Деятельность государства в сфере обеспечения информационной безопасности обусловлена целым комплексом взаимосвязанных задач, в числе которых можно выделить защиту государственного суверенитета, недопущение вмешательства во внутренние дела и сохранение внутриполитической стабильности, обеспечение прав и свобод граждан, содействие развитию национальной экономики и социальной сферы, укрепление законности и правопорядка, поддержание устойчивости финансовой системы, тесное взаимодействие с международными организациями и сотрудничество с зарубежными странами.
Многообразие перечисленных задач отражается и на содержании информационной политики государства, которое включает две составляющие: выявление и нейтрализацию внешних угроз и противодействие внутренним неблагоприятным факторам, способным нанести вред как самим органам государственной власти, так и различным элементам информационной системы государства. В числе наиболее явных угроз, относящихся к первой группе, следует назвать деятельность иностранных спецслужб и разведывательных подразделений вооруженных сил иностранных государств, реализацию враждебной по отношению к России экономической и научно-технической политики, агрессивную рыночную стратегию крупных международных корпораций и финансово-промышленных групп, деятельность международных криминальных и террористических группировок и т. п.
К угрозам «внутреннего происхождения» относятся халатность, попустительство преступлению и бездействие должностных лиц в части исполнения служебных обязанностей, а также целенаправленные противоправные действия граждан и организаций, допускаемые при обращении с информационными ресурсами или при использовании информационных систем, деформации в работе телекоммуникационных сетей и т. д.
Очевидно, что государство, решая проблемы информационной безопасности, обеспокоено в первую очередь обеспечением общественных интересов, а также необходимостью защиты информации, имеющей государственную важность. Что же касается информационной безопасности негосударственного сектора экономики, то она, как правило, является прерогативой самих частных компаний и физических лиц. Участие государства в обеспечении интересов этого сектора в рассматриваемой сфере отношений сводится преимущественно к формированию соответствующей правовой базы, которая призвана служить юридической гарантией реализации права на защиту информации конфиденциального характера, коммерческой и банковской тайны, права на беспрепятственный доступ к информационным ресурсам, а также на судебную защиту нарушенных прав.
Удовлетворяет ли такое положение вещей интересы частного сектора в сфере информационной безопасности и каким способом может быть повышена его активность в решении общих проблем безопасного использования ИКТ? Это вопрос открытый и давно уже ставший актуальным не только для России, но и для всего мирового сообщества.
В то время как на международной арене разворачиваются острые дискуссии по различным аспектам международной информационной безопасности (далее - МИБ), бизнес продолжает терять колоссальные средства из-за преступлений в сфере ИКТ (вирусных атак, распространения вредоносных программ, кражи технологий, взлома паролей и т. п.). Восполнить или хотя бы минимизировать эти потери с каждым годом становится все сложнее, поскольку активность преступной деятельности с использованием цифровых технологий только возрастает. Снизить остроту этой проблемы возможно только при условии выработки юридически оформленных принципов и норм ответственного поведения государств в киберпространстве, которые смогут обеспечить коммерческим структурам, равно как и другим акторам ИТК-среды, надлежащую правовую защиту.
Традиционные методы содействия бизнесу в сфере информационной безопасности, предпринимаемые со стороны государства, не являются достаточно эффективными в силу объективных факторов. Так, несмотря на постоянное совершенствование норм национального информационного права, оно не гарантирует полноценной защиты от информационных угроз, поскольку зачастую источник вредоносного воздействия располагается на территории другого государства. А общепризнанных международных норм, правил и принципов, регулирующих ответственное поведение субъектов в глобальном информационном пространстве, практически не существует.
К тому же подходы России и ряда западных стран к решению проблем безопасного использования ИКТ не совпадают по многим аспектам. Так, Россия отстаивает позицию о неприменимости норм международного права к ИКТ-сфере в части распространения на нее безусловного «права на самооборону» в случае предполагаемой агрессии. Страны Запада во главе с США, «политизируя» само киберпространство, считают возможным использовать в его отношении представления об агрессии «доцифровой эпохи» (без учета сложности и неочевидности установления источника кибератаки и исполнителя вредоносного воздействия). При этом западные оппоненты России фактически игнорируют тот факт, что в цифровом пространстве крайне сложно определить местонахождение источника атаки и установить ее исполнителя, в то время как расположение цели нападения всегда очевидно.
Отмечается серьезное противодействие со стороны ряда технологически развитых государств во главе с США в части выработки приемлемых для всего международного сообщества «правил игры» в киберпространстве. Речь идет, в частности, о попытке легализации ряда западных концепций, ориентированных на возможность осуществления односторонних действий в ответ на якобы имевшую место информационную агрессию. Таковой является, например, концепция так называемой коллективной атрибуции, согласно которой группы стран получают возможность «выносить коллективный вердикт о виновности любого государства в совершении кибератаки без предъявления каких-либо конкретных его доказательств»1. Та же идея заложена и в американской концепции «выяви и пристыди» (name and shame), оправдывающей нанесение потенциальному противнику превентивных киберударов и позволяющей группе западных стран самостоятельно, по собственному усмотрению, без предъявления доказательств определять источник киберугроз и наносить карательный удар.
Такие подходы не способствуют нормализации или эффективности международного переговорного процесса по МИБ, который нуждается в выходе на качественно новый уровень.
Более того, любые инциденты «онлайн» несут в себе реальную угрозу для международного мира и безопасности, поскольку могут привести к развязыванию полномасштабной войны «офлайн».
Могут ли бизнес-структуры оставаться в стороне от этого процесса? «Деловой мир» уже давно перешел в мир виртуальный: онлайн-сделки оплачиваются электронными деньгами, управление бизнесом и финансовыми потоками осуществляется удаленно, логистика с использованием всех видов транспорта выстраивается при помощи ИКТ. Во многие сферы бизнеса активно внедряются технологии искусственного интеллекта.
Пандемия коронавируса только усугубила ситуацию, поскольку вызвала лавинообразное увеличение числа пользователей цифровых инструментов и, как следствие, активизацию кибермошенников, увеличение злонамеренных актов в ИКТ-среде. Зафиксированы колоссальный рост преступности в информационном пространстве, многократное увеличение числа кибератак, расширение экономического ущерба от противоправных акций в электронных сетях. Так, по данным экспертов Сбербанка, урон, причиненный мировому бизнесу кибератаками в 2016 году, составил 445 млрд. долларов, в 2017 году - 1 трлн. долларов, в 2019 году - более 2,5 трлн. долларов2. Согласно оценкам международных IT-экспертов, наибольший ущерб бизнес-структурам в 2019-2020 годах нанесли атаки вирусов-шифровальщиков (более 2 млрд. долл.). Большой проблемой стало также использование похищенных банковских карт, объем рынка которых вырос более чем в два раза (с 880 млн. долл. в 2019 г. до 1,9 млрд. - в 2020 г.)3.
Очевидно, что количество преступлений, совершаемых в киберпространстве, пока не имеет тенденции к снижению: согласно прогнозам Всемирного экономического форума, в 2022 году показатели причиненного ущерба могут вырасти до 8 трлн. долларов. Целями злонамеренных акций могут быть как финансовые гиганты, так и любая компания среднего звена, в том числе с весьма скромным оборотом.
Бизнес-структуры вкладывают колоссальные средства в техническое обеспечение собственной безопасности, но при этом отчетливо осознают объективную уязвимость своих активов. Финансовые и промышленные компании все более убеждаются в том, что задача построения защиты, которую нельзя взломать, утопична по своей сути. Соответственно, возрастает их кровная заинтересованность в урегулировании проблем использования глобального информационного пространства и ИКТ на международном уровне.
Объективная возможность содействовать развитию норм международного права в сфере МИБ может появиться у бизнес-сообщества в связи с учреждением в структуре ООН новой Рабочей группы открытого состава (РГОС) по вопросам безопасности использования ИКТ и самих ИКТ в 2021-2025 годах на пятилетний период, инициатива создания которой принадлежит России. Предполагается, в частности, подключить к дискуссии представителей бизнеса по отдельным аспектам мандата в рамках специализированных подгрупп. Можно надеяться, что такой подход придаст дискуссиям по МИБ динамичный и тематически более структурированный характер. Возникнет реальная возможность вовлечения бизнес-сообщества в переговорный процесс и выстраивания тесного взаимодействия, а также надежда на активизацию его технологического, финансового и интеллектуального потенциала. Задача эта и актуальная, и рациональная.
Есть основание полагать, что участие в переговорах представителей мировых промышленных и финансовых групп на площадке ООН повысит степень доверия бизнеса к государственным институтам. Разработка и принятие положений, затрагивающих интересы деловых кругов, будут реальным шагом на пути выработки унифицированных правил и норм ответственного поведения бизнес-структур в информационном пространстве.
Группа правительственных экспертов (ГПЭ) по достижениям в сфере информатизации и телекоммуникаций в контексте международной безопасности, утвержденная в соответствии с резолюцией 68/243 Генеральной Ассамблеи ООН, согласно своему мандату изучила существующие и потенциальные угрозы, порожденные применением ИКТ государствами. Проведя анализ мер по борьбе с ними, в том числе разработав систему принципов и норм по укреплению доверия, группа в своем докладе 2015 года рекомендовала государствам сотрудничать в деле предупреждения злонамеренного использования ИКТ и не допускать использования их территорий для совершения международно-противоправных действий с применением ИКТ.
ГПЭ определила, что основную ответственность за обеспечение безопасности и мирного характера ИКТ-среды несут государства, подчеркнув при этом, что надлежащее участие частного сектора, научных кругов и гражданского общества способствовало бы повышению эффективности международного сотрудничества в данной сфере.
В условиях экономической стагнации и цифровизации экономики прагматичная, взвешенная позиция бизнеса, формирующего основу экономического потенциала современных государств, может и должна способствовать выработке понятных базовых правил и норм поведения в киберсреде. Деловое сообщество объективно способно стать тем локомотивом, который подтолкнет государства к выработке четких «правил игры» в информационном пространстве.
Пока же примеров вовлеченности бизнес-структур в юридически оформленные взаимоотношения в ИКТ-сфере не так много. В 2017 году свыше 30 IT-компаний подписали так называемую «Цифровую женевскую конвенцию», подразумевающую отказ от участия в кибератаках вне зависимости от того, кем они организованы и на кого направлены. Участники соглашения взяли на себя обязательства оказывать помощь любой стране, подвергшейся атаке в виртуальном пространстве. В числе подписавших конвенцию немало гигантов IT-отрасли: «Microsoft», «Facebook», «Cisco», «Nokia», «Dell», «HP», «Symantec», «Trend Micro» и др. На сегодняшний день в соглашении участвуют 34 компании. В то же время некоторые крупные высокотехнологичные бренды, такие как «Google», «Apple», «Amazon» и «Twitter», от присоединения к конвенции отказались.
В 2018 году в рамках проходившего в Германии ХII Международного форума «Партнерство государства, бизнеса и гражданского общества при обеспечении международной информационной безопасности» была принята «Хартия информационной безопасности критических объектов промышленности», разработанная российской ПАО «ГМК «Норильский никель». Главный ее посыл: обезопасить информационные структуры предприятий, чья деятельность имеет стратегическое значение для национальных экономик, от попыток внешних злонамеренных воздействий. Предполагается, что на очередных встречах форума, которые проводятся ежегодно (последняя состоялась в Москве в декабре 2020 г.), представители бизнес-структур смогут активно содействовать выработке единой позиции в вопросах МИБ.
Наблюдается также необходимость диверсифицировать процесс подключения бизнеса к переговорному формату, задействовав этот механизм на таких статусных площадках, как БРИКС, ШОС и др. Страны-участницы этих объединений в последнее время неоднократно высказывали заинтересованность в широком вовлечении деловых структур в переговорный процесс по МИБ.
Осознает актуальность данных подходов и Китай, который начинает продвигать свои концепции цифровой экономики с учетом безопасности бизнеса и его участием в таких значимых региональных структурах, как Шанхайская организация сотрудничества и Региональный форум Ассоциации государств Юго-Восточной Азии (АРФ).
При условии широкого внедрения в повседневную жизнь умных отраслей, таких как безналичный оборот финансов (цифровые финансы), технологии искусственного интеллекта, блокчейн, электронная медицина, беспилотный транспорт, big data, облачные хранилища данных, интернет вещей и др., всеобщая уязвимость пользователей стремительно возрастает.
По словам специального представителя Президента Российской Федерации по вопросам международного сотрудничества в области информационной безопасности, директора Департамента международной информационной безопасности МИД России А.В.Крутских, ИКТ превращается в каждодневное оружие, причем оружие первого удара. «Если вся электроника управляема извне, то о какой безопасности может идти речь?»4 - задается вопросом высокопоставленный дипломат.
Сегодня поступательное развитие мирового сообщества тормозится из-за одной нерешенной политической проблемы - проблемы информационной безопасности. Только выработав единые правила поведения в киберпространстве, можно обеспечить всем его участникам защиту и безопасность.
Россия неоднократно подчеркивала, что в международном диалоге по вопросам безопасности в сфере использования ИКТ в равной степени должны участвовать все страны, а основной площадкой для этого процесса должна стать ООН, которая разработает и примет единую нормативно-правовую базу по международной кибербезопасности. Реалии сегодняшнего дня настойчиво подсказывают, что наряду с этим необходимо также создать условия для привлечения бизнеса к переговорному процессу по МИБ, придав этому государственно-частному партнерству институциональный характер.
У российских экспертов, в том числе из таких компаний, как ПАО «ГМК «Норильский никель» и Сбербанк, есть определенные наработки, интересные идеи и предложения в сфере информационной безопасности, которые могут внести ощутимый интеллектуальный вклад в международные дискуссии по МИБ.
В то же время, признавая, что защита информационных ресурсов российских компаний является одним из безусловных факторов экономической безопасности государства, принципиально важно отметить, что участие негосударственных игроков в переговорном процессе по проблемам МИБ не должно рассматриваться как стремление уравнять их международно-правовой статус с суверенными государствами и не может происходить в ущерб принятию конкретных политических решений. Разработка универсальных подходов и договоренностей, а также согласование путей урегулирования имеющихся проблем в ИКТ-сфере должны оставаться прерогативой государств, обладающих исключительным суверенитетом в цифровой сфере. Деятельность бизнес-структур может стать весомым дополнением и подспорьем для государственных институтов в деле продвижения своей позиции по вопросам международной информационной безопасности.
1Егоров И. Войны виртуальные и реальные (интервью О.В.Храмова) // Российская газета. 2019. 14 августа.
2Киселев С. Сбербанк оценил потери мировой экономики от кибератак // Независимая газета. 2019. 26 апреля.
3Group-IB опубликовала прогнозы по киберугрозам, с которыми мир столкнется в новом году // https://www.group-ib.ru/media/gib-report-2020/ (дата обращения: 12.01. 2021).
4Крутских А. «Мы даем ООН много политической пищи для размышлений над вопросами информационной безопасности» // https://https://talent.mos.ru/about/news/129688781// (дата обращения: 22.01. 2021).