Кибербезопасность — новое поле битвы за права человека

Кибербезопасность может и должна стать новым полем битвы за права человека, утверждают в своей статье партнеры Digital.Report из Global Partners Digital, входящих в секретариат Freedom Online Coalition. Традиционно принято понимать кибербезопасность с точки зрения государства, систем, инфраструктуры. Но что если интерпретировать этот все более распространенный и критический термин, прежде всего, как безопасность онлайн-деятельности пользователя, человека, индивида — безопасность от слежки, преступности, внедрения в личное пространство. Иными словами, безопасность, основанную на фундаментальных правах человека.

Из 193 стран-членов Международного союза электросвязи, у 67 уже есть стратегии национальной кибербезопасности, а в 102 действуют Компьютерные группы реагирования на чрезвычайные ситуации (CERT). Международные организации, включая Организацию американских государств и Африканский союз, рассматривают возможность принятия киберконвенций, которые установили бы правила поведения в киберпространстве для целых континентов. Кибербезопасность также становится все более насущной и заметной частью международных отношений и межгосударственной дипломатии. Вспомним, например, октябрьский главы Китая Си Цзиньпина в Великобританию, где одной из основный новостей было совместное заявление по кибербезопасности, последовавшее всего через месяц после аналогичного «кибер-перемирия» с США. Но как недавно сказал бывший министр иностранных дел Индии, «киберпространство становится новоявленным полем напряжения между странами. Это давно относится к земле, воде, небу и космосу, которые человечество успешно военизировало. Точно то же сейчас происходит с киберпространством».

Кибербезопасность на основе прав человека?

Среди представителей гражданского общества и в целом общественных организаций, однако, до сих пор было мало участия, и даже исследований, на тему будущего киберпространства. Это приводит к дисбалансу в общественной дискусии, которая относится к кибербезопасности как к явлению для систем, а не для людей. Но сама сущность киберпрбезопасности связана с людьми. Как область политики, регулирующая поведение людей в Сети, кибербезопасность будет иметь – и уже имеет – фундаментальные последствия для базовых человеческих прав, как то прайвиси или свободы выражения. Как в таком случае будет выглядеть кибербезопасность, основанная на правовом подходе?

Для начала стоило бы дать определение кибербезопасности – или, по крайней мере, очертить то, как она понимается. Это на удивление сложно. Кибербезопасность охватывает целую вселенную определений, как показывает Глобальная база кибер определений. Еще более усложняя картину, кибербезопасность часто отождествляют с киберпреступностью или путают с родственными, но все же обособленными понятиями кибер-прочности, кибер-войны или кибер-обороны.

В широком смысле, кибербезопасность – это защита цифровых информационных систем от атак государств или индивидуальных хакеров. Несколько недавно нашумевших инцидентов подобного рода подпитали алармистские заявления о целой “волне киберпреступности”, несмотря на отсутствие подверждающих это данных (напротив, последние исследования говорят скорее о падении объема киберпреступности).

Это, впрочем, не говорит об отсутствии угроз или о том, что кибербезопасность неважна – ровно наоборот. С точки зрения прав человека, скажем, недавняя массовая утечка данных о 22 млн американцах в результате кибератаки – включая информацию о психическом здоровье и проблемах с алкоголем и наркотиками – является катастрофической и требует срочных мер и радикальной реформы для того, чтобы это никогда не повторилось.

Но из-за скудости и узости нынешнего дискурса о кибербезопасности, эти меры не были приняты. Не было дискуссии о том, должно ли было государство в принципе собирать и хранить такой гигантский объем информации о гражданах в отсутствии надлежащих средств защиты – риск, о котором защитники интернет-прав предупреждали еще в 2010 году. Вместо этого, инцидент записали в категорию дипломатических: американские чиновники обвинили во всем Китай, заявив, что рассматривают ответные меры.

Вот, что случается, когда регулятивная область очерчивается исключительно государственными агентствами безопасности и избранными бизнес-интересами. Например, американский Акт об обмене информации по кибербезопасности – который, по мнению многих, подрывает закон о защите данных и скорее увеличивает, а не снижает риски будущих атак – полностью обсуждался за закрытыми дверьми, где единственными негосударственными представителями были лоббисты телеком-индустрии.

В результате понятие кибербезопасности полностью смешалось с понятием “национальной безопасности”, без должного внимания к тому, что конкретно “безопасный” интернет означает для рядовых пользователей. Подобное понимание кибербезопасности – где возможности электронной слежки расширены, шифрование и анонимность ограничены, установлены “черные ходы” и структуры подотчетности ослаблены – может быть прямо противоположно безопасности человека.

В то же время, потребность в безопасности с точки зрения пользователя высока как никогда. Мы живем в мире, где данные играют все большую роль, а небольшая элитная группа высокотехнологических команий возвела гигантские монополии, основанные на бизнес-модели добычи, хранения и монетизации нашей персональной информации. Государственные службы, которые хранят щепетильные данные – от налоговых деклараций до историй болезни – стремительно идут в онлайн, в то время как зарождающийся интернет вещей приближает эру нательных мониторов состояния здоровья, взламываемых хакерами тостеров и телевизоров, которые следят за вами.

Вот почему, вместо плача по нынешним нападкам на защиту данных и прайвиси, нам нужно перехватить инициативу и призывать к новому определению понятия кибербезопасности, основанному на защите и правах конечного пользователя, а не систем.

Наше осведомленное согласие

Как это будет выглядеть? Это может означать легальный и нормативный сдвиг в нашей концепции владения данными, когда собственность и контроль над персональной информацией будут отданы в руки пользователей, а не платформ и сервисов. Это может означать гарантированное сквозное шифрование и общественные образовательные программы, фокусирующиеся на прайвиси пользователей и защите данных. Это также может означать внедрение более надежных структур отчетности и контроля в тех ситуациях, когда сбор данных признан необходимым – четко обозначив эти правомочия и обеспечив механизмы надзора, включая сотрудников с высоким уровнем компьютерной грамотности и судебное дозволение на любое вмешательство в частную жизнь людей.

Прежде всего, интернет-сообщество должно бороться за открытый, инклюзивный, многосторонний подход к работе над интернет-регулированием. В демократическом обществе, применения требований кибербезопасности должно основываться на осведомленном согласии населения – это значит, что в дискуссиях должны быть слышны голоса не только государственных служб безопасности. Для достижения этой цели жизненно необходимы местные кампании против тех или иных деструктивных законодательных инициатив. В то же время, важно продумать и более рутинные механизмы участия людей в этом процессе, в отсутствии громких противоречивых инициатив.

Это будет также означать упреждающее лоббирование и готовность участвовать в публичных дискуссиях – не с тем, чтобы с порога отметать любые инициативы по продвижению кибербезопасности, а чтобы сознательно сдвигать дискуссию в сторону понимания кибербезопасности как защиты человека. Это потребует усилий на местном, региональном и глобальном уровнях.

Вопрос кибербезопасности относится к самой сущности интернета.

Интернет, в конце концов, не задумывался как безопасное пространство – его изначальный дизайн подразумевает техническое взаимодействие различных систем, законодательных систем и в целом горизонтальную структуру; все это не слишком способствует безопасности. Но именно эти характеристики делают интернет достойным того, чтобы за него бороться. Если мы хотим сохранить его таким, мы не можем позволить себе избегать данной дискуссии.