Тема дискуссии связана с темами, обсуждавшимися на других площадках: «Цензура в Сети. Мировые практики законодательного регулирования в Интернете» и «Цифровые границы: как построить защиту в транспарентном мире?».
Вопросы кибербезопасности могут рассматриваться на трех уровнях: государство, предприятия, личности. Кибератаки в отношении государства относятся к сфере национальной безопасности — в рамках данной дискуссии не рассматривались. В отношении кибератак на предприятия был затронут только один аспект — защита критических инфраструктур. По мнению Ильи Сачкова, основателя, генерального директора Group-IB, инфраструктуры предприятий энергетики и телекоммуникаций остаются самыми незащищенными в мире. Это не связано со слабой подготовкой персонала к отражению кибератак. Как правило, наоборот, службы безопасности на таких предприятиях зрелые, периодически участвуют в тренировках по отражению кибератак. Но они никогда не сталкивались с реальным сильным противником, не знают их методов и средств борьбы.
В ходе дискуссии все внимание выступающих было сосредоточено на обсуждении вопросов, связанных с защитой личности в современном цифровом пространстве.
Проблемы сегодняшнего дня
1. Незащищенность личности в цифровом пространстве. Номер личного телефона и голос уже не являются идентификатором человека, биометрическая авторизация без должной проверки устройства легко становится достоянием злоумышленников. Не удивляйтесь, если с номера телефона вашей дочери (сына) ее (его) голосом злоумышленники будут просить перевести деньги. Без вашего участия на вашем аккаунте в социальной сети могут распространяться любые материалы. Потеря телефона сегодня, как правило, приводит к потере цифровой личности. По данным, представленным Ильей Сачковым, в 2018 году в нашей стране с помощью вредоносного программного обеспечения было взломано 98 000 почтовых аккаунтов и 13 000 аккаунтов социальных сетей.
2. Государство не обеспечивает защиту личности от кибератак. Практика подвергшихся кибератакам граждан в нашей стране показывает, что отсутствуют государственные сайты, оказывающие помощь людям, у которых злоумышленники заблокировали компьютер; сложно привлечь к ответственности организации, которые допустили утечку персональных данных конкретного пользователя или предоставляемые компенсации ущерба слишком малы.
3. Кибербезопасность имеет международный характер. Киберпреступники — интернациональны и совершают преступления в разных странах. В связи с этим иностранные граждане сталкиваются с теми же проблемами в области кибербезопасности. Лука Тальяретти, старший эксперт по безопасности Европейского центрального банка (ЕЦБ) привел следующие результаты опроса, проведенного в Европе: 10–15% опрошенных отказались выполнять денежные переводы в режиме онлайн.
Незащищенность личности в цифровом пространстве
Отчасти данная проблема связана с психологическими особенностями человека. Население многих стран (за исключением Германии и Японии) не обращает внимание на кибербезопасность до тех пор, пока кибератака не затронет лично их. И в этой ситуации, как правило, только богатые люди начинают задумываться над проблемами защиты, т. к. последствия атаки для них имеют экономический, имиджевый и социальный характер. Большинство же пострадавших быстро забывают о последствиях и продолжают халатно относиться к соблюдению правил безопасности в цифровом пространстве (не меняют пароли на протяжении длительного времени, не следят за своими аккаунтами и т. п.).
В качестве меры по преодолению данной проблемы все выступающие видят обучение пользователей, особенно молодежи. Предлагается ввести в школе и высших учебных заведениях дисциплину «Кибербезопасность». Необходимо наладить разъяснительную работу среди пользователей, рассказывать истории о методах, которые используют киберпреступники. Для сотрудников компаний нужно проводить регулярные тренинги по отработке компетенций противодействия кибератакам. Компаниям, хранящим персональные данные, целесообразно поощрять специалистов за поиск багов в их программном обеспечении. Это поможет компании повысить устойчивость к киберугрозам, отвлечет хакеров от преступной деятельности, а кого-то из них, возможно, наставит на путь благородной деятельности.
Резюмируя возможные пути решения данной проблемы, следует отметить, что защита цифровой личности — это непосильная для человека задача, т. к. она требует колоссальных затрат (материальных, эмоциональных и физических). Без помощи государства эту проблему не решить.
Государство и защита личности от кибератак
Поскольку проблема кибербезопасности стала одной из важнейших в мире, государство должно защитить цифровую личность каждого гражданина. Подход к ее решению известен — это государственно-частное партнерство. Компании должны разрабатывать технологии защиты, а государство — осуществлять регулирование и финансирование. В этом вопросе России следует перенять опыт Европы, где уже реализуется эта модель. Европа объединяет ресурсы для защиты инфраструктуры в области энергетики и телекоммуникаций. Создан и функционирует центр по противодействию кибервымогателям, в который может обратиться любой гражданин с просьбой о помощи при блокировании его компьютера киберпреступниками.
Другим направлением деятельности государства при защите интересов личности является воздействие на предприятия, нарушающие правила хранения персональных данных. Выступающие высказали единое мнение: штрафы, накладываемые на компанию, допустившую утечку персональных данных, должны быть очень значительными. Это заставит компании серьезно заниматься вопросами кибербезопасности. Такой пример в нашей стране уже есть. После того как регулятор заставил банки отвечать за потери вкладчиков, руководство банков начало активную деятельность по внедрению систем кибербезопасности.
Елизавета Турбина, партнер ООО «Юридическая фирма ЛЕКАП», обратила внимание на юридическую сторону борьбы с киберпреступностью. Она отметила, что даже хорошо написанное законодательство не будет работать, пока не будет создана система, нацеленная на осознанное поведение всех участников: государства, предприятий и личностей. Осознание, в свою очередь, предполагает: образование, личный опыт, корпоративное понимание собственного курса и рисков. Для предприятий в этой ситуации целесообразно ввести понятие киберриска. Оценка киберрисков должна осуществляться по аналогии с финансовыми рисками рейтинговыми агентствами. Это позволит стимулировать инвестирование в риски до того, как была осуществлена кибератака. Илья Сачков поддержал Елизавету и предложил дополнительно страховать риски, что пока не используется компаниями в нашей стране. По мнению Луки Тальяретти, введение рейтинга рисков внутри страны может привести к закрытию рынка, а вот глобальный рейтинг — это хорошая идея. Кроме того, он поддержал идею полисов страхования и предложил дополнить ее обязательством для компаний сообщать о кибератаках в течение 72 часов.
Еще одним вариантом участия государства в защите личности в цифровом пространстве является создание российского интернета. Данная тема сегодня весьма популярна, имеются ее сторонники и противники. Нужно констатировать, что в настоящий момент только три страны в мире (США, Китай и Израиль) обладают технологиями, позволяющими им обеспечить самобезопасность. По мнению Ильи Сачкова, суверенный интернет надо создавать на базе отечественных решений, но сегодня у нас в стране отсутствует соответствующая элементная база. Его предложение — направить усилия на создание высокотехнологичных продуктов и продавать их за рубежом. Это позволит решить две задачи: государство получит прибыль за счет экспорта высоких технологий и будет создан суверенный интернет. Лука Тальяретти считает, что нужно сначала определить, что должен защищать российский интернет. Если он должен защищаться от хакерских атак, то это задача не может быть решена, т. к. существуют и внутренние атаки. Если целью является закрытие информации (противодействие дезинформации), то задача вполне реальная, но при этом потребуется также решать вопросы законодательства, образования и внедрения искусственного интеллекта. При этом надо иметь в виду, что стоимость поддержания инфраструктуры в актуальном состоянии очень высока и не сравнима с результатом. Елизавета Турбина придерживается другого мнения — идею суверенного интернета можно обсуждать, но реализация этого проекта не даст ожидаемого результата. Все риски уже определены, и они дают отрицательный результат. Защищаться от киберпреступников, которые могут прийти и изнутри, эффективнее вместе с соседями. Преступники объединены трансгранично, используют современные технологии, обмениваются знаниями, преступные сети рекрутируют в свои ряды менеджеров, разработчиков вредоносного программного обеспечения, поэтому и бороться с ними надо сообща.
Таким образом, вопросы глобального и регионального сотрудничества государств в области кибербезопасности являются крайне актуальными.
Международное сотрудничество в области кибербезопасности
Самыми распространенными международными преступлениями сегодня являются преступления в цифровой сфере: хищение криптовалюты, вмешательство в финансовые транзакции, выполняемые в интернете, взлом банковских счетов, овладение персональными данными из социальных сетей для дальнейших преступлений и др. Данные преступления не имеют границ, бороться с ними должны государства совместно.
В настоящий момент можно констатировать, что отсутствует полноценное взаимодействие государств в этой сфере, как и во многих других. Первой причиной этого, очевидно, являются политические разногласия между государствами. Далее следуют культурно-религиозные различия, чувство патриотизма граждан, зарождающийся информационный протекционизм и т. п. Законодательства разных стран не синхронизированы, в частности, в области кибербезопасности. Они отличаются по формулировкам, терминам, ментальности. Представителям разных стран, занимающимся кибербезопасностью, бывает сложно понять друг друга из-за недопонимания. Проблема усугубляется неспособностью ООН возглавить созидательную работу в области кибербезопасности. Связано это, по мнению Ильи Сачкова, с недопониманием ведущими сотрудниками ООН (дипломатами) содержания изменений, происходящих в информационном обществе. Нужна реформа ООН в вопросах кибербезопасности, Интернета, дипломатии.
Возможна ли синхронизация законодательства разных стран по кибербезопасности в будущем? Ответ однозначный — да. Уже сегодня можно отметить положительный опыт Европола в борьбе с организованной международной киберпреступностью. Организация учится бороться с преступниками, аккумулирует мощности и готовит ресурсы для борьбы. Одновременно Европол ведет переговоры с ООН по разработке дорожной карты взаимодействия в Интернете. Правда, переговоры идут очень трудно. Как было отмечено выше, должно смениться поколение, молодые дипломаты лучше понимают новые технологии. Есть еще одно мнение: когда корпорациям станет совсем плохо из-за киберпреступности, это явится толчком к началу частичной синхронизации законодательства разных стран. Но этот путь будет очень длинным и непростым.
В заключение следует отметить, что проблема кибербезопасности уже стала одной из основных проблем всего человечества. Она касается государств, корпораций и граждан. Обеспечить безопасность в информационном обществе можно только совместными действиями. Об этой проблеме надо говорить, образовывать граждан, стимулировать деятельность корпораций и объединять усилия разных народов. А для этого нужно доверие.
Эксперт:
Игорь Львович Коршунов, кандидат технических наук, доцент, заведующий кафедрой информационных систем и технологий Санкт-Петербургского государственного экономического университета.
Экспертные аналитические заключения по итогам сессий деловой программы Форума и любые рекомендации, предоставленные экспертами и опубликованные на сайте Фонда Росконгресс являются выражением мнения данных специалистов, основанном, среди прочего, на толковании ими действующего законодательства, по поводу которого дается заключение. Указанная точка зрения может не совпадать с точкой зрения руководства и/или специалистов Фонда Росконгресс, представителей налоговых, судебных, иных контролирующих органов, а равно и с мнением третьих лиц, включая иных специалистов. Фонд Росконгресс не несет ответственности за недостоверность публикуемых данных и любые возможные убытки, понесенные лицами в результате применения публикуемых заключений и следования таким рекомендациям.
