Ведущие кибердержавы мира впервые согласились на ограничение своих действий в информационном пространстве. Это следует из доклада группы правительственных экспертов ООН по международной информационной безопасности, оказавшегося в распоряжении "Ъ". В соответствии с договоренностями государства обязуются использовать кибертехнологии исключительно в мирных целях: среди прочего, они не будут атаковать объекты критически важной инфраструктуры друг друга (АЭС, банки) и вставлять "закладки" в IT-продукцию, но будут бороться с попытками хакеров осуществлять диверсии с их территории. Впрочем, пока эти нормы носят лишь добровольный характер. В будущем Россия надеется сделать их обязательными.
В распоряжении "Ъ" оказался доклад группы правительственных экспертов ООН в сфере международной информационной безопасности. В эту структуру входят представители 20 стран, включая Россию, США, Китай, Великобританию, Францию, Бразилию, Японию, Южную Корею и Израиль. Группа собирается уже третий раз, но лишь сейчас ей удался долгожданный прорыв: в докладе, который уже представлен генсеку ООН, государства впервые согласились на ограничение своих действий в киберпространстве.
Россия о необходимости принятия норм поведения государств в киберпространстве заявила еще в 2011 году (см. "Ъ" от 23 сентября 2011 года). При этом власти РФ пытались не только оградить свои ресурсы от киберугроз в узком понимании этого термина (диверсий в отношении программного обеспечения и "железа"), но и поставить заслон на пути использования интернет-технологий в военно-политических целях (милитаризация киберпространства, дестабилизация режимов). Западные же страны (прежде всего США) до недавнего времени ни о каких правилах поведения и слышать не хотели. В российских инициативах они видели лишь попытку установления большего контроля над интернетом и желание ограничить киберпотенциал других стран.
Прийти к компромиссу страны заставило растущее количество киберугроз. Как сказано в докладе, "в глобальной среде информационно-коммуникационных технологий (ИКТ) прослеживаются тенденции, вызывающие озабоченность, включая резкое увеличение количества инцидентов, связанных со злонамеренным использованием подобных технологий государствами и негосударственными игроками".
Особую тревогу у экспертов вызывает милитаризация киберпространства. Также в документе указывается на "рост вероятности использования ИКТ в террористических целях".
Пытаясь снизить возникающие риски, государства условились "поощрять использование ИКТ в мирных целях и предотвращать конфликты, возникающие в результате их применения". В частности, они обязуются не осуществлять кибератаки на объекты критически важной инфраструктуры друг друга. Речь идет о таких объектах, как АЭС, банки, системы управления транспортом или водоснабжением.
Также страны согласились не вставлять вредоносные "закладки" в IT-продукцию. О том, что спецслужбы США активно пользуются этим способом достижения своих целей, стало известно из разоблачений Эдварда Сноудена.
В одном из опубликованных им документов под грифом "совершенно секретно" рассказывается о том, как сотрудники одного из подразделений Агентства национальной безопасности (АНБ) США перехватывают посылки с купленными кем-то компьютерами для установки в них вредоносных программ. Перехват осуществляется в том случае, если техника куплена человеком или организацией, представляющими интерес для спецслужб США. Посылка перенаправляется в секретное место, где сотрудники АНБ ее вскрывают, внедряют в ее содержимое программные и аппаратные средства контроля и управления, а затем аккуратно запаковывают и отправляют адресату. Как следует из документа, подобные операции позволяют спецслужбам США получать доступ к самым труднодоступным "мишеням". В частности, таким образом американцам удалось взломать Сирийское телекоммуникационное агентство. Согласно документам из архива Сноудена, АНБ размещало шпионское программное обеспечение на компьютерах, жестких дисках, маршрутизаторах и других устройствах таких компаний, как Cisco, Dell, Western Digital, Seagate, Maxtor, Samsung и Huawei.
Отныне такие действия поставлены вне закона. "Государства должны принимать целесообразные меры для обеспечения целостности сети поставок с тем, чтобы конечные пользователи могли быть уверенными в безопасности ИКТ-продукции. Также они должны стремиться предотвращать распространение сложных вредоносных ИКТ-инструментов и методов и использование скрытых вредоносных функций",— сказано в докладе правительственных экспертов ООН.
В соответствии с докладом государства также обязуются впредь огульно не обвинять друг друга в кибератаках: "Обвинения государств в организации и осуществлении противоправных деяний должны быть доказаны". Также они должны прилагать усилия по борьбе с хакерами, осуществляющими кибератаки с их территории или через нее.
У согласованных норм поведения государств, впрочем, есть один изъян: они не являются юридически обязующими. "Сам термин "норма" может означать как кодификацию уже принятой в обществе, устойчивой модели поведения, так и желаемую модель поведения, к которой следует стремиться. В этом смысле это поступательное движение к киберстабильности в русле "тактики малых шагов" от фиксации признанных правил поведения в области использования ИКТ к последующему юридическому их закреплению,— пояснила "Ъ" координатор программы ПИР-Центра "Глобальное управление интернетом и международная информационная безопасность" Александра Куликова.— На данный момент договоренность о некоторых нормах поведения государств может быть в чем-то скорее декларативной мерой, чем оперативной. И это нормально. Путь к юридически обязывающему документу возможен лишь при успешном прохождении этапа добровольного соблюдения договоренностей и проработки их реализации". По словам эксперта, с учетом геополитической напряженности в мире и дефицита доверия различных игроков в области ИКТ друг к другу этот путь "наиболее реалистичный".
Как рассказал "Ъ" спецпредставитель президента РФ по международной информационной безопасности, посол по особым поручениям МИД РФ Андрей Крутских (см. интервью с ним на этой же странице), "в идеале Россия предпочла бы юридически обязывающую международную конвенцию под эгидой ООН". "Но мы понимаем, что для такого документа ряд наших западных партнеров пока еще не созрел. Тем не менее о базовых правилах поведения нужно договариваться уже сегодня",— отметил он.