В исторически план, сферата на международната политика се формира от държавните играчи , особено що се отнася до въпросите на сигурността. Традициите на политическия реализъм задълго закрепиха привилегированото положение на държавата не само в провеждането на международната политика, но и при фомулирането на нормите на международното право.
Въпреки появата на влиятелни транснационални играчи от частния сектор и гражданското общество и признаването им за пълноценни участници в международните отношения, те продължаат да не се разглеждат като фактори, способни да формулират и утвърдят нормите на международното право в някои от тези сфери.
Необходимостта от ясни норми на поведение в киберпространството
Появата на новите информационни технологии, породили сериозни предизвикателства за сигурността на държавите, добави нови участници на масата за преговори относно кибернормите и отговорното поведение в киберпространството.
През последните двайсетина години държавите предприеха много опити за постигане на компромис по въпроса за регулиране използването на информационно-комуникационните технолигии (ИКТ). Показателно е, че първоначално ИКТ се разглеждаха от гледната точка на новите възможности и иновации за развитие на потенциала на конкретната страна и нейната икономика, при положение, че само малка група държави обръщаше внимание на потенциалните рискове от злоупотреба с ИКТ за военни цели с цел да бъде ерозиран световният мир и сигурността на планетата (1).
Днес обаче, тези рискове вече са сурова реалност – държавите не само използват технологиите за разузнаване или за да си гарантират военно превъзходство, но и осъществяват противоправни действия, чиято оценка е нееднозначна от гледна точка на приложението на международното право, тъй като необходимият за целта механизъм все още не е създаден. Само че това не възпира други държави да заплашват, че ще използват сила в отговор на осъществените срещу тях кибератаки. Докато проблемите с достоверните технически характеристики на кибератаките остават нерешени, ставаме свидетели на случаи, в които им се придават определени политически характеристики. Така например, през октомври 2018 Националният център за киберсигурност на Великобритания публикува съобщение, в което се твърди, че редица осъществени в последно време кибератаки, включително срещу Световната антидопингова агенция (WADA) и Националния демократичен комитет на САЩ през 2016, както и срещу Организацията за забрана на химическите оръжие (ОЗХО), „с голяма степен на вероятност” са свързани с активността на руското Главно разузнавателно управление (ГРУ). Международната подкрепа за подобни недоказани твърдения, като например официалните обвинения, предявени от САЩ на седем офицери от ГРУ, само влошава ситуацията, от гледна точка на международната сигурност. Обвиненията, основаващи се изключително на косвени факти и политизирането на инцидентите, както и последвалите ги санкционни мерки, създават опасен прецедент в световната политика.
Както е известно, регулирането на всяка сфера на международно равнище не е лесна задача. А проблемът с киберпространството въобще излиза извън рамките на съществуващата практика в това отношение. Въпреки че изследователите често сравняват киберпространството с другите "домейни" и правят паралели с правните режими за Космоса, за Световния океан или за Антарктика, подобни подходи често не водят доникъде, тъй като трансграничният характер на киберпространството се оказва сериозен препъни камък (2). При това, проблем за бъдещото регулиране представляват не само техническите характеристики на киберпространството. Налице са и редица политически и юридически проблеми.
На първо място, съществуват различни дискурси на разбирането за киберсигурността: интрепретацията на "източните" и "западните" държави за това, какво всъщност представлява "сигурността" в киберпространството/информационното пространство, се различава. Съществено се различава и възприемането на заплахите, идващи от киберпространството. Тези несъответствия пречат на междудържавния диалог относно правилата и нормите на отговорно поведение. На второ място, свидетели сме на "криза на международното киберправо". След петте заседания на групата правителствени експерти на ООН се очерта нежелание на държавите членки на въпросната група да развиват обичайното международно право, приложимо към киберпространството. Процесът на признаване, че съществуващото международно право е приложимо и за него, отне почти десет години, след първото заседание на групата през 2003. През 2015 държавите постигнаха значителен прогрес, опирайки се на достигнатия консенсус, и разшириха списъка на доброволно приетите норми и правила за поведение на държавите в киберпространството. За съжаление обаче, последното засега заседание на групата през 2017 се оказа безрезултатно, поставяйки под въпрос по-нататъшното съществуване на този формат. Все пак, Русия планира провеждането на следващо заседание през 2019 (въпреки неспособността на групата да приключи работата си с приемане на консенсусен доклад) като разчита да получи подкрепа от членовете на т.нар. Г-77: "В момента броят на желаещите да се присъединят достигна 68 държави, опитващи се получат подкрепата на руската страна, като организатор на този процес под егидата на ООН". Между другото, сред причините за неуспеха на заседанието на групата през 2017 беше и позицията на САЩ и съюзниците им, според които нейният формат вече се е изчерпал. Несъмнено, основната разломна линия между двата лагера е различната им позиция относно приложимостта на международното хуманитарно право, доколкото то "би узаконило сценария за война и военни действия в контекста на ИКТ".
Впрочем, внимание заслужават и други причини за невъзможността за постигане на споразумение за регулиране на киберпространството на държавно равнище. Съдейки по всичко, държавите предпочитат да се придържат към изчаквателна тактика по отношение към всички нормативни новости. Освен това, артикулирането на всяка кибернорма автоматично налага съответните ограничения върху действията на държавите в киберпространството: те са длъжни първо да признаят наличието на конкретни кибервъзможности за да могат след това да ги ограничат с цел да се гарантира стабилността в киберпространството. Преди, нито една от великите държави не беше склонна да признае, че разполага с настъпателни средства, позволяваща и да осъществява шпионаж, да прониква в чужди мрежи на критичната инфраструктура или да влияе върху резултатите от изборите в други страни. САЩ обаче нарушиха тази "традиция", публикувайки през пролетта на 2018 новата Пътна карта на американското Киберкомандване и прокламирайки курс към т.нар. "настъпателна киберотбрана": "американските военни следва да осъществяват атаки срещу чуждестранни мрежи, изваждайки от строя подозрителните сървъри още преди те да са опитали да стартират вредните си програми". Въпреки това, докато не се очертае поддаващ се на количествена оценка предмет на преговори по отношение на кибероръжията, е малко вероятно, че държавите ще заимстват някои идеи от практиката на договорите за ограничаване на стратегическите настъпателни въоръжения, поне в близко бъдеще.
Все пак, не бива да забравяме, че въпреки цитираните по-горе аргументи, киберпространството не е "територия извън закона". Напротив, то прилича по-скоро на одеало от кръпки, състоящо се от двустранни споразумения по киберсигурност и регионални системи за колективна сигурност, например НАТО, ОДКС и ШОС. Освен това, нараства броят на националните и регионални нормативни актове, касаещи въпросите за киберпрестъпността, защитата и легализацията на данните. Всички тези механизми са приложими спрямо ограничен кръг от дейности в киберпространството, но не бива да бъдат пренебрегвани, тъй като формират рамките за държавите членки и, следователно, определят общата гледна точка по въпросите на гарантирането на киберсигурността.
Въпреки това, идеята за всеобхватен глобален договор за киберпространството, аналогичен на Договора за Антарктика, изглежда все по-нежизнеспособна. На първо място, процесът по съгласуването му ще отнеме прекалено много врме, а законотворчеството традиционно изостава от технологичната развитие. На второ място, държавите трябва да съгласуват позициите си по ключовите въпроси на киберсигурността, в противен случай не можем да очакваме какъвто и да било прогрес. Последните десет години бяха посветени именно на обсъждане на въпроса, кое е допустимо в киберпространството, като различните страни лансираха собствените си проекти с подкрепата на експертната и международната общност. Следва да спомена няколко известни инициативи: Международният кодекс на поведение в сферата на информационната сигурност, прокарван от членовете на ШОС; руското предложение за Конвенция за международна информационна сигурност; мерките на ОССЕ за укрепване на доверието с цел да се намали риска от възникване на конфликт в резултат от използването на ИКТ; декларацията на Г-7 за отговорното поведение на държавите в киберпространството. През 2011 в Лондон пък беше поставена началото на глобална конференция, на която въпросите на киберсигурността се обсъждат на високо равнище. Въпреки че всички тези паралелни процеси целят да решат проблемите с липсата на доверие между държавите, те съдържат конкуриращи се дискурси и отклоняват държавите от реално сътрудничество. В крайна сметка беше постигнат негласен консенсус, че е по-добре да бъдат съгласувани редица общи норми и правила, които да не са задължителни, но да са приемливи за всички.
Истината, че въпросът за общите норми и правила не се оказа никак прост. Двамата известни теоретици на конструктивиза Финемор и Холис посочват, че в стремежа си към хармонизация на нормите, всички играчи забравят, че за „култивирането на кибернормите” е важен процесът, а не крайният резултат, под формата на някакъв съгласуван текст (3). Освен това, самата норма представлява много неустойчива конструкция, тъй като не всички, които я подкрепят, напълно осъзнават взаимната и връзка със закона, като такъв. Да не забравяме и, че значението на нормите, въпреки че те могат да бъдат закрепени в конкретен документ, може да се променя с течение на времето, тъй като онези, които ги използват, постоянно интерпретират нормите в съответстие с текущия контекст.
Новите играчи
И така, днес повечето водещи държави избягват формулирането и подписването на каквито и да било правно ангажиращи ги споразумения относно кибернормите, тъй като това би довело и до правна отговорност при нарушаване на поетите задължения. В условията на този "властови вакуум", в играта активно се включиха и недържавните играчи, стремящи се да извлекат максимална полза от създалата се неясна ситуация в киберпространството.
Тези нови играчи - частните компании и техническите общности - стават все по-влиятелни, тъй като произвеждат контента, програмното и апаратно обезпечаване, притежават и управляват най-важната инфраструктура на Интернет. Липсата на киберпотенциал за осъществяване на необходимия мониторинг и реагиране при инциденти в киберпространството доведе до появата на компютърни групи за реагиране при извънреди ситуации (CERT) и отдели за компютърна сигурност за реакция при инциденти (CIRT). Те могат да бъдат както национални, така и отраслови, или пък да обслужват потребностите на конкретни държавни институции. Последният Глобален форум за управление на Интернет през 2017 очерта феномена на CERT-дипломацията, тъй като ползотворното сътрудничество с цел реагиране на киберинциденти изисква високо ниво на доверие и устойчиви лични контакти между членовете на различните СERT, във връзка с трансграничния характер на киберзаплахите. Тоест, по различни политически причини, държавите могат да се отнасят с подозрение една към друга, докато технологичните играчи са по-склонни да си сътрудничат по проблемите на сигурността.
Освен това частните компании са заинтересовани активно да участват във формулирането на нормите за киберпространството, тъй като и те, и техните клиенти са първите жертви на кибератаките. Налице е потребност от глобален кодекс на поведение за защита на общото киберпространство. Както е известно, през 2014 Microsoft за първи път предложи Цифрова Женевска конвенция, съдържаща шест основни принципа на международната киберсигурност, приложими в мирно време, като продължава активно да лобира за своя проект и днес. Оттогава насам недържавният сектор се активизира и само през последната година бяха лансирани следните инициативи: Споразумението за киберсигурността (Cybersecurity Tech Accord), Хартата на доверието (Charter of Trust) на Siemens, Хартата за информационна сигурност на критичните обекти на индустрията, предложена от руската Норникел, както и двете норми, предложени от Глобалната комисия за киберстабилност (GCSC) - за защита на "публичното ядро" на Интернет и за гарантиране сигурността на инфраструктурата, използвана при провеждането на избори и референдуми.
За да направя сравнение между тези инициативи, използвам като основа концепцията за нормата на Марта Финемор и Дънкан Холис (4). Според тях, всяка норма включва четири съставляващи: идентичност (обозначава групата, към която е приложима нормата); поведение (конкретните действия, които нормата изисква от групата); проприетарност (основанието, въз основа на което нормите определят поведението като съответстващо); колективни очаквания (общата представа на членовете на групата за съответстващо на нормата поведение).
Всяка инициатива е насочена към различни идентичности. Така, Tech Accord визира технологичния сектор и призовава за разработването на услуги и продукти, защитаващи потребителите от кибератаки, както и да не се улесняват опитите на държавите да предприемат такива атаки. Microsoft апелира към държавите да се въздържат от осъществяването на атаки срещу критичната инфраструктура, да ограничат надпреварата в кибервъоръженията и да ограничат настъпателните операции в киберпространството.
На свой ред, Siemens настоява за предприемане на конкретни действия както от държавите, така и от бизнеса, като предложението на концерна напомня по-скоро на организационна политика за киберсигурност и включва: искане за създаване на профилни министерство и назначаване на ръководители, отговарящи за информационната сигурност (CISO), а също включване в учебните планове на курсове по защита на информацията и киберсигурност. Норникел и Комисията по киберстабилност пък предлагат норми, приложими за всички заинтересовани страни. Хартата на Норникел осъжда използването на ИКТ с цел осъществяване на недобросъвестна конкуренция и нанасяне на ущърб на индустриални обекти и "приветства усилията на международната общност субектите на опорните информационно-комуникационни инфраструктури, формиращи основата на глобалната мрежа, да получат статут на демилитаризирана зона, свободна от силовото противоборство на политическите субекти". Тоест, тук е налице отправка към нормата за защита на "публичното ядро" на Интернет, предложена от Комисията по киберстабилност: "държавните и недържавните играчи не бива да осъществяват или съзнателно да допускат активност, преднамерено нанасяща съществен ущърб на общата достъпност или на целостта на публичното ядро на Интернет и, следователно, на стабилността на киберпространството". Освен това Комисията предлага играчите да се въздържат от осъществяването на кибероперации, целящи ерозиране на техническата инфраструктура, необходима за провеждането на избори, референдуми или плебисцити".
Общата идея на всички тези инициативи е да се ограничи нивото на кибератаките с различни способи: да се пресече злоупотребата с мрежите, програмното осигуряване и устройствата за осъществяване на вредна активност; да се усъвършенстват механизмите за разследване на киберинцидентите, а също да се съдейства за развитие на културата на киберсигурността. Интересно е, че всяка инициатива апелира към свое, собствено основание за проприетарност. Така, участниците в Tech Accord използват корпоративната етика и отношенията с клиентите като основа за интернализация на нормите. Подписалите хартата на Siemens пък се опират на концепцията за доверие в цифровото бъдеще: "хората и организациите трябва да вярват, че цифровите им технологии са сигурни и надеждни, иначе няма да възприемат цифровата трансформация и тъкмо поради това подписваме настоящата Харта". Същите идеи впрочем, присъстват и в Хартата на Норникел, макар че тя съдържа и отправки към резолюциите на Генералната асаблия на ООН относно "постиженията в сферата на информатизацията и телекомуникациите в контекста на международната сигурност", които се приемат всяка година от 1998 насам.
Предложението на Microsoft директно се опира на съществуващото международно право, същото се отнася и за нормите, формулирани от Комисията по киберстабилност. Впрочем, последната предлага и ново основание за проприетарност: стабилното функциониране на "публичното ядро" на Интернет, като най-важния компонент на киберпространството.
Засега е трудно да се каже, какви ще са колективните очаквания от нормите, тъй като споменатите по-горе инициативи са само предложения и можем да получим достатъчно данни за анализ само, ако играчите се съобразяват доброволно с предложените норми в течение на определен период от време. Както е известно, нормотворчеството не е краен процес. Етапът на интерпретация на нормите е сред най-важните в процеса на тяхното "култивиране", затова и колективните очаквания от нормата също се формират с течение на времето.
Формата, в която намира израз конкретната норма, е не по-малко важна за нейната интернализация. Споменатите по-горе инициативи показват, че по правило бизнесът представя предложенията си за кибернорми под формата на публични ангажименти. Това е интересен повратен момент за по-нататъшните изследвания в областта на консолидирането на кибернормите. За да може едно публично задължение да бъде ефективен инструмент, компанията следва своевременно да информира обществеността за постигнатия от нея прогрес в реализацията на поставените цели. Само участниците в Tech Accord обаче декларират, че публично ще отчитат постигнатия от тях прогрес, като това тяхно намерение беше потвърдено на конференцията CyFy, провела се в Индия през октомври 2018.
Показателно е, че киберсигурността понякога се разглежда от гледната точка на дилемата на общественото благо, "в която отделните членове на обществото следва да вземат решение, дали да допринесат за определено обществено благо". Локхорст, Ван Дийк и Стаатс стигат до извода, че публичните ангажименти помагат за структурната промяна в поведението на хора с различно ниво на доверие (5). Онези, които се ползват с ниско ниво на доверие, са готови да дадат своя принос, ако знаят, че е много вероятно общественото благо да бъде гарантирано, особено ако ключовите играчи вече са се задължили да внесат своя принос за това.
По отношение на темата на настоящата статия, тази идея може да сработи по следния начин: последните нормотворчески инициативи в сферата на киберсигурността бяха лансирани от гигантите от IT-сектора, а най-големият привърженик на тези проекти е едрият бизнес - Tech Accord например, беше подписан от 62 компании, сред които Facebook, CISCO, Dell, Microsoft, Nokia, Panasonic, Telefonica и други. Сред подкрепилите Хартата на Siemens 11 компании пък са Аirbus, IBM и T-Mobile. През следващите няколко години вероятно ще станем свидители на "каскадно нарастване на кибернормите", предложени от недържавни играчи, както и на постепенната им интернализация.
Заключение
Въз основа на казаното дотук, стигаме до извода, че сегашната ситуация може да се характеризира като междинен етап в дипломацията на киберсигурността: държавите положиха немалко усилия за разработването на международно киберправо, но постигането на споразумение за юридически задължителни правила се оказа непосилна задача за тях. Като най-вероятен сценарий за по-нататъшното развитие на ситуацията се очертава, че държавите ще следят внимателно инициативите на недържавните играчи в тази посока и в крайна сметка ще започнат да включват най-подходящите според тях норми в дискусиите на междуправителствено равнище. В момента, отделните групи еднакво мислещи държави стоят на диаметрално противоположни позиции по отношение на визията си за киберсигурността и не са готови да жертват сегашната си относителна свобода на действие в киберпространството в името на всеобщата сигурност и стабилност. В отсъствието на общи правила за поведение, на бизнеса не остава нищо друго, освен да следва самостоятелно определени стандарти и норми на киберсигурност, за да ограничи, поне донякъде, вредите от евентуални кибератаки.
Бележки:
- Русия беше инициатор на първата резолюция на Генералната асамблея на ООН за „Постиженията в сферата на информатизацита и телекомуникациите в контекста на международната сигурност през 1998» (A/53/576)
- 2. Eichensehr, K. (2015) the Cyber-Law of Nations. The Georgetown Law Journal, Vol 103: 317-380
- 3. Finnemore, M., & Hollis, D. B. (2016). Constructing norms for global cybersecurity. American Journal of International Law, 110(3), 425–479. P.438
- 4. Finnemore, M., & Hollis, D. B. (2016). Constructing norms for global cybersecurity. American Journal of International Law, 110(3), 425–479. P.438
- 5. Lokhorst, A., van Dijk, E., & Staats, H. (2009). Public commitment making as a structural solution in social dilemmas. Journal of Environmental Psychology, 29, 400–406.
*Гост-изследовател в Технологичния университет на Джорджия, САЩ, експерт на Руския съвет за международни отношения