Уже более двух десятилетий государства пытаются выработать универсальные правила поведения в информационном пространстве и наладить сотрудничество в этой сфере в рамках ООН. К сожалению, этот процесс идёт с переменным успехом. В то время как государственные акторы пока не могут прийти к единому мнению по ключевым вопросам обеспечения международной информационной безопасности (МИБ), последствия от кибератак ощущают не только они сами, но и частный сектор, который владеет и управляет большей долей всей важнейшей мировой IT-инфраструктуры.
Таким образом, сегодня приходит осознание того, что обеспечение безопасного и открытого информационного пространства — общая ответственность не только национальных государств, но и других заинтересованных сторон, в том числе и частного сектора.
Существуют опасения, что подключение негосударственных акторов к решению вопросов по МИБ равносилен уравниванию прав негосударственных субъектов и государств, что может привести к размыванию ключевой роли последних в этой сфере. Однако частный сектор вовсе не стремится действовать без оглядки на правительственные и межправительственные усилия. Более того, бизнес-игроки, самостоятельно инициируя собственные международные проекты по противодействию информационным угрозам, придают большое значение инициативам, реализуемым в рамках международных площадок и форумов. Бизнес осознает общую с государствами ответственность за поддержание безопасного, свободного и открытого информационного пространства, о чём его представители неоднократно заявляли в своих программных документах. Компании крайне заинтересованы в участии в регулярном институциональном диалоге на высшем уровне в рамках официальных правительственных инициатив, в том числе и на уровне ООН. Вместе с тем представляется, что ключевую роль в процессе нормотворчества в сфере обеспечения МИБ важно оставить за государствами — в данном случае можно говорить не об уравнивании прав и нарушении государственного суверенитета, а о наделении частного сектора определёнными полномочиями по этому вопросу.
Частный сектор часто оказывается на передовой процесса противодействия киберугрозам и накопил немалый опыт в этом вопросе, который может быть востребован на международном уровне. Поэтому бизнес должен быть включен в переговорный процесс по вопросу обеспечения МИБ в рамках Шанхайской организации сотрудничества и БРИКС. Что касается усилий в рамках ООН, то они должны приобрести более институциональный и регулярный характер.
Сегодня государства и частный сектор пока что находятся на разных сторонах одной и той же «лодки». Вовлечение делового сообщества в этот переговорный процесс в будущем позволит выстроить более транспарентную и инклюзивную архитектуру МИБ и позволит государствам сохранить контроль за нормотворчеством в сфере ответственного использования ИКТ, а усилиям бизнеса в данном направлении придать более легитимную форму. Пора признать, что международная информационная безопасность, в отличие от других видов безопасности индустриальной эпохи, — уже не прерогатива только национальных государств.
Уже более двух десятилетий государства пытаются выработать универсальные правила поведения в информационном пространстве и наладить сотрудничество в этой сфере в рамках ООН. К сожалению, этот процесс идёт с переменным успехом. В то время как государства пока не могут прийти к единому мнению по ключевым вопросам обеспечения международной информационной безопасности (МИБ), последствия от кибератак ощущают не только они сами, но и частный сектор, который владеет и управляет большей долей всей важнейшей мировой IT-инфраструктуры.
Таким образом, обеспечение безопасного и открытого информационного пространства — общая ответственность не только национальных государств, но и других заинтересованных сторон, в том числе и частного сектора.
На пути к мультистейкхолдерству
Одним из первых шагов по включению частного сектора в переговорный процесс по МИБ на высшем уровне стало представление Россией 22 октября 2018 г. на 73-ей сессии Генеральной ассамблеи ООН резолюции A/C.1/73/L.27* «Достижения в сфере информатизации и телекоммуникаций в контексте международной безопасности», а затем обновленного проекта A/C.1/73/L.27/Rev.1, который 9 ноября был одобрен Первым комитетом Генассамблеи, а 5 декабря принят подавляющим большинством голосов.
В конце 2018 г. была создана Рабочая группа открытого состава по достижениям в сфере информатизации и телекоммуникаций в контексте международной безопасности (РГОС ООН), которая предусматривает включение в обсуждение вопросов МИБ всех заинтересованных стейкхолдеров. Одновременно с этим вновь была запущенна Группа правительственных экспертов ООН в сфере информатизации и телекоммуникаций в контексте международной безопасности (ГПЭ ООН), которая была создана по инициативе России ещё в 2004 г., а затем из-за разногласий сторон приостановила свою работу в 2017 г.
12 марта 2021 г. РГОС ООН по итогам двух лет работы консенсусом приняла доклад, в котором подтверждается, что «хотя именно государства несут основную ответственность за поддержание международного мира и безопасности, все заинтересованные стороны обязаны использовать ИКТ таким образом, чтобы не ставить под угрозу мир и безопасность». РГОС извлекла пользу из рекомендаций, знаний и опыта, которыми поделились представители частного сектора. Так, обсуждение вопросов международной информационной безопасности и ответственного поведения в киберпространстве со всеми заинтересованными сторонами прошло 2–4 декабря 2019 г. в формате межсессионных неформальных консультаций.
8 октября 2021 г. Россия и США внесли на рассмотрение Первого комитета 76-ой сессии Генеральной ассамблеи ООН совместный проект резолюции A/C.1/76/L.13 об установлении универсальных правил поведения в киберпространстве. Принятая резолюция отмечает усилия РГОС и ГПЭ ООН по обеспечению МИБ. 3 ноября 2021 г. на заседании Первого комитета ГА резолюция была принята без голосования. Важность этого события для рассматриваемого вопроса заключается в следующем:
- В ближайшей перспективе РГОС становится единственным в ООН форматом, в рамках которого будут вестись основные обсуждения проблемы обеспечения МИБ.
- Вовлечение в переговорный процесс частного сектора и других заинтересованных негосударственных акторов делает его максимально инклюзивным, открытым и транспарентным.
ШОС и БРИКС: с оглядкой на ООН, но не на частный сектор
Проблема ответственного поведения в информационном пространстве уже давно стоит на повестке ШОС и БРИКС. На данный момент в ШОС функционирует Группа экспертов государств — членов ШОС (ГЭ ШОС) по международной информационной безопасности, а в БРИКС — Рабочая группа экспертов (РГЭ) государств БРИКС по вопросам безопасности в сфере использования ИКТ.
Важно отметить, что во многих декларациях и программных документах обоих организаций подчёркивается ключевая роль ООН в области обеспечения МИБ и выражается поддержка предпринимаемым усилиям в сфере выработки универсальных правил ответственного поведения государств в информационном пространстве, также отдельно была высоко оценена работа РГОС.
Исходя их этого можно предположить, что в определённой степени ШОС и БРИКС выражают поддержку и той части усилий в рамках ООН, которая касается вовлечения различных стейкхолдеров в процесс обсуждения вопросов обеспечения МИБ. Тем не менее, несмотря на всестороннее одобрение общих усилий, предпринимаемых в ООН, в самих ШОС и БРИКС вопрос о расширении мандата и включении в процесс обсуждения кибервопросов частного сектора пока ещё остаётся «за бортом» повестки дня организаций. Это тем более удивительно в свете того факта, что именно ключевые страны — члены ШОС и БРИКС (Россия и Китай), а также остальные страны — члены ШОС (кроме Индии) стали инициаторами создания в рамках ООН более открытого и инклюзивного формата РГОС, который позволил всем заинтересованным стейкхолдерам принять участие в переговорном процессе по вопросам МИБ на высшем уровне. Остальные государства — члены ШОС и БРИКС поддержали инициативу на разных этапах её реализации.
Предлагаем взглянуть на степень поддержки данного открытого формата (см. таблицу 1).
Вышеописанный проект резолюции A/C.1/73/L.27/Rev.1, одобренный 9 ноября 2018 г. Первым комитетом Генассамблеи и предусматривавший создание РГОС, был представлен группой стран, в которую вошли два члена ШОС и БРИКС (Россия и Китай), а также пять членов ШОС (Пакистан, Казахстан, Таджикистан, Узбекистан, Киргизия). Индия в качестве члена ШОС и БРИКС, а также Бразилия и ЮАР (БРИКС) не приняли участие в создании данного проекта. На этапе голосования проект был поддержан всеми странами — членами ШОС и БРИКС, кроме Бразилии (воздержалась). В итоге в работе РГОС в разной степени приняли участие все члены БРИКС и четыре члена ШОС (Россия, Китай, Индия и Пакистан).
Как уже было сказано выше, 3 ноября 2021 г. без голосования был принят представленный Россией и США проект резолюции A/C.1/76/L.13. Среди авторов проекта на этот раз оказались шесть стран — членов ШОС (Россия, Индия, Казахстан, Киргизия, Таджикистан, Узбекистан), а также четыре страны — члена БРИКС (Россия, Индия, Бразилия и ЮАР). Стоит отметить, что Индия, Казахстан, Киргизия и Таджикистан не числились в составе соавторов первоначального проекта резолюции A/C.1/76/L.13 и присоединились к нему позже. Интересно, что Китай, который совместно с Россией традиционно выступал со-инициатором многих резолюций по вопросу обеспечения МИБ в рамках ООН, на этот раз не оказался в числе соавторов проекта (также как Пакистан и Иран). Тем не менее резолюция была принята без голосования.
Таблица 1. Поддержка странами — членами ШОС и БРИКС инициативы по созданию в ООН инклюзивного переговорного формата по вопросу МИБ, а также их участие в работе РГОС.
*? — нет сведений.
Частный сектор в ООН, ШОС и БРИКС: пора включаться
Между тем России и остальным государствам — членам ШОС и БРИКС, которые, как мы продемонстрировали, в целом выражают поддержку открытому формату РГОС, уже сегодня необходимо начать задумываться над тем, чтобы дать возможность отраслевым игрокам более активно включиться в процесс обсуждения вопросов МИБ в рамках этих площадок.
Именно частный сектор несёт огромные убытки от кибератак и управляет львиной долей важнейшей мировой IT-инфраструктуры, тем самым лучше понимая тонкости функционирования сетей. Поэтому бизнес уже сегодня самостоятельно инициирует разработку и продвижение своих собственных проектов глобальных норм в сфере обеспечения МИБ, среди которых можно выделить соглашение Cybersecurity Tech Accord (инициатива Microsoft, 2018 г.), Хартию доверия (инициатива Siemens, 2018 г.), Хартию информационной безопасности критических объектов промышленности (Норильский никель, 2018 г.) и др. Если вовремя не легитимизировать бизнес-инициативы и не объединить их с усилиями государств в рамках международных организаций, частный сектор может «обскакать» государства на этом поле и сделать это так, что в определённый момент этот процесс будет продолжаться либо не в интересах национальных государств, либо же вовсе будет идти вразрез с их интересами. Вовлечение делового сообщества в профильные переговорные процессы позволит выстроить более транспарентную и инклюзивную архитектуру МИБ и сохранить государственный контроль за нормотворчеством в сфере ответственного использования ИКТ.
На наш взгляд, частному сектору необходимо позволить принимать более широкое участие в обсуждении вопросов МИБ в рамках международных организаций.
Какие шаги в ближайшем будущем можно предпринять, чтобы сделать переговорный процесс в сфере безопасного использования ИКТ еще боле инклюзивным и транспарентным?
Во-первых, представляется вполне возможным расширить переговорный мандат Группы экспертов государств — членов ШОС и Рабочей группы экспертов государств БРИКС по профильным вопросам по примеру РГОС ООН. Безусловно, в отличие от открытой и инклюзивной РГОС, соответствующие группы в рамках ШОС и БРИКС даже с обновлённым мандатом, скорее всего, не будут предусматривать участие всех возможных компаний. Вероятно, в силу чисто организационных особенностей эти форматы вынуждены будут ограничиться только теми представителями частного сектора, которые находятся «под юрисдикцией» стран-членов. Тем не менее это вовсе не означает, что накладываемые ограничения и сужение круга потенциальных участников из бизнеса как-то снизят эффективность диалога. Напротив, это в первую очередь позволит обсуждать вопросы обеспечения МИБ в кругу компаний из стран-единомышленников, которые разделяли бы общие для них подходы к обеспечению МИБ. Привлечение же заинтересованных представителей частного сектора из некоторых других стран вполне возможено в рамках того же БРИКС+ и БРИКС «аутрич», что позволит последовательно вливать новые идеи и предложения, которые соответствовали бы общим подходам стран-членов к обеспечению МИБ.
Во-вторых, стоит признать, что даже в текущем формате РГОС процесс привлечения частного сектора к обсуждению столь важного для них вопроса носит довольно ограниченный характер и заключается в проведении межсессионных консультационных встреч, притом неформальных. Так, в рамках работы РГОС первого созыва в 2019–2021 гг. с представителями бизнеса была проведена единственная трёхдневная неформальная консультация (2–4 декабря 2019 г.), после которой частный сектор привлекался к процессу обсуждения лишь посредством предоставления комментариев по проектам резолюции, отчётов и материалов. В этой связи важно не просто продолжить эту работу в рамках неформальных консультаций, а реализовать механизмы именно регулярного институционального диалога с включением постоянных представителей от компаний или консорциумов.
Усилия по включению в переговорный процесс по проблематике МИБ частного сектора в рамках ШОС и БРИКС ни в коем случае не будут идти в обход ООН. Напротив, обсуждение кибервопросов на альтернативных площадках будут способствовать принятию свежих и инклюзивных решений в ООН как главной структуры, которая несёт ответственность за поддержание мировой стабильности и обладает наибольшим потенциалом для объединения стран в целях противодействия информационным угрозам.
Реализовать предложенные инициативы вполне возможно — в рамках ШОС и БРИКС накоплен внушительный потенциал сотрудничества в области обеспечения МИБ, а ключевые их члены (Россия и Китай) — основные бенефициары многих проектов резолюций по ответственному поведению стран в информационном пространстве. Объединение усилий в рамках этих структур позволит развивать региональное государственно-частное партнерство в таких сферах, как:
- обмен информацией об актуальных угрозах и существующих уязвимостях в программном обеспечении в режиме реального времени (при условии, что диалог будет более институциональным и регулярным);
- обмен лучшими практиками в области эффективного обеспечения информационной безопасности;
- опыт частного сектора будет полезен в расследовании киберпреступлений.
Есть опасения, что подключение негосударственных акторов к решению вопросов по МИБ равносильно уравниванию прав негосударственных субъектов и государств, что может привести к размытию ключевой роли последних в этой сфере. В связи с этим можно отметить, что частный сектор вовсе не стремится действовать без оглядки на правительственные и межправительственные усилия. Более того, бизнес-игроки, самостоятельно инициируя собственные международные проекты по противодействию информационным угрозам, придают большое значение инициативам, реализуемым в рамках международных площадок и форумов. Бизнес осознает общую с государствами ответственность за поддержание безопасного, свободного и открытого информационного пространства, о чём его представители неоднократно заявляли в своих программных документах. Компании крайне заинтересованы в участии в регулярном институциональном диалоге на высшем уровне в рамках официальных правительственных инициатив, в том числе и на уровне ООН [2]. Вместе с тем представляется, что ключевую роль в процессе нормотворчества в сфере обеспечения МИБ важно оставить за государствами — в данном случае можно говорить не об уравнивании прав и нарушении государственного суверенитета, а о наделении частного сектора определёнными полномочиями по этому вопросу.
***
Частный сектор часто оказывается на передовой процесса противодействия киберугрозам и накопил немалый опыт в этом вопросе, который может быть востребован на международном уровне. Поэтому бизнес должен быть включён в переговорный процесс по МИБ в рамках Шанхайской организации сотрудничества и БРИКС. Что касается усилий в рамках ООН, то они должны приобрести более институциональный и регулярный характер.
Сегодня государства и частный сектор пока находятся на разных сторонах одной и той же «лодки». Вовлечение делового сообщества в переговорный процесс по кибервопросам в будущем позволит выстроить более транспарентную и инклюзивную архитектуру МИБ и позволит государствам сохранить контроль за нормотворчеством в сфере ответственного использования ИКТ, а усилиям бизнеса в данном направлении придать более легитимную форму. Пора признать, что международная информационная безопасность, в отличие от других видов безопасности индустриальной эпохи, — уже не прерогатива лишь национальных государств.
1. Иран был включен в ШОС в качестве полноправного члена только 17 сентября 2021 г. в ходе саммита в Душанбе и на момент создания и голосования по резолюции A/C.1/73/L.27/Rev.1 не являлся членом ШОС.
2. См. подробнее A Statement on the Programme of Action: A standing UN body to uphold international expectations is the best hope for stability in cyberspace. Cybersecurity Tech Accord. 2021. October 18; Charter of Trust For a secure digital world. Siemens. 2018; Huawei's Position Paper on Cyber Security. November 2019.