ООН приняла первый универсальный договор для борьбы с киберпреступностью. Разбираемся, как это изменит правила работы с данными и почему правозащитники бьют тревогу.
3 мин
Организация Объединенных Наций приняла новый международный договор, направленный на борьбу с киберпреступностью. Документ, официально называемый «Конвенция ООН против киберпреступности», был утвержден Генеральной Ассамблеей в декабре 2024 года после пяти лет сложных переговоров. Это первая в истории попытка создать универсальную правовую базу для расследования и уголовного преследования преступлений, совершаемых в цифровом пространстве. Для бизнеса и IT-руководителей это означает появление новых обязательств, особенно в сфере управления данными и взаимодействия с правоохранительными органами разных стран.
Традиционные преступления, такие как ограбления, обычно происходят в одной юрисдикции, где преступник и жертва находятся физически. Киберпреступления — кража данных, атаки программ-вымогателей, мошенничество — по своей природе трансграничны. Хакер может находиться на одном континенте, а серверы жертвы — на другом. До сих пор отсутствие единого механизма международного сотрудничества сильно тормозило расследования.
Новый договор призван закрыть этот пробел. Он вступает в силу через 90 дней после того, как его ратифицируют 40 стран-участниц. Хотя США пока не подписали документ (требуется ратификация Сенатом), компаниям, ведущим международный бизнес, придется учитывать его нормы, если они работают в странах, принявших конвенцию. Это напоминает ситуацию с европейским регламентом GDPR: даже если ваша штаб-квартира не в Европе, работая там, вы обязаны соблюдать правила.
Документ решает две ключевые задачи: определяет, что считается киберпреступлением, и устанавливает протоколы взаимодействия стран.
Во-первых, вводятся стандартизированные определения преступлений:
Во-вторых, прописываются обязанности правоохранителей и бизнеса:
Самая спорная часть договора касается полномочий властей по доступу к данным. Статьи 25 и 28 позволяют правоохранительным органам получать доступ к любой электронной информации, если есть подозрение в совершении преступления. Это может затронуть системы, не связанные напрямую с инцидентом, если власти решат, что через них можно получить доступ к уликам.
Более того, договор требует от стран принять законы, которые могут обязать сотрудников компаний (или сторонних IT-специалистов) раскрывать информацию о работе систем, включая ключи шифрования или сведения об уязвимостях. Это создает серьезные риски для конфиденциальности и кибербезопасности.
Правозащитники и эксперты выражают обеспокоенность размытостью формулировок. Понятие «серьезного преступления» (наказуемого сроком от 4 лет) может трактоваться по-разному. В странах с авторитарными режимами это может быть использовано для преследования политических оппонентов, журналистов или представителей ЛГБТ-сообщества (в 64 странах-членах ООН гомосексуальность криминализирована).
Также под удар могут попасть «белые хакеры» и исследователи безопасности. Их работа по поиску уязвимостей формально может подпадать под определение «незаконного доступа» или «создания вредоносных устройств», если в национальном законодательстве не будет четких исключений.
Несмотря на критику, процесс запущен. Глобальным компаниям следует начать подготовку к новым реалиям уже сейчас. Это потребует пересмотра политик хранения данных, процедур реагирования на запросы иностранных правоохранительных органов и оценки рисков для сотрудников в разных юрисдикциях.
В ближайшие годы мы увидим, как этот договор будет применяться на практике. Ключевой вопрос — смогут ли демократические страны внедрить достаточные гарантии защиты прав человека при ратификации документа, или же он станет инструментом цифровых репрессий в руках некоторых государств. Баланс между безопасностью и приватностью снова смещается, и бизнесу придется адаптироваться к более жесткому регулированию цифрового пространства.
Принят первый глобальный договор ООН о киберпреступности, который упростит международные расследования, но создаст риски для приватности данных и может быть использован для репрессий.
Механизмы, созданные для борьбы с хакерами, могут юридически обязать IT-специалистов взламывать системы собственных работодателей по требованию властей.
