Кибератаки: как государства реагируют на инциденты, затрагивающие кибербезопасность информационных систем на современном этапе международного информационного права



В статье автор рассматривает существующие механизмы реагирования государств, в частности, Соединенных Штатов Америки, Российской Федерации, а также государств Европейского союза на инциденты, затрагивающие кибербезопасность информационных систем.

Ключевые слова: кибепространство, киберпреступность, кибератака, механизмы реагирования, защитные меры, кибербезопасность информационных систем, поставщик цифровых услуг, оператор основных услуг.

При быстром развитии технологических реалий появление новых механизмов реагирования на атаки в сети «Интернет» набирают большую актуальность. Иногда государства, помимо создания правовых превентивных норм, проведения двусторонних переговоров по данной тематике и разработки безопасных операционных систем, вынуждены прибегать к отдельным концепциям военной науки.

Наиболее тесное сотрудничество происходит между Российской Федерацией (далее — РФ) и Соединёнными Штатами Америки (далее — США). При этом уделяется внимание всем возможным областям правовой и фактической информационной защиты. Так, 9 июля 2021 года президенты России и США Владимир Путин и Джо Байден провели телефонный разговор, в ходе которого было выбрано основное направление отношений двух стран по поддержанию международной кибербезопасности, а именно взаимодействие в сфере борьбы с киберпреступностью, устанавливающее при этом «постоянный, профессиональный и неполитизированный характер отношений» [3].

Многие технологические компании сегодня разрабатывают собственные стандарты кибербезопасности. Для извлечения прибыли и стабилизации экономической системы, корпорации применяют цифровые технологии, проводя большую часть финансовых операций через сеть «Интернет». Для корректного, достоверного и защищённого порядка и для минимизации рисков такие операции должны быть полностью защищены.

Механизмы реагирования на инциденты, затрагивающие кибербезопасность информационных систем («защитные меры по обеспечению безопасности информационных систем»), — явные и скрытые меры и операции в киберпространстве, предназначенные для сохранения и дальнейшего безопасного использования информации, а также защиты данных, сетей и информационных систем [6].

Несмотря на попытки государств выстраивать двусторонние и многосторонние отношения для реализации норм и правил по защите баз данных и предотвращении кибератак, основным механизмом реагирования остаются правовые нормы и законодательные акты государств.

На международном уровне правовое регулирование кибербезопасности включает директивы, которые обеспечивают безопасность информационных технологий и компьютерных систем и предоставляют возможность организациям защитить свои базы данных от кибератак, таких как вирусы-шифровальщики, несанкционированный доступ, DDoS-атаки и так далее. С подробным разбором инцидентов, затрагивающих кибербезопасность информационных систем, можно ознакомиться в статье Власенко В. Э. «Правовые аспекты инцидентов, затрагивающих кибербезопасность информационных систем на современном этапе международного информационного права» [2].

Родоначальником системы защиты информационного пространства является США. Появление большого количество корпораций, связанных с информационными технологиями (IT), таких как Microsoft Corporation (Корпорация «Майкрософт»), Apple («Эппл») и других, привело к резкому увеличению киберпреступлений.

В 2011 году Министерство обороны США приняло руководство под названием The 2011 U. S. Department of Defense Strategy for Operating in Cyberspace («Стратегия Министерства обороны по работе в киберпространстве 2011 года»), в котором сформулированы несколько основных направлений:

— принимать информационное пространство как область для оперативного действия;

— применять модернизированные концепции защиты сетей, систем и баз данных Министерства обороны;

— оказывать правовую поддержку иным агентствам и организациям [17].

Основными источниками, содержащими нормы противодействия и предупреждения кибератак на информационные системы США, являются:

1. The Homeland Security Act of 2002 («Закон о внутренней безопасности 2002 года»), включающий Federal Information Security Modernization Act of 2014 (FISMA 2014) («Федеральный закон о модернизации информационной безопасности 2014 года») [19] [12];
2. Comprehensive Crime Control Act of 1984 («Закон о всеобъемлющей борьбе с преступностью 1984 года»), включающий в себя Computer Fraud and Abuse Act of 1984 («Закон 1986 года о Компьютерных мошенничествах и злоупотребления информацией») в качестве поправки к нему [7], [8].

Первые два источника активно применяются в каждом правительственном учреждении Соединённых Штатов и определяют направления для разработки и детального употребления обязательных норм, принципов и стандартов безопасности информационных систем. Однако данные положения не охватывают некоторые области и группы, связанные с компьютерами, например, деятельность провайдеров Интернет-услуг (ISP) и разработка программного обеспечения [9]. К сожалению, в правилах не указан диапазон и виды норм, доступных к применению, отмечается только «разумный» уровень контроля.

Поправка в форме законодательного акта о компьютерных мошенничествах устанавливает ответственность за киберпреступления. Закон также включает:

— компьютерный шпионаж;

— несанкционированный доступ к скрытой информации;

— компьютерное мошенничество;

— умышленное или небрежное повреждение и/или уничтожение защищенных компьютеров и прочего [8].

Один из разделов закона посвящен экономическим киберпреступлениям и предусматривает увеличение штрафов за кражу интеллектуальной собственности американских компаний. Так, срок тюремного заключения за такое преступление может составлять от 15 до 20 лет [7]. При краже со взломом сети компьютерной инфраструктуры Соединенных Штатов, а именно телевизионной сети, электросети, каналов транспортной связи, систем управления водными ресурсами — срок тюремного заключения может составлять 30 лет без права на условно-досрочное освобождение [8].

При сравнении правовых норм Европейского Союза (далее — ЕС) и Соединённых Штатов следует учитывать различия в обществе, инфраструктуре и ценностях в данных странах. Зачастую нормы одного всеобъемлющего стандарта безопасности не могут быть оптимальным для снижения рисков всех государств в целом. В то время как стандарты США стремятся обеспечивать основу для урегулирования операций во всём мировом сообществе, Европейский Союз создаёт индивидуально-специализированные нормы для корпораций и предприятий, ведущих свою деятельность только на территории ЕС.

В рамках ЕС разработана стратегия единого цифрового рынка, законодательную основу для которого составляют и образуют:

1. The European Union Agency for Cybersecurity (ENISA) (Агентство Европейского Союза по кибербезопасности) [18];
2. The Directive on Security of Network and Information Systems (the NIS Directive) of 2016 («Директива о безопасности сетей и информационных систем 2016 года» (Директива NIS)) [14];
3. The EU General Data Protection Regulation (GDPR) of 2016 («Общий регламент ЕС по защите данных 2016 года» (GDPR)) [13].

Первоначально Агентство Европейского Союза по кибербезопасности (ENISA) было создано Постановлением ЕС № 460/2004 Европейского парламента и Совета от 10 марта 2004 г. с целью контроля над всеми сетевыми и информационными аспектами безопасности для всех операций в ЕС. Данный документ был отменён и переписан. ENISA в настоящее время работает в соответствии с Регламентом (ЕС) № 526/2013 [10]. ENISA также активно сотрудничает с государствами-членами Европейского Союза для предоставления определённого перечня информационных услуг. В деятельности организации внимание акцентировано на трёх аспектах:

— рекомендации государствам-членам относительно действий при нарушениях безопасности;

— поддержка разработки и реализации политики для всех стран-членов ЕС;

— прямая поддержка ENISA с практическим подходом к работе с оперативными группами в ЕС [5].

ENISA как профильное агентство ЕС по кибербезопасности неоднократно выпускало и выпускает до сих пор исследования, охватывающие все основные вопросы информационной безопасности. Прошлые и текущие инициативы ENISA:

— облачная стратегия ЕС;

— открытые стандарты в области информационных коммуникационных технологий;

— стратегия кибербезопасности ЕС;

— координационная группа кибербезопасности [5].

ENISA также работает в сотрудничестве с существующими международными организациями по стандартизации, такими как ISO и ITU [15].

6 июля 2016 года Европейский парламент ввел в действие Директиву безопасности сетей и информационных систем (Директива NIS) [16].

Цель Директивы NIS — повышение общего уровня информационной безопасности и обеспечение информационно-технологического контроля за предприятиями Европейского Союза. Поставщики цифровых услуг (DSP) и операторы основных услуг (OES) — категории, деятельность которых регулирует данная директива. OES — любые виды организаций, деятельность которых напрямую связана с информацией, информационными системами, цифровыми услугами, т. е. в случае нарушения их кибербезопасности деятельность будет нарушена или прервана [11]. Несмотря на то, что DSP и OES несут ответственность за сообщение о серьезных инцидентах безопасности, нормы, применяемые к DSP, более лояльные, чем к операторам основных услуг, поскольку именно они организуют основную деятельность по защите и контролю за информационной безопасностью цифровых систем.

Общий регламент ЕС по защите данных (GDPR) был введен в действие 14 апреля 2016 года. Цель регламента — внедрить единый стандарт защиты данных для всех стран-членов ЕС. Применяется «географический фактор». Теперь при обработке данных гражданина ЕС организация попадает под действие GDPR вне зависимости от того, где именно обрабатываются эти данные [15].

В Российской Федерации Уголовный кодекс содержит главу 28 «Преступления в области компьютерной информации», которая включает в себя четыре статьи с 272 по 274.1:

— незаконный доступ к компьютерной информации;

— создание, использование и распространение вредоносных компьютерных программ;

— нарушение правила эксплуатации хранилищ, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей;

— неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации [4].

Уголовный кодекс России относит компьютерные преступления к преступлениям против собственности, а не к защите прав и свобод личности [1]. Санкции включают штрафы и тюремное заключение. Например, за незаконный доступ к компьютерной информации предусмотрен штраф в размере пятисот тысяч рублей или лишение свободы на срок до 7 лет [4].

Принимая во внимание, что преступления в цифровом пространстве становятся все более распространенными, Правительство России в настоящее время разрабатывает законопроект об ужесточении наказания за киберпреступления.

На мой взгляд, разработка и принятие вышеназванного законопроекта будет являться очень важным этапом не только в правовом аспекте развития данной сферы, но и в самом развитии кибербезопасности в стране. Россия постепенно должна принимать мощное развитие киберпространства и соответственно необходимым образом реагировать на это.

На данный момент в обществе, несмотря на быстрое развитие киберпространства, сложились механизмы реагирования государств на происходящие киберпреступления, однако они должны постоянно совершенствоваться и актуализироваться в связи с увеличивающимся ростом киберпреступлений в мировом сообществе.

Литература:

1. Бородкина Т. Н., Павлюк А. В. Киберпреступления: понятие, содержание и меры противодействия. Социально-политические науки. № 1–2018. С. 158–160;
2. Власенко, В. Э. Правовые аспекты инцидентов, затрагивающих кибербезопасность информационных систем на современном этапе международного информационного права // Молодой ученый. — 2021. — № 21 (363). — С. 180–183. — URL: https://moluch.ru/archive/363/81517/ (дата обращения: 20.11.2021);
3. Кибербезопасность и Сирия. Что обсудили Путин и Байден в третьем телефонном разговоре. URL: https://tass.ru/politika/11871877 (дата обращения: 20.11.2021);
4. Уголовный кодекс Российской Федерации» от 13.06.1996 N 63-ФЗ // СЗ РФ. 1996. № 25. Ст. 2954;
5. About ENISA — The European Union Agency for Cybersecurity URL: https://www.enisa.europa.eu/about-enisa (дата обращения: 25.11.2021);
6. CNSSI № 4009 Committee on National Security Systems (CNSS) Glossary of 06.04.2015 URL: https://rmf.org/wp-content/uploads/2017/10/CNSSI-4009.pdf (дата обращения: 20.11.2021);
7. Comprehensive Crime Control Act of 1984 Pub.L. 98–473, S. 1762, 98 Stat. 1976;
8. Computer Fraud and Abuse Act of 1984 S.2864–98th Congress (1983–1984);
9. David Berteau , Steven L. Schooner Emerging Policy and Practice Issues. P.: GWU Legal Studies Research Paper No. 2016–1, Washington, 2016. р. 35;
10. Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union». EUR Lex. 19 July 2016.;
11. Directive on security of network and information systems (NIS Directive)". Digital Single Market. Retrieved 2017–03–12 URL: https://digital-strategy.ec.europa.eu/en/policies/nis-directive (дата обращения: 25.11.2021);
12. Federal Information Security Modernization Act of 2014 S.2521–113th Congress (2013–2014);
13. Home Page of EU GDPR. Официальный сайт. URL: https://gdpr-info.eu/ (дата обращения: 22.11.2021);
14. Key Changes with the General Data Protection Regulation. EU GDPR Portal. URL: https://www.dlapiper.com/en/us/focus/eu-data-protection-regulation/key-changes/ (дата обращения: 22.11.2021);
15. Purser Steve Standards for Cyber Security Best Practices in Computer Network Defense: Incident Detection and Response. P.: NATO Science for Peace and Security Series, Washington, 2017;
16. Regulation (EU) no 526/2013 of the European Parliament and of the Council of 21 May 2013 concerning the European Union Agency for Network and Information Security (ENISA) and repealing Regulation (EC) No 460/2004;
17. The 2011 U. S. Department of Defense Strategy for Operating in Cyberspace.URL:https://csrc.nist.gov/CSRC/media/Projects/ISPAB/documents/DOD-Strategy-for-Operating-in-Cyberspace.pdf (дата обращения: 25.11.2021);
18. The European Union Agency for Cybersecurity (ENISA) (Агентство Европейского Союза по кибербезопасности). Официальный сайт. URL: https://www.enisa.europa.eu/;
19. The Homeland Security Act of 2002. Public Law. 107–296—NOV. 25, 2002 107th Congress