Отмечалось, что «Женевская конвенция и другие инструменты международного права и регулирования определяют, что приемлемо и неприемлемо, что является и не является атакой для традиционной войны. Ничего из этого не относится к киберсфере, где определения кибервойны еще не установлены, не говоря уже о правилах и положениях, которыми должны руководствоваться на практике».
В докладе отециальной комиссии Конгрессу США в 2008 г. было указано, что дать точное определение таким терминам, как «кибератака», «киберпреступление» и «кибертерроризм», проблематично, так как существуют сложности как с идентификацией, так и с намерением или политической мотивацией атакующего. В докладе «кибертерроризм» предлагается определять как «противозаконные атаки и угрозы атак на компьютеры, сети и информационные накопители, когда они сделаны с целью запугивания или угроз в отношении правительства или служащих для достижения политических или социальных целей. Киберпреступление – это преступление, совершенное с помощью компьютеров или имеющее целью компьютеры… Оно может включать в себя кражу интеллектуальной собственности, коммерческих секретов и законных прав. Кроме того, киберпреступление может включать в себя атаки против компьютеров, нарушающие их работу, а также шпионаж».
Эти вопросы остаются актуальными. Что такое «кибервойна», так и не было определено. Но за последние годы в законодательной практике США были заметны явные усилия по милитаризации права в области киберпространства. Часто под надуманными предлогами сенаторы предлагали подкрепить на законодательном уровне ряд жестких мер.
В 2014 г. сенатор США Роберт Мемендес, представляющий комитет по международным отношениям, предложил внести КНДР в список стран – спонсоров терроризма по причине обвинений в кибератаке на компанию Sony.
Но согласно законам США, кто бы ни стоял за этой атакой, она не попадает под определение терроризма, т. к. при взломе компьютеров не было ни насилия, ни применения силы. Поэтому нужно было ввести какую-то новую формулировку, которая устроила бы все заинтересованные стороны в США.
Так, в начале февраля 2016 г. сенаторы Марк Кирк и Кристен Джиллибрэнд представили законопроект, направленный на скорейшее внедрение программ ведения электронной войны, связанной в основном с использованием электромагнитной энергии для перехвата и подавления радиосигналов противника. Законопроект был подготовлен после того, как Пентагон учредил Исполнительный комитет по ведению электронной войны.
А в мае 2016 г. Комитет Сената США по вооруженным силам решил включить требование «акта войны» в отношении кибербезопасности в финансовый план Минобороны США на 2017 год. Требование содержало призыв к президенту «разработать политику по определению того, когда действие, выполняемое в киберпространстве, представляет собой акт войны против Соединенных Штатов».
Учитывая темпы изменений в глобальной цифровой среде, предполагалось, что любое определение должно быть достаточно расплывчатым или достаточно широким, чтобы включать в себя все сценарии, которые, несомненно, будут сопровождать все быстро развивающиеся технологии, такие как Интернет вещей, подключенные транспортные средства, компактные переносимые технологии и робототехнику.
8 июня 2017 г. законодатели Комитета по вооруженным силам Палаты представителей представили законопроект, согласно которому должностные лица Министерства обороны должны будут уведомить Конгресс в течение 48 часов с момента начала любой чувствительной кибероперации.
Закон будет применяться как к наступательным, так и к оборонным кибероперациям, которые проводятся за пределами сетей Минобороны и производят эффекты вне мест, где США участвуют в боевых действиях. Закон не будет применяться к тайным действиям, которые обычно проводятся разведывательными агентствами, а не военными. Это означает, что атака Stuxnet против технической инфраструктуры Ирана, которая является одной из самых известных наступательных киберопераций и, как полагают, была запущена, в частности, спецслужбами США, не подпадает под требования закона.
Также парадокс состоит в том, что Киберкомандование и Агентство национальной безопасности США имеют одну «прописку» и оба ведомства возглавляет один и тот же человек.
В законопроекте говорилось о необходимости Пентагона уведомить комитеты по вооруженным силам Палаты представителей и Сената о любых обзорах кибероружия, чтобы определить, могут ли они использоваться в соответствии с международным правом.
Отдельный законопроект был представлен в июне 2017 г. депутатом Лу Корреа (демократ, Калифорния), призывавшим Пентагон обновить действующую киберстратегию от 2015 г., чтобы наметить конкретную стратегию для кибернаступлений. Это и было сделано впоследствии.
Законопроект также имел намерение прояснить те методы, с помощью которых США будут помогать союзникам по НАТО разрабатывать аналогичные наступательные киберстратегии. В нем говорилось, что наступательная стратегия должна включать в себя конкретные способы, с помощью которых военные могли бы использовать кибервозможности для пресечения традиционных военных атак на суше, море и в воздухе со стороны России или другого противника.
11 июля 2019 г. Палата представителей в Конгрессе США выступила с требованием к Белому дому направить в Конгресс директиву по кибервойне, которую, по словам высокопоставленных чиновников, администрация отказывается передавать в течение многих месяцев. Голосование касалось секретной директивы NSPM-13 о наступательных компьютерных операциях, которую подписал президент Дональд Трамп в августе 2018 года.
Из того, что было известно о NSPM-13, военное руководство, в том числе глава Киберкомандования Пол Накасоне, получили предварительное одобрение для нанесения наступательных ударов по иностранным организациям при определенных специфических условиях без дальнейшего разрешения Белого дома. В соответствии с новой политикой военные планировщики могут готовиться к наступательным кибератакам, выискивая уязвимости в компьютерных сетях соперников и внедряя вредоносное программное обеспечение в эти уязвимые места для возможного использования в случае нанесения ответного удара.
Очевидно, что данная директива сыграла свою роль в осуществлении кибератак против России.
В 2019–2020 гг. через Конгресс США в рамках 116-й сессии прошло около 40 законопроектов, связанных с вопросами кибербезопасности, будь то акты кражи через Интернет, учреждение нового органа, финансовая помощь другим государствам или состояние боеготовности. Однако если в поисковике сайта Конгресса США сделать запрос на слово «кибервойна», то результат будет нулевым. Очевидно, что вооруженные силы США готовы вести кибервойну, однако что это такое, у американских законодателей понятия нет.
По-видимому, США будут и далее следовать политике двойных стандартов в отношении действий в киберпространстве. Гари Солис указывает, что «определение многих аспектов кибервойны проблематично, поскольку не существует многонационального договора, непосредственно связанного с кибервойной. Это потому, что до сих пор многие аспекты кибервойны не согласованы. В военном праве, а также в международном обычном праве отсутствуют киберспецифичные нормы, а практика толкования применимых норм в государственной практике развивается медленно. Нет даже согласия относительно того, пишется ли «кибератака» в одно слово или в два». Некоторые ученые проявляют беспокойство из-за такой неопределенности: «ООН потерпела неудачу, страны потерпели неудачу, корпорации потерпели неудачу, в то время как тенденции кибервойны были последовательно, если не экспоненциально, негативными. «Кибер Перл-Харбор» остается угрозой… Бездействие подвергает американских военнослужащих риску: ничто не мешает иностранному государству объявить 10-й флот «Янки-киберпиратами» и обвинить их в совершении кибервоенных преступлений даже в отсутствие явного международного права». Но в отношении применения своих военных возможностей в США пошли наиболее простым путем. Согласно Международной стратегии действий в киберпространстве от 2011 г. «разработка норм поведения государств в киберпространстве не требует переосмысления обычного международного права и не делает существующие международные нормы устаревшими. Давние международные нормы, определяющие поведение государства – во времена мира и конфликтов, – также применяются в киберпространстве».