Страны озабочены собственной кибербезопасностью – много говорится о цифровом суверенитете, пишется масса законов, многие из которых невозможно исполнить. Но что такое «цифровое национальное пространство», где проходят его границы и есть ли они вообще? Эксперты в области информационной безопасности, встретившиеся на международном форуме «Партнерство государств, бизнеса и гражданского общества при обеспечении международной информационной безопасности (МИБ-2017) в апреле 2017 года, обсудили, как можно подойти к выработке единого понятийного аппарата и что можно считать отправными точками для написания законов, которые будут работать, а не жить «на бумаге».
Как государства могут реализовать свой цифровой суверенитет? Эксперты обсудили возможности и проблемы во время круглого стола, прошедшего в рамках международного форума «Партнерство государств, бизнеса и гражданского общества при обеспечении международной информационной безопасности (МИБ-2017) в апреле 2017 года. Есть 3 ключевых подхода к определению виртуальных границ:
- по устройствам, используемым для доступа в Сеть («граница реальности»);
- по физическим границам, где линии связи переходят с территории одного государства на другое;
- а также по «виртуальным границам», если пул интернет-адресов будет поделен между различными странами.
По мнению ведущего сотрудника Института проблем информационной безопасности МГУ Павла Пилюгина, для создания эффективной модели цифрового суверенитета необходимо комбинировать все 3 подхода: на уровне «границы реальности» необходимо проводить аутентификацию пользователей (например, в публичных точках доступа Wi-Fi), управлять трафиком в точках перехода линий связи на границы других государств, а также «управлять безопасным роутингом на уровне виртуальных границ».
Эффективная модель цифрового суверенитета должна учитывать 3 подхода:
- аутентификация на уровне устройств;
- управление трафиком на пограничных соединениях сетей;
- роутинг на уровне национальных интернет-адресов.
С технической точки зрения, для реализации данного комплекса мер потребуется применение технологических платформ SDN (software-defined networks, программно-определяемые сети) и NFV (network function virtualization, виртуализация сетевых функций). «Использование программной конфигурации позволяет не только управлять маршрутизацией, но и просматривать заголовки пакетов 1-4 уровня, а виртуализация позволяет создавать собственное представление сети со встроенными элементами защиты для каждого пользователя», – пояснил эксперт.
Чарльз Бэрри (Charles Barry) из Института национальной стратегии Университета национальной обороны США затронул технические аспекты обеспечения ИБ. По его словам, в последнее время большинство дискуссий были сфокусированы на вопросах защиты сетей, тогда как более актуальной задачей стала защита критической инфраструктуры. В то же время общепризнанного определения, что это такое, пока не существует. По данным ITU, существует 34 варианта трактовки этого понятия на национального уровне, а также 4 различных определения для транснациональной критической инфраструктуры. Хотя на уровне отдельных стран и регионов уже проделана достаточно большая работа. Например, в США реализуется «национальный план по защите инфраструктуры» (National Infrastructure Protection Plan), в рамках которого разрабатываются и корректируются стандарты ИБ. В Европе также была разработана программа по защите критической инфраструктуры, акцент в которой был сделан на энергетику и транспорт (например, управление воздушным движением). Общепризнанного определения критической инфраструктуры не существует.
При этом необходимо учитывать, что характер угроз постоянно меняется. «Раньше хакеры атаковали, ломали системы, брали нужные данные, а потом уходили. Теперь же атаки носят растянутый во времени характер – взломщики предпочитают оставаться внутри взломанной системы. Порой проходят месяцы, прежде чем атаку удается обнаружить», – констатировал Санджай Гоел (Sanjay Goel), директор по исследованиям Центра информационной криминалистики штата Нью-Йорк (NYS Center for Information Forensics and Assurance). По его словам, эволюция атак ведет к изменению стратегии противодействия хакерам: «Если раньше меры ИБ можно было охарактеризовать как обнаружение и предотвращение, то теперь действия специалистов направлены на обнаружение и сдерживание». В целом Гоел оценивает ситуацию с уровнем ИБ как удручающую и рекомендует развивать средства верификации пользователей, а также способствовать обмену ИБ-данными между правительственными и неправительственными организациями.
Раньше кибератаки обнаруживали и предотвращали, сегодня – обнаруживают и сдерживают.
20 лет безрезультатных обсуждений
Опыт показал, как сложно найти общие подходы к ИБ-инцидентам со стороны международных игроков. «За 20 лет переговоров в ООН мы так и смогли выработать устраивающий всех режим применения международных юридических норм для киберпространства», – резюмировала Энекен Тикк (Eneken Tikk), старший научный сотрудник из Лейденского университета (Нидерланды). Сегодня есть десятки нормативных документов, регламентирующих вопросы ИБ:
- 58 из них касаются непосредственно киберпреступлений;
- около 20 регламентируют сферу электронных коммуникаций;
- 25 касаются защиты персональных данных и обеспечения прав человека;
- 16 посвящены защите сетей передачи данных;
- 24 ориентированы на предотвращение международных конфликтов.
Однако либо эти нормы интерпретируются и применяются по-разному, либо ряд стран вовсе не признают данные положения. «Пока не договоримся об общих принципах, мы не сможем выработать конкретные нормы, понятные и приемлемые для всех», – уверена Энекен Тикк.
Анатолий Стрельцов, заместитель директора Института проблем информационной безопасности МГУ, также рассказал о необходимости выработки общих принципов. «На данный момент 25 стран договорились об общих формулировках. Если мы научимся их наполнять конкретным содержанием, то можно будет двигаться дальше. Для достижения данной цели необходима совместная работа юристов, военных, инженеров и представителей спецслжуб». По его словам, до сих пор остается непонимание вокруг 51 статьи устава ООН, связанное с трактовой вооруженного нападения применительно к использованию ИКТ. «В 2001 году был подготовлен проект конвенции о международно-правовой ответственности за нарушение международного права, с тех пор каждые 3 года он выносится на рассмотрение Генеральной Ассамблеи, и каждый раз отправляется на доработку», – рассказал Стрельцов. В итоге государства сами определяют случаи нарушения международного права и по своему усмотрению накладывают санкции.
Андреас Кюн (Andreas Kuehn) из Института Восток-Запад полагает, что главная ошибка при выработке норм ИБ заключается в недостаточном внимании к инициативам технического сообщества: «Негосударственные нормы не получает достаточного освещения, в то время как технические сообщества, которые имеют непосредственное отношение к обеспечению безопасности, не участвуют в дискуссии. Зачастую технические аспекты киберинцидентов остаются за рамками обсуждения, хотя именно технические детали и должны определять характер некоторых норм регулирования». В качестве инициаторов выработки норм со стороны технического сообщества могут выступать как частные компании (например, в 2014 году Micorosft предложила выработать правила поведения государств в кибер-пространстве), так и профессиональные объединения. Например, «инженерный совет интернета» – IETF, Internet Engineering Tank Force – занимающийся разработкой технических стандартов.
В целом наблюдаются два противоположных тренда развития цифрового пространства, отмечает Хиро Фудзимаки (Hiro Fujimaki) из университета Токай (Япония): с одной стороны, это нерегламентированное развитие интернета в качестве международного торгового пространства, с другой – желание отдельных стран поставить Сеть под более жесткий контроль. Подход варьируется в зависимости от региона: страны Шанхайской организации сотрудничества – Россия, Китай, республики Центральной Азии – склонны к построению иерархических структур для контроля за интернетом.
