ПРАВО И СОВРЕМЕННЫЕ ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
АННА КОНСТАНТИНОВНА ЖАРОВА
Институт государства и права Российской академии наук
119019, Российская Федерация, Москва, ул. Знаменка, д. 10
E-mail: anna_jarova@mail.ru
SPIN-код: 2240-1467
DOI: 10.35427/2073-4522-2022-17-4-zharova
ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ГОСУДАРСТВА ОТ КОМПЬЮТЕРНЫХ АТАК В ИКТ-СФЕРЕ
Аннотация. Информационные инфраструктуры играют большую роль в реализации государством своих функций, нарушение их целостности может привести к гибели людей и блокаде государства. Проблема противодействия компьютерным атакам является общей для всех государств, поскольку все информационно развитые государства взаимозависимы от уязвимостей, ошибок, программных закладок, которые возможны в информационных технологиях, а результатом компьютерной атаки может стать межгосударственный конфликт. В этой связи необходимость принятия норм и принципов, направленных на определение атрибуции компьютерной атаки, выносится на международный уровень. В век информационных технологий решение проблемы формирования правовых норм, стандартов, а также выработка критериев, которые позволят обеспечить информационную безопасность, организовать взаимодействие государств в случае возникновения компьютерной атаки, является не менее значимой, чем обеспечение ядерной безопасности.
В статье обсуждается гипотеза о возможности государства нести ответственность за компьютерные атаки, произошедшие с территории этого государства. Определяется роль государств, отдельных физических и юридических лиц в отношениях, связанных с нарушениями международной информационной безопасности.
Ключевые слова: ИКТ-сфера, пользователи информационных технологий, информационные технологии, атрибуция компьютерной атаки, принцип сдерживания
ANNA K. ZHAROVA
Institute of State and Law of the Russian Academy of Sciences
10 Znamenka str., Moscow, 119019, Russian Federation
E-mail: anna_jarova@mail.ru
SPIN code:2240-1467
PROTECTING THE STATE FROM COMPUTER ATTACKS IN THE ICT SPHERE
Abstract. Information infrastructures play an important role in the implementation of the state of its functions. The violation of their integrity can lead to loss of life and the blockade of the state. The problem of counteracting computer attacks is common to all states, since all informationally developed states are interdependent on vulnerabilities, errors, software bugs that are possible in information technologies, and an interstate conflict can become the result of a computer attack. In this regard, the need to adopt norms and principles aimed at determining the attribution of a computer attack is brought to the international level. In the age of information technology, solving the problem of forming legal norms, standards, as well as developing criteria that will ensure information security, organize the interaction of states in the event of a computer attack, is no less significant than ensuring nuclear security.
The article discusses the hypothesis about the possibility of a state to be responsible for any computer attacks that occurred from the territory of this state. The role of sovereign states, individual individuals and legal entities in relations related to violations of international information security is determined.
Keywords: ICT sphere, information technology users, information technology, computer attack attribution, containment principle
Информационные инфраструктуры играют большую роль в реализации государством своих функций, нарушение их целостности может привести к гибели людей и блокаде государства. Обеспечение безопасности информационных инфраструктур, в том числе критической информационной инфраструктуры, описывается как состояние защищенности, обеспечивающее ее устойчивое функционирование при проведении в отношении нее компьютерных атак 1. Так, например, в 2020 г. готовилась массированная компьютерная атака на инфраструктуру Минска, последствиями которой должны были стать блокада городской инфраструктуры, средств коммуникации, отклю-
1 Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» // СЗ РФ 2017. № 31 (ч. 1). Ст. 4736.
чение всей энергосистемы столицы2. Проблема противодействия компьютерным атакам является общей для всех государств, поскольку все информационно развитые государства взаимозависимы от уязвимо-стей, ошибок, программных закладок которые возможны в информационных технологиях. Поскольку невозможно снизить уровень взаимосвязанности современных обществ, лучшим вариантом является усовершенствование механизмов сдерживания и способов защиты3. Парадокс заключается в том, что более развитые в области информационно-коммуникационных технологий государства становятся более уязвимыми для компьютерных атак, чем менее развитые.
Интернет как основа взаимодействия различных информационных технологий, а также человека с устройствами образует ИКТ-сфе-ру, ее невозможно разделить на территории, принадлежащие государствам, она подобна космосу, который принадлежит всем. Проблема обеспечения информационной безопасности ИКТ-сферы является одной из наиболее сложных. С одной стороны, главной силой обеспечения безопасности должны выступать суверенные государства, а не отдельные индивиды, но в ИКТ-сфере ситуация складывается иным образом. Технологическая составляющая ИКТ-сферы позволяет физическим и юридическим лицам оказывать существенное влияние на ИКТ-отношения. Отдельные индивиды оказывают существенное влияние на состояние защищенности ИКТ-сферы. Например, сложности возникли в регулировании деятельности ИТ-гигантов на территории Российской Федерации, что потребовало принятия Федерального закона «О деятельности иностранных лиц в информационно-телекоммуникационной сети "Интернет" на территории Российской Федерации»4. Другим примером влияния на безопасность ИКТ-сферы физическими лицами являются хакеры, которые могут удаленно провести компьютерную атаку на информационные технологии.
Взаимосвязь суверенных государств в ИКТ-сфере поднимает вопросы о применимости системы норм и принципов в целях обеспе-
2 Послание Президента РФ Федеральному Собранию от 21 апреля 2021 г. // РГ. 2021. 22 апр. № 87.
3 См.: Фишер М. Концепция сдерживания и ее применимость в кибердомене. URL: http://connections-qj.org/ru/article/koncepciya-sderzhivaniya-i-ee-primenimost-v-kiber-domene (дата обращения: 09.03.2022).
4 Федеральный закон от 1 июля 2021 г. № 236-Ф3 «О деятельности иностранных лиц в информационно-телекоммуникационной сети "Интернет" на территории Российской Федерации» // СЗ РФ. 2021. № 27 (ч. 1). Ст. 5064.
чения информационной безопасности, а также выявления ответственных лиц в связи с произошедшими компьютерными атаками и киберинцидентами.
Понятие ИКТ-сферы
ИКТ-сфера является основанием формирования информационных инфраструктур на территории какого-либо государства. В российском законодательстве понятие «ИКТ-сфера» не раскрыто, но используется. Так, в Душанбинской декларации двадцатилетия ШОС5 в части обеспечения международной информационной безопасности государства — члены ШОС «выступают категорически против милитаризации ИКТ-сферы, считая необходимым обеспечение использования современных технологий в мирных целях, создание безопасного, справедливого и открытого информационного пространства, построенного на принципах уважения государственного суверенитета и невмешательства во внутренние дела других стран».
В соответствии с Доктриной информационной безопасности Российской Федерации под информационной сферой понимается «совокупность информации, объектов информатизации, информационных систем, сайтов в информационно-телекоммуникационной сети "Интернет", сетей связи, информационных технологий, субъектов, деятельность которых связана с формированием и обработкой информации, развитием и использованием названных технологий, обеспечением информационной безопасности, а также совокупность механизмов регулирования соответствующих общественных отношений»6.
Таким образом, в целях данной статьи под ИКТ-сферой мы будем понимать совокупность информации, объектов информатизации, информационных систем, сайтов в информационно-телекоммуникационной сети «Интернет», сетей связи, информационных технологий. Как и любая технологическая структура, ИКТ-сфера подвержена атакам на нее.
5 Душанбинская декларация двадцатилетия ШОС (Принята в г. Душанбе 17 сентября 2021 г.) // Сайт Шанхайской организации сотрудничества. URL: http:// rus.sectsco.org/ (дата обращения: 24.02.2022).
6 Указ Президента РФ от 5 декабря 2016 г. № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации» // СЗ РФ. 2016. № 50. Ст. 7074.
В соответствии с Доктриной информационной безопасности Российской Федерации «состояние информационной безопасности в области государственной и общественной безопасности характеризуется постоянным повышением сложности, увеличением масштабов и ростом скоординированности компьютерных атак на объекты критической информационной инфраструктуры, усилением разведывательной деятельности иностранных государств в отношении Российской Федерации, а также нарастанием угроз применения информационных технологий в целях нанесения ущерба суверенитету, территориальной целостности, политической и социальной стабильности Российской Федерации» (п. 16).
Понятие компьютерной атаки
ИТ-развитые государства сильно зависят от открытого и безопасного информационного пространства, но в то же время не могут исключить фактор наличия множества уязвимостей в информационных технологиях.
В соответствии с ч. 4 ст. 2 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации»7 под компьютерной атакой понимается «целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации».
В правовых актах применяется также понятие кибератаки как аналог понятия компьютерной атаки8.
Компьютерные атаки, осуществленные посредством использования уязвимостей или других слабостей в информационных технологиях, могут серьезно подорвать деятельность правительств, экономик и обществ и, следовательно, создать угрозу безопасности государства.
7 См.: Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации».
8 См.: Федеральная система обеспечения авиационной безопасности (Национальная программа авиационной безопасности) (одобрено Межведомственной комиссией по авиационной безопасности, безопасности полетов гражданской авиации и упрощению формальностей 4 апреля 2019 г.) (Документ опубликован не был) // СПС «КонсультантПлюс».
В нормативных правовых актах Российской Федерации9 обеспечение безопасности информационных инфраструктур связывается с обеспечением информационной безопасности, для этих целей понятие «ки-бербезопасность» не используется.
В Отчете Всемирного экономического форума по глобальным рискам 2018 года компьютерные атаки определены как разновидность базового глобального технологического риска10. В Таллиннским руководстве по международному праву, применимому к кибернетическим войнам «военная компьютерная атака» определена как «киберопера-ция, будь то наступательная или оборонительная, которая может привести к травмам или смерти людей, а также к повреждению или разрушению объектов»11.
Компьютерная атака может быть направлена как на получение несанкционированного доступа к конфиденциальной информации, ее копирование, изменение или уничтожение без нанесения государству серьезных нарушений, так и на подрыв функционирования государства, иными словами, направлена на национальную безопасность государства.
Так, Указом Президента РФ от 17 декабря 2011 г. № 1661 «Об утверждении Списка товаров и технологий двойного назначения, которые могут быть использованы при создании вооружений и военной техники и в отношении которых осуществляется экспортный контроль»12 предусматривается реагирование на компьютерную атаку. Под реагировани-
9 См.: Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации»; Распоряжение Правительства РФ от 20 февраля 2021 г. № 431-р «Об утверждении Концепции цифровой и функциональной трансформации социальной сферы, относящейся к сфере деятельности Министерства труда и социальной защиты Российской Федерации, на период до 2025 года» // СЗ РФ 2021. № 10. Ст. 1634.
10 Основные направления развития информационной безопасности кредитно-финансовой сферы на период 2019—2021 годов (утв. Банком России). (Документ опубликован не был) // СПС «КонсультантПлюс».
11 Таллиннское руководство по международному праву, применимому к кибернетическим войнам, редакции которого выпущены в 2013 и 2017 гг., было подготовлено как необязывающие исследование под руководством Совместного центра НАТО передового опыта по киберзащите (CCDCOE). В 2013 г. Группа правительственных экспертов ООН согласилась с тем, что международное право — и, в частности, Устав ООН — применимо для ИКТ-сферы. The Tallinn Manual URL: https://web.archive.Org/web/20130424162717/http://ccdcoe.org/249.html (дата обращения: 09.03.2022).
12 СЗ РФ. 2011. № 52. Ст. 7563.
ем на компьютерную атаку понимается «процесс обмена необходимой информацией по компьютерной атаке с лицами или организациями, ответственными за устранение или управление устранением неисправностей в целях решения данной проблемы» (п. 140.1).
В общем случае под защитой от компьютерных атак можно понимать совокупность методов, процессов и технологий, предназначенных для защиты целостности программного обеспечения, информационных инфраструктур и информации, ИКТ-сферы. Но, как бы мы ни определяли объект нападения, речь должна вестись о защите информации и информационных технологий.
Компьютерные атаки в ИКТ-сфере обладают своими отличительными особенностями. Например, основную проблему защиты от компьютерной атаки составляет сложность определения источника нападения, которым может быть программное обеспечение, начавшее распространять вредоносную информацию или проводить атаку на сервер критической информационной инфраструктуры.
Для поиска лица, ответственного за проведение кибератаки, необходимо определить разработчика программной технологии, ее тести-ровщика, а также ее пользователя. Кроме того, необходимо принять во внимание технологические особенности программного обеспечения, поскольку оно может совершить вредоносные действия как в силу предусмотренных разработчиком программных закладок в технологии, так и в силу наличия уязвимостей, которые свойственны всем аппаратно-программным технологиям, которыми могли воспользоваться хакеры, найдя их.
В случае обнаружения программных закладок в технологии подлежит доказыванию преднамеренность действий разработчика, создавшего свою технологию с возможностями ее несанкционированного использования третьими лицами. В случае применения уязвимости в противоправных целях нужно обсуждать другой вопрос: подлежат ли эти действия наказанию в соответствии с административным или уголовным законом?
В соответствии с п. 2.6.4 ГОСТ Р 50922-2006 «уязвимостью информационной системы или ее брешью является свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации»13. Условием реа-
13 ГОСТ Р 50922-2006. Национальный стандарт Российской Федерации. Защита информации. Основные термины и определения // СПС «Консультант-Плюс».
лизации угрозы безопасности обрабатываемой в системе информации может быть недостаток или слабое место в информационной системе. Таким образом, уязвимости являются подмножеством ошибок, совершенных разработчиками.
В соответствии с ГОСТ Р 51275-2006 программной закладкой является «преднамеренно внесенный в программное обеспечение функциональный объект, который при определенных условиях инициирует реализацию недекларированных возможностей программного обеспечения». Программная закладка может быть реализована в виде вредоносной программы или программного кода (п. 3.7)14.
К основным способам реализации (возникновения) угроз безопасности информации отнесены: «использование уязвимостей кода программного обеспечения, уязвимостей архитектуры и конфигурации систем и сетей, а также организационных и многофакторных уязви-мостей; внедрение вредоносного программного обеспечения; использование недекларированных возможностей программного обеспечения и (или) программно-аппаратных средств; установка программных и (или) программно-аппаратных закладок в программное обеспечение и (или) программно-аппаратные средства» и др. (п. 5.2.3)15
Несмотря на то что уголовным законом предусмотрена ответственность за создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации (ст. 273 Уголовного кодекса РФ (далее — УК РФ)), таких преступлений не становится меньше. Зачастую это связано с тем, что удостовериться в наличии или отсутствии программных закладок в информационных технологиях сложно. Во-первых, в Российской Федерации отсутствует требование об обязательной сертификации информационных технологий, вводимых в гражданский оборот. Во-вторых, проведение таких действий является сложным и дорогостоящим процессом, учитывая, что большинство технологий вво-
14 ГОСТ Р 51275-2006. Национальный стандарт Российской Федерации. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения» (утв. и введен в действие Приказом Ростехрегулирования от 27 декабря 2006 г. № 374-ст). М., 2007.
15 Методический документ. Методика оценки угроз безопасности информации (утв. ФСТЭК России 5 февраля 2021 г.) (Документ опубликован не был) // СПС «КонсультантПлюс».
зится на территорию Российской Федерации из-за рубежа и ее производителями являются зарубежные разработчики. В-третьих, даже в случае введения процедуры обязательной сертификации всегда остается вероятность при проведении сертификации необнаружения закладок.
Предусмотрено наступление уголовной ответственности также и за нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей (ст. 274 УК РФ). Однако практика применения данной статьи поднимает вопрос о личности субъекта данного преступления, особенно в части нарушения правил доступа к информационно-телекоммуникационным сетям, которые определены Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»16 как «технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники». Под данное определение попадает фактически любая компьютерная сеть, включая Интернет и локальные сети, как правило, создаваемые поставщиками услуг доступа в Интернет по территориальному принципу. Следует отметить, что каждый провайдер, предоставляющий доступ в Интернет, заключает с физическими и юридическими лицами договор оказания услуг, в котором прописаны определенные правила доступа к информационно-телекоммуникационным сетям. Таким образом, можно сделать вывод, что законодатель предусмотрел ответственность по данной статье и для общего субъекта преступления17.
Предусмотрена также ответственность за неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации (ст. 272 УК РФ). Данные деяния могут реализоваться также и удаленно с территории другого государства. В этом случае требует своего решения проблема атрибуции компьютерной атаки.
Уголовным кодексом предусмотрена специальная статья — ст. 274.1, которая объединяет три формы преступного посягательства на безопас-
16 СЗ РФ. 2006. № 31 (ч. 1). Ст. 3448.
17 См.: Методические рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации (утв. Генпрокуратурой России) (Документ опубликован не был) // СПС «КонсультантПлюс».
ность компьютерных данных и систем, отраженные в проанализированных статьях, но направленных против объектов критической информационной инфраструктуры: 1) неправомерный доступ; 2) создание и распространение вредоносного контента и 3) нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации18.
Таким образом, правовая классификация совершенных действий во многом зависит от технологических инструментов, примененных для совершения противоправных деяний.
К правовым проблемам обеспечения защиты от компьютерных атак относятся: во-первых, проблема идентификации лица в Сети, во-вторых, установления мотивации пользователя программного обеспечения или его разработчика в совершенных действиях, в-третьих, классификации примененных технологических инструментов для совершения противоправных действий, в-четвертых, определения юрисдикции проведения компьютерной атаки, поскольку она может реализовываться сразу в нескольких юрисдикциях, это требует взаимодействия и сотрудничества государств, к сожалению, это не всегда возможно в текущей геополитической ситуации.
Например, Российская Федерация считает, что США провели компьютерные атаки в 2021 г. на серверы Центризбиркома для изменения результатов проводимых выборов19. Российская Федерация считает, что США — наиболее агрессивное государство в сфере проведения компьютерных атак на информационные системы стран мира. Именно в США были созданы вирус 81:ихпе1 и другие образцы кибер-вооружения высокого уровня. В 1982 г. США провели разрушительную компьютерную атаку против советских магистральных трубо-проводов20. «Из американских источников следует, что наибольшее количество компьютерных атак в мире осуществляется с киберпро-странства США, на втором месте — Канада, затем — две латиноамериканские страны, потом Великобритания. России нет в этом списке
18 См.: РешетниковА.Ю., Русскевич Е.А. Об уголовной ответственности за неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации (ст. 274.1 УК России) // Законы России: опыт, анализ, практика. 2018. № 2. С. 51-55.
19 См.: Медведев Д.А. США не ответили РФ по теме кибератак в ходе выборов в Госдуму. URL: https://regnum.ru/news/3488973.html (дата обращения: 09.02.2022).
20 См.: Киберпреступность и киберконфликты: США. URL: https://www.tadviser. ru/index.php/Статья: Киберпреступность_и_киберконфликты_:_США (дата обращения: 09.03.2022).
государств»21. Эксперты компании Microsoft считают, что «больше половины обнаруженных компьютерных атак, проспонсированных государствами, проводились из России. По их данным, хакеры из России стояли за 58 процентами подобных атак. Отмечается, что чаще всего "российские хакеры" нападали на США, Украину, Великобританию и входящие в НАТО европейские государства»22.
Таким образом, взаимные претензии демонстрируют проблемы атрибуции компьютерных атак, сложности установления ее источника, территории проведения и противодействия компьютерным атакам.
Атрибуция компьютерной атаки
Атрибуция компьютерной атаки — это комплекс процедур по выявлению источника атаки в целях возложения ответственности на лицо, организовавшее и проведшее компьютерную атаку. Она состоит из двух аспектов: технического и правового, связанных одной целью — собирание доказательств проведения компьютерной атаки и причастного лица 23. Исследования подтверждают, что провести атрибуцию компьютерной атаки очень сложно24, многое зависит от примененных для проведения кибероперации технологий, а также от технологий и средств, потраченных на определение источника компьютерной атаки и лица, ее реализовавшего.
Проблему атрибуции компьютерной атаки невозможно рассматривать без уделения внимания к вопросам кибербезопасности еще
21 Москва и Вашингтон начнут консультации по кибербезопасности. URL: https://www.pnp.ru/politics/rossiya-i-ssha-nachnut-konsultacii-po-kiberbezopasnosti. html (дата обращения: 09.03.2022).
22 Российские хакеры оказались самыми активными в мире // Lenta.ru. URL: https://lenta.ru/news/2021/10/07/goszakaz/ (дата обращения: 09.03.2022).
23 См.: ЗиновьеваЕ.С. Международное сотрудничество по обеспечению информационной безопасности: субъекты и тенденции эволюции. URL: https://mgimo. ru/upload/diss/2019/zinovieva-diss.pdf (дата обращения: 09.03.2022).
24 См.: Нежельский А.А. Государственное регулирование сферы кибербезопасности: проблемы атрибуции атак и локализации данных. URL: https://cyberleninka. ru/article/n/gosudarstvennoe-regulirovanie-sfery-kiberbezopasnosti-problemy-atributsii-atak-i-lokalizatsii-dannyh (дата обращения: 09.03.2022); Демидов О., Ангмар М. Киберстратегия США 2018. Значение для глобального диалога о поведении в сфере использования ИКТ и российско-американских отношений. М., 2019; Маргоев А.Р. Атрибуция кибератаки является политическим решением, это не судебный процесс // Ядерный Контроль. 2017. Вып. 4 (486). URL: http://www.pircenter.org/articles/ 2099-atribuciya-kiberataki-yavlyaetsya-politicheskim-resheniem-eto-ne-sudebnyj-process (дата обращения: 09.03.2022).
на стадии разработки, поскольку на последующих стадиях, например на стадии применения информационных технологий, исправление уязвимостей и нахождение программных закладок не всегда возможно. Так, устройства можно скомпрометировать еще на стадии разработки, создать уязвимости или программные закладки, что позволит злоумышленнику совершить удаленный доступ к другим информационным технологиям и осуществить компьютерную атаку. Таким образом, критически важно знать поставщиков, разработчиков или производителей, а также тех, кто испытывает и сертифицирует технологию. Такие вопросы должны находиться под контролем органов государственной власти.
Совершению компьютерных атак способствует сетевая скорость передачи информации и минимизация расстояний, в связи с чем злоумышленники, находящиеся за пределами юрисдикции государства, считают, что могут совершать компьютерные атаки и не будут привлечены к ответственности, поскольку идентификация злоумышленника — это вопрос не только времени, но и экономических и технических возможностей заинтересованной стороны.
Для обеспечения информационной безопасности государства видят один путь — это создание условий подчинения своему закону всех лиц, которые используют информационные технологии на его территории и их разрабатывают. Так, например, Китайская Народная Республика требует проведения обязательной сертификации для таких категорий информационно-технологической продукции, как: машино- и электротехническая продукция, двигатели, машины вычислительные, дисплеи и др. Заявка о проведении обязательной сертификации может быть подана как изготовителем, так и импортером25.
В Российской Федерации в связи необходимостью решения проблемы подчинения ИТ-гигантов требованиям законодательства с 1 июля 2021 г. в силу вступил Федеральный закон «О деятельности иностранных лиц в информационно-телекоммуникационной сети "Интернет" на территории Российской Федерации», который устанавливает единую систему требований для иностранных лиц, функционирующих в Рунете, определяет права и обязанности лиц, участвующих в указанной деятельности, а также полномочия органов государственной власти РФ.
25 См.: Китайская Народная Республика. URL: https://standardsguide. exportcenter.ru/guide/stranovye-osobennosti/kitayskaya-narodnaya-respublika/ (дата обращения: 09.03.2022).
В Республике Беларусь был принят Указ Президента № 60 от 1 февраля 2010 г. «О мерах по совершенствованию использования национального сегмента сети "Интернет"»26. В соответствии с данным нормативным актом введена государственная регистрация сетей, систем и ресурсов, которую будут проходить поставщики интернет-услуг по заявительному принципу в Министерстве связи и информатизации либо уполномоченной им организации. Поставщики интернет-услуг должны осуществлять идентификацию абонентских устройств пользователей интернет-услуг, вести учет и хранить сведения о таких устройствах и оказанных интернет-услугах27.
Таким образом, можно подчеркнуть, что одним из методов обеспечения информационной безопасности и принуждения к выполнению требований национального законодательства является привязка информационных технологий к территории своего государства. В связи с этим юридическим лицам, желающим работать на территории государства, требуется выполнять все правовые требования.
Можно ли применять принципы международного права к предотвращению компьютерных атак?
Использование киберугроз в стратегии гибридной войны против России становится важным фактором межгосударственного противоборства. Тем временем процессы цифровизации и развития информационных технологий ставят под вопрос возможность сохранения прежних моделей обеспечения информационной безопасности и кибер-безопасности в мировой экономике, в политике и военном деле, в нормативно-правовой сфере28.
ИКТ-сферу, как было уже сказано, можно рассматривать не только как абстрактную структуру, представляющую систему объединенных информационных технологий, но и как социальную структуру, позволяющую обеспечить взаимодействие пользователей информационных технологий. Пользователи информационных технологий
26 См.: Национальный правовой Интернет-портал Республики Беларусь. URL: https://pravo.by/document/?guid=3871&p0=P31000060.
27 См.: Правовое регулирование сети Интернет в Республике Беларусь. URL: https://kgatk.by/elektronnie-obrazovatelnie-resyrsi/dostup-k-eor/pravovoe-regulirovanie-seti-internet-v-rb/ (дата обращения: 09.03.2022).
28 См.: БартошА. Защита от неизвестного супостата. Философия сдерживания распространяется на киберсферу. URL: https://nvo.ng.ru/gpolit/2021-07-08/1_1148_ philosophy.html (дата обращения: 09.03.2022).
ИКТ-сферы могут получить трансграничный доступ к любой информации и информационной технологии. Именно трансграничность доступа, информационные модели и методика разработки информационных технологий создают сложности в определении юрисдикции компьютерной атаки.
За каждой информационной технологией стоит правообладатель или разработчик, их личные законы могут отличаться от закона информационной технологии, размещенной на территории государства, как, например, международным частным правом предусмотрен личный закон юридического лица.
Рассматривая ИКТ-сферу через совокупность различных информационных технологий, правообладателями и разработчиками которых являются различные юридические и физические лица, имеющие различные личные законы, можно предположить, что государство как субъект в данных отношениях выполняет второстепенную роль, поскольку не может проконтролировать применение на своей территории информационных технологий, соответственно не должно нести ответственности за их применение. Хотя данный тезис может быть подвергнут критике, однако для того, чтобы мы могли говорить об ответственности государства, должны быть разработаны системы международно-правовых и частноправовых принципов, а также система организационно-правовых норм, которые определяют требования к создаваемым и используемым информационным технологиям на его территории.
Объединение различных информационных технологий в единую сеть взаимодействующих между собой технологий, размещенных на территории различных государств, создает глобальную сеть. Поскольку к любым информационным технологиям, размещенным на территории государства, можно получить удаленный доступ, возникает вопрос об атрибуции компьютерной атаки и возможности контроля компьютерной атаки государством, с территории которого она производилась. Несмотря на то что осуществление компьютерной атаки происходит с территории государства, оно зачастую не имеет никакого отношения к происходящим событиям, поскольку технически и технологически сложно контролировать ИКТ-сферу, даже на уровне интернет-провайдеров. Для обеспечения контроля со стороны государства существующее международное регулирование должно охватить систему отношений, возникающих в рамках киберпространства как элемента информационного пространства и важнейшего фактора стратегической стабильности. На данный момент такая система
норм и принципов международного регулирования ИКТ-сферы только формируется29.
Несмотря на эту общепризнанную сложность, можно встретить неожиданную позицию официальных представителей зарубежных государств, свидетельствующую о признании государства в качестве ответственного лица за компьютерные атаки, происходящие с его территории. Так, например, США считают, что хотя власти России непричастны к хакерской атаке на американскую трубопроводную компанию Colonial Pipeline, однако отвечают за действия злоумышленников, находящихся на российской территории30.
Хотелось бы подчеркнуть, что ответственность государства не распространяется на правонарушения, совершаемые частными лицами. «Государство должно нести ответственность за нарушения только в том случае, если в связи с этими нарушениями ему самому может быть вменено противоправное деяние. Как правило, речь идет о бездействии государства. Например, когда государство не проявляет надлежащую осмотрительность (duediligence)»31.
В таком случае в рамках отношений, осложненных иностранным элементом в ИКТ-сфере, о каких пределах должной осмотрительности государства может вестись речь? Поскольку в нормативных правовых документах данный принцип не раскрыт, но часто применяется в научной литературе, воспользуемся определением данного принципа, раскрытого в Обобщении практики и правовых позиций международных договорных и внедоговорных органов, действующих в сфере защиты прав и свобод человека, по вопросам защиты права лица на жизнь (утв. Президиумом Верховного Суда РФ)32. Так, в соответствии с данным документом под принципом должной осмотрительности, подлежащим реализации государством в ходе защиты права на жизнь, понимается «исполнение государством-ответчиком своего обязательства
29 См.: Shinkaretskaya G.G., Lyalina I.S. Safeguarding of critical digital infrastructures. URL: https://doi.org/10.2991/iscde-19.2019.166 (дата обращения: 09.03.2022).
30 Вашингтон считает, что Москва несет ответственность за действия всех хакеров в России. URL: https://www.tadviser.ru/ (дата обращения: 09.03.2022).
31 Вольфганг Г.В., Боте М., Дольцер Р. Международное право = Volkerrecht. Кн. 2 / Пер. с нем. Н. Спица. 2-е изд. М., 2015.
32 Обобщение практики и правовых позиций международных договорных и внедоговорных органов, действующих в сфере защиты прав и свобод человека, по вопросам защиты права лица на жизнь (утв. Президиумом Верховного Суда РФ) (Документ опубликован не был). URL: https://vsrf.ru/ по состоянию на 23.06.2021. (дата обращения: 09.03.2022).
по защите права на жизнь в соответствии со ст. 2 Конвенции о защите прав человека и основных свобод... сделали ли власти Российской Федерации все разумно возможное добросовестно и своевременно, чтобы попытаться предотвратить смертельный исход в этом деле» (п. 4.2.1).
Принцип должной осмотрительности, применяющийся для защиты от незаконного лишения жизни, был сформулирован целым рядом судов, которые оценивают должную осмотрительность исходя из того, что было известно или должно было быть известно государству; рисков или вероятности предсказуемого вреда; и серьезности вреда (п. 35 Доклада Специального докладчика по вопросу о внесудебных казнях, казнях без надлежащего судебного разбирательства или произвольных казнях)33.
Франция считает принцип должной осмотрительности в области ИКТ крайне важным достижением на международном уровне общего понимания в отношении обязательств государства, чья инфраструктура используется не по назначению в ущерб интересам другого государства. Франция считает, что необходимо уточнить его применение в кибернетической области, который должен предусматривать, что каждое государство обязано не давать осознанного разрешения на использование своей территории для совершения действий, нарушающих права других государств. В этой связи государства не должны заведомо позволять использовать свою территорию для совершения международно-противоправных деяний с использованием киберсредств и не должны использовать негосударственных посредников (доверенных лиц) для совершения нарушений международного права. Более глубокое понимание применения этого принципа к кибервопросам способствовало бы укреплению сотрудничества между государствами в целях защиты некоторых важнейших объектов инфраструктуры и предотвращения крупных компьютерных атак, проходящих через третьи страны34.
Таким образом, можно отметить, что от государства требуется создать условия, при которых противоправное использование ИКТ-сфе-
33 Обобщение практики и правовых позиций международных договорных и внедоговорных органов, действующих в сфере защиты прав и свобод человека, по вопросам защиты права лица на жизнь» (утв. Президиумом Верховного Суда РФ) (Документ опубликован не был). URL: https://vsrf.ru/ по состоянию на 23.06.2021. (дата обращения: 09.03.2022).
34 Distr.: General 24 June 2019 Russian Original: English/French/Spanish Пункт 95 первоначального перечня. Достижения в сфере информатизации и телекоммуникаций в контексте международной безопасности. Доклад Генерального секретаря. URL: https://undocs.org/pdf?symbol=ru/A/74/120 (дата обращения: 09.03.2022).
ры будет затруднено. Звучит также и критерий заведомости знаний, т.е. предполагается, что государства, зная о развитии возможных противоправных ситуаций, не должны позволять использовать свою территорию для совершения международно-противоправных деяний с использованием информационных технологий35.
В научной литературе мы можем встретить аргументы о необходимости соблюдения принципа должной осмотрительности в ИКТ-сфере. Как отмечает И.В. Рачков, уровень должной осмотрительности отчасти зависит от обстоятельств и ресурсов соответствующего государства 36. Концепция «должной осмотрительности» используется в пределах территории государства в отношении иностранных инвестиций и прав человека37. «В международных отношениях подобные обязательства можно найти в природоохранном праве: существует обязанность государства принимать меры к предотвращению таких действий в пределах его юрисдикции, которые могли бы нанести ущерб другому государству. Международное право в сфере защиты экономических, социальных, культурных прав требует, чтобы государства защищали такие права от нарушения их не-государствами, например, корпорациями. В связи с этим можно также поставить вопрос об обязанности юридических лиц соблюдать установления международного права, который пока не решен и даже не поставлен надлежащим образом в доктрине»38.
Элементы концепции «должной осмотрительности» можно найти также в нормах, формулируемых Международным союзом электросвязи. Его Устав39 требует, чтобы государства-члены поддерживали, обеспечивали и ограждали от нарушений каналы и технические устройства, обеспечивающие глобальную связь40.
35 См.: Жарова А.К. О соотношении персональных данных с ip-адресом. Российский и зарубежный опыт // Вестник УрФО. Безопасность в информационной сфере. 2016. № 1 (19). С. 61-67.
36 См.: Рачков И.В. Тенденции развития международного инвестиционного арбитража: вопросы по существу споров // Международное правосудие. 2019. № 1. С. 93-117.
37 См.: Shinkaretskaya G.G., Lyalina I.S. Op. cit.
38 Шинкарецкая Г.Г. Новые действующие лица в международном праве // Материалы юридического форума «Россия-Турция. XXI век». М., 2011. С. 15-24.
39 Constitution of the International Telecommunication Union. URL: https://www. itu.int/council/pd/constitution.html (датаобращения: 09.03.2022).
40 ITU Constitution, in Collection of the Basic Texts of the International Telecommunication Union. URL: https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-CYB_ GUIDE.01-2018-PDF-E.pdf (дата обращения: 09.03.2022).
С одной стороны, мы попробовали найти аргументы, поддерживающие позицию о вторичной роли государства в части определения ответственного лица за проведенную компьютерную атаку. Однако нужно рассмотреть и другую позицию, поддерживающую позицию о причастности государства к компьютерным атакам. Для чего структуру ИКТ-сферы необходимо рассмотреть как совокупность информационных технологий, расположенных на территории определенного государства, и как систему, полностью подконтрольную этому государству. В такой ситуации любое пересечение границ ИКТ-сфе-ры, расположенной на территории государства, должно быть зафиксировано, как, например, фиксируется пересечение государственной границы. Так, в Таллиннском руководстве по международному праву, применимому к кибернетическим войнам 2.0, предлагается применить принцип государственного суверенитета к киберпространству, что позволит государству принимать все меры, не запрещенные международным правом, и которые оно считает необходимыми и подходящими для работы со своей киберинфраструктурой, с участниками киберпространства или с кибердеятельностью на своей территории41.
Следовательно, любая враждебная кибероперация, направленная против кибер- и некиберинфраструктуры государства, будет означать нарушение суверенитета в случае причинения физического вреда или травм42.
Эта гипотеза требует рассматривать государство как субъект права, т.е. исходя из норм и принципов международного права. В связи с молодостью ИКТ-отношений система норм и принципов поведения государств в ИКТ-сфере находится только на стадии своего формирования. В этот период государствам предлагается распространить существующие принципы международного права на ИКТ-отношения и компьютерные атаки43. Например, в 2018 г. Российская Федерация предложила проект резолюции 74-й сессии ГА ООН «Поощрение ответственного поведения государств в киберпространстве в контексте международной безопасности» (документ Ь.49/Яеу.1). США предлага-
41 The Tallinn Manual. URL: https://web.archive.org/web/20130424162717/http:// ccdcoe.org/249.html (дата обращения: 09.03.2022).
42 См.: Schmitt M.N. "Below the Threshold' Cyber Operations: The Countermea-sures Response Option and International Law // Virginia Journal of International Law. 2014. No. 54. Р. 697-732.
43 Россия и США разработали проект резолюции Генассамблеи ООН по кибербезопасности. URL: https://tass.ru/ekonomika/12696815 (дата обращения: 09.03.2022).
ли свой проект резолюции. В итоге 6 декабря 2021 г. Генеральная Ассамблея ООН одобрила без голосования российско-американскую резолюцию «Достижения в сфере информатизации и телекоммуникаций в контексте международной безопасности и поощрение ответственного поведения государств в сфере использования информационно-коммуникационных технологий»44, направленную на формирование норм поведения в ИКТ-сфере и предотвращение преступлений в данной области.
В настоящее время в Российской Федерации принят ряд документов, направленных на обеспечение различных аспектов национальной информационной безопасности. Среди них Доктрина информационной безопасности РФ, Стратегия развития информационного общества в РФ45, Стратегия научно-технологического развития Российской Федерации46, Основы государственной политики Российской Федерации в области международной информационной безопасности на период до 2020 года47, Стратегия развития отрасли информационных технологий в Российской Федерации на 2014—2020 годы и на перспективу до 2025 года48, Указ Президента РФ «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»49.
44 Генассамблея ООН приняла резолюцию России и США по киберсфе-ре. URL: https://tass.ru/mezhdunarodnaya-panorama/13127057 (дата обращения: 09.03.2022).
45 Указ Президента РФ от 9 мая 2017 г. № 203 «О Стратегии развития информационного общества в Российской Федерации на 2017—2030 годы» // СЗ РФ. 2017. № 20. Ст. 2901.
46 Указ Президента РФ от 1 декабря 2016 г. № 642 «О Стратегии научно-технологического развития Российской Федерации» // СЗ РФ. 2016. № 49. Ст. 6887.
47 Основы государственной политики Российской Федерации в области международной информационной безопасности на период до 2020 года (утв. Президентом РФ 24 июля 2013 г. № Пр-1753) (Документ опубликован не был) // СПС «КонсультантПлюс».
48 Распоряжение Правительства РФ от 1 ноября 2013 г. № 2036-р «Об утверждении Стратегии развития отрасли информационных технологий в Российской Федерации на 2014—2020 годы и на перспективу до 2025 года» // СЗ РФ 2013. № 46. Ст. 5954.
49 Указ Президента РФ от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» // СЗ РФ. 2008. № 12. Ст. 1110.
Нужно согласиться с тем, что роль государств в обеспечении безопасности в ИКТ-сфере очень важна, с какой бы стороны мы ее не рассматривали 50. Однако можем ли мы считать, что отношения в ИКТ-сфере, включая Интернет, могут регулироваться между народным публичным правом, которое направлено на обеспечение взаимодействия между государствами51? В публичные отношения вступают государства, органы государственной власти Российской Федерации и субъектов Федерации, а также отдельные правосубъектные межправительственные организации. Что же происходит в ИКТ-сфере, можем ли мы быть уверены, что все протекающие процессы полностью контролируются государством, а также можем ли мы достоверно определить, например, в Интернете, что компьютерная атака санкционирована определенным государственным органом или самим государством, иными словами, провести атрибуцию компьютерной атаки и связать ее с государством как субъектом права?
Так, например, Дэвид Оманд, в прошлом глава Центра правительственной связи Великобритании, ответственный за ведение радиоэлектронной разведки и обеспечение защиты информации, считает, что «атрибуция компьютерной атаки является политическим решением. Если глава государства решит, что полученных доказательств достаточно, то он примет решение о том, кто несет ответственность за атаку. Нельзя рассчитывать на то, что атрибуция будет осуществляться только на основании технической оценки с большим количеством "возможно" и "вероятно". Если речь идет о серьезной ситуации, политическое руководство может решить "мне этого достаточно" и начать действовать, поскольку это не судебный процесс»52.
В качестве аргумента о необходимости возложения ответственности на государство предлагается позиция, о том, что проведение компьютерной атаки — это долгосрочная кампания, которая не может быть проведена одномоментно, она состоит из серии сложных операций по ее подготовке, разработки программного кода, подключения к информационным технологиям, агентурной разведки. Такая подготовка и применяемые технологии стоят огромных денег и требуют гиб-
50 См.: Жарова А.К. Риски информационной безопасности и возможности правового регулирования криптовалюты в России // Информационное право. 2018. № 4. С. 11-16.
51 См.: ВельяминовГ.М. Международное право: опыты. М., 2015.
52 Маргоев А.Р. Указ. соч.
ких и специализированных структур. И то, и другое доступно только в определенной степени государственным структурам53.
Хотелось бы отметить, что такая аргументация создает предпосылки возникновения межгосударственных конфликтов, поскольку атрибуция компьютерной атаки — это длительный и сложный процесс, не всегда приводящий к точной оценке, что, в свою очередь, повышает риск ошибок при возмездии. По мнению М. Таддео, оборона в киберпространстве сводится к обеспечению устойчивости системы в случае атак, но не к их отражению, что принципиально отличается от оборонительных стратегий в традиционном сдерживании54.
Для предотвращения межгосударственных конфликтов предлагается использовать инструмент сдерживания, предусмотренный в международных отношениях, для ИКТ-сферы. Применение данного инструмента поддерживается Доктриной информационной безопасности, для усиления защиты интересов национальной безопасности. Так, в соответствии с Доктриной информационной безопасности меры по прогнозированию, обнаружению, сдерживанию, предотвращению, отражению информационных угроз и ликвидации последствий их проявления обеспечивают информационную без-опасность55.
Сдерживание в ИКТ-сфере должно быть важным компонентом стратегии безопасности, но только с точки зрения формирования устойчивой информационной инфраструктуры, которая может противостоять компьютерным атакам56. Для достижения этого результата для всех государств должны быть определены правила поведения в ИКТ-сфере. Важно указать, какие действия будут запрещены и какие действия будут определены в качестве наступательных или оборонительных для соответствующего реагирования. Необходимо также разработать декларацию о сдерживании государств в ИКТ-сфере, в которой должны быть отражены требования к информационным тех-
53 См.: Фишер М. Указ. соч.
54 Цит. по: Шакиров О.И. Кто придет с кибермечом: подходы России и США к сдерживанию в киберпространстве // Международная аналитика. 2020. Т. 11. № 4. С. 147-170.
55 Указ Президента РФ от 5 декабря 2016 г. № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации»// СЗ РФ. 2016. № 50. Ст. 7074.
56 См.: Елин В.М. Уголовно-правовая защита информации в ГАС «Выборы» как развитие положений доктрины информационной безопасности // Правовые вопросы связи. 2009. № 2. С. 17-21.
нологиям, формирующим ИКТ-сферу и применяемым на территории государств.
Формирование системы норм и принципов, применимых в регулировании международной информационной безопасности, в начале своего пути, но используя только эти нормы и принципы невозможно обеспечить информационную безопасность государств. Отношения, возникающие при использовании или создании информационных технологий, регулируются как частным, так и публичным правом, соответственно необходимо разработать комплексный метод правового регулирования, в том числе учитывающий методы разработки информационных технологий.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
Бартош А. Защита от неизвестного супостата. Философия сдерживания распространяется на киберсферу. URL: https://nvo.ng.ru/gpolit/2021-07-08/1_1148_ philosophy.html (дата обращения: 09.03.2022).
Вашингтон считает, что Москва несет ответственность за действия всех хакеров в России. URL: https://www.tadviser.ru/ (дата обращения: 09.03.2022).
ВельяминовГ.М. Международное право: опыты. М.: Статут, 2015.
Вольфганг Г.В., Боте М., Дольцер Р. Международное право = Volkerrecht.KH 2. / Пер. с нем. Н. Спица. 2-е изд. М.: Инфотропик Медиа, 2015.
Генассамблея ООН приняла резолюцию России и США по киберсфере. URL: https://tass.ru/mezhdunarodnaya-panorama/13127057 (дата обращения: 09.03.2022).
Демидов О., Ангмар М. Киберстратегия США 2018. Значение для глобального диалога о поведении в сфере использования ИКТ и российско-американских отношений. М.: Триалог, 2019.
Елин В.М. Уголовно-правовая защита информации в ГАС «Выборы» как развитие положений доктрины информационной безопасности // Правовые вопросы связи. 2009. № 2. С. 17-21.
Жарова А.К. О соотношении персональных данных с ip-адресом. Российский и зарубежный опыт // Вестник УрФО. Безопасность в информационной сфере. 2016. № 1 (19). С. 61-67.
Жарова А.К. Риски информационной безопасности и возможности правового регулирования криптовалюты в России // Информационное право. 2018. № 4. С. 11-16.
Зиновьева Е.С. Международное сотрудничество по обеспечению информационной безопасности: субъекты и тенденции эволюции. URL: https://mgimo.ru/upload/ diss/2019/zinovieva-diss.pdf (дата обращения: 09.03.2022).
Киберпреступность и киберконфликты: США. URL: https://www.tadviser.ru/ index.php/Статья: Киберпреступность_и_киберконфликты_:_США (дата обращения: 09.03.2022).
Маргоев А.Р. Атрибуция кибератаки является политическим решением, это не судебный процесс (интервью с Дэвидом Омандом) // Ядерный Контроль. 2017. № 4 (486). URL: http://www.pircenter.org/articles/2099-atribuciya-kiberataki-yavlyaetsya-politicheskim-resheniem-eto-ne-sudebnyj-process (дата обращения: 09.03.2022).
Медведев Д.А. США не ответили РФ по теме кибератак в ходе выборов в Госдуму. URL: https://regnum.ru/news/3488973.html (дата обращения: 09.03.2022).
Москва и Вашингтон начнут консультации по кибербезопасности. URL: https://www.pnp.ru/politics/rossiya-i-ssha-nachnut-konsultacii-po-kiberbezopasnosti. html (дата обращения: 09.03.2022).
Нежельский А.А. Государственное регулирование сферы кибербезопасности: проблемы атрибуции атак и локализации данных. URL: https://cyberleninka.ru/ article/n/gosudarstvennoe-regulirovanie-sfery-kiberbezopasnosti-problemy-atributsii-atak-i-lokalizatsii-dannyh (дата обращения: 09.03.2022).
Рачков И.В. Тенденции развития международного инвестиционного арбитража: вопросы по существу споров // Международное правосудие. 2019. № 1. С. 93-117. DOI: 10.21128/2226-2059-2019-1-93-117
Решетников А.Ю., Русскевич Е.А. Об уголовной ответственности за неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации (ст. 274.1 УК России) // Законы России: опыт, анализ, практика. 2018. № 2. С. 51-55.
Российские хакеры оказались самыми активными в мире. URL: https://lenta. ru/news/2021/10/07/goszakaz/ (дата обращения: 09.03.2022).
Россия и США разработали проект резолюции Генассамблеи ООН по кибербезопасности. URL: https://tass.ru/ekonomika/12696815 (дата обращения: 09.03.2022).
Фишер М. Концепция сдерживания и ее применимость в кибердомене. URL: http://connections-qj.org/ru/article/koncepciya-sderzhivaniya-i-ee-primenimost-v-kiber-domene (дата обращения: 09.03.2022).
Шакиров О.И. Кто придет с кибермечом: подходы России и США к сдерживанию в киберпространстве // Международная аналитика. 2020. Т. 11. № 4. С. 147-170.
Шинкарецкая Г.Г. Новые действующие лица в международном праве // Материалы юридического форума «Россия — Турция. XXI век». М.: ИГП РАН, 2011. С. 15-24.
Schmitt M.N. 'Below the Threshold' Cyber Operations: The Countermeasures Response Option and International Law // Virginia Journal of International Law. 2014. No. 54. Р. 697-732.
Shinkaretskaya G.G., Lyalina I.S. Safeguarding of critical digital infrastructures. URL: https://doi.org/10.2991/iscde-19.2019.166 (дата обращения: 09.03.2022).
REFERENCES
Bartosh, A. (2021) Zashchita ot neizvestnogo supostata. Filosofiya sderzhivaniya ras-prostranyaetsya na kibersferu [Protection from an Unknown Adversary. The Philosophy of Deterrence Extends to the Cybersphere] [online]. Available at: https://nvo.ng.ru/ gpolit/2021-07-08/1_1148_philosophy.html [Accessed: 09.03.2022]. (in Russ.).
Rossiyai SSHA razrabotal iproekt rezolyucii Genassamblei OON po kiberbezopasnosti [Russia and the United States have Developed a Draft Resolution of the UN General Assembly on Cybersecurity] [online]. Available at: https://tass.ru/ekonomika/12696815 [Accessed: 09.03.2022]. (in Russ.).
Medvedev, D.A. SSHA ne otvetili RF po teme kiberatak v hode vyborov v Gosdumu [The United States did not Respond to the Russian Federation on the Topic of Cyber-Attacks during the State Duma Elections] [online]. Available at: https://regnum.ru/news/3488973. html [Accessed: 09.03.2022]. (in Russ.).
Vashington schitaet, chto Moskva neset otvetstvennost' za dejstviya vsekh hakerov v Ros-sii [Washington Believes that Moscow is Responsible for the Actions of All Hackers in Russia] [online]. Available at: https://www.tadviser.ru [Accessed: 09.03.2022]. (in Russ.).
Fisher, M. Koncepciy asderzhivaniya i ee primenimost' v kiberdomene [The Concept of Deterrence and its Applicability in the Cyber Domain] [online]. Available at: http:// connections-qj.org/ru/article/koncepciya-sderzhivaniya-i-ee-primenimost-v-kiber-domene [Accessed: 09.03.2022]. (in Russ.).
Shakirov, O.I. (2020). Kto pridyot s kibermechom: podhody Rossii i SSHA k sder-zhivaniyu v kiberprostranstve [Who will Come with the Cybermech: Approaches of Russia and the United States to Deterrence in Cyberspace]. Mezhdunarodnayaanalitika [International Analytics], 11 (4), pp. 147-170). (in Russ.).
Shinkareckaya, G.G. (2011). Novye dejstvuyushchie lica v mezhdunarodnom prave [New Actors in International Law]. Materialy yuridicheskogoforuma «Rossiya — Turciya. XXIvek» [Materials of the Legal Forum "Russia-Turkey. XXI Century"]. Moscow: ISL RAS, pp.15-24. (in Russ.).
Dostizheniya v sfere informatizacii i telekommunikacij v kontekste mezhdunarodnoj bezo-pasnosti Doklad General'nogo sekretarya Distr.: General 24 June 2019 [Achievements in the Field of Information and Telecommunications in the Context of International Security Report of the Secretary-General][online]. Available at: https://undocs.org/pdf?symbol= ru/A/74/120 [Accessed: 09.03.2022]. (in Russ.).
Schmitt, M.N. (2014). 'Below the Threshold' Cyber Operations: The Countermea-sures Response Option and International Law. Journal of International Law, 54, pp. 697-732. (in Eng.).
Shinkaretskaya, G.G. and Lyalina, I.S. Safeguarding of critical digital infrastructures [online]. Available at: https://doi.org/10.2991/iscde-19.2019.166 [Accessed: 09.03.2022]. (in Eng.).
Demidov, O. and Angmar, M., (2019). Kiberstrategiya SSHA. Znachenie dlya glo-bal'nogo dialoga o povedenii v sfere ispol'zovaniya IKT i rossijsko-amerikanskih otnoshenij [Cyber Strategy of the USA 2018. Significance for the Global Dialogue on Behavior in the Use of ICT and Russian-American Relations]. Moscow: Trialog. (in Russ.).
Velyaminov, G.M. (2015). Mezhdunarodnoepravo: opyty. [International Law: Experiments]. Moscow: Statut. (in Russ.).
Genassambleya OON prinyala rezolyuciyu Rossii i SSHA po kibersfere [The UN General Assembly Adopted a Resolution of Russia and the United States on Cybersphere] [online]. Available at: https://tass.ru/mezhdunarodnaya-panorama/13127057 [Accessed: 09.03.2022]. (in Russ.).
Elin, V.M. (2009). Ugolovno-pravovaya zashchita informacii v gas «vybory» kak raz-vitie polozhenij doktriny informacionnoj bezopasnosti [Criminal and Legal Protection of Information in the Gas "Elections" as a Development of the Provisions of the Information Security Doctrine]. Pravovye voprosy svyazi [Legal Issues of Communication], 2, pp. 17-21. (in Russ.).
Zharova, A.K. (2016). O sootnoshenii personal'nyh dannyh s IP-adresom. rossijskij i zarubezhnyj opyt [About the Relationship of Personal Data with an IP Address. Russian and Foreign Experience]. Vestnik UrFO. Bezopasnost' vinformacionnojsfere [Bulletin of the Ural Federal District. Information security], 1 (19), pp. 61-67. (in Russ.).
Zharova, A.K. (2018). Riski informacionnoj bezopasnosti i vozmozhnosti pravovo-go regulirovaniya kriptovalyuty v Rossii [Information Security Risks and Opportunities for Legal Regulation of Cryptocurrencies in Russia]. Informacionnoeparvo [Information Law], 4, pp. 11-16. (in Russ.).
Zinoveva, E.S. (2019). Mezhdunarodnoe sotrudnichestvopo obespecheniyu informacionnoj bezopasnosti: sub"ekty i tendencii evolyucii [International Cooperation on Information Security: Subjects and Trends of Evolution] [online]. Available at: https://mgimo. ru/upload/diss/2019/zinovieva-diss.pdf [Accessed: 09.03.2022]. (in Russ.).
Kiberprestupnost' i kiberkonflikty: SSHA [Cybercrime and Cyber Conflicts: USA] [online]. Available at: https://www.tadviser.ru/index.php/Статья: Киберпреступность_и_ киберконфликты_:_США [Accessed: 09.03.2022]. (in Russ.).
Margoev, A.R. (2017). Atribuciya kiberataki yavlyaetsya politicheskim resheniem, eto ne sudebnyj process (interv'yu s DevidomOmandom) [Attribution of a Cyberattack is a Political Decision, It is not a Judicial Process" (Interview with David Omand)]. Yadernyj Kon-trol' [Nuclear Control], 4 (486). [online]. Available at: http://www.pircenter.org/articles/ 2099-atribuciya-kiberataki-yavlyaetsya-politicheskim-resheniem-eto-ne-sudebnyj-process pdf [Accessed: 09.03.2022]. (in Russ.).
Vol'fgang, G.V., BoteM and Dol'cerR.(2015). Mezhdunarodnoe pravo = Volkerrecht [International Law = Volkerrecht]. Translated from Germanby. N. Spica.2-e izd. Book 2. Moscow: Infotropik Media. (in Russ.).
Moskva i Vashington nachnut konsul'tacii po kiberbezopasnosti [Moscow and Washington to Start Consultations on Cybersecurity] [online]. Available at: https://www.pnp. ru/politics/rossiya-i-ssha-nachnut-konsultacii-po-kiberbezopasnosti.html [Accessed: 09.03.2022]. (in Russ.).
Nezhel'skiy, A.A. Gosudarstvennoe regulirovanie sfery kiberbezopasnosti:problemy atri-bucii atak i lokalizacii dannyh [State Regulation of Cybersecurity: Problems of Attack Attribution and Data Localization] [online]. Available at: https://cyberleninka.ru/article/n/ gosudarstvennoe-regulirovanie-sfery-kiberbezopasnosti-problemy-atributsii-atak-i-lokalizatsii-dannyh [Accessed: 09.03.2022]. (in Russ.).
Rachkov, I.V. (2019). Tendencii razvitiya mezhdunarodnogo investicionnogo arbi-trazha: voprosy po sushchestvu sporov [Trends in the Development of International Investment Arbitration: Issues on the Merits of Disputes] Mezhdunarodnoe pravosudie [International Justice], 1, pp. 93-117. DOI: 10.21128/2226-2059-2019-1-93-117 (in Russ.).
Reshetnikov, A. Yu. and Russkevich, E.A. (2018). Ob ugolovnoy otvetstvennosti za nepravomernoe vozdeystvie na kriticheskuyu informatsionnuyu infrastrukturu Rossiiskoy
Federacii (st. 274.1 UK Rossii). [On Criminal Liability for Unlawful Impact on the Critical Information Infrastructure of the Russian Federation] Zakony Rossii: opyt, analiz, praktika [Laws of Russia: Experience, Analysis, Practice], 2, pp. 51-55. (in Russ.).
Rossiyskie hakery okazalis' samymi aktivnymi v mire [Russian Hackers Turned out to be the Most Active in the World][online]. Available at: https://lenta.ru/news/2021/10/07/ goszakaz/ [Accessed: 09.03.2022]. (in Russ.).
СВЕДЕНИЯ ОБ АВТОРЕ:
Жарова Анна Константиновна — старший научный сотрудник сектора уголовного права, уголовного процесса и криминологии Института государства и права Российской академии наук, доктор юридических наук.
AUTHOR'S INFO:
Anna K. Zharova — Senior Researcher, Sector of Criminal Law, Criminal Procedure and Criminology, Institute of State and Law of the Russian Academy of Sciences, Doctor of Law.
ДЛЯ ЦИТИРОВАНИЯ:
Жарова А.К. Обеспечение защиты государства от компьютерных атак в ИКТ-сфе-ре // Труды Института государства и права РАН / Proceedings of the Institute of State and Law of the RAS. 2022. Т. 17. № 4. С. 100-125. DOI: 10.35427/2073-4522-2022-17-4-zharova
FOR CITATION:
Zharova, A.K. (2022) Protecting the Statefrom Computer Attacks in the ICT Sphere. Trudy Instituta gosudarstva i prava RAN — Proceedings of the Institute of State and Law of the RAS, 17(4), pp. 100-125. DOI: 10.35427/2073-4522-2022-17-4-zharova