Расширенный поиск
Олег Демидов, консультант ПИР-Центра, авторитетной неправительственной организации, занимающейся вопросами международной безопасности, включая темы информационной безопасности и глобального управления интернетом, поделился с Digital.Report взглядом на ситуацию в странах Центральной Азии.

Digital.Report: Какую работу ведет ваша организация в вопросах кибербезопасности в целом и в странах Центральной Азии в частности?

Олег Демидов: ПИР-Центр развивает программу «Глобальное управление Интернетом и международная информационная безопасность» с 2011 г., начав такую работу фактически первым из российских неправительственных аналитических центров. В рамках программы можно выделить три ключевых формата деятельности.

Первый – собственно исследования вопросов регулирования и защиты критической информационной инфраструктуры в России и в мире, выработки норм и правил ответственного поведения для государств и акторов-посредников в киберпространстве, трансформации глобальной экосистемы управления Интернетом. Несмотря на научно-аналитический характер, такая деятельность завязана и нацелена на продвижение российских национальных интересов и продвижение интересов российского интернет-сообщества.

За прошедшие годы эксперты ПИР-Центра выступали, участвовали в наполнении повестки дня и выработке предложений и рекомендаций в рамках конференций ICANN и процесса IANA Transition, глобального саммита по вопросам будущего управления Интернетом NETmundial, всемирного Форума по вопросам управления Интернетом (IGF) и Европейского диалога по управлению Интернетом (EuroDIG), Общества Интернета (ISOC), Глобальной конференции по вопросам киберпространства (GCC), экспертных консультациях Института ООН по вопросам разоружения (UNIDIR) и во многих других форматах.

В рамках российского диалога эксперты ПИР-Центра работают над вопросами обеспечения кибербезопасности и регулирования информационной инфраструктуры в контакте как с государственными министерствами и ведомствами РФ, так и с российскими частными компаниями ИТ-отрасли и техническим сообществом.

Второе направление программы ПИР-Центра – публикации и просвещение (raising awareness) широкой аудитории по указанным вопросам. Эта задача решается как за счет издаваемого ПИР-Центром авторитетного журнала «Индекс Безопасности», а также электронного бюллетеня «Пульс кибермира» и нерегулярных изданий.

Наконец, третья составляющая программы ПИР-Центра имеет просветительско-образовательный характер, и включает в себя Кибермодуль ежегодной Международной школы ПИР-Центра по глобальной безопасности, а также отдельные тренинги по вопросам кибербезопасности и управления Интернетом.

Такие мероприятия каждый год охватывают 20-25 молодых представителей государственных ведомств (МИД, МО и проч.), экспертных структур и частных компаний из стран СНГ и Восточной Европы, которые получают интенсивный предметный и специализированный тренинг по всем вопросам, которые входят в программу ПИР-Центра. Участники тренинга получают комплексную картину проблем, вызовов и угроз, технических, правовых и международно-политических реалий в сфере управления Интернетом, защиты критических инфраструктур, обеспечения кибербезопасности и регулирования киберпространства.

Лекторы курсов ПИР-Центра – ведущие российские и мировые эксперты, опытные дипломаты и лидеры ИТ-отрасли. Такая программа во многом остается уникальной для русскоязычного пространства СНГ, и востребованность ее весьма высока. Я рад отметить, что в тренингах ПИР-Центра по теме ИКТ регулярно участвуют представители большинства стран Центральной Азии, которые демонстрируют активный интерес к рассматриваемым на тренингах темам. Это говорит о том, что наша работа актуальна и полезна для центральноазиатской аудитории, и мы будем ее продолжать.

Можно ли сказать, что в странах региона власти часто используют политизированную интерпретацию понятия «информационная безопасность»?

В последние годы на постсоветском пространстве правительства стали чаще поднимать вопросы информационной безопасности на национальном и межгосударственном уровнях. Зачастую под этим термином понимается «защита информационного пространства от деструктивных информационных воздействий» (определение информационной безопасности в Протоколе о взаимодействии государств-членов ОДКБ по противодействию преступности в информационной сфере) или предотвращение «посягательств на информационный суверенитет», «актов информационной агрессии» и т. п. (проект Стратегии информационной безопасности государств-участников СНГ).

Вопросы национальной, социально-политической безопасности в контексте вызовов ИКТ, киберобороны и обеспечения стратегической стабильности в киберпространстве, так же как контроль контента или трансграничных и внутристрановых потоков трафика, как правило, не включаются в определение и повестку дня кибербезопасности в международной практике.

Определение кибербезопасности в международной практике (в частности, согласно рекомендации Международного союза электросвязи ITU-X.1205) звучит так: «… набор средств, стратегии, принципы обеспечения безопасности, гарантии безопасности, руководящие принципы, подходы к управлению рисками, действия, профессиональная подготовка, […] технологии, которые могут быть использованы для защиты киберсреды, ресурсов организации и пользователя. Кибербезопасность состоит в попытке достижения и сохранения свойств безопасности у ресурсов организации или пользователя, направленных против угроз безопасности в киберсреде для обеспечения доступности, целостности и конфиденциальности».

Вопросы национальной, социально-политической безопасности в контексте вызовов ИКТ, киберобороны и обеспечения стратегической стабильности в киберпространстве, так же как контроль контента или трансграничных и внутристрановых потоков трафика, как правило, не включаются в определение и повестку дня кибербезопасности в международной практике. К примеру, вопросы киберобороны рассматриваются отдельными структурами, прежде всего специальными подразделениями в структуре вооруженных сил и министерств обороны.

Что же тогда входит в него?

Похожее по смыслу на ITU-X.1205 определение используется в стандарте Международной организации по стандартизации ISO/IEC 27032:2012 Information technology — Security techniques — Guidelines for cybersecurity, принятом в 2012 г. В стандарте приводится иллюстрация, которая отражает место кибербезопасности среди других ниш в экосистеме безопасности организации и общества в целом.

IS Demid

Схема демонстрирует, что кибербезопасность представляет собой отдельное направление, которое соприкасается, но не совпадает полностью ни с сетевой безопасностью, ни с интернет-безопасностью, ни, наконец, с информационной безопасностью. При этом, исходя из логики стандарта, защита контента, т.е. самих данных, передаваемых и обрабатываемых в компьютерных сетях, имеет не меньшее значение, чем защита самих сетей. Однако при этом речь ни в коей мере не идет об оценке влияния контента на человека, общество и государство – т.е. вопроса из сферы «информационной безопасности» и «информационного суверенитета» в понимании РФ и ее партнеров по ОДКБ и ШОС.

Таким образом, в широком смысле к вопросам кибербезопасности относятся технические, правовые и организационные меры борьбы с киберпреступностью, защита персональных, корпоративных и государственных данных, продвижение культуры кибербезопасности и техническое взаимодействие операторов интернет-сервисов, регуляторов и других участников отрасли.

Речь ни в коей мере не идет об оценке влияния контента на человека, общество и государство – т.е. вопроса из сферы «информационной безопасности» и «информационного суверенитета» в понимании РФ и ее партнеров по ОДКБ и ШОС.

Сюда же в значительной степени входит защита критической инфраструктуры, разработка и принятие технических и административных стандартов ИБ/кибербезопасности. Наконец, это предотвращение киберинцидентов, а также реагирование на них.

Речь о структурах типа CERT?

Да, одним из важных компонентов кибербезопасности может считаться наличие в стране т. н. Групп по реагированию на компьютерные инциденты (CERT). Развитие системы таких организаций в Центральной Азии находится пока на начальной стадии. Национальные Службы реагирования на компьютерные инциденты действуют в Казахстане c 2011 г. и Узбекистане с 2013 г. в структуре государственных органов.

Причем в Узбекистане сложилась интересная ситуация. Под брендом CERT-UZ там работает Отдел технической безопасности в структуре государственного Центра UZINFOCOM, созданного в 2002 г. и подведомственного Министерству по развитию информационных технологий и коммуникаций. Его услуги довольно характерны для CERT и включают содействие организациям и правоохранительным органам в расследовании инцидентов ИБ и правонарушений в области ИТ, работу с обращениями клиентов по вопросам инцидентов и проч. Однако эти услуги направлены в основном на клиентов дата-центра UZINFOCOM и, таким образом, не достигают охвата, присущего национальным CERT в мировой практике.

При этом в 2013 г. в стране был создан Центр обеспечения информационной безопасности (ЦОИБ, Information Security Center) при Министерстве по развитию информационных технологий и коммуникаций Узбекистана. Это единое госучреждение, обеспечивающие сбор и анализ информации по компьютерным инцидентам, консультативную и техническую поддержку в предотвращении угроз компьютерной безопасности в республике. Центр де-факто выполняет значительную часть функций CERT, включая прием и обработку сообщений об уязвимостях и инцидентах, оказание технических консультаций по вопросам ИБ, проведение тренингов и налаживание международного взаимодействия как с региональными и международными организациями и с зарубежными CERT.

В Таджикистане работает свой Центр обеспечения информационной безопасности. Все эти институции созданы при госорганах и выполняют правительственный мандат.

Это не характерно для CERT в международной практике?

Как правило, они достаточно часто являются независимыми структурами в форме некоммерческих фондов или научно-исследовательских организаций. Впрочем, CERT Казахстана признан в международной системе аналогичных организаций, аккредитован CERT.ORG, участвует в крупнейших международных ассоциациях коман реагирования на киберинциденты FIRST, Trusted Introducer, Anti-Phishing Working Group.

Кстати, в регионе с 2014 года действует и региональный CERT при Организации договора о коллективной безопасности (ОДКБ), с заявленной целью «блокирования информационных атак, в том числе с территории других государств».

В целом, актуальность развития таких структур для государств Центральной Азии велика, но вопрос их формирования, выведения на постоянный и комплексный формат деятельности и, впоследствии, отраслевой специализации будет упираться в техническую готовность, организационные, финансовые и человеческие ресурсы.

Одним из важных компонентов кибербезопасности может считаться наличие в стране т. н. Групп по реагированию на компьютерные инциденты (CERT)

Как обстоит ситуация с межгосударственным взаимодействием центрально-азиатских стран — помимо наличия регионального CERT?

На сегодня Центральная Азия не охвачена каким-либо единым международным форматом борьбы с киберпреступностью. Инструменты и механизмы, предлагаемые региональными форматами, отрывочны и не образуют комплексной системы противодействия этим вызовам. В частности, страны региона не участвуют в механизме Конвенции о компьютерных преступлениях Совета Европы от 2001 г. Существующие форматы, например ОДКБ, решают точечные задачи, такие как выявление и закрытие интернет-ресурсов с экстремистским и противоправным контентом (серия операций ПРОКСИ).

Вместе с тем, такая деятельность, несмотря на свою востребованность, не решает общую задачу борьбы с киберпреступностью, в том числе финансовой, в режиме 24/7/365. Проблемы предотвращения и борьбы с ежедневными вызовами киберпреступности пока в большинстве случаев решаются самими операторами связи.

Определенную работу в этом направлении ведет Шанхайская организация сотрудничества (ШОС)…

Действительно, в 2015 г. государства-участники ШОС, включая представителей Центральной Азии, направили Генеральному Секретарю ООН вторую редакцию Правил поведения в области обеспечения международной информационной безопасности. Предлагаемые международному сообществу Правила содержат призывы и предложения в том числе по формированию культуры информационной безопасности, а также запрету использования ИКТ в противоправных целях.

Письмо Генеральному Секретарю представляет собой переработанную и дополненную версию аналогичного документа от 2011 г., которая была подписана четырьмя странами-участницами организации (РФ, Китай, Казахстан, Таджикистан). Авторы документа ставят перед собой долгосрочную и масштабную цель – сдвинуть с мертвой точки процесс оформления международно признанных норм ответственного поведения в киберпространстве.

Однако формат и принцип действия самого документа относятся к сфере «мягкого права» и рекомендаций, не предполагают конкретных технических и правовых механизмов борьбы с киберпреступностью для внедрения на национальном уровне. Вместе с тем, такой документ действительно может использоваться государствами Центральной Азии для целей гармонизации принципов и национальных политик в сфере борьбы с противоправным использованием ИКТ.

Центральная Азия не охвачена каким-либо единым международным форматом борьбы с киберпреступностью. Инструменты и механизмы, предлагаемые региональными форматами, отрывочны и не образуют комплексной системы противодействия этим вызовам.

Ранее страны ШОС уже предприняли попытку оформить сотрудничество в сфере обеспечения информационной безопасности на уровне обязывающего международного документа. Таким документом стало Соглашение между правительствами государств-членов ШОС о сотрудничестве в области обеспечения международной информационной безопасности, подписанное 16 июня 2009 г. на саммите в Екатеринбурге.

Документ позиционируется как первый обязывающий международный механизм, закрепляющий общее видение его участниками ключевых вызовов и угроз в сфере ИКТ, а также фиксирующий направления совместной деятельности по их снижению и предотвращению. В том числе Соглашение предполагает совместную работу по защите объектов критической инфраструктуры от ИКТ-угроз, борьбу с компьютерной преступностью и кибертерроризмом, укрепление стабильности, безопасности и отказоустойчивости инфраструктуры Интернета и так далее.

Однако необходимо понимать, что несмотря на широкий охват и комплексный характер, Екатеринбургское соглашение ШОС представляет собой лишь рамочную конструкцию, которую необходимо наполнять конкретным содержанием и практическими механизмами сотрудничества, в том числе на основе отдельных соглашений по конкретным вопросам. В этом смысле межгосударственная работа по противодействию киберугрозам в рамках ШОС пока ближе к начальному этапу.

Помимо решений политическом уровня, какие возможные решения вы бы могли рекомендовать?

Пока государствам Центральной Азии не хватает четких регуляторных подходов в части определений, классификации и выстраивания межведомственного взаимодействия. Необходимо создавать и развивать процесс активного диалога между отраслью и регуляторами, чтобы доносить мнения частного сектора и технических экспертов для государства. Сами регуляторы заинтересованы в том, чтобы более четко определить сферы ответственности и разделить между собой компетенции в сфере кибербезопасности, чтобы избежать дублирования функций и регуляторных лакун.

Недостаточным остается межоператорское взаимодействие. Учет мнений отрасли регуляторами и эффективное донесение позиции до государства труднодостижимо без консолидации этого мнения, что возможно в процессе взаимодействия между участниками отрасли. Кроме того, в случае с большинством стран ЦА, государства и регуляторы могут не иметь ресурсов или не видеть стимулов к активному усвоению, изучению и продвижению лучших международных практик и опыта в сфере обеспечения кибербезопасности.

Проводником и аккумулятором передовых международных наработок — практик, стандартов и законов — может стать сама отрасль. Нужна консолидированная инициатива снизу.

В таких условиях проводником и аккумулятором международных наработок может стать сама отрасль. Позиция ожидания того, что государство самостоятельно дозреет и начнет внедрять передовые международные практики, стандарты и законы, может себя не оправдать – нужна консолидированная инициатива снизу. Для этого, в свою очередь, представителям отрасли полезно более активно вовлекаться в работу региональных и международных площадок по обсуждению вопросов кибербезопасности и развитию инфраструктуры Интернета (ENOG, встречи RIPE NCC, конференции ICANN, IETF, EuroDIG, IGF и так далее).

Наконец, государства ЦА не проводят учений по информационной безопасности критически важных объектов и защите критической информационной инфраструктуры. Учения, даже ограниченного масштаба, дают участникам отрасли крайне ценный опыт практического взаимодействия, который помогает формировать общее видение и понимание проблем гораздо быстрее и глубже, чем просто диалог.

То же правило действует и в отношении регуляторов – участие в учениях – возможно, максимально достоверный и наглядный способ понять, почему отрасль волнуют те или иные конкретные проблемы и интересуют те или иные конкретные их решения. Практическое взаимодействие также позволяет преодолеть во многом искусственные барьеры на уровне терминологии и формулировок – важно понимать и обсуждать, что конкретно делается в рамках работы с киберинцидентом, а не то, как именно эти действия называются в регуляторных актах.

Об авторе

Адиль Нурмаков

Кандидат политических наук, преподаватель Департамента медиа и коммуникаций в Университете КИМЭП (Алматы, Казахстан). Исследовательские интересы: новые медиа, интернет, гражданское общество, демократизация.

Написать ответ

Send this to a friend

Перейти к верхней панели