«Международное гуманитарное право — не архивный свод для традиционных войн, а инструмент, который сегодня определяет пределы допустимого в наиболее хаотичном и неочевидном театре. В цифровом пространстве его применение заставляет пересмотреть базовые понятия: что здесь считается атакой, что — законной целью, как отличить гражданский сервер от военного узла. Это не теоретическая дискуссия. От ответов зависит, будет ли крупный киберинцидент воспринят как акт войны или как техническая аномалия.»
Что стоит за понятием «международное гуманитарное право»
Международное гуманитарное право, также называемое законами войны или правом вооружённых конфликтов, — это свод норм, который создаёт баланс между военной необходимостью и гуманитарными соображениями. Его цель — ограничить методы ведения войны и защитить тех, кто не участвует в боевых действиях. Формальную основу составляют Женевские конвенции 1949 года и их Дополнительные протоколы.
Несколько ключевых принципов лежат в основе всех правил. Они кажутся простыми, но их применение в киберпространстве создаёт уникальные трудности.
- Различие. Стороны обязаны отличать комбатантов и военные объекты от гражданских лиц и гражданских объектов. Атаки допустимы только против первых.
- Пропорциональность. Недопустимо наносить удар, если сопутствующий ущерб гражданским лицам или объектам будет чрезмерным по отношению к конкретному и прямому военному преимуществу.
- Предосторожность. При планировании и проведении операций необходимо принимать все возможные меры для минимизации случайного ущерба гражданским лицам и инфраструктуре.
- Запрещение излишних страданий и неизбирательного оружия. Запрещено применение средств и методов, которые причиняют чрезмерные повреждения или действуют без разбора.
Кибероперации как «атака» в рамках международного гуманитарного права
Право применяется только в ситуации вооружённого конфликта. Первый вопрос: когда кибероперация становится «атакой» в юридическом смысле этого термина? По определению, атака — акт насилия, независимо от наступательного или оборонительного характера.
В цифровой среде критерий «насилия» становится размытым. Часть экспертов утверждает, что насилие требует физического повреждения или человеческих жертв. В этой логике DDoS на сайт или утечка данных могут не считаться атакой, поскольку не причиняют прямого физического ущерба. Другие трактуют понятие шире, включая в него операции, которые приводят к масштабному параличу критической инфраструктуры — например, отключение энергосети, вызывающее смерти в больницах или на транспорте.
Таллиннское руководство 2.0 предлагает подход через сопоставимость последствий: кибероперация может считаться атакой, если её эффекты аналогичны результатам традиционной кинетической атаки — смерть, травмы, разрушение или повреждение объектов.
[ИЗОБРАЖЕНИЕ: Диаграмма спектра киберинцидентов, от информационных до разрушительных, с отметкой порога применения международного гуманитарного права]
Эта позиция формирует значительную «серую зону». Операции, направленные на подрыв доверия к институтам, массовую фальсификацию информации или хищение интеллектуальной собственности, часто остаются вне прямого действия международного гуманитарного права, несмотря на серьёзные политические и экономические последствия.
Цели и объекты: что можно атаковать в сети?
Принцип различия требует четкого отделения военных объектов от гражданских. В физическом мире это казарма или штаб. В цифровом — сервер управления системами ПВО или военная сеть передачи данных.
Основная проблема возникает из-за инфраструктуры двойного назначения. Гражданский интернет-провайдер может обслуживать и население, и военную базу. Коммерческий спутник связи используется для телепередач и для наведения беспилотников. Атака на такой объект для нарушения военных коммуникаций неизбежно затрагивает гражданских пользователей.
Здесь вступает принцип пропорциональности. Нападение будет законным только если ожидаемое военное преимущество перевешивает предсказуемый ущерб гражданскому населению. Но как провести эту оценку в цифровом пространстве? Как количественно определить «военное преимущество» от взлома сервера и сопоставить его с экономическими потерями тысяч компаний от простоя услуг?
Отдельная сложность — данные. Являются ли гражданские данные на военном сервере законной целью? А военные данные, проходящие через гражданский узел? Таллиннское руководство указывает, что данные как таковые не считаются «объектом» в юридическом смысле. Ущерб данным сам по себе не подпадает под действие права, если только он не приводит к физическим последствиям. Однако уничтожение медицинских баз данных, ведущее к сбоям в работе больниц, может рассматриваться как атака на гражданский объект.
Средства и методы: запрещённое кибероружие
Нормы, регулирующие средства и методы ведения войны, также применимы в цифровой сфере. Это означает запрет на неизбирательное оружие — то, которое по своей природе не может быть направлено на конкретную военную цель.
Прямым аналогом в киберпространстве может быть компьютерный червь или вирус, который после выпуска в сеть распространяется бесконтрольно, поражая как военные, так и гражданские системы по всему миру без возможности остановить его. Stuxnet, хотя и был направлен на конкретный объект, показал риск «утечки» в глобальные сети. Менее сложный вредоносный код легко становится цифровой версией запрещённой кассетной бомбы.
Сложность вызывает оценка средств, которые по своим последствиям причиняют излишние страдания. Например, атака, которая не разрушает больницу физически, но на годы шифрует все её данные — истории болезней, результаты исследований, — обрекая пациентов на неэффективное лечение. Прямого запрета в текстах конвенций нет, но дух права говорит о недопустимости действий, не дающих реального военного преимущества и причиняющих чрезмерные мучения.
Также запрещены вероломные действия — использование доверия противника для его уничтожения. В цифровом пространстве это накладывает ограничения на некоторые методы социальной инженерии. Например, рассылка фишинговых писем от имени Международного комитета Красного Креста для заражения компьютеров военных врачей — явное нарушение. Однако ложная информационная кампания в социальных сетях для деморализации войск противника, вероятно, подпадает под иную правовую категорию — пропаганду, которая регулируется менее жестко.
Проблема атрибуции и ответственность командующих
Международное гуманитарное право возлагает ответственность на командующих за действия их подчинённых. Командир обязан предотвращать нарушения и наказывать за них. Но как эта ответственность реализуется в условиях, когда атакующего часто невозможно однозначно идентифицировать?
Кибератака может быть проведена группой хакеров, формально не входящих в государственные структуры, но финансируемых и косвенно управляемых спецслужбами. Цепочка команд может быть намеренно размыта, цифровые следы подделаны или оставлены для обвинения третьей стороны. В таких условиях доказать «знание» или «должную осмотрительность» командующего в отношении конкретной незаконной операции становится крайне сложной задачей.
Это создаёт опасную возможность: государства могут использовать двусмысленность атрибуции для проведения операций на грани нарушения, сохраняя формальную возможность отрицать свою причастность. Однако правовой принцип остаётся неизменным: если государство осуществляет эффективный контроль над группой, проводящей кибератаки, оно несёт международную ответственность за её действия. Проблема заключается в доказывании этого контроля.
Нерешённые вопросы и будущее регулирования
Киберпространство продолжает ставить вопросы, на которые в рамках текущего международного гуманитарного права нет готовых ответов.
- Автоматизация и автономные системы. Кибероружие часто действует автономно, по заложенным алгоритмам. Кто несёт ответственность за ущерб, причинённый самораспространяющимся вредоносным ПО, которое после активации действует вне изначального замысла создателей? Применяются ли здесь правила, аналогичные запрету на неизбирательное оружие?
- Кибероперации ниже порога вооружённого конфликта. Большинство повседневных государственных хакерских атак (шпионаж, саботаж, дестабилизация) происходят в мирное время. Они регулируются другими отраслями международного права, что оставляет значительный правовой вакуум для враждебных действий, которые могут быть столь же разрушительными, как традиционная война, но не подпадают под её определение.
- Ответственность частных компаний. Ключевые элементы защиты и критической инфраструктуры находятся в руках коммерческих организаций. Каковы их обязанности в условиях вооружённого конфликта? Обязаны ли они по требованию предоставлять данные или ограничивать трафик для одной из сторон? Может ли их неспособность защитить свою сеть от использования в качестве плацдарма для атак рассматриваться как нарушение нейтралитета?
Перспективы создания нового отдельного договора по кибервойне туманны из-за фундаментальных разногласий между государствами по вопросам суверенитета в цифровом пространстве и определению агрессии. Вероятно, развитие будет идти по пути адаптации существующих норм через государственную практику и экспертные толкования.
Для государств, активно развивающих свои киберкоманды, это означает необходимость выработки собственных военных доктрин и правил ведения боевых действий, которые интегрируют классические принципы войны в цифровую эпоху. Отсутствие таких внутренних правил не отменяет право, но повышает риски непреднамеренной эскалации и международно-правовой ответственности в случае реального конфликта.
[ИЗОБРАЖЕНИЕ: Схема, иллюстрирующая пересечение классических принципов международного гуманитарного права с цифровыми реалиями — различие, пропорциональность, предосторожность и их применение к объектам, средствам и атрибуции]