Запрет атак на гражданское население?
Есть не столь ограничивающие подходы, как запрет на использование кибероружия или отказ от ненападения. Один из возможных вариантов — принятие односторонней декларации или международного протокола о запрете атак на гражданские объекты. В международном военном праве была масса подобных прецедентов — запрещалось использование определенных вооружений или действий, заключались соглашения, обязывающие защищать гражданское население, вовлеченное в войну.
Во время Первой мировой войны в сражениях впервые использовались самолеты. Они главным образом применялись в целях разведки, в пулеметных обстрелах войск противника, воздушных боях, но некоторые самолеты сбрасывали бомбы на врага. Это первое использование авиабомб открыло перспективы создания самолетов, способных в будущем взять на борт больше бомб. В следующее десятилетие появилась бомбардировочная авиация. Один из первых писателей-фантастов Герберт Уэллс в романе 1933 года «Грядущие события» описал, во что такая авиация способна превратить город. К 1936 году он написал на основе книги сценарий, а кинорежиссер Александр Корда снял фильм, который шокировал зрителей. 1938 году в Амстердаме участники международной конференции согласились ограничить «новые машины войны». На основе этого соглашения в том же году была заключена Конвенция о защите гражданского населения от бомбардировок с воздуха.
К сожалению для Амстердама и большинства других крупнейших городов Европы и Азии, эта конвенция не остановила Германию, Японию, Соединенные Штаты, Великобританию и Советский Союз, использовавших ковровые бомбардировки городов в войне, которая началась год спустя. После Второй мировой страны мира предприняли очередную попытку и подписали несколько соглашений, ограничивающих условия ведения будущей войны. Эти договоры, заключенные в Швейцарии, получили название Женевских конвенций. Четвертая конвенция посвящена защите гражданского населения во время войны. Тридцать лет спустя Организация Объединенных Наций поддержала еще одну серию соглашений. Согласно им не только гражданские лица, но и военный персонал должны быть защищены от определенных видов оружия, которое считается бесчеловечным. Конвенция получила громоздкое название Конвенция о запрещении или ограничении применения конкретных видов обычного оружия, которые могут считаться наносящими чрезмерные повреждения или имеющими неизбирательное действие. Было подписано пять протоколов, запрещающих или ограничивающих использование осколочного и зажигательного оружия, противопехотных мин и мин-ловушек, согласно дополнительному протоколу запрещается также использование лазерного оружия.
Не так давно (в 2002 году) Международный уголовный суд запретил использование гражданского населения в качестве военной цели. Соединенные Штаты вышли из договора и добились соглашения со многими странами о том, что они не станут оказывать поддержку судебным преследованиям американских военных. В Женевскую конвенцию о защите гражданского населения или конвенцию ООН об оружии с «непредсказуемыми последствиями» можно добавить и новый вид военных действий. Кибероружие, используемое против инфраструктуры страны, неминуемо оказывает разрушительное воздействие на гражданские системы. Нет ничего более непредсказуемого, чем атака на энергетическую или транспортную систему. Бели такие масштабные нападения и снижают военный потенциал страны, он, скорее всего, страдает меньше, чем гражданская инфраструктура. У военных наверняка есть вспомогательные энергосистемы, запасы еды, полевые госпитали. Масштабная кибератака на инфраструктуру страны может вывести из строя электросети на недели, нарушить работу газо- и нефтепроводов, направить поезда на запасные пути, запретить полеты, помешать банкам выдавать наличные, запутать системы поставок, ограничить возможности больниц. Гражданское население может остаться без света, тепла, пищи, денег, медицинского обслуживания и новостей о происходящем. В результате возрастет уровень преступности и начнется мародерство. Масштаб бедствий будет зависеть от продолжительности и территориальных масштабов энергетической катастрофы. Хотя последствия окажутся намного менее плачевными, чем при бомбардировке городов с воздуха, изощренная кибератака определенно затронет гражданское население, а возможно, с этой целью и будет проводиться.
Расширение существующих международных соглашений в целях защиты гражданского населения от кибератак выгодно для Соединенных Штатов. Это позволит США продолжить заниматься тем, что у нас хорошо получается — вести кибервойну против военных объектов, включая концепцию первого удара. Высокотехнологичное кибероружие, вероятно, позволит США сохранять технологическое превосходство в потенциальных военных конфликтах, даже если другие страны смогут использовать современное обычное оружие, практически равное по мощности американскому. Кибероружие, наверное, поможет США компенсировать численное превосходство противника в локальных и региональных боевых действиях.
Для США запрет атаки на гражданские объекты будет означать, что ликвидация вооруженных сил противника не будет побочным эффектом генерального кибернаступления на гражданскую энергосистему или систему железных дорог. Возможно, что американские кибервоины смогут атаковать непосредственно военные объекты— сети управления и контроля, системы ПВО, конкретные системы вооружения. Таким образом, выполняя запрет на атаку гражданских объектов, США не потеряют своих мощностей, необходимых для победы над противником.
Соединенные Штаты, как и другие страны, не слишком хороши в киберобороне, но американская гражданская инфраструктура более уязвима, и поэтому в случае крупной кибератаки США понесут больше потерь, чем другие страны. Поскольку американские военные зависят от гражданской инфраструктуры, запрет кибератак на гражданские цели защитит и американских военных, а также поможет избежать нанесения вреда населению в целом и экономике.
Предположим, Соединенные Штаты считают, что такой ограничительный запрет на кибероружие отвечает их интересам, и готовы подписать или внести соответствующее предложение — тогда сразу возникают два вопроса. Во-первых, как мы собираемся контролировать соблюдение этого запрета? И во-вторых, что делать с «подготовкой поля боя»? Является ли атакой проникновение в сеть и размещение логической бомбы или только использование логической бомбы и другого оружия? То есть какие свои действия мы готовы приостановить?
Ранее мы пришли к выводу о том, что формальное международное соглашение, запрещающее кибершпионаж, пожалуй, не лучшая идея для Соединенных Штатов. Следовательно, нам не имеет смысла запрещать проникновение в сети для сбора разведывательных данных, например в сети системы управления железными дорогами. Но какова ценность разведывательной информации, добытой из системы управления электросетями? Внедрение в управление электросетями и оставленные там «черные ходы» имеют единственную цель — подготовиться к атаке. Логические бомбы — еще более очевидное проявление кибервойны. Теоретически можно запретить кибератаку на гражданскую инфраструктуру, не запрещая в явном виде размещение лазеек и логических бомб, но не лучше ли наложить запрет на любые действия, которые могут послужить причиной разрушений? Такой узконаправленный запрет позволит США, в случае атаки на нашу гражданскую инфраструктуру, быстро ответить противнику тем же. При данном подходе атаковать чужие сети без заблаговременного размещения кибероружия было бы сложно и трудоемко. Но если мы позволим странам размещать логические бомбы в сетях друг друга, то лишимся главной ценности, которую несет в себе запрет на кибератаку гражданской инфраструктуры. Главная задача запрета кибервойны против гражданских инфраструктур — снизить текущую (невысокую, но опасную) напряженность, выйти из ситуации, когда всего лишь несколько нажатий кнопок отделяют нас от начала разрушительных атак, грозящих перерасти в полномасштабную кибервойну или даже в настоящий вооруженный конфликт. Логические бомбы в наших электросетях, размещенные, по всей вероятности, китайскими военными, и аналогичные устройства, которые мы оставили или оставим в сетях других стран, оказывают такое же дестабилизирующее воздействие, как и секретные агенты, которые закладывают взрывчатку в опоры высоковольтных линий, трансформаторы и генераторы. Кибероружие сложнее обнаружить, но всего лишь несколько клавиш, которые нажмет на другом конце мира раздраженный или бесчестный кибервоин, могут начать конфликт, перерастающий в войну, масштабы которой мы даже не представляем.
Хоть мы и можем представить ситуацию, в которой США получат преимущество, заблаговременно разместив логические бомбы в гражданских сетях потенциального противника, риски, которые несет такая же практика со стороны других стран, значительно превышают возможную выгоду. Поэтому в рамках запрета нападения на гражданскую инфраструктуру с использованием кибероружия нам следует согласиться, что это табу должно распространяться и на проникновение в сети гражданской инфраструктуры с целью размещения логических бомб или лазеек.
Начнем с банков?
Даже соглашение, ограничивающееся защитой гражданской инфраструктуры, может вызвать ряд проблем. Для некоторых стран, к примеру России, готовность США принять такое соглашение подтвердит их уверенность в опасности кибероружия. И они продолжат добиваться его полного запрета. Переговоры о ратификации соглашения по защите гражданских объектов могут открыть ящик Пандоры, полный проблем. Поэтому Соединенным Штатам стоит еще больше ограничить рамки первого международного соглашения по кибероружию. Один из вариантов — предложить договор, предотвращающий кибератаки на международную финансовую систему. Каждая развитая страна заинтересована в надежности данных, на которые опираются международные и национальные банки, финансовые и товарные биржи. От кибератаки, направленной на международную финансовую систему, пострадают практически все государства, за исключением стран, похожих на нищую и неконтролируемую Северную Корею. Урон, нанесенный системе, затронет самого нападающего, а если он будет «пойман», у международного сообщества испортятся финансовые отношения с его страной, что подорвет национальную экономику.
В силу взаимосвязи крупнейших финансовых институтов мира, в том числе и частных банков, кибератака на финансовую инфраструктуру одного государства может вызвать стремительный волновой эффект, подрывая доверие к мировой финансовой системе. Как сказал мне директор одной компании с Уолл-стрит, «именно уверенность в данных, а не золотые слитки Федеральной резервной системы Нью-Йорка, лежит в основе работы финансовых рынков мира».
Убеждение в том, что кибератака на банки способна разрушить мировую финансовую систему, не позволило представителям предыдущей администрации одобрить предложение взломать банки и украсть денежные фонды террористов и диктаторов, например Саддама Хусейна. Как отметил генерал Макконел: «Что будет, если кто-нибудь совершит атаку на большой нью-йоркский банк, изменит или уничтожит данные? Возникнет неуверенность и утратится доверие. Без уверенности в надежности и точности финансовых операций никто не станет их совершать». Таким образом, мы в интересах США сами выбрали предложить и поддержать международное соглашение о запрете кибератак на финансовые институты. (Запрещать кибершпионаж при этом не нужно. Сведения о финансовых операциях банков обладают разведывательной ценностью и позволяют отслеживать деньги террористов. Соединенные Штаты, вероятно, этим уже занимаются. Европейские финансовые институты были шокированы, узнав в 2006 году, что США, отыскивая следы принадлежащих террористам фондов, вполне возможно, тайно отслеживали международные финансовые транзакции системы банковского клиринга, — SWIFT, Society of Worldwide Interbank Financial Telecommunications.)