Книга: Глобальное управление Интернетом и безопасность в сфере использования ИКТ: Ключевые вызовы для мирового сообщества

Раздел II Вопросы безопасности в области развития и применения ИКТ в глобальном контексте: на пути к единой терминологии и общим подходам

Раздел II

Вопросы безопасности в области развития и применения ИКТ в глобальном контексте: на пути к единой терминологии и общим подходам

По мере развития государственных политик в области использования ИКТ и управления Интернетом, а также развития международных дискуссий и попыток выработать международные договоренности, нормы и правила в этой сфере, растет значение используемой терминологии и заключенных в ней подходов.

В то же время отмечается усиление противоречий и политизация дискуссии именно вокруг терминологической составляющей предлагаемых доктринальных документов, национального законодательства, а также международных документов и их проектов, прежде всего по вопросам безопасности в области использования ИКТ.

С середины 1990-х гг. в США, а затем в Европе и во многих других странах получила распространение концепция и терминология кибербезопасности, опирающаяся прежде всего на понятие киберпространства как особой нефизической среды ИКТ. Несмотря на то что эти термины и производные от них понятия далеко не всегда употреблялись в национальных законодательствах разработавших и принявших их государств, а также далеко не всегда получали официальные определения, к настоящему дню терминология и идея кибербезопасности прочно закрепились как в профессиональном сообществе и частном секторе, так и в доктринальных и стратегических документах большого количества стран, надгосударственных образований (Европейский Союз), международных организаций (НАТО, Совет Европы, Региональный форум АСЕАН, ОЭСР, ОБСЕ и проч.).

Практически параллельно в ряде других государств, включая прежде всего Россию, получили развитие альтернативные концепции и подходы, основанные на иной терминологии. Наиболее целостным и системным из их числа можно считать концепцию международной информационной безопасности (МИБ), которая была изначально сформулирована Россией, а затем получила развитие и поддержку среди членов Шанхайской организации сотрудничества (ШОС), а также других государств и международных форматов (СНГ, ОДКБ).

С момента начала в 1998 г. деятельности по продвижению на международных площадках (прежде всего ООН) своего подхода Россия столкнулась с оппозицией со стороны ряда развитых государств, международных форматов, технического сообщества и зарубежного частного бизнеса. Оппоненты, в том числе эксперты и дипломаты США и стран Западной Европы, отмечали несоответствие российского подхода практикам, сложившимся в международном сообществе технических экспертов, и практикам частного сектора в большинстве стран мира.

Основной причиной стало расхождение двух подходов по поводу того, включается ли такой аспект, как влияние содержания информации на социально-политические и иные общественные процессы, в круг вопросов, подлежащих рассмотрению, согласованию и, в перспективе, международному регулированию в рамках проблематики ИКТ-безопасности. Хотя справедливости ради нужно отметить, что кибербезопасность отнюдь не ограничивается техническими аспектами (например, Европейская конвенция по кибербезопасности включает в качестве вида преступления распространение детского порно).

Содержание информации, генерируемой и передаваемой посредством ИКТ, и ее влияние на общественные процессы является одним из краеугольных камней в рамках МИБ. В то же время в практике США, государств Западной Европы, ряда других стран и международных форматов данный аспект не рассматривается в контексте кибербезопасности и ИКТ вообще. Данные вопросы рассматриваются ими в контексте соблюдения прав и свобод человека (свобода слова, свобода самовыражения), либо в плоскости безопасности исключительно в контексте противодействия терроризму и экстремизму, т. е. вне ИКТ-специфичного контекста. Собственно, в рамках повестки дня кибербезопасности упор делается на обеспечение и поддержание безопасности и стабильной работы ИКТ-инфраструктуры. «Человеческое» и «контентное» измерение проблемы при этом играет также важную, но опосредованную роль.

Еще один водораздел двух концепций проходит по вопросу о трактовке государственного суверенитета применительно к сфере ИКТ. Концепция МИБ утверждает незыблемость и верховенство государственного суверенитета в сфере ИКТ и предлагает механизмы достижения договоренностей, основанные прежде всего на межгосударственном взаимодействии. Концепция кибербезопасности как таковая не содержит конкретной позиции по вопросам суверенитета, так как он выпадает за ее рамки. Однако фундаментальное видение процессов в области ИКТ, заключенное в этом подходе, предполагает признание трансграничного характера киберпространства и, соответственно, ограниченной, неполной применимости к нему понятия и практик государственного суверенитета. Отсюда вытекает принципиальное расхождение сторон в вопросе о том, какие механизмы и инструменты регулирования применимы для обеспечения безопасности в сфере ИКТ на уровне государства и на международном уровне.

Конфликт между концепциями МИБ и кибербезопасности прослеживается и на национальном уровне регулирования в России, притом что понимание терминов в рамках кибербезопасности за рубежом также далеко не единообразно (см. табл. 2). Попытка привлечения экспертного сообщества и частного сектора к составлению доктринального документа, предпринятая в 2012–2013 гг. на площадке российского Совета Федерации, показала четкое наличие у этих заинтересованных сторон запроса на отражение в таком документе вопросов кибербезопасности. Результатом стала Концепция стратегии кибербезопасности Российской Федерации, которая многими экспертами оценивается как прогрессивный документ, отражающий мировые тенденции в области использования ИКТ. Вместе с тем разработанный экспертами документ получил немало критических отзывов, в том числе со стороны МИД РФ, а также Совета Безопасности РФ и ФСБ РФ.

Одной из причин стал тот факт, что текст концепции Стратегии явно идет вразрез с терминологией и концепцией предыдущих нормативных актов и доктринальных документов, начиная с Доктрины информационной безопасности Российской Федерации от 2000 г. и заканчивая Основами государственной политики России в области международной информационной безопасности на период до 2020 г., принятыми также в 2013 г. Таким образом, терминологический и концептуальный конфликт по вопросам безопасности в сфере использования ИКТ является уже и внутрироссийской реальностью, что увеличивает значимость задачи по его скорейшему разрешению.

Таблица 2. Определения киберпространства / информационного пространства

Расхождение в трактовке государственного суверенитета в области ИКТ также обусловливает разное видение объема компетенций и полномочий государства в отношении ключевого элемента ИКТ-инфраструктуры – Интернета. Основанная на саморегулировании модель работы технического сообщества, которая исторически сложилась в США и утвердилась за их пределами, легла в основу концепции управления Интернетом с участием всех заинтересованных сторон (англ. multistakeholder internet governance). Суть ее сводится к тому, что процесс управления Интернетом может осуществляться должным образом лишь при условии равноправного участия в нем представителей всех групп/сторон, которые непосредственно заинтересованы в развитии Глобальной сети. Изначально к таким «заинтересованным сторонам» относили государство, частный сектор и гражданское общество; по мере развития подхода этот список пополнился сообществом интернет-пользователей и техническим сообществом, что опять же не делает его закрытым.

Данный принцип получил признание и был зафиксирован в решениях Тунисского этапа Всемирной встречи на высшем уровне по вопросам информационного общества (ВВУИО) в 2005 г. Практически все страны мира, включая Россию, разделяют и поддерживают решения ВВУИО, как и сам подход с участием всех заинтересованных сторон – что не устраняет расхождений в его прочтении и трактовке. Российская Федерация, как и ряд ее партнеров на международной арене, не считает, что управление с участием всех заинтересованных сторон умаляет полноту государственного суверенитета по вопросам управления Интернетом; следовательно, принятие решений на международной арене в этой области должно осуществляться представителями государств. Прочие заинтересованные стороны должны включаться в процедуры обмена мнениями, консультирования и обсуждения на стадии проработки решений, но не могут самостоятельно принимать их, тем самым подменяя собой государство как единственный источник суверенитета в соответствии с международным правом[2].

Различные подходы и обусловленные ими понятийные системы, как в части безопасности в сфере ИКТ, так и в части управления Интернетом, имеют полное право на сосуществование. Однако в течение последних лет конкуренция концепций и терминологии в этой области развивается в русле политизации проблемы, что зачастую затрудняет и тормозит практическое решение проблем и выработку механизмов взаимодействия между сторонами.

Так, противоречия между США и Россией по терминологическим вопросам в сфере ИКТ-безопасности как минимум на год задержали подписание прорывных двусторонних соглашений, включающих реализацию комплекса мер доверия с целью предотвращения угроз безопасности в сфере использования ИКТ. Пакет из трех соглашений, готовившийся с 2011 г. для подписания президентами США и России на полях саммита G20 в Лос-Кабосе, Мексика, 18–19 июня 2012 г., удалось подписать лишь годом позже, 17 июня 2013 г. В результате перспективы этого формата сотрудничества оказались под вопросом год спустя в свете ухудшения двусторонних отношений России и США, когда еще не все механизмы были отлажены и опробованы на практике. Будь соглашения подписаны парой лет раньше, механизм мог бы иметь б?льшую ценность и устойчивость даже в условиях кризиса двусторонних отношений.

В более широком смысле терминологические конфликты блокируют шансы на конструктивную работу на международных дискуссионных площадках (серия Международных конференций по вопросам киберпространства в Лондоне, начиная с 2011 г.), не позволяя сторонам сконцентрироваться на действительно важных долгосрочных задачах. К числу таких задач можно отнести формирование институционального каркаса для глобальной системы борьбы с ИКТ-угрозами и предупреждения трансграничных конфликтов с использованием ИКТ.

В неменьшей степени терминологические противоречия препятствуют реформе и обновлению системы международного права с целью эффективного международного противодействия угрозам, обусловленным развитием новейших информационных технологий[3].

Отсутствие прогресса в решении этих проблем, обусловленное в ряде случаев неспособностью договориться на уровне терминологии, может быть чревато сползанием международной ситуации в полосу затяжных и разрушительных кризисов и конфликтов с использованием ИКТ уже в горизонте пяти – восьми лет.

В этой связи может быть востребована проработка следующих возможностей.

1. Деполитизация терминологических вопросов применительно к сфере ИКТ-безопасности и вывод их за рамки процесса выработки механизмов взаимодействия там, где это возможно. Параллельным шагом могла бы стать активизация работы над консенсусной терминологией на международных площадках.

2. Выделение и согласование в рекомендательном формате перечня терминов, не требующих определения и интерпретации в силу своей универсальности либо де-факто сложившегося единообразного понимания. Возможные площадки: Группа правительственных экспертов (ГПЭ) ООН по достижениям в сфере информатизации и телекоммуникаций в контексте международной безопасности, Организация по безопасности и сотрудничеству в Европе.

Примером такого термина может служить термин «интернет» – изначально название Глобальной информационно-телекоммуникационной сети, на сегодняшний день вошедшее в употребление в качестве глобальной технологии коммуникации и даже, как отмечалось выше, общественного блага. Прецедент определения понятия «интернет» был задан в 2004–2005 гг. Эксперты Рабочей группы при Генеральном Секретаре ООН пришли к выводу о том, что данное понятие не нуждается в официальных пояснениях и определениях именно в силу своей очевидности и универсального понимания.

3. Уход от терминологического конфликта «кибербезопасность – МИБ» за счет всестороннего продвижения и популяризации на переговорных и дискуссионных площадках наработок ГПЭ ООН и одноименных Резолюций Генеральной Ассамблеи ООН, принимаемых ежегодно с 1998 г., а с 2005 г. – с учетом наработок ГПЭ.

В частности, речь идет о терминологии «обеспечение безопасности при/в сфере использовании (-я) информационных и коммуникационных технологий (ИКТ)» (английский вариант – security of and in the use of information and communication technologies (ICTs)) как нейтральном и неполитизированном консенсусном термине с широким объемом.

4. Поддержка и реализация мер в части консенсусной терминологии, включенных в Первоначальный перечень мер укрепления доверия в рамках ОБСЕ с целью сокращения рисков возникновения конфликтов в результате использования ИКТ, который был согласован и принят 3 декабря 2013 г. при активном участии России.

Конкретно речь идет о статье 9 упомянутого перечня, в которой предлагается:

• каждому государству представить на добровольной основе перечень используемых ими терминов, касающихся безопасности ИКТ и их использования, сопровождаемый пояснением или определением по каждому термину;

• государствам-участникам – в среднесрочной перспективе составить общий согласованный глоссарий критических терминов ИКТ в сфере международной безопасности.

Целесообразной также видится организация аналогичной работы в части терминологии в рамках некоторых других форматов, в частности Регионального форума АСЕАН (АРФ) и упомянутой ГПЭ ООН.

5. В тех случаях, когда консенсусные терминологические наработки не работают либо отсутствуют в дипломатической практике, целесообразно опираться на наработки и технологически ориентированные определения международных организаций прежде всего в рамках структуры ООН.

Полезен может быть опыт Международной организации по стандартизации (ИСО), которая, несмотря на статус НПО, ведет деятельность в 164 странах мира и играет важную роль в разработке и распространении стандартов; в числе ее наработок – стандарт ISO/IEC 27032:2012 «Информационные технологии. Методы обеспечения безопасности. Руководящие указания по обеспечению кибербезопасности», принятый в 2012 г.

6. Наконец, преодоление терминологических конфликтов по вопросам ИКТ и их использования невозможно без обмена мнениями между представителями экспертных сообществ различных стран и регионов. В дополнение к работе правительственных экспертов в рамках ГПЭ ООН необходимо также усиление трека 1,5и трека 2в части работы над критической терминологией ИКТ.

Успешный проект такого рода был осуществлен в 2011 г. Институтом «Запад – Восток» и Институтом проблем информационной безопасности МГУ им. М.В. Ломоносова. По итогам общения группы российских и американских экспертов был издан двуязычный перечень 20 критических терминов в сфере кибербезопасности с расшифровкой. Представляется возможным возобновить подобный формат и усилить его за счет вовлечения широкого круга как правительственных, так и неправительственных экспертов из России, США и других стран. ПИР-Центр будет готов подключиться в такой работе в ближайшее время.

7. Несмотря на противоречие концепции Стратегии кибербезопасности России действующим доктринальным документам и нормативным актам, в экспертном сообществе сохраняется запрос на тот угол зрения на проблемы безопасности в сфере использования ИКТ, который отражен в ней. Востребованы серьезное обновление и доработка этого документа при участии всех профильных ведомств. К этой работе могли бы подключиться Совет по кибербезопасности при Военно-промышленной комиссии и межведомственная рабочая группа по информационной защите, о создании которых в марте 2015 г. отдал поручение заместитель председателя правительства России Дмитрий Рогозин.

Возможным направлением действий в этой связи могло бы стать формирование новой рабочей группы, включающей представителей государственных органов (СБ РФ, МИД РФ, ФСБ РФ, Министерства обороны РФ, МВД РФ, Министерства связи и массовых коммуникаций РФ и проч.), а также представителей частного сектора, академического и технического сообщества. Задача этой группы может включать проработку вариантов гармонизации терминологии концепции Стратегии кибербезопасности РФ с российским национальным законодательством и доктринальными документами.

1. Якушев М. Интернет-2012 и международная политика // Индекс безопасности. 2013. № 1 (104). С. 29–42.

2. Материалы круглого стола ПИР-Центра «Международная информационная безопасность и глобальное управление Интернетом: взгляд российских и международных экспертов на встрече в Женеве» // Индекс безопасности. 2013. № 1 (104). С. 185–206.

3. Двусторонний проект Россия – США по кибербезопасности. Основы критически важной терминологии / Под ред. К.Ф. Раушера, В. Ященко. Институт проблем информационной безопасности МГУ им. М.В. Ломоносова, 2011. URL: http://iisi.msu.ru/UserFiles/File/Terminology%20IISI%20EWI/Russia-U%20S%20%20bilateral%20on%20terminology%20RUS.pdf (дата обращения: 01.03.2016).

1. Решение Организации по безопасности и сотрудничеству в Европе (Постоянный совет) от 03.12.2013 № 1106 «Первоначальный перечень мер укрепления доверия в рамках ОБСЕ с целью сокращения рисков возникновения конфликтов в результате использования информационных и коммуникационных технологий». URL: http://www.osce.org/ru/pc/109648?download=true (дата обращения: 01.03.2016).

2. Тунисская программа для информационного общества. Всемирная встреча на высшем уровне по вопросам информационного общества. Женева, 2003 г. – Тунис, 2005 г. Организация Объединенных Наций. URL: http://www.un.org/ru/events/pastevents/pdf/agenda_wsis.pdf (дата обращения: 01.03.2016).

3. X.1205 (04/2008) «Обзор кибербезопасности». Серия X: Сети передачи данных, взаимосвязь открытых систем и безопасность. Международный союз электросвязи. Апрель 2004 г. URL: http://www.itu.int/rec/T-REC–X.1205-200804-I (дата обращения: 01.03.2016).

4. ISO/IEC 27032:2012 «Информационные технологии. Методы обеспечения безопасности. Руководящие указания по обеспечению кибербезопасности». Всемирная организация по стандартизации. 16.07.2012. URL: http://www.iso.org/iso/ru/catalogue_detail?csnumber=44375 (дата обращения: 01.03.2016).

5. Конвенция об обеспечении международной информационной безопасности (концепция). Совет Безопасности Российской Федерации. URL: http://www.scrf.gov.ru/documents/6/112.html (дата обращения: 01.03.2016).

6. Соглашение между правительствами государств – членов Шанхайской организации сотрудничества о сотрудничестве в области обеспечения международной информационной безопасности. NATO Cooperative Cyber Defense Centre of Excellence. URL: https://ccdcoe.org/sites/default/files/documents/SCO-090616-IISAgreementRussian.pdf (дата обращения: 01.03.2016).

7. Основы государственной политики Российской Федерации в области международной информационной безопасности на период до 2020 г. Совет Безопасности Российской Федерации. URL: http://www.scrf.gov.ru/documents/6/114.html (дата обращения: 01.03.2016).

8. Концепция стратегии кибербезопасности Российской Федерации (проект). Официальный сайт Совета Федерации Федерального Собрания Российской Федерации, 10.01.2014. URL: http://council.gov.ru/press-center/discussions/38324/ (дата обращения: 01.03.2016).

Оглавление книги