Фонд Росконгресс подготовил аналитический отчет «Цифровой суверенитет: как государства защищают интересы в сети». В нем на примерах США, ЕС, КНР и России рассматриваются подходы к пониманию и реализации цифрового суверенитета, в том числе в условиях геополитического противостояния, которое затрагивает и киберпространство.

С киберугрозами сталкиваются как рядовые граждане, так и транснациональные корпорации и национальные правительства. Самый серьезный ущерб от противоправных действий в интернете приносят финансово мотивированные преступники. Рынок активно предлагает системные и аппаратные решения проблемы. Как ожидается, в 2024 году объем рынка кибербезопасности превысит 200 млрд долларов США и сохранит быстрые темпы роста в дальнейшем.

Основная стратегия защиты национальной безопасности - запрет на использование иностранного оборудования в критической инфраструктуре. Однако многие эксперты сомневаются в ее эффективности. Она может лишь усилить геополитическую напряженность, оставив при этом уязвимости в других местах. Важным элементом защиты суверенного киберпространства должен стать обмен информацией для укрепления мер защиты как внутри стран, так и в рамках международной кооперации.

По мнению экспертов Фонда, задачи обеспечения цифрового суверенитета и усиление международного сотрудничества в борьбе с киберпреступниками дополняют, а не противоречат друг другу. Как отмечается в отчете, киберпространство стало бы более безопасным местом, если бы в дополнение к региональным и национальным органам информационной безопасности появились их глобальные аналоги на основе ООН или других представительных международных организаций, таких как БРИКС или ШОС.

Полный текст аналитического обзора опубликован на сайте Фонда Росконгресс и в Дзен-канале Фонда Росконгресс.

Задачи обеспечения цифрового суверенитета и повышение международного сотрудничества в борьбе с киберпреступниками дополняют, а не противоречат друг другу.

Отсутствие эффективных региональных и глобальных организаций для обмена опытом и стандартизации мер защиты снижает уровень информационной безопасности.

Несмотря на то, что рынок услуг кибербезопасности в США — самый большой в мире, на нем же и произошло больше всего киберпреступлений в 2023 году.

Цифровой суверенитет представляет собой способность государства самостоятельно определять и контролировать свою цифровую инфраструктуру, данные и информационные потоки. Это понятие включает в себя не только технические аспекты, такие как защита от кибератак и обеспечение надежности сетей, но и политические, экономические и социальные аспекты, связанные с правом на самоопределение в цифровой сфере.

Информационная безопасность, в свою очередь, является неотъемлемой частью цифрового суверенитета. Она подразумевает комплекс мер, направленных на защиту информации от несанкционированного доступа, использования, раскрытия, изменения или уничтожения. Обеспечение информационной безопасности является критически важным для государства, бизнеса и граждан, поскольку утечка или потеря данных может привести к серьезным последствиям, включая финансовые траты, потерю репутации и даже угрозы национальной безопасности.

В разных регионах мира складываются свои подходы к пониманию и реализации цифрового суверенитета, которые можно рассмотреть на примерах США, ЕС, КНР и России.

США: контроль над компонентами ПО, усиление шифрования и борьба с технологическими конкурентами политическими методами

В США концепция цифрового суверенитета традиционно ассоциируется с идеей свободы интернета и ограниченного вмешательства государства в цифровую сферу. Это отражает декларируемые либеральные ценности американского общества, одной из которых является свободное распространение информации. Однако в последние годы наблюдается усиление внимания к вопросам национальной безопасности и защиты критической инфраструктуры от кибератак, особенно после ряда громких скандалов, которые вывели в публичную сферу глобальные масштабы незаконной слежки как за собственными гражданами, так и за иностранными политиками.

Прозрачные «облака» для спецслужб

Тенденция к усилению государственного участия в цифровой сфере отразилась в ряде законодательных актов. Один из самых заметных из них — CLOUD Act (2018), который упрощает американским правоохранительным органам доступ к данным, хранящимся на серверах американских компаний за пределами США.

Недоверие к китайскому телекоммуникационному оборудованию

Опасаясь потенциального использования оборудования китайских компаний правительством КНР для разведывательной деятельности, аналогичной той, что ведут американские спецслужбы, в 2019 году был принят закон, запрещающий использование средств федерального бюджета США для приобретения оборудования и услуг у Huawei и ZTE. В том же году Huawei была внесена в санкционный список, что ограничило доступ компании к американским технологиям и компонентам, включая как аппаратное обеспечение (чипы), так и программное (например, операционную систему Android). Одновременно с этим Вашингтон оказывает давление на своих сателлитов, чтобы те прекратили использовать китайское оборудование в сетях 5G. Одним из наиболее ярких примеров давления США на союзников в вопросе отказа от китайского оборудования 5G является случай с Великобританией. В 2020 году британское правительство приняло решение исключить Huawei из своей сети 5G к 2027 году, несмотря на критику со стороны представителей бизнеса, которые считали, что такой шаг приведет к задержкам и увеличению затрат на развертывание сетей нового поколения. В 2020 году Швеция запретила Huawei и ZTE участвовать в аукционах на частоты 5G, ссылаясь на риски национальной безопасности. В 2022 году Канада объявила о запрете на использование оборудования Huawei и ZTE в своих сетях 5G, присоединившись к своим союзникам по организации «Five eyes» (США, Великобритания, Австралия и Новая Зеландия).

Усиление безопасности цепочек поставок ПО

В мае 2021 года президент США подписал указ №14028 об «Усилении кибербезопасности страны». Данный документ содержит 74 директивы, 45 из которых имеют определенные сроки исполнения в пределах двух лет. Указ затрагивает компании, поставляющие программное обеспечение (ПО) и информационные аппаратные комплексы и предоставляющие ИТ-услуги правительству США, с акцентом на «критически важное программное обеспечение». Главный принцип, заложенный в документ — обеспечение безопасности цепочки поставок ПО, то есть гарантирование надежности и безопасности компонентов, из которых собираются готовые программы. Указ устанавливает базовые стандарты безопасности для ПО, продаваемого правительству, обязывает разработчиков обеспечивать большую прозрачность своего ПО, задает новые подходы к разработке безопасного ПО и закладывает общие правила стандартизации и маркировки для безопасно разработанного ПО. Основной концепцией документа является спецификация программных компонентов, которая представляет собой перечень используемых в готовом программном продукте библиотек и модулей. Правительственные органы не имеют право закупать ПО без такой спецификации.