В пятницу 12 марта ООН приняла доклад Рабочей группы открытого состава (РГОС) о достижениях в сфере информатизации и телекоммуникаций в контексте международной безопасности. Документ был поддержан консенсусом и, поскольку в РГОС имели возможность участвовать все государства-члены, можно констатировать, что в нём отражены взгляды большей части международного сообщества. Доклад стал итогом двух лет работы РГОС — нового формата переговоров по безопасности в киберпространстве, запущенного в 2018 г. по инициативе России. Успешное завершение работы группы свидетельствует о востребованности такой площадки. Это особенно важно в связи с тем, что работа РГОС будет продолжена в новом созыве на 2021–2025 гг.
Первый результат за шесть лет
Спецпредставитель президента России по вопросам международного сотрудничества в сфере информационной безопасности Андрей Крутских назвал принятие доклада «триумфальным успехом российской дипломатии». МИД в своём официальном комментарии был более сдержан и назвал успех значимым.
Чтобы лучше понять основание для таких оценок, нужно совершить экскурс в недавнюю историю. Вопрос информационной безопасности был внесен в повестку ООН после того, как в 1998 г. Россия представила проект резолюции «Достижения в сфере информатизации и телекоммуникаций в контексте международной безопасности» в Первом комитете Генассамблеи. Переговоры по этой теме велись с 2004 г. в формате групп правительственных экспертов (ГПЭ) на закрытых обсуждениях, в которых участвовали от 15 до 25 стран (в мае должна завершиться работа 6-го состава ГПЭ).
В первой половине 2010-х гг. переговорщикам удалось добиться значительного прогресса, который был зафиксирован в трёх консенсусных докладах ГПЭ. Так, в докладе 2010 г. ГПЭ рекомендовала для снижения риска, связанного с использованием информационно-коммуникационных технологий (ИКТ), продолжить диалог между государствами о кибернормах, применять меры укрепления доверия, обмениваться информацией о национальных законах и стратегиях и помогать наращивать потенциал менее развитым странам. В докладе 2013 г. зафиксировано понимание экспертов, что международное право «применимо и имеет важное значение для поддержания мира и стабильности и создания открытой, безопасной, мирной и доступной информационной среды» (оговорив, что общее понимание того, как именно нормы применяются, ещё предстоит выработать), и что государственный суверенитет распространяется на поведение государств в такой среде. В докладе 2015 г. в числе прочего согласованы нормы, правила и принципы ответственного поведения государств в контексте использования ИКТ.
После 2015 г. ооновский переговорный процесс по вопросам киберугроз застопорился: пятый созыв ГПЭ в 2016–2017 гг. не смог принять консенсусный доклад, поскольку участники придерживались разных подходов относительно того, как международное право должно применяться к действиям государств в киберпространстве. На этом фоне в 2018 г. Россия и США выдвинули две параллельных инициативы. США с коспонсорами предложили созвать очередную ГПЭ для продолжения дискуссии в узком составе. Россия же выступила за придание переговорному процессу «более демократического, инклюзивного и транспарентного характера» посредством создания Рабочей группы открытого состава, в которой могли бы принять участие все заинтересованные государства-члены, а в формате консультаций — и другие стейкхолдеры: бизнес, неправительственные организации, научное сообщество. В итоге были запущены два параллельных формата — РГОС и ГПЭ ООН.
Доклад РГОС стал первым ощутимым результатом переговоров в ООН по вопросам киберугроз с 2015 г. Тому есть несколько причин: во-первых, подавляющее большинство стран ООН действительно были заинтересованы в таком формате (за предложенную Россией резолюцию в 2018 г. проголосовали 119 стран), открывавшем возможность участия тем, кого прежде не приглашали в ГПЭ.
Во-вторых, страны, не поддержавшие создание РГОС, тем не менее активно включились в её работу и не стали создавать препятствий на этапе принятия итогового документа. Всего за два года работы на заседаниях РГОС выступило 91 государство — почти половина членов ООН, причём треть из них не являются участниками нынешнего или предыдущих составов ГПЭ.
Наконец, многочисленные похвалы получил председатель РГОС — постоянный представитель Швейцарии при ООН Юрг Лаубер, который внёс существенный вклад в успешное завершение переговоров и продолжил исполнение председательских полномочий даже после своего перевода из Нью-Йорка в Женеву. В том числе и через председательство была обеспечена дополнительная связка между РГОС и ГПЭ (одним из критериев выбора Швейцарии было её участие в закрытой ГПЭ), что помогло избежать конкуренции между двумя форматами. Дополнительным вызовом для председателя и всех участников стала пандемия: по первоначальному плану, доклад РГОС должен был быть принят ещё летом 2020 г., однако заключительная сессия была перенесена на несколько месяцев.
Консенсус есть. Дело за содержательностью
В содержательном плане доклад отражает согласованные международным сообществом оценки текущей ситуации в киберпространстве. Согласно мандату РГОС, он включает следующие тематические разделы:
- существующие и потенциальные угрозы;
- нормы, правила и принципы ответственного поведения государств;
- вопросы применимости международного права;
- меры укрепления доверия;
- меры наращивания потенциала в области ИКТ;
- вопросы организации регулярного институционального диалога по информационной безопасности.
Участники РГОС соглашаются в том, что использование ИКТ в конфликтах между государствами становится более вероятным, и считают тревожной тенденцией рост случаев злонамеренного использования таких возможностей как государствами, так и негосударственными акторами. В докладе отмечаются потенциально разрушительные последствия атак на критическую информационную инфраструктуру (КИИ). В частности, пандемия COVID-19 подчеркнула важность защиты инфраструктуры в сфере здравоохранения. Для защиты КИИ важно как межгосударственное взаимодействие, так и между государством и частным сектором.
Однако доклад РГОС не даёт конкретных ответов на многочисленные вопросы, связанные с проблемами в области информационной безопасности, прежде всего в отношениях между государствами. Разногласия относительно того, как должно применяться международное право в киберпространстве, остаются камнем преткновения. Несмотря на успешное принятие доклада РГОС, переговорщикам ещё только предстоит поиск компромиссов по ключевым вопросам.
С точки зрения нормативных основ, доклад в основном подтверждает достигнутые ранее в рамках ГПЭ договорённости: например, в части применимости международного права или норм поведения государств. Со временем, заключают участники РГОС, могут быть разработаны дополнительные нормы.
Предложения, сделанные в докладе, по большей части носят общий характер. Государствам рекомендуется продолжать информировать генерального секретаря о своих взглядах на применимость международного права к использованию ИКТ в контексте международной безопасности; продолжать обсуждать эти вопросы в ООН; продолжать рассматривать меры укрепления доверия и меры наращивания потенциала.
Что касается более конкретных шагов, то государствам рекомендуется назначить контактных лиц, ответственных за вопросы информационной безопасности на техническом, политическом, военном и дипломатическом уровнях, и включить их в специальный справочник.
Группе из более чем 40 стран во главе с Францией и Египтом удалось добавить в рекомендации собственную инициативу. Ещё осенью 2020 г. они предложили идею единого и неограниченного по времени переговорного процесса по кибербезопасности, который, как предполагается, мог бы заменить РГОС и ГПЭ. Пока же упоминание этой инициативы — Программы действий по продвижению ответственного поведения государств в киберпространстве — было включено в один из пунктов доклада РГОС, что добавляет ей веса и является основанием для обсуждения в следующем созыве группы.
Отсутствие прорывных договорённостей во многом обусловлено обсуждением проблем информационной безопасности в широком составе. С одной стороны, это позволило подключить к переговорам новых участников, которые поддержали согласованные ранее пункты и тем самым укрепили их международный авторитет. С другой стороны, большое число участников потребовало поиска общего знаменателя, а все сложные вопросы оказались вынесены за скобки. Так, на последней неделе переговоров часть чернового текста доклада, по которой не было консенсуса, была выделена в отдельный документ — резюме председателя.
Консенсусное принятие доклада не означает, что сторонники разных подходов к обеспечению безопасности в киберпространстве преодолели свои разногласия. Скорее, они временно согласились не выставлять принципиальные позиции на первый план. Мишель Маркофф, американский переговорщик по вопросам кибербезопасности, в своём заявлении назвала доклад неидеальным и напомнила о том, что США сомневаются в необходимости созыва новой РГОС. Она также выступила против призывов к заключению новых юридических обязательств для киберпространства, обосновав это тем, что некоторые государства не соблюдают и существующие нормы. Несмотря на это, США рассматривают принятие доклада РГОС как шаг вперёд.
Переговорному процессу нужна связь с практикой
Переговоры в ООН и на других площадках по вопросам киберугроз продолжаются уже не одно десятилетие и, вероятно, затянутся ещё на долгие годы. Доклад РГОС становится важной вехой в этом процессе и напоминанием важности многосторонних усилий. По словам Андрея Крутских, успешное завершение работы группы открывает широкие перспективы для обеспечения результативного исхода действующей ГПЭ, экспертной группы по разработке конвенции о киберпреступности (переговорного процесса в Третьем комитете Генассамблеи, также запущенного по инициативе России) и новой РГОС, мандат которой принят на 2021–2025 гг.
Перспективы будущих переговоров в РГОС будут зависеть от трёх ключевых составляющих. Во-первых, их продуктивность во многом будет определяться ситуацией в отношениях между ключевыми игроками. Несмотря на то, что России и США ради достижения консенсуса по докладу удалось заглушить свои разногласия, они никуда не делись. У сторон остаются глубокие разногласия относительно таких вопросов, как атрибуция в киберпространстве, возможность применения норм международного гуманитарного права к кибератакам и пр. Это усугубляется всё новыми примерами использования ИКТ в военных и разведывательных целях, публичными обвинениями и угрозами, такими, например, как недавняя публикация New York Times о подготовке США секретных действий в российских сетях в ответ на масштабный взлом американских ведомств и корпораций (известный как SolarWinds hack), в котором обвиняют Россию. Кибербезопасность остаётся больной темой и американо-китайских отношений. Без снижения напряжённости между крупными державами ожидать ощутимого прогресса в многосторонних переговорах вряд ли возможно.
Второй фактор связан с конкуренцией переговорных площадок. Преимущество РГОС — широкая поддержка и мандат, зафиксированный в резолюции Генассамблеи. Впрочем, широкой поддержкой в ООН пользуется и формат ГПЭ, причём в 2020 г. «российская» резолюция в Первом комитете получила меньше голосов, чем в 2018 г., а «американская» — больше. Но конкуренция форматов выходит за рамки ООН. В последние годы возник ряд негосударственных инициатив по регулированию киберпространства. Франция активно продвигает «Парижский призыв к доверию и безопасности в киберпространстве», поддержанный почти 80 государствами, многими организациями гражданского общества и компаниями; в рамках этой инициативы запускаются шесть рабочих групп для продвижения международных норм и развития практического сотрудничества в области кибербезопасности. Эта конкурентная среда будет требовать от РГОС достижения более ощутимых результатов на важных для участников направлениях.
Наконец, третий фактор — это сохранение разрыва между практической стороной обеспечения информационной безопасности и международно-политической дискуссией вокруг этого. Технологические компании сталкиваются с киберугрозами в каждодневном режиме, однако их опыт решения этих проблем по большей части остаётся невостребованным на переговорных площадках. В докладе РГОС упоминается необходимость государственно-частного партнерства для защиты КИИ. Однако участники группы могли бы пойти дальше, обобщив уроки реагирования бизнеса на масштабные кибератаки и высказав отношение к усилиям технологических лидеров по продвижению норм. РГОС имеет потенциал к преодолению этого разрыва (мандат новой группы предполагает возможность взаимодействия с бизнесом и другими стейкхолдерами), однако пока он используется не полностью. В работе первого созыва со стороны бизнеса наиболее активно участвовал Microsoft, в неформальных консультациях также принимали участие TrendMicro, Huawei, Fujitsu и др. Из российских компаний единственным участником РГОС была «Лаборатория Касперского». В МИД России считают необходимым создать условия для привлечения бизнеса к переговорному процессу по международной информационной безопасности (МИБ), придав государственно-частному партнерству институциональный характер. Это потребует решения двух задач: как мотивировать российский бизнес к участию в переговорах и как наиболее эффективным образом организовать взаимодействие разных стейкхолдеров в рамках РГОС. Иначе многосторонним усилиям по-прежнему будет не хватать остро необходимой связи с практикой.