Коли кібератака стає воєнним злочином

24 лютого, коли Росія почала військове вторгнення в Україну, хакерська атака вивела з ладу супутник KA-SAT (супутник телекомунікаційного зв’язку високої пропускної спроможності, що належить компанії Eutelsat), який забезпечував, зокрема, військовий зв’язок України. Атака, авторство якої американські експерти пов’язують з діяльністю російського військового шпигунського агентства, поширилася далі за кордони України. Через це десятки тисяч людей по всій Європі опинилися без доступу до Інтернету. Майже через місяць після цієї кібератаки в Німеччині все ще не працювало близько 2 000 вітряних турбін, які забезпечують країну «чистою» енергією.

Наступного дня центр КПП на кордоні України з Румунією був вражений шкідливою комп’ютерною програмою, яка видаляє персональні дані, що значно загальмувало процес реєстрації біженців, які прагнули залишити Україну. Досі невідомо, хто організував цю атаку.

Адже це лише дві з більш ніж трьох десятків потужних хакерських атак на критично важливу військову та цивільну інфраструктуру України, які були зафіксовані з початку війни женевською неурядовою організацією CyberPeace Institute. Заступник директора з питань розвитку технологій та керівник відділу кібер-аналізу Брюно Алопо (Bruno Halopeau) вважає, що хоча більшість атак була спрямована на військові об’єкти, державні установи та ЗМІ, цивільні особи – навмисно чи ні – також постраждали. Відповідно до міжнародного гуманітарного права (МГП), напади на цивільне населення можуть вважатися воєнними злочинами.

«Ми стежимо за ситуацією та збираємо докази. Якщо в якийсь момент розпочнеться слідство за фактами можливих воєнних злочинів, ми зможемо надати надійні докази», – каже Брюно Алопо. На своєму веб-сайті ця НУО перелічує кібератаки, описує шкоду, яку вони заподіяли суспільству, а також надає детальну інформацію про їхню можливу атрибуцію. «Те, що ми публікуємо на нашому веб-сайті, — це лише невелика частина інформації, яку ми маємо», — попереджує Алопо. За його словами, ця інформація доступна для потенційних судових розглядів. CyberPeace Institute також збирає докази, щоб оцінити, чи поважають країни підписані ними міжнародні договори, і виявити можливі прогалини в законодавствах цих країн.

Право війни у цифрову епоху

Міжнародне гуманітарне право (МГП) — також відоме як «право війни» — накладає на країни, які ведуть бойові дії, певні обмеження, спрямовані на захист цивільного населення, медичного персоналу, поранених та військовополонених. Згідно МГП, прямий напад на цивільних осіб заборонено. Заборонено також використання зброї невиборчого типу, вплив якої не може бути обмежений лише військовими цілями. У реальному аналоговому світі це означає, наприклад, що не можна обирати як військову ціль лікарню, не можна обстрілювати густонаселені житлові райони. Але в цифровому світі все стає складнішим.

Брюно Алопо відзначає, що нині навряд можна розробити шкідливе програмне забезпечення (ПЗ), яке впливатиме лише на певні види об’єктів. Злам інтернет-сервісу KA-SAT якраз демонструє такий «ефект доміно» широкого спектру, під удар якого потрапляють як військові, так і цивільні структури. Війна Росії проти України давно вже перекинулася і в кіберпростір, стираючи межу між цивільними та військовими особами.

Нагадаємо, що 26 лютого 2022 року уряд України закликав хакерів-аматорів усього світу приєднатися до його «ІТ-армії» та розпочати атаки проти російських цілей. Всесвітньо відомий хакерський колектив Anonymous у перший день війни оголосив, що теж почне кібервійну проти Москви.

Брюно Алопо не впевнений, що ці кібер-воїни усвідомлюють, що означає їхня участь у конфлікті відповідно до МГП. «Беручи активну участь у цьому конфлікті, вони можуть несвідомо втратити правовий статус цивільної особи та опинитися у статусі комбатантів. Тим самим вони ризикують зазнати юридичного удару у відповідь з боку держави, на об’єкти якої вони нападають, і стати після війни суб’єктами потенційного судового розгляду», — каже він.

Охоронець міжнародного гуманітарного права

Як головний депозитарій базових документів МГП, Міжнародний комітет Червоного Хреста (МКЧХ) приділяє пильну увагу останнім подіям в Україні. У конфіденційному порядку МКЧХ звертається до відповідних держав, щоб нагадати їм про існуючі норми, звичаї і правила ведення війни. Крім того, МКЧХ оцінює і те, наскільки негайною є необхідність модернізації МГП відповідно до нових реалій. «А реальність є такою, що під час збройних конфліктів хакерські кібератаки стають дедалі частішими, — каже Тільман Роденхойзер (Tilman Rodenhäuser), юридичний радник МКЧХ, – Одна з ключових цілей МКЧХ полягає в тому, щоб підкреслити та зробити видимими потенційні наслідки таких операцій для цивільного населення».

Діюче МГП було створено у світі, де не існувало кібератак. Тому постає питання, наскільки адекватне це право сьогодні?

«Ми не можемо виробляти нові правила збройного конфлікту через кожні нові технологічні явища, які з’являються у світі, — відповідає Роденхойзер, – але ми бачимо, що деякі аспекти цього законодавства залишаються відкритими для тлумачення».

Одним із найстаріших правил МГП є захист цивільних об’єктів. Наприклад, протягом багатьох років персональні дані, які розуміються, як конфіденційні документи, що зберігаються в матеріальних архівах, не могли бути юридично пошкоджені або знищені. Але що говорить закон, якщо ті самі дані зберігаються в цифровому вигляді?

«Захист персональних даних прямо не регулюється нормами міжнародного гуманітарного права», – каже Тільман Роденхойзер, і додає, що юридичні експерти та держави мають різні погляди на те, як МГП повинно застосовуватися у цьому випадку.

Для МКЧХ важливо, щоб держави тлумачили існуючі норми МГП таким чином, щоб цивільні особи та цивільна інфраструктура користувалися таким самим рівнем захисту, що й у минулому. І щоб кіберзброя підпадала під ті самі обмеження, що й традиційні засоби ведення війни.

Однак усі відповідні зміни, доповнення та нові норми міжнародного права мають бути узгоджені з державами міжнародної спільноти. Після того, як такий договір підготовлено, його потрібно підписати та ратифікувати, а це тривалий і складний процес, особливо враховуючи, що чинні норми МГП пов’язують практично всі країни світу.

«Важливо, щоб усі країни світу дотримувалися чинних узгоджених правил і щодо кібероперацій, тому що переважна більшість того, що ми бачимо як загрозу для цивільного населення, фактично підпадає під дію наявних правил», – каже Тільман Роденхойзер.

Позиція міжнародної спільноти

Протягом останніх двох десятиліть в Організації Об’єднаних Націй предметом багатьох багатосторонніх дискусій було питання щодо того, чи застосовується міжнародне право, включаючи МГП, до кіберпростору.

Якісний прорив стався в 2013 році, коли Група урядових експертів ООН (Group of Governmental Experts, GGE) підготувала звіт, ухвалений потім консенсусом на ГА ООН, в якому йшлося про те, що використання державами інформаційних технологій цілком підпадає під дію всіх чинних норм міжнародного права, включаючи МГП. Але питання про те, як це нове положення має застосовуватися на практиці, залишилося відкритим.

У 2019 році в ООН було створено ще одну робочу групу, відкриту для всіх 193 країн-членів Організації. Її мета полягала в тому, щоб слідкувати за висновками урядових експертів, тобто здійснювати моніторинг того, як держави на практиці дотримуються норм чинного міжнародного законодавства.

Показати більше

Вони вважають за краще мовчати — російська діаспора у Швейцарії

Цей вміст було опубліковано на 04 Травня 2022 года Наскільки «великий ступінь ворожості» щодо них – чи, можливо, подібні повідомлення є вигадкою пропаганди Кремля?

Детальніше: Вони вважають за краще мовчати — російська діаспора у Швейцарії

«Завдання також полягало і в тому, щоб повернути країни за стіл перемовин і відновити колишній консенсус», – наголошує Юрг Лаубер (Jürg Lauber), посол Швейцарії при ООН у Женеві та колишній голова цієї робочої групи. За словами Юрга Лаубера, його завдання як голови цієї структури було ускладнене через «зростання політичної напруги між великими державами» і «спробами невеликої групи країн переписати глобальні правила «під себе».

Зрештою, робоча група також дійшла висновку, що міжнародне право цілком застосовне і до кібервійни. Але вона не дійшла згоди щодо того, як таке положення слід реалізувати на практиці.

«По суті, прогрес був, але це не був «величезний крок для всього людства». Зараз підтримка з боку глобальної спільноти країн відчувається значно більшою мірою, зважаючи на те, що можливість брати участь в обговоренні цього питання була у всіх», – каже Ю. Лаубер.

Нову робочу групу було створено в рамках ООН на 2021-2025 роки. «Я сподіваюся, що вона зможе просунутися далі, тому що зараз існує чіткий розрив між згодою держав-членів ООН із тезою щодо застосування чинного міжнародного права до кібервійн та реальною практикою незаконного використання цифрових технологій у воєнних цілях».

Воєнні злочини?

Розслідування фактів можливих воєнних злочинів та звірств, скоєних на реальному полі бою, є довгим і важким процесом, який триватиме роки. Кіберпростір у цьому сенсі ще складніший. Знайти того, хто стоїть за певною кібератакою, дуже складно, якщо взагалі можливо, з урахуванням того, що всі атаки здійснюються через проксі-сервери і завжди можна сказати, що «нас там немає». «Іноді потрібні роки розслідувань, щоб дійсно зрозуміти, як планувалася атака, як вона здійснювалася, хто її замовив, і які люди за нею стояли», — каже Брюно Алопо.

Показати більше

Війна і сурогатне материнство в Україні

Цей вміст було опубліковано на 06 Травня 2022 года Війна завдала бізнесу сурогатного материнства в Україні міцний удар, але не перший. Сурогатне материнство вже сильно постраждало від пандемії.

Детальніше: Війна і сурогатне материнство в Україні

«Зазвичай, для підтвердження віртуальних слідів потрібна інформація з реального світу – якщо був задіяний уряд, то імена людей, які працювали в певний час у певному місці, фотографії тощо, – додає він. – Потрібно об’єднати багато інформації, яка не є відразу доступною. І це в кращому випадку, коли ви більш-менш знаєте, що у вас був лише один нападник», – каже Б. Алопо.

Під час війни проти України кібератаки організовували та проводили не лише національні держави, а й злочинні угруповання та окремі особи. «Визначити відповідальність тих, хто безпосередньо брав участь у цих атаках, буде дуже складно», – прогнозує Брюно Алопо.

На його думку, цілком можливо, що деякі кібератаки, які завдали шкоди цивільному населенню, наприклад, злам супутника KA-SAT або прикордонного КПП між Україною та Румунією, можуть зацікавити і Міжнародний кримінальний суд (МКС), який вже розпочав розслідування ймовірних воєнних злочинів на території України. Наразі МКС не займається розслідуванням кібервійни. Проте «війна в Україні може бути доказом необхідності посилення процесів підзвітності країн світу щодо використання кіберпростору. Це один з перших конфліктів в історії, в рамках якого цифрова зброя використовується в таких масштабах. Тож я думаю, що стосовно міжнародного гуманітарного права необхідно провести обговорення, щоб визначити, як кіберпростір може бути використаний для заподіяння шкоди людям і як можна запобігти неадекватній поведінці».