Книга: Глобальное управление Интернетом и безопасность в сфере использования ИКТ: Ключевые вызовы для мирового сообщества

Проблемы международного взаимодействия и рекомендации для России и мирового сообщества

Проблемы международного взаимодействия и рекомендации для России и мирового сообщества

С учетом ограниченных перспектив международного сотрудничества в сфере обеспечения безопасности КИИ от ИКТ-угроз востребованным видится развитие форматов, которые не обязательно предполагают согласование официальных подходов государств и национальных регуляторов на уровне международной дипломатии и вообще не обязательно предполагают центральную роль государства. В частности, речь идет о необходимости создания и поддержки отраслевых центров обмена информацией (по аналогии с американскими Центрами обмена и анализа информации (ISAC)), повышения квалификации специалистов по ИБ АСУ ТП и КВО в целом, проведении регулярных киберучений как на национальном уровне, так и с подключением внешних партнеров, а также разработке условий государственно-частного партнерства в сфере обеспечения ИБ КВО и других подобных мерах.

В частности, в рамках международного сотрудничества реалистичной задачей могла бы стать попытка выработать базовые рамочные механизмы обмена информацией об угрозах и инцидентах безопасности на объектах КИИ.

Работа по следующим направлениям могла бы дать возможность осуществить конкретные шаги по осуществлению поставленных целей.

1. Начальным шагом может стать закрепление вопросов защиты КИИ от ИКТ-угроз в международной дискуссии. Процесс уже начал развиваться на нескольких площадках в части проблем кибербезопасности объектов мирной атомной отрасли. В продвижение и активизацию широкого публичного обсуждения этих вопросов внесли вклад экспертные исследования и инициативы. В 2013 г. на сайте Госдепартамента США было опубликовано исследование «Кибербезопасность АЭС», выполненное интернациональной группой экспертов из США, Германии и Италии. В числе рекомендаций, сформулированных авторами, Совету Безопасности ООН, в частности, предлагается в рамках главы VII Устава ООН рассмотреть и при необходимости внести поправки в тексты «антитеррористических» резолюций 1373 (2001)[4] и 1540 (2004)[5] с тем, чтобы их положения также распространялись на акты кибертерроризма в отношении ядерных объектов.

В январе 2014 г. доклад о мерах сдерживания и ответственного поведения государств в киберпространстве с упором на снижение рисков для объектов мирной атомной отрасли выпустил Институт «Восток – Запад»[6]. Одна из ключевых рекомендаций доклада призывала государства и частный сектор открыть на площадке Саммита по ядерной безопасности в Гааге дискуссию о выработке предварительного соглашения о том, что кибератаки, нарушающие безопасное функционирование гражданских атомных объектов в мирное время, должны быть запрещены многосторонним юридически обязывающим документом[7].

Эта рекомендация не была в полной мере учтена в ходе саммита, который состоялся 24–25 марта 2014 г. Однако проблематика кибербезопасности ядерных объектов все же была затронута на его площадке. В итоговом коммюнике саммита этим вопросам уделены два абзаца[8], которые, помимо прочего, призывают государства и частный сектор к разработке более эффективных стратегий снижения рисков атак на АСУ ТП и информационные системы атомных объектов, но не предлагают каких-либо международно-правовых нововведений в этой связи.

Важной вехой стала прошедшая 1–4 июня 2015 г. первая Международная конференция по компьютерной безопасности в ядерном мире, организованная МАГАТЭ. Задача конференции была определена как создание площадки для широкого обмена мнениями по вопросам защиты объектов ядерной отрасли от ИКТ-угроз, а также обсуждения возможностей укрепления роли МАГАТЭ по развитию международного сотрудничества в этой области. Содержание большей части докладов и обсуждений на конференции показало значительный зазор между развитием мысли в рамках экспертного трека 2 и видением проблем кибербезопасности атомной отрасли государствами и межправительственными организациями, включая прежде всего само МАГАТЭ. Правительства куда осторожнее экспертов оценивают перспективы тесного международного сотрудничества и выработки новых механизмов в этой нише; предпочтение отдается более узким, практическим и техническим задачам, для которых идеально подходит площадка МАГАТЭ. Причины лежат на поверхности: атомная отрасль особо чувствительна для национальной безопасности, что сильно ограничивает возможности обмена данными об инцидентах на атомных объектах, а также организации трансграничного содействия в расследовании таких инцидентов.

Вместе с тем формирование постоянной дискуссионной площадки для вопросов кибербезопасности атомной инфраструктуры показывает растущую важность этих вопросов для МАГАТЭ, а также для государств, развивающих мирную атомную энергетику. Поддержка этих треков и участие в них представляется востребованными для России и других государств направлениями работы. Вопросы ИКТ-угроз объектам КИИ в отрасли атомной энергетики также были затронуты в рамках IV Международной конференции по вопросам киберпространства, которая состоялась 16–17 апреля 2015 г. в г. Гааге, Нидерланды. Полезным и авторитетным форматом также стал международный научный форум «Партнерство государства, бизнеса и гражданского общества при обеспечении международной информационной безопасности», который ежегодно проходит в г. Гармиш-Партенкирхен, Германия. Наконец, дискуссия о безопасности КИИ атомной отрасли может получить должное развитие и в рамках генеральных конференций МАГАТЭ.

2. Учитывая высокий уровень компетенций МАГАТЭ в сфере разработки рекомендаций и практической проработки вопросов кибербезопасности на объектах ЯТЦ, целесообразным шагом в среднесрочной перспективе может стать закрепление за Агентством центральной роли в развитии и координации международного сотрудничества по борьбе с ИКТ-угрозами КИИ атомной отрасли. В частности, предметом обсуждения могут быть следующие меры:

• Формирование при МАГАТЭ международной базы данных по компьютерным инцидентам на объектах атомной отрасли. Информация, конфиденциально поступающая в подобный «информационный репозиторий» от государств-членов, компаний и экспертов ИБ-сектора и предприятий атомной отрасли, могла бы использоваться для развития рекомендаций и повышения экспертизы Агентства в этой области. Для создания базы данных может быть использован опыт существующих в частном секторе форматов – например, репозитория инцидентов безопасности на промышленных объектах (The Repository of Industrial Seсurity Incidents, RISI).

• Кроме того, в случае успешного развития формата репозитория МАГАТЭ могло бы выполнять функцию связующего звена между компаниями сектора ИБ, командами государственных экспертов и государствами, сталкивающимися с компьютерными атаками на объекты КИИ атомной отрасли и нуждающимися в оперативном содействии для их устранении и расследования. К примеру, в случае со Stuxnet наличие такого механизма позволило бы Ирану оперативно, открыто или конфиденциально, запросить у МАГАТЭ информацию о сходных инцидентах из репозитория, а также сделать запрос на содействие в оперативном устранении и расследовании атаки со стороны самих экспертов МАГАТЭ и, например, России и «Лаборатории Касперского». Добровольный и, по желанию, конфиденциальный характер участия сторон в таком механизме мог бы позволить решить вопросы дефицита доверия. Кроме того, глобальный характер МАГАТЭ обеспечил бы всем государствам-членам доступ к такому механизму, в отличие от RISI и других существующих баз данных.

• Наконец, в среднесрочной перспективе под координацией и на площадке МАГАТЭ с учетом компетенций Агентства могла бы стартовать разработка рамочного соглашения об обеспечении безопасности КИИ в атомной отрасли. Принятие подобного документа, помимо создания для государств стимулов к развитию регулирования данных вопросов, позволило бы в полной мере задействовать лучшие практики и экспертизу, которые могут быть накоплены Агентством в рамках работы механизма репозитория данных об инцидентах на объектах КИИ атомной отрасли. Однако на данном этапе рассматривать конкретное наполнение такого соглашения, как и прогнозировать сроки его возможной разработки и принятия, преждевременно.

3. За рамками МАГАТЭ потенциал имеют и другие форматы наращивания возможностей международного сотрудничества по обеспечению безопасности объектов КИИ от ИКТ-угроз. Однако именно объекты атомной отрасли (возможно, наряду с иными техногенноопасными объектами) имеют наибольшие шансы стать «стартовой площадкой» для международной проработки всей сферы безопасности КИИ. В пользу такой оценки говорит осознание международным сообществом особой опасности таких объектов, их ограниченного и легко идентифицируемого перечня и развитой практики международного регулирования их работы, которая накоплена в том числе усилиями МАГАТЭ.

4. Наряду с этим одна из задач, работа над которой вряд ли может быть выстроена в рамках МАГАТЭ, – это обеспечение взаимопонимания на международном уровне в части классификации КИИ и причисления к ней тех или иных объектов. Такая мера видится необходимым условием развития международного диалога по вопросам предотвращения угроз в этой сфере. Понимание того, какие объекты тот или иной зарубежный партнер относит к классу КИИ, может стать важной предпосылкой для наработки взаимных мер доверия и предотвращения кризисов, связанных с трансграничными инцидентами в сфере использования ИКТ.

5. Стороны могут задействовать форматы двусторонних и многосторонних консультаций для обмена опытом в части классификации объектов КИИ. Следующим этапом такого взаимодействия может быть формирование совместной системы классификации объектов, относимых к КИИ. В основе работы над формированием списка/классификации может лежать принцип отсечения тех видов/секторов, по которым нет полного консенсуса. Таким образом, к примеру, из 16 секторов КИ, выделяемых в США, 28 секторов в Швейцарии и 50 видов(подклассификация в рамках семи общих типов угроз) в России в общем списке останутся 10–12 категорий, которые встречаются во всех трех национальных классификациях.

6. За конечную цель такой работы может быть принято утверждение единообразного открытого перечня видов объектов КИИ вместе с инструментарием их классификации. Подобный список мог бы быть ограничен объектами КИИ атомной отрасли либо включать в себя КИИ техногенноопасных объектов и другие виды/секторы КИИ. Наличие общего аппарата классификации КИИ может способствовать развитию двусторонних и многосторонних мер доверия по вопросам безопасности в сфере использования ИКТ. В частности, будет обеспечена возможность своевременного предупреждения об атаках, направленных на критические объекты страны-партнера по соглашениям о мерах доверия.

Кроме того, именно наличие единообразного перечня видов КИИ и системы их классификации может послужить отправной точкой для разработки международных соглашений о запрещении атак на те или иные виды объектов в рамках такого перечня. Речь в том числе может идти об упомянутом перспективном рамочном соглашении об обеспечении безопасности КИИ в атомной отрасли на площадке МАГАТЭ.

Представляется целесообразным обеспечить участие в разработке подобных соглашений Группы правительственных экспертов (ГПЭ) ООН по достижениям в области информатизации и телекоммуникаций. Третий состав группы в 2013 г. уже обратился к изучению вопросов безопасности КИИ; планируется продолжение их изучения в рамках четвертого состава группы в 2015 г.

Практический прогресс в решении этих задач видится возможным к 2020 г. при условии, что в его участии будет принимать активное участие Российская Федерация.

1. Пискунова Н.А. Перспективы международного сотрудничества в области кибербезопасности ядерной энергетики в преддверии саммита по ядерной безопасности в 2014 г. // Электронный бюллетень ПИР-Центра «Пульс кибермира». Октябрь – ноябрь 2013 г. № 6 (6). URL: http://www.pircenter.org/media/content/files/11/13828249110.pdf (дата обращения: 01.03.2016).

2. Bruce W. McConnell, Greg Austin. A Measure of Restraint in Cyberspace: Reducing Risk to Civilian Nuclear Assets. East-West Institute. January 31, 2014. URL: http://www.ewi.info/sites/default/files/A%20Measure%20of%20Restraint%20in%20Cyberspace.pdf (дата обращения: 01.03.2016).

3. Rauscher K.F. and Korotkov A.V. Working Towards Rules for Governing Cyber Conflict: Rendering the Geneva and Hague Conventions in Cyberspace. East-West Institute. 03.02.2011. URL: http://www.ewi.info/idea/towards-rules-governing-cyber-conflict-0 (дата обращения: 01.03.2016).

1. Проект федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» (подготовлен ФСБ РФ, текст по состоянию на 8 августа 2013 г.). Сайт «Российской газеты», URL: http://cdnimg.rg.ru/pril/article/83/27/52/zakonoproekt.doc (дата обращения: 01.03.2016).

2. Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации. Утверждены президентом России Д. Медведевым 03.02.2012, № 803. Совет Безопасности Российской Федерации. URL: http://www.scrf.gov.ru/documents/6/113.html (дата обращения: 01.03.2016).

3. Компьютерная безопасность на ядерных установках. Технические руководящие материалы. Справочное руководство // Серия изданий МАГАТЭ по физической ядерной безопасности. Международное агентство по атомной энергии. МАГАТЭ: Вена-2012. № 17. URL: http://www-pub.iaea.org/MTCD/Publications/PDF/Pub1527r_web.pdf (дата обращения: 01.03.2016).

4. Framework for Improving Critical Infrastructure Cybersecurity. Version 1.0. National Institute of Standards and Technology, 12.02.2014. URL: http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214-final.pdf (дата обращения: 01.03.2016).

5. OECD Recommendation of the Council on the Protection of Critical Information Infrastructures [C(2008)35]. OECD Ministerial Meeting on thе Future of the Internet Economy. Seoul, Korea, 17–18 June 2008. OECD Website. URL: http://www.oecd.org/sti/40825404.pdf (дата обращения: 01.03.2016).

Оглавление книги