Поиск - новости науки и техники

Грозя угрозам. Сенаторы озаботились кибербезопасностью.

Вопрос, как наиболее эффективно бороться с киберугрозами, волнует сегодня пользователей самых разных категорий: от домохозяек до глав государств. Наличие законодательной базы, которая регламентирует защиту национальных интернет-ресурсов от вражеских происков, позволяет чувствовать себя более уверенно, отправляя личные данные на портал госуслуг или проводя интернет-платеж.
Свою лепту в защиту отечественных пользователей решили внести в Совете Федерации, предложив создать национальную стратегию кибербезопасности. B конце сентября СФ представил проект документа, призванного защитить российские веб-ресурсы от хакеров, кибертеррористов и иностранных кибершпионов.
Как будет работать стратегия? Что такое кибербезопасность в современном мире? Как защитить базы данных, хранящиеся в Интернете и вне Сети? Ответы на эти вопросы, а также подробности о принципах, условиях, сроках формирования и обсуждения стратегии, опыте зарубежных стран в данной области представили участники круглого стола “Кибербезопасность в Интернете и базы данных”, состоявшемся в РИА Новости: член Комитета СФ по науке, образованию, культуре и информационной политике Руслан Гаттаров (на снимке), ведущий аналитик Регионального общественного центра интернет-технологий (РОЦИТ) Урван Парфентьев, председатель Общества защиты прав потребителей “Общественный контроль” Михаил Аншаков.
По словам Руслана Гаттарова, более 40 представителей ФСБ, МВД, Госдумы, администрации Президента РФ, ИТ-индустрии и бизнеса, принявших участие в обсуждении вопроса создания стратегии кибербезопасности в СФ, поддержали инициативу ее создания. Он напомнил, что своеобразным “днем рождения” кибератак принято считать 2 ноября 1988 года, когда сетевой вирус – червь – поразил работу шести тысяч интернет-узлов сети ARPANET в США. Позже интернет-паразит получил название “червь Морриса” по имени своего создателя – аспиранта факультета Вычислительной техники Корнеллского университета Роберта Т.Морриса. С 2001 года многие страны серьезно задумались о вопросах обеспечения собственной кибербезопасности. США к этому подтолкнули печальные события 11 сентября 2001 года. Их стратегия КБ, основу которой заложил еще Дж.Буш, была обращена в первую очередь к государству и администрировалась государством. Барак Обама предал ей новый вектор, и сегодня она строится на взаимодействии государства, бизнеса и общества. “Лично мне импонирует стратегия КБ Великобритании, – поделился с участниками круглого стола Руслан Гаттаров. – Она написана простым понятным языком. Американская же очень сложная, там 13 ведомств занимаются КБ. Как говорит директор ФБР, кибертерроризм для США равен терроризму: “Для нас это приоритет, и мы будем этим заниматься”.
Кроме “понятности” стратегии КБ Великобритании, принятой в 2011 году, сенатору импонирует то, что она обращена в первую очередь к общественности, бизнесу и только потом к государству.
– Главная цель этой стратегии – представление и защита интересов Великобритании в цифровом пространстве, – продолжил Гаттаров. – Цель номер один – побороть киберпреступность и сделать Великобританию одним из самых безопасных мест для ведения бизнеса он-лайн. Защита не государства, а бизнеса – таков их подход. И первое действие – поощрять суды Великобритании в полной мере использовать санкции в делах, связанных с Сетью. Это четкий сигнал о том, что суды должны задействовать все механизмы и инструменты, чтобы наказывать тех, кто атакует киберсети. Что касается отечественной кибербезопасности, то у нас есть три документа: Стратегия национальной безопасности РФ до 2020 года, там есть небольшой блок (общие слова), Доктрина информационной безопасности – неплохой документ, но принятый еще 12 лет назад… 16 июля 2012 года на сайте Совета безопасности был размещен еще один документ – “Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры РФ”. А вот для рядовых граждан сегодня критически важная информационно-поисковая система “Яндекс” – если она будет атакована и выйдет из строя на час-день-два, кто будет за это отвечать? Сам поисковик? Кто будет бороться с кибератакой? Только его сотрудники? Для граждан не важно, кто виноват, но часть вины все-таки падет на государство, потому как обеспечивать кибербезопасность – одна из задач власти.
Потому на заседании комитета СФ мы договорились не ждать, когда президент поручит это сделать кому-то, а начать работу над формированием стратегии кибербезопасности. Считаю, что существующие инструменты, в том числе краудсорсинг (от англ. crowd – “толпа” и sourcing – “использование, подбор ресурсов” – ресурсосберегающая методика работы, предусматривающая привлечение широкой аудитории для решения определенных креативных, исследовательских и иных задач), подойдут для этого.
В планах инициаторов работ – собрать на одном из ресурсов группу единомышленников-профессионалов в 40-50 человек и начать писать стратегию открыто, публично, поставив во главу угла интересы личности, бизнеса и государства. Именно в такой последовательности “Потому что государство на данный момент по критически важным объектам как-то защищено, – поясняет Руслан Гаттаров. – Начнем с личности, перейдем к бизнесу, следующий этап – государство. Стратегия – сложный документ, в котором надо учесть много факторов. Процесс ее написания – не быстрый. В течение месяца напишем драфт, некое ТЗ, структуру тех вопросов, на которые мы собираемся ответить, список угроз, которые видим. Думаю, весь этот процесс займет не менее полугода. Приглашаю всех, кто хочет принять участие в этой работе. В ближайшее время мы анонсируем ресурс – сайт, на котором удобно, комфортно и системно можно будет работать”.
По мнению представителя РОЦИТ, формальные меры по обеспечению внимания к безопасности новых технологий, как водится, сильно запаздывают по сравнению с темпами их физического развития. Информационно-коммуникационные технологии (ИКТ), которые сейчас напрямую ассоциируются с Интернетом, первоначально развивались сами по себе. В 1990-е годы ситуация во многом осложнялась тем, что Интернет в России позиционировался как территория абсолютной свободы, которую отдельные люди в своих интересах почему-то перепутали с анархией.
Желание “делать все, что хочешь” подогревалось двумя качествами Интернета: его трансграничностью и относительной анонимностью. Если в реальном мире мы видим друг друга, то в Сети – нет, и понять, кто же находится на другой стороне, сразу невозможно. Эти-то два качества Интернета и порождают в определенной мере чувство безнаказанности, ощущение того, что некоторые противоправные вещи в Сети сделать гораздо легче, а затаиться проще, чем в реале.
– Это касается практически всех видов киберугроз, – подчеркнул Урван Парфентьев. – Сейчас, как правило, выделяют два основных вида киберугроз: программно-технические и контентные. И находящиеся между – третий вид – экономические угрозы, которые соединяют в себе и программно-технические, и контентные факторы. В действующем сегодня УК РФ есть 28-я глава, которая “занимается” преступлениями в области компьютерной безопасности. Там только три статьи, которые привязаны к определенным вредоносным программно-техническим действиям в Сети. Классическая киберугроза – создание вредоносной программы и взлом (хакерство) – это статьи 272 и 273 УК РФ. И наказания там скорее символические, что в общем-то соответствовало тому положению, когда Интернет был не совсем понятной и редкой игрушкой для России. Но сейчас Интернет – везде, им пользуются и дети, и старики… Роль ИКТ в жизни общества, в экономических, социальных, коммуникационных, политических процессах иная, чем в 1996 году. Если в 2002 году мы имели интернет-аудиторию 8 миллионов человек на всю 150-миллионную Россию, причем туда входили люди, которые пользовались Интернетом раз в полгода, то сейчас ИТ-аудитория – это примерно 70 миллионов человек, люди, которые выходят в Интернет минимум раз в месяц, а на деле – раз в неделю. Работают интернет-магазины, активно развивается электронный банкинг, где циркулируют огромные деньги. ИТ-системы внедряются и в процессы, связанные с обществом и политикой. Информация, которая распространяется в Сети, конкурирует с ТВ-каналами… И при всем этом очень недостает внимания к тому, чтобы навести системную политику в области инфобезопасности.
Слово “кибербезопасность” часто ассоциируется с программно-технологическими угрозами: хакерами и фишерами, теми, кто пишет вредоносные программы, чтобы “положить” какой-либо ресурс или увести деньги со счета. При этом часто за пределы понятия КБ выводится контентная угроза, которая сейчас весьма важна в плане воздействия на граждан, манипуляции теми или иными действиями в реале. Некоторые считают, что есть два мира – реальный и виртуальный и что действия за клавиатурой компьютера совершенно оторваны от реального мира. Но при этом забывают, что любое действие, совершенное в виртуальном мире, имеет последствия в мире реальном: если деньги увели с виртуального счета, человек недосчитается их в реальном банкомате.
Сравнивая российский подход в области КБ со странами высокой интернетизации, в первую очередь с ЕС, Северной Америкой и Австралией, можно заметить, что у нас многие процессы в Интернете регулируются общими нормами, теми же, что и процессы в реальном мире. Может, потому создается впечатление, что Интернет у нас совершенно не отрегулирован. По мнению наших правоприменителей, если есть мошенничество – без разницы, где оно совершено. Запад пошел другим путем: там сразу выделили ИКТ как специальное средство совершения тех или иных вредоносных действий. Тем самым они подчеркнули важность ИКТ в современных повседневных процессах, их роль как критически важной технологии. Соответственно создав свой другой подход к обеспечению комплексной стратегии КБ. С учетом сложности и критичности инфраструктуры Интернета в РФ, с учетом того, что российская зона Сети является одной из самых динамично развивающихся, наша ситуация с КБ нуждается в пристальном внимании, в более тесном взаимодействии с зарубежными коллегами.
Председатель Общества защиты прав потребителей “Общественный контроль” Михаил Аншаков напомнил о весьма распространенной сегодня ситуации, когда владелец банковской карты лишается своих средств по вине злоумышленников и должен фактически в одиночку бороться с бедой, доказывая банку, что деньги со счета украдены. В США, по словам защитника прав потребителей, достаточно жалобы собственника карты, чтобы банк возвратил транзакцию, а потом начал самостоятельные поиски виновного. Михаил Аншаков также выразил опасение, что принятие стратегии кибербезопасности вряд ли решит многие проблемы…
В итоге участники круглого стола согласились, что создание стратегии кибербезопасности – мера необходимая. Главное – не превратить новый закон в аналог закона о цензуре в Интернете, взвешенно подойдя к написанию его положений.

Нина ШАТАЛОВА
Фото автора

Нет комментариев