Кибербезопасность1 как составляющая безопасности информационной, а также в широком смысле как один из вопросов безопасного применения информационно-коммуникационных технологий (ИКТ) развивалась в технологически мощной Японии не в таком темпе, как с учетом технического потенциала страны должна была бы. Для сравнения, на фоне того, что в Российской Федерации в 2000 году была утверждена первая Доктрина информационной безопасности [3], в Японии в тот же период вопросы информационной и кибербезопасности отдельно рассматривались в документах, не увязанных напрямую в единую систему каким-либо документом стратегического планирования - Основным законом о создании передового информационно-телекоммуникационного сетевого общества [4], Стратегией электронной Японии [5], Второй стратегией электронной Японии [6].
Из документов, целиком посвященных правовым и техническим аспектам обеспечения информационной безопасности и разработанных именно в 2000 году, можно выделить Методические указания формулирования политик ИТ-безопасности [7], Специальный план действий по противодействию кибертерроризму для критической инфраструктуры [8] и План действий по созданию основ защиты информационных систем от хакеров и других киберугроз [9]. Документы детализировали лишь конкретные вопросы и не создавали общего фундамента, не отражали консолидированного подхода страны как к вопросам безопасного применения ИКТ в целом, так и кибербезопасности в частности. Для координации и упорядочивания действий в 2005 году созданы Национальный центр информационной безопасности (National Information Security Center - NISC) и Совет по политике информационной безопасности (Information Security Policy Council - ISPC) - органы, в том числе определяющие развитие страны в области безопасного применения ИКТ на доктринальном и стратегическом уровнях.
В период 2005-2013 годов совместные усилия уполномоченных государственных и коммерческих учреждений Японии, обладавших соответствующей экспертизой, приобрели более направленный характер, что привело, помимо обновления, переформулирования и расширения набора вышеуказанных детальных документов, к последовательному появлению документов уровня стратегического планирования в области информационной безопасности.
Так, в 2005 году были приняты Стандарты мер по информационной безопасности для Центральной правительственной информационной системы (ЦПИС) [10] и обновленный План действий по мерам информационной безопасности для критической инфраструктуры [11]. В 2011-2012 годах приняты и затем обновлены Стандарты управления вышеуказанными мерами для ЦПИС [12] и Второй план действий [13]. В 2006, 2009 и 2010 годах последовательно приняты Первая национальная стратегия информационной безопасности под лозунгом «К реализации доверенного общества» [14], Вторая национальная стратегия под лозунгом «Стремясь к сильным личностям и обществу в век ИТ» [15] и Стратегия информационной безопасности для защиты нации [16].
С внешней точки зрения можно лишь предполагать, какие именно факторы привели к сокращению уделяемого японскими государственными организациями внимания вопросам информационной безопасности и фокусировке на вопросах кибербезопасности. В новейшей Стратегии национальной безопасности страны [17] словосочетание «информационная безопасность» встречается лишь пять раз и ни разу не раскрывается, но в 2013 году ISPC публикует первую редакцию Стратегии кибербезопасности Японии под лозунгом «Вперед, к лидирующему в мире, устойчивому и энергичному2 киберпространству». Стратегии кибербезопасности становятся основными документами стратегического планировании Японии в части безопасного применения ИКТ.
В настоящей статье рассматриваются основные положения первой редакции японской Стратегии кибербезопасности, отличия последующих трех редакций стратегии как основных документов стратегического планирования, отражающих подходы Японии к вопросам кибербезопасности, проводится их анализ и выдвигаются предположения о возможных изменениях в готовящейся к публикации четвертой редакции.
Стратегия кибербезопасности - 2013
Отмечая взаимопроникновение «киберпространства», определенного в стратегии как «все глобальные виртуальные пространства, такие как Интернет, состоящие из информационных систем, информационно-коммуникационных сетей и подобных систем, в которых циркулируют большие объемы разнообразной информации» [18, с. 5], и «реального пространства», а также рост сопутствующих рисков, Стратегия обосновывает необходимость работы с такими рисками и противостояния угрозам в киберпространстве, так как такие угрозы могут иметь не только личностный, но и национальный, международный и глобальный характер.
Позиция, отчасти обосновывающая переход к термину «кибербезопасность» в документах стратегического планирования, изложена в разделе «Предыдущие усилия» [18, с. 12]. Утверждается, что ранее принятые стратегии информационной безопасности 2006, 2009 и 2010 годов достигли целей, однако же современная ситуация требует усилий совершенно нового уровня. Обоснованием терминологического перехода может служить и раздел «Мировые тренды» [18, с. 15], в котором сжато изложен опыт США, ЕС, Великобритании, Франции, Германии и Южной Кореи в части противодействия киберугрозам. Таким образом, можно сделать вывод, что на авторов стратегии сильное влияние оказали подходы перечисленных стран, и в первую очередь США. Американский подход к вопросам информационной безопасности, с одной стороны, закрепляющий за США возможность военного ответа на угрозы информационной безопасности в целом, а с другой - сужающий фокус внимания международных организаций и переговорных площадок до вопросов в первую очередь именно кибербезопасности, известен и широко распространен на Западе.
Далее в стратегии определяются базовые принципы - свободное распространение информации, риск-ориентированный подход и партнерство с разделением ответственности, которая делится с применением ролевого подхода между государственными организациями, провайдерами критической инфраструктуры, частными, образовательными и научными организациями, мелким и средним бизнесом и отдельно взятыми гражданами. Особо выделена роль акторов, имеющих прямое отношение к функционированию киберпространства, - производителей аппаратного и программного обеспечения, провайдеров связи и подобных.
По этим основным принципам и определению ответственности перечислен набор действий, необходимых к реализации на протяжении срока действия стратегии, разделенных на блоки в соответствии с лозунгом стратегии. Так, в рамках построения устойчивого киберпространства планируется усилить меры кибербезопасности в государственных информационных системах, провайдерах критической инфраструктуры, частных, образовательных и научных организациях, ввести программы обучения кибергигиене3 для граждан, разработать эффективные механизмы противодействия киберпреступности, также предложено создать в Министерстве обороны в составе сил самообороны подразделение киберзащиты.
В рамках «энергичного развития» киберпространства предложено инвестировать в развитие соответствующей индустрии, активно проводить исследования и разработку, в том числе средств защиты информации, принять меры по решению проблемы нехватки кадров в области кибербезопасности, оцененной приблизительно в 80 тыс. специалистов, предпринять меры по повышению грамотности населения в вопросах кибербезопасности. В рамках достижения мирового лидерства Япония рассчитывает, по тексту стратегии, на обмен опытом и распространение собственных достижений посредством дипломатических усилий, в том числе на площадках ООН и АСЕАН, особо подчеркивая роль собственного партнерства с США в части противодействия кибератакам.
Итогом документа стал раздел, посвященный планам развития координирующей и информационно-распространительной функций NISC как «командного пункта» [18, с. 53] японской системы обеспечения кибербезопасности.
Стратегия кибербезопасности - 2015
Необходимо отметить, что в 2014 году в Японии был принят Основной закон по кибербезопасности (№104 от 12.11.2014 г.)4, в котором впервые закреплено определение «кибербезопасности» как «состояния, при котором были приняты необходимые меры предотвращения утечки, потери или повреждения информации… меры гарантирования безопасности и надежности информационных систем… и что это состояние поддерживается и управляется» [19, с. 1]. Закон определял терминологический базис, в том числе статус стратегий кибербезопасности как документов стратегического планирования, содержащих исчерпывающий набор эффективных шагов по реализации политики страны в области информационной безопасности в обозначенные сроки.
Вторая редакция опубликована уже под эгидой Правительства Японии, а не только ISPC. Основной отличительной чертой японской Стратегии кибербезопасности 2015 года стал появившийся тезис о необходимости соблюдения открытости киберпространства для доступа. Также декларируются тезисы, вступающие в некоторое противоречие, так, с одной стороны, Япония признает некую «автономию» киберпространства и «сложившиеся принципы саморегулирования», а с другой - провозглашает как собственный подход принцип главенства закона по аналогии с пространством «реальным». Стоит отметить, что предлагаемый Российской Федерацией подход создания международного законодательства, регулирующего применение ИКТ, без передачи каких-либо «автономных» прав неопределенному кругу лиц, представляется более логичным [25].
Меры по достижению состояния защищенности киберпространства разделены по блокам. Первый блок - «социально-экономическое и устойчивое развитие» - включает меры по созданию защищенных архитектурно систем «Интернета вещей»5, поощрения путем продвижения управляющих кадров, имеющих как сквозную компетенцию «образ мышления, учитывающий фактор информационной безопасности», поддержки бизнеса в отрасли кибербезопасности. Второй блок - «построение безопасного и защищенного общества для граждан» - перечисляет меры защиты для граждан, общества, государственных организаций и объектов критической информационной инфраструктуры. Третий блок - «гарантии мира и стабильности международного сообщества и национальной безопасности» - в основном посвящен увеличению роли государства в защите личности и общества от растущего числа кибератак, в том числе путем наращивания международного сотрудничества в части обеспечения кибербезопасности [20, с. 35-44]. Особо подчеркиваются роли АСЕАН и США. В третьем блоке подтверждаются декларированные в предыдущей редакции стратегии намерения поддержки исследований и разработки в области кибербезопасности, а также развития соответствующего кадрового потенциала страны.
Стратегия кибербезопасности - 2018
Основными отличительными чертами Стратегии-2018 стали декларирование продвижения кибербезопасности как бизнес-функции, создающей непосредственную ценность, а также первое появление в стратегии тезиса о необходимости находиться в состоянии готовности к отражению массированных кибератак [21, с. 31]. При этом подготовка к подобным атакам почти напрямую увязана в стратегии с подготовкой к Олимпийским играм 2020 года в Токио. В данной редакции стратегии не упоминаются АСЕАН и США, подчеркивается разделение подходов с ООН и странами «Большой семерки» [21, с. 39]. Также четко сформулирован тезис о необходимости государственно-частного партнерства в целях обеспечения защищенности и обмена информацией об угрозах.
Стратегия кибербезопасности - 2021
Стратегия-2021 в очередной раз подчеркивает стремительную «цифровизацию» японского общества и возлагает на Министерство цифрового развития страны обязанность создания для граждан безопасного цифрового окружения, интегрированного в общее киберпространство. Олимпиада в Токио опять упоминается, но на сей раз уже как источник ценного опыта в противодействии массированным кибератакам. Можно предположить, что последующие документы стратегического планирования по аналогии будут содержать крупные отсылки к последним значимым международным событиям и мероприятиям. Наиболее важным изменением является первое в истории упоминание отдельных государств в негативном ключе. Так, Россия, Китай и Северная Корея упоминаются как государственные акторы, стоящие за кибератаками, направленными на решение политических и военных задач. В стратегию возвращено упоминание США как главного союзника Японии в киберпространстве. Заявлено, что «государства со схожим менталитетом» «строят киберкомандования и наращивают потенциал для противостояния кибератакам [России, Китая и Северной Кореи]» [22, с. 34].
Выводы и прогноз
В 2022 году Правительством Японии были опубликованы новые редакции стратегий национальной безопасности и национальной обороны страны. В Стратегии национальной обороны упоминается определение «активной киберзащиты» [23, с. 26], которое частично раскрывается в Стратегии национальной безопасности [17, с. 23-24]. По сути, после появления подозрений в подготовке кибератаки японское правительство будет наделено полномочиями «проникновения в инфраструктуру атакующих и ее нейтрализации», то есть полномочиями превентивного киберудара. Необходимость в наличии каких-либо доказательств, международного расследования в стратегии не упоминается. Данные положения в двух документах были предвосхищены (и, вероятно, формально обоснованы) предложениями правительству Либерально-демократической партии Японии от 26 апреля 2022 года, в которых выражены опасения «вторжением России на Украину», «нарастающим напряжением между США и Китаем», «наращиванием военного потенциала России, Китая, Северной Кореи» и подчеркнута необходимость подготовки к «информационной войне» [24].
С учетом изложенного можно предположить, что Стратегия кибербезопасности Японии в редакции 2023 года, помимо очерчивания направлений движения к большей близости и плотному сотрудничеству в киберпространстве с США и другими странами Запада (в первую очередь странами «Большой семерки»), будет включать инвестиции в наращивание наступательных возможностей Японии в киберпространстве, чтобы обеспечить возможность превентивных киберударов. Также вероятно, что один из разделов стратегии будет полностью посвящен российско-украинскому военному конфликту как очередному значимому событию по аналогии с вышеупомянутой Олимпиадой-2020. Но на сей раз событие будет выступать, скорее, не поводом для извлечения уроков, а обоснованием для дальнейшей милитаризации страны, в данном случае - в отношении ИКТ.
1Здесь и далее автор придерживается определения понятия «кибербезопасность» как совокупности методов и средств защиты ИКТ (компьютеров, серверов, мобильных устройств, электронных систем, сетей иных технических изделий) от злонамеренных воздействий. То есть, по сути, кибербезопасность есть техническое измерение безопасности информационной [1; 2].
2Ориг. «vigorous», вероятно, создатели стратегии имели в виду «энергично развивающемуся».
3Безопасному использованию ИКТ.
4В настоящее время действует редакция закона №11 от 2019 г.
5Система взаимосвязанных вычислительных устройств, которые могут собирать и передавать данные по беспроводной сети без участия человека.
Источники и литература
- Козлова Н., Довгаль В. Кибербезопасность и информационная безопасность: сходства и отличия // Вестник Адыгейского государственного университета. Серия 4: Естественно-математические и технические науки. 2021. №3 (286).
- Безкоровайный М., Татузов А. Кибербезопасность: подходы к определению понятия // Вопросы кибербезопасности. 2014. №1 (2).
- Доктрина информационной безопасности Российской Федерации (утв. Президентом РФ от 9 сентября 2000 г. № Пр-1895).
- Basic Act on the Formation of an Advanced Information and Telecommunications Network Society. Act №144. December 6, 2000 // URL: https://japan.kantei.go.jp/it/it_basiclaw/it_basiclaw.html
- e-Japan Strategy. January 22, 2001 // URL: https://japan.kantei.go.jp/it/network/0122full_e.html
- e-Japan Strategy II. July 2, 2003 // URL: https://japan.kantei.go.jp/policy/it/0702senryaku_e.pdf
- Guidelines for IT Security Policy. July 18, 2000 // URL: https://japan.kantei.go.jp/it/security/2001/guideline.html
- Special Action Plan on Countermeasures to Cyber-terrorism of Critical Infrastructure. December 15, 2000 // URL: https://japan.kantei.go.jp/it/security/2001/cyber_terror.pdf
- Action Plan for Building Foundations of Information Systems Protection from Hackers and Other Cyberthreats. January 21, 2000 // URL: https://japan.kantei.go.jp/it/security/2000/0519action.html
- Standards for Information Security Measures for the Central Government Computer System. December 13, 2005 // URL: https://www.nisc.go.jp/eng/pdf/full1_sism_g_eng.pdf
- Action Plan on Information Security Measures for Critical Infrastructure. December 13, 2005 // URL: https://www.nisc.go.jp/eng/pdf/actionplan_ci_eng.pdf
- Management Standards for Information Security Measures for the Central Government Computer Systems. April 21, 2011 // URL: https://www.nisc.go.jp/eng/pdf/K304-101e.pdf
- The Second Action Plan on Information Security Measures for Critical Infrastructures. February 3, 2009 // URL: https://www.nisc.go.jp/eng/pdf/actionplan_ci_eng_v2.pdf
- The First National Strategy on Information Security. February 2, 2006 // URL: https://www.nisc.go.jp/eng/pdf/national_strategy_001_eng.pdf
- The Second National Strategy on Information Security. February 3, 2009 // URL: https://www.nisc.go.jp/eng/pdf/national_strategy_002_eng.pdf
- Information Security Strategy for Protecting the Nation. May 11, 2010 // URL: https://www.nisc.go.jp/eng/pdf/New_Strategy_English.pdf
- National Security Strategy of Japan. December, 2022 // URL: https://www.cas.go.jp/jp/siryou/221216anzenhoshou/nss-e.pdf
- Cybersecurity Strategy. June 10, 2013 // URL: https://www.nisc.go.jp/eng/pdf/cybersecuritystrategy-en.pdf
- The Basic Act on Cybersecurity. Act №104. November 12, 2014 // URL: https://www.japaneselawtranslation.go.jp/en/laws/view/3677
- Cybersecurity Strategy. September 4, 2015 // URL: https://www.nisc.go.jp/eng/pdf/cs-strategy-en.pdf
- Cybersecurity Strategy. July 27, 2018 // URL: https://www.nisc.go.jp/eng/pdf/cs-senryaku2018-en.pdf
- Cybersecurity Strategy. September 28, 2021 // URL: https://www.nisc.go.jp/eng/pdf/cs-senryaku2021-en.pdf
- National Defense Strategy. December 16, 2022 // URL: https://www.mod.go.jp/j/approach/agenda/guideline/strategy/pdf/strategy_en.pdf
- Предложения по разработке новой Стратегии национальной безопасности «На пути к реализации радикального укрепления обороноспособности, для обеспечения мира и безопасности Японии и международного сообщества в условиях все более сложной международной обстановки» (перев. с яп. авт.) // URL: https://storage.jimin.jp/pdf/news/policy/203401_1.pdf
- Крутских А.В. Мирная киберстратегия России // Внешнеэкономические связи. 2021. Вып. 39. С. 10-15.