Дарья Цилюрик
Фото Reuters
Администрация США в среду опубликовала Концепцию кибербезопасности. После провала соответствующего законопроекта в Конгрессе документ явился уже второй попыткой Белого дома предложить такую форму защититы стратегически значимых компании от хакеров и других онлайн-угроз, ответственность за осуществление которой они будут нести сами. В тоже время правительство хотело бы сохранить за собой контрольные функции в этой сфере.
Концепция разработана для 16 секторов экономики, жизненно важных для всей страны, – продовольственного, сельскохозяйственного, энергетического, транспортного, финансового, оборонного, здравоохранительного и других. Она представляет собой документ объемом в 41 страницу с рекомендациями как выявлять потенциальные угрозы, защитить информационные и физические активы от кибератак и, если они все же произошли, справиться с ней. По мнению американских технических специалистов, документ содержит мало революционных или хотя бы просто новых идей. Предлагаемые стандарты широко известны и технологически нейтральны (под предлогом того, что технологическое развитие идет очень быстрыми темпами), то есть, какие именно инструменты необходимо использовать для их реализации, не уточняется.
Ранее президент США Барак Обама пытался провести через Конгресс законопроект, который включал в себя три инструмента обеспечения кибербезопасности. Это новый механизм обмена информацией об угрозах между государственным и частным сектором, более совершенная защита ключевой инфраструктуры (электросетей, систем очистки воды) и расширение полномочий Министерства национальной безопасности. Однако в результате мощного лоббирования со стороны компаний, интерсы которых были бы затронуты нововведениями, инициатива провалилась в Сенате в августе 2012 года. После этого ровно год назад Обама подписал исполнительный указ, в рамках которого Национальному институту стандартов и технологий (входит в состав Министерства торговли США), и предписывалось выработать эти самые базовые меры киберзащиты.
Концепция кибербезопасности – лишь один из трех пунктов, изложенных в президентском указе. Второй пункт – защита тайны частной жизни и гражданских свобод. Третий пункт касается обмена информацией между компаниями, а также частным и государственным секторами. Он призван распространить программу под названием «Оборонно-промышленная база», позволявшую с 2011 года Министерствам обороны и внутренней безопасности обмениваться несекретной информацией о киберугрозах с компаниями-партнерами, в первую очередь, подрядчиками, на другие стратегические сферы, например, энергетическую и финансовую.
Из-за резкого отпора, который частный сектор дал госинтервенции, рекомендации Национального института стандартов и технологий носят добровольный характер. По выражению Джеймса Льюиса, эксперта по вопросам кибербезопасности из Центра стратегических и международных исследований, новые правила пригодны для госрегулирования практически в такой же степени, что и телефонная книга. Концепция не предусматривает механизма, контролирующего ее исполнение или получаемый от этого эффект, так что ни кнутом ни пряником загонять в эти рамки никого не будут, да это и невозможно – требовалось бы решение Конгресса.
Как пишет Wall Street Journal, бизнес боится денежных вложений, необходимых, чтобы отвечать стандартам, и ответственности, которая может наступить в случае крупной атаки. «Концепция не принуждает компании, которые наивны в вопросе безопасности или просто скупятся на необходимые инвестиции, поумнеть и выделить соответствующие средства, – пояснил Фил Либерман, консультант по компьютерной безопасности и исполнительный директор Lieberman Software (Лос-Анджелес). – Обычно штрафы и другие наказания – почти единственное средство заставить компании заняться своей безопасностью».
Администрация не советует ограничиваться мерами, содержащимися в исполнительном акте. Президент выступает еще и за введение универсального федерального стандарта, который требовал бы от бизнеса оперативно сообщать о краже персональной информации. Эта инициатива обусловлена довольно многочисленными и масштабными кибератаками против крупных ритейлеров, включая сеть Target, которая уже выделила 100 млн долл. на создание «умных» карт с компьютерными чипами. В декабре 2013 года хакеры украли у Target данные о 40 млн. кредитных и дебетовых карт, а также другие сведения о 70 млн. человек (номера телефонов, адреса). Эта мера могла бы узаконить новую степень контроля государства над бизнесом.
С монополизацией киберпространства, которой под предлогом различных угроз занимается американская администрация, пытаются бороться и в Евросоюзе. По мнению Еврокомиссии, управление Интернетом должно стать в большей степени интернациональным, доминирование США в этой сфере необходимо снизить. Предложен постепенный переход от американоцентричной модели к глобальному контролю. В первую очередь это ставит под удар Корпорацию по присвоению имен и номеров в Интернете (ИКАНН) со штаб-квартирой в Калифорнии, которая подчинена законодательству США и обязана следить за цифровым трафиком.
Как отметил в интервью «НГ» директор Координационного центра национального домена сети Интернет Андрей Колесников, Интернет растет и развивается, и вопросы его управления – это, прежде всего, вопросы технологические. «Думаю, что выражу точку зрения подавляющего большинства экспертов, если скажу, что самый главный принцип здесь – не навредить. Распределение нумерации и адресации в сети, обеспечение надежного функционирования Интернета, связности и безопасности требует очень профессионального подхода, и любые изменения здесь могут происходить только после тщательного взвешивания всех аргументов «за» и «против». Россия принимает активное участие в работе ИКАНН и других международных организаций, связанных с управлением Интернетом, поэтому считаю, что роль России в процессе глобального управления Интернетом и сегодня, и в перспективе достаточно серьезна и объемна».
Поводом для заявлений Еврокомиссии стал тезис о потери доверия к Интернету в связи с тотальным мониторингом «всемирной паутины», осуществляемом Агентством национальной безопасности США. Вместе с тем вице-президент ИКАНН в Европе Найджел Хиксон утверждает, что процесс повышения роли отдельных государств в составе корпорации начался задолго до разоблачений Эдварда Сноудена. Со своей программой представители Брюсселя выступят в апреле на Всемирной конференции по вопросу управления Интернетом в Рио-де-Жанейро (Бразилия).
