By 
За даними міжнародної асоціації ISACA, що об’єднує професіоналів у сфері ІТ-аудиту, консалтингу, інформаційної безпеки та управління ІТ-ризиками, щороку 74% підприємств по всьому світу піддаються кібератакам. Втрати від зломів до 2020 року можуть сягнути трьох трильйонів доларів[1].
У квітні 2018 року 34 найбільші IT-компанії світу, зокрема Facebook і Microsoft, запропонували підписати “цифрову Женевську конвенцію”. Компанії оприлюднили заяву, згідно з якою вони публічно відмовляються брати участь в кібератаках, організованих урядом будь-якої країни, та зобов’язуються надати допомогу будь-якій державі, на яку здійснили напад у кіберпросторі, незалежно від його причини. В основу “цифрової Женевської конвенції” може ввійти Кодекс кібербезпеки для держав, який у липні 2015 року склали експерти з 20 країн світу.
Серед компаній, що готові підписати конвенцію, чимало гігантів ІТ-галузі – Cisco, Dell, Trend Micro, Oracle, Symantec, Fireeye, HP, Nokia, Telefonica тощо. Водночас Google, Apple, Amazon і Twitter відмовляються від угоди. Конвенцію не підтримує жодна компанія з Росії, КНДР, Ірану чи Китаю – країн, на які Захід зазвичай покладає відповідальність за кібератаки. Ймовірно, деякі компанії не долучились до ініціативи через її принципи, що суперечать секретним планам з розробки кіберзброї. Тим часом представники Microsoft повідомили, що раніше ознайомили адміністрацію президента США Дональда Трампа з положеннями угоди і не почули жодних заперечень.
Президент корпорації Microsoft Бред Сміт упродовж кількох років наголошує на необхідності створення “Женевської конвенції” в цифровому просторі. Ще у лютому 2017 року на конференції з кібербезпеки в Сан-Франциско Сміт запропонував розробити міжнародний кодекс правил із кібербезпеки і створити незалежну організацію, яка б займалася моніторингом, виявляла випадки хакерських атак, розслідувала їх і офіційно оголошувала країн-винуватців[2]. Таку організацію президент Microsoft порівнює з Міжнародним агентством з атомної енергії, яке контролює поширення ядерної зброї і стежить за тим, щоб цивільні атомні програми не використовувались у військових цілях.
На думку Сміта, першими підтримати подібну ініціативу повинні американські технологічні компанії, оскільки найчастіше саме їхні клієнти зіштовхуються з кібератаками. “Четверта Женевська конвенція захищала цивільних осіб під час війни, тепер і ми потребуємо “цифрової Женевської конвенції”, яка зобов’яже уряди країн виконувати норми, необхідні для захисту громадян в Інтернеті в мирний час”, – пише Бред Сміт у своєму блозі[3].
Президент Microsoft також додав, що приватні технологічні компанії повинні співпрацювати в сфері кібербезпеки, зокрема піклуватися про захист користувачів від хакерських зломів і не допомагати державним структурам в здійсненні кібератак.
У “цифровій Женевській конвенції” сформовано чотири принципи кібербезпеки: захищати всіх користувачів і клієнтів незалежно від їхнього розташування, урядового статусу чи мети зловмисників; не допомагати урядам у здійсненні кібератак; укріплювати безпеку світових комп’ютерних мереж, зокрема надаючи користувачам і клієнтам інформацію та інструменти для розуміння загроз та захисту від них; діяти спільно і співпрацювати з усіма однодумцями задля зміцнення кібербезпеки. Конвенція також планує заборонити розкрадання інтелектуальної власності та здійснення кібератак на приватний сектор або критичну інфраструктуру. Бред Сміт вважає, що технологічні компанії виконуватимуть роль “Червоного хреста”, оскільки вони першими реагують на наслідки кібератак.
Критичний погляд на “підводні камені” угоди
Експерти вважають, що застосовувати Женевську конвенцію чи інші нормативні акти у цифровому просторі неможливо. Наприклад, одне з ключових понять конвенції – зона бойових дії. У кіберпросторі її виділити неможливо, як і позначити об’єкти, наділені гуманітарним правом.
Малоймовірно, що цю пропозицію підтримають на національному урядовому рівні. “З погляду державних структур, такі ініціативи підривають інститут міжнародного права. Проект конвенції не відповідає існуючим стандартам гуманітарного права”, – стверджує Джон Меллорі з Массачусетського технологічного інституту.
Конвенція – це аналог Інтерполу у кіберсфері. Однак ця структура є не найефективнішою міжнародною організацією, і справа тут у принципі її роботи. Будь-які наднаціональні організації, угоди чи конвенції постійно стикаються з національним суверенітетом. Тому цю ініціативу можуть підтримати, але вона навряд чи буде ефективною при реалізації в деяких країнах світу.
До того ж претензії до конвенції можуть виникнути у представників бізнесу. “Позиція Microsoft з приводу невтручання в приватний сектор зрозуміла, оскільки це комерційна компанія, основною метою якої є здобуття прибутку. Але я вважаю, що частиною такої угоди також мають бути локальні компанії з третіх країн світу, нинішнє положення яких не настільки вигідне”, – відзначив Чарльз Баррі з Інституту національної стратегії Університету національної оборони США. Країни, що розвиваються, також висловлюють побоювання, що документ відображатиме інтереси тільки розвинених держав.
Загалом фахівці вважають, що концепція має стати переліком правил, рекомендацій чи “кодексом честі”, але не законом. Усе через те, що у кіберпросторі поняття кордонів приватної і державної власності ще більш розмите, ніж у реальному світі. Наприклад, одна країна може захищати персональні дані своїх громадян, а інша вважати, що ця інформація є загальнодоступною. До того ж великі корпорації у деяких країнах змушені співпрацювати з державними спеціальними службами, розкриваючи частину даних про користувачів для забезпечення оперативно-пошукових заходів і для гарантування національної безпеки. Тому жодної “нейтральної Швейцарії” на практиці вийти не може, а якщо й може, то до цієї концепції ближчим є ринок вільного програмного забезпечення, систем на зразок TOR, але не компанія Microsoft, яка в останній версії Windows збирає багато даних про дії своїх користувачів.
Отже, цілком імовірно, що більшість розвинутих країн підтримають ініціативу, щоб показати непричетність своїх урядів до хакерських угрупувань. Але наскільки ефективно така організація працюватиме? У держав є свої інтереси, для досягнення яких вони все частіше використовують організовані хакерські атаки. Ба більше, багато країн мають кібервійська, у лавах яких служать і хакери. Тому створення подібної наднаціональної організації може спричинити конфлікт інтересів усередині багатьох держав. Сама ж організація може або працювати формально і не приносити серйозних результатів, або відстоювати інтереси однієї країни чи невеликої групи держав.
Жорстке дотримання заявлених принципів і норм повинне забезпечити довіру і безпеку в глобальному кіберпросторі. Однак системні зміни залежать більше від бажання країн-учасниць співпрацювати, ніж від створення “цифрової конвенції”.
[1] ISACA: State of cybersecurity 2016
[2] Microsoft: Bret Arsenault. New technologies and services enhance Microsoft’s unique approach to cybersecurity
[3] Мicrosoft: Brad Smith. The need for a Digital Geneva Convention
