В последните няколко години станахме свидетели на зората на една отдавна прогнозирана ера, в която киберпространството се превръща в арена на военни действия – толкова, колкото и физическото бойно поле. До момента обаче няма напредък по сформирането на „правилата на войната“. Те би трябвало да се отнасят до киберинструменти и оръжия, каквито никой досега не е регулирал. Този проблем спешно трябва да бъде разгледан, призовават специалисти.
Апелът дойде в наскоро публикувана статия от Института за цифрова сигурност (DSI) на Европейската школа по мениджмънт и технологии (ESMT) в Берлин и Техническия университет в Дармщат в Германия. Публикацията изследва някои от предизвикателствата, пред които е изправено ефективното регулиране и на кибероръжията и тяхното контролиране.
Въз основа на преглед на литературата, разглеждащ предизвикателствата и препятствията, пред които са изправени мерките за контрол на кибероръжията, и интервюта с експерти по темата, изследователят на DSI Хелене Плейл и нейните колеги са разгледали трудностите, които трябва да бъдат преодолени от международната общност.
Изследователите заключават, че традиционните мерки за контрол на оръжията не могат да бъдат приложени към киберинструментите. Затова ще трябва да се измислят алтернативни и по-креативни решения.
Плейл твърди, че един възможен начин може да е дефинирането и санкционирането на използването на киберинструменти, а не самите инструменти. Така може да се даде възможност на страните да сключват и спазват споразумения.
„Според литературата и експертите, нито контролът на кибероръжията, нито друга технологична регулация за киберпространството биха могли да работят“, каза Плейл. „Вместо това фокусът трябва да бъде върху забраната на определени действия, тъй като експертите не виждат никакъв шанс за механизми за проверка, особено поради високото ниво на проникване, което би било необходимо“, каза тя.
Едно от фундаменталните предизвикателства, пред които са изправени защитниците на контрола върху оръжията, ще бъде да достигнат до ясни и единни дефиниции на ключови термини – включително термина кибероръжие. Така е, защото конвенционалната дефиниция на оръжие всъщност не улавя какво представлява или прави кибероръжието.
Дори ако някой може успешно да събере САЩ, Китай и Русия на една маса за преговори, ако те не могат да определят какво искат да контролират, киберпреговорите ще приключат безрезултатно, категорични са специалистите.
Вторият проблем е свързан с първия и е посочен в документа като „дилемата за двойната употреба“. Просто казано, компютър, USB памет или софтуер могат да бъдат използвани за законни граждански цели, както и за военни. А това прави много трудно разграничаването на различните видове употреба и практически невъзможно забраняването на инструментите.
„Можете лесно да забраните ядрените оръжия, защото обикновените граждани не се разхождат с междуконтинентални балистични ракети в джобовете си, но с киберроъжията не е така – всички носят лаптопи и смартфони“, казва Плейл.
В този контекст трябва да се разгледа и ролята на технологичната индустрия. Държавите нямат едноличен контрол върху киберинструментите, които могат да се използват като оръжия. Различните дигитални системи се разработват от компании за сигурност от различни държавни и се продават в частния сектор. Организациите имат собственост и оперативни права над тези технологии.
Частният сектор ще трябва да бъде включен и ангажиран, за да бъде ефективен контролът върху кибероръжията. А това е голяма задача, както неотдавна показаха действията на компаниите за наемен шпионски софтуер (екипът визира примера с опозорената израелска фирма NSO Group).
Третото предизвикателство отново е продължение на първите две. Според изследователите, намирането на подходящи механизми за проверка за установяване на контрол върху оръжията в киберпространството е наистина много трудно.
Като цяло ние знаем кои са „ядрените сили“ на света и какви способности имат. Това позволява относително ясно и лесно да бъдат дефинирани ограниченията, смятани за разумни. Но подобно положение е практически невъзможно, когато става дума за кибероръжия.
Трудно е да си представим различните държави да седнат на една маса и да се споразумеят доколко да „ограничат броя на хакерите, които ще работят за техните разузнавателни агенции“, казват изследователите.
Важно съображение е, че трябва да мислим колко бързо се развиват технологиите. Дигиталните средства, използвани при кибератаки, се променят бързо. Менят се и стратегиите, тактиките и процедурите (СТП), използвани от „държавните хакери“, обяснява Плейл.
„Разработването на нови оръжия ще продължи да изпреварва регулаторните усилия – докато новата норма бъде обсъдена, технологията вече ще я е задминала“, коментира специалистът.
И накрая, каза Плейл, в момента липсва политическа воля за установяване на мерки за контрол на кибероръжията. Държавите едва сега откриват стратегическата стойност на киберинструментите.
Предвид настоящата геополитическа ситуация, интересите на държавите са крайно различни. Спазването на какъвто и да е договор за използване на киберинструменти може да им изглежда немислимо.
Последното предизвикателство е може би най-трудното. Поглеждайки назад в историята, Женевската конвенция е предложена за първи път от швейцарски бизнесмен, шокиран от видяното в битката при Солферино през 1859 г. между френско-италиански съюз и Австрийската империя. Последващите подобрения конвенцията са направени в отговор на ужасите на окопната война по време на Първата световна война и нацистките зверства през Втората световна война.
Уви, може да е необходим опустошителен киберинцидент, който да коства стотици или хиляди животи, за да принуди правителствата да преговорят по този проблем, опасяват се изследователите.