На пути к общему пониманию: применение принципов МГП в ходе киберопераций

Статья была опубликована в Humanitarian Law and Policy Blog, 7 марта 2023 г.

Эта публикация открывает новую серию коротких статей МККК о кибероперациях в ходе вооруженных конфликтов (на английском языке).

Недавнее исследование показало, что в вооруженных силах более 60 государств есть регулярные киберотряды. Стороны в вооруженных конфликтах, а также ряд акторов, связанных с негосударственными силами или имеющих не установленную пока принадлежность, уже применяют военный киберпотенциал в вооруженных конфликтах, иногда в рамках самостоятельных операций, иногда с боевой поддержкой.

Международный вооруженный конфликт между Россией и Украиной — лишь один из последних тому примеров.

То, что из-за этого может пострадать огромное количество людей, вряд ли кого-то удивит в 2023 году. Еще в 2001 году Кнут Дёрманн, бывший в то время юридическим советником МККК, предупреждал, что кибероперации против промышленных предприятий, объектов гражданской инфраструктуры или телекоммуникаций могут привести к разрушительным последствиям, если вызовут сбои в работе систем.

Сегодня эта мысль находит отражение в консенсусных заявлениях государств на самом высоком уровне. Так, в 2021 году рабочая группа ООН открытого состава пришла к выводу, что кибероперации могут серьезно сказаться на функционировании гражданской инфраструктуры и таким образом привести к разрушительным гуманитарным последствиям (п. 18).

Существование цифровых угроз для гражданского населения требует срочного всестороннего обсуждения и разъяснения сложных правовых вопросов. Какие ограничения налагают существующие нормы МГП на кибероперации, способные нарушать работу служб жизнеобеспечения и объектов инфраструктуры или манипулировать данными и удалять их? Кто несет ответственность за поведение негосударственных субъектов в среде ИКТ, какие обязательства лежат на этих субъектах и какие последствия грозят им в случае участия в военных действиях?

Тем не менее шаги по регулированию этого вопроса на международном уровне были довольно осторожными. Многосторонние обсуждения информационной безопасности начались еще в 1998 году, когда Российская Федерация представила первую резолюцию по этому вопросу. Однако, только в 2013 году Группа правительственных экспертов ООН (ГПЭ) достигла консенсуса по основным аспектам применения международного права в киберпространстве (п. 19).

Вопрос о ведении киберопераций в ходе вооруженных конфликтов также давно обсуждается в рамках многосторонних дискуссий. В 2015 году следующая ГПЭ отметила «существующие международно-правовые принципы, в том числе, в соответствующих случаях, принципы гуманности, необходимости, пропорциональности и индивидуализации» (п. 28 (d)). Еще шесть лет спустя ГПЭ напомнила о прямой связи этих принципов с отраслью права, к которой они относятся, то есть с международным гуманитарным правом (п. 71 (f)). В том же докладе ГПЭ признала необходимость дальнейшего изучения вопроса о том, как и когда эти принципы применяются к использованию ИКТ государствами (там же).

Сегодня МККК публикует четыре статьи в поддержку дальнейшего обсуждения именно этих вопросов: как и когда. Статьи будут официально представлены в Нью-Йорке на секции международного права в рамках заседания Рабочей группы ООН открытого состава по вопросам безопасности в сфере использования информационно-коммуникационных технологий, в задачи которой входит выработка общего взгляда на применение международного права в информационной среде. Кроме того, мы надеемся, что эти статьи будут интересны более широкому кругу экспертов-практиков и ученых в области международного права.
Здесь мы вкратце объясняем, когда и как МГП и его ключевые принципы применяются в информационной среде. Под каждым вопросом вы найдете пояснение (выделено жирным шрифтом в начале статьи), краткое изложение содержания статьи и ссылку на полный текст, в котором тема раскрыта подробнее.

Статья 1: когда применение информационно-коммуникационных технологий регулируется международным гуманитарным правом?

Международное гуманитарное право регулирует применение информационно-коммуникационных технологий в ходе вооруженных конфликтов.

Ответ на вопрос, когда применяется МГП, настолько же прост, насколько и важен: как отмечает ГПЭ, МГП применяется только во время вооруженных конфликтов (не считая некоторых исключений, о которых идет речь, например, в данной статье, в примечании 2). Следует помнить, что в сфере права определение обстоятельств, при которых применяется МГП, — это одно, а оценка того, какие действия можно считать запрещенной угрозой силой или ее применением или вооруженным нападением в соответствии с Уставом ООН, — другое. МГП применяется или в ходе вооруженных конфликтов между государствами (международных вооруженных конфликтов), или в ходе вооруженных конфликтов между государствами и негосударственными вооруженными группами, или в ходе конфликтов между такими группами (немеждународные вооруженные конфликты).

В статье рассматривается, какие ситуации, связанные с использованием киберпотенциала, подпадают под определение одного из видов вооруженных конфликтов. Хотя некоторые аспекты применимого права остаются неурегулированными, МГП однозначно применяется, когда кибероперации ведутся в дополнение к обычным физическим, или кинетическим, военным операциям в ходе вооруженных конфликтов или для их поддержки.

Полный текст статьи на английском языке читайте здесь.

Статья 2: принципы гуманности и необходимости в МГП

Все нормы международного гуманитарного права опираются на основополагающие принципы гуманности и военной необходимости. Все нормы МГП отражают тщательно выверенный баланс между этими двумя принципами, на которые, в свою очередь, можно опираться при толковании норм. Кроме того, ограничения, налагаемые этими двумя принципами, шире конкретных норм и касаются в том числе сферы информационно-коммуникационных технологий.

После принятия Санкт-Петербургской декларации 1868 г. стало понятно, что, развивая МГП, государства получают инструмент, позволяющий постоянно переоценивать, когда и в какой степени «потребности войны должны остановиться перед требованием человеколюбия». Поэтому первые два из четырех существующих международно-правовых принципов, отмеченных ГПЭ в 2015 году, описаны в одной статье.

В ней показано, как два тесно связанных принципа — гуманности и военной необходимости — влияют на применение и толкование МГП в контексте киберопераций. Как подчеркивается в статье, это особенно важно в тех случаях, когда не сложилось единого толкования применения к кибероперациям существующих норм — например, нормы, определяющей понятие нападения по смыслу МГП.

Полный текст статьи на английском языке читайте здесь.

Статья 3: принцип проведения различия в МГП

При применении информационно-коммуникационных технологий принцип проведения различия требует от сторон в вооруженном конфликте во всякое время проводить различия между гражданскими лицами и комбатантами и между гражданскими и военными объектами. Кибератаки могут быть направлены только против комбатантов или военных объектов, но не против гражданских лиц или объектов. Неизбирательные кибератаки запрещены.

Международный суд ООН назвал принцип проведения различия главным и незыблемым, составляющим основу МГП (пп. 78–79). Этот принцип требует от сторон в вооруженных конфликтах воздерживаться от проведения киберопераций, которые могут квалифицироваться как нападение на гражданские объекты и инфраструктуру. Принцип проведения различия также запрещает неизбирательные нападения, в том числе с применением киберсредств и киберметодов ведения военных действий. В статье рассматривается, как принцип проведения различия ограничивает кибероперации, не являющиеся кибератаками. Наконец, в ней говорится о том, как соблюдение этого принципа может быть обеспечено в контексте киберопераций, в том числе через ответственную разработку киберинструментов и тщательное выяснение характера объектов нападения. Рекомендации в этой статье, как и в следующей, опираются на опыт тесного взаимодействия МККК с экспертами отрасли, о котором мы рассказывали в блоге.

Полный текст статьи на английском языке читайте здесь.

Статья 4: принцип соразмерности в МГП

Когда речь идет о применении информационно-коммуникационных технологий, принцип соразмерности запрещает сторонам в вооруженных конфликтах совершать кибератаки против военных объектов, если это может привести к случайному ущербу для гражданского населения, который будет чрезмерным по отношению к ожидаемому конкретному и непосредственному военному преимуществу.

Принцип соразмерности из МГП абсолютно необходим для защиты гражданских лиц и инфраструктуры во время вооруженных конфликтов, в частности в среде ИКТ, где различные элементы взаимосвязаны. Он ограничивает масштаб случайного ущерба, допустимого в случае, когда стороны в вооруженном конфликте атакуют военные объекты, в том числе с помощью киберсредств и методов ведения военных действий. В статье поясняется, что при оценке сопутствующего ущерба следует учитывать как прямые, так и косвенные последствия киберопераций. Государствам, которые планируют вести кибероперации в ходе вооруженных конфликтов, рекомендуется изменить существующие процедуры по оценке соблюдения принципа соразмерности (иногда их еще называют методами оценки сопутствующего ущерба) так, чтобы учесть особенности информационного пространства.

Полный текст статьи на английском языке читайте здесь.

МККК надеется, что четыре приведенные выше статьи будут полезны при обсуждении применения норм МГП к кибероперациям в ходе вооруженных конфликтов. Эти статьи и формулировки в них не стоит воспринимать как истину в последней инстанции в том, что касается рассмотренных выше вопросов и принципов, они расширяют горизонты и служат приглашением к разговору. На наш взгляд, обсуждение подобных вопросов поможет прийти к общему пониманию того, как применять МГП в киберсфере и толковать его нормы в этом контексте. Это, в свою очередь, позволит обезопасить гражданское население, гражданские данные и гражданскую инфраструктуру от разрушительного воздействия киберопераций в ходе вооруженных конфликтов.