31 октября 1517 года в столице Саксонии Виттенберге произошло примечательное событие. Доктор богословия Мартин Лютер приколотил к дверям Замковой церкви документ, вошедший в историю как «95 тезисов», или, совсем кратко, XCV. Уникальную смесь размышлений о глубочайших проблемах теологии и актуальной политической полемики. С этого момента в странах католической Европы пошел процесс, известный как Реформация. Ознаменовавшийся множеством религиозных войн (последняя из них — пожалуй, война Зондербунда, союза клерикальных кантонов, против союзного правительства Швейцарии в 1847 году…). И приведший к колоссальному ускорению научно-технического прогресса (в том числе благодаря тому, что христарадничавшим бродягам перестали подавать, а начали отправлять их в работные дома, плести канаты для Королевского флота, под охраной которых развозить по колониям, расширяя рынки для возникающей индустрии…).
Ну а 5 марта 2013 года миру была представлена книга, вышедшая в издательстве Cambridge University Press. Написана она международной группой экспертов под руководством профессора Майкла Н. Шмитта, главы отделения международного права в Naval War College, практически – академии ВМФ США. Называется книга The Tallinn Manual on the International Law Applicable to Cyber Warfare, или, сокращённо «Таллиннское руководство». Иждивением НАТО (NATO Cooperative Cyber Defence Centre of Excellence и породил данный документ) с её полным текстом можно ознакомиться здесь.
И содержит это книжка тоже девяносто пять… Но не тезисов, а правил. Правил кибервойны! На первый взгляд, список международной группы экспертов выглядит очень благородно: профессор из Католического (старейшего из всех католических) университета во фламандском Лёвене (занятно, что в Первую мировую войска кайзера стерли этот город с лица земли, а будущий лауреат Нобелевской премии Томас Манн, в компании с уже получившим Нобеля Герхардом Гауптманом, деяние это горячо оправдывал – впрочем, союзники весной 1944-го по Лёвену тоже отбомбились на славу, вторично испепелив библиотеку). Учёный немец из университета в Потсдаме (ну, это новодел, образца 1991-го года – склероз, забыл, какая организация там сидела до этого, и какое событие в тишайшем городке было в мае 1945-го…). Куча законников из Школ права различных штатов и англосаксонских стран в Южных морях. И даже пара персон из Международного Комитета Красного Креста (без гуманитарных бюрократов на планете нынче не обходится ни одна подлость…). Но занималась эта пёстрая компания (особенно радует присутствие делегатов трижды удостоенного Нобелевской премии мира Красного Креста) созданием всеобъемлющего руководства для Североатлантического альянса по ведению кибернетической войны. Кибернетическая, как мы увидим далее, тут скорее употребляется как характеристика стадии технологического развития, на которой война эта будет проходить…
А почему это руководство Таллиннское? Ну, это связано с событиями 27 апреля 2007 года. Тогда в столице Эстонии произошли столкновения полиции с защитниками «Бронзового солдата», памятника на братской могиле красноармейцев, погибших при освобождении города от нацистов. А через несколько дней правительственные сайты Эстонии столкнулись с киберугрозой. Была это тривиальная DDoS-атака. Но большой мощности. Ричард А. Кларк, бывший советник президента Джорджа «Дабью» Буша по кибербезопасности, назвал её «самой крупной в истории». Несколько ботнетов, до миллиона компьютеров, повели атаку на «адреса серверов, управляющих телефонной сетью, системой верификации кредитных карт, каталогами интернет-ресурсов». Эстония – страна кибернетизированная, про её успехи в области информатизации писали давно. И поэтому она оказалась уязвимой. «Hansapank, крупнейший банк в стране, не устоял. На всей территории нарушились торговля и связь». (Впрочем, эстонские хакеры тоже порезвились, о чём КТ в своё время рассказывала…)
Эстонцы пожаловались в НАТО (это примерно как в случае отсутствия горячей воды не пойти попинать ЖЭК, а написать в МЧС…). Слетевшиеся со всего мира эксперты выяснили, «что в программном коде использовалась кириллица» – неожиданно для страны, где примерно для тридцати процентов населения русский язык родной. Ещё были найдены ведущие в Россию следы (учитывая любовь компатриотов к пиратщине, в которую боты порой заложены изначально, неудивительно) – и тут Кларк (мы цитировали «Питер»-овский перевод его книги «Третья мировая война. Какой она будет?») говорит: «Имеет ли российская госбезопасность отношение к кибератаке в Эстонии? Возможно, стоит переформулировать вопрос. Они предложили провести атаку, способствовали ей, отказались расследовать дело и наказать виновных? Но, в конце концов, так ли это различие важно, если вы гражданин Эстонии, который не может снять свои деньги с карты банка Hansapank?». Вот и всё. Традиции юриспруденции, ведущие начала от Рима, с обязательными процедурами установления субъекта и умысла, объявлены ничтожными; лозунг императора Священной Римской империи Фердинанда I Pereat mundus et fiat justicia заменён целесообразностью… «Так ли это различие важно…»
А «Таллиннское руководство» — это уже полноценное руководство для ведения войн информационной эпохи. Примерно такое же, какими для эпохи индустриальной были «Характер операций современных армий» Триандафиллова, «Achtung — Panzer!» Гудериана, «Il Dominio dell’Aria» Дуэ. Именно для ведения войн, а не для их ограничения. Ограничения по кибероперациям, в ходе которых будут уничтожены АЭС, дамбы и плотины, установленные Правилом 80, не должны никого вводить в заблуждение. Ведь что такое война по Клаузевицу? Продолжение политики иными, насильственными методами. А на что может быть направлена реальная политика? Да на захват – либо рынков, либо ресурсов. А территория заражённая или затопленная — так себе рыночек… Да и ресурсы с неё брать неудобно. Вот отсюда и ограничение! Бомбила же 617-я эскадрилья RAF дамбы и плотины в Германии («Затопить Германию» Пола Брикхилла и фильмы – «The Dam Busters» середины 50-х плюс один из эпизодов современной «Foyle’s War«). По очень простой причине: рынком для англосаксов Германии только ещё предстояло стать, а ныне мы живём в условиях глобального хозяйства, как в 1913 году…
И не должны вводить в заблуждение прочие правила – от начальных, говорящих о Суверенитете и Юрисдикции, до конечных, посвящённых Нейтралитету при действиях Совета Безопасности. Слова, как и Гражданские, Наёмники, Защита детей и Защита журналистов, не имеют тут уже привычного значения. Равно как и предусмотренный Правилом 85 запрет Коллективного наказания. Документ только имеет юридический, хоть и не обязательный ни для одной страны на свете, вид. На самом деле он очень прагматичен. Рекомендации избегать человеческих жертв – это только рекомендации. А во главу угла ставится оценка достигаемого эффекта в случае своей операции или потенциального ущерба в случае операции противника. А противником может быть не только военный, одетый в форму, носящий ясно видимые знаки различия хакер. Противником может оказаться любой, чья деятельность будет сочтена угрожающей. Член какой-нибудь хакерской организации. Или просто одиночка. И всех их, в случае необходимости, можно будет убивать или калечить (kill and injure). Нет-нет. Убивать и калечить не просто так. Их предварительно надо будет уличить в том, что они сами осуществляли или планировали нечто смертоносное, равно как и разрабатывали вредоносное программное обеспечение, которое могло привести к тяжёлым последствиям. То есть практически выдана «лицензия на убийство» оффшорного программиста, который принял через Сеть заказ на разработку того, что может кому-то навредить. Не обнулить ему кредитку, а убить.
Навскидку моделируется следующая ситуация. Террорист регистрирует фирму по индустриальной безопасности. Затем набирает (через Сеть) специалистов (от Бангалора до Хабаровска), которым ставит задачу для проверки безопасности химзавода, ГЭС или чего-то подобного проанализировать их компьютерные системы. Проанализировать, придумав способ нарушения их функционирования. Задача – рутинная. И вполне легальная. И поймай полиция такого разработчика – суд его оправдает, ибо нет умысла на злодеяние (а закона, запрещающего писать программы, в отличие от законов, запрещающих без лицензий ладить оружие и боеприпасы, нигде вроде нет…). Но попади такой компьютерщик в прицел кибервоинов – всё, он превращается в законную цель! В результате кибератаки (для которой потенциально может быть использован его продукт) действительно могут погибнуть люди. И поэтому джеймсбонды с парой нулей могут подловить бедолагу в Турции на пляже да и утопить. Или прирезать в родном подъезде. А в перспективе – когда беспилотники станут поменьше и подешевле – послать к нему с визитом и дрон, как ныне это делается с заподозренными в связях с Аль-Каидой.
То есть международное право – это флёр, маскировка. Суть дела в том, что человечество деловито осваивает для войны новое пространство, любезно предоставленное технологией. Массовые армии и глубокие операции Триандафиллова, господство в воздухе Дуэ, бронетехника Гудериана… Теперь настал черёд киберпространства. И интерес к нему военных прямо пропорционален тому, какую роль оно играет в глобальной экономике, как быстро прогрессирует ИТ. А роль эта крайне велика – и именно об этом говорит появление 95 правил!