“Есть запрос: расскажи про международное сотрудничество по борьбе с киберпреступностью. Как будто для курса по 152-ФЗ. Реакция стандартная — перечислить группы в ООН, упомянуть ЕАЭС, завершить протоколом Будапештской конвенции. Но это мишура. Суть в другом: государственное сотрудничество почти всегда связано с расширением компетенций и обменом данными. А с этой точки зрения есть только один реальный механизм, который работает здесь и сейчас. Остальное — декорации. Статья не про дипломатию. Она про то, почему наша внутренняя регуляторика — часть той же самой игры. Про разделение компетенций на трансграничные потоки данных, которые кто-то регулирует, а кто-то собирает.”
Почему классическая экстрадиция перестала работать
Проблема не в отсутствии соглашений. Проблема в том, что сама технология кибератак изменила модель преследования. В эпоху физической экстрадиции достаточно было установить личность преступника и его местонахождение. В киберпространстве местонахождение, это IP-адрес, который может указывать на сервер в третьей стране, а преступник физически находится в четвёртой.
Эти три вида правоприменения работают по-разному:
- Внутреннее расследование работает по национальным законам (например, по 152-ФЗ или УК РФ). Органы опрашивают свидетелей, изымают оборудование, анализируют логи.
- Межгосударственный обмен по договорам (MLA), это долгий дипломатический процесс. Запрос проходит через Министерство юстиции, затем в аналогичное ведомство страны-партнёра, и только после этого начинается сбор доказательств. Процедура занимает месяцы.
- Неформальное межведомственное взаимодействие — прямое общение между, например, оперативными подразделениями полиции двух стран. Оно быстрее, но упирается в вопрос доверия и компетенций.
Именно этот разрыв между скоростью атаки (минуты) и скоростью реакции государства (месяцы) создал спрос на новые форматы. Экстрадиция остаётся, но применяется уже на этапе задержания конкретного лица, когда все доказательства собраны. А собирать их нужно иными методами.
Основные международные соглашения: декларации и практика
Существует несколько слоёв международных договорённостей.
Конвенция Совета Европы о киберпреступности (Будапештская конвенция). Это единственный на сегодня многосторонний договор, специально посвящённый киберпреступности. Россия не является её участником. Основные претензии сторонников конвенции — она создаёт механизмы для трансграничного доступа к данным. Основные опасения критиков — те же самые механизмы.
Ключевые положения конвенции:
- Гармонизация законодательства: Требует от стран-участниц криминализировать определённые деяния: неправомерный доступ к данным, компьютерное мошенничество, распространение вредоносного ПО.
- Сохранение данных: Уполномоченный орган одной страны может направить запрос на срочное сохранение компьютерных данных (логов, содержимого аккаунта) в другой стране до оформления официального запроса MLA.
- Трансграничный доступ к данным: В спорных ситуациях позволяет правоохранительным органам получать доступ к данным, хранящимся на территории другого государства, без ведома его властей, если эти данные общедоступны или если доступ осуществляется с согласия владельца данных.
Резолюции Генеральной Ассамблеи ООН. Это декларативные документы, которые задают общие принципы. Например, резолюция об укреплении международного сотрудничества в сфере противодействия использованию информационно-коммуникационных технологий в преступных целях. На их основе создаются рабочие группы, но принудительной силы у резолюций нет. Их ценность — в формировании международного консенсуса и языка для дальнейших переговоров.
Соглашения в рамках региональных объединений (ШОС, БРИКС, ЕАЭС). Эти документы часто носят рамочный характер и конкретизируются через протоколы взаимодействия правоохранительных органов. Например, страны ШОС подписали соглашение о сотрудничестве в обеспечении международной информационной безопасности. На практике это означает регулярные рабочие встречи, совместные учения по отработке киберинцидентов и обмен списками угроз.
Но все эти соглашения — лишь инфраструктура. Сама работа идёт в ином режиме.
Кто на самом деле расследует кибератаки: от CERT к LE
Ключевое звено в расследовании трансграничных инцидентов — не дипломаты, а технические специалисты. Цепочка обычно выглядит так:
- Жертва (компания) фиксирует инцидент и обращается во внутренний или отраслевой CERT (Computer Emergency Response Team).
- Национальный CERT анализирует атаку. Если трафик идёт из-за рубежа, национальный CERT связывается с CERT страны-источника.
- Между CERTами происходит технический обмен индикаторами компрометации (IoC) — хэшами вредоносных файлов, подозрительными IP-адресами, доменными именами.
- CERT страны-источника, получив информацию, может провести собственную проверку. Если обнаруживается нарушение закона (например, факт взлома сервера на своей территории), он передаёт материалы национальным правоохранительным органам (LE — Law Enforcement).
Эта цепочка работает быстрее дипломатических каналов, потому что основана на доверии технических сообществ и общих стандартах (например, форматах обмена STIX/TAXII). Но у неё есть фундаментальный недостаток: CERTы не имеют полномочий на принудительные действия — обыски, аресты, блокировки. Они лишь передают информацию. На этом этапе расследование снова возвращается в правовое поле, но уже с готовым техническим досье.
Точка пересечения: провайдеры и трансграничные данные
Здесь возникает основное противоречие современного регулирования. Данные, которые являются целью атаки и ключевым доказательством, физически хранятся на серверах провайдеров (хостинг, облачные платформы, сервисы электронной почты). Многие из этих провайдеров — транснациональные корпорации.
Существует конфликт юрисдикций. Правоохранительные органы страны A требуют у международного провайдера доступ к данным пользователя, являющегося гражданином страны B и хранящего данные в дата-центре в стране C. На каком основании провайдер должен предоставить эти данные?
Для решения этого конфликта были созданы два механизма, которые на практике часто сталкиваются с российским законодательством.
Механизм 1: Соглашения «Облачного акта» (CLOUD Act, США). Этот закон позволяет американским правоохранительным органам запрашивать данные у подконтрольных США провайдеров (таких как Google, Microsoft) независимо от того, в какой стране данные физически хранятся. Основание — юрисдикция над самим провайдером.
Механизм 2: Законы о локализации данных (152-ФЗ, статья 18). Российское законодательство требует, чтобы персональные данные граждан РФ обрабатывались на территории России. Одной из декларируемых целей является обеспечение доступа правоохранительных органов к этим данным в рамках национального законодательства.
Таким образом, международное сотрудничество против киберпреступности упирается в более глубокий вопрос — кто и на каком основании имеет доступ к цифровым следам гражданина. Борьба с преступностью становится одним из аргументов для расширения государственного контроля над трансграничными потоками данных.
Что это значит для российского IT-специалиста
Специалист, работающий в компании, которая попадает под требования 152-ФЗ или приказов ФСТЭК, уже является участником этой системы. Его работа по локализации данных, настройке систем защиты и протоколированию событий создаёт ту самую инфраструктуру, которая может быть использована для внутреннего расследования.
Сценарий, с которым можно столкнуться:
- Компания становится жертвой кибератаки. Источник атаки установлен за рубежом.
- Внутренний ИБ-специалист или CERT компании собирает технические доказательства: логи межсетевых экранов, дампы памяти, образцы вредоносного ПО.
- Эти материалы передаются в национальный CERT и правоохранительные органы.
- Если атака серьёзная (например, по статье 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ»), материалы уходят по каналам международного взаимодействия.
- Ответ на запрос может прийти через официальные каналы (MLA) или через неформальную сеть CERTов. В любом случае, успех зависит от качества и полноты собранных изначально данных.
Таким образом, грамотная организация процессов реагирования на инциденты (IRP) внутри компании, это не только вопрос собственной безопасности, но и потенциальный вклад в международное расследование. Требования регуляторов о хранении логов, их неизменяемости и доступности можно рассматривать как техническую основу для будущей работы по правовым каналам.
Перспективы: битва за юрисдикцию и суверенный интернет
Тенденция очевидна: государства стремятся закрепить контроль над данными, которые генерируют их граждане и которые проходят через их территорию. Идея «суверенного интернета» и законы о локализации — часть этой глобальной тенденции, а не уникальное российское явление.
Следующий логический шаг — создание прямых каналов взаимодействия между правоохранительными органами разных стран в обход транснациональных корпораций. Переговоры о таких соглашениях уже ведутся на уровне ШОС и БРИКС. Их цель — создать альтернативную Будапештской конвенции систему, в которой обмен доказательствами будет происходить напрямую между государствами на основе взаимного признания следственных действий.
Для бизнеса это означает рост сложности. Возможно появление новых требований: не только хранить данные в стране, но и предоставлять государственным органам технические средства для прямого доступа к этим данным в рамках международных запросов. Это следующий уровень после нынешней локализации.
Международное сотрудничество против киберпреступности давно перестало быть дипломатическим фасадом. Это сложная технико-правовая машина, в которую встроена работа сотен CERTов, операторов связи и ИБ-специалистов. Понимание её устройства позволяет не только выполнять требования регуляторов, но и видеть, как эти требования связаны с глобальными процессами перераспределения контроля над цифровым пространством.