o.demidov 11-12-06 draft report on iis regulationo.demidov junior research fellow, pir center...

O.Demidov Junior Research Fellow, PIR Center

11-12-06 Draft Report on IIS Regulation

«Международное регулирование информационной безопасности в свете российских национальных интересов» Проект Доклада для сборника «Научные записки ПИР-Центра» в рамках проекта «Международная информационная безопасность и глобальное управление интернетом». Автор: младший научный сотрудник ПИР-Центра О.В. Демидов Научный руководитель: Председатель Совета ПИР-Центра М.В. Якушев Вступление 2011 г. стал, по выражению СМИ, годом признания киберпространства на высшем уровне – и прежде всего, с точки зрения значимости киберпространства для международной безопасности. Свидетельствами этого стали сразу несколько событий и процессов, подчас выглядящих дистанцированными друг от друга, но уходящими корнями в одну и ту же проблематику. Во-первых, революционные события так называемой «Арабской весны» оказались неразрывно связаны в мировом экспертном, медийном и политическом дискурсе с ролью информационно-коммуникационных технологий (ИКТ). Несмотря на обильную спекулятивную составляющую и склонность преувеличивать роль социальных сетей и других инструментов Web 2.0 в революционных событиях на Ближнем Востоке и за его пределами, этот дискурс все же не был полностью лишен оснований. Беспрецедентная скорость и масштаб распространения мультимедийной информации через интернет (преимущественно – социальные сети) сыграли против режимов, стремившихся скрыть свои репрессивные акции от международного сообщества и не владевших адекватными навыками ведения информационного противодействия в виртуальном пространстве. Во-вторых, в США с небольшим временным лагом были приняты сразу две стратегии кибербезопасности. Международная стратегия по действиям в киберпространстве (International Strategy for Cyberspace) была опубликована 16 мая 2011 г. Ее логическим развитием в военной плоскости стала Стратегия Министерства обороны по действиям в киберпространстве (Strategy for Operating in Cyberspace), частично опубликованная в июне 2011 г. Документ Пентагона прямо признает киберпространство operation domain - пространством проведения операций ВС США, - наравне с наземным, морским и воздушным, а также космическим пространствами1. По сути, кибербезопасность впервые оказалась де-факто приравнена по своему значению к военной безопасности – и сделала это единственная в мире военная сверхдержава. Наконец, последним по хронологии, но не по значимости событием в этом ряду стали громкие инициативы РФ и ШОС, направленные на формирование глобального режима регулирования безопасности киберпространства – или, в расширительном понимании отечественных разработчиков проектов, – информационного пространства. Речь идет, прежде всего, о выработанной РФ

1



концепции всеобъемлющей Конвенции ООН «Об обеспечении международной информационной безопасности». Чуть менее резонансной, но столь же амбициозной инициативой стал проект «Кодекса поведения в области обеспечения международной информационной безопасности». Впервые мировому сообществу были представлены проекты нормативно-правовых актов, по меньшей мере, один из которых в каждом случае: - претендует на всеобъемлющий характер, на охват всей комплексной проблематики международной информационной безопасности (далее по тексту МИБ); - должен через механизм ООН получить глобальный охват, распространившись на все международное сообщество; - имеет юридически обязывающий характер; - позиционируется как практически готовый и работоспособный проект, принятие которого через механизмы ООН возможно, согласно замыслу его инициаторов, уже в 2012 г. Перечисленные инициативы поднимают дискуссию о международном регулировании безопасности киберпространства на беспрецедентный уровень, а их принятие чревато радикальными правовыми – а значит, и политическими, социальными, экономическими и даже военными – изменениями для международного сообщества. Вследствие этого, проекты РФ и ШОС требуют детального рассмотрения, попытка которого производится в настоящей статье. В совокупности перечисленные инициативы и составляют объект исследования данной работы. Цель исследования состоит в том, чтобы оценить их влияние и перспективы с точки зрения национальных интересов России. Представленная ниже таблица предлагает условную классификацию рассматриваемых в статье инициатив и действующих НПА по критериям: а) уровень регулирования (от национального до глобального); б) конкретные регулируемые ниши кибербезопасности.

Агрессивные действия государств в киберпространстве

Кибертерроризм (Citizens versus States)

Тип киберугроз/ уровень регулирования

Киберпреступность (Сitizens vs Citizens)

Кибершпионаж

Против государств (States vs Citizens)

Против граждан (States versus States)

Глобальный UN CONVENTION (RUS, SCHJOLBERG) CE CONVENTION

UN CONVENTION (RUS, SCHJOLBERG)

UN CONVENTION (RUS, SCHJOLBERG) SCO UN

?

UN CONVENTION (RUS, SCHJO LBERG)

2



SCO UN CODE

CODE SCO UN CODE

Региональный

SCO 2009 AGR. CE CONVENTION

SCO 2009 AGR.

SCO 2009 AGR.

SCO 2009 AGR.

Национальный

CY-

-BER

STRA-

-TE-

-GY

Таблица 1. Соотношение ключевых нормативно-правовых актов по сферам и уровням регулирования кибербезопасности Прим.: условные обозначения: UN CONVENTION RUS – Российская концепция Конвенции об обеспечении международной информационной безопасности ООН UN CONVENTION SCHJOLBERG – проект Глобального договора о кибербезопасности ООН Штайна Шольберга и Соланж Гернутти-Эли SCO UN CODE – Проект Кодекса поведения государств в информационном пространств, выдвинутый странами-членами ШОС SCO 2009 AGR – Межправительственное соглашение государств-членов ШОС о сотрудничестве в области обеспечения МИБ от 16 июня 2009 г. CE CONVENTION – Конвенция Совета Европы «О киберпреступности» от 23 ноября 2001 г. В рамках исследования предполагается изучить следующие вопросы: 1. Каковы перспективы проектов РФ и ШОC на мировой арене? Насколько они отвечают национальным интересам РФ и интересам наших зарубежных партнеров? 2. Как рассматриваемые инициативы отразятся на политике России в отношении Конвенции Совета Европы «О киберпреступности»? Нужно ли РФ и далее отказываться от присоединения к Конвенции? 3. Какие изменения необходимо произвести РФ на национальном уровне регулирования информационной безопасности, дабы более эффективно участвовать в глобальном регулировании МИБ? Следует подчеркнуть, что анализ рассматриваемых в статье документов и инициатив ведется преимущественно вне юридической плоскости, с международно-политической точки зрения. В центре внимания находится не только и не столько состоятельность российских инициатив как нормативно-правовых актов, но оценка их с точки зрения национальных интересов РФ в области международной информационной безопасности. Наконец, особой оговорки требует используемая в тексте терминология. Поскольку вопрос о соотношении понятий «информационный» и «кибер» проходит через все исследование, в тексте данные термины употребляются в

3



зависимости от контекста. Понятие на основе определения «информационный» используются в тех случаях, когда речь идет об официальных названиях инициатив РФ и ШОС в части регулирования МИБ, либо соответствующих концепциях, отличных от концепций в сфере кибербезопасности. Во всех остальных случаях используются термины с корневой морфемой «кибер». 1. Глобальные инициативы: российская концепция Конвенции ООН и Кодекс МИБ государств-членов ШОС 1.1. Предыстория и презентация российских инициатив РФ в течение долгого времени уделяла значительное внимание продвижению тематики международного взаимодействия в сфере обеспечения кибербезопасности через каналы ООН. Наиболее подробный обзор участия России в создании механизмов регулирования безопасности киберпространства на площадке ООН приводит А.В.Крутских, замдиректора ДНВ МИД России, один из ведущих российских дипломатов в сфере информационной безопасности2. На разных этапах именно он возглавлял российские делегации, а также международные экспертные группы ООН, которые создавались в рамках инициатив Организации по изучению возможностей международного сотрудничества для борьбы с киберугрозами. Как отмечает в своей статье господин Крутских, «с 1998 г. Россия продвигает идею налаживания международного сотрудничества по укреплению МИБ», при этом уже с середины этого года «работа по согласованию конкретных мер в интересах упрочения МИБ проводилась главным образом через механизм ООН»3. Действительно, ежегодно начиная с 1998 г. РФ вносила на рассмотрение Генассамблеи ООН резолюции, в которых содержались призывы к разработке межправительственного соглашения, целью которого являлось бы противодействие «информационному терроризму». 8 декабря 2003 г. во исполнение резолюции ГА ООН N56/19 от 29.11.2001 была учреждена Группа правительственных экспертов, целью которой было изучение и оценка наиболее серьезных угроз международной информационной безопасности, мер по противодействию им, а также концепций обеспечения безопасности глобального информационно-коммуникационного сектора. Первый Доклад по итогам работы Группы был подготовлен в 2005 г., однако не был принят из-за противодействия делегации США. В мае 2010 г. благодаря российской инициативе Комиссия ООН по противодействию преступности и уголовному правосудию приняла решение об учреждении открытой межправительственной группы экспертов для всеобъемлющего изучения проблем киберпреступности. Одной из приоритетных целей деятельности группы является выработка и формирование предложений по совершенствованию международно-правового измерения борьбы с киберпреступностью и кибертерроризмом4.

4



На 65-й сессии Генеральной ассамблеи в июле 2010 г. был представлен доклад Генеральному секретарю ООН по вопросам информационной безопасности. Документ подготовила группа правительственных экспертов из 15 стран (включая Индию), которую опять же возглавлял А.В. Крутских. Единогласно принятый Генассамблеей ООН доклад, который заостряет внимание на необходимости выработки общих подходов в отражении киберугроз и борьбе с киберпреступностью (а также кибертерроризмом), стал прорывом после малорезультативной работы группы с момента ее основания в 2005 г. Однако, несмотря на ускоряющуюся динамику российской деятельности на данном направлении в последние три-четыре года, можно говорить о том, что с разработкой концепции Конвенции «Об обеспечении международной информационной безопасности» в 2011 г. усилия российской дипломатии вышли на принципиально новый уровень. Полноценная «презентация» концепции прошла 1 ноября 2011 г. в Лондоне, на конференции по вопросам киберпространства (The London Conference on Cyberspace). С речью, преимущественно посвященной проектам Конвенции и Кодекса поведения государств в информационном пространстве, выступил глава Министерства связи и массовых коммуникаций РФ И. О. Щеголев. Незадолго до этого, 22 сентября 2011 г. концепция была представлена главам спецслужб и силовых ведомств 52 стран на закрытой встрече в Екатеринбурге5. В концепции Конвенции подробно прописаны нормы регулирования информационного пространства (де-факто киберпространства) с учетом таких угроз, как кибертерроризм, киберпреступность, военно-политические вызовы, кибершпионаж. В числе прочего концепция запрещает применение интернета («информационно-телекоммуникационных сетей») в военных целях и для свержения режимов в других странах, но при этом оставляет властям значительную свободу действий внутри национальных сегментов киберпространства. Чуть ранее, 12 сентября 2011 г. Генеральному Секретарю ООН было направлено письмо от Постоянных Представителей в ООН четырех государств ШОС – России, Китая, Узбекистана и Таджикистана. К письму прилагался проект «Кодекса поведения в области обеспечения международной информационной безопасности». В отличие от концепции Конвенции, проект Кодекса не предполагает юридически обязывающего характера, однако в целом воспроизводит повестку концепции Конвенции, однако без столь явного нажима на военно-политическую составляющую кибербезопасности. Международная реакция на громкие инициативы РФ пока в большинстве случаев не выходит за рамки достаточно дистанцированного интереса, который не переходит в активные действия и встречные инициативы. Согласно данным ПИР-Центра, в АТР, где Россия действует все более активно в преддверии Саммита АТЭС-2012, идеи Конвенции и Кодекса были встречены противоречиво. Так, в рамках second-track формата АТССБ, который объединяет комитет 22 стран региона, включая Индию, США, Японию, КНР и РФ, по информации экспертов ПИР-Центра, инициативы РФ и ШОС были

5



встречены с интересом – но также и с недоверием и определенным скепсисом. Наибольший интерес к ним проявляет Индия, претендующая на роль ИТ-державы и, в то же время, все более опасающаяся агрессивной активности в киберпространстве КНР, своего основного соперника в Азии. Вместе с тем, пока как минимум в некоторых региональных форматах (в регионе для РФ в сфере безопасности значимы АТЭС, Восточно-Азиатские Саммиты, АСЕАН и АРФ (ASEAN Regional Forum), АТССБ) проекты РФ и ШОС воспринимаются как контрпродуктивные. Одна из причин этого состоит в том, что ряд региональных государств – и прежде всего США – проводят точку зрения, согласно которой педалирование тематики кибервойн привносит диссонанс в региональное сотрудничество, заставляет государства «дружить против третьего», политизирует проблематику кибербезопасности и уводит партнеров от поиска «минимального общего знаменателя» в рамках конструктивной повестки кибербезопасности. Кроме того, для США особенно неприемлемы те нормы российских инициатив, которые предполагают запрет на распространение информации, «которая вдохновляет терроризм, сепаратизм, экстремизм или подрывает политическую, экономическую и социальную стабильность других стран». Так, после ноябрьской конференции в Лондоне заместитель госсекретаря США Майкл Познер назвал проект Кодекса неприемлемым решением, за счет которого интернет превращается «из пространства, управляемого множеством людей и заинтересованных сторон, в подконтрольную центральным правительствам систему»6. В Европе концепция Конвенции и проект Кодекса также получили смешанную и осторожную реакцию – в основном из аналогичных США соображений. Однако свою роль сыграло и наличие в проектах Конвенции и Кодекса норм по киберпреступности, что в определенной степени противопоставляет их Конвенции Совета Европы о киберпреступности (далее Конвенции СЕ), подписанной 43 европейских государствами. Вместе с тем, с момента презентации обоих проектов прошло всего несколько месяцев, и на данный момент рано рассматривать международную реакцию на них в качестве объективного и решающего показателя. Более уместен анализ содержания этих актов, а также предлагаемых в них подходов и решений проблем МИБ на глобальном уровне. 1.2. Терминология: ахиллесова пята российских проектов? Анализ российских проектов (концепции Конвенции и Кодекса) необходимо начать с терминологии – именно она определяет видение той сферы регулирования, которая заложена в документ. Первой специфической чертой, равно присущей проекту Кодекса, концепции Конвенции и Екатеринбургскому соглашению ШОС, являются кардинальные отличия предлагаемой в них понятийной базы от терминов, принятых в Европе, США и большей части развивающихся стран. Сопоставление терминологии данных документов с нормативными актами других стран дает основания говорить, что речь идет о

6



двух принципиально разных подходах к пониманию кибербезопасности вообще. При этом различия едва ли говорят в пользу подхода РФ и ШОС. Например, целесообразно сравнить определение информационной системы в концепции Конвенции с таковым в законодательстве Евросоюза. Такое определение приводится в пункте (А) статьи №1 Рамочного решения Совета Европейского Союза 2005/222/JHA от 24 февраля 2005 г.: «информационная система означает любое устройство или группу взаимосвязанных или соединенных между собой устройств, одно или более из которых в соответствии с программой выполняет автоматическую обработку компьютерной информации; а также саму компьютерную информацию, хранимую, обрабатываемую, загружаемую либо передаваемую при помощи таковых устройств с целью обеспечения их функционирования, использования, защиты и эксплуатации»7. В то же время, определение из Статьи 2. Термины и определения российской концепции Конвенции предполагает существенно иное понимание сути информационной системы: «“информационная система” – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств»8. Это определение взято из Доктрины информационной безопасности РФ от 2000 г. (далее Доктрина), откуда оно впоследствии распространилось на ключевые акты российского законодательства о защите информации, включая N 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г.9

Между тем, сравнение российского определения с определением Совета ЕС позволяет без особого труда выявить неоднозначность и зауженность первого. Ключевым изъяном в нем является жесткая «привязка» всего понятия к базам данных, что может вовсе не соответствовать действительности. Вторая часть определения, напротив, страдает излишней расплывчатостью – не конкретизируется понятие обработки информации, вводится частично рекурсивное в этом контексте понятие информационных технологий как средств обеспечения работы информационных систем. Еще одним весьма примечательным свойством Доктрины является полное отсутствие в ней упоминания интернета. В документе упоминаются лишь «открытые информационно-телекоммуникационные системы» и «глобальные информационные сети». Данную особенность Доктрины также унаследовало российское законодательство в области защиты информации, включая упомянутый ФЗ N 149: «Интернет» в нем упоминается лишь единожды, далее фигурируя как одна из «информационно-телекоммуникационных сетей»10. Сама по себе такая норма может быть приемлемой, однако ее адаптация к европейскому законодательству в области защиты информации будет затруднительна – ведь большинство западных законов в этой области апеллируют конкретно к сети Интернет.

7



Однако наиболее серьезные концептуальные и терминологические проблемы возникают там, где РФ пытается предложить новые для международного права определения – особенно в части регулирования поведения государств в киберпространстве. Наиболее ярким, хотя и не единственным примером, является определение информационной войны, которое представляет собой довольно радикальную новацию в международном праве. В концепции конвенции это определение также является заимствованным. Само понятие информационной войны впервые было зафиксировано в Доктрине 2000 г., однако не было раскрыто в документе. С 2009 г. такое определение появилось, причем сразу на уровне действующей юридически обязывающей нормы международного права – в межправительственном соглашении государств-членов ШОС о сотрудничестве в области обеспечения международной информационной безопасности, которое было подписано 16 июня 2009 г. в Екатеринбурге во время 6-го саммита Организации (далее по тексту – Екатеринбургское соглашение). Информационная война в документе определяется как «противоборство между двумя или более государствами в информационном пространстве с целью нанесения ущерба информационным системам, процессам и ресурсам, критически важным и другим структурам, подрыва политической, экономической, социальной систем, массированной психологической обработки населения для дестабилизации общества и государства, а также принуждения государства к принятию решений в интересах противоборствующей стороны»11. • Во-первых, авторы определения принципиально «отсекают» возможность участия в информационной войне негосударственных акторов, что прямо противоречит реально наблюдаемой картине. Берем ли мы информационную войну на фоне кризиса августа 2008 г. в Грузии, или кибератаки на Эстонию в 2007 г., речь всегда идет о действиях неких акторов, чью прямую связь с госорганами проследить и доказать невозможно. Как уже отмечалось в докладе ПИР-Центра за август 2011 г., единственным способом достоверно установить связь группировок, осуществляющих кибератаки, с госструктурами, могла бы стать агентурная работа спецслужб, однако какая-либо разведка едва ли будет в обозримом будущем располагать ресурсами, позволяющими осуществлять подобные задачи12.

• Определение описывает сразу несколько различных и невзаимосвязанных явлений. С одной стороны, под информационной войной понимаются де-факто кибератаки на информационно-телекоммуникационные сети и инфраструктуру, с другой же стороны речь идет о классической психологической войне в ее западном понимании. По такой логике, Stuxnet, атаки на сервера эстонских госучреждений (если считать и то и другое действиями государств, что и делает значительная часть экспертов в мире) и программы вещания финского телевидения на территорию СССР в 1980-х гг. следует считать информационной войной. Вопрос только в том, что в реальности общего у этих явлений.

• Определение некорректно идентифицирует цели тех действий и процессов, которые оно в себя включает. Как отмечает эксперт по кибербезопасности

8



МГИМО (У) МИД России, целью массированных кибератак совсем не обязательно является нанесение ущерба самим информационным структурам, ресурсам и т.д. На примере Stuxnet мы, опять же, можем убедиться, что цель подобных акций скорее состоит в поражении критической промышленной, логистической, энергетической и иной инфраструктуры, которое, в свою очередь, осуществляется через информационную инфраструктуру и невозможно при ее отсутствии или неработоспособности. Парадокс состоит в том, что для нанесения ощутимого ущерба инфраструктуре государства из киберпространства необходимо, чтобы информационные компьютерные сети в нем находились на достаточно высоком уровне развития и активно использовались для управления инфраструктурой, промышленными, военными объектами и логистикой.

• Определение в русле уже сформировавшегося в РФ подхода не выделяет кибервойну и кибербезопасность в отдельную субкатегорию информационной безопасности, что кардинально противоречит практике большинства государств и, в первую очередь, западным концепциям. Последний момент является принципиальным, так как понятие «информационный», на котором полностью построено все российское национальное законодательство и международные инициативы в соответствующей сфере, в корне отличается по своему объему от понятия «кибер», лежащего в основе концепций англоговорящих стран и вообще большинства государств мира.

Терминологию и классификации, близкие к основанным на использовании понятия «информационный» в расширительном российском понимании, применяют лишь страны постсоветского пространства (Украина, Беларусь, Молдавия, государства Центральной Азии, Армения, Азербайджан), а также КНР – то есть 11 государств из 193 государств-членов ООН, или менее 6%. При этом Грузия и страны Прибалтики уже перешли на терминологию, основанную на понятии «кибер», либо довольно близком понятии «компьютерной» и «цифровой» безопасности. Более того, Эстония уже в мае 2008 г. приняла комплексную национальную стратегию кибербезопасности, нормы которой полностью ориентированы на подходы НАТО и ЕС13. По некоторым данным, к разработке такой стратегии в ближайшем будущем стремится и Грузия. По сути, российский «расширительный подход», за исключением успеха с его принятием в КНР, становится все более эндемичным, тогда как западное понимание кибербезопасности, прочно укореняясь в развивающихся странах, включая государства АТР, приобретает черты глобального. С точки зрения продвижения российских инициатив на международной арене значение имеют даже не огрехи и недоработки используемого в них понятийного аппарата, а фундаментальные расхождения с доминирующей в мире западной англоязычной терминологией в сфере защиты информации. При этом подобной противоречивостью и неоднозначностью страдают едва ли не большинство ключевых определений в рамках концепции. По меньшей мере странным представляется определение информационного пространства как «сферы деятельности»; практически неограниченно широким сделано определение информационной инфраструктуры, под которое, по замечанию эксперта по техническим аспектам кибербезопасности, может подпадать

9



обычная бумага. При этом изъяны ключевых определений дублируются в последующих определениях и статьях документа, в которых содержатся отсылки на них. Так, рассмотренное понятие «информационной войны» далее по тексту упоминается в одном определении и трех статьях, которые в результате становятся заведомо некорректными. Схожая ситуация наблюдается и с Кодексом об обеспечении МИБ, в котором используется по большей части та же самая терминологическая база. 1.3. Государствоцентричность – наследственный изъян российского подхода Однако если бы все «уязвимые места» российских проектов сводились к слабой и недостаточно проработанной технологии, это можно было бы считать позитивным сценарием, который, однако, не соответствует действительности. Как отмечает эксперт Управления инновационного по кибербезопасности МГИМО (У) МИД России, одним из наиболее противоречивых и логически слабых посылов, идущим красной нитью через весь текст концепции Конвенции, является идея о том, что государства де-факто могут контролировать ключевые составляющие информационной инфраструктуры. Так, ни в тексте Конвенции, ни в тексте Кодекса МИЮ ШОС ни разу не упоминаются: - частный сектор как главная цель кибератак, ключевой стейкхолдер национального сегмента интернета и информационной экономики, важнейший партнер государств в противодействии киберугрозам, наконец, основной оператор и пользователь ИКТ, включая трансграничный интернет; - экспертные сообщества (национальные и международные) как авторы необходимых государствам экспертных консультаций по вопросам киберугроз, участники процесса формирования доктринального видения кибербезопасности и т.д.; - гражданское общество, некоммерческие и общественные организации как инициаторы широкой дискуссии по вопросам кибербезопасности, ключевой элемент для развития образования и формирования культуры кибербезопасности, «аудиторы» инициатив правительств в данной сфере. Все негосударственные субъекты процесса глобального управления ИКТ и конкретно интернетом попросту не существуют с точки зрения авторов российских проектов. На практике посылка о государствоцентричности оказывается неверна, по крайней мере, для подавляющего большинства развитых стран, где вне государственного контроля находится большая часть критической информационной инфраструктуры. Даже не затрагивая тривиальный пример с 13 корневыми серверами DNS, которые управляются рядом организаций (преимущественно частных), действующих по согласованию с международной некоммерческой организацией ICANN, мы имеем массу свидетельств подобного рода как в США, так и других странах.

10



В США государство не контролирует работу информационной системы Нью-йоркской фондовой биржи, капитализация рынка акций которой на ноябрь 2010 г. составляла 13,39 трлн. долл. США, или около 50% суммарной капитализации мирового фондового рынка14. Сама New York Stock Exchange LLC по своему правовому статусу наиболее близка к российскому понятию общества с ограниченной ответственностью (ООО), что исключает прямой государственный контроль над ее информационной системой. Подтверждением формального статуса NYSE могут служить события 11 сентября 2011 г., когда деятельность биржи, расположенной в сравнительной близости от ВТЦ, оказалась нарушена. Несмотря на то, что действия представителей биржи по обеспечению бесперебойного функционирования и безопасности ее информационной системы координировались с руководством Комиссии по ценным бумагам и биржам США, а также Казначейством США на экстренном совещании, перехвата контроля госорганами не произошло даже в чрезвычайных условиях 11 сентября15 16. Другим примером является работа информационной системы Федеральной резервной системы США, ответственной за обеспечение функционирования системы национальной валюты, которая также является мировой резервной валютой. 12 банков ФРС имеют частную форму собственности, и не находятся в прямом подчинении Президенту США и Правительству США, хотя подотчетны Конгрессу. При этом информационная система ФРС Federal Reserve Automation Services (FRAS) со штаб-квартирой в Ричмонде функционирует также без прямого вмешательства со стороны государства, не находясь в собственности федеральных органов США. Между тем, FRAS обеспечивает работу системы финансовых платежей ФРС, которая в американских докладах и официальных документах характеризуется как «важнейший критический элемент финансовой системы США»17. Важно подчеркнуть, что такая статистика не может считаться уникальной и эндемичной для США уже в силу того, что перечисленные выше институты и системы являются элементами глобальной критической информационной инфраструктуры. ФРС и NYSE обеспечивают стабильность мировой финансовой системы, элементом которой является и финансовая система РФ. То же самое следует сказать и об информационных системах крупных промышленных объектах, таких как ГЭС, АЭС, газопроводы, трансграничные энергосети, операторами которых в развитых странах чаще всего являются структуры частного сектора. Согласно исследованию компании Symantec за октябрь 2010 г., 85 процентов всей критической инфраструктуры США, подключенной к информационным сетям, находятся под контролем частных операторов, включая энергетические сети, промышленную, транспортную, финансовую и энергетическую инфраструктуру18. В подавляющем большинстве случаев работу критической инфраструктуры обеспечивают частные информационные сети. Несмотря на то, что информационные системы таких объектов не относятся к разряду критической инфраструктуры, атака на них способна привести к последствиям, далеко выходящим за рамки национальных границ или даже отдельно взятого региона.

11



Таким образом, желание авторов российских проектов предложить миру модель, где государство является полновластным хозяином ключевых активов информационного пространства, заведомо нереализуемо и неприемлемо как минимум в развитых странах. Между тем, именно понимание государства как универсального абсолютного регулятора в киберпространстве определяет еще одну важнейшую черту Конвенции и Кодекса – их претензию на статус всеобъемлющих документов, которые «закрывали» бы сразу все существующие пробелы в регулировании МИБ. Как было показано на схеме выше, концепция Конвенции претендует на регулирование международного сотрудничества в сферах: а) киберпреступности; б) кибертерроризма; в) враждебных действий государств в информационном пространстве (киберконфликтов и кибервойн); г) более широкого контекста межгосударственного информационного противоборства – использования государствами информации как психологического оружия. Размах российских инициатив делает их достижение привлекательной целью, но, в то же время ставит перед их сторонниками ряд трудностей. Прежде всего, подобную сферу регулирования практически невозможно наполнить конкретными и детальными нормами в рамках единого документа. Российские авторы в итоге произвели, по сути, декларативный документ, который не предлагает: а) конкретных схем международного сотрудничества для противодействия преступности в киберпространстве; б) процессуальных механизмов взаимодействия; в) алгоритмов действий с целью недопущения актов кибертерроризма, кибервойн и киберконфликтов; г) направлений и форматов экспертных, культурных и образовательных контактов в сфере кибербезопасности, без которых едва ли возможно комплексное международное сотрудничество; д) вариантов согласования понятийной базы документов – что также было бы разумно с учетом специфики используемой в них терминологии. Концепция, так же как Кодекс, фиксирует лишь общие принципы, которые в отсутствие твердых норм, обеспечивающих их имплементацию, остаются благими пожеланиями. Наделяя государство правом выступать на мировой арене от имени всех акторов, действующих в киберпространстве, авторы проектов РФ закладывают в свои проекты ту же мину, которая, как отмечает эксперт Дипломатической академии МИД России М.Б. Касенова, сделала невозможным принятие Кодекса ООН для транснациональных корпораций. Проект Кодекса в разных вариантах разрабатывался с 1972 по 1992 гг., и в итоге был отклонен, так как делегаты ООН сочли консенсус по его проекту «невозможным»19. За 20 лет работы над Кодексом так и не удалось согласовать вариант, который имел бы юридически обязывающий характер, предлагал бы дееспособные механизмы воплощения прописанных норм и – главное – отвечал бы интересам самих ТНК.

12



Причина проста: государства не могут полностью самостоятельно регулировать те институты, процессы и явления, которые изначально развивались не в их рамках, вне национальных границ – и вне их контроля в случае киберпространства. Здесь уместно обратить внимание еще на один факт – традиция ставить государство и его интересы во главу угла при рассмотрении вопросов МИБ играет с РФ злую шутку, заставив игнорировать уже существующие ценные наработки в области консенсусной международной понятийной базы кибербезопасности. Составители проектов Конвенции и Кодекса предпочли проигнорировать примечательный плод неправительственной экспертизы - совместное исследование американского East-West Institute и Центра информационной безопасности МГУ имени М.В. Ломоносова. В совместном докладе двух институтов было выработана согласованная русско-английская понятийная база по ключевым военно-политическим вопросам кибербезопасности, включая определения кибервойн, киберконфликтов, кибератак и боевых действий в киберпространстве20. При этом данные определения выглядят более цельными, логичными и сбалансированными, поскольку являются плодом двустороннего согласования, а не одностороннего взгляда, как в случае с российскими инициативами по МИБ. МИД России, а также ведомствам, ответственным за разработку терминологии российских проектов, полезно все же взять опыт East-West Institute и Центра информационной безопасности на заметку. 1.4. На что остается надеяться? В то же время, несмотря на перечисленные изъяны проектов РФ и ШОС, нельзя сказать, что позиция России, активно продвигающей их и отстаивающей их актуальность, полностью лишена логики и аргументов. Во-первых, данные ПИР-Центра, а также ряд материалов официальных выступлений представителей РФ (в частности, упомянутая речь главы Минкомсвязи И.О.Щеголева на Лондонской конференции 1 ноября 2011 г., а также выступление Спецпредставителя Президента РФ по ШОС К.М.Барского на Генеральной конференции АТССБ в Ханое 21 ноября 2011 г.) позволяют говорить о разумной и осторожной позиции МИД, которая учитывает недостатки российских проектов. Осознавая наличие в концепции Конвенции и Кодексе МИБ серьезных изъянов и недоработок, официальная российская дипломатия пытается подавать эти инициативы как пробный шар, повод к диалогу о проблемах, которые обозначены в этих проектах. Так, в своей речи от 1 ноября 2011 г. на конференции по вопросам киберпространства в Лондоне глава Минкомсвязи РФ И.О.Щеголев выразил надежду на то, что российская концепция Конвенции «заложит основу для выработки универсальной конвенции под эгидой ООН»21. Таким образом, инициатива РФ преподносится как рабочая заготовка, гибкий проект, который скорее служит базой для дальнейшего диалога по намеченным в нем вопросам, нежели готовым объектом «оферты» нашим зарубежным партнерам. В весьма

13



схожем тоне была выдержана речь Специального Представителя Президента РФ по ШОС на 8 Генеральной конференции АТССБ – по сути, первая официальная презентация идей Кодекса МИБ ШОС странам АТР, которые Москва считает целевой аудиторией своих инициатив в сфере регулирования МИБ22. И эта позиция на данный момент представляется единственно верной и возможной – до тех пор, пока инициативы РФ и ШОС не получат необходимую доработку и не будут перезапущены в более презентабельном виде. Даже если это случится позже 2012 г., такой вариант куда более приемлем, нежели возможные упорные попытки сколотить коалицию поддержки тому, что есть - как это имело место с лоббированием Москвой дипломатического признания Южной Осетии и Абхазии после 2008 г. Во-вторых, международное право предусматривает и определенные ограничения на распространение информации, подрывающей общественную безопасность, как это, по мнению ряда правительств и российского политического руководства, имело место в случае «Арабской весны». Так, созвучные духу российских инициатив нормы содержит пункт 3 Статьи 19 Международного пакта о гражданских и политических правах, принятого резолюцией 2200 А (XXI) Генеральной Ассамблеи от 16 декабря 1966 года. В пункте утверждается, что пользование свободой «искать, получать и распространять всякого рода информацию и идеи, независимо от государственных границ, устно, письменно или посредством печати или художественных форм выражения, или иными способами по своему выбору» налагает особые обязанности и особую ответственность» и может быть «сопряжено с некоторыми ограничениями, которые, однако, должны быть установлены законом и являться необходимыми: a) для уважения прав и репутации других лиц; b) для охраны государственной безопасности, общественного порядка, здоровья или нравственности населения».23

Безусловно, ссылка на норму одного из ключевых актов международного права в области прав и свобод человека придает убедительности позиции российского МИД. Проблема, однако, заключается в том, что указанная статья представляет собой норму, которая пока по большому счету не прижилась в международной правоприменительной практике – в отличие, скажем, от статьи 51 Устава ООН. Нам не удалось выявить ни одного случая с момента принятия Пакта в 1966 г., когда государства обосновывали бы свои действия в сфере контроля над распространением информации ссылкой на пункт 3 статьи 19. Характерно, что эта норма осталась также вне поля зрения правительств Мубарака, Бен Али, Каддафи, Асада и Лукашенко, хотя все они в 2011 г. (да и ранее) активно искали способы ограничить активность оппозиционных движений в социальных сетях на более-менее понятных для международного сообщества основаниях. • В-третьих, ошибочно полагать, что РФ полностью одинока в своих подходах, а идея глобального НПА, охватывающего сразу все измерение кибербезопасности, глубоко маргинальна и больше никем не рассматривается. В

14



2010 и 2011 гг. были опубликованы два издания проекта The UN Global Treaty on Cybersecurity and Cybercrime за авторством крупнейшего норвежского киберюриста Штайна Шольберга (Stein Schjolberg) и его швейцарской коллеги госпожи Соланж Гернутти-Эли (Solange Ghernaouti-Helie). Профессор Штайн Шольберг в 2007-2008 гг. занимал пост Председателя Группы Экспертов Высокого Уровня по Кибербезопасности (High Level Expert Group on Cybersecurity), которая была учреждена в 2007 г. для изучения возможностей координации международных усилий по обеспечению кибербезопасности.24 Деятельность Группы должна была дополнять Глобальную повестку в области киберпреступности (Global Cybercrime Agenda) при Международном союзе электросвязи (МСЭ), старт которой был дан в том же 2007 г.25 Центральной идеей в проекте является утверждение всеобъемлющего, комплексного подхода к регулированию кибербезопасности в международном праве. В этом смысле проект Договора полностью созвучен российским инициативам. Различие заключается в том, что европейские эксперты по понятным причинам не включают в список угроз распространение информации, которая угрожает подрывом социально-политической стабильности. Куда более явный акцент в проекте сделан на блоке, посвященном киберпреступности. Амбиция авторов состоит в том, чтобы предложить альтернативу определениям Будапештской Конвенции – и самой Конвенции как таковой. В документе перечисляется 11 определение различных киберпреступлений, некоторые из которых – например – кибертерроризм – подлежат дальнейшей классификации в 4-5 пунктах. Явным расхождением с подходом РФ является принципиальное нежелание авторов выделять государства как субъект противоправной деятельности в киберпространстве. В статьях 11 и 12 «масштабные и тщательно организованные атаки на объекты критической инфраструктуры» отнесены к кибертерроризму – то есть акциям против государств и общества со стороны неограниченного круга субъектов, среди которых не выделяются государства. В целом, однако, проект Договора представляет собой скорее опытный научно-теоретический продукт, перегруженный регламентирующими нормами, многоуровневыми классификациями и чрезвычайно тяжеловесный для процесса многостороннего международного согласования. Согласно комментарию крупного российского эксперта по киберправу, «Договор может представлять интерес в контексте отвлеченного теоретизирования и построения идеальных моделей, однако пока не представляется перспективным с точки зрения международно-правовых перспектив». Наиболее убедительным подтверждением этой оценки служит тот факт, что с момента выхода проекта Договора (в конце 2010 г.) не последовало никакой практической реакции на него ни по каналам ООН, в работе чьей ГПЭ принимали активное участие авторы проекта, ни в рамках каких-либо других рабочих форматов. Достаточно сказать, что о самом существовании проекта до самого последнего времени не было известно российскому МИДу, весьма озабоченному поиском единомышленников для российских инициатив.

15



• В-четвертых, несмотря на малоперспективный подход в нынешней версии проектов ШОС и РФ к противодействию угрозам информационных войн и информационного противоборства государств, нельзя отрицать того, что такая проблема существует и действительно требует регулирования на наднациональном уровне. Речь идет о той части широкого российского понятия «информационной войны», которая соответствует англоязычным терминам «кибервойна» (cyberwar) и «киберконфликт» – и о следующих отсюда вопросах предотвращения кибервойн и киберконфликтов, пресечении милитаризации киберпространства. Именно эти проблемы находятся в центре внимания обоих проектов – и концепции Конвенции, и Кодекса МИБ ШОС. О реальности и остроте этой проблемы лучше всего свидетельствует ее признание той стороной, которая всячески настаивает на несостоятельности российских инициатив в части регулирования поведения государств в киберпространстве – США. Именно США, согласно американским же экспертам, научным центрам и отчетам госструктур, больше всех страдают от враждебных актов в киберпространстве, за которыми якобы стоят государства. Только за последний год доклады всевозможных аналитических центров и институтов в США приписывают китайским и русским хакерам систематические атаки на сети Пентагона, попытки кражи данных из сетей ряда федеральных министерств и т.д. В частности, в докладах Пентагона говорится о том, что сети ведомства ежедневно выдерживают более 6 млн. попыток неправомерного доступа, в большинстве из которых стоит подозревать российских и китайских хакеров26. Так, 14 июля 2011 г. замминистра обороны США Уильям Линн объявил о крупнейшей успешной атаке «иностранных агрессоров» на сети Пентагона, имевшей место в марте того же года. По словам Линна, в результате атаки были похищены 24 неизвестными злоумышленниками 24 тыс. секретных файлов. Несмотря на отказ прямо назвать автора атаки, источники в Пентагоне весьма прозрачно намекнули на КНР27. В ноябре 2011 г. американцы заявили, что взломы геодезических спутников США, якобы имевшие место в 2007 и 2008 гг., «полностью укладываются в логику последних положений военной стратегии Китая»28. Тревожной выглядит ситуация с «политически мотивированными» кибератаками на частные сети, обслуживающие объекты критической инфраструктуры. По данным компании Symantec, в США только за 2010 г. жертвами таких атак считают себя 53% операторов объектов национальной критической инфраструктуры29. Однако Белый Дом не всегда оказывается в позиции обороняющегося. В сентябре 2011 г. стало известно, что до начала операции по обеспечению бесполетной зоны в Ливии, еще в марте 2011 г. американским военным командованием рассматривался вариант нанесения массированного киберудара по инфраструктуре режима Каддафи30. Кроме того, рассмотрение киберпространства как пространства военных операций в США происходит на доктринальном уровне с момента принятия Стратегии Министерства обороны по действиям в киберпространстве (Department of Defense Strategy for Operating in Cyberspace), частично

16



рассекреченной в июне 2011 г.31 В ноябре 2011 г. стало известно, что Пентагон подтвердил закрепленное в Стратегии право использовать «все необходимые средства», включая военные, «для защиты своей страны, наших союзников, партнеров и интересов»32. Таким образом, киберугрозы оказались приравнены к «традиционным» военным угрозам. Оформление кибербезопасности как части военно-политической повестки происходит в США и на организационно-структурном уровне. Еще в 2009 г. в составе Вооруженных Сил США было создано Киберкомандование США (USCYBERCOM), функции которого включают отражение угроз кибербезопасности США, включая военные угрозы. От США стремится не отстать КНР, которая в мае 2011 г. сформировала в составе своих вооруженных сил специальное подразделение Blue Team, задача которого состоит в обеспечении защиты сетей китайских военных33. Более того, реальность угрозы кибервойн и киберконфликтов в полной мере осознают и европейские государства, включая Германию. С 30 ноября по 1 декабря 2011 г. в ФРГ прошла операция Luekex 2011, которая представляла собой не что иное, как учебную кибервойну34. В рамках операции, в которой приняли участие не менее 3 тыс. чиновников, имитировались массированные атаки на информационные системы федеральных и региональных госучреждений. По сообщениям СМИ, данная операция осуществлялась под наблюдением Национального центра киберзащиты и спецслужб, а подготовка к ней заняла почти 2 года35. Наконец, в 2010 г. НАТО признало масштабные кибератаки одной из наиболее серьезных угроз международной безопасности, во многом под влиянием инцидента с червем Stuxnet, поразившим информационную инфраструктуру иранской АЭС в Бушере36. Инцидент со Stuxnet, который, по мнению ряда экспертов, имеет слишком изощренный код, чтобы быть созданным независимой группой хакеров без участия государственных спецслужб, многие считают первой реально состоявшейся кибервойной – против Ирана. Упомянутые факты ставят перед нами закономерный вопрос – насколько уместно игнорирование российских инициатив регулирования в военно-политической плоскости? Очевидно, США и страны НАТО считают приемлемой на нынешнем этапе ситуацию неурегулированности данных вопросов. На позицию США в числе прочего оказывают значительное влияние подходы, заложенные в двух национальных Стратегиях, в том числе парадигма активной обороны (active defense), а также традиционное нежелание связывать себя международными обязательствами в области обороны и национальной безопасности. Тем не менее, более конструктивной представляется позиция РФ. Дальнейшее развитие и совершенствование различных систем и классов кибероружия, в том числе подобных Stuxnet, а также подготовка к ведению кибервойн представляет серьезный вызов МИБ, который впоследствии может стать одной из основных угроз международной безопасности вообще.

17



Государства предпочитают готовиться к кибервойнам, а не пытаться исключить саму возможность их начала. США и КНР вообще находятся в опасной близости от гонки кибервооружений – создания все более изощренных программных средств для осуществления кибератак и, одновременно, разработки средств защиты, которые позволят без существенного ущерба пережить масштабную вражеские кибератаки. Однако возможные последствия полномасштабной кибервойны между государствами с развитыми ИКТ-секторами национальных экономик никому доподлинно не известны. Поражение критической инфраструктуры в ходе кибервойны способно вызвать непредсказуемые последствия, особенно если речь идет об информационных сетях АЭС, ГЭС, крупных предприятий, нефте- и газопроводов. Кроме того, учитывая глобальную взаимосвязь информационных сетей, кибервойна однозначно не будет ограничиваться национальными границами целевого объекта агрессии – затронута в той или иной мере может быть вся Сеть, и уже по этой причине предотвращение кибервойн является задачей каждого государства, имеющего свои интересы в киберпространстве, включая РФ. 1.5. Выводы из сказанного Резюмируя изложенное выше, мы можем придти к следующим заключениям: 1. Угрозы, исходящие от кибервойн и киберконфликтов, иных агрессивных действий государств и действующих в их интересах акторов в киберпространстве, представляют собой один из наиболее острых вызовов МИБ. Понимание этого факта отражается в концептуальных документах и военных доктринах, структурных реформах, оперативных наработках широкого ряда государств, в заявлениях их лидеров и рекомендациях экспертных сообществ. Российские проекты уместно и своевременно претендуют на заполнение вакуума регулирования международного сотрудничества по нейтрализации этой угрозы. Россия правомерно стремится к регулированию МИБ в этой части, проекты концепции Конвенции, Кодекса в данном случае отвечают ее национальным интересам. 2. Вместе с тем, в нынешней форме указанные инициативы заведомо неприемлемы и непривлекательны для наших партнеров в силу ряда принципиальных изъянов, в числе которых: а) Попытка выстроить систему международно-правовых норм на понятийном базе, которая заимствована из устаревшего национального законодательства, отрывочна, несистемна и, кроме того, противоречат базовым принципам политических и правовых систем большей части развитых государств. б) Непонимание негосударствоцентричности информационного пространства, - или точнее, киберпространства, игнорирование многосубъектной природы управления киберпространством, интернетом; отсюда нереалистичные претензии на полный охват информационного пространства государством. в) Примат узковедомственного «силового» понимания информационной безопасности, следствием которого является неадекватность применяемой терминологии и неверное определение сферы и круга субъектов, подлежащей международному регулированию.

18



г) Несоотнесение предлагаемых инициатив и моделей регулирования с актуальными интересами ключевых зарубежных партнеров РФ, без которых проекты не имеют шансы на реализацию. д) Нацеленность на урегулирование комплексной, разноплановой и неоднородной повестки безопасности киберпространства единым всеобъемлющим и глобальным НПА, что изначально противоречит представлениям большинства наших партнеров и не соотносится с самой логикой децентрализованного киберпространства. е) Нецелесообразное включение в сферу регулирования вопросов распространения информации, «несущей угрозу суверенитету» и иных параграфов и статей, отражающих опасения руководства РФ и ШОС в связи с событиями «Арабской весны». Такие подходы не могут быть адекватно восприняты большинством государств, так как вступают в противоречие с нормами, направленными на обеспечение прав и свобод человека – прежде всего, в национальных правовых системах развитых стран. 3. Наличие в концепции Конвенции блока норм, преследующих цель регулирования международной борьбы с киберпреступностью, в сочетании с курсом РФ в отношении Конвенции СЕ и заявлениями российских официальных лиц дает основания считать, что одной из целей Конвенции является продвижение глобальной альтернативы Конвенции СЕ, причем основную поддержку своим инициативам Москва будет искать в рядах развивающихся стран (БРИКС + АТР). Вопрос о целесообразности окончательного отказа РФ от присоединения к Конвенции СЕ в пользу своих новых инициатив требует предметного рассмотрения, которое производится в главе №2. 4. К сожалению, на фоне разработки амбициозных проектов международных НПА российские власти игнорируют удручающее состояние национальной правовой базы в области информационной безопасности. В главе рассматриваются ключевые изъяны российского законодательства в этой сфере и разработка национальной стратегии кибербезопасности как возможный путь их преодоления. 2. Позиция РФ в отношении Конвенции СЕ «О киберпреступности» Как известно, Россия на данный момент не является участником наиболее известного и комплексного международно-правового акта, регулирующего вопросы противодействия киберпреступности на наднациональном уровне - Конвенции Совета Европы «О киберпреступности», подписанной 23 ноября 2001 г. в Будапеште. Несмотря на то, что Конвенция носит открытый характер, РФ, в отличие от 43 государств-членов Совета Европы и 4 других стран, в конечном счете отказалась присоединиться к ней. Распоряжение Президента РФ от 15 ноября 2005 г. «О подписании Конвенции о киберпреступности» санкционировало присоединение РФ к Конвенции, однако на условиях пересмотра положений статьи Конвенции №32, пункта b.37 Пункт, вызвавший у российской стороны несогласие, предполагает санкционированный доступ уполномоченных органов одного государства-

19



участника к компьютерным данным, хранящимся на территории другого государства, без предварительного получения согласия последнего: «Сторона может без согласия другой Стороны получать через компьютерную систему на своей территории доступ к хранящимся на территории другой стороны компьютерным данным или получить их, если эта сторона имеет законное и добровольное согласие лица, которое имеет законные полномочия раскрывать эти данные этой стороне через такую компьютерную систему».38

22 марта 2008 г. вступило в силу распоряжение президента РФ, в соответствии с которым распоряжение «О подписании Конвенции о киберпреступности» от 15 ноября 2005 года признано утратившим силу. С тех пор Россия не проявляла интереса к конвенции Совета Европы, сосредоточившись на продвижении собственных инициатив в области противодействия кибертерроризму. Как заявил в ноябре 2010 г. чиновник Росфинмониторинга Павел Ливадный, «РФ продвигает подход, предусматривающий разработку глобальной конвенции по борьбе с преступлениями в информационной сфере» 39. Причем данный подход будет помимо прочего заключаться в «в недопущении расследований на чужой территории, не ставя в известность правоохранительные органы соответствующего государства»40. В этом заявлении отчетливо прослеживается та «генеральная линия», которую заняла Москва в отношении Конвенции с 2010 г. Представители Правительства, МИД и силовых структур в своих работах и выступлениях всячески подчеркивают, что Конвенция была бы неплохим документом, если бы не 32b. По мере созревания российских инициатив глобального регулирования МИБ к этой линии добавилась установка на определенную «конфронтационность» - акцент на то, что инициативы, предлагаемые РФ и ее сторонниками, должны стать альтернативой Конвенции СЕ в международном масштабе, а не просто дополнить ее или развиваться параллельно. Критика Конвенции СЕ ведется российскими представителями – прежде всего, из числа сотрудников МИД и особенно силовых структур – по нескольким направлениям: а) Критика упомянутого пункта 32b, который якобы: 1) препятствует эффективному межгосударственному сотрудничеству, обходя согласование с одной из сторон вопроса о трансграничном доступе в ее сети; 2) подрывает дух доверительного и слаженного взаимодействия; 3) служит формальным прикрытием действий, преследующих не столь дружественные и партнерские действия членов Конвенции – как вообще, так и адресно в отношении РФ. Отдельного комментария требует последний пункт – мотивация и аргументы российских представителей по этой части никогда детально и полностью не озвучивались. Однако имеющиеся аналитические материалы и тексты выступлений сотрудников силовых структур ясно говорят о том, что предметом их опасений является разведывательная деятельность европейских (а с 2007 г. теоретически и американских) спецслужб в российских сетях и кибершпионаж. Характерный пример такой критики содержится в выступлении начальника Бюро специальных технических мероприятий МВД России Бориса

20



Мирошникова от 1 марта 2007 г. Так, г-н Мирошников, утверждая, что «лукавая 32-я статья преследует другие цели, а отнюдь не цели расследования компьютерных преступлений», заявляет о невозможности «говорить о плодотворном и взаимовыгодном сотрудничестве, если одна из сторон даже не знает о проведении <…> в [ее] инфокоммуникационных сетях, оперативных или следственных мероприятий какой-либо другой стороной»41. В более общей и умеренной форме претензии к пункту 32-б сводятся к тому, что его нормы нарушают суверенитет государства, санкционируя бесконтрольное вторжение третьей стороны в его информационные сети. Как отмечает эксперт по киберправу, профессор МГИМО (У) МИД России А.Г.Волеводз, «в любой стране мира возможно найти конкретного поставщика услуг (провайдера), в распоряжении которого имеются законные технические механизмы доступа к компьютерным данным, хранящимся за границей, или который сам (обладая физическими серверами) хранит компьютерные данные иностранного пользователя»42. В итоге, применение статьи 32b к подобным провайдерам создает возможность де-факто бесконтрольного доступа к компьютерным данным в сетях иностранного государства. Следует отметить, что данные доводы, хотя и несут рациональную составляющую, тем не менее, не могут объяснить принципиальность позиции РФ по ряду причин: - во-первых, такие теоретические действия «западных спецслужб» не могут угрожать информационным системам и сетям госорганов РФ, военным сетям, критической инфраструктуре, а следовательно, и представлять угрозу национальной безопасности. Несмотря на не самый высокий уровень культуры кибербезопасности, сети российских ведомств, особенно тех из них, которые работают с информацией, представляющей гостайну, попросту не подключены к глобальной сети интернет, и обслуживаются никак не зарубежными провайдерами, способными раскрыть доступ к ним. - во-вторых, практика действий, на которую в своей речи намекает г-н Мирошников, не может оставаться не выявленной продолжительное время. А пресловутый пункт 32b, как и все нормы Конвенции, действует одинаково для всех ее участников. Из всех стран-участниц Конвенции на сегодняшний день сравнимые с российскими навыки и технические возможности для осуществления кибершпионажа и работы спецслужб в сети, по данным ПИР-Центра имеют лишь Германия, Великобритания и США, причем последние не так давно ратифицировали Конвенцию. Логика использования статьи 32b в целях разведки и шпионажа, невзирая на гарантированные ответные действия такого рода, представляется малорациональной и неубедительной. Парадоксально, но вообще-то именно спецслужбы РФ теоретически должны были быть заинтересованы в доступе к механизму 32b, если бы не присоединение к Конвенции США. - в-третьих, выкладки сотрудников российских силовых ведомств по поводу возможного «нецелевого» использования статьи 32b не учитывают интересы самих провайдеров. Систематическое нарушение международного

21



законодательства, которое к тому же требует определенного отвлечения ресурсов, не соответствует интересам европейских поставщиков услуг и едва ли сможет длительное время оставаться вне поля зрения гражданского общества. В российских условиях влияние этих факторов сведено к минимуму, поэтому критики Конвенции СЕ в РФ как правило не принимают их в расчет. б) Более обоснована Критика Конвенции в целом как устаревшей и не отвечающей современным тенденциям и изменениям в той сфере, которую она призвана регулировать. Прежде всего отмечается естественную неспособность Конвенции охватить те виды и классы компьютерных преступлений, которые получили развитие за прошедшие 10 лет с момента ее подписания. В список таких киберпреступлений можно включить:

• фишинг; • создание и использование ботнетов; • усовершенствованные технологии спама; • неправомерное присвоение виртуальной идентичности; • преступления, совершаемые в «виртуальных мирах» - социальных

онлайн-сообществах по типу Second Life; • кибертерроризм и использование киберпространства для пропаганды

насилия, экстремизма, терроризма.

Некоторые исследователи и эксперты – например, Штайн Шольберг и Соланж Гернутти-Эли, – относят к этому списку масштабные и организованные кибератаки на объекты критической и информационной инфраструктуры, не желая выделять их как проявления отдельного феномена киберконфликта, выходящего за рамки киберпреступности как деяний, субъектами которых являются физические лица43. Следует констатировать, что необходимость внесения поправок и дополнений в Конвенцию действительно назрела. Однако пока на этом направлении не наблюдается активности, что может свидетельствовать либо о некотором кризисе Конвенции, либо о том, что сами ее государства-участницы пока не осознали такой необходимости. Так или иначе, в ближайшие два-три годы в Конвенцию либо будут привнесены требуемые новации, либо ее практическое значение для европейской кибербезопасности начнет девальвироваться. в) Наконец, иногда доводом в пользу неприсоединения РФ к Конвенции является ее «региональность», неспособность стать подлинно глобальным актом, на который ориентировалось бы все мировое сообщество. С практической точки зрения этот довод не очень содержателен и имеет значение лишь в условном геополитическом преломлении. Впрочем, нужно отметить, что сам Совет Европы никогда и не ставил целью превращение Конвенции в глобальный акт – документ просто сделали открытым для присоединения независимо от географических критериев. Тем не менее, неявное стремление к расширению состава участников Конвенции все же присутствует – акт выступает как проводник европейской «мягкой силы» (soft power), в продвижении которой европейские государства объективно заинтересованы.

22



Пока Конвенции не удалось стать подлинно глобальным документом и охватить часть из ключевых государственных акторов, оказывающих наибольшее влияние на мировую киберпреступность, в том числе Россию и Китай. Вне Конвенции пока остаются и другие страны, на сегодняшний день играющие чуть меньшую роль в глобальной кибербезопасности, однако имеющие колоссальный потенциал роста национального интернет-сектора – и соответствующего обострения ситуации с киберпреступностью. В числе таких стран стоит отметить Индию, Индонезию, Нигерию, Мексику, Вьетнам и другие густонаселенные развивающиеся страны с быстро растущим информационно-коммуникационным сектором. Однако ряд фактов свидетельствует о том, что Будапештская конвенция отнюдь не исчерпала свои перспективы и имеет дальнейший потенциал расширения членства. Важнейшим для Конвенции событием стало присоединение к ней США, где документ был после долгих и ожесточенных дискуссий ратифицирован в августе 2006 г., и вступил в силу 1 января 2007 г. Кроме того, на присоединение к Конвенции, возможно, взял курс один из главных союзников РФ по ШОС и ОДКБ – Казахстан. Согласно зарубежным источникам ПИР-Центра, Республика имеет намерение присоединиться к конвенции, хотя вопрос до сих пор не решен окончательно. Следует ожидать, что подобное решение Казахстана, второго по важности после КНР партнера России в ШОС, будет неоднозначно воспринято Москвой с точки зрения продвижения ее собственных инициатив по регулированию кибербезопасности. По некоторым данным, такая неоднозначность уже проявила себя в ходе переговоров Министра иностранных дел РФ С.В. Лаврова с главой МИД Казахстана Е.Х.Казыхановым, которые прошли в Москве 21 ноября 2011 г. Хотя противодействие «новым угрозам» лишь вскользь упоминалось в официальной повестке переговоров, российская сторона все же затронула вопрос Будапештской Конвенции и выразила озабоченность планами Астаны по присоединению к ней. При этом будет приниматься во внимание позиция России о необходимости более детальной проработки всех последствий такого присоединения с учетом наших обязательств перед партнерами по ШОС. Кроме того, интерес к Киберконвенции Совета Европы сохраняется в том регионе, куда все чаще обращается взор российского двуглавого орла – АТР. Япония, подписавшая Конвенцию еще десять лет назад, в 2001 г., однако до сих пор не ратифицировавшая ее, в краткосрочной перспективе может вернуться к рассмотрению вопроса о ратификации документа, по данным источника ПИР-Центра в Токио. Но, вне зависимости от внешнеполитической «конъюнктуры» и перспектив дальнейшего роста числа участников Конвенции, целесообразность присоединения к ней России определяется тем, насколько эффективно национальное российское законодательство позволяет бороться с киберпреступностью. На данный момент ситуация в этой сфере представляется удручающей и требующей системных изменений.

23



Во-первых, российская киберпреступность демонстрирует колоссальный рост, сдержать который не удается. По данным компании ESET, в 2011 г. ожидается рост количества уникальных образцов вредоносных программ в российском сегменте интернета с 40 млн. до 50-55 млн., при этом в 2010 г. объем средств, заработанных преступниками в российском сегменте интернета, оценивается в 2-2,5 млрд. евро.44 Group-IB в своем докладе оценивает заработок «русских» киберпреступников в 2010 г. на уровне 2,5 млрд. долл. США и прогнозирует его рост до 3,7 млрд. долл. США в 2012 г. и 7,4 млрд. долл. США в 2013 г.45 То есть среднегодовой темп роста показателя приблизится к 100 %, а через два года доход «русской» киберпреступности превысит доход общемировой киберпреступности за 2010 г. (7 млрд. долл. США). Рост количества кибератак в 2010 г. в российском сегменте интернета оценивается в 80%. О ситуации с российским законодательством о спаме и распространении при помощи компьютерных технологий детской порнографии лучше всего говорит пример спамера, известного под никами Leo Kuvayev и Bad Cow и входившего в топ-5 рейтинга мировых спамеров в 2005-2010 гг. По свидетельству генерального директора компании Group-IB И.К.Сачкова,46 в течение нескольких лет Леонид Куваев, выходец из России, проживая в основном в США, развивал сложнейшую автоматизированную систему распространения спама, торговли через интернет порнографией и вредоносными программами. Система ежедневно автоматически создавала до 1 тыс. сайтов для данной цели, а также для осуществления кибермошенничества, партнерские программы из спамерской сети Лео до сих пор генерируют ему ежегодный доход в размере около 30 млн. долл. США. После заведения уголовного дела на Куваева в США 11 мая 2005 г. спамер вернулся в Россию, где оставался недосягаемым для американского правосудия, включая ФБР, а также безнаказанно продолжал вести свою деятельность, поскольку российские законы не позволяли привлечь его к ответственности. Потребовалось пять лет, прежде чем Куваева арестовали в РФ – совсем не за совершенные киберпреступления, а по статье 134 УК РФ47. По словам И.К.Сачкова, «реалии российского законодательства таковы, что добиться обвинительного вердикта в отношении лица за киберпреступления подобного рода почти невозможно»48. Столь же тревожно положение дел с нормативно-правовой базой для противодействия мошенничеству в интернете. В частности, Россия имеет крайне скудный опыт успешного доведения до суда (не говоря об обвинительных приговорах) дел о мошенничестве в области дистанционного банковского обслуживания (ДБО). Количество преступлений в этой сфере в РФ выросло за 2011 г. на 200%, при этом за одну атаку хакеры в среднем похищают от 600 тыс. до 2 млн. руб.49 При этом российская правовая система позволяет доводить до суда лишь единицы уголовных дел по таким правонарушениям, хотя лишь в Москве ежемесячно происходит от 10-20 успешных атак подобного рода, а общее число только зарегистрированных МВД преступлений в сфере ИБ в 2009 г. превысило 15 тыс.50 То есть, до обвинительных приговоров доводятся менее 0,1 % уголовных дел.

24



При этом осужденные киберпреступники чаще всего получают наказание по статьям, не имеющим прямого отношения к киберпреступности. Ярким примером может являться кейс хакера Евгения Аникина, который 8 февраля 2011 г. был признан судом виновным во взломе платежной системы RBS WorldPay в 2008 г. с нанесением ущерба в размере 10 млн. долл. США. Сообщники Аникина ранее были экстрадированы в США, где их обвинили в мошенничестве с использованием электронных средств коммуникации, за что им грозят тюремные сроки до 20 лет.51 Сам же г-н Аникин был осужден на условный срок 5 лет по законодательству РФ за кражу, совершенную в особо крупном размере по статье 158 УК РФ, пункт «б», часть 4. Разницу едва ли нужно комментировать. Аналогичным образом складывается ситуация с борьбой с DOS и DDOS-атаками. В 2011 г. в РФ DOS и DDOS-атакам с использованием ботнетов часто подвергались социальные сервисы (Live Journal), сайты СМИ, интерактивные сообщества на базе платформы Ushahidi. Особую тревогу вызывает тот факт, что выбор объектов атаки и характер атак (выбор времени, одновременные мощные атаки на большое количество ресурсов) дает экспертам основания для предположений о политическом подтексте ряда подобных акций. В день выборов в Государственную Думу РФ 4 декабря 2011 г. мощным DDOS-атакам подверглись сайты ведущих СМИ (Коммерсантъ), освещавших выборы, «Карта нарушений» – интерактивная онлайн-платформа, позволявшая в режиме реального времени собирать информацию о нарушениях в выборном процессе, блоговый сервис LiveJournal, считающийся «цитаделью» российской либеральной оппозиции, и другие ресурсы. Удивительная толерантность правоохранительных органов к подобным инцидентам усугубляется относительной беспомощностью российского законодательства в отношении DDoS атак. Как отметил в интервью в декабре 2010 г. эксперт Центра телекоммуникаций и технологий Интернет МГУ имени М.В. Ломоносова А.В.Лямин, «большинство статей [УК РФ], посвященных информационной безопасности, для DDoS «нерабочие». Все известные нам случаи привлечения к ответственности – это исключительно по статье 273 УК РФ.52 Но создание, использование и распространение вредоносного программного обеспечения, за которое наказывают по этой статье, <…> не совсем тот предмет»53. В результате, слабость законодательных механизмов и пассивность госорганов создают для организаторов атак обстановку безнаказанности. Список тех аспектов борьбы с киберпреступностью, где ситуация в рамках РФ остается весьма тревожной и угрожающей, можно продолжать. При этом нужно подчеркнуть, что такому положению дел способствует не только слабость российской нормативной базы. Не менее серьезным препятствием к успешному расследованию киберпреступлений является как раз таки трансграничность преступных групп. Нормальной практикой для осуществления широкого ряда киберпреступлений является формирование группы, участники которой действуют одновременно с территории различных государств. Рост – количественный и качественный – банковского сектора и, соответственно, интернет-банкинга, распространение электронных платежных систем и

25



терминалов, общий рост доходов населения РФ и бурное развитие бизнес-сектора сделали достоянием прошлого те времена, когда различного рода атаки осуществлялись только из России в адрес расположенных за рубежом организаций, объектов, систем. Сегодня в РФ достаточно развит «внутренний рынок», привлекающий с каждым годом все большее количество киберпреступников, в том числе из-за рубежа. С учетом этих тенденций и описанной выше ситуации представляется, что позицию РФ в отношении Конвенции Совета Европы следует пересмотреть, либо по крайней мере сделать предметом широкого обсуждения, в котором главное слово должно остаться скорее за бизнесом и экспертами, нежели за государством. Судя по всему, ожидать от российского политического руководства резкого разворота курса от Конвенции МИБ к Будапештской Конвенции пока не приходится. В такой ситуации формирование мнения по данному вопросу является задачей квалифицированных представителей экспертного сообщества, а также частного сектора и заинтересованной общественности. Весомым аргументом в пользу «разворота» позиции РФ в сторону Конвенции СЕ является также то, что против России жестко работает время. Такой вывод напрямую следует из озвученных выше темпов роста объемов различных сегментов российского рынка киберпреступности (от 80 до 200% ежегодно). При этом нужно помнить, что концепция Конвенции была презентована месяц назад и, как отмечалось, является лишь рабочим проектом возможного будущего акта ООН. По оценке российского эксперта по техническим аспектам кибербезопасности, только выработка подобного документа на площадке ООН может занять не менее 3 лет, не говоря о перспективах практической имплементации его норм. В то же время, существующую динамику роста киберпреступлений необходимо переломить максимум в течение ближайших двух-трех лет, иначе существенная часть российского ИТ-сектора окажется под контролем отечественной и международной киберпреступности. Разумеется, присоединение РФ к Конвенции СЕ не станет мгновенной панацеей от разгула киберпреступности, ведь и самой Конвенции все же необходимо будет в будущем пройти процесс модернизации и адаптации к изменившимся за 10 лет реалиям киберпреступности. Однако в краткосрочной перспективе у России нет ни времени, ни иного выбора, кроме как воспользоваться теми возможностями, которые дают ей механизмы международного сотрудничества в рамках Конвенции СЕ. Позиция Казахстана, который движется в сторону присоединения к Конвенции, несмотря на озвученные в 2011 г. на площадках ШОС и СНГ идеи создания «электронных границ» и организации Киберпола, должна служить ясным сигналом для Москвы, которой стоит реалистично оценивать привлекательность своих глобальных прожектов и соотносить их с более насущными потребностями в сфере кибербезопасности. 4. Национальный уровень: к вопросу о стратегии кибербезопасности РФ Изложенные факты позволяют придти к предположению о том, что фундаментальные проблемы российских инициатив регулирования МИБ

26



заключаются отнюдь не в самих этих инициативах. Более того, корень проблемы лежит не во внешнеполитической плоскости: амбициозные проекты Москвы и ее партнеров не имеют под собой должной концептуальной глубины и не формируют системное видение в рамках проблематики кибербезопасности, потому что их авторы не имеют такого видения на национальном уровне. Конкретно, имеется в виду, что РФ не сумела к настоящему времени разработать и принять всеобъемлющую национальную киберстратегию, которая охватывала бы весь комплекс проблем безопасности киберпространства и предлагала бы некий системный политический курс в этой сфере. За небольшими оговорками то же самое справедливо в отношении Китая. Несмотря на неоспоримое региональное (а в последние годы и мировое) лидерство в темпах и абсолютных объемах роста ИТ-сектора, все большую озабоченность правительства киберугрозами и быстрое развитие органов и структур, которые специализируются на вопросах кибербезопасности, Китай так и не выработал цельной национальной кибердоктрины, хотя и находится на пути к ее созданию. Применительно же к России следует констатировать отсутствие какого-либо документа, решавшего бы задачу формирования системного, доктринального видения вопросов кибербезопасности на национальном уровне. Основные причины, по которым на эту роль не подходит Доктрина информационной безопасности РФ от 2000 г., раскрыты нами в предыдущих главах исследования. Следует лишь кратко суммировать наиболее принципиальные моменты в отношении существующей Доктрины: 1) Из чрезмерно широкой сферы информационной безопасности почти невозможно однозначно выделить круг вопросов, связанных с регулированием кибербезопасности; 2) Терминология Доктрины, и без того достаточно консервативная, устарела с момента ее принятия и не является адекватной сегодняшней реальности. Так, в тексте Доктрины ни разу употребляется слово «интернет»; в значительной степени устарело описание компьютерных преступлений; в конкретизации и переработке нуждается определение информационных войн. 3) Доктрина содержит ряд избыточных либо некорректно определенных вопросов и сфер регулирования, таких как «информационная безопасность РФ в сфере духовной жизни» и т.д. 4) Доктрина рассматривает общество и частный сектор как объекты государственной политики в сфере информационной безопасности, но не отводит им активной роли в ее обеспечении, что неправомерно как минимум в сфере кибербезопасности. Эти недостатки применительно к сфере кибербезопасности в той или иной степени присущи и другим доктринальным документам РФ, в частности Военной доктрине РФ от 5 февраля 2010 г.,54 а также Стратегии национальной безопасности РФ до 2020 г.55 Так или иначе, роль кибербезопасности по итогам анализа трех доктринальных документов, включая Доктрину информационной безопасности РФ, оказывается маргинальна. Это еще раз подтверждает, что

27



вопросы кибербезопасности должны быть сгруппированы в отдельном доктринальном документе. Условным аналогом из числа отечественных документов такого рода могут быть «Основы государственной политики в области ядерного сдерживания до 2020 года» – с той разницей, что полное засекречивание киберстратегии едва ли будет целесообразно. Следует отметить, что в РФ отсутствует доктринальное видение не только безопасности киберпространства, но и регулирования киберпространства и кибертехнологий в целом. По сути, одним из немногих документов, предлагающих комплексное видение ряда вопросов в рамках проблематики киберпространства, можно с оговорками назвать 460-страничный «Системный проект на создание и эксплуатацию инфраструктуры электронного правительства». Разработку проекта в 2009 г. осуществили Национальный исследовательский университет «Высшая Школа Экономики» (НИУ ВШЭ) и Российская академия народного хозяйства и государственной службы при Президенте Российской Федерации (РАНХиГС) по заказу «Ростелекома». При этом Проект все же является не доктриной, а ведомственным документом, рассчитанным скорее на внутреннее пользование. Кроме того, тема информационной безопасности по объективным причинам находится на периферии повестки документа, хотя и рассматривается довольно подробно. В частности, в Проекте отмечаются системные недостатки российского федерального законодательства в области ИБ, включая его непрозрачность и неэффективность. Конкретно, особенность рынка заключается в том, что российское законодательство предусматривает для его участников обязательные механизмы лицензирования и сертификации. Основные нормы лицензирования в рассматриваемой сфере устанавливаются Федеральным законом от 8 августа 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности». Реализацию данных процедур применительно к деятельности, в рассматриваемой сфере делят между собой такие малотранспарентные ведомства, как Федеральная Служба Безопасности (ФСБ) РФ и Федеральная Служба по Техническому и Экспортному Контролю (ФСТЭК) РФ56. В свою очередь, эти органы обладают законным правом на аккредитацию промежуточных субъектов в этой схеме, которые и осуществляют указанные процедуры сертификации и лицензирования. В число таких субъектов включаются различные формы, ФГУПы, НИИ, лаборатории (испытательные центры) и другие структуры, которые в подавляющем большинстве случаев либо аффилированы с ФСБ и ФСТЭК, либо имею с постоянные договоренности и связи с этими ведомствами, либо просто представляют собой закрытые нетранспарентные структуры со сложными схемами госфинансирования. Подобная практика регулирования рынка, как справедливо указывают авторы все того же Проекта, ведет к его «закрытости, непрозрачности рынка, монопольно высоким ценам на обеспечение информационной безопасности, и, как следствие, к чрезмерным расходам участников рынка и органов государственной власти»57. Дополнительной проблемой, которая делает

28



процедуры лицензирования, сертификации и аккредитации еще менее прозрачными и понятными, являются устаревшие государственные стандарты информационной безопасности, соответствие которым необходимо для прохождения процедуры сертификации. Так, действующие в настоящее время и применяемые при сертификации стандарты серии ЕСС АСУ (ГОСТ 24) «Единая система стандартов автоматизированных систем управления» были приняты в период с 1980 по 1985 гг.58 Также действующие и применяемые стандарты серии ЕСПД (ГОСТ 19) «Единая система программной документации» были приняты в период с 1977 по 1990 гг. Необходимость удовлетворять требованиям данных стандартов является еще одним фактором, повышающим коррупционную емкость деятельности госструктур по лицензированию и сертификации тех субъектов, чья деятельность связана с ИКТ, предоставлением доступа в интернет и т.д. Несколько хаотичная ситуация со стандартами и запутанная, громоздкая совокупность норм, регламентирующих деятельность госорганов по лицензированию и сертификации, доказывает, что и ведомственном уровне обеспечение кибербезопасности в России не составляет пока целостной политико-правовой концепции. При этом общей тенденцией в рамках такого регулирования становится концентрация максимального объема полномочий в руках спецслужб. По сути, именно ФСБ и ФСТЭК являются едва ли не главными стейкхолдерами российского ИТ-сектора, как бы издевательски это не звучало для западного уха. 12 мая 2004 г. был подписан Указ Президента России «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена» № 611. Данный указ запрещал госорганам использовать интернет без средств защиты и регламентирует ответственность спецслужб за обеспечение безопасного использования Всемирной Сети. По словам пресс-службы Президента РФ, Указ направлен прежде всего на обеспечение защиты сетевых ресурсов государственных органов РФ от внешних угроз несанкционированного воздействия59. В 2008 году Указ был признан утратившим силу после принятия Указа Президента РФ от 19 марта 2008 года «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена». Изменив некоторые положения предыдущего Указа новый НПА сохранил его ключевые нормы, а именно подпункты А и Б пункта 1. Подпункт А закрепляет довольно примечательный и характерный именно для РФ подход, в рамках которого подключение к интернету систем, содержащих информацию, представляющую государственную или служебную тайну и используемых государственными органами, в принципе «не допускается», либо, как следует из подпункта Б, минимизируется. При этом выдачу сертификатов для подключения «информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники» при этом осуществляют уже упомянутые ФСТЭК и ФСБ.

29



Суммируя рассмотренные НПА, можно констатировать, что ни на одном уровне российской правой системы пока не сложилось системного и цельного отражения проблематики кибербезопасности. Кроме того, фактически отсутствует доктринальное видение данной проблематики. которая оказывается «распыленной» в безграничной и довольно абстрактной сфере регулирования информационной безопасности. Отсюда вытекают все те проблемы и изъяны российских проектов регулирования МИБ, которые перечислялись ранее: непригодный терминологический фундамент; избыточный объем сферы регулирования; игнорирование интересов ключевых стейкхолдеров, акцент на нужды государства; поверхностность и декларативность предлагаемых норм и механизмов; сомнительная оценка приоритетов и национальных интересов в случае с Конвенцией СЕ. Решение этих проблем лежит в постепенном, но энергичном формировании системного видения сферы кибербезопасности на базе доктринального документа, формирование институциональных основ регулирования кибербезопасности в РФ. Между тем, России вовсе необязательно начинать эту работу с нуля. Мировой опыт предлагает несколько вариантов успешных подходов в этой области; наиболее ярким и передовым из них следует признать наработки США в части стратегического подхода к проблемам кибербезопасности. Уже упоминавшаяся Международная стратегия по действиям в киберпространстве представляет собой если не идеальный образец, то ориентир для России именно как системный документ, упорядочивающий и четко систематизирующий на крупные блоки рассматриваемую проблематику. В нашем случае проблематика на порядок уже - она ограничена сферой кибербезопасности, тогда как Стратегия США охватывает все вопросы, связанные с киберпространством. Как отмечает эксперт Дипломатической академии МИД России М.Б.Касенова, Стратегия «позиционируется Правительством США как своего рода программа действий в контексте будущих усилий, необходимых для выработки совместных подходов в целях сохранения природы киберпространства и снижению возникающих угроз»60. Такое понимание назначения и функций документа близко задачам, сформулированным нам применительно к проблематики кибербезопасности в РФ. Вся проблематика киберпространства в документе систематизирована в семь крупных блоков, или семь пунктов: 1. «Экономика: укрепление международных стандартов и инноваций, открытые рынки»61. 2. «Защита наших сетей: усиление безопасности, надежности и отказоустойчивости». 3. «Правопорядок: расширение сотрудничества и правовое регулирование». 4. «Военная сила: подготовка к вызовам безопасности XXI-го века». 5. «Управление использованием интернета: содействие эффективным и всеобъемлющим структурам». 6. «Международное сотрудничество: потенциал, безопасность и процветание». 7. «Свобода Интернета: защита основных свобод и частной жизни».

30



Такое разделение продиктовано естественной логикой и способствует эффективному распределению полномочий и обязанностей в рамках стратегии, а также выявлению «белых пятен» в регулировании и дублирования функций. Кроме того, еще одна крайне актуальная для РФ черта американского подхода к составлению стратегии – целевое участие тех или иных стейкхолдеров в работе над соответствующим разделом документа. Вообще говоря, такая практика стандартна, однако в российских стратегиях и доктринах ее следы, тем не менее, чаще всего не прослеживаются. Между тем, именно она обеспечивает соответствие видения той или иной сферы регулирования принципам многосубъектного управления, или мультистейкхолдеризма. Например, комплекс Директив ЕС по развитию информационного общества в сумме охватывают существенную часть спектра вопросов кибербезопасности. При этом директивы ЕС не преследуют конкретную цель обеспечения кибербезопасности, но выстраивают модель регулирования преимущественно на основе интересов внутреннего европейского рынка62. Этот факт важен, так как показывает, что обеспечение кибербезопасности вообще не обязательно осуществлять исключительно в соответствии с приоритетами государства – могут превалировать интересы частного сектора, равно как и других стейкхолдеров, причем государство может идти их интересам навстречу. Также необходимо помнить, что степень и уровень доктринальной проработки проблематики кибербезопасности напрямую связаны с тем, какой объем структурных, кадровых и интеллектуальных ресурсов направляет государство на работу в этой области. В администрации Обамы решением от 29 мая 2009 г. была учрежден пост Координатора по вопросам кибербезопасности и специального помощника Президента США, имеющего собственный рабочий аппарат. 22 февраля 2011 г., в составе Госдепартамента США была учреждена должность Координатора по вопросам киберпространства. В Госдепартаменте действует целевая рабочая группа по вопросам свободы в интернете (The NetFreedom Taskforce), ведущая активную работу с крупнейшими ИТ-компаниями, включая Google и Facebook. Помимо упоминавшегося Киберкомандования США, военными аспектами кибербезопасности на федеральном уровне занимаются такие структуры, как Национальный центр кибербезопасности и интеграции коммуникаций (NCCIC), действующий с 2009 г. при Министерстве внутренней безопасности США. России также нужно выстраивать структурно-организационный и институциональный фундамент своей политики в сфере кибербезопасности, и делать это необходимо как можно скорее, так как институты вызревают годами, а повестка МИБ требует активных действий от РФ уже в ближайшем будущем. Суммируя преимущества и наработки, присутствующие в зарубежных доктринальных документах, а также российскую специфику в части регулирования информационной безопасности, мы можем сформулировать ряд ключевых параметров будущей стратегии кибербезопасности РФ:

1. Речь должна идти о документе, в котором будет четко выделяться сфера безопасности, ограниченная компьютерными технологиями.

31



Необходимо уйти от неоправданно широкого понятия информационной безопасности, максимально приблизив регулируемую сферу к кибербезопасности.

2. Документ должен давать комплексное системное видение кибербезопасности, которое затрагивало бы и смежные с ней грани, включая правовую, военную, технологическую, образовательную, внешнеполитическую, экономическую и т.д.

3. Стратегия должна преодолеть традиционную для России государствоцентричность. Приоритеты обеспечения кибербезопасности должны выстраиваться исходя из сбалансированных потребностей в этом граждан, бизнеса, государства, наших зарубежных партнеров. В стратегии должны найти полное отражение принципы многосубъектного управления киберпространством и интернетом - этот вопрос не сводится к соблюдению конъюнктурно востребованных моделей, а напрямую определяет будущую прозрачность и эффективность российских законов в сфере кибербезопасности. Спецслужбы должны потесниться.

4. Стратегия должна формировать коридор для магистрального политического курса РФ в сфере обеспечения кибербезопасности в краткосрочной и среднесрочной перспективе.

5. Параллельно с разработкой стратегии должны закладываться институциональные основы регулирования кибербезопасности в России, и этому стратегия также должна способствовать.

Выводы и рекомендации лицам, принимающим решения (ЛПР) в РФ Подводя итоги рассмотрения направлений регулирования кибербезопасности, автор доклада считает возможным суммировать их в виде ряда выводов: 1. Предлагаемые РФ проекты глобального регулирования МИБ в их текущем виде обречены на неудачу, корни которой лежат в системных недостатках концепции и терминологии этих проектов. Среди этих недостатков: а) Попытка выстроить систему международно-правовых норм на базе национальных российских НПА, которые недостаточны, отрывочны, несистемны и зачастую анахроничны, и кроме того, противоречат базовым принципам политических и правовых систем большей части развитых государств. б) Непонимание негосударствоцентричности информационного пространства, - или точнее, киберпространства, игнорирование многосубъектной природы управления киберпространством, интернетом; отсюда нереалистичные претензии на полный охват информационного пространства государством. в) Примат узковедомственного «силового» понимания информационной безопасности, следствием которого является неадекватность применяемой терминологии и неверное определение сферы и круга субъектов, подлежащей международному регулированию. г) Несоотнесение предлагаемых инициатив и моделей регулирования с актуальными интересами ключевых зарубежных партнеров РФ, без которых проекты не имеют шансы на реализацию. д) Нацеленность на урегулирование комплексной, разноплановой и неоднородной повестки безопасности киберпространства единым

32



всеобъемлющим и глобальным НПА, что изначально противоречит представлениям большинства наших партнеров и не соотносится с самой логикой децентрализованного киберпространства. Для того, чтобы инициативы РФ не забуксовали окончательно, необходимо вернуться далеко назад, к уровню институтов, обеспечивающим выработку последовательной национальной политики в сфере кибербезопасности. Без этого любые усилия МИД будут малорезультативны. 2. Вопрос относительно присоединения РФ к Конвенции СЕ «О киберпреступности» не следует считать закрытым. Возражения российских представителей силовых структур против пункта 32б неубедительны и не основываются на состоятельных фактах. Практика монопольного влияния представителей силовых структур на формирование российской позиции по этому вопросу должна быть пересмотрена. Факты свидетельствуют в пользу того, что Конвенция отвечает национальным интересам РФ, даже если это не признает официальная российская дипломатия. Позицию РФ в отношении Конвенции СЕ следует пересмотреть, либо по крайней мере сделать предметом широкого обсуждения, в котором главное слово должно остаться скорее за бизнесом и экспертами, нежели за государством. Судя по всему, ожидать от российского политического руководства резкого разворота курса от Конвенции МИБ к Будапештской Конвенции пока не приходится. В такой ситуации формирование мнения по данному вопросу является задачей квалифицированных представителей экспертного сообщества, а также частного сектора и заинтересованной общественности. Кроме того, проделанный анализ позволяет представить ряд рекомендаций для российских ЛПР, к числу которых прежде всего относятся МИД России, Правительство, Администрация Президента, Совет Безопасности, Минкомсвязи, Совет при Президенте Российской Федерации по развитию информационного общества в Российской Федерации, а также ФСБ и ФСТЭК. 1. Российскому политическому руководству необходимо предпринять усилия по пересмотру и доработке концепции Конвенции ООН «Об обеспечении международной информационной безопасности». Учитывая явную пробуксовку в его продвижении и восприятии ключевыми партнерами РФ, уместно пойти на «перезагрузку» данной инициативы, с тем чтобы впоследствии выйти на проект Конвенции 2.0, более глубоко и предметно учитывающий интересы и потребности РФ, ее партнеров и международного сообщества в целом. 2. На глобальной арене российскому МИД необходимо исходить из того, что позиция и предложения ШОС и РФ по международному регулированию кибербезопасности не являются жесткими и окончательными. И Кодекс, предлагаемый ШОС, и проект Договора об обеспечении международной информационной безопасности следует позиционировать как рабочие заготовки, гибкие проекты, которые скорее служат базой для дальнейшего

33



диалога по намеченным в нем вопросам, нежели готовыми объектами «оферты» нашим зарубежным партнерам. 3. Наконец – последнее в списке, но едва ли не первое по важности – представляется необходимым инициировать процесс разработки и подготовки комплексной национальной российской стратегии кибербезопасности. Старт процессу должен быть дан не позднее конца 2012 г. Критически важно не «замыкать» процесс выработки формирования контуров стратегии на силовые структуры и вообще государственные органы. Нельзя допустить перекоса в сторону узковедомственных взглядов на ключевые проблемы кибербезопасности, а также лоббирование корпоративных интересов через влияние на распределение полномочий госструктур в обеспечении кибербезопасности в рамках новой стратегии. В процесс разработки стратегии должны быть вовлечены: а) представители частного сектора – крупнейшие провайдеры и операторы, разработчики систем безопасности, ПО; б) эксперты из отечественных научно-исследовательских институтов и научных центров, некоммерческих организаций (например, Координационный Центр национального домена сети Интернет, Союз ИТ-Директоров России и др.); в) зарубежные эксперты, а также представители частного сектора, которые осуществляют деятельность в РФ либо сотрудничают с российскими компаниями. Представляется, что ПИР-Центр также мог бы внести определенный вклад в работу над стратегией, учитывая его высокую заинтересованность в развитии данной тематики, а также прочные связи как с целевым экспертным сообществом, так и с представителями необходимых госструктур. Библиография:

1. COUNCIL FRAMEWORK DECISION 2005/222/JHA of 24 February 2005 on attacks against information systems. (Acts adopted under Title VI of the Treaty on European Union). http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2005:069:0067:0071:EN:PDF

2. Cyber Security Strategy. Cyber Security Strategy Committee. Ministry of Defence,

ESTONIA. Tallinn 2008. http://www.mod.gov.ee/files/kmin/img/files/Kuberjulgeoleku_strateegia_2008-2013_ENG.pdf

3. Department of Defense Strategy for Operating in Cyber Space. July 2011.

http://www.defense.gov/news/d20110714cyber.pdf 4. European Treaty Series - No. 185. Convention on Cybercrime. Budapest, 23.XI.2001.

http://conventions.coe.int/Treaty/en/Treaties/html/185.htm

34

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2005:069:0067:0071:EN:PDF

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2005:069:0067:0071:EN:PDF

http://www.mod.gov.ee/files/kmin/img/files/Kuberjulgeoleku_strateegia_2008-2013_ENG.pdf


http://www.defense.gov/news/d20110714cyber.pdf

http://conventions.coe.int/Treaty/en/Treaties/html/185.htm



5. International Strategy for Cyberspace. Prosperity, Security and Openness in a Networked World. May 2011. http://www.whitehouse.gov/sites/default/files/rss_viewer/international_strategy_for_cyberspace.pdf

6. Letter dated 12 September 2011 from the Permanent. Representatives of China, the Russian

Federation, Tajikistan and Uzbekistan to the United Nations addressed to the Secretary-General. http://blog.internetgovernance.org/pdf/UN-infosec-code.pdf

7. Memorandum by the CSCAP Study Group on Cyber Security: 12th Oct, 2011.ASEAN Regi

onal Forum Cyber Security Strategy. Towards Ensuring A Safer Regional CyberEnvironment (имеется в распоряжении ПИР-Центра)

8. RUSSIAN CYBERSPACE STRATEGY AND A PROPOSED UNITED STATES

RESPONSE. BY LIEUTENANT COLONEL RICHARD G. ZOLLER. United States Army. U.S. Army War College, Carlisle Barracks, PA 17013-5050. http://www.dtic.mil/cgi-bin/GetTRDoc?Location=U2&doc=GetTRDoc.pdf&AD=ADA522027

9. Stein Schjolberg and Solange Ghernaouti-Helie. A Global Treaty on Cybersecurity

and Cybercrime. Second edition, 2011. http://www.cybercrimelaw.net/documents/A_Global_Treaty_on_Cybersecurity_and_Cybercrime,_Second_edition_2011.pdf

10. The Russia-U.S. Bilateral on Critical Infrastructure Protection. Working Towards

Rules for Governing Cyber Conflict. Rendering the Geneva and Hague Conventions in Cyberspace. Issue 1. http://www.ewi.info/working-towards-rules-governing-cyber-conflict

11. Волеводз А.Г. Конвенция о киберпреступности: новации правового

регулирования / А.Г. Волеводз // Правовые вопросы связи. – 2007. – № 2. – С. 17-25. http://www.mgimo.ru/files/113908/113908.pdf

12. Касенова М.Б. Международное право и Интернет. Международные инициативы

США в отношении киберпространства. Евразийский юридический журнал, № 10 (41) 2011 – 1. http://www.eurasialaw.ru/index.php?option=com_content&view=article&id=2450:-10-41-2011-1&catid=247:-10-41-2011-&Itemid=434

13. КОНВЕНЦИЯ об обеспечении международной информационной безопасности

(концепция). Министерство Иностранных Дел Российской Федерации. http://www.mid.ru/bdomp/ns-osndoc.nsf/e2f289bea62097f9c325787a0034c255/542df9e13d28e06ec3257925003542c4!OpenDocument

14. Международный пакт о гражданских и политических правах. Принят

резолюцией 2200 А (XXI) Генеральной Ассамблеи от 16 декабря 1966 года. Официальный вебсайт ООН. http://www.un.org/ru/documents/decl_conv/conventions/pactpol.shtml

15. О ратификации Соглашения между правительствами государств-членов

Шанхайской организации сотрудничества о сотрудничестве в области

35

http://www.whitehouse.gov/sites/default/files/rss_viewer/international_strategy_for_cyberspace.pdf

http://www.whitehouse.gov/sites/default/files/rss_viewer/international_strategy_for_cyberspace.pdf

http://blog.internetgovernance.org/pdf/UN-infosec-code.pdf

http://www.dtic.mil/cgi-bin/GetTRDoc?Location=U2&doc=GetTRDoc.pdf&AD=ADA522027

http://www.dtic.mil/cgi-bin/GetTRDoc?Location=U2&doc=GetTRDoc.pdf&AD=ADA522027

http://www.cybercrimelaw.net/documents/A_Global_Treaty_on_Cybersecurity_and_Cybercrime,_Second_edition_2011.pdf


http://www.ewi.info/working-towards-rules-governing-cyber-conflict

http://www.ewi.info/working-towards-rules-governing-cyber-conflict

http://www.mgimo.ru/files/113908/113908.pdf

http://www.eurasialaw.ru/index.php?option=com_content&view=article&id=2450:-10-41-2011-1&catid=247:-10-41-2011-&Itemid=434


http://www.mid.ru/bdomp/ns-osndoc.nsf/e2f289bea62097f9c325787a0034c255/542df9e13d28e06ec3257925003542c4!OpenDocument



http://www.un.org/ru/documents/decl_conv/conventions/pactpol.shtml



обеспечения международной информационной безопасности. Закон Республики Казахстан от 1 июня 2010 года № 286-IV. http://e.gov.kz/wps/wcm/connect/62b81c00433164d5bac4be06acaf12a7/Z100000286_20100601.htm?MOD=AJPERES&CACHEID=62b81c00433164d5bac4be06acaf12a7&useDefaultText=0&useDefaultDesc=0

1 Department of Defense Strategy for Operating in Cyber Space. July 2011.

http://www.defense.gov/news/d20110714cyber.pdf 2 К политико-правовым основаниям глобальной информационной безопасности. А.В. Крутских. Журнал “Международные процессы». http://www.intertrends.ru/thirteen/003.htm 3 Там же. 4 The New York Times. Step Taken to End Impasse Over Cybersecurity Talks. John Markoff, July 16, 2010. http://www.nytimes.com/2010/07/17/world/17cyber.html 5 Россия зашла на интернет-форум со своими правилами. Елена Черненко. Газета "Коммерсантъ", №205 (4746), 01.11.2011. http://www.kommersant.ru/doc/1807713/print 6 Там же. 7 COUNCIL FRAMEWORK DECISION 2005/222/JHA of 24 February 2005 on attacks against information systems. (Acts adopted under Title VI of the Treaty on European Union). http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2005:069:0067:0071:EN:PDF 8 Конвенция об обеспечении международной информационной безопасности (концепция). Министерство Иностранных Дел Российской Федерации. http://www.mid.ru/bdomp/ns-osndoc.nsf/e2f289bea62097f9c325787a0034c255/542df9e13d28e06ec3257925003542c4!OpenDocument 9 Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации. Опубликовано 29 июля 2006 г. Российская Газета. http://www.rg.ru/2006/07/29/informacia-dok.html 10 Там же. 11 О ратификации Соглашения между правительствами государств-членов Шанхайской организации сотрудничества о сотрудничестве в области обеспечения международной информационной безопасности. Закон Республики Казахстан от 1 июня 2010 года № 286-IV.http://e.gov.kz/wps/wcm/connect/62b81c00433164d5bac4be06acaf12a7/Z100000286_20100601.htm?MOD=AJPERES&CACHEID=62b81c00433164d5bac4be06acaf12a7&useDefaultText=0&useDefaultDesc=0 12 Социальные сетевые сервисы в контексте международной и национальной безопасности. О.В.Демидов, ПИР-Центр. Готовится к публикации в №4-2011 «Индекса Безопасности». 13 Cyber Security Strategy. Cyber Security Strategy Committee. Ministry of Defence, ESTONIA. Tallinn 2008. http://www.mod.gov.ee/files/kmin/img/files/Kuberjulgeoleku_strateegia_2008-2013_ENG.pdf14 World Federation of Exchanges. NYSE Euronext - New York. http://www.world-exchanges.org/member-exchanges 15 NYSE Euronext. September 8, 2004: Testimony of Robert G. Britz, President and Co-COO, New York Stock Exchange, Inc. on "Protecting our Financial Infrastructure: Preparation and Vigilance," before the Committee on Financial Services U.S. House of Representatives Washington, DC. 16 Report to the Subcommittee on Domestic Monetary Policy, Technology, and Economic Growth, Committee on

36

http://e.gov.kz/wps/wcm/connect/62b81c00433164d5bac4be06acaf12a7/Z100000286_20100601.htm?MOD=AJPERES&CACHEID=62b81c00433164d5bac4be06acaf12a7&useDefaultText=0&useDefaultDesc=0







Financial Services, House of Representatives. January 2003 CRITICAL INFRASTRUCTURE PROTECTION. Efforts of the Financial Services Sector to Address Cyber Threats. http://www.gao.gov/new.items/d03173.pdf 17 Analysis of Four Critical Infrastructure Applications. John C. Knight, Matthew C. Elder, James Flinn, Patrick Marx. Computer Science Report No. CS-97-27.September 19, 1998. http://www.cs.virginia.edu/~jck/publications/domainAnalysis.pdf 18 Symantec 2010 Critical Infrastructure Protection Study. Symantec.http://www.symantec.com/about/news/resources/press_kits/detail.jsp?pkid=CIP_survey 19 Transnational Corporations and Their Regulation: Issues and Strategies. R. ALAN HEDLEY. ABSTRACT. http://instructional1.calstatela.edu/tclim/S09_Courses/HEDLEY-tncs.pdf 20 Russia - U.S. Bilateral on Cybersecurity. Critical Terminology Foundations. Issue 1. Copyright © 2011. EastWest Institute and the Information Security Institute of Moscow State University. http://www.isn.ethz.ch/isn/Digital-Library/Publications/Detail/?ots591=0c54e3b3-1e9c-be1e-2c24-a6a8c7060233&lng=en&id=130080 21 Выступление Игоря Щёголева на конференции по вопросам киберпространства (The London Conference on Cyberspace), Лондон, 1 ноября. Минкомсвязь России. http://minsvyaz.ru/ru/speak/index.php?id_4=42975 22 Kirill Barsky, Special Representative of the President of the Russian Federation on the Shanghai Cooperation Organization. “The International Information Security as a Global Challenge: The Shanghai Cooperation Organization’s Vision”. Текст имеется в распоряжении ПИР-Центра. 23 Международный пакт о гражданских и политических правах. Принят резолюцией 2200 А (XXI) Генеральной Ассамблеи от 16 декабря 1966 года. Официальный вебсайт ООН. http://www.un.org/ru/documents/decl_conv/conventions/pactpol.shtml 24 The High-Level Experts Group on Cybersecurity (HLEG). ITU Official Website. http://www.itu.int/osg/csd/cybersecurity/gca/hleg/index.html 25 Stein Schjolberg and Solange Ghernaouti-Helie. A Global Treaty on Cybersecurity and Cybercrime. Second edition, 2011. http://www.cybercrimelaw.net/documents/A_Global_Treaty_on_Cybersecurity_and_Cybercrime,_Second_edition_2011.pdf 26 The Pentagon's New Cyber Command. ISN ETH Zurich. 20 December 2010. isn.ethz.ch/isn/Current-Affairs/ISN-Insights/Detail?lng=en&id=125768&contextid734=125768&contextid735=125766&tabid=125766 27Pentagon admits suffering major cyber attack in March. BBC News, 14 July 2011. http://www.bbc.co.uk/news/world-us-canada-14157975 28 Chinese Military Suspected in Hacker Attacks on U.S. Satellites. Bloomberg. By Tony Capaccio and Jeff Bliss - Oct 27, 2011. http://www.bloomberg.com/news/2011-10-27/chinese-military-suspected-in-hacker-attacks-on-u-s-satellites.html 29 Half of Critical Infrastructure Providers Have Experienced Perceived Politically Motivated Cyber Attacks. Press Release: Symantec – Wed, Oct 6, 2010. http://finance.yahoo.com/news/Half-of-Critical-iw-478930509.html?x=0&.v=1 30 The New York Times. U.S. Debated Cyberwarfare in Attack Plan on Libya. By ERIC SCHMITT and THOM SHANKER, October 17, 2011. http://www.nytimes.com/2011/10/18/world/africa/cyber-warfare-against-libya-was-debated-by-us.html?_r=1 31 Department of Defense Strategy for Operating in Cyberspace. July 2011. http://www.defense.gov/news/d20110714cyber.pdf

37

http://minsvyaz.ru/ru/speak/index.php?id_4=42975



32 U.S. reserves right to meet cyber attack with force. Reuters, Tue Nov 15, 2011. http://www.reuters.com/article/2011/11/16/us-usa-defense-cybersecurity-idUSTRE7AF02Y20111116. 33 The Economic Times. Chinese military sets up special cyber warfare unit. May 28, 2011, 04.09. http://articles.economictimes.indiatimes.com/2011-05-28/news/29594039_1_cyber-attacks-cyber-warfare-cyber-defence 34 В Германии началась учебная кибервойна. Lenta.ru, 30.11.2011. http://lenta.ru/news/2011/11/30/lunex/ 35 Там же. 36 Deutsche Welle, Germany's Cyber Defense Center goes fully online, 16.06.2011. http://www.dw-world.de/dw/article/0,,15161387,00.html37 Council of Europe. Convention on Cybercrime, Budapest, 23.XI.2001. http://conventions.coe.int/Treaty/en/Treaties/html/185.htm 38 European Treaty Series - No. 185. Convention on Cybercrime. Budapest, 23.XI.2001. http://conventions.coe.int/Treaty/en/Treaties/html/185.htm 39 Россия отказалась ратифицировать конвенцию СЕ о киберпреступности. 9 ноября 2010 г., газета «Взгляд». http://www.vz.ru/news/2010/11/9/445958.html 40 Там же. 41 Выступление начальника Бюро специальных технических мероприятий МВД России генерал-полковника милиции Бориса Мирошникова на конференции в рамках Проекта Международного сотрудничества по уголовным делам на тему: «Перспективы международного сотрудничества по уголовным делам, 1 марта 2007. Министерство Внутренних Дел Российской Федерации. http://www.mvd.ru/reform/interview/show_83370/ 42 Волеводз А.Г. Конвенция о киберпреступности: новации правового регулирования / А.Г. Волеводз // Правовые вопросы связи. – 2007. – № 2. – С. 17-25. http://www.mgimo.ru/files/113908/113908.pdf43 Stein Schjolberg and Solange Ghernaouti-Helie. A Global Treaty on Cybersecurity and Cybercrime. Second edition, 2011. Article 11 - Massive and Coordinated Cyberattacks against Critical Communications and Information. Infrastructures. http://www.cybercrimelaw.net/documents/A_Global_Treaty_on_Cybersecurity_and_Cybercrime,_Second_edition_2011.pdf 44 ESET: рынок киберпреступности в России. Итоги 2010 года. ESET. http://www.esetnod32.ru/.company/news/?id=35865&year=2011# 45 «Русский» рынок компьютерных преступлений в 2010 году: состояние и тенденции. Москва, 2011. Group-IB. http://www.group-ib.ru/wp-content/uploads/2011/03/GIB-Issl-rynka_2010.pdf46 Правовые аспекты борьбы с киберпреступностью, И.К.Сачков. Доклад в рамках Специальной программе RIW-2011: Неделя Российского Интернета, 18.10.2011. http://2011.russianinternetweek.ru/program/ 47 Половое сношение и иные действия сексуального характера с лицом, не достигшим шестнадцатилетнего возраста. 48 Правовые аспекты борьбы с киберпреступностью, И.К.Сачков. Доклад в рамках Специальной программе RIW-2011: Неделя Российского Интернета, 18.10.2011. http://2011.russianinternetweek.ru/program/ 49 Число преступлений в сфере интернет-банкинга за год выросло в три раза. DIGIT, Проект РИА Новости. 28/10/2011. http://digit.ru/internet/20111028/385602315.html 50 Семинар Академии народного хозяйства при Правительстве РФ «Компьютерные преступления или что делать, если это случилось в твоей компании», 03.03.2011. http://www.globalcio.ru/theme-2011-03-first/

38

http://www.dw-world.de/dw/article/0,,15161387,00.html

http://www.mgimo.ru/files/113908/113908.pdf



http://www.group-ib.ru/wp-content/uploads/2011/03/GIB-Issl-rynka_2010.pdf

http://www.group-ib.ru/wp-content/uploads/2011/03/GIB-Issl-rynka_2010.pdf

http://2011.russianinternetweek.ru/program/

http://2011.russianinternetweek.ru/program/

http://digit.ru/internet/20111028/385602315.html

http://www.globalcio.ru/theme-2011-03-first/



51 За кражу $10 млн российскому хакеру дали условный срок. BFM.Ru, 08.02.2011. http://www.bfm.ru/articles/2011/02/08/za-krazhu-10-mln-rossijskomu-hakeru-dali-uslovnyj-srok.html 52 Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ. Уголовный Кодекс РФ от 13.06.1996 N 63-ФЗ (принят ГД ФС РФ 24.05.1996) (действующая редакция). http://www.consultant.ru/popular/ukrf/10_38.html#p4556. 53 Интернет-конференция «DDoS атаки в России как способ нечестной конкурентной борьбы». 16.12.10. © ИА Клерк.Ру. http://www.klerk.ru/buh/articles/205822/ 54 Военная доктрина Российской Федерации. Утверждена Указом Президента Российской Федерации 5 февраля 2010 года. http://news.kremlin.ru/ref_notes/461 55 Стратегия национальной безопасности Российской Федерации до 2020 г. Утверждена Указом Президента Российской Федерации от 12 мая 2009 г. № 537. http://www.scrf.gov.ru/documents/99.html 56 Об организации лицензирования отдельных видов деятельности. Постановление Правительства Российской Федерации от 26 января 2006 г. № 45. http://www.fstec.ru/_docs/doc_1_4_002.htm#p1 57«Системный проект на создание и эксплуатацию инфраструктуры электронного правительства». Текст имеется в распоряжении ПИР-Центра. 58 ЕСС АСУ (ГОСТ 24) «Единая система стандартов автоматизированных систем управления». http://www.rugost.com/index.php?option=com_content&task=category&sectionid=6&id=21&Itemid=52 59 МИД РФ. Справка к Указу «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена». 21 мая 2004 г. http://www.mid.ru/bdomp/ns-osndoc.nsf/d06bd3f5303124fe432569fa003a70ff/432569fa003a249cc3256e9b002f0c6f!OpenDocument 60 Международное право и Интернет. Международные инициативы США в отношении киберпространства. М.Б.Касенова. Евразийский юридический журнал, № 10 (41) 2011 – 1. http://www.eurasialaw.ru/index.php?option=com_content&view=article&id=2450:-10-41-2011-1&catid=247:-10-41-2011-&Itemid=43461 Здесь и далее по тексту используется перевод Стратеги на русский язык из упомянутой статьи М.Б.Касеновой. 62 Cyber Security Strategy. Cyber Security Strategy Committee. Ministry of Defence, ESTONIA. Tallinn 2008. http://www.mod.gov.ee/files/kmin/img/files/Kuberjulgeoleku_strateegia_2008-2013_ENG.pdf

39

http://www.bfm.ru/articles/2011/02/08/za-krazhu-10-mln-rossijskomu-hakeru-dali-uslovnyj-srok.html

http://www.bfm.ru/articles/2011/02/08/za-krazhu-10-mln-rossijskomu-hakeru-dali-uslovnyj-srok.html

http://www.consultant.ru/popular/ukrf/10_38.html#p4556

http://www.klerk.ru/buh/articles/205822/

http://news.kremlin.ru/ref_notes/461

http://www.scrf.gov.ru/documents/99.html

http://www.fstec.ru/_docs/doc_1_4_002.htm#p1

http://www.rugost.com/index.php?option=com_content&task=category&sectionid=6&id=21&Itemid=52

http://www.rugost.com/index.php?option=com_content&task=category&sectionid=6&id=21&Itemid=52

http://www.mid.ru/bdomp/ns-osndoc.nsf/d06bd3f5303124fe432569fa003a70ff/432569fa003a249cc3256e9b002f0c6f!OpenDocument







o.demidov 11-12-06 draft report on iis regulationo.demidov junior research fellow, pir center...

Documents