Многочисленные выступления и публикации, в которых затрагивается проблематика международной информационной безопасности, нередко грешат алармистской риторикой, пророчествуя дальнейший рост попыток применения высоких технологий для дестабилизации сложившегося миропорядка. При всем уважении к их авторам следует признать: опасаться поздно, все уже свершилось! Вопросы кибербезопасности занимают первые полосы печатных и сетевых изданий и определяют актуальную повестку дня межгосударственных отношений.

Государственная политика в указанной сфере определена Президентом России, зафиксирована в Основах государственной политики Российской Федерации в области международной информационной безопасности на период до 2020 года1 и воплощается на практике Советом безопасности, МИД, Министерством обороны и другими российскими государственными органами. Компания «Норникель» (ПАО «ГМК «Норильский никель»), будучи флагманом российской промышленности и одним из ведущих акторов мировой горно-металлургической отрасли в целом, в полной мере осознает значимость глобального обеспечения информационной безопасности как на государственном уровне, так и применительно к процессам устойчивого развития индустриального сектора национальной экономики.

«Норникель» имеет богатый опыт работы на международной арене и в контексте своей бизнес-стратегии, и в рамках взаимодействия с международными организациями. Так, наша компания при поддержке МИД России добилась принятия резолюции Экономического и социального совета ООН 2013/38 об усилении противодействия незаконному обороту драгоценных и цветных металлов.

Наряду с этим «Норникель» уделяет первоочередное внимание вопросам социально-экономического развития регионов России, которое в современных условиях невозможно без наращивания их информационно-коммуникационного потенциала. Об успешной реализации одного из таких масштабных проектов - прокладке оптиковолоконной линии протяженностью более 900 км от Нового Уренгоя до Норильска - глава нашей компании Владимир Потанин доложил Президенту России в декабре 2017 года. Теперь всему Норильскому промышленному району доступен высокоскоростной широкополосный Интернет, что в данном случае  является не только техническим достижением, но и социокультурным явлением, поскольку способствует преодолению «островного мировосприятия», нередко присущего жителям отдаленных территорий России.

 Достаточно перечислить лишь основные направления деятельности компании, такие как геологоразведка, добыча, обогащение, производство, сбытовая сеть, транспорт (включая морской и авиационный), энергетика, IT, научные комплексы, чтобы оценить масштаб находящихся под ее управлением критически важных объектов и инфраструктур.

По нашим оценкам, в короткой перспективе уровень автоматизации в «Норникеле» превысит 80%. При этом доля выручки, которая напрямую будет зависеть от безопасного и непрерывного функционирования информационной инфраструктуры, приложений и систем в целом, существенно вырастет. Уже сейчас - совместно со службой риск-менеджмента ПАО «ГМК «Норильский никель», а также с привлечением ведущих международных консультантов - проведена работа по перспективной оценке рисков информационной безопасности компании, которые оцениваются в сотни миллионов долларов. Правомерность такой оценки подтверждает и последний отчет «Ernst & Young» «Топ 10 бизнес-рисков горнодобывающих и металлургических предприятий 2017-2018 г.», в котором риск кибербезопасности поднялся в рейтинге с девятого на третье место по сравнению с 2016 годом. Вот почему наши эксперты принимают самое активное участие в разработке и обсуждении нормативных документов, определяющих категории и критерии значимости объектов критической информационной инфраструктуры.

Присоединившись в 2016 году к Международному исследовательскому консорциуму информационной безопасности (МИКИБ), «Норникель» заручился поддержкой академического сообщества и вышел с перспективными инициативами на знаковые международные площадки. В 2017 году в ходе XI Международного форума «Партнерство государств, бизнеса и гражданского общества при обеспечении международной информационной безопасности» и XIV научной конференции МИКИБ, прошедших по традиции в конце апреля в баварском Гармиш-Партенкирхене, мы выступили с инициативой разработать проект Хартии информационной безопасности критических объектов промышленности. Участники форума единодушно поддержали нашу идею.

Выдвигая эту инициативу, мы хотели дать ясное определение - какое поведение в информационном пространстве бизнес-сообщество приветствует, а какие действия и намерения принципиально осуждает. Нужно стремиться к тому, чтобы любой, кто использует информационные технологии для недобросовестной конкуренции, проникновения в технологические процессы, кражи чувствительной информации у коллег и конкурентов, был однозначно осужден и порицаем.

Мы внимательно следим за тем, что происходит в области международной информационной безопасности на уровне государств, в том числе в формате Группы правительственных экспертов по достижениям в сфере информатизации и телекоммуникаций в контексте международной безопасности. Большую работу в этом направлении ведет МИД России при поддержке Совета безопасности России. Выдвигаемая нами инициатива лежит в русле продвигаемых Россией совместно с государствами-партнерами идей разработки принципов, норм и правил ответственного поведения государств в информационно-коммуникационной среде, а также подходов к интернационализации управления Интернетом.

При этом принимается во внимание, что многие проблемы, обсуждаемые на уровне государств и международных организаций, зачастую политизированы и подвержены влиянию геостратегических факторов. Предлагая проект хартии, мы исходим из того, что по ряду вопросов использования ИКТ, которые непосредственно касаются безопасности, устойчивости и непрерывности промышленного бизнеса, можно прийти к безусловному международному консенсусу, оставляя за скобками те вопросы, которые лежат исключительно в компетенции политического руководства. Осознавая все особенности проблематики информационной безопасности применительно к предприятиям промышленного сектора экономики, мы рассматриваем хартию в первую очередь как рамочный этический документ, присоединение к которому не влечет автоматически юридических обязательств.

При разработке проекта хартии мы не видели смысла изобретать новые формулировки - все понятные и приемлемые позиции так или иначе неоднократно озвучивались с различных трибун и в проектах ряда международных документов (например, в тексте Конвенции об обеспечении международной информационной безопасности2). К числу положений, которые, на наш взгляд, могут быть однозначно поддержаны бизнес-сообществом, мы относим:

- осуждение использования ИКТ в преступных, террористических и военно-политических целях;

- осуждение любых действий, подрывающих доверие к устойчивости, надежности и безопасности опорных глобальных информационно-коммуникационных инфраструктур;

- поддержку усилий по формированию систем предупреждения, обнаружения и помощи в ликвидации последствий сетевых атак и эффективных механизмов взаимодействия таких систем;

- поддержку различных форм обмена лучшими практиками по обеспечению информационной безопасности;

- поддержку формирования культуры информационной безопасности.

В развитие озвученной в Гармиш-Партенкирхене инициативы по предложению «Норникеля» был создан АНО «Клуб безопасности информации в промышленности» - неформальное объединение руководителей структур IT-защиты российских компаний индустриального сектора, в работе которого принимают участие представители таких «грандов» отечественной экономики, как «Северсталь», «Энел Россия», НЛМК, «Уралвагонзавод», «Полюс», «Лукойл» и т. д. В рамках данной экспертной площадки собственно и прошел первую «обкатку» проект хартии, подготовленный специалистами «Норникеля» при участии Института проблем информационной безопасности МГУ им. М.В.Ломоносова.

Эксперты, принявшие участие в обсуждении, обратили внимание на наличие в практиках ряда компаний документов, условно регламентирующих нормы этичного поведения работников с точки зрения корпоративной информационной безопасности3. Для того чтобы правильно определить место нашей хартии в ряду таких документов, полагаю уместной следующую аналогию: упомянутые выше отдельные нормативы (кодексы, правила, регламенты и т. д.) - аналог клятвы Гиппократа у медиков. А мы, разрабатывая хартию, создаем документ, который ближе к преамбуле Устава Всемирной организации здравоохранения, то есть от неких частных определений мы выходим на уровень принципиальных обобщений и последующего консенсуса. В этом заключается смысл и дух проекта Хартии информационной безопасности критических объектов промышленности, который «Норникель» выносит на обсуждение как российского бизнеса, так и всего международного сообщества.

 

 1http://www.scrf.gov.ru/security/information/document114

 2http://www.scrf.gov.ru/security/information/document112

 3http://www.isaca.org/certification/code-of-professional-ethics/pages/default.aspx; https://www.giac.org/about/ethics; http://www.issa.org/?page=CodeofEthics; https://www.isc2.org/Ethics; https://www.asial.com.au/codeofconduct