ВОСЕМЬ ПРАВИЛ КИБЕРБЕЗОПАСНОСТИ

Восемь правил кибербезопасности. Что придумали в ООН

Эти нормы можно рассматривать как общую систему координат в продолжающихся политических дискуссиях

В течение жизни буквально одного поколения интернет превратился в ключевой фундамент экономического, социального и политического взаимодействия и открыл колоссальные позитивные возможности. Но одновременно с возросшей взаимозависимостью появились уязвимости и конфликты. Атаки со стороны государственных и негосударственных структур участились, угрожая стабильности киберпространства.

В ноябре на Парижском форуме мира Глобальная комиссия по стабильности киберпространства (сокращённо GCSC) опубликовала доклад о том, как можно создать рамки для обеспечения киберстабильности. Многосторонняя комиссия GCSC (я входил в число её членов) изначально была учреждена по инициативе голландского правительства, её возглавили сопредседатели из Эстонии, Индии и США, а в состав вошли бывшие правительственные чиновники, эксперты из гражданского общества, а также учёные из 16 стран.

За прошедшие годы прозвучало множество призывов к принятию законов и норм для противодействия новым международным угрозам безопасности, исходящим от информационных технологий. Первым стало выдвинутое двадцать лет назад российское предложение в ООН принять обязывающий договор. К сожалению, учитывая природу кибероружия и волатильность технологий, подобный договор оказался бы неверифицируемым и мог быстро устареть.

Мир очень далёк от нормативного режима в киберпространстве

Вместо этого ООН создала Группу правительственных экспертов (GGE), которая разработала необязывающий набор норм в 2013 и 2015 годах. В 2017 году эта группа не сумела опубликовать свой доклад, однако её работа продолжается в расширенном составе. В ООН к ней присоединилась Рабочая группа открытого состава (OEWG), в работе которой в сентябре приняли участие около 80 стран. Помимо этого, генеральный секретарь ООН Антониу Гутерреш создал Группу высокого уровня, опубликовавшую свой доклад в преддверии ожидающейся более широкой дискуссии в ООН в 2020 году.

Комиссия GCSC определяет киберстабильность как состояние, когда частные лица и учреждения могут быть вполне уверены в том, что у них есть возможность пользоваться киберуслугами безопасным и надёжным образом, что управлением переменами происходит сравнительно мирно и что возникающие противоречия урегулируются без эскалации. Стабильность опирается на существующее международное право, которое, как подтверждают доклады группы GGE 2013 и 2015 годов, применяется и к киберпространству.

Впрочем, в качестве следующего шага принятие обязывающего международного правового договора выглядит преждевременно. Утверждение норм ожидаемого поведения может стать более гибким, средним звеном между строгим договором и полным бездействием. Как объясняет Майкл Чертофф, один из сопредседателей комиссии GCSC, а ранее министр внутренней безопасности США, нормы могут существовать параллельно с законами, но они более динамичны в условиях быстрых изменений в технологиях.

Комиссия GCSC предложила восемь норм для устранения пробелов в ранее провозглашённых принципах, сфокусировав своё внимание на технических вопросах, которые фундаментально важны для киберстабильности. Эти нормы можно рассматривать как общую систему координат в продолжающихся политических дискуссиях.

  1. Первая норма — невмешательство в публичное ядро интернета. Авторитарные и демократические государства могут не соглашаться по поводу свободы слова или регулирования онлайн-контента, но они могут договориться не вмешиваться в базовые элементы интернета, например, в систему доменных имён, без которой невозможны предсказуемые взаимные подключения внутри сети сетей, которой является интернет.
  2. Государственные и негосударственные структуры не должны поддерживать кибероперации, нацеленные на нарушение нормальной работы технической инфраструктуры, которая нужна для проведения выборов, референдумов или плебисцитов. Хотя эта норма не предотвращает все виды возможного вмешательства, подобные, например, тем, что происходили во время американских выборов в 2016 году, она прочерчивает чёткие линии вокруг важнейших технических компонентов.
  3. Государственные и негосударственные структуры не должны тайно вмешиваться в разработку и производство товаров и услуг, если такое вмешательство может существенно нарушить стабильность киберпространства. Небезопасные производственные цепочки представляют собой серьёзную угрозу стабильности.
  4. Государственные и негосударственные структуры не должны использовать общие публичные ресурсы в качестве «ботнетов» (это боты, которые базируются и действуют в чужих устройствах без ведома или согласия их владельцев).
  5. Государства должны создать процедурно прозрачные системы, позволяющие оценить, насколько необходимо и когда надо раскрывать публичные уязвимости или недостатки в информационных системах или технологиях. Подобные недостатки часто становятся основой для кибероружия. Накапливание таких уязвимостей для возможного использования в будущем создаёт риск для всех. По умолчанию их следует обнародовать и исправлять.
  6. Разработчики и производители товаров и услуг, от которых зависит стабильность киберпространства, должны делать акцент на безопасности, предпринимать разумные шаги с целью гарантировать, что в их продукции нет существенных уязвимостей, устранять недостатки, когда они обнаруживаются, и действовать в этих случаях прозрачно. Все стороны обязаны делиться информацией об уязвимостях, чтобы помочь противодействовать кибердеятельности со злым умыслом.
  7. Государства должны принимать соответствующие меры, в том числе утверждать законы и регламенты, которые будут гарантировать элементарную кибергигиену. Подобно тому, как вакцинация помогает предотвратить распространение заразных болезней, например, кори, также и элементарная кибергигиена может серьёзно помочь, лишая киберзлоумышленников лёгкой добычи, которая их привлекает.
  8. Негосударственные структуры не должны участвовать в атакующих кибероперациях, а государственные структуры должны предотвращать подобные деяния и реагировать в тех случаях, если они совершаются. Частные движения интернет-самообороны, которые иногда называют «хак-бэк», могут привести к эскалации и стать одной из крупнейших угроз для киберстабильности. В прошлом государства сквозь пальцы смотрели на действия морских пиратов и даже поддерживали их, однако затем они поняли, что риски эскалации и нежелательных конфликтов оказались слишком высоки. То же самое можно сказать и о стабильности в киберпространстве.

Эти восемь норм сами по себе не гарантируют стабильности в киберпространстве, но в сочетании с другими нормами, принципами и мерами по установлению доверия, которые сегодня предлагаются, они могли бы стать хорошим началом. В долгосрочной перспективе государства будут соблюдать нормы поведения для улучшения координации, управления неопределённостью, защиты репутации или в ответ на внутреннее давление. Мир очень далёк от такого нормативного режима в киберпространстве, но комиссия GCSC помогла подтолкнуть этот процесс вперёд.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *