АКТУАЛИЗИРОВАТЬ МОДЕЛЬ УГРОЗ
В последние годы начала отчётливо проявляться структура информационных угроз: политический и промышленный шпионаж со стороны спецслужб иностранных государств и корпораций, кибертерроризм, международная преступность, включая хищения денежных средств в системах электронных платежей. Для усиления противодействия различным видам киберпреступности требуется современная редакция не только отдельных норм федеральных законов, но и ряда положений более общих, базовых документов, формулирующих государственную политику в области информационной безопасности.
Актуальная модель информационных угроз будет включена в Стратегию кибербезопасности РФ, проект концепции которой обсуждался на парламентских слушаниях 29 ноября 2013 года. В киберпространстве участвуют 3 различные группы субъектов – органы государственного управления, коммерческие и общественные организации, а также граждане России. Для каждого из этих субъектов в Стратегии кибербезопасности будут описаны специфические информационные угрозы, сформулированы принципы межведомственного взаимодействия для их нейтрализации.
Выработка формулировок угроз, их структурирование и ранжирование – сложный многосторонний процесс, который будет включать согласования с ФСБ России, Министерством обороны РФ и МВД России. Концепция Стратегии кибербезопасности РФ задаёт базовые принципы и структуру, на основании которых будет разработан системный детализированный документ. Юридическая квалификация информационных угроз важна для определения мер противодействия им.
Пример – одна из новых угроз, а именно информационные атаки на веб-ресурсы российских банков, подобные тем, что были организованы в октябре 2013 года. Что это, просто «компьютерное преступление», подпадающее под ст. 272 и 273 Уголовного кодекса РФ, за которое прописана ответственность в виде лишения свободы на срок до 7 лет? Нет.
Банки играют важнейшую роль в национальной финансовой системе и экономике, а их интернет-ресурсы – важнейшая площадка массового информирования о деятельности банков и платформа дистанционного обслуживания клиентов. Блокировка электронных платёжных систем банков конкурента, противника – один из видов спецопераций информационной войны, «холодной» или «горячей».
Октябрьской атаке подверглись государственный регулятор – Банк России и крупнейшие кредитно-финансовые организации. Ответственность за нападение взяла выдвигающая политические требования к политическому руководству России группа «Кавказские анонимусы». Учитывая перечисленные факты, эту атаку на веб-ресурсы банков следует юридически квалифицировать как террористический акт, кибертерроризм.
Если такое определение появится в Стратегии кибербезопасности РФ, будет закреплено в федеральном законе, то расследовать подобные преступления будет ФСБ России, а ответственность организаторов и исполнителей будет подпадать под ст. 205 Уголовного кодекса РФ, предусматривающую наказание в виде лишения свободы на срок до 20 лет.
Ужесточение квалификации информационных атак на банковские интернет-ресурсы, удалённые сервисы помогло бы ускорить создание единого национального центра реагирования на подобные инциденты. А также послужило бы острасткой для злоумышленников, покушающихся на хищения средств банковских клиентов в системах дистанционных сервисов.
НАЗРЕВШЕЕ ОБНОВЛЕНИЕ ЗАКОНОДАТЕЛЬСТВА
Одна из норм, которую пока сложно реализовать на практике – принцип «что нелегально офлайн, то нелегально и онлайн». Важно устранить соблазны нарушать закон, пользуясь преимуществами анонимности в интернете. В виртуальной реальности можно встретить многие правонарушения, которые не совершаются в обычной жизни из страха уголовного преследования или ответственности по гражданским искам в суд. От призывов к экстремистской деятельности и заведомой клеветы в блогах на известных персон – до хищений денежных средств граждан в системах интернет-платежей.
Для противодействия таким злоупотреблениям необходимо точечное государственное регулирование и широкое применение механизмов саморегулирования – со стороны интернет-ресурсов в доменной зоне .ru и IT-отрасли в целом. Соответствующие нормы должны быть внесены в законодательство, а механизмы их исполнения – закреплены нормативными документами органов государственного надзора и контроля. Иначе закон не будет своевременно исполняться, как в случае с задержками организации фильтрования интернет-трафика в школах, давно обещанного Минобразования РФ.
Назрел и ряд изменений в российском федеральном законодательстве, регулирующем защиту персональных данных (ПД), в том числе при трансграничной передаче данных. Учитывая развитие и распространение в последние годы социальных сетей в интернете, электронных государственных услуг и интернет-коммерции, федеральный закон «О персональных данных» ФЗ-152 пора актуализировать следующим образом:
Практика показала, для повышения эффективности защиты прав граждан нужно улучшить механизм государственного контроля и надзора за деятельностью операторов персональных данных, а также усилить их ответственность. С одной стороны, пора предоставить Роскомнадзору право вести административное делопроизводство по жалобам граждан на нарушение ФЗ-152. С другой, следует наделить операторов персональных данных правом выбирать меры защиты, одновременно ужесточив их ответственность, существенно увеличив штрафы за утечки.
Развитие положений ФЗ-152 позволит более результативно нейтрализовать киберугрозы российским гражданам, присущие трансграничной передаче данных. В настоящее время действуют достаточно жёсткие требования к трансграничной передаче персональных данных российскими компаниями. Чтобы ликвидировать необоснованное «конкурентное преимущество» иностранных компаний, нужно разрешить российским компаниям трансграничную передачу персональных данных, если в договоре, предусматривающем такую услугу, есть пункт об адекватной защите.
СИНХРОНИЗАЦИЯ РОССИЙСКИХ И МЕЖДУНАРОДНЫХ ЗАКОНОВ
В последнее время проявился ряд проблем защиты персональных данных россиян, которые пользуются зарубежными интернет-сервисами, серверами и каналами связи Skype, Viber, WhatsApp, Google, социальными сетями Twitter, Facebook, а также платёжными системами, включая VISA и MasterCard. Эти проблемы нужно решать.
Так, некоторые пункты пользовательского соглашения американского сервиса микроблогов Twitter не соответствует нормам Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. Кстати, это российское предложение поддержано Консультативным комитетом Конвенции ЕС по защите прав субъектов персональных данных при их автоматизированной обработке.
В связи с этим одна из внешнеполитических задач российских законодателей – активно воздействовать на развитие международного права и стандартов в области информационной безопасности, формировать повестку дня. А также более настойчиво добиваться синхронизации российских законов с иностранными и международными и наоборот, чтобы повысить эффективность взаимодействия правоохранительных органов разных стран.
Без выполнения этой работы крайне сложно расследовать трансграничные информационные преступления, и злоумышленникам зачастую удаётся избегать ответственности. Криминалитет воодушевляется безнаказанностью, свидетельством чему, в частности, служат многочисленные инциденты хищений средств в системах дистанционного обслуживания российских банков и с карточных счетов их клиентов.
Синхронизация российского законодательства в сфере информационной безопасности с аналогичным зарубежным и международным и обратный процесс были бы взаимно полезны всем сторонам. В России такая работа ведётся.
Так, Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных была ратифицирована в России и вступила в силу 1 сентября 2013 года. Практика ратификации международных конвенций в сфере информационной безопасности, с учётом адаптации международного опыта к российским реалиям, продемонстрировала свою эффективность и должна быть продолжена.
Полезен и обратный процесс внесения в международное законодательство норм, уже принятых в России и сформулированных в законодательных инициативах. Потому что в ряде случаев, – например, в обеспечении прав субъектов персональных данных, – российское законодательство опережает зарубежное и международное.
СИНТЕЗ ГУМАНИТАРНОГО И ТЕХНИЧЕСКОГО
В гармонизации национальных и международных законов в сфере информационной безопасности есть не только юридические, но и политические сложности. Не все действующие на международной арене субъекты в равной степени готовы вырабатывать совместные подходы. Деятельность уже упомянутых транснациональных корпораций, особенно в интернете, их политики конфиденциальности соответствуют законам страны регистрации, но часто вступают в противоречие с национальными законами других государств. В России у них вообще может не быть представительства, хотя они предоставляют здесь услуги, что усложняет урегулирование конфликтов.
Не спешат ратифицировать международные соглашения в области информационной безопасности некоторые страны, в первую очередь США – «штаб-квартира» мировых лидеров IT-индустрии. Позиции России и Европы в отношении международного законодательства в этой сфере близки, но не совпадают с подходами США и их единомышленников.
Эти разногласия на руку международной киберпреступности, но концептуальная противоположность подходов разных «блоков» налицо. Камнем преткновения даже в международном обсуждении информационной безопасности служит различие трактовок соотношения гуманитарного и организационно-технического аспектов информационной безопасности.
Российский подход, более гуманитарный, направлен на защиту суверенных государств от манипулирования общественным мнением посредством интернет-технологий. Представители США и их последователи настаивают на «деидеологизированном» понятии «кибербезопасность», которое обозначает технические аспекты информационной безопасности. На наш взгляд, к согласию придти можно и нужно, поскольку в национальных границах невозможно обеспечить безопасность интернета.
Как защитить граждан, пользователей «продвинутых» интернет-сервисов, от различных злоупотреблений, политического мошенничества, откровенного социального инжиниринга? Было бы ошибкой, как в Китае, ввести тотальный контроль интернета и просто отключать нежелательные сервисы. Следует идти другим путём: включать интернет-корпорации в российское правовое поле, обусловливая их работу с российскими гражданами определёнными обязательствами и обременяя соразмерной ответственностью.