Joseph S. Nye, Jr.: Восемь норм стабильности в киберпространстве

4 декабря 2019 года Джозеф С. Най-мл., КЕМБРИДЖ: В течение нескольких с лишним лет Интернет стал жизненно важной основой для экономических, социальных и политических взаимодействий и дал огромные выгоды. Однако наряду с большей взаимозависимостью появляются уязвимость и конфликты. Нападки со стороны государств и негосударственных субъектов усилились, угрожая стабильности киберпространства.

В ноябре на Парижском форуме мира Глобальная комиссия по стабильности в киберпространстве опубликовала свой доклад о том, как обеспечить всеобъемлющие рамки киберстабильности. Первоначально созванный правительством Нидерландов три года назад, GCSC с участием многих заинтересованных сторон (членом которого я являлся) имел сопредседателей из Эстонии, Индии и Соединенных Штатов и состоял из бывших государственных чиновников, экспертов из гражданского общества и ученых. из 16 стран.

За прошедшие годы прозвучали многочисленные призывы к принятию законов и норм для управления новой международной нестабильностью, созданной информационными технологиями, начиная с предложений России в ООН два десятилетия назад, призывающих к обязательному договору. К сожалению, с учетом характера кибер-оружия и нестабильности технологии такой договор не подлежит проверке и быстро устаревает.

Вместо этого ООН создала Группу правительственных экспертов (GGE), которая разработала необязательный набор норм в 2013 и 2015 годах. Эта группа не смогла выпустить отчет в 2017 году, но ее работа продолжается с расширением членского состава, и Рабочая группа открытого состава, в которой в сентябре прошлого года приняли участие около 80 государств ООН. Кроме того, Генеральный секретарь ООН Антониу Гутерриш создал Группу высокого уровня, которая выпустила доклад, ожидающий более широкой дискуссии в ООН в 2020 году.

GCSC определяет киберстабильность как условие, при котором отдельные лица и учреждения могут быть достаточно уверены в своей способности безопасно и надежно использовать кибер-сервисы, управление изменениями осуществляются относительно бесконфликтно, а напряженность разрешается без эскалации. Стабильность основана на существующем международном праве, которое, как утверждается в отчетах GGE за 2013 и 2015 годы, относится к киберпространству.

Но обязательный международно-правовой договор был бы преждевременным в качестве следующего шага. Нормы ожидаемого поведения могут обеспечить гибкую золотую середину между жесткими договорами и не вызывать никаких действий вообще. Как объяснил Майкл Чертофф, один из сопредседателей GCSC и ранее министр национальной безопасности США, нормы могут существовать параллельно с законами, но более динамичны перед лицом быстро меняющихся технологий.

GCSC предложил восемь норм для устранения пробелов в ранее заявленных принципах и сосредоточил внимание на технических вопросах, которые имеют основополагающее значение для кибер-стабильности. Такие нормы можно рассматривать как общие ориентиры в развивающихся политических дискуссиях.

Первая норма - это невмешательство в общественное ядро ​​Интернета. Хотя авторитарные и демократические государства могут расходиться во мнениях относительно свободы слова или регулирования онлайнового контента, они могут согласиться не вмешиваться в основные функции, такие как система доменных имен, без которой не было бы предсказуемого взаимодействия между сетью сетей, которые составляют Интернет.

Во-вторых, государственные и негосударственные субъекты не должны поддерживать кибер-операции, направленные на нарушение технической инфраструктуры, необходимой для проведения выборов, референдумов или плебисцитов. Хотя эта норма не предотвращает любое вмешательство, например, то, что произошло на выборах в США в 2016 году, она устанавливает некоторые яркие черты по поводу технических особенностей.

В-третьих, государственные и негосударственные субъекты не должны вмешиваться в разработку товаров или услуг при разработке или производстве, если это может существенно снизить стабильность киберпространства. Небезопасные цепочки поставок представляют собой серьезную угрозу стабильности.

В-четвертых, государственные и негосударственные субъекты не должны командовать ресурсами широкой общественности для использования в качестве «ботнетов» (кибер-роботы, основанные на машинах сторонних собственников, но управляемые без их ведома или согласия).

В-пятых, государствам следует создавать процедурно прозрачные рамки для оценки того, следует ли и когда раскрывать общественности уязвимости или недостатки в информационных системах или технологиях. Такие недостатки часто являются основой кибер-оружия. Накопление таких уязвимостей для возможного использования в будущем представляет опасность для всех. Презумпция должна быть в пользу раскрытия информации и внесения исправлений.

В-шестых, разработчики и производители товаров и услуг, от которых зависит стабильность киберпространства, должны делать упор на безопасность, принимать разумные меры для обеспечения того, чтобы их товары не подвергались существенным уязвимостям, устранять недостатки, когда они обнаруживаются, и быть прозрачными в отношении процесса. Все участники обязаны обмениваться информацией об уязвимостях, чтобы помочь смягчить злонамеренную кибер-активность.

В-седьмых, США должны принять соответствующие меры, в том числе законы и нормативные акты, для обеспечения базовой компьютерной гигиены. Так же, как прививки предотвращают инфекционные заболевания, такие как корь, так и базовая кибергигиена может иметь большое значение для удаления "низко висящих плодов" ( Мем. По сути, речь о вариантах bakcdoors -  прим.serghey), которые привлекают киберпреступников.

Наконец, негосударственные субъекты не должны участвовать в наступательных/атакующих кибер-операциях, а государственные субъекты должны предотвращать такие действия или реагировать на них в случае их возникновения. Иногда так называемый «хак-бэк», частная бдительность, может создать серьезную угрозу для кибер-стабильности. В прошлом государства когда-то потворствовали и даже поддерживали частников в открытом море, но затем обнаружили, что риски эскалации и нежелательных конфликтов были слишком высоки. То же самое можно сказать и о стабильности в киберпространстве.

Эти восемь норм сами по себе не обеспечат стабильность в киберпространстве, но в сочетании с нормами, принципами и мерами укрепления доверия они могут послужить началом. В долгосрочной перспективе государства соблюдают нормы поведения для улучшения координации, управления неопределенностью, сохранения своей репутации или в ответ на внутреннее давление. Мир далек от такого нормативного режима для киберпространства, но GCSC помог продвинуть процесс вперед.

Джозеф С. Най, мл., профессор Гарвардского университета, автор книги «Закончился ли американский век?» и выходящая из печати "Имеет ли значение мораль? Президенты и внешняя политика от ФДР до Трампа".