Нужна ли в России своя стратегия кибербезопасности?

Нужна ли в России своя стратегия кибербезопасности?

Активное развитие цифровых технологий, искусственного интеллекта, интернет-торговли и онлайн-услуг — при всей их пользе для общества и государства — порождает проблемы в сфере информационной безопасности. Мошенники, хакерские группы, а также спецслужбы иностранных государств стараются находить уязвимости в киберпространстве в своих корыстных целях, нанося существенный ущерб как экономике, так и государственному управлению. Отсюда логично вытекает важность выработки национальной стратегии в сфере кибербезопасности, которой в России пока нет.

По мнению экспертов InfoWatch, в качестве аналогов стратегии кибербезопасности у нас можно рассматривать «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры РФ» (2012 г.), закон «О безопасности критической информационной инфраструктуры РФ» (26.07.2017 г. №187-ФЗ) и Концепцию государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (2014 г.), выписка из которой опубликована на сайте Совета безопасности.

Уже в Основных направлениях появляются такие понятия, как компьютерные атаки и инциденты, говорится о разработке методов и средств своевременного выявления угроз, повышении общего уровня культуры ИБ граждан и т. д. В Доктрине информационной безопасности РФ, принятой Указом Президента России №646 от 05.12.2016 г., дается определение понятию информационной безопасности — это «состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз». Среди угроз названы растущие масштабы компьютерной преступности, противоправные действия, «связанные с нарушением конституционных прав и свобод человека и гражданина, в том числе в части, касающейся неприкосновенности частной жизни, личной и семейной тайны, при обработке персональных данных с использованием информационных технологий».

В 2021 году была обновлена Стратегия национальной безопасности (Указ Президента РФ от 02.07.2021 г. №400), в которой информационная безопасность обозначена как один из стратегических национальных приоритетов. В ней ставятся такие задачи, как формирование безопасной среды оборота достоверной информации, повышение защищенности информационной инфраструктуры, пресечение преступлений, совершаемых с использованием информационно-коммуникационных технологий, снижение до минимально возможного уровня количества утечек информации ограниченного доступа и персональных данных, создание условий для применения «передовых технологий, включая технологии искусственного интеллекта и квантовые вычисления».

Также сферу ИБ регулируют федеральные законы «Об информации, информационных технологиях и о защите информации» (27.07.2006 №149-ФЗ) и «О персональных данных» (27.07.2006 №152-ФЗ). В апреле 2025 года был принят закон №58-ФЗ, предусматривающий перевод значимых объектов КИИ на использование российского ПО. Дефицит законодательного регулирования этой сферы нередко компенсируется указами президента. Мы уже упоминали указы №400 и №646. В мае 2022 года был принят Указ №250, который предусматривает дополнительные меры по обеспечению ИБ. Уход с российского рынка иностранных вендоров потребовал тогда перевода ИТ-инфраструктуры на альтернативные решения.

Указом были ужесточены требования к компаниям, госорганизациям, стратегическим предприятиям, относящимся к объектам КИИ: теперь руководство несет личную ответственность за обеспечение информационной безопасности, обязательным становится создание подразделения, отвечающего за ИБ, глава которого подчиняется напрямую генеральному директору. Однако во всех вышеназванных стратегических документах, законах и нормативных актах нигде не используются получившие всеобщее распространение понятия «кибербезопасность» или «киберпространство» — они лишь подразумеваются в рамках более широкой темы информационной безопасности.

Для полноты картины отметим, что термин «кибербезопасность» на русском языке все же обозначен в национальном стандарте Российской Федерации ГОСТ Р 56205-2014 (IEC/TS 62443-1-1:2009) «Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 1-1». Терминология, концептуальные положения и модели: 3.2.36. Кибербезопасность (киберзащита, англ. cybersecurity) — действия, необходимые для предотвращения неавторизованного использования, отказа в обслуживании, преобразования, рассекречивания, потери прибыли или повреждения критических систем или информационных объектов.

Кибербезопасность как стимул к нормотворчеству

Информационная безопасность (ИБ) и кибербезопасность (КБ) часто рассматриваются как синонимы, но между ними существуют ключевые различия. Их понимание важно при разработке национальной стратегии защиты критической инфраструктуры и данных. ИБ представляет собой комплекс мер по обеспечению конфиденциальности, целостности и доступности любой информации, вне зависимости от формы и среды хранения (бумажные документы, устные переговоры, физические носители). КБ является составной частью ИБ, связанной исключительно с защитой цифровых активов и сетей от кибератак, направленных через интернет-протоколы и компьютерные системы.

ИБ охватывает организационную, техническую и физическую защиту (политики доступа, шредеры для документов, видеонаблюдение). КБ фокусируется на защите сетевой инфраструктуры, приложений, облачных сервисов и устройств Интернета вещей (IoT). Для ИБ характерны риски утечек из-за человеческого фактора (социальная инженерия, утрата носителей). Для КБ основная угроза — удаленные кибератаки: DDoS, фишинг, вредоносы, эксплойты уязвимостей в ПО.

Резюмируя вышесказанное, кибербезопасность — это сфера ИБ, сосредоточенная на цифровых технологиях. В рамках национальной стратегии необходимо отразить специфику киберугроз, применяемые средства обнаружения и реагирования на инциденты.

Возникает вопрос о том, как может повлиять на законодательный процесс выделение кибербезопасности в качестве отдельного понятия. У нас уже сложилась определенная нормативная база. В одном из ключевых нормативных актов — законе «Об информации, информационных технологиях и о защите информации» (№149-ФЗ), «защита информации» трактуется широко — от печатных носителей до ИТ-систем. Плюс, действуют и другие законы, касающиеся персональных данных (№152-ФЗ), безопасности КИИ (№187-ФЗ) и т. д.

Если формально из «защиты информации» выделить отдельную область «кибербезопасности» (т. е. сосредоточиться только на цифровых сетях и системах), как-никак потребуется уточнение терминологии и разграничение сфер ответственности в тексте закона №149-ФЗ. Например, говоря о «защите информации», надо отдельно сказать про сети и системы. Также будет логично отредактировать статьи, касающиеся требований к средствам защиты (СрЗИ), чтобы различать «физические» и «кибер»-СрЗИ, внести поправки в нормы, регулирующие порядок сертификации и аудит в сфере ИТ-безопасности.

Может понадобиться внесение поправок в некоторые статьи законов №152-ФЗ, №187-ФЗ и КоАП. Изменения потребуют пересмотра определений и областей применения, корректировки санкций за нарушения «кибер»-требований, обновления ссылок в подзаконных актах и ГОСТах.

Главный вывод заключается в том, что выделение кибербезопасности как самостоятельного направления повысит ясность норм. Правда, без кропотливой работы по обновлению и совершенствованию существующего законодательства не обойтись.

Стратегия Запада — «предвидеть, защищаться и нападать»

Хорошим подспорьем в деле совершенствования российской сферы ИБ может стать изучение зарубежного опыта, особенно тех стран, которые располагают передовыми ИКТ-технологиями и хорошо отработанной законодательной системой. В США еще при президенте Джордже Буше – младшем в 2003 году появился такой доктринальный документ, как «Национальная стратегия по обеспечению безопасности киберпространства» (National Strategy to Secure Cyberspace). При президенте Бараке Обаме были созданы нормативно-правовые основы защиты цифровой среды, утверждена международная стратегия действий США в киберпространстве (International Strategy for Cyberspace).

Во время своего первого срока президент Дональд Трамп принял на вооружение обновленную национальную киберстратегию (2018 г.), в которой источниками «злонамеренной киберактивности» безапелляционно называются Китай, Россия, Иран и Северная Корея. Ставится задача «проводить операции в киберпространстве для сбора разведывательных данных и подготовки военных кибервозможностей для использования в случае кризиса или конфликта». Министерство обороны США намерено использовать зависимость вооруженных сил противника от компьютерных и сетевых технологий для получения военного преимущества. Важную роль при проведении операций в киберпространстве во всем спектре конфликтов должны играть наступательные кибервозможности и инновационные концепции.

В марте 2023 года при президенте Джо Байдене появляется очередная «Стратегия национальной кибербезопасности» (National Cybersecurity Strategy). Основной акцент делается на защите объектов критической инфраструктуры, нейтрализации киберугроз, защите персональных данных, государственных и частных инвестициях в кибербезопасность и политике в сфере подготовки квалифицированных кадров по ИБ. По мнению американских властей, Россия представляет собой постоянную угрозу, а главной угрозой для государственных компьютерных сетей и частного сектора США назван Китай. Как видим, в течение двух десятков лет Вашингтоном были приняты три доктринальных документа в сфере кибербезопасности.

Стратегии ИБ в западных странах год от года носят все более агрессивный и наступательный характер. Как заявил в ноябре 2022 года бывший еврокомиссар по вопросам внутреннего рынка Тьерри Бретон, киберпространство стало новой сферой ведения боевых действий, где нужно уметь «предвидеть, защищаться и нападать». ЕС нацелен на создание развитой системы центров раннего предупреждения кибернападений, располагающих обширными ресурсами, достижение технологической независимости и доминирование союза в кибернетической сфере.

В ЕС дорожная карта технологического законодательства относительно ясна: большинство соответствующих нормативных актов и законов уже приняты, включая обновленную Директиву о сетях и информационных системах (NIS2), Закон о цифровой операционной устойчивости (DORA), Закон о киберустойчивости (CRA) и Закон об искусственном интеллекте. Европейская комиссия выпустила документ по безопасности — ProtectEU, который включает раздел по кибербезопасности. Большое значение в нем придается повышению устойчивости к гибридным угрозам и другим враждебным действиям путем усиления защиты критически важной инфраструктуры. Отмечается дефицит специалистов, для преодоления которого ЕК будет работать с государствами-членами в рамках программы Union of Skills, в частности, за счет запуска Академии навыков кибербезопасности.

В Национальной стратегии кибербезопасности Великобритании (2022 г.) обозначена цель повысить к 2025 году устойчивость важнейших функций правительства к кибератакам. При этом все организации в государственном секторе должны быть устойчивы к известным уязвимостям и методам атак не позднее 2030 года. В стратегии упоминаются Национальные киберсилы (NCF), созданные в 2020 году. Они отвечают за проведение операций в киберпространстве с целью борьбы с теми, кто может причинить вред Великобритании или ее союзникам, а также за продвижение ее интересов внутри страны и за рубежом. Стратегия направлена на то, чтобы переложить бремя кибербезопасности с отдельных граждан на организации, которые «лучше всего подходят» для управления киберрисками.

Винсент Дивайн, глава службы безопасности правительства Соединенного Королевства в свое время заявил: «Мы вложили значительные средства в наши наступательные кибервозможности через Национальную наступательную киберпрограмму (National Offensive Cyber Programme), а теперь и в новые Национальные киберсилы (NCF)». За кибербезопасность также отвечают DSIT (Департамент науки, информации и технологий), Министерство внутренних дел и вневедомственный госорган — Национальный центр кибербезопасности (NCSC), который консультирует организации государственного и частного секторов.

В Китае Национальная стратегия безопасности в киберпространстве утверждена в 2016 году. Она направлена на то, чтобы превратить КНР в кибердержаву, продвигать упорядоченное, безопасное и открытое киберпространство. Стратегия рассматривает кибербезопасность как «новую территорию национального суверенитета», знаменуя собой новый шаг в «рационализации киберконтроля». ИБ определяется как основа стабильности в стране, для поддержания которой необходимо предотвращать любые виды вмешательства в политическую, социальную и культурную жизнь государства. Документ определяет в качестве главного проекта «Золотой щит», представляющий собой систему фильтрации интернет-контента в Китае.

Кроме того МИД КНР в 2017 году была принята Стратегия международного сотрудничества в киберпространстве (International Strategy of Cooperation on Cyberspace), в которой содержится призыв к международному сообществу объединиться для диалога и сотрудничества, а также построения мирного, безопасного и открытого киберпространства. В предисловии к Стратегии председатель Си Цзиньпин заявил, что «странам следует активизировать общение, расширять консенсус и углублять сотрудничество для совместного создания сообщества общего будущего в киберпространстве».

Помимо вышеназванных национальные стратегии кибербезопасности приняты в таких странах, как Австралия, Канада, Индия, Сингапур, Япония и даже в эмирате Дубай (ОАЭ). Подобные документы действуют и в государствах, только вставших на путь цифровизации — например, в Гватемале, Никарагуа, Нигерии и Фиджи. Как отмечает экспертно-аналитический центр группы компаний InfoWatch, собственные стратегии кибербезопасности разработаны более чем у ста стран мира.

Быть «на одной волне» с другими в киберсфере

Попытка создать аналогичный доктринальный документ была предпринята и в России. В ноябре 2013 года в Совете Федерации прошли парламентские слушания, посвященные проекту Концепции стратегии кибербезопасности Российской Федерации. По словам членов СФ, назрела острая необходимость сформулировать прозрачную государственную политику минимизации рисков, которые возникают с развитием информационных технологий.

В документе отмечалось, что существующее регулирование не охватывает в необходимой мере систему отношений, возникающих в рамках киберпространства как элемента информационного пространства. По мнению авторов документа, регулирование киберпространства исключительно на национальном уровне невозможно в силу его трансграничности. Поэтому в российских документах, посвященных ИБ, было бы полезно ввести термин «кибербезопасность»: это позволит быть «на одной волне» с другими, способствуя участию в международной нормотворческой работе в сфере ИБ.

Как сказано в проекте Концепции, задачей Стратегии является организация поддержки отечественных разработчиков ПО в соответствии с включенными в Доктрину ИБ России положениями о необходимости развития современных информационных технологий и отечественной индустрии информации. В ней были даны определения для таких важных понятий, как «киберпространство» и «кибербезопасность». Целью Стратегии было объявлено обеспечение кибербезопасности личности, организации и государства в РФ путем определения системы приоритетов, принципов и мер в области внутренней и внешней политики.

По каким-то причинам дело не пошло дальше выработки проекта Концепции. Между тем в ходе различных конференций можно слышать горячие споры экспертов и практиков киберсферы, чьи мнения порой диаметрально противоположны. Дискуссии могут идти вокруг таких вопросов, как нормативное регулирование кибербезопасности, обеспечение кадрами, защита персональных данных, внедрение ИИ, импортозамещение и многое другое.

Подводя итог, можно привести еще несколько доводов в пользу принятия российского варианта киберстратегии. Во-первых, важно выделить из сферы ИБ, охватывающей широкий круг информационных угроз, более специфический сектор кибербезопасности со свойственными именно ему задачами защиты компьютерных систем, сетей, ПО и данных от цифровых угроз. Во-вторых, в процессе выработки стратегии можно достичь определенного консенсуса между государством, бизнесом и гражданами в установлении приоритетов в киберсфере. В-третьих, только выделив кибербезопасность как отдельное направление, получится обозначить ответственные структуры — будь то на уровне государства, объединений или научных центров. Когда все эти условия будут выполнены, мы будем находиться в намного более выгодном положении для своевременного, гибкого реагирования на возникающие угрозы, а также активного вовлечения в выработку международных договоренностей в киберсфере.

Прогресс в информационных технологиях ускоряется, угрозы в киберсфере растут, и выстраивание стратегической линии и «железной» логики кибербезопасности — особенно с учетом непримиримой позиции Запада, ведущей против нас гибридную войну — становится жизненно необходимым. Мы не смогли за десять с лишним лет продвинуться в создании Стратегии кибербезопасности, тогда как в недружественных нам странах Запада ее обновляют регулярно, реагируя на запросы общества и требования безопасности. К слову сказать, в Евросоюзе уже запустили Квантовую стратегию, с тем чтобы стать к 2030 году мировым лидером в квантовой области. Для нас это еще один звоночек (а таких сигналов и так было немало), который напоминает о риске отставания России в данной сфере и побуждает к действиям в пользу выстраивания цельной системы безопасности, включая востребованную временем киберстратегию.