Индекс Киберготовности 2.0 - Часть 3: Национальная стратегия

Индекс Киберготовности 2.0 — Часть 3: Национальная стратегия

Первая, и наиболее важная, категория, по которой определяется киберготовность страны, — это наличие разработанной и опубликованной Национальной стратегии кибербезопасности, в которой согласованы видение будущего экономического развития страны с положениями ее национальной безопасности. Интернет, широкополосные сети, мобильные приложения, киберуслуги, программное обеспечение и вычислительное оборудование являются основой цифровых национальных экономик и информационно-коммуникационного будущего стран[i]. Интернет и ИКТ стали основой для социальных платформ (таких как Facebook™, Twitter™, Instagram™, Renren™, VKontakte™ и др.), бизнес-платформ, критически важных для функционирования общества услуг и инфраструктур, а также для глобальной экономики в целом[ii].

Оглавление (показать/скрыть): Часть 1: Введение
Часть 2: Методология
Часть 3: Национальная стратегия
Часть 4: Системы реагирования
Часть 5: Киберпреступность и охрана правопорядка
Часть 6: Обмен информацией
Часть 7: Инвестиции в исследования и разработки
Часть 8: Дипломатия и торговля
Часть 9: Оборона и кризисное реагирование
Часть 10: Заключение

Взаимозависимость и взаимная информационная связь стали характерны для всех секторов экономики. Так, современные производства используют системы промышленного контроля и робототехнику для повышения производительности, и снижения зависимости от ручного труда. Современное сельское хозяйство использует интернет-устройства (Internet Protocols) для определения сроков и необходимости использования удобрений и регулирования сроков полива угодий. Интернет-устройства также размещаются на скоте, для определения мест пастбищ и водопоя, а также постоянного мониторинга состояния здоровья животных. Электронная торговля, свободное, трансграничное перемещение товаров и услуг постепенно занимают место старых витрин и складов, позволяя доставлять товары прямо к дверям жилищ или базам оптовой торговли вскоре после размещения онлайн-заказа. Системы транспортировки в настоящее время широко используют сенсоры, мобильные устройства, а также автоматические терминалы для управления пассажиро- и грузопотоками, а также для продажи и доставки билетов.

Оснащенные электронными системами города используют геолокационные устройства для определения скорости и положения в пространстве транспортных средств, а также выявления и предотвращения нарушений ПДД. Инновации в сфере здравоохранения позволяют оцифровать записи поликлиник и больниц, а также разрешают применять облачные технологии для доступа к информации о здоровье граждан в любой точке мира, чтобы обеспечить им качественное лечение. Телемедицина использует высокоскоростной доступ в интернет для дистанционного предоставления услуг и консультаций в районы с недостатком медперсонала. И, наконец, финансовые ИТ-системы ежедневно совершают обмен и перевод валют на суммы в триллионы долларов, на рынках ресурсов ведется торговля с использованием цифровых валют, а интернет-банкинг постепенно заменяет многие услуги обычных, физических отделений банков.

При этом, угрозы сетевым информационным структурам постоянно растут и развиваются. Страны начинают осознавать серьезность этих угроз и документировать необходимость защиты инфраструктур, данных, страны в целом и многих других уязвимых точек. Всесторонняя национальная стратегия кибербезопасности должна в экономических терминах описывать угрозы для страны, а также содержать необходимые шаги, программы и инициативы, которые следует предпринять и реализовать для нивелирования этих угроз и защиты систем коммуникаций и ИКТ, которые используются гражданами, бизнесом и правительственными учреждениями[iii]. Стратегия в свой черед должна содержать план развития интернета и ИКТ, а также включать такие инициативы, которые поспособствуют минимизации потерь ВВП от киберугроз, повысят безопасность и устойчивость всей страны по отношению к ним.

Действенная национальная стратегия кибербезопасности должна быть не просто написана и озвучена. Она должна быть принципиально реализуема. В настоящее время большинство тем, на которых концентрируются создатели этих стратегий, включают:

определение организационной и институциональной ответственности в правительстве;
стимулирование осведомленности и роста образованности населения;
создание систем и структур кризисного реагирования и управления;
расширение возможностей и полномочий правоохранительных органов для создания потенциала борьбы с киберпреступностью;
создание и развитие государственно-частных партнерств и развитие надежных систем обмена информацией;
направление ресурсов в исследования и инновации.

Многие стратегии начинаются со статистических данных, дающих представление об уровне киберинцидентов и степени угрозы инфраструктурам, а также с перечисления существующих идентифицированных угроз. Эти данные используются для обоснования предлагаемого распределения ответственностей, а также роста финансирования определенных операций и организаций. Однако, такие стратегии редко содержат список приоритизирующий риски для определенных инфраструктур и услуг, и практически никогда не проводят оценку соизмеримости рисков с выделением требуемых ресурсов для их минимизации и предотвращения убытков. Действенная национальная стратегия кибербезопасности должна описывать существующую проблему или проблемы в экономических терминах; определять и наделять полномочиями компетентные органы[iv], которые будут нести ответственность за реализацию стратегии; содержать четкие, измеримые, достижимые, проверяемые и ограниченные по времени цели в рабочем плане; а также осмыслить и признать необходимость выделения ограниченных ресурсов (таких как политическая воля, финансы, время и человеческие ресурсы) для достижения ожидаемых уровней безопасности и экономического роста.

Как минимум, около 67 стран уже опубликовали свои стратегии кибербезопасности (во многих других они находятся в стадии разработки), определяя ключевые шаги, которые призваны повысить уровень национальной безопасности и системную устойчивость по отношению к угрозам[v]. Во многих странах разработаны национальные стратегии безопасности (посвященные не только кибервопросам), которые координируют и направляют усилия правительств и по отношению к киберпространству. К сожалению, совсем немногие страны тесно увязывают свои национальную и экономическую безопасности, а тем более экономические измерения, с кибербезопасностью. Еще меньшее число стран создают действительно реализуемые стратегии. Таким образом, практически каждая из стран имеет возможность пересмотреть и развить свою стратегию безопасности с тем, чтобы она реально отражала экономическое измерение кибербезопасности.

Среди основных элементов всесторонней национальной стратегии кибербезопасности должны присутствовать:

Заявление:

Публикация национальной стратегии кибербезопасности, которая содержит описание экономических возможностей и рисков, связанных с развитием ИКТ.

Организационные вопросы:

Определение компетентного органа и четкое обозначение его функций и полномочий;
Определение ключевых правительственных структур, связанных с реализацией, либо ответственных за реализацию стратегии кибербезопасности;
Определение ключевых бизнес-структур, связанных с реализацией, либо ответственных за реализацию стратегии кибербезопасности (признание взаимозависимости и ответственности бизнес-сектора).

Ресурсы:

Определение финансовых и человеческих ресурсов, требуемых и выделяемых для реализации стратегии;
Определение доли роста или снижения ВВП (гросс), ожидаемого в результате реализации/не реализации стратегии.

Реализация:

Определение механизмов, призванных обеспечить безопасность ключевых инфраструктур и развитие ИКТ;
Определение критических сервисов (не инфраструктур), которые в результате реализации стратегии получат более высокий уровень безопасности и устойчивости;
Определение национальных стандартов по предоставлению непрерывных услуг (24 часа, 7 дней в неделю), а также требования к информированию о случаях недоступности любого из критически важных сервисов, производства или инфраструктуры.

Результаты, полученные в рамках этой категории, равно как и в других шести, являются своего рода моментальным снимком динамичной и меняющейся ситуации. По ходу совершенствования и развития национальных стратегий кибербезопасности, дополнения в рамках этой категории будут отражать такие изменения. Существенные и значительные изменения будут тщательно отслеживаться и оцениваться. Таким образом, ИКГ 2.0 будет в режиме реального времени предоставлять самые свежие примеры для иллюстрации практических рекомендаций с тем, чтобы все страны могли успешно формулировать или пересматривать свои стратегии.

Читать далее: Часть 4 — Системы реагирования

[i] OECD, OECD Digital Economy Outlook 2015 (Paris, France: OECD Publishing, 2015), http://dx.doi.org/10.1787/9789264232440-en.

[ii] Melissa Hathaway, “Transparency, Trust, and Our Internet,” (presentation at GTEC Conference, Ottawa, Canada, 20 October 2015).

[iii] Развитие ИКТ инфраструктуры включает фиксированную и мобильную связь (голосовую и цифровую), по контрактам и подписке, а также инвестиции и доходы телекоммуникационного сектора экономики.

[iv] Компетентный орган – любое лицо или организация, имеющая законные полномочия или власть, возможности или ресурсы для реализации своей функции.

[v] International Telecommunications Union, “National Strategies,” http://www.itu.int/en/ITU-/Cybersecurity/Pages/National-Strategies.aspx.