Бизнесу тоже нужен киберкодекс

Уже более двадцати лет государства пытаются договориться о правилах ответственного поведения в цифровом пространстве. Однако прогресс в этом деле движется медленно, в то время как цифровизация шагает по планете семимильными шагами, создавая параллельно с новыми возможностями и новые риски. Бизнес, который больше всех страдает от новых вызовов и угроз в цифровом пространстве, начинает выдвигать свои инициативы, подталкивая тем самым правительства ускорить процесс создания международного киберкодекса.

В условиях отсутствия политического решения, касающегося обеспечения международной информационной безопасности, частные компании, стремясь обезопасить себя и своих клиентов, начали договариваться друг с другом о сотрудничестве и выдвигать свои инициативы. Таким образом создается параллельный с правительствами бизнес-трек по информационной безопасности.

Так, например, в феврале 2017 г. президент корпорации Microsoft Брэд Смит выступил с инициативой «Цифровой женевской конвенции». Конвенция, по задумке Microsoft, должна обязать правительства не предпринимать кибератаки на компании частного сектора или критически важную инфраструктуру других государств, а также не использовать хакерские атаки для хищения интеллектуальной собственности.

Еще одна инициатива — Хартия доверия (Charter of Trust) — была представлена компанией Siemens в 2018 г. Хартию подписали 16 компаний, включая IBM, Airbus, NXP и Total. Документ призывает компании создать строгие правила и стандарты, чтобы укрепить доверие к ИКТ и способствовать дальнейшему развитию цифровизации.

Есть инициативы, исходящие и от российского частного сектора. В частности, компания Норникель с 2017 г. продвигает на международной арене Хартию информационной безопасности критических объектов промышленности. К числу ее основных положений относятся: осуждение использования ИКТ в преступных, террористических, военных целях; поддержка усилий по формированию систем предупреждения и обнаружения и помощи в ликвидации последствий сетевых атак; обмен лучшими практиками по обеспечению информационной безопасности.

Представляется, что инициативы частного сектора прекрасно могут быть синхронизированы с теми инициативами, которые продвигают государства на площадке ООН. Ведь правительства в этой сфере преследуют те же цели, что и бизнес. Использование ИКТ в мирных целях, укрепление мер доверия, предоставление информации об уязвимостях и прочее — все это важно как для бизнеса, так и для большинства государств.

Уже более двадцати лет государства пытаются договориться о правилах ответственного поведения в цифровом пространстве. Однако прогресс в этом деле движется медленно, в то время как цифровизация шагает по планете семимильными шагами, создавая параллельно с новыми возможностями и новые риски. Бизнес, который больше всех страдает от новых вызовов и угроз в цифровом пространстве, начинает выдвигать свои инициативы, подталкивая тем самым правительства ускорить процесс создания международного киберкодекса.

Почему же бизнес-сообщество заинтересовано в установлении правил в киберсреде? На то есть множество причин.

Мария Смекалова, Кевин Гоурлей:
Снижение кибер-рисков: возможно ли объединение усилий государства и бизнеса?

Во-первых, количество и качество хакерских атак на частный сектор с каждым годом лишь возрастает. Их жертвами становятся предприятия всех масштабов — будь то малые предприятия или технологические гиганты. Например, от вируса NotPetya пострадал крупнейший перевозчик контейнеров Maersk — ущерб 300 млн долл., а на восстановление понадобился почти 1 млрд долл. Всего, по оценкам Сбербанка, ущерб для мировой экономики от хакерских атак в 2019 г. может составить около 2,5 трлн долл., а к 2022 гг. — уже 8–10 трлн долл.

Во-вторых, многие технологические компании по причине недоверия со стороны правительственных органов сталкиваются с серьезными трудностями при развитии и продвижении своих бизнес-проектов за рубежом. Так, например, сегодня в Великобритании, Норвегии, Польше и др. странах развернулись дебаты, следует ли допускать компанию Huawei к строительству сетей пятого поколения мобильной связи (5G), так как эту компанию подозревают в краже интеллектуальной собственности и шпионаже. В США, Австралии, Новой Зеландии уже введен запрет на использования 5G оборудования от Huawei.

С проблемой недоверия сталкиваются не только китайские компании, но и Google, Apple, Microsoft, Kaspersky Lab и многие другие, которых также зачастую обвиняют в незаконной слежке за людьми.

В-третьих, IT-компании вынуждены тратить внушительные суммы на защиту своих клиентов от хакерских атак и обеспечение информационной безопасности. Например, корпорация Microsoft ежегодно выделяет на эти цели свыше 1 млрд долл.

В условиях отсутствия политического решения, касающегося обеспечения международной информационной безопасности, частные компании, стремясь обезопасить себя и своих клиентов, начали договариваться друг с другом о сотрудничестве и выдвигать свои инициативы. Таким образом создается параллельный с правительствами бизнес-трек по информационной безопасности.

Так, например, в феврале 2017 г. президент корпорации Microsoft Брэд Смит выступил с инициативой «Цифровой женевской конвенции». Конвенция, по задумке Microsoft, должна обязать правительства не предпринимать кибератаки на компании частного сектора или критически важную инфраструктуру других государств, а также не использовать хакерские атаки для хищения интеллектуальной собственности.

Всего в документе сформулировано 6 основных принципов международной кибербезопасности:

1. Не осуществлять атаки на технологические компании, частный сектор или критическую инфраструктуру.
2. Оказывать помощь частному сектору в усилиях выявления, ответа и восстановления после кибератак.
3. Докладывать об уязвимостях поставщикам продуктов, а не накапливать, продавать или использовать их.
4. Практиковать сдерживание в разработке кибероружия и гарантировать, что любые разработки ограничены, конкретны и не могут быть повторно использованы.
5. Выполнять обязательство по нераспространению кибероружия.
6. Лимитировать наступательные кибероперации.

Анастасия Толстухина:
Лучше две киберрезолюции, чем ни одной?

Однако в то время, как Цифровая Женевская конвенция пока остается лишь идеей, 34 технологические компании, включая Microsoft, не дожидаясь решений на правительственном уровне, подписали в апреле 2018 г. Технологическое соглашение по кибербезопасности (Cybersecurity Tech Accord). Это важный договор между крупнейшей в истории группой компаний, обязующихся защищать клиентов по всему миру от действий киберпреступников.

Сегодня участники Tech Accord выступили с инициативой запретить любые соглашения о неразглашении уязвимостей между правительствами и подрядчиками, посредниками или специалистами в области кибербезопасности; они призывают расширить финансирование для обнаружения уязвимостей и их исследований.

Также участники — подписанты соглашения предложили серию рекомендаций по укреплению мер доверия, которые опираются на предложения ООН и ОБСЕ.

Они включают:

1. выработку общих позиций и интерпретаций ключевых вопросов и концепций кибербезопасности;
2. продолжение диалога по вопросам международного права и норм кибербезопасности;
3. разработку перечня объектов, на которые запрещены кибератаки, такие как атомные электростанции, системы управления воздушным движением, банковский сектор и т.д.;
4. создание механизмов и каналов связи для реагирования на просьбы об оказании помощи со стороны другого государства, критическая инфраструктура которого подвержена вредоносным действиям и пр.

В настоящее время Tech Accord подписали 90 компаний, среди которых Microsoft, Facebook, Cisco, Panasonic, Dell, Hitachi и др.

Еще одна инициатива была представлена компанией Siemens в 2018 г., которая выступила с Хартией доверия (Charter of Trust). Хартию подписали 16 компаний, включая IBM, AIRBUS, NXP и Total. Документ призывает компании создать строгие правила и стандарты, чтобы укрепить доверие к ИКТ и способствовать дальнейшему развитию цифровизации.

Не остался в стороне и Facebook. В конце марта 2019 г. Марк Цукерберг — основатель и исполнительный директор Facebook — предложил правительствам активнее участвовать в регулировании Интернета. В частности, Цукерберг выступил за разработку новых норм в ряде областей, касающихся Интернета и социальных сетей, в числе которых защита личных данных пользователей, пресечение попыток влияния на выборы и распространения нежелательной информации, а также решение проблемы переносимости данных (data portability).

Еще одна инициатива, которую стоит отметить — создание в 2014 г. Консорциума промышленного Интернета (Industrial Internet ConsortiumTM, IIC), который был основан по инициативе компаний AT&T, Cisco, GE, IBM и Intel. Это некоммерческая группа с открытым членством, которая стремится устранить барьеры между различными технологиями, чтобы тем самым обеспечить максимальный доступ к большим данным и усовершенствовать интеграцию физической и цифровой среды.

Есть инициативы, исходящие и от российского частного сектора. В частности, компания Норникель с 2017 г. продвигает на международной арене Хартию информационной безопасности критических объектов промышленности. К числу ее основных положений относятся: осуждение использования ИКТ в преступных, террористических, военных целях; поддержка усилий по формированию систем предупреждения и обнаружения и помощи в ликвидации последствий сетевых атак; обмен лучшими практиками по обеспечению информационной безопасности.

В свою очередь Сбербанк выступил с инициативой проведения крупнейшего в мире Международного конгресса по кибербезопасности. В прошлом году такой конгресс уже состоялся при участии 681 компании из 51 страны мира. В этом году в июне также планируется проведение второго конгресса. Форум является межотраслевой площадкой, способствующей глобальному диалогу по наиболее острым и актуальным вопросам обеспечения информационной безопасности в условиях глобализации и цифровизации.

Александр Зинченко, Анастасия Толстухина:
Мир или война в киберпространстве?

Большинство бизнес-инициатив объединяет то, что все они настаивают на выработке мер доверия и правил поведения в цифровом пространстве. Кроме того, бизнес-сообщество приветствует необходимость адаптации международного права к новым реалиям цифровой экономики.

Представляется, что инициативы частного сектора прекрасно могут быть синхронизированы с теми инициативами, которые продвигают государства на площадке ООН. Ведь правительства в этой сфере по большому счету преследуют те же цели, что и бизнес. Использование ИКТ в мирных целях, укрепление мер доверия, предоставление информации об уязвимостях и прочее — все это важно как для бизнеса, так и для большинства государств.

К счастью, глобальная дискуссия в рамках ООН по МИБ после продолжительной паузы почти в один год, вновь возобновлена. Теперь в ней будут принимать участие представители частного сектора. В частности, в российской резолюции, которая была одобрена ГА ООН в декабре прошлого года, отмечено, что работа будущей Рабочей группы открытого состава (РГОС) предусматривает возможность проведения межсессионных консультационных встреч с бизнесом, неправительственными организациями и научным сообществом для обмена взглядами по вопросам, входящим в мандат группы. Кстати, уже на декабрь 2019 г. запланирована первая межсессионная встреча с представителями глобального бизнеса.

В заключение хотелось бы отметить, что проблема информационной безопасности имеет динамичный характер, поэтому решать ее нужно только при тесном взаимодействии правительств и технологических компаний, так как именно последние идут в ногу с развитием технологий и именно они являются драйверами цифровой экономики. Правительства должны внимательно следить за инициативами негосударственных акторов и включать наиболее удачные нормы в повестку дискуссий на международных площадках. Более того, принятые и утвержденные нормы на правительственном уровне должны иметь юридическую силу, а не носить рекомендательный характер — только так можно обеспечить порядок в киберсреде.