В Москве состоялись российско-французские консультации по кибербезопасности. Запустить такой диалог ранее решили президенты Владимир Путин и Эмманюэль Макрон. По итогам переговоров глава французской делегации, посол МИД Франции по цифровым вопросам Анри Вердье рассказал корреспонденту “Ъ” Елене Черненко, какой у Парижа и Москвы общий враг в киберпространстве.
— Расскажите о цели своего визита.
— Я всегда с удовольствием сюда приезжаю. Это мой второй приезд. Как вам известно, я лично в третий раз участвую во франко-российских переговорах, которые проводятся в четвертый раз. Президенты наших стран приняли решение — сначала в Санкт-Петербурге, а затем во время саммита в Брегансоне — запустить этот открытый и заинтересованный диалог. Это часть более широкого диалога, которым является «Повестка дня, основанная на доверии и безопасности». Нам нужно лучше узнать друг друга. И мы начинаем друг друга понимать. Но я чувствую, что три года назад лексикон, определения, анализ характера угроз были иными, поэтому необходимо время, чтобы друг друга понять. Далее, мы ведем переговоры на площадке ООН, например, это касается Открытой группы открытого состава (OEWG), Программы действий (POA), норм, договоров. Мы обмениваемся мнениями по этим вопросам. И, конечно, поэтому мы также вынуждены сталкиваться с рядом несовпадений, разногласий, противоречий, и в этом серьезном разговоре «за закрытыми дверями» мы можем вести серьезный обмен мнениями по всем этим темам.
— Каковы результаты прошедших консультаций?
— Как я уже сказал, лучшее взаимопонимание, некоторые подвижки по ряду переговоров, которые мы ведем, и более тесное сотрудничество. Все это действительно важно. Я чувствую, что мы медленно продвигаемся, особенно в рамках сотрудничества между полицейскими и судебными структурами. Потому что да, долгое время международный диалог по информационной безопасности был обусловлен поведением государств. Но сегодня мы всё больше сталкиваемся с проблемой глобальной киберпреступности. Большинство атак на наши компании (и в России такая же ситуация) совершаются киберпреступниками. Мы должны сплотиться на международном уровне, чтобы противостоять этой угрозе. И здесь опять же нам следует выстроить тесное сотрудничество. Иногда речь идет о весьма конкретных и простых вещах: вам нужно знать, к какой структуре обращаться по тому или иному вопросу. Я чувствую, что мы продвигаемся вперед в полицейском и судебном сотрудничестве, достигаем большего понимания и прогресса по ряду вопросов, касающихся международных отношений.
— Но если я правильно понимаю, диалог между Россией и Францией по кибербезопасности не формализован. Между тем у России более чем с 10 странами уже есть межправсоглашения о сотрудничестве в киберсфере, среди них и ряд западных. Нет ли планов придать этим консультациям договорно-правовую базу?
— Как нам видится, во-первых, президенты наших стран запустили основательный диалог, и нам он кажется весьма официальным, институциональным. Далее, к примеру, когда мы обмениваемся данными между полицейскими структурами, мы опираемся на международное право. У нас есть договоренности о сотрудничестве между национальными Компьютерными группами реагирования на чрезвычайные ситуации (CERT — Computer Emergency Response Team). На каждом уровне у нас существует ряд соглашений, и я не думаю, что нам нужно еще одно. Это все и так очень официально и очень серьезно.
— Россию западные страны считают едва ли не главным сетевым хулиганом, «плохим парнем» — «bad guy on the internet». Какова позиция Франции по этому поводу? Вы тоже боитесь России?
— Мы никого не боимся.
— Но вы сталкиваетесь с проблемами?
— Это очень специфический вопрос. Но мы не считаем Россию «плохим парнем». Да, существует определенный уровень, я бы не сказал, агрессивности… однако, когда нам нужно о чем-то сказать, мы им (русским.— “Ъ”) об этом говорим. Мы участвовали в санкциях, не против России, но против ряда лиц (граждан РФ.— “Ъ”). Таким образом, да, определенный уровень напряженности существует. Многие называют это пропагандой или коммуникацией, но мы называем это вмешательством или агрессивностью. Но это не так важно. Когда пересекают определенные линии, мы участвуем в санкциях или указываем на нарушителей, однако главный вопрос, если говорить откровенно, и вопрос, который касается всех: это киберпреступность. Есть киберпреступники на территории России, есть также русскоговорящие кибермошенники, например, в соседних с Россией странах. И в конечном счете я думаю, что мы урегулируем это, но нам необходимо сотрудничать, и мы будем бороться.
Возьмем, к примеру, вирусы-вымогатели. Они очень дорого обходятся, в том числе и России. И ущерб от такого рода киберпреступлений ежегодно удваивается. Скоро это в некотором смысле станет макроэкономическим вопросом. Нам это не по карману. Но этому не так трудно противостоять. Настоящий источник вируса-вымогателя находится в руках нескольких небольших команд, которые затем, как в случае с франшизой, продают коды другим преступникам. При этом основных разработчиков не так много, мы должны их арестовать и привлечь к ответственности.
Мы не обвиняем российские власти, но реальность такова, что существует высокий уровень киберпреступности, которая идет из России, хотя, конечно, не только из России. Кибермошенники могут находиться где угодно. Это еще одна причина, почему нам надо противостоять им совместно.
— Правильно ли я понимаю, что, с точки зрения Франции, Россия могла бы активнее бороться с киберпреступниками на своей территории?
— Да. Мы знаем, что это непросто, но нам нужно делать больше, да, конечно. Нынешняя тенденция очень опасная, и мы не можем позволить себе мир, в котором вирусов-вымогателей ежегодно становится вдвое больше. Это как обычный вирус. Когда у вас такая экспоненциальная кривая, это очень опасно.
Вы меня спросили, считает ли Франция Россию «плохим парнем». Как я уже сказал, Франция не обвиняет российское государство в том, что оно является «плохим парнем», но мы наблюдаем (отсюда.— “Ъ”) определенный уровень киберпреступности.
— Вы упомянули «определенные линии». Удается ли вам в контактах с российскими коллегами их четко прочерчивать?
— Да, мы обмениваемся по тем вопросам, по которым мы должны обмениваться мнениями. Но главная цель этого визита состоит не в этом. Сейчас мы стремимся к общему пониманию, сотрудничеству. У нас есть различные другие каналы, а этот дипломатический. Мы провели 12 часов, следуя четкой повестке, затронули много проблем, но больше говорили о тех областях, в которых мы можем сотрудничать, понимать друг друга. Это дипломатическая миссия. Но каждый знает о красных линиях другой стороны.
— Россия предлагает на площадке ООН выработать новую конвенцию по борьбе с киберпреступностью вместо Будапештской конвенции Совета Европы 2001 года, к которой она не присоединилась. Нужна ли новая конвенция, с точки зрения Франции? Или достаточно того, что есть?
— Франция считает, что Будапештская конвенция — отличный механизм. Мы не думаем, что нам нужна другая конвенция. Да, она называется Будапештской, но в реальности ее участниками помимо членов Совета Европы являются многие другие государства. Она регулирует сотрудничество, обмен данными между полицейскими структурами, но главное, как нам видится, она защищает права человека, частную жизнь. Это отличный инструмент. Однако в ООН решили обсудить альтернативные варианты. Мы уважаем ООН и готовы обмениваться мнениями по обсуждаемым на ее площадке вопросам, посмотрим, что из этого выйдет. Однако еще раз повторюсь: мы не считаем, что существует необходимость в каком-то другом инструменте.
— Вы считаете, что можно просто обновить Будапештскую конвенцию? Россия — не единственная страна, указывающая на то, что этот документ во многом устарел.
— Будапештская конвенция постоянно совершенствуется. В этом году мы приняли очередной дополнительный протокол и можем продолжать его дорабатывать. Мы считаем, что это очень сбалансированный документ. Бороться с киберпреступностью надо, одновременно защищая основополагающие права, такие как право на частную жизнь, право на защиту, а это очень сложно. Мы чувствуем себя спокойно с Будапештской конвенцией. Между странами-членами Будапештской конвенции развивается активное сотрудничество. Поскольку ООН решила обсуждать новый документ, то мы будем обсуждать новый документ, но при этом мы будем по-прежнему продвигать Будапештскую конвенцию.
— Россию в Будапештской конвенции не устаивает одно из положений, нарушающее, по мнению Москвы, суверенитет государств. Поэтому она ее не подписала.
— Франция отнюдь не считает, что мы потеряли суверенитет, подписав эту конвенцию. Как я уже сказал, мы считаем этот документ очень сбалансированным, эффективным и в то же время отвечающим требованиям защиты основополагающих прав.
— В ходе другого процесса в ООН, страны, в том числе Россия и Франция, уже много лет работают над выработкой правил ответственного поведения государств в киберпространстве. Но пока им лишь удалось выйти на добровольные нормы. Как вы считаете, этого достаточно или нужны юридически обязывающие правила?
— Прежде всего стоит отметить, что работать над этой темой мы начали 25 лет назад. Нам удалось прийти к общему мнению, что существующее международное право полностью применимо к киберпространству. То есть у нас теперь есть определtнные юридические рамки.
— Не маловато ли для стольких лет работы?
— Ну вначале ряд стран считали, что это спорный вопрос. Однако в итоге все признали, что международное право распространяется на киберпространство, и это очень важно. В этом году этот принцип в рамках Рабочей группы открытого состава подтвердили более 190 государств-членов ООН.
Но далее возникают вопросы, а как это право должно применяться в киберпространстве. Например, в международном праве существует право на самооборону. Мы знаем, что в киберпространстве злоумышленник может использовать инфраструктуру третьей страны для атаки на основную цель. А, соответственно, право на самооборону не является правом на уничтожение этой третьей страны в начале контратаки. Поэтому нам всем надо придерживаться определенных правил. Если кто-то использует мою страну для нападения на другую, я должен приложить все усилия для того, чтобы остановить атаку.
— Такое положение вошло в свод норм ответственного поведения государств в киберпространстве, выработанный в рамках одного из двух профильных механизмов ООН (Группы правительственных экспертов). Но этот «киберкодекс» носит добровольный характер.
— В цифровом мире все меняется очень быстро, поэтому мы предпочитаем необязательные нормы. Сейчас мы имеем дело с 5G, интернетом вещей, искусственным интеллектом. Мы потратим годы на выработку юридически обязывающего документа, который устареет буквально через пару лет после вступления в силу. Мы не исключаем, что нам нужны новые нормы. Это вполне возможно. Но Франция считает, что речь должна идти о добровольных правилах, которые все тем не менее должны стремиться соблюдать.
И мы готовы начать с себя, показать пример. В соответствии с нормой о межгосударственном сотрудничестве по кибербезопасности Франция одной из первых поделилась своей военной киберстратегией. Французская армия изложила в этом документе, как она будет действовать в различных ситуациях, и как ею толкуется применение международного гуманитарного права к киберпространству. Мы ожидаем, что другие страны поделятся с нами такой же информацией.
Это первая часть моего ответа. Вторая часть заключается в том, что, хотя мы, как международное сообщество, сделали многое, этого все равно недостаточно. Чтобы объяснить мою мысль, позвольте мне использовать аналогию из офлайнового мира. Полиция и система правосудия защищают людей от преступников. Но сами люди обычно также способствуют своей безопасности: например, они закрывают двери и окна на ночь. Они осознают, что их собственная безопасность также находится в их руках. И я убежден, что тот же принцип можно применить и к киберпространству.
Нам необходимо повысить уровень безопасности и стабильности киберпространства. Например, нам нужно помочь развивающимся странам нарастить потенциал — создать «компьютерные группы реагирования на чрезвычайные ситуации», полицию, органы правосудия. Может быть, нам стоит подумать о публикации глобального рейтинга кибербезопасности государств. Я технарь, я был главным техническим директором в компании и знаю, что некоторые устройства защищены слабо, а некоторые — лучше. Может быть, пришло время опубликовать некоторые данные и устроить «гонку за первенство» между компаниями.
Для поощрения этого Франция и еще 53 страны предложили добавить еще один механизм в ООН: Программу действий (Programme of Action, POA). Такие механизмы уже существуют в ООН — например, есть Программа действий по предотвращению, борьбе и искоренению незаконной торговли стрелковым оружием и легкими вооружениями во всех ее аспектах. Мы предложили Программу действий по кибербезопасности для финансирования наращивания потенциала, обмена данными и знаниями, вовлечения гражданского общества.
Это еще один очень важный момент. Слишком часто люди думают о кибербезопасности в категориях ядерной войны — сдерживание, эскалация и так далее. Но киберпространство — это совершенно другое. Прежде всего потому, что это артефакт, он был создан компаниями. Это значит, что и разговаривать нужно с компаниями. Киберпространство — это не горы и не море, оно искусственное. Поэтому мы должны взаимодействовать с теми, кто его создал, они являются важной частью глобальной безопасности. Несколько лет назад Евгений Касперский, например, начал продвигать идею о том, что надо о самого начала проектировать системы с упором на безопасность. Есть уродливые коды и хорошие коды. Защитить хороший код гораздо проще.
Возвращаясь к вашему вопросу: у нас уже есть ограничительные рамки — это существующее международное право. Мы договорились, что оно полностью применимо к киберпространству, теперь нам нужно убедиться, что мы его выполняем. В то же время нам нужна стратегия, как сделать киберпространство более безопасным, стабильным и устойчивым. Именно поэтому мы предложили создать новый механизм в ООН. Мы надеемся, что Россия в какой-то момент присоединится к этому движению.
— Но все же какой практический толк от всех этих механизмов ООН? Вы предлагаете создать третий, в то время как существующие два за 17 лет работы выработали правила, которые, как порой кажется, действуют лишь на бумаге. Я с большим уважением отношусь к работе дипломатов, но вот они, к примеру, договорились, что государства не должны вставлять «закладки» в производимые на их территории гаджеты. Будут ли США, Китай или Россия придерживаться этой добровольной нормы? Сомневаюсь.
— Я задавал себе тот же вопрос, когда стал дипломатом. Я уже говорил, что того, что мы сделали, и того, что мы делаем, недостаточно.
Но международное право отличается от национального. В национальном праве у вас есть полиция и правосудие, и если вы нарушаете закон, то можете оказаться в тюрьме. На международной арене у нас также есть некоторые органы полиции и правосудия, но они не охватывают всего.
— Кибератаками эти структуры не занимаются.
— Да. Но это не означает, что не будет никаких последствий, если вы нарушите нормы, согласованные международным сообществом, даже если они не являются обязывающими. Вы столкнетесь с международным давлением. У вас могут быть и другие негативные последствия. Да, эта система медленная, но она имеет вес. И — и это очень важно — это создает предсказуемость. Вы знаете, где проходят красные линии других. Например, во французской военной киберстратегии мы открыто говорим, что некоторые кибератаки могут спровоцировать кинетические ответы. Мы говорим, что если вы убьете гражданина Франции, даже если это произойдет в результате кибератаки, это будет считаться актом войны, и мы ответим. Это очень важно. Все это знают. Мы считаем это частью нашей стратегии деэскалации.
Иными словами, кибердипломатия важна. Хотя, как я уже несколько раз говорил, я согласен с вами, что мы могли бы сделать больше. Это одна из причин, по которой в 2018 году Франция предложила действовать по-другому. Если вы помните, тогда мы выступили с инициативой, которая называется «Парижский призыв к доверию и безопасности в киберпространстве». Это некая «агора», движение, а не институт. У него нет руководителя или секретариата. Это форум с участием более 700 компаний по всему миру. В нем участвуют некоторые очень известные российские компании, например Group IB (интервью состоялось до ареста главы компании Ильи Сачкова.— “Ъ”) и «Лаборатория Касперского». Кроме того, в нем участвуют также более 70 государств и 350 неправительственных организаций.
— Россия как государство участвовать в этом движении не стала.
— Как США или Китай. Хотя штат Вашингтон, например, в нем участвует. Мы образовали открытую рабочую группу по созданию более устойчивых мощностей. Среди прочих вопросов в нем рассматривается идея повышения безопасности путем иного подхода к программированию, выдвинутая Евгением Касперским.
Мы также сформировали рабочую группу между компаниями для разработки стандартов передовой практики и обмена ноу-хау. Она работает под эгидой ОЭСР, но открыта для государств, не являющихся членами ОЭСР. Ее участники обсуждают различные актуальные вопросы, такие, как, например, «ответный взлом». Франция не одобряет идею «ответного взлома». Но когда вы сталкиваетесь с атакой, вам приходится блокировать злоумышленника, а иногда вам приходится отключать сервер злоумышленника. Поэтому компании обсуждают, как лучше справляться с подобными ситуациями.
Но позвольте мне повторить: классическая работа в ООН имеет важное значение. Если у вас не будет таких механизмов, у вас не будет международного порядка. И это очень важно.
Я уже упоминал, что во Франции мы разграничиваем информацию и инфраструктуру. В России у вас есть теория информационной войны. Очень важно понимать друг друга, делиться определениями. Если вы не делаете этого, то вы не можете договариваться с другой страной, да и вообще разговаривать с ней. Так что это важно и является частью стабильности. Если вы считаете, что мы недостаточно сделали как дипломаты, подумайте о том, что до сих пор у нас не было кибер-Перл-Харбора или каких-либо других катастрофических кибераварий, которые привели бы к эскалации. Так что, возможно, у нас все не так плохо. У нас не было глобальной кибервойны. Но да, нам нужно сделать больше. Нам необходимо повысить устойчивость в киберпространстве.
Как бывший ИТ-специалист, я иногда чувствую, что 20 лет назад у нас все было лучше. 20 лет назад мы кодировали все сами. Компания знала свой код. Сейчас мы часто используем открытый исходный код. Мы берем некоторые ресурсы в облаке, просто копируем и вставляем их. Большинство технических директоров не понимают, как устроена их инфраструктура.
Мы должны научиться программировать по-другому, чтобы создавать более устойчивую инфраструктуру, продумывать безопасность при проектировании. Следующим шагом французской дипломатии будет повсеместное продвижение этой идеи. Может быть, я могу сказать, что лучшая защита — это защита, а лучшая безопасность — это хорошие ИТ.
—Позвольте мне в конце задать вопрос личного характера. Несколько месяцев назад вы объявили, что уходите из соцсетей. Почему?
— Я ушел не из всех социальных сетей, и ваши читатели могут следить за нами в Twitter (@Ambnum). Но я действительно ушел из Facebook и WhatsApp, потому что WhatsApp — это и есть Facebook. Это личное решение, это не официальная политика Франции. Я пришел к выводу, что с бизнес-моделью Facebook что-то не так, есть проблема. Что меня больше всего беспокоит, так это персонализированная реклама, персонализированный контент. Честно говоря, я считаю, что нападение 6 января на Капитолийский холм во многом произошло из-за Facebook. Вы серьезная газета и стремитесь дать своей аудитории качественную информацию. В Facebook им не нужно об этом думать. Они создают микромиры, фрагментируют людей. Не знаю, видели ли вы эту информацию, но во время кампании Трампа при помощи искусственного интеллекта ежедневно рассылалось 50 000 микросообщений в 50 000 различных микросообществ. Такая фрагментация граждан, с моей точки зрения, очень опасна. И они обучают свой искусственный интеллект с помощью наших данных. Я не хочу, чтобы мои данные подпитывали эту бизнес-модель.