Доклады GGE, опубликованные в 2010, 2013 и 2015 годах, помогли определить повестку переговоров по вопросам кибербезопасности, причём в последнем докладе перечисляется набор норм, которые затем были одобрены Генеральной Ассамблеей ООН. Однако, несмотря на все эти первые успехи, у GGE есть свои ограничения. Технически, участники этой группы являются советниками генерального секретаря ООН, а не представителями государств, наделёнными необходимыми полномочиями. И хотя число участников увеличилось с первоначальных 15 до 25, у большинства стран нет голоса в этом процессе.
Однако существует более серьёзный вопрос, связанный с работой GGE: Могут ли международные нормы реально ограничивать действия государств?
Большинство экспертов согласны с тем, что глобальный договор о киберпространстве сегодня политически невозможен (хотя Россия и Китай выступали с подобными предложениями в ООН). Но помимо формальных договоров роль нормативных ограничений для стран могут также выполнять кодексы поведения, общепринятые методы действий государств, коллективные ожидания по поводу пристойного поведения внутри группы (создающей общие законы). Подобные ограничения могут варьироваться – от глобальных до многосторонних или двусторонних. Что говорит история об эффективности таких нормативных инструментов в политике?
В первое десятилетие после Хиросимы тактическое ядерное оружие общепризнанно считалось «нормальным» оружием. На вооружении армии США имелась ядерная артиллерия, ядерные противопехотные мины, а также ядерное противовоздушное оружие. В 1954 и 1955 годах председатель Объединённого комитета начальников штабов США говорил президенту Дуайту Эйзенхауэру, что для обороны Дьенбьенфу во Вьетнаме и островов рядом с Тайванем может потребоваться применение ядерного оружия (Эйзенхауэр отверг этот совет).
Но со временем появление неформальных норм неприменения ядерного оружия привело к изменению ситуации. Лауреат Нобелевской премии по экономики Томас Шеллинг утверждал, что появление норм неприменения ядерного оружия стало одним из самых важных за последние 70 лет событий в контроле над вооружениями; эти нормы оказывают сдерживающее влияние на тех, кто принимает решения. Впрочем, в случае с новыми ядерными странами, подобным Северной Корее, нельзя быть уверенным в том, что ущерб от нарушения данного табу они будут считать перевешивающим выгоды.
Аналогичным образом, после Первой мировой войны появилось табу против использования ядовитых газов в боевых действиях. Женевский протокол 1925 года запретил использование химического и биологического оружия. В 1970-х годах были подписаны два договора, запрещающие производство и хранение подобного оружия, повысив издержки не только его применения, но и просто обладания.
В Конвенции о биологическом оружии положения, касающиеся проверки, слабы (речь идёт просто о докладе Совету Безопасности ООН). Данное табу не помешало СССР и дальше обладать биологическим оружием и заниматься его разработками в 1970-х. А Конвенция о химическом оружии не помешала Саддаму Хусейну и Башару Асаду применить химическое оружие против собственных граждан.
Тем не менее, оба договора влияют на оценку другими странами подобных действий. Такое отношение помогло оправдать вторжение в Ирак в 2003 году, а также международный процесс уничтожения основной части сирийских арсеналов в 2014 году. Конвенцию о биологическом оружии ратифицировали 173 государства, поэтом странам, желающим разрабатывать подобное оружие, приходится заниматься этим тайно, а, если об этой деятельности станет известно, их ожидает коллективное международное осуждение.
Нормативные табу могут быть уместны и в сфере киберпространства, хотя здесь разграничение между оружием и неоружием зависит от намерений в его использовании. Кроме того, трудно запретить – и невозможно запретить надёжно – разработку, обладание и применение в целях шпионажа конкретных компьютерных программ. В этой связи усилия по предотвращению кибер-конфликтов не могут быть аналогичны системе контроля над ядерным вооружением, возникшей во время Холодной войны, которая опиралась на тщательно проработанные договоры и детальные протоколы проверок.
Более продуктивным подходом к теме нормативного контроля над кибер-оружием может стать установка табу не в отношении оружия, а в отношении боевых целей. США отстаивают мнение, что международное право о вооружённых конфликтах, запрещающее умышленные атаки на гражданское население, применимо и к киберпространству. Соответственно, США предлагают, чтобы вместо обещания «не применять первым» кибер-оружие, государства должны пообещать не применять это оружие против гражданских объектов в мирное время.
Такой подход к установлению международных норм был принят в GGE. Данные табу можно было был укрепить мерами по расширению доверия, например, обещанием оказывать помощь в следственных действиях и не вмешиваться в работу Команд реагирования на инциденты в сфере компьютерной безопасности (CSIRT).
Доклад GGE, опубликованный в июле 2015 года, фокусировался на теме ограничения атак на конкретные гражданские цели, а не на запрещение конкретных кодов. В сентябре 2015 года на саммите президента США Барака Обамы и председателя КНР Си Цзиньпина было решено создать комиссию экспертов для изучения предложений GGE. В дальнейшем доклад GGE был одобрен лидерами стран «Большой двадцатки» и упомянут Генеральной Ассамблеей ООН.
Однако вскоре после публикации доклада GGE, в декабре 2015 года, произошла атака на энергосистему Украины, а в 2016 году Россия не посчитала американский избирательный процесс гражданской инфраструктурой, защищённой от атак. Разработка принципов нормативного контроля над кибер-вооружениями оказалась медленным процессом, и пока что незавершённым.