Відповідно до заяви Генерального секретаря НАТО Єнса Столтенберґа, найближчим часом Організація Північноатлантичного договору та Україна підпишуть угоду про посилення співпраці у кіберпросторі, включаючи надання Україні доступу до платформи НАТО з обміну інформацією про шкідливі комп’ютерні програми. Масштабну кібератаку на сайти центральних і регіональних органів влади України зафіксували вночі 14.01.2022 р. Це відбулося на тлі великого скупчення російських військ вздовж українських кордонів і стало найпотужнішим кібернападом за роки російської агресії.
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
Враховуючи подальшу заяву компанії Microsoft про виявлення шкідливого софту на декількох українських урядових сайтах та сайтах організацій, пов’язаних з урядом, доречним виглядає припущення співголови Європейської ради з міжнародних відносин, експрем'єр-міністра Швеції Карла Більдта, що «кібератака може бути одним з елементів підготовки до широкомасштабної агресії проти України». «Видається, що вона [кібератака] мала на меті встановити шкідливе програмне забезпечення, яке в певний момент за командою знищило би більшою чи меншою мірою всі системи», – написав він у Twitter.
Атака була перевіркою реакції України?
Внаслідок масової кібератаки постраждав також імідж України, адже виходить, що для кібернападників наша держава перетворилася на випробувальний полігон. Таку думку в розмові з «Юридичною Газетою» висловив віцепрезидент Української академії кібербезпеки, доктор юридичних наук Андрій Пазюк. «Кожен подібний кіберінцидент призводить до економічних збитків, підвищує ризики ведення бізнесу в Україні та зменшує її інвестиційну привабливість», – додав він, припускаючи, що напад був перевіркою реакції України, прикриттям для більш серйозних загроз у сфері національної безпеки.
У разі повномасштабного вторгнення противника відключення ним за допомогою кіберзброї наших електромереж призведе до неспроможності української армії оперативно відреагувати, неспроможності для координації цивільного населення. Зв’язок, телекомунікації є надважливою складовою обороноздатності держави.
Нині чинним залишається Закон «Про основні засади забезпечення кібербезпеки» (до нього внесені зміни в редакції від 15.12.2021 р. – прим. ред.). Він не визначає всіх суб’єктів у державі, які відповідають за кібербезпеку. Зокрема, не визначені функції ні Міністерства освіти, яке мало би займатися кіберосвітою, ні Міністерства закордонних справ. Хоча, наприклад, у Сполучених Штатах Америки Стратегія кібербезпеки чітко визначає діяльність в цьому напрямку зовнішньополітичного відомства.
Також Закон не прояснив питання правового забезпечення щодо реагування на кіберінциденти. Тому сьогодні актуальною є необхідність розписати порядок взаємодії між різними рівнями: за ступенем загрози, ймовірними ризиками, наслідками тощо, починаючи від рівня РНБО до регіонів, коли кібератак потенційно можуть зазнати об’єкти регіонального значення.
Нещодавно ухваленим Законом «Про критичну інфраструктуру» також не визначений порядок реагування. Взагалі національний план як такий відсутній. Незрозуміло, яким чином різні міністерства мають працювати у випадку кризової ситуації. Скажімо, відбувається збройне (або кібер-) вторгнення. Співробітники атомної електростанції бачать, що самотужки не впораються із ситуацією. Яким чином на об’єкті критичної інфраструктури військова адміністрація може замінити цивільну? В підзаконних актах про це не йдеться. Загалом, в Україні відсутнє прогнозування щодо забезпечення кіберстійкості.
НАТО визнає кіберзахист важливим елементом колективної оборони
Варто нагадати, що у вимірі держав Північноатлантичного альянсу кібератаки віднесено до головних сучасних гібридних загроз. Кіберпростір є оперативною зоною військових дій на рівні із суходолом, морем, повітрям. Кіберзахист визнано важливим елементом колективної оборони («кібератака може призвести до застосування положення про колективну оборону (ст. 5) Основоположного договору НАТО»).
Від 2013 р. було розроблено дві редакції «Талліннського керівництва із застосування міжнародного права до кібероперацій». Незважаючи на те, що документ не має юридичної сили, він є важливим джерелом при використанні під час кібероперацій наявних договірних міжнародно-правових норм, зокрема норм міжнародного гуманітарного права (далі – МГП).
Як пояснив «Юридичній Газеті» віцепрезидент Української асоціації міжнародного права Тимур Короткий, «Талліннське керівництво із застосування міжнародного права до кібероперацій» містить практики, доктрини, оцінку застосовності наявних норм міжнародного права (міжнародного гуманітарного права, права міжнародної безпеки) до кібератак, а також їх кваліфікацію в контексті МГП».
«У порівнянні з першою редакцією документа, Талліннське керівництво 2.0. розширило сферу регулювання — з включенням «допорогових» у контексті застосування МГП ситуацій, тобто кібератак та можливих реакцій на них поза межами збройних конфліктів. Нині ведеться робота над Талліннським керівництвом 3.0, вихід якого заплановано на 2025 р.», – додав Тимур Короткий.
На думку доктора юридичних наук, юриста-міжнародника Олександра Мережка, нині в міжнародному праві поступово формується заборона використання масштабної кіберсили, яка за своїми наслідками може бути співмірною із застосуванням збройної сили. А незастосування сили в міжнародних відносинах є одним із принципів міжнародного права. Він закріплений у ст. 2 (4) Статуту ООН. «Однак ще необхідно довести, що кіберсила (наприклад, у вигляді серії атак) використовувалася під контролем конкретної держави. Це нелегко, це потребує взаємодії юристів і фахівців з інформаційних технологій. Тому, ймовірно, є сенс створити своєрідну міжнародну кіберполіцію під егідою ООН», – додав юрист.
Свого часу Олександр Мережко розробив і запропонував проєкт Конвенції про заборону кібервійни, в якому дав визначення кібервійни як використання однією державою проти іншої (інших) мережі Інтернет та пов’язаних з нею технологічних засобів, а також висловив пропозицію вважати мережу Інтернет «загальною спадщиною людства». Подібний інститут існує в міжнародному праві стосовно космічного простору, включаючи Місяць та інші небесні тіла.
* * *
Тим часом Microsoft попереджає, що після кібератаки 14.01.2021 р. Україною поширюється шкідливе програмне забезпечення, яке отримало назву Whisper Gate. Воно зашифровує дані без можливості відновлення та врешті-решт виводить пристрої Windows з ладу. 17.01.2021 р. Microsoft заявила, що поки не знайшла авторів Whisper Gate.