Четвертым пунктом программы должен стать посвященный кибервойне договор, подобный ОСНВ (Договор об ограничении стратегических наступательных вооружений), который мы назовем Договором об ограничении кибервойны, ОКВ. Соединенные Штаты должны обсудить его положения со своими главными союзниками, а затем внести их в ООН. Как ясно из названия, главная цель договора — ограничить кибервойну, а не стремиться к глобальному запрету хакерства или киберразведки. В Договоре об ограничении стратегических наступательных вооружений и последовавшем за ним Договоре о сокращении стратегических наступательных вооружений разведка не только принималась как неизбежность, но и считалась средством обеспечения «помехозащищенности».
Когда контроль над вооружениями наладился, а доверие и опыт возросли, были приняты новые, более широкие соглашения. Договор ОКВ должен начинаться с принятия следующих положений:
— Учредить Центр по снижению киберугрозы для обмена информацией и обеспечения содействия государствам — участникам договора.
— Создать такие понятия международного права, как обязательство содействовать и национальная киберответственность, которые обсуждались ранее.
— Принять решение о ненападении на гражданские инфраструктуры, которое будет сниматься, если две страны ведут активные военные действия или одна страна была атакована другой с помощью кибероружия.
— Запретить подготовку поля боя в мирное время, а именно размещение лазеек и логических бомб в гражданской инфраструктуре, включая энергосистему, систему железных дорог и так далее.
— Наложить запрет на изменение данных или повреждение сетей финансовых институтов в любое время, а также подготовку к подобным действиям посредством размещения логических бомб.
Позже, когда мы заключим Договор об ограничении кибервойны и обретем некоторый опыт в его соблюдении, можно будет подумать о его расширении. Для начала необходима договоренность о ненападении на гражданские объекты, а не полный запрет кибератак, поскольку государства не должны кривить душой, подписывая обязательства. Страны, вовлеченные в вооруженный конфликт или ставшие жертвой кибератаки, наверняка решат использовать кибероружие. Более того, мы не хотим заставлять государства, ставшие жертвами кибератаки, отвечать на нее наспупательной операцией из-за нашего запрета на кибератаки. Договор не будет препятствовать кибератакам на военные объекты. Не будет он и запрещать подготовку поля боя на военных объектах, поскольку для такого запрета необходим ряд компромиссов, к тому же он осложнит применение ОКВ-1. Тем не менее размещение логических бомб в военных сетях другого государства дестабилизирует положение, и нам следует публично заявить, что в случае обнаружения таких действий мы будем расценивать их как демонстрацию враждебных намерений.
Сложно будет проконтролировать тех, кто действует от лица государства, но в договоре ОКБ ответственность за прекращение их деятельности должны нести государства — участники конвенции. Нужно потребовать, чтобы страны тщательно отслеживали и пресекали хакерские атаки, начинающиеся с их территории. Они должны действовать быстро и в том случае, если их об этом уведомят другие страны через Центр по снижению киберугрозы. Этот центр, созданный по условиям договора, обязаны будут спонсировать подписавшиеся стороны, и в нем будут работать специалисты по сетевой и кибербезопасности. Центр может назначать экспертные группы для помощи в расследованиях и наблюдения за тем, насколько активно и старательно страны расследуют конкретные нарушения. Договор должен включать концепцию национальной киберответственности, в соответствии с которой тот факт, что страна после уведомления не пресекает угрозу, будет считаться нарушением договора. Он должен также предусматривать обязательство содействовать центру и другим странам, подписавшим договор.
В договоре придется предусмотреть проблему атрибуции, которая касается не только стран, организующих работу своих гражданских «хактивистов», которых также нужно учесть в договоре. Атрибуция — тоже сложный вопрос, поскольку страны, как правило, проводят кибератаки через другие государства, а иногда и запускают их не со своей территории. Центр мог бы исследовать заявления государств об их непричастности к кибератаке и позволить другим странам судить, нарушило ли конкретное государство условия договора. Если нарушение очевидно, страны — участники договора могут вводить санкции, самые разные, начиная от отказа в предоставлении виз или запрета на въезд определенным лицам и заканчивая ограничением доступа ко Всемирной сети для интернет-провайдера. Самой крайней мерой может быть ограничение потоков трафика из страны. И наконец, страны-участницы могут сообщить о проблеме в ООН и порекомендовать введение более широких экономических и прочих санкций.