Госбезопасность: как устроена новая стратегия борьбы с киберугрозами

Утверждение президентом России обновленной Доктрины информационной безопасности стало итогом работы, которая велась как минимум с осени 2015 года. Задача заключалась в модернизации доктрины 2000 года. Получился документ, который от прошлой версии отличается чуть ли не большей частью текста. Но признать, что новая доктрина соответствует сегодняшним реалиям и отвечает всему спектру вызовов безопасности государства, бизнеса и граждан в области IT, не получается по ряду причин.

Критический закон

Сначала о сильных сторонах нового документа. В первую очередь к таким стоит отнести раздел положений об обеспечении безопасности, устойчивого и бесперебойного функционирования критической информационной инфраструктуры (КИИ). Государственная политика в этой области активизировалась в 2013 году, когда появился указ президента, возложивший на ФСБ ответственность за обеспечение безопасности российских государственных информационных ресурсов и систем и запустивший процесс создания единой государственной системы обнаружения, предотвращения и ликвидации последствий компьютерных атак (ГосСОПКА) также под контролем ФСБ. В последнее время заметно увеличила свою активность в этой нише и частная отрасль — так, в сентябре 2016 года «Лаборатория Касперского» объявила о планах создания первого в России центра реагирования на компьютерные инциденты на объектах КИИ, услуги которого должны быть ориентированы на предприятия ключевых отраслей (ТЭК, машиностроение, нефтехимия и др.). Однако до сих пор не было федерального закона, который бы обеспечивал взаимодействие органов власти в этой области, вводил бы единую линейку требований к операторам и субъектам КИИ и, наконец, закрывал вопрос о классификации таких объектов.

Катализатором послужило усиление внимания государства к информационной безопасности. В один день с подписанием указа о доктрине в Госдуму был внесен законопроект «О безопасности КИИ РФ», разработанный ФСБ еще весной 2013 года и с тех пор неоднократно проходивший через обсуждения и доработки. В итоге законопроект позволяет наконец закрыть дыру в государственной политике по защите своей критической инфраструктуры от компьютерных атак, киберинцидентов и иных угроз. То, что благодаря доктрине появится новый закон, — уже серьезный плюс.

Из спорных, но в целом полезных частей доктрины стоит отметить раздел, посвященный импортозамещению в IT и конкретно — в нише информационной безопасности. Речь там идет о повышении конкурентоспособности продукции российской IT-отрасли, развитии собственной электронной промышленности и научно-технических разработок для сокращения зависимости от зарубежных технологий и продуктов. Комплексный взгляд, присутствующий в доктрине, хорош тем, что позволит направить импортозамещение в сбалансированное русло, укажет ему приоритетные ключевые ниши: системы объектов КИИ и автоматизированные системы управления промышленным и технологическим процессами (АСУ ПТП), информационные системы и платформы, используемые для решения задач Минобороны, управления вооруженными силами.

Государственный подход

Но именно в разделе про стратегические цели и обеспечение безопасности в экономике обнаруживается и один из главных недостатков новой доктрины: она не отводит активной и самостоятельной роли частной инициативе российской IT-отрасли, не ориентируется на потребности и интересы самого бизнеса. Исходя из логики доктрины, российская IT-отрасль должна «обеспечить» рост конкурентоспособности российских решений и технологий, укрепление позиций российской электронной промышленности, разработку новых способов и технологий обеспечения информационной безопасности. Однако в такой картине мира бизнес выступает в качестве объекта, а не субъекта — исполнителя определенных «целевых показателей». Доктрина не дает четкого ответа на вопрос о том, может и должен ли частный сектор выступать с собственной повесткой дня, выращивать и продвигать, пусть и в партнерстве с государством, собственные решения и механизмы обеспечения информационной безопасности.

Нужны ли, например, государственно-частные центры реагирования на киберинциденты (CSIRT\CERT), депозитарии уязвимостей и банки данных о компьютерных атаках и инцидентах, новые защищенные платформы, в том числе предназначенные для госорганов? Отказ бизнесу в статусе полноправного субъекта прослеживается и в том, что доктрина, обширно и детально расписывая угрозы информационной безопасности государства — с сильным креном на военно-политическую составляющую, — меньше внимания уделяет угрозам для граждан и совсем ничего не говорит об угрозах для бизнеса.

Вообще, в доктрине отводится довольно скудное место реакции на компьютерные инциденты в рамках международного сотрудничества. Новая редакция документа почти полностью уходит от освещения роли групп реагирования на киберинциденты в обеспечении информбезопасности, в том числе в защите КИИ. Это несколько странно, в России уже активно развивается система реагирования на такие инциденты, в том числе на отраслевом уровне: в 2015 году создан FinCERT при российском ЦБ для противодействия киберугрозам и управления инцидентами на объектах финансового сектора, на уровне IT-отрасли и профильных регуляторов обсуждается идея создания такой группы на сетях телекоммуникационных операторов (Telecom-CERT). Углубление и развитие отраслевой специализации групп реагирования — общемировая практика, остро востребованная и в России с учетом размеров и сложности инфраструктуры IT-сектора и данных по числу инцидентов и объему ущерба от них.

В международной практике все чаще встречается активное включение национальных CSIRT/CERT в международные сети, площадки и ассоциации (например, FIRST и Trusted Introducer). Эффективность национальной системы предупреждения и управления инцидентами неизбежно ограничена трансграничным характером угроз, поэтому международное взаимодействие не пожелание, а безусловный приоритет в рекомендациях международных организаций (ОЭСР). В России такое взаимодействие де-факто развивается: так, в рамках двусторонних соглашений Россия — США от 2013 года предусмотрен обмен данными между российским и американским CERT (с нашей стороны GOV-CERT) по серьезным инцидентам, способным создать угрозу международного кризиса в киберпространстве. За последние годы значительная часть компьютерных преступлений и инцидентов в России расследовалась или предотвращалась с подключением экспертов и структур частного сектора, таких как GIB-CERT, созданный компанией Group-IB и ведущий активное взаимодействие с международными структурами. В ЕС, США, Японии государственно-частное взаимодействие является основой стратегии управления инцидентами, в том числе на объектах критической инфраструктуры. Игнорирование этой сферы деятельности в доктрине вряд ли пойдет на пользу делу.

Советское наследство

С одной стороны, все эти огрехи доктрины можно списать на ее статус базового стратегического документа, который формирует основу политики на длительный срок и потому оперирует общими категориями. Но на самом деле «слепота» документа в отношении частной инициативы и трансграничного взаимодействия объясняется самим подходом, заложенным в ее основу. Главный изъян — непомерная широта задач, которые должны решаться в русле политики обеспечения информационной безопасности с точки зрения авторов документа. Доктрина перегружена вопросами, которые вообще не имеют отношения к информационной безопасности в ее профессиональном, по крайней мере отраслевом, понимании: противодействие недружественной пропаганде через СМИ, распространение контента, подрывающего социально-политическую стабильность, патриотическое воспитание и даже традиционные духовные ценности.

Генетическая особенность подхода российского государства к пониманию проблематики информбезопасности, унаследованная еще от СССР, — отказ «раскладывать в разные корзины» вопросы защиты инфраструктуры и работы со смыслами и идеями. В нынешней доктрине этот подход цветет пышным цветом, вторгаясь в те ниши госполитики, которые, по идее (по крайней мере с позиций международного опыта), должны регулироваться в рамках законодательства о СМИ, концепций внешней политики, реформы системы образования, государственных программ в области культуры и просвещения и пр. С таким беспредельным охватом и креном в сторону «смыслов» неизбежны изъяны в подходе к решению основной «инфраструктурной» задачи — что и наблюдается.