Т.В. Захаров
МЕЖДУНАРОДНОЕ СОТРУДНИЧЕСТВО ГОСУДАРСТВ В СФЕРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И ПРАВОВЫЕ ПОДХОДЫ К ЕГО РЕГУЛИРОВАНИЮ
(Статья)
DOI: 10.31249/pras/2018.01.07
Аннотация. В статье рассматриваются вопросы международного взаимодействия государств в сфере информационной безопасности, в том числе государств Азиатско-Тихоокеанского региона и Евросоюза. Анализируются предпосылки становления системы международной информационной безопасности и роль ООН в ее обеспечении, правовые подходы к регулированию этого взаимодействия в киберпространстве.
Ключевые слова: международное право; международная информационная безопасность; международное сотрудничество; ООН; Евросоюз; клаузулы о взаимной защите и солидарности в киберпространстве; цифровое неравенство.
T.V. Zakharov
International cooperation of states in the information security sphere and legal approaches to its regulation (Article)
Abstract. The article deals with the issues of international communications of states in the information security sphere, and specifically of the states in Asia-Pacific region and the European Union. Preconditions of the information security system, the role of the United Nations, the legal approaches to interactions in cyberspace are analyzed.
Keywords: international law; international information security; international cooperation; United Nations; European Union; solidarity clause and mutual defence clause in cyberspace; digital disparity.
Крайняя уязвимость информационно-коммуникационных технологий остро ставит вопрос безопасности складывающихся в связи с ними общественных отношений. Наибольшие опасения связаны с безопасностью автоматизированных систем управления производственными и технологическими процессами инфраструктуры государств, с сохранностью частных (идентификационных, медицинских и др.) данных. В своей основе информационная безопасность (кибербезопасность) важна и при применении информационно-коммуникационных технологий в военных действиях. Кибершпионаж, кибертерроризм и киберпреступность базируются на ее нарушении. В природе проблем информационной безопасности заложена трансграничная составляющая.
Современное положение усугубляется тем, что информационно-коммуникационные технологии сегодня вовлечены во все сферы существования человека и общества. В связи с этим особую проблему представляет сложность комплексного межотраслевого регулирования.
Размер вреда, перманентно причиняемый в сфере информационных коммуникаций, растет. К примеру, по данным Европейской комиссии ЕС миллион людей становится жертвами ки-берпреступлений каждый день, а совокупный глобальный вред, причиняемый киберпреступлениями, оценивается более чем в 400 млрд долл. в год. Сопоставимый вред причиняется кибер-шпионажем в коммерческой сфере. Лишь в 2015 г. были утеряны около 700 млн записей персональных данных1.
Стремительное развитие технологий зачастую опережает их теоретическое и общественное осмысление. Правовое регулирование приобретает роль «догоняющего», стремясь «обыграть» динамично меняющиеся общественные отношения, утрачивая прогностическую функцию. Если относительная упорядоченность может наблюдаться в национальном регулировании многих государств,
1 См.: Finnemore M., Hollis D. Constructing norms for global cybersecurity // The American journal of international law. - Cambridge, 2016. - Vol. 110, N 3. - P. 430; Wessel R. Towards EU cybersecurity law: Regulating a new policy field // Research handbook on international law and cyberspace / Ed. by N. Tsagourias, R. Buchan. -Cheltenham; Northampton, MA: Edward Elgar publ., 2015. - P. 407.
то вопрос о межгосударственном паритете и взаимоотношениях в киберпространстве к настоящему времени продолжает оставаться открытым1.
Взаимодействие государств в области информационной безопасности протекает в форме межгосударственного сотрудничества. Особое значение имеют заключение двусторонних и многосторонних договоров, взаимодействие государств в рамках международных организаций. В современном мироустройстве видится принципиальное значение взаимодействия в системе ООН.
Организация Объединенных Наций и обеспечение информационной безопасности
Итоги работы ООН в области информационной безопасности могут оцениваться по-разному. Специальных универсальных международных правовых норм в данной области до настоящего времени не принято. Одинокой осталась инициатива Российской Федерации о принятии обобщенной конвенции ООН об обеспечении международной информационной безопасности. Политическое сотрудничество представляется не только специальным и выборочным, но и взаимодействием post factum.
К. Хендерсон называет современными достижениями контакты государств в области информационной безопасности: 1) практическую вовлеченность в обсуждение проблем кибербезопасности главных органов ООН, ряда функциональных и вспомогательных органов, специализированных учреждений ООН; 2) закрепление компетенции в данной области за комитетами Генеральной Ассамблеи ООН; 3) создание групп правительственных экспертов ООН по вопросам международной информационной безопасности. Растет число государств, инициирующих разработку проектов резолюций органов ООН в данной области2. Подобная институциональная основа политического взаимодействия может стать движущей силой появления международно-правовых норм.
1 См.: Бородакий Ю.В., Добродеев А.Ю., Бутусов И.В. Кибербезопасность как основной фактор национальной и международной безопасности XXI века // Вопросы кибербезопасности. - М., 2013. - № 1. - С. 2.
2 См.: Henderson C. The United Nations and the regulation of cyber-security // Research handbook on international law and cyberspace / Ed. by N. Tsagourias, R. Buchan. - Cheltenham; Northampton, MA: Edward Elgar pub., 2015. - P. 489-490.
Работа ООН в данной области, как и в любой другой, зависит от воли и возможностей государств-членов. Аргументированность мнения о том, что ООН недостаточно активно действует в области информационной безопасности, основывается на том факте, что между восточными и западными государствами существуют фундаментальные разногласия1. Может ли информация распространяться свободно или должны существовать правительственные ограничения? На чем фокусировать регулирование - на предотвращении уголовно наказуемых деяний или на противодействии использованию киберпространства для совершения «нападений» на государства? Должно ли в данной области применяться действующее международное право или необходимы новые нормы и правила, возможно, в виде межгосударственного соглашения? По мнению К. Хендерсона, годы потребуются на юридическое и дипломатическое разрешение сложных политических и правовых вопросов произвольного нарушения конфиденциальности, ограничения экстерриториального сбора информации и т.п.2
Один из наиболее радикальных подходов предлагает рассматривать информационно-коммуникационные сети как «свободное пространство» (free space). Делается упор на «открытость» сети Интернет при условии соблюдения прав человека (свободы слова и самовыражения, свободы перемещения информации и конфиденциальности частной информации).
Ему оппонирует подход, настаивающий на необходимости нисходящего публично-правового регулирования, включающего запрет использования сети Интернет для разжигания этнической ненависти и сепаратизма, распространения культа насилия, непристойной, порнографической и террористической информации. Так, в своей внешней политике Китай настаивает на том, что управление киберпространством должно следовать принципам государственного суверенитета и невмешательства во внутренние дела государств.
Фундаментальные противоречия в политических и правовых подходах государств были очевидны, к примеру, на проведенном в 2013 г. в Пекине семинаре регионального форума АСЕАН по мерам обеспечения кибербезопасности и их правовым и культурным аспектам. Представленный делегациями Китая и Российской
1 См., например: ShackelfordS., Russell S., Kuehn A. Unpacking the international law on cybersecurity due diligence: Lessons from the public and private sectors // Chicago journal of international law. - Chicago, 2016. - Vol. 17, N 1. - P. 5, 34.
2 См.: Henderson C. Op. cit. - P. 466, 489.
Федерации Международный кодекс поведения, содержащий положение о суверенном праве государств на регулирование публичных вопросов, связанных с сетью Интернет, вызвал критику со стороны западных стран, отстаивающих многостороннее публично-частное участие в выработке норм1 и отказ от правовых обязывающих соглашений2.
Последний подход, безусловно, представляет интерес для государств, претендующих на первенство в развитии и распространении информационно-коммуникационных технологий. Ставя в качестве примера нормирования собственную практику взаимодействия субъектов информационной инфраструктуры (тем не менее подчиненную внутригосударственной юрисдикции), они фактически трансгранично распространяют национальную политику, культуру и этику. Национальные нормы технологически развитых государств начинают диктовать международные правила. При этом также очевидно, что иные государства от процесса создания нормы «мягко» отстраняются.
Тем не менее в современных условиях и сильные, и слабые государства озабочены потенциальной уязвимостью легитимности систем публичного управления в киберпространстве. В связи с этим важным первым шагом в разработке правил военных столкновений (rules of engagement) является политическое согласие 15 государств, достигнутое в июне 2013 г. в Группе правительственных экспертов ООН по вопросам международной информационной безопасности, что государства не должны использовать посредников для совершения международно-противоправных деяний в киберпространстве3.
Несмотря на очевидные различия в подходах к моделям регулирования, налицо общее признание государствами необходимости согласованного нормирования. Начиная с 1998 г., когда Российская Федерация впервые внесла на рассмотрение проект резолюции о достижениях в сфере информатизации и телекомму-
1 См.: EichensehrK. Public-private cybersecurity // Texas law review. - 2017. -Austin, Vol. 95. - P. 469-504.
2 См.: Nasu H., Trezise H. Cyber security in the Asia-Pacific // Research handbook on international law and cyberspace / Ed. by N. Tsagourias, R. Buchan. - Cheltenham; Northampton, MA: Edward Elgar pub., 2015. - P. 457-458.
3 См.: Доклад Группы правительственных экспертов по достижениям в сфере информатизации и телекоммуникаций в контексте международной безопасности от 24 июня 2013 г. (А/68,98). Пункт 23. С. 10; Nasu H., Trezise H. Op. cit. -P. 462-463.
никаций в контексте международной безопасности, Генеральная Ассамблея ООН непрерывно подтверждает озабоченность проблемами информационной безопасности, в частности указывая на необходимость развития информационно-коммуникационных технологий с учетом возможности их использования как в гражданских, так и в военных целях1. Прогрессом в построении общей основы регулирования К. Хендерсон считает признание группами правительственных экспертов необходимости: 1) взаимодействия не только государств, но других заинтересованных сторон; 2) поиска общего понимания приемлемого поведения государств (в кибер-пространстве); 3) разработки мер доверия, прозрачности и развития потенциала2.
Действия ООН в области информационной безопасности крайне фрагментированны, экспертный анализ проблемы «рассеян» в сложной системе органов разного уровня. Сотрудничество органов и структурных подразделений ООН является на настоящий момент важным условием дальнейшего развития совместных действий государств и принятия международных норм3.
Взаимодействие государств в области информационной безопасности в Азиатско-Тихоокеанском регионе
Естественная географическая и историческая близость государств, их социокультурные связи приводят к появлению региональных систем информационной безопасности. Предпосылками создания гарантий информационной безопасности интеграционных и картельных объединений являются политическая и экономическая зависимости вовлеченных государств.
Ярким примером является сотрудничество государств Азиатско-Тихоокеанского региона. Оно происходит в условиях длящегося геополитического соперничества, политических, экономических и социокультурных различий. Кроме того, сотрудничество в регионе обнажает проблему «цифрового неравенства» (разного уровня развития информационно-коммуникационной инфраструктуры) - технологически развитые государства (Австралия, Япония,
1 См. подробнее: Проблемы информационной безопасности в международных военно-политических отношениях / Под ред. А.В. Загорского, Н.П. Ромашкиной. -М.: ИМЭМО РАН, 2016. - С. 14-35.
2 См.: Henderson C. Op. cit. - P. 489-490.
3 См.: Ibid. - P. 466, 490.
Китай, Сингапур и Южная Корея) соседствуют с государствами с ограниченными возможностями в сфере информационных технологий (Камбоджа, Лаос, Мьянма, Вьетнам и Восточный Тимор).
Стремление к безопасности и стабильности в регионе продиктовало задачу создания общей информационно-коммуникационной инфраструктуры, способствующей приобретению больших региональных и национальных социально-экономических выгод, снижению риска дестабилизации взаимозависимых цифровых систем. Это привело к активному взаимодействию государств в рамках Ассоциации государств Юго-Восточной Азии (АСЕАН) и Азиатско-Тихоокеанского экономического сотрудничества (АТЭС). Потребность в предотвращении и нивелировании последствий злонамеренного использования сети Интернет в криминальных и террористических целях потребовала стимулирования обмена информацией национальными правоохранительными органами и установления региональных стандартов национального законодательства и политики. Лидеры АТЭС согласились с необходимостью принятия национальных законов, регулирующих вопросы кибер-безопасности и киберпреступности, их соответствия международным нормам, в частности Международной конвенции о киберпре-ступности 2001 г. и Резолюции Генеральной Ассамблеи ООН 55/63 от 22 января 2001 г. «О борьбе с преступным использованием информационных технологий».
Тем не менее межгосударственное сотрудничество столкнулось с проблемой суверенитета в политическом и правовом регулировании отношений в киберпространстве, со стремлением государств эксплуатировать киберпространство в национальных целях. Несмотря на усилия региональных политических форумов, на многочисленные политические декларации, наблюдается тенденция приоритета внутренней национальной информационной безопасности государств. Это приводит к ее растущей милитаризации.
Х. Насу и Х. Трезис выделяют факторы, влияющие на региональное взаимодействие1.
Во-первых, различия в понимании того, как принципы международного права должны применяться при формировании средств защиты и стабилизации киберпространства.
Во-вторых, цифровая инфраструктура развивается настолько (тревожно) быстрыми темпами, что правительства и общественные системы становятся от нее крайне зависимыми.
1 См.: Nasu H., Trezise H. Op. cit. - P. 462-463.
В-третьих, признание киберпространства в качестве пятой арены военных действий. Его враждебное и злонамеренное использование несет в себе потенциал обострения существующих конфликтов.
Неопределенность структуры регулирования лишает региональные политические форумы способности вовлечь государства в коллективные действия. Страны не могут найти прочных политических мотивов для формирования жестких норм в то время, как неопределенность служит их геополитическим целям - стратегическому и тактическому использованию потенциала киберпро-странства в национальных интересах1.
Европейская политика информационной безопасности
Комплексность и межотраслевой характер проблем информационной безопасности, вовлеченность различных сфер правового регулирования остро проявляются в интеграционных объединениях. Европейская политика информационной безопасности имеет многоуровневую структуру с многосторонним участием, подразумевая совмещение прямого действия международных правовых норм с их имплементацией государствами - членами ЕС (многоуровневое регулирование). И публичные и частные субъекты играют в системе информационной безопасности ЕС важную роль2.
Главным препятствием, подрывающим инициативы ЕС в области информационной безопасности, является то, что данный вопрос прямо не выделен в ее учредительных договорах. «Принцип наделения компетенцией» (principal of conferral) оставляет ЕС возможность рассматривать вопросы информационной безопасности в пределах одной из его компетенций в других областях3.
Так, правовым основанием Рамочного решения Совета ЕС от 24 февраля 2005 г. об атаках на информационные системы (вероятно, одного из первых правовых инструментов ЕС в области ки-бербезопасности) и заменившей его в 2013 г. Директивы Европейского парламента и Совета ЕС от 12 августа 2013 г. стал п. 1 ст. 83 Договора о функционировании ЕС 1957 г. о судебном сотрудничестве по уголовным делам.
1 См.: Nasu H., Trezise H. Op. cit. - P. 457.
2 См.: WesselR. Op. cit. - P. 404.
3 См.: Ibid. - P. 404-405.
Предлагая принять Директиву Европейского парламента и Совета ЕС о мерах по достижению высокого уровня безопасности сетевых и информационных систем Союза 2013 г., Европейская комиссия использовала экономическое обоснование1. Сетевые и информационные системы играют существенную роль в обеспечении трансграничного передвижения товаров, услуг и людей. В пояснительном меморандуме Европейская комиссия подчеркнула, что в соответствии со ст. 114 Договора о функционировании ЕС 1957 г. ЕС может принимать меры по сближению законодательных, регламентарных и административных положений государств-членов, которые посвящены созданию и функционированию внутреннего рынка2.
Предлагая принять Общий регламент по защите данных 2012 г., Европейская комиссия сослалась в качестве правового основания на ст. 16 Договора о функционировании ЕС 1957 г., согласно которой ЕС устанавливает правила о защите физических лиц в отношении обработки персональных данных институтами, органами и учреждениями Союза, а также государствами-членами при осуществлении деятельности, которая входит в сферу применения права Союза, а также правила о свободном перемещении таких данных3.
Стратегия кибербезопасности ЕС 2013 г. ссылается на «клаузулу солидарности» (solidarity clause), закрепленную в ст. 222 Договора о функционировании ЕС 1957 г. о действиях ЕС в отношении террористических атак и катастроф, вызванных природными факторами или человеком4. В резолюции от 22 ноября 2012 г.
1 См.: Commission (EC), 'Proposal for Directive of the European Parliament and of the Council concerning measures to ensure a high common level of network and information security across the Union' COM (2013) 48, 7 February 2013.
2 См. также: Commission (EC), 'Proposal for Regulation of the European Parliament and of the Council on the electronic identification and trust services for electronic transactions in the EU internal market' COM (2012) 238 final, 4 June 2012; Directive 2016/1148 of the European Parliament and of the Council concerning measures for a high common level of security of network and information systems across the Union [2016] OJ L 194/1, 6 July 2016.
3 См.: Commission (EC), 'Proposal for Directive of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation' COM (2012) 11 final, 25 January 2012.
4 См.: Commission (EC) and High Representative of the European Union for foreign affairs and security policy, 'Cybersecurity strategy of the European Union: An open, safe and secure cyberspace' JOIN (2013) 1 final, 7 February 2013.
«О клаузулах о взаимной защите и солидарности: политическое и функциональное измерения» Парламентская ассамблея ЕС пошла дальше, не только прямо указав на применимость в вопросах информационной безопасности клаузулы солидарности, но и назвав кибератаки основанием для применения клаузулы о взаимной защите (mutual defence clause), закрепленной в п. 7 ст. 42 Договора о Европейском союзе1 (сравнимой с положениями ст. 5 Североатлантического пакта 1959 г.).
По мнению Р. Вессела, использование клаузулы о взаимной защите было продиктовано скорее политическими мотивами, чем анализом правовых доктрин. В отличие от клаузулы солидарности, применимость которой определена возможной сопряженностью терроризма и катастроф с информационно-коммуникационными технологиями, клаузула взаимной защиты отсылает к международно-правовому понятию «вооруженная агрессия», которое может не распространяться на определенные виды кибератак2.
Острую проблему представляет поиск правовых оснований компетенции ЕС в области информационной безопасности во внешних отношениях. Сама компетенция видится неизбежной как в связи с угрозами кибератак и киберпреступлений в отношении инфраструктуры самого Союза, так и в связи с потенциальной возможностью трансграничного вреда подобных действий, направленных на одного из его членов. Так, к примеру, Европейская комиссия отметила, что киберпреступность (как ключевая составляющая проблем информационной безопасности) по своей природе является трансграничной и, таким образом, требует надлежащих международных договоренностей, поднимая вопросы юрисдикции в соответствии с международным правом3.
Единственным потенциальным международно-правовым механизмом в данном случае является Международная конвенция (Совета Европы) по киберпреступлениям 2001 г. Однако если государства - члены ЕС являются сторонами данной Конвенции, то ЕС - нет, а сама Конвенция отсылает лишь к участвующим госу-
1 См.: European Parliament resolution 2012/2223 (INI) on the EU's mutual defence and solidarity clauses: Political and operational dimensions [2012], para 13, 20.
2 См.: WesselR. Op. cit. - P. 417-418.
3 См.: Commission (EC), 'Communication on critical information infrastructure -results and next steps: The path to global security network' (Communication) COM (2011) 163 final, 3 December 2011.
дарствам. Со строго правовой точки зрения роль ЕС в механизмах Конвенции координационная, а не правовая1.
Р. Вессел придает особое значение Стратегии кибербезо-пасности ЕС 2013 г. В случае ее успеха ЕС получит возможность увязать внутренние, в том числе законодательные инициативы с собственными действиями в сферах международной политики и внешней политики безопасности2.
Выбор одной из закрепленных в учредительных договорах компетенций ЕС для правового обоснования решений и действий в области информационной безопасности может привести к разным правовым последствиям. Компетенция в сфере внутреннего рынка или в сфере правосудия по большому счету вовлекает одни и те же правовые механизмы и институты ЕС. Компетенция в сфере общей международной политики, общей политики безопасности и защиты, напротив, приводит к использованию совершенно других правовых механизмов и меняет роль институтов ЕС. Более того, последний случай исключает принятие директив и регламентов. Процедурные различия создают препятствия для совмещения компетенции в смежных сферах. Разные сферы компетенции по-разному определяют распределение полномочий ЕС и государств-членов.
Подобное положение является объективной предпосылкой потенциальных правовых и политических конфликтов. Р. Вессел отводит особую роль Суду Европейского союза в формировании права информационной безопасности ЕС. Проводя сравнение его практики по делам, требовавшим установления правовых оснований компетенции ЕС в области борьбы с терроризмом, он видит возможность аналогий в делах в области информационной безопасности, практика по которым еще не сформировалась3.
Кроме того, отсутствие явно выраженной компетенции ЕС в вопросах информационной безопасности, по мнению Р. Вессела, ставит вопрос о возможности поиска ее правовых оснований иным
1 См.: WesselR. Op. cit. - P. 419.
2 О мерах по гармонизации национального права государств - членов ЕС см. например: César J., Debussche J. Novel EU legal requirements in Big Data security: Big Data - big security headaches? // Journal of intellectual property, information technology and e-commerce law. - Berlin; Karlsruhe, 2016. - Vol. 8, N 1. - P. 79-88; Golla S. Is data protection law growing teeth? The current lack of sanctions in data protection law and administrative fines under the GDPR // Journal of intellectual property, information technology and e-commerce law. - Berlin; Karlsruhe, 2017. - Vol. 8, N 1. - P. 70-78.
3 См.: Wessel R. Op. cit. - P. 420-424.
образом, нежели следование традиционному принципу in foro interno, in foro externo («претворение в жизнь из внутренних предпосылок»). Использование механизмов «мягкого права» может стимулировать членов ЕС к имплементации элементов общеевропейской стратегии1.
Разнообразие нормативного решения вопросов международной информационной безопасности
В исследовании предпосылок становления системы международной информационной безопасности привлекает внимание процедурный подход к пониманию ее норм. Обсуждение материального содержания норм и игнорирование сущности процессов их создания и эволюции ограничивает положительный эффект регулирования. М. Финнемор и Б. Холлис указывают на особый характер влияния на регулирование информационной безопасности вида норм (правовых и неправовых), процедур их создания (публично-правовых и неправительственных), высокой динамики объекта регулирования (технологического развития).
Нормы информационной безопасности создаются не с чистого листа - они сопряжены со сложными и разнообразными социальными процессами в различающихся и зачастую относительно обособленных системах взаимодействия их дестинаторов. Данные процессы показывают, кроме того, высокую степень динамики. Это приводит к выводу, что информационная безопасность не может рассматриваться как единый набор проблем, а ее нормы не имеют единого контекста2.
Разнообразие форм и методов причинения вреда в кибер-пространстве затрудняет появление единообразного определения информационной безопасности (кибербезопасности)3, даже если исключить из рассматриваемой сферы угрозы непреднамеренного вреда и не рассматривать вредоносность содержания распространяемой по телекоммуникационным сетям информации, обращенной к непосредственным пользователям4.
1 Cm.: WesselR. Op. cit. - P. 404-406.
2 Cm.: Finnemore M., HollisD. Op. cit. - P. 427, 477.
3 Cm.: Kosseff J. Positive cybersecurity law: Creating a consistent and incentive-based system II Chapman law review. - Orange, 2016. - Vol. 19, N 2. - P. 403-405; Wessel R. Op. cit. - P. 408.
4 Cm.: Finnemore M., Hollis D. Op. cit. - P. 431.
Гетерогенность среды требует разнообразия нормативных решений. Нормы, обеспечивающие неприкосновенность доменных имен сети Интернет, обращены к совершенно иному кругу вопросов, в сравнении, к примеру, с нормами о защите электронных сетей организаций. А и первые и вторые, в свою очередь, имеют иную природу в сравнении с нормами, обеспечивающими безопасность критической инфраструктуры от военных киберопераций.
М. Финнемор и Б. Холлис указывают на существенное значение неправовых норм в регулировании информационной безо-пасности1. В их основе могут лежать политические соглашения государств, как, например, одобрение «Группой двадцати» (G-20) запрета кибершпионажа в коммерческих целях, декларации и резолюции Организации по безопасности и сотрудничеству в Европе (ОБСЕ) по кибербезопасности или инициатива Шанхайской организации сотрудничества (ШОС) по принятию «Правил поведения в области обеспечения международной информационной безопасности». Нормы информационной безопасности могут приобретать качества культурных ценностей и принципов различных социальных сообществ. Так, например, культурные ценности безопасности и конфиденциальности, присущие сообществу технологов Кремниевой долины (Silicon valley), в значительной степени повлияли на сопротивление скрытым и открытым способам доступа к программному обеспечению (back or front doors in software). Им противопоставляются ценности сообщества специалистов национальной безопасности и правоохранительных органов.
Для содержания и будущего нормы в регулировании информационной безопасности существенное значение имеет, к примеру, разработаны ли они государствами в системе ООН, техническими специалистами в профессиональных ассоциациях, частными активистами в неправительственных организациях и т.п.
В зависимости от модели нормообразования (социальный стереотип, целенаправленная разработка) процесс создания нормы по-разному влияет на ее содержание и динамику ее последующей трансформации. Так, особое значение обычая в международном праве стимулирует государства проявлять осторожность к неоспа-риваемым повторяемым действиям в международных отношениях2.
1 См.: Ibid. - P. 442-443. См. также: LooR. van. Rise of the digital regulator // Duke law journal. - Durham, 2017. - Vol. 66, N 6. - P. 1273, 1310-1315, 1318-1320; Shackelford S., Russell S., Kuehn A. Op. cit. - P. 46.
2 См.: Shackelford S., Russell S., Kuehn A. Op. cit. - P. 5-7.
Ярким примером являются уголовные вердикты США 2014 г. в отношении военнослужащих Китая, имевшие целью предотвратить формирование обычая государственного шпионажа в коммерческой сфере, а также их робкая позиция в ответ на раскрытие информации Э. Сноуденом и обвинения в кибератаках на энергетическую инфраструктуру Ирана. В вопросах информационной безопасности процессы целенаправленной разработки норм имеют преимущественное значение, хотя и отличаются значительной сложностью1.
В процесс целенаправленного создания нормы может вовлекаться широкий круг участников - государства, международные межправительственные организации, коммерческие и некоммерческие организации и даже отдельные индивиды2. Субъекты целенаправленного создания норм играют принципиально важную роль. Именно они изначально их конструируют: выбирают терминологию для интерпретирования определенным образом существующей проблемы, говоря, кто и как должен поступать, чтобы ее разрешить.
Борьба за конструирование нормы имеет важные долгосрочные последствия. Преимущества первоначального действия выражаются в том, что начальная идентификация может стать навязчивой и трудно вытесняемой3. Так, превалирующее в настоящее время стремление обеспечить скрытые и открытые каналы доступа к программному обеспечению, предоставляющие правоохранительным органам возможность обходить кодирование информации, опирается на особую постановку проблем безопасности (похищения детей, коммуникации террористов и т.п.). В то же время их оппоненты предлагают иные конструкции нормирования решения подобных проблем и средств обеспечения информационной безопасности4.
1 См.: Finnemore M., Hollis D. Op. cit. - P. 445-446.
2 В последнем случае М. Финнемор и Б. Холлис приводят пример Г. Дюнана (G. Dunant), инициировавшего создание Международного комитета Красного Креста и предложившего нормы, впоследствии кодифицированные в Женевских конвенциях.
3 См.: Finnemore M., Hollis D. Op. cit. - P. 446-448.
4 В качестве примера радикального подхода к регулированию см.: Van den Berg B., Keymolen E. Regulating security on the Internet: Control versus trust // International review of law, computers & technology. - Routledge, 2017. - Vol. 31, N 2. -P. 188-205.
Другим важным преимуществом главенства в создании норм, регулирующих информационную безопасность, является возможность достижения критической точки, когда обеспечивается последующее «каскадное» (cascades norms patterns) или «цикличное» (norms cycles) нормирование1. Так, желание признать возможность применения силы посредством кибератак основывается не только на исторически сложившихся нормах применения силы, но и на особом содержании новелл в области информационно-коммуникационных технологий.
Субъекты целенаправленного создания норм прибегают к различным средствам сохранения собственного преимущества и создания гарантий их принятия в необходимом им понимании. Зачастую конструируются либо используются существующие организационные платформы внедрения норм в социальные отношения. Так, США и их единомышленники эксплуатируют (инициированные РФ) группы правительственных экспертов ООН по вопросам международной информационной безопасности для приобретения преимуществ в формировании межгосударственных норм в киберпространстве.
М. Финнемор и Б. Холлис рассматривают такие средства распространения норм, как поощрение (в том числе принуждение подкупом и угрозами), убеждение и социализация2. К примеру, США используют угрозы и подкуп, склоняя к собственному пониманию демократии и неолиберальной экономической политики. ЕС обеспечивает свою модель информационной безопасности, угрожая компаниям внушительными штрафами, введенными Общим регламентом по защите данных. Убедительность Системы кибербезопасности Национального института стандартов и технологий США (U.S. National institute of standards and technology Cyber-security framework) основывается на ее связи с проблемами национальной и экономической безопасности. Координационный центр Группы реагирования на чрезвычайные ситуации информационной безопасности Computer emergency response team (CERT) Coordination center) Института программной инженерии Университета Карнеги-Меллон (Software engineering institute at Carnegie Mellon university) (США) предлагает «техническое содействие» социализации странам, оказывая помощь в формировании и координации групп реагирования на инциденты в области кибер-
1 См.: Finnemore M., Hollis D. Op. cit. - P. 448-449.
2 См.: Ibid. - P. 449-452.
безопасности. Институт подготовки в области телекоммуникаций США (U.S. Telecommunications training institute) разработал программы обучения персонала государственных органов, коммерческих и некоммерческих организаций стран «третьего мира».
М. Финнемор и Б. Холлис также выделяют различные формы негативной социализации противников предлагаемых норм (реализуемые в том числе негосударственными субъектами): формирование и публикацию списков «наилучших практик», «нарушителей-изгоев»; манипулирование доступом к иным сферам взаимодействия и т.п.1
Заключение
Различия правовых и политических подходов к регулированию информационной безопасности препятствуют разработке международного кодекса поведения в киберпространстве. Сложившееся положение в процедурах создания норм информационной безопасности приводит к недостаточному теоретическому и общественному осмыслению регулирования, поверхностному соглашательству и несознательной мимикрии, что, возможно, стимулирует политические компромиссы, однако закладывает предпосылки нестабильности контуров последующего регулирования. Динамика технологического развития указывает на неизбежность реновации норм и, соответственно, неоднократного возобновления процессов их создания.
1 См.: Finnemore M., Hollis D. Op. cit. - P. 449-452.