Совет Федерации представил проект стратегии кибербезопасности, призванный защитить российские веб-ресурсы от хакеров, кибертеррористов и иностранных кибершпионов. Отражая приоритеты ФСО и ФСБ, непосредственно причастных к его созданию, в документе уделяют ключевое внимание защите государственных сетей и интернет-ресурсов. В рамках стратегии предлагается приравнять кибератаки на сайты госучреждений ни много ни мало к захвату власти. При этом интересы наиболее уязвимых для кибератак интернет-ресурсов частного сектора рискуют быть проигнорированы. Все это довольно органично вписывается в ряд последних инициатив Кремля по регулированию Сети, число которых растет, пишет сегодня РБК daily.
Только за последнее время в России был принят ФЗ-139, ведутся дискуссии о принятии подобного закона в антитеррористических целях, опубликован новый документ российского Совбеза по защите критической инфраструктуры. Столь же активно тему регулирования киберпространства Москва продвигает на международном уровне. На Будапештской конференции по киберпространству 4—5 октября некоторые эксперты ожидают презентации российского проекта глобального соглашения о борьбе с киберпреступностью. Аналог подобного соглашения, направленного против информационных войн, был представлен Россией на предыдущей конференции в Лондоне в ноябре 2011 года. За два месяца до этого Россия и ее коллеги по ШОС, включая Китай, представили Генсеку ООН проект правил поведения государств в киберпространстве.
Однако при этом отечественный подход к регулированию Интернета страдает от серьезных внутренних противоречий и перекосов, начиная с терминологической путаницы. Российское законодательство, основанное на устаревшей Доктрине информационной безопасности от 2000 года, не приемлет и не содержит терминов с «западной» морфемой «кибер-». В то же время упомянутый проект Совфеда представляет собой довольно странную вещь — стратегию кибербезопасности для отдельно взятого госсектора. За бортом инициативы, судя по имеющейся информации, остаются как раз те ресурсы и площадки, которые сегодня больше всего страдают от DDoS-атак, кибершпионажа и хакеров — сайты СМИ, сети крупных компаний и блоговые платформы.
Сама идея национальной стратегии кибербезопасности сейчас исключительно правильна и актуальна. Единое видение того, от кого и как защищать Сеть, на национальном уровне отсутствует, несмотря на вал законопроектов. Национальная доктрина осталась в 2000 году, когда не было социальных сетей, мошенничества в сфере дистанционного банковского обслуживания и вирусов, подобных нынешним. В 2010 году сверхсложный червь Stuxnet, созданный США и Израилем, физически разрушил тысячу урановых центрифуг на обогатительном объекте в иранском Натанзе. Что делать с такими угрозами, если они будут направлены против российских сетей, не говорит ни один документ. Вместо этого на первый план в повестке дня ставится создание черных списков и иные меры преимущественно из разряда запретительного регулирования.
Во многом такие странности следует объяснять влиянием спецслужб на российскую повестку дня в части регулирования Сети. ФСТЭК и ФСБ давно стали «священным союзом», чье мнение имеет едва ли не решающий вес по любым вопросам безопасности Интернета. В 2008—2009 годах позиция силовиков поставила крест на перспективах присоединения России к Будапештской конвенции о киберпреступности — основному международному механизму по борьбе с компьютерными преступлениями. Возражения у ФСБ вызвал пункт статьи 32b, закреплявший возможность проведения следственных действий в сетях других государств — участников конвенции, что может противоречить государственному суверенитету в информационном пространстве.
Чуть позже, в начале 2011 года, от ФСБ поступила инициатива запрета на территории России Skype и почтового сервиса Gmail, чей трафик спецслужбы не могут контролировать из-за системы шифрования. Вопрос со Skype до сих пор остается на повестке дня, окончательное решение по нему не принято. В настоящее время обсуждаются законопроекты, расширительное толкование которых в случае принятия может повлечь запрет на использование в российских информационных системах криптографического алгоритма RSA, разработанного в США. Этот алгоритм используется, к примеру, во всех информационных системах банков и финансовых учреждений. Кроме того, удобство механизма блокировки сайтов и создания черных списков подало силовикам идею об экстраполяции опыта 139-ФЗ на другие угрозы из Сети, в том числе экстремизм и терроризм. Впрочем, последние события, включая блокировку видеохостинга YouTube из-за фильма «Невинность мусульман», показывают, что такие идеи могут быть излишними — достаточно уже имеющихся инструментов.
Мотивы представителей спецслужб достаточно понятны — речь идет не только об отражении угроз безопасности в Сети, но и о контроле над общественными процессами и настроениями, а также над IT-сектором. К примеру, механизмы лицензирования и сертификации организаций для подключения их IT-систем и сетей находятся в компетенции ФСТЭК и дают службе немалые возможности. Особенно в сочетании с непрозрачной системой аккредитованных лабораторий, осуществляющих подготовку организаций к лицензированию и в ряде случаев так или иначе связанных с представителями самой ФСТЭК. Не меньшими полномочиями обладает ФСБ — в последнее время трудно сказать, где вообще заканчиваются компетенции ведомства в отношении информационных систем.
Вместе с тем спецслужбы нельзя демонизировать — они отнюдь не злонамеренны и в целом справляются с теми вызовами, которые ставит перед государством и обществом развитие Сети. Однако их видение угроз и проблем специфично, как и подходы к их решению. Для того чтобы приоритеты органов безопасности не замыкали на себя полностью национальные интересы, нужен баланс. Достичь его можно за счет участия бизнеса, неправительственных экспертов и самих интернетчиков в выработке доктринальных документов и нормативных актов. Или, по крайней мере, нужен учет мнения вышеназванных групп. На Западе основанный на этом принципе мультистейкхолдеристский подход, или управление силами всех заинтересованных участников, давно стал священной коровой в области регулирования Глобальной сети. В России он может быть востребован при разработке новой национальной доктрины или стратегии кибербезопасности, более всеобъемлющей и универсальной, чем нынешний продукт Совета Федерации.