Суверенная кибербезопасность: как глобальные проблемы влияют на ограничения медиа в интернете?

Слово «кибербезопасность» в последнее время всё чаще звучит в России. Нельзя сказать, что частота его употребления соответствует серьезности отношения к проблеме и качеству найденных решений. Но глобальные вызовы и локальные изменения заставляют российские власти реагировать и принимать меры. Эти действия активно влияют на многие сферы цифровой жизни, включая медийную экосистему.

Кибербезопасность и медиа

Мы живем в неспокойное время, когда медиа стали полем брани. Причем, на всех уровнях: физическом, цифровом, институциональном. Примеров более чем достаточно:

• Хакеры ИГИЛ взламывают аккаунты соцсетей Министерства обороны США и активно осваивают соцмедиа;
• Гибель французских карикатуристов из Charlie Hebdo обнажает конфликт традиционной исламской и современной постхристианской культур в Европе;
• В полномасштабной информационной войне в связи с событиями на Украине медиа с российским участием становятся мишенями воздействия.

Неудивительно, что оборона информационного пространства – серьезная задача не только для любого развитого государства и культурного общества, но и для различных групп влияния.

 

Вопросы кибербезопасности обширнее проблем ограничений для медиа. Так же, как тема информационной безопасности ещё шире, чем проблемы кибербезопасности. Но можно сказать, что именно с помощью медиа реализуются угрозы и меры по их устранению в цифровом пространстве. Поэтому медиа – ключевой компонент в системе защиты киберпространства.

 

Если не вдаваться в терминологические нюансы, то кибербезопасность – это безопасность информации и обеспечивающей инфраструктуры в цифровой среде. Также нужно учитывать, что есть несколько уровней проблем и решений: от частного, связанного с защитой граждан и конкретного человека от злоумышленников разного рода, до государственного и надгосударственного, где решаются задачи национальной безопасности и информационных войн.

 

Ключевым мероприятием и дискуссионной площадкой по кибербезопасности в России можно смело назвать Cyber Security Forum (в этом году традиционно состоится в феврале). Здесь кроме проблем информационной безопасности обсуждают также безопасность коммуникаций в медиа, вредоносные технологии распространения информации, а также возможности влияния на людей посредством медиа. Важно, что в ходе такого рода встреч участники обсуждают и вырабатывают законодательные решения, которые на базовом, инфраструктурном уровне напрямую влияют на работу медиа, устанавливают границы возможностей и ответственности для авторов публикаций.

 

Фото Nicholas Vallejos/Flickr.com

 

Кибербезопасность по-русски: что стало с Концепцией национальной стратегии?

Главным документом по вопросам кибербезопасности должна была стать «Концепция стратегии кибербезопасности Российской Федерации». Она, по идее, могла заложить основы взаимодействия всех участников цифровых виртуальных коммуникаций в России. Но концепция так и осталась в статусе несогласованного проекта, хотя потребность в ней назрела давно. В частности, этой проблеме уделяют много внимания отраслевые эксперты. Поскольку про важность информационной безопасности Рунета, государственной стратегии кибербезопасности России и необходимости международного сотрудничества в 2014 году говорили часто на всех уровнях, в том числе эту тему не раз озвучивал президент Путин.

 

На прошлогоднем форуме Cyber Security Forum 2014 (по ссылке — PDF) выяснилась довольно досадная вещь: отдельной национальной стратегии в области кибербезопасности в ближайшее время ждать не приходится. Вместо этого Рунет, медиа и IT-индустрия в широком смысле получают косвенные правила в комплексе ограничительных, запретительных и карающих мер, которые существенно усложнят и без того непростую жизнь не только профессиональных коммуникаторов, но и простых пользователей.

 

Справедливости ради нужно сказать, что в январе 2013 года Владимир Путин поручил ФСБ разработать систему по прогнозу и предотвращению кибератак. А в конце июля 2013 года Президент РФ подписал документ «Основы государственной политики РФ в области международной информационной безопасности на период до 2020 года». На базе этих основ в начале 2015 года ожидается подписание соглашения о сотрудничестве с Китаем. По некоторым сведениям, этот документ задумывался как ответ на на принятую в 2011 году США «Международную стратегию по действиям в киберпространстве». В ней американцы приравнивали компьютерные атаки к форме военных действий, что дает право применять в ответ любое оружие, вплоть до ядерного. Чем мы хуже американцев?

 

Но это не совсем про национальную безопасность: здесь вопрос идет о международной информационной безопасности (МИБ). И ключевое слово здесь «международной»: в документе прописаны цели и задачи, очерчены направления и механизмы реализации госполитики во внешенполитических вопросах. Опять же, «информационная безопасность» предполагает более широкий круг проблем, чем «кибербезопасность».

 

Предыстория с концепцией национальной кибербезопасности такая. Руслан Гаттаров — (на тот момент Председатель Временной комиссии по развитию информационного общества Совета Федерации) в ноябре 2012 года собрал рабочую группу, привлёк широкий круг экспертов. По его же словам, стратегию кибербезопасносности старались готовить по принципу «мультистейкхолдеров», то есть учитывать мнения и интересы всех вовлеченных в процессы сторон.

 

На выходе получился довольно абстрактный документ, хотя и не лишенный здравого смысла, и уж точно, актуальный по духу — «Проект концепции стратегии кибербезопасности Российской Федерации». Этому предшествовало порядка пяти версий проекта: сначала обсуждался в открытом режиме с журналистами, потом в закрытом. В том числе, велись консультации со спецслужбами.

 

Финальную версию выложили на сайт Совета Федерации в режиме краудсорсингового проекта для обсуждения. По оценке автора документа, он собрал порядка 120 комментариев на сайте и ещё столько же на бумаге.

 

Проект был оценен по-разному: от искреннего желания помочь работе на одних ресурсах, до жесткой критики экспертов в блогах. Но проблемы начались ещё до широкого рассмотрения проекта Концепции. Судя по некоторым отзывам «сверху», для власти разработанный документ в том виде и предложенной кондиции был изначально непроходным вариантом. Газета «Коммерсантъ» опросила представителей исполнительной власти в конце 2013 года и выяснила, что концепция Гаттарова «противоречит госполитике России в данной сфере».

 

В конце ноября 2013 года состоялись парламентские слушания «Концепции стратегии кибербезопасности РФ». Дальше проект должен был уйти в Совбез, там получить одобрение, чтобы запустить процесс разработки самой стратегии. Однако на данный момент судьба проекта неясна, и есть основания полагать, что он застрял на стадии утверждения или был отвергнут вовсе. Это косвенно подтверждает тот факт, что Руслан Гаттаров в феврале 2014 года досрочно ушел с должности в Совете Федерации и отошел от разработки концепции, вернувшись в Челябинск. Его место в Совфеде заняла Людмила Бокова, которая также будет курировать вопрос разработки и стратегии кибербезопасности. Ранее она занималась в основном вопросами школьного образования и педагогики.

Кибербезопасность в России и мире: основные тенденции и чем это грозит медиа?

Таким образом, на данный момент в России нет основополагающего и соответствующего современным реалиям и вызовам документа, который бы объяснял, как быть с кибербезопасностью на национальном уровне. От этого плохо всем, включая медиа.

 

Вместо структурированной системы регламентов в российской практике есть ряд декларативных документов (Доктрина информационной безопасности, Стратегия национальной безопасности до 2020 года, проект Концепции стратегии кибербезопасности (pdf) и другие), а также пакеты ограничивающих и запрещающих законов и поправок (в том числе, резонансные 139-ФЗ о защите детей от вредной информации, 136-ФЗ об оскорблении чувств верующих, «блогерский» ФЗ-97 и прочие). Подобных мер очевидно недостаточно для создания гибкой и эффективной системы безопасности в киберсреде. Потому впереди большая работа по разработке национальных стандартов и их гармонизации с международными нормами.

 

Этим мы существенно отличаемся от «западных» подходов к развитию безопасного Интернета. В Европе сеть призвана способствовать развитию общества и мультикультурализму, поддерживать культурно-языковое многообразие, расширять права пользователей и поощрять открытость. При этом Интернет должен быть глобально доступен, открыт, децентрализован в управлении. Соответственно, вопросы кибербезопасности должны исходить из этих с виду простых, но глубоких ценностных предпосылок. Хотя в Европе не всё так ладно с открытостью и мультикультурализмом, но отправные точки и рациональные установки для проектирования будущего есть.

 

Начать можно с базовых вещей. Прежде всего, в российской практике необходимо развести понятия «информационная безопасность» и «кибербезопасность». Также основным трендом в международной практике становится акцент на сотрудничество государства, бизнеса и гражданского общества, — то есть на создание экосистемы по противостоянию киберугрозам. При этом развитые страны пытаются избежать как чрезмерного регулирования, так и недостаточного внимания со стороны государства.

 

Примечательно, что национальные стратегии безопасности в сети появились сравнительно недавно. США как один из лидеров в развитии этого направления обзавелись стратегией национальной кибербезопасности только в 2003 году. К примеру, Франция выработала свои нормы и правила только в 2011 году, а единая стратегия для Европейского союза появилась только в феврале 2013 года.

 

В 2014 году в стратегиях нового поколения существенно сместились акценты. Если раньше государство ориентировалось на защиту граждан и организаций, то теперь – на общество и институты в целом. Это связано с ростом роли Интернета в экономике и госуправлении, а также с потенциальными угрозами от других государств. То есть проблемы кибербезопасности от частных проблем буквально за пару десятков лет выросли до межгосударственного уровня. Поэтому поощряется межведомственное взаимодействие и государственно-частное партнерство внутри стран и межгосударственное сотрудничество снаружи. Роль медиа в данной ситуации можно сравнить с ролью нервной системы в организме человека: передавать импульсы и сигналы, которые приводят к корректной работе всего общественного организма.

 

Не идеализируя роль общества и медиа, надо отметить, что государственный суверенитет и защита собственных экономических и политических интересов ставится всеми активными участниками процесса на первое место, при этом ценность открытости Интернета, его саморегулирования признаются незыблемыми. В сохранении этого баланса призвано помогать гражданское общество и журналистика как общественный институт: использование гибкой стратегии со стороны государства должно помочь наработать факты и практики для принятия решений (на базе массивов знаний, мониторинга киберугроз и схем реагирования на них). Об этих фактах, в частности, рассказывала на уже упомянутом Cyber Security Forum 2014 эксперт Елена Войниканис из Ростелекома.

 

В нынешнем 2015 году, очевидно, усилится контроль и борьба с кибертерроризмом, но расширение участия граждан и медиа в построении сетевой системы безопасности пойдет на пользу всем участникам.

Кибербезопасность, проблема сетевого доверия и медиа

Еще одна ключевая проблема, наращивание влияния которой наблюдалось весь 2014 год и продолжается усиливаться, – это проблема доверия между странами. Разоблачительные скандалы с Джулианом Ассанжем, Эдвардом Сноуденом и прослушкой немецких политиков американскими спецслужбами обнажили недоверие и подозрительность стран в отношении друг друга. Доходило до того, что канцлер Германии Ангела Меркель всерьез заговорила о «цифровом суверенитете», а некоторые германские ведомства предлагали вернуться к использованию печатных машинок.

 

Взаимная неприязнь спецслужб и руководителей стран, сдобренная столкновением интересов в зонах локальных конфликтов и подогретая акциями международных террористов, активно ретранслируется медиа, а также захватывает миллионы людей в социальных медиа. Как выяснилось, Интернет может не только эффективно объединять, но и разобщать и обострять конфликты между людьми по всему миру, разбивая их на противоборствующие лагеря.

 

В связи с этим специалисты предсказывают возможный распад Интернета на ряд национальных иди даже групповых сегментов. А «общий» интернет превратится в «дикое поле» и маргинальную среду, где не работают законы и царит много опасностей. Это так называемая проблема «балканизации» Интернета, которую в прошлогоднем исследовании Pew Research Center поставили на первое место среди сетевых угроз.

 

Одним из следствием (или отчасти причиной) можно назвать также проблему «красной кнопки» для Интернета: есть техническая возможность на время отключить какую-то страну от глобальной сети. Но довольно быстро доступ восстановится, а военизация Интернета и киберугрозы из закрытых сегментов нарастают еще больше. К примеру, Саудовская Аравия, Сирия, Иран, Северная Корея, Китай живут с разной степенью закрытости своих «интернетов», и это не идет глобальной сети и мировой безопасности на пользу. Некоторый анализ того, что может быть, если Россию в результате санкций попытаются отключить от Интернета, можно почитать в статье на сайте Экспертного центра электронного государства.

 

Что же касается российских мер по ограничению свободы в Интернете, то в общем желание властей окультурить сетевое пространство и предложить правила игры понятно. Даже местами приемлемо, но на микроуровне законодательные инициативы часто выражены в запретительной и карательной манере. И это плохо для обеих сторон: власти так и не получают решения проблем, а медиа и активная публика все больше перемещается в «серую» зону, и проблемы уходят из поля зрения, но не снимаются с повестки.

 

Как показывает практика, попытки ограничить свободу доступа к различным сайтам и масс-медиа малоэффективны, а то и достигают противоположных целей. Например, блог «Шалтай-Болтай» от хакерской группировки «Анонимный интернационал» уже больше года держит в напряжении российский политический истеблишмент. Примерно та же ситуация с сайтом Алексея Навального (navalny.com). Блокировки корневых ресурсов не дают результата, поскольку организованы переадресации и «зеркала» основных ресурсов. Удачный обзор по сетевым запретам «Интернет ушел в тень» опубликовал в середине января на сайте slon.ru Антон Меркуров.

 

Безусловно, нужны стандарты, надо сотрудничать на международном уровне в борьбе с мошенничеством, терроризмом и преступным контентом. Но недальновидно пытаться строить границы внутри Интернета. В ответ на это получают развитие другие формы сетевой активности или сетевых сообществ, ещё более недоступных для надзора и контроля со стороны властей. Например, развиваются проекты глубинного веба, анонимные сети наподобии Tor, также анонимные соцсети или мессенджеры без подключения к Интернету. И это далеко не все тренды информационной безопасности ближайшего будущего.

Ключевые тренды на 2015 год

Исходя из во многом сбывшихся прогнозов аналитиков РАЭК, GROUP-IB и Лаборатории Касперского по прошедшему году, а также из собственных наблюдений за траекторией развития событий, можно выделить несколько ключевых трендов в кибербезопасности на ближайший год.

• 1. Тенденции регулирования Интернета по всех направлениям будут только усиливаться. Активно продолжатся разработки новых законопроектов и внесения изменений в действующее законодательство в сфере ИКТ и компьютерной информации.
• 2. Актуальность темы цифрового суверенитета РФ продолжит расти, особенно в связи с обострением в отношениях с Западом и санкциями в отношении России.
• 3. Отсюда — приоритетность информационной безопасности критически важных объектов.
• 4. По-прежнему будут использоваться темы безопасности детей в Интернете, защита верующих и нравственности, а также антитеррористическая риторика для преодоления сопротивления общественного мнения в проведении необходимых властных решений.
• 5. Значимость государственных инстанций и их влияния на интернет-индустрию и телеком-компании будет усиливаться, но также активизируется встречное движение со стороны бизнеса и профессионального сообщества в виде инициатив, совместных проектов и решений.
• 6. На бытовом уровне кибербезопасность: мобайл, спам, ботнеты, вирусы, фишинг, борьба с мошенниками и международными преступными группами интернет-мошенников. Всё это приводит к желанию людей ещё больше защитить свою частную жизнь и личную тайну, а потому развитие платформ и сервисов идут в этом направлении.
• 7. Угрозы для бизнеса: кибербезопасность с точки зрения коммерческих интересов становится все более насущной проблемой. Особенно в сфере банковского, IT и медийного бизнеса и защиты персональных данных.

Кибербезопасность в России: на чем базируется и как влияет на цифровые медиа?

Что сейчас прорабатывается вместо «стратегии кибербезопасности» или хотя бы ее «концепции»? На чем базируется кибербезопасность России как внутри страны, так и за её пределами? Эксперты РАЭК помогли ответить на эти вопрос в специальном бюллетене к Cyber Security Forum 2014 (PDF). Ниже приведены основные документы с пояснениями и обновлен статус их актуального состояния.

 

Концепция стратегии кибербезопасности была призвана сплотить бизнес, государство и гражданское общество для обеспечения кибербезопасности в стране. После Парламентских слушаний в Совете федерации и обсуждения на сайте СФ, документ должен был поступить к Валентине Матвиенко для его дальнейшего движения по цепочке доработок и согласований. Но, похоже, после недолгого обсуждения в сети инициатива заглохла.

 

Проект «Основы государственной политики по формированию культуры информационной безопасности». Работа над ним закончена в июле 2013 года, текущий статус документа неизвестен, и даже текст поисковиками найти не удается.

 

Закон о блокировке «пиратского» контента по требованию правообладателей (№187-ФЗ Федеральный закон «О внесении изменений в отдельные законодательные акты РФ по вопросам защиты интеллектуальных прав в информационно-телекоммуникационных сетях»). Целей регуляторов не достигает, но повысил риски ведения законного интернет-бизнеса в России. В силе с 1 августа 2013 года, формируется правоприменительная практика.

 

Законопроект об изменениях (их более 15) правил регулирования в сфере персональных данных (№416052-6 «О внесении изменений в Федеральный закон «О персональных данных» и статью 28.3 Кодекса Российской Федерации об административных правонарушениях»). Сейчас на рассмотрении в Госдуме и эксперты практически отстранены от влияния и правок его последующих редакций.

 

Законопроект о защите критической информационной структуры (Законопроект «О безопасности критической информационной инфраструктуры РФ» и ФЗ о внесении поправок в другие законы в связи с его принятием). РАЭК подготовил более 20 комментариев и замечаний к документу, в данный момент на рассмотрении в Госдуме.

 

Методический документ «Меры защиты информации в государственных информационных системах». С 11 февраля 2014 года регламентирует меры по защите информационных систем в госучреждениях.

 

Закон о немедленной блокировке ресурсов с экстремистским содержанием по требованию прокуратуры (№398-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации»). Комиссия РАЭК по правовым вопросам сформулировала свои замечания, но ни одно не было учтено. Закон вступил в силу с 1 февраля 2014 года.

 

Законопроект об информировании абонентов со стороны провайдеров Интернета о возможностях систем родительского контроля (№231833-6 «О внесении изменений в статью 14 Федерального закона «О защите детей от информации, причиняющей вред их здоровью и развитию»). Отклонен Госдумой в конце апреля 2014 года.

 

Законопроекты №428884-6 «О внесении изменений в отдельные законодательные акты РФ по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей» (направлен на упорядочение распространения информации и обмена данными между пользователями в Интернете) и № 428896-6 «О внесении изменений в отдельные законодательные акты РФ» (ужесточает требования к электронным денежным переводам). К этим законам у того же РАЭКа было немало профессиональных вопросов, где эксперты указывали на ряд недостатков технико-юридического, концептуального и технологического характеров. Оба закона вступили в силу с мая 2014 года.

 

Пакет «антитеррористических поправок» нацелен на противодействие террористам. На деле же многие эксперты видят в них формальный повод «закрутить гайки» по различным направлениям: ограничить возможности электронных платежей, распространения неугодной информации в сети и усилить контроль на уровне предоставления доступа в Интернет. В рамках расширения этого же пакета принят «Закон о Блогерах», который фактически приравнивает активных публикаторов по ответственности к журналистам, при этом не давая ничего взамен (если не считать привилегией, конечно, кнопку «ЯБлогер»).

 

Материал впервые опубликован в журнале «Журналист» №02/2015

 

Источник: MediaToolbox