Олег Демидов - Глобальное управление Интернетом и безопасность в сфере использования ИКТ: Ключевые вызовы для мирового сообщества
• объекты государственного управления и правительственных коммуникаций;
• объекты ТЭК, в том числе нефтегазового комплекса;
• основные телекоммуникационные системы, сети, программно-аппаратное обеспечение и системы связи;
• объекты ОПК (в России – химически опасные объекты);
• финансово-кредитный сектор;
• водообеспечение и водоснабжение;
• здравоохранение.
Приведенный перечень, с одной стороны, показывает, что некоторые категории объектов причисляются к КИ почти во всех национальных законодательствах. С другой стороны, даже в этом случае неминуемы различия в трактовках, определениях и детализации категорий. Во многих государствах выделяются категории объектов КИ, часть из которых могут вообще не встречаться у их партнеров, и наоборот.
В то же время на международном уровне до сих пор практически нет механизмов, которые бы обеспечивали эффективное взаимодействие в сфере обеспечения безопасности КИИ. В частности, никаких специальных мер обеспечения безопасности КИИ среди прочих объектов не предусматривают ни Будапештская конвенция, ни межправительственное соглашение ШОС. Эпизоды кибершпионажа и атаки с использованием вредоносного ПО против объектов КИ периодически попадают в проработку национальными CERT и их ассоциациями, альянсом ИМПАКТ – МСЭ, иными структурами частного сектора и частно-государственного партнерства.
В рамках различных форматов за последнее десятилетие сформировалось и действует значительное число проектов, обеспечивающих взаимодействие в сфере безопасности КИИ на технологическом уровне. Такие проекты и форматы включают в себя оценку угроз, разработку и продвижение технических рекомендаций по защите объектов и прочие меры. Технические аспекты обеспечения безопасности КИИ оказались включены в деятельность Международной электротехнической комиссии (IEC), Европейского агентства сетей и информационной безопасности (ENISA), Организации экономического сотрудничества и развития (OECD) и проч.
Однако практически ни один из упомянутых форматов на сегодняшний день не обеспечивает полномасштабного международного сотрудничества, которое включало бы в себя диалог по политико-правовым аспектам обеспечения безопасности КИИ – как в контексте обмена национальным опытом, так и на уровне выработки широких международных договоренностей.
Одним из немногих исключений можно назвать Международное агентство по атомной энергии (МАГАТЭ), которое в рамках своих компетенций ведет работу по укреплению кибербезопасности объектов мирной атомной отрасли. Агентство издает технические руководства по обеспечению компьютерной безопасности на ядерных установках (серия NSS 17), а также развивает отдельные рекомендации в этой части в документах по физической ядерной безопасности (INFCIRC/225/Revision 5). При Департаменте МАГАТЭ по физической ядерной безопасности действует Программа компьютерной и информационной безопасности, в рамках которой разрабатываются технические рекомендации, публикуются документы, проводятся консультативные встречи, региональные тренинговые курсы. Среди типов угроз КИИ атомной отрасли, которые рассматриваются в рамках программы, важное место занимают целенаправленные компьютерные атаки.
Также одной из площадок, работающих над изучением международного опыта и подготовкой исследований лучших практик обеспечения безопасности КИИ, остается ОЭСР. Организацией в 2007–2008 гг. издана серия отчетов и иных документов, обобщающих анализ политик семи государств, имеющих развитые подходы к вопросам защиты КИИ. Среди ключевых выводов документов ОЭСР: необходимость развития научных и образовательных политик в части защиты КВО от ИКТ-угроз; наращивания международного взаимодействия между CERTs/CSIRTs, а также обмена информацией об угрозах и лучших практиках и развития государственно-частного партнерства. Наработки и выводы ОЭСР видится целесообразным учесть России (с учетом подготовки к присоединению к Организации) в рамках развития собственного подхода к защите КИИ.
Среди региональных форматов активной проработкой проблем обеспечения безопасности КИИ выделяются ОБСЕ, АСЕАН/АРФ, а также АТЭС. В 2013 г. ОБСЕ подготовила «Руководство по передовой практике защиты важнейших объектов неядерной энергетической инфраструктуры от террористических актов в связи с угрозами, исходящими от киберпространства». Документ содержит перечень рекомендаций по развитию международного сотрудничества в рамках указанной проблематики.
Среди государств к числу лидеров в регулировании вопросов безопасности КИИ следует отнести США, Великобританию, Германию, Австралию и Японию. В Соединенных Штатах одним из ключевых национальных регуляторов по вопросам КИИ сегодня выступает Национальный институт стандартов и технологий (NIST). Институт со временем вобрал передовые наработки Министерства энергетики США и некоммерческой организации, разработавшей большое количество стандартов в области электротехники, – Североамериканской корпорации по надежности электроэнергетики (NERC).
В феврале 2014 г. NIST издал основополагающий Рамочный документ по укреплению кибербезопасности критической инфраструктуры (Версия 1.0). Цель такого документа была сформулирована годом ранее, в приказе президента США Барака Обамы № 13636 «Укрепление кибербезопасности КИ», она включает в себя создание системы стандартов, руководств и практик для содействия структурам частного и государственного сектора в управлении рисками в сфере ИКТ. Документ NIST является одним из актов в сфере обеспечения безопасности КИИ, который позиционируется в качестве модели международного сотрудничества и предлагается к использованию зарубежными организациями. Предполагается, что документ может способствовать «выработке общего языка международного сотрудничества в обеспечении безопасности КИИ». Еще один документ NIST, который детально рассматривает вопросы безопасности КИИ, – Руководство по защите АСУ ТП NIST SP800-82, изданное в 2011 г. Обширная и глубокая проработка NIST вопросов ИКТ-безопасности объектов КВО делает актуальной задачей учет опыта ведомства США при выработке международных практик и документов по вопросам безопасности КИИ.
В рамках практических, прикладных форматов международного взаимодействия растет роль киберучений, специализированных на критической инфраструктуре.
Крупнейшие общеевропейские киберучения под названием Cyber Europe с 2010 г. каждые два года проводит Европейское агентство сетевой и информационной безопасности (ENISA). Очередные, третьи, учения ENISA начались 29 апреля 2014 г. с участием 29 команд стран – членов ЕС и более 400 специалистов; главной задачей учений было выявление слабых мест и возможностей для укрепления КИИ ЕС в рамках технической, оперативно-тактической и стратегической фаз. Отражение угроз КИИ, исходящих от компьютерных атак и использования ИКТ в неправомерных целях, также является одной из основных целей учений НАТО Cyber Coalition, которые в 2013 г. вовлекли более 300 специалистов из 30 стран, включая четырех партнеров, не являющихся членами НАТО. В рамках учений угрозы КИИ и противодействие им напрямую увязывается с вопросами киберобороны.
Другим редким примером механизма по развитию норм и подходов к обеспечению безопасности КИИ является проект Модельного закона о КВО информационно-коммуникационной инфраструктуры, разработанный в рамках СНГ в 2013 г. Из числа механизмов, выработанных в рамках СНГ, стоит упомянуть и «Рекомендации по совершенствованию и гармонизации национального законодательства государств – участников СНГ в сфере обеспечения информационной безопасности», утвержденные постановлением МПА СНГ от 23.11.2012 № 38–20. Вместе с тем, предоставляя странам СНГ рекомендации и общие ориентиры для развития регулирования на национальном уровне, такие документы не формируют напрямую регуляторные механизмы и сами по себе не ведут к появлению новых инструментов международного взаимодействия и сотрудничества по вопросам КИИ. Следует также отметить, что роль СНГ как площадки интеграции и выработки общих политик в последние годы снижается как за счет внутрирегиональных кризисов и конфликтов («Пятидневная война» в 2008 г., вооруженный конфликт на Востоке Украины 2014–2015 гг.), так и в силу роста интереса правительств к альтернативным трекам региональной интеграции (Евразийский Союз).
Некоторые другие региональные форматы в последние годы также начали активно обсуждать перспективы совместного противодействия угрозам информационной безопасности критических инфраструктур и возможностей выработать некие коллективные механизмы в этой сфере.
Преимущественное отсутствие нормативных механизмов международного взаимодействия и обмена информацией об ИКТ-атаках на объекты КИИ объясняется несколькими причинами. Возможно, ключевая из них – новизна самой проблематики, причем не только в международной повестке дня, но и на внутригосударственном уровне регулирования. Вопросы, связанные с проработкой проблем ИБ КВО и ИБ АСУ ТП, в том числе в части изоляции таких объектов от Интернета и их защиты от компьютерных атак извне, даже в экономически передовых и развитых странах выдвинулись на передний план для индустрии и регуляторов лишь в течение последнего десятилетия. Устойчивой предпосылкой для активного развития международного сотрудничества зачастую выступает завершенное, четкое видение проблемы и стратегий ее решения на уровне отдельных участников диалога, что в случае с обеспечением безопасности КИИ верно далеко не для всех государств.