировать на случаи взлома и распространения вредоносных программ со стороны негосударственных субъектов, используя, например, меры в области уголовного правосудия, такие как арест и возбуждение уголовного дела против лиц, совершивших эти киберпреступления. Применение таких мер наблюдалось в случаях, связанных с хактивизмом и кибершпионажем.
Если кибердействие, совершаемое страной, государством-спонсором или отдельными лицами и/или группами лиц, управляемыми страной, «не дотягивает» до порога применения силы или принуждения (т.е. относится к кибердействиям, которые нарушают международное право или, как минимум, рассматриваются в качестве необоснованного или недружественное кибервмешательства, но не являются достаточными, чтобы считаться кибервторжением), пострадавшая страна вправе принять ответные ограничительные меры ( реторсии). Примерами реторсий являются торговые ограничения и санкции.
В 2015 году Соединенные Штаты Америки и Китай подписали «двустороннее соглашение, направленное на предотвращение экономически мотивированного кибершпионажа между двумя странами, в частности, кражи интеллектуальной собственности и коммерческой тайны» (известное как Соглашение между США и Китаем о сотрудничестве в области кибербезопасности). Двусторонние соглашения по этим вопросам, такие как Соглашение о кибербезопасности между США и Китаем, требуют интенсивных дипломатических усилий и твердой политической воли сторон соглашения, чтобы обеспечить их соблюдение и исполнение. На момент подготовки данного документа американо-китайское соглашение о кибербезопасности, по всей видимости, не достигло своей первоначальной цели.
White House. (2015). Fact Sheet: President Xi Jinping's State Visit to the United States.
К другим возможным ответным мерам ограничительного характера относятся высылка дипломатов страны из потерпевшего государства, разрыв дипломатических отношений с государством, ответственным за кибердействия, отзыв послов из государства, которое, как предполагается, причастно к кибервмешательству, и/или замораживание либо прекращение помощи государству, несущему ответственность (Gill, 2013, p. 230).
Потерпевшие государства могут прибегать к репрессалиям или контрмерам, которые являются противоправными действиями, но применение которых является оправданным при определенных обстоятельствах, чтобы положить конец незаконному кибервмешательству государства и/или добиться соблюдения государством обязательств о невмешательстве (статья 22, «Ответственность государств за международно-противоправные деяния», 2000 год, Комиссия международного права; Pirker, 2013, p. 212; Gill, 2013, p. 231). Такие контрмеры могут применяться только в том случае, когда атака была отнесена на счет конкретной страны, и должны быть нацелены только на государство, ответственное за атаку (Gill, 2013, p. 231). Важно отметить, что достоверная и окончательная атрибуция является сложной задачей (для получения дополнительной информации об атрибуции см. модуль 5 Серии модулей по киберпреступности: «Расследование киберпреступлений»).
Контрмеры должны иметь исключительно реактивный характер, то есть они должны приниматься в ответ на фактическое кибервмешательство, а не в качестве мер предупреждения будущих кибератак (Gill, 2013, p. 231). По возможности, прежде чем прибегнуть к контрмерам, пострадавшему государству следует потребовать от страны, ответственной за кибервмешательство, прекращения такой деятельности (Gill, 2013, p. 231). Выбранная контрмера не должна наносить непоправимого ущерба и должна быть ограничена по времени; то есть ее действие должно прекратиться после прекращения кибервмешательства со стороны страны-нарушительницы (Gill, 2013, p. 231; Pirker, 2013, p. 213).