Нередко в кибератаке оказываются задействованными ресурсы третьего государства, хотя само по себе это государство не участвует в атаке и не подвергается нападению. Более того, владельцы компьютеров в этой третьей стране могут и не знать о происходящем. Однако как полагает Рендел Р. Диперт из Университета штата Нью-Йорк в Буффало, в подобном случае киберресурсы третьего государства оказываются «этически легитимной целью, если это государство виновно в неаккуратности, повлекшей за собой возможность использования этих ресурсов для атаки одного государства на другое»
[405]. Подобное действие легитимируется только при условии выполнения требования крайнего средства. То есть до того, как оказать воздействие или использовать ресурсы третьего государства, необходимо провести переговоры и выдвинуть ему требования по предотвращению угроз в будущем или компенсации ущерба. Третьему государству может быть предложена техническая помощь для предотвращения атак в будущем или в развёртывании системы киберзащиты.
Этим не исчерпываются затруднения, вызванные невозможностью точного определения источника кибератаки. Так, Р.Р. Диперт считает, что проблема атрибутивности, помимо того, что сопряжена с трудностью нанесения контрудара в случае кибератаки, служит «препятствием всякой политике сдерживания кибервойны»
[406]. В случае размытости самого понятия врага оказываются недействующими не только основные категории теории справедливой войны, но и принцип талиона, к которому восходит часть из этих норм. Если невозможно реализовать политику сдерживания посредством применения простейшего принципа «зуб за зуб», то, вероятнее всего, обернутся провалом и более сложные меры.
Кибервойна нередко оказывается асимметричной, что осложняет реализацию принципа легитимной власти. Атаку на компьютерную систему государства может осуществить частное лицо, которое не состоит на службе другого государства или не принадлежит к какой-либо организации. Э.Т. Барретт рассматривает подобную акцию как явно несправедливую. Впрочем, здесь можно принять во внимание концепцию двух теорий справедливой войны Николаса Фоушина, которая как раз предполагает освобождение иррегулярной стороны от прохождения верификации на соответствие требованиям принципа легитимной власти. В наиболее радикальной своей форме проблема асимметрии проявляет себя в случае, когда не запланированную специально атаку проводит искусственный интеллект в результате сбоя в его работе. Этот аспект кибервойны создаёт затруднения не только для военной этики, но и военного права.
Кибероперации подлежат также и рассмотрению относительно принципов jus in bello (пропорциональности и различения), а также военной необходимости. Наиболее активная дискуссия ведётся, естественно, по второму, важнейшему принципу jus in bello. Несмотря на появляющиеся сообщения о создании абсолютно автономных специализированных сетей, разработанных специально для армии, военные и гражданские сети до сих пор плотно связаны между собой, поэтому проведение различия между легитимными (военными) и нелегитимными целями в кибервойне крайне затруднено и случаи атаки на гражданские сети, очевидно, будут происходить регулярно. Как утверждает Э.Т. Барретт, наше понимание того, как распространяется информация по компьютерным сетям всё ещё ограничено, кибератака может привести к поражению значительного сегмента сети, парализовать работу компьютерной системы целой страны или континента. В настоящее время наше знание о силе и последствиях применения кибероружия условно может быть сопоставлено с представлениями о силе ядерного оружия в момент атаки на Хиросиму и Нагасаки, которые были весьма ограниченными. Сама киберсреда создаётся человеком, что означает наличие в ней ряда ошибок, влияющих на точность кибератак. А значит, последствия кибератаки не всегда поддаются прогнозированию. В свою очередь, обычное оружие, несмотря на степень его развития, в настоящее время оказывает поражающее действие на относительно ограниченное количество людей или район их нахождения
[407]. Точность же кибератак продолжает совершенствоваться, а само нацеливание будет проводиться с гораздо большей аккуратностью, нежели этого можно добиться при ударе оружием массового поражения, поэтому в перспективе можно ожидать снижения потерь среди гражданского населения.
Многое в этом разделе было сказано о кибератаках и кибервойне в сослагательном наклонении. Это связано с тем, что у нас очень мало достоверной информации об этом виде войны. Обычно, когда говорят о наиболее значительных акциях кибервойны, называют масштабную операцию по кибершпионажу со стороны Агентства национальной безопасности США, направленную против организаций ЕС, затем кибератаки посредством распространения вируса Stuxnet, обнаруженного в 2010 г., а также нападение на компьютерные системы Эстонии весной 2007 г. Так, по сообщениям журналистов, АНБ занималось слежкой за гражданами ЕС, в том числе и политиками, часто в сотрудничестве с местными спецслужбами и телекоммуникационными компаниями. Вирус Stuxnet представлял собой червя, который использовался для поражения систем управления промышленных объектов. В результате атаки пострадали ядерные объекты в Иране – были выведены из строя ядерные центрифуги на атомных электростанциях, т. е. была физически разрушена инфраструктура. В апреле 2007 г. в Эстонии состоялся перенос монумента Павшим во Второй мировой войне. На фоне этого события прошла серия массовых акций, а правительственные и частные сети страны подверглись DDoS-атакам. В какой-то момент перестали работать правительственные сайты, на которых, в частности, комментировались протесты.
Если сконцентрироваться именно на анализе кибератак, т. е. двух последних кейсах, то можно сделать несколько обобщений, раскрывающих сущность наступательного кибероружия, и обозначить проблемы, связанные с вопросами этики в данной сфере. Если допустить, что нападения были санкционированы заинтересованными в этом политическими структурами, то мы в этих примерах сталкиваемся с агрессией без объявления войны. Однако до сих пор точно не известны лица или организации, принимавшие решения о проведении атак и реализовавшие их. В любом случае, скрытность, с которой были проведены нападения, свидетельствует в пользу дискриминации принципа легитимной власти. Следовательно, дать им какое-то моральное обоснование сложно, если не невозможно. В обоих случаях не выполняются требования принципа правого дела и принципа добрых намерений. Ни Эстония, ни Иран, который, вероятно, был конечной целью распространения Stuxnet, не вели себя агрессивно и не представляли собой достаточно серьёзную военную угрозу. Эти атаки, во всяком случае акция против Эстонии, могли быть стремлением отомстить за попранную честь и ответить на несправедливость или же заявить о силе атакующих. Однако подобная мотивация сама по себе не признаётся в теории справедливой войны в качестве веского основания для силового решения проблемы. Принцип крайнего средства также был нарушен, поскольку атаки были проведены без предъявления публичных обвинений, проведения переговоров или выставления дипломатических нот. Принципы пропорциональности и вероятности успеха можно считать реализованными, поскольку атаки были чувствительны для Эстонии и Ирана, значит, полученные выгоды явно превысили затраты на проведение кампаний. Тем не менее соответствие требованиям только этих двух принципов не может свидетельствовать в пользу справедливости всей военной кампании.