Уже более двадцати лет государства пытаются договориться о правилах ответственного поведения в цифровом пространстве. Однако прогресс в этом деле движется медленно, в то время как цифровизация шагает по планете семимильными шагами, создавая параллельно с новыми возможностями и новые риски. Бизнес, который больше всех страдает от новых вызовов и угроз в цифровом пространстве, начинает выдвигать свои инициативы, подталкивая тем самым правительства ускорить процесс создания международного киберкодекса.
В условиях отсутствия политического решения, касающегося обеспечения международной информационной безопасности, частные компании, стремясь обезопасить себя и своих клиентов, начали договариваться друг с другом о сотрудничестве и выдвигать свои инициативы. Таким образом создается параллельный с правительствами бизнес-трек по информационной безопасности.
Так, например, в феврале 2017 г. президент корпорации Microsoft Брэд Смит выступил с инициативой «Цифровой женевской конвенции». Конвенция, по задумке Microsoft, должна обязать правительства не предпринимать кибератаки на компании частного сектора или критически важную инфраструктуру других государств, а также не использовать хакерские атаки для хищения интеллектуальной собственности.
Еще одна инициатива — Хартия доверия (Charter of Trust) — была представлена компанией Siemens в 2018 г. Хартию подписали 16 компаний, включая IBM, Airbus, NXP и Total. Документ призывает компании создать строгие правила и стандарты, чтобы укрепить доверие к ИКТ и способствовать дальнейшему развитию цифровизации.
Есть инициативы, исходящие и от российского частного сектора. В частности, компания Норникель с 2017 г. продвигает на международной арене Хартию информационной безопасности критических объектов промышленности. К числу ее основных положений относятся: осуждение использования ИКТ в преступных, террористических, военных целях; поддержка усилий по формированию систем предупреждения и обнаружения и помощи в ликвидации последствий сетевых атак; обмен лучшими практиками по обеспечению информационной безопасности.
Представляется, что инициативы частного сектора прекрасно могут быть синхронизированы с теми инициативами, которые продвигают государства на площадке ООН. Ведь правительства в этой сфере преследуют те же цели, что и бизнес. Использование ИКТ в мирных целях, укрепление мер доверия, предоставление информации об уязвимостях и прочее — все это важно как для бизнеса, так и для большинства государств.
Уже более двадцати лет государства пытаются договориться о правилах ответственного поведения в цифровом пространстве. Однако прогресс в этом деле движется медленно, в то время как цифровизация шагает по планете семимильными шагами, создавая параллельно с новыми возможностями и новые риски. Бизнес, который больше всех страдает от новых вызовов и угроз в цифровом пространстве, начинает выдвигать свои инициативы, подталкивая тем самым правительства ускорить процесс создания международного киберкодекса.
Почему же бизнес-сообщество заинтересовано в установлении правил в киберсреде? На то есть множество причин.
Во-первых, количество и качество хакерских атак на частный сектор с каждым годом лишь возрастает. Их жертвами становятся предприятия всех масштабов — будь то малые предприятия или технологические гиганты. Например, от вируса NotPetya пострадал крупнейший перевозчик контейнеров Maersk — ущерб 300 млн долл., а на восстановление понадобился почти 1 млрд долл. Всего, по оценкам Сбербанка, ущерб для мировой экономики от хакерских атак в 2019 г. может составить около 2,5 трлн долл., а к 2022 гг. — уже 8–10 трлн долл.
Во-вторых, многие технологические компании по причине недоверия со стороны правительственных органов сталкиваются с серьезными трудностями при развитии и продвижении своих бизнес-проектов за рубежом. Так, например, сегодня в Великобритании, Норвегии, Польше и др. странах развернулись дебаты, следует ли допускать компанию Huawei к строительству сетей пятого поколения мобильной связи (5G), так как эту компанию подозревают в краже интеллектуальной собственности и шпионаже. В США, Австралии, Новой Зеландии уже введен запрет на использования 5G оборудования от Huawei.
С проблемой недоверия сталкиваются не только китайские компании, но и Google, Apple, Microsoft, Kaspersky Lab и многие другие, которых также зачастую обвиняют в незаконной слежке за людьми.
В-третьих, IT-компании вынуждены тратить внушительные суммы на защиту своих клиентов от хакерских атак и обеспечение информационной безопасности. Например, корпорация Microsoft ежегодно выделяет на эти цели свыше 1 млрд долл.
В условиях отсутствия политического решения, касающегося обеспечения международной информационной безопасности, частные компании, стремясь обезопасить себя и своих клиентов, начали договариваться друг с другом о сотрудничестве и выдвигать свои инициативы. Таким образом создается параллельный с правительствами бизнес-трек по информационной безопасности.
Так, например, в феврале 2017 г. президент корпорации Microsoft Брэд Смит выступил с инициативой «Цифровой женевской конвенции». Конвенция, по задумке Microsoft, должна обязать правительства не предпринимать кибератаки на компании частного сектора или критически важную инфраструктуру других государств, а также не использовать хакерские атаки для хищения интеллектуальной собственности.
Всего в документе сформулировано 6 основных принципов международной кибербезопасности:
- Не осуществлять атаки на технологические компании, частный сектор или критическую инфраструктуру.
- Оказывать помощь частному сектору в усилиях выявления, ответа и восстановления после кибератак.
- Докладывать об уязвимостях поставщикам продуктов, а не накапливать, продавать или использовать их.
- Практиковать сдерживание в разработке кибероружия и гарантировать, что любые разработки ограничены, конкретны и не могут быть повторно использованы.
- Выполнять обязательство по нераспространению кибероружия.
- Лимитировать наступательные кибероперации.
Однако в то время, как Цифровая Женевская конвенция пока остается лишь идеей, 34 технологические компании, включая Microsoft, не дожидаясь решений на правительственном уровне, подписали в апреле 2018 г. Технологическое соглашение по кибербезопасности (Cybersecurity Tech Accord). Это важный договор между крупнейшей в истории группой компаний, обязующихся защищать клиентов по всему миру от действий киберпреступников.
Сегодня участники Tech Accord выступили с инициативой запретить любые соглашения о неразглашении уязвимостей между правительствами и подрядчиками, посредниками или специалистами в области кибербезопасности; они призывают расширить финансирование для обнаружения уязвимостей и их исследований.
Также участники — подписанты соглашения предложили серию рекомендаций по укреплению мер доверия, которые опираются на предложения ООН и ОБСЕ.
Они включают:
- выработку общих позиций и интерпретаций ключевых вопросов и концепций кибербезопасности;
- продолжение диалога по вопросам международного права и норм кибербезопасности;
- разработку перечня объектов, на которые запрещены кибератаки, такие как атомные электростанции, системы управления воздушным движением, банковский сектор и т.д.;
- создание механизмов и каналов связи для реагирования на просьбы об оказании помощи со стороны другого государства, критическая инфраструктура которого подвержена вредоносным действиям и пр.
В настоящее время Tech Accord подписали 90 компаний, среди которых Microsoft, Facebook, Cisco, Panasonic, Dell, Hitachi и др.
Еще одна инициатива была представлена компанией Siemens в 2018 г., которая выступила с Хартией доверия (Charter of Trust). Хартию подписали 16 компаний, включая IBM, AIRBUS, NXP и Total. Документ призывает компании создать строгие правила и стандарты, чтобы укрепить доверие к ИКТ и способствовать дальнейшему развитию цифровизации.
Не остался в стороне и Facebook. В конце марта 2019 г. Марк Цукерберг — основатель и исполнительный директор Facebook — предложил правительствам активнее участвовать в регулировании Интернета. В частности, Цукерберг выступил за разработку новых норм в ряде областей, касающихся Интернета и социальных сетей, в числе которых защита личных данных пользователей, пресечение попыток влияния на выборы и распространения нежелательной информации, а также решение проблемы переносимости данных (data portability).
Еще одна инициатива, которую стоит отметить — создание в 2014 г. Консорциума промышленного Интернета (Industrial Internet ConsortiumTM, IIC), который был основан по инициативе компаний AT&T, Cisco, GE, IBM и Intel. Это некоммерческая группа с открытым членством, которая стремится устранить барьеры между различными технологиями, чтобы тем самым обеспечить максимальный доступ к большим данным и усовершенствовать интеграцию физической и цифровой среды.
Есть инициативы, исходящие и от российского частного сектора. В частности, компания Норникель с 2017 г. продвигает на международной арене Хартию информационной безопасности критических объектов промышленности. К числу ее основных положений относятся: осуждение использования ИКТ в преступных, террористических, военных целях; поддержка усилий по формированию систем предупреждения и обнаружения и помощи в ликвидации последствий сетевых атак; обмен лучшими практиками по обеспечению информационной безопасности.
В свою очередь Сбербанк выступил с инициативой проведения крупнейшего в мире Международного конгресса по кибербезопасности. В прошлом году такой конгресс уже состоялся при участии 681 компании из 51 страны мира. В этом году в июне также планируется проведение второго конгресса. Форум является межотраслевой площадкой, способствующей глобальному диалогу по наиболее острым и актуальным вопросам обеспечения информационной безопасности в условиях глобализации и цифровизации.
Большинство бизнес-инициатив объединяет то, что все они настаивают на выработке мер доверия и правил поведения в цифровом пространстве. Кроме того, бизнес-сообщество приветствует необходимость адаптации международного права к новым реалиям цифровой экономики.
Представляется, что инициативы частного сектора прекрасно могут быть синхронизированы с теми инициативами, которые продвигают государства на площадке ООН. Ведь правительства в этой сфере по большому счету преследуют те же цели, что и бизнес. Использование ИКТ в мирных целях, укрепление мер доверия, предоставление информации об уязвимостях и прочее — все это важно как для бизнеса, так и для большинства государств.
К счастью, глобальная дискуссия в рамках ООН по МИБ после продолжительной паузы почти в один год, вновь возобновлена. Теперь в ней будут принимать участие представители частного сектора. В частности, в российской резолюции, которая была одобрена ГА ООН в декабре прошлого года, отмечено, что работа будущей Рабочей группы открытого состава (РГОС) предусматривает возможность проведения межсессионных консультационных встреч с бизнесом, неправительственными организациями и научным сообществом для обмена взглядами по вопросам, входящим в мандат группы. Кстати, уже на декабрь 2019 г. запланирована первая межсессионная встреча с представителями глобального бизнеса.
В заключение хотелось бы отметить, что проблема информационной безопасности имеет динамичный характер, поэтому решать ее нужно только при тесном взаимодействии правительств и технологических компаний, так как именно последние идут в ногу с развитием технологий и именно они являются драйверами цифровой экономики. Правительства должны внимательно следить за инициативами негосударственных акторов и включать наиболее удачные нормы в повестку дискуссий на международных площадках. Более того, принятые и утвержденные нормы на правительственном уровне должны иметь юридическую силу, а не носить рекомендательный характер — только так можно обеспечить порядок в киберсреде.