В распоряжении "Ъ" оказался доклад группы правительственных экспертов ООН в сфере международной информационной безопасности. В эту структуру входят представители 20 стран, включая Россию, США, Китай, Великобританию, Францию, Бразилию, Японию, Южную Корею и Израиль. Группа собирается уже третий раз, но лишь сейчас ей удался долгожданный прорыв: в докладе, который уже представлен генсеку ООН, государства впервые согласились на ограничение своих действий в киберпространстве.
Россия о необходимости принятия норм поведения государств в киберпространстве заявила еще в 2011 году. При этом власти РФ пытались не только оградить свои ресурсы от киберугроз в узком понимании этого термина (диверсий в отношении программного обеспечения и "железа"), но и поставить заслон на пути использования интернет-технологий в военно-политических целях (милитаризация киберпространства, дестабилизация режимов). Западные же страны (прежде всего США) до недавнего времени ни о каких правилах поведения и слышать не хотели. В российских инициативах они видели лишь попытку установления большего контроля над интернетом и желание ограничить киберпотенциал других стран.
Прийти к компромиссу страны заставило растущее количество киберугроз. Как сказано в докладе, "в глобальной среде информационно-коммуникационных технологий (ИКТ) прослеживаются тенденции, вызывающие озабоченность, включая резкое увеличение количества инцидентов, связанных со злонамеренным использованием подобных технологий государствами и негосударственными игроками".
Особую тревогу у экспертов вызывает милитаризация киберпространства. Также в документе указывается на "рост вероятности использования ИКТ в террористических целях".
Пытаясь снизить возникающие риски, государства условились "поощрять использование ИКТ в мирных целях и предотвращать конфликты, возникающие в результате их применения". В частности, они обязуются не осуществлять кибератаки на объекты критически важной инфраструктуры друг друга. Речь идет о таких объектах, как АЭС, банки, системы управления транспортом или водоснабжением.
Также страны согласились не вставлять вредоносные "закладки" в IT-продукцию. О том, что спецслужбы США активно пользуются этим способом достижения своих целей, стало известно из разоблачений Эдварда Сноудена.
В одном из опубликованных им документов под грифом "совершенно секретно" рассказывается о том, как сотрудники одного из подразделений Агентства национальной безопасности (АНБ) США перехватывают посылки с купленными кем-то компьютерами для установки в них вредоносных программ. Перехват осуществляется в том случае, если техника куплена человеком или организацией, представляющими интерес для спецслужб США. Посылка перенаправляется в секретное место, где сотрудники АНБ ее вскрывают, внедряют в ее содержимое программные и аппаратные средства контроля и управления, а затем аккуратно запаковывают и отправляют адресату. Как следует из документа, подобные операции позволяют спецслужбам США получать доступ к самым труднодоступным "мишеням". В частности, таким образом американцам удалось взломать Сирийское телекоммуникационное агентство. Согласно документам из архива Сноудена, АНБ размещало шпионское программное обеспечение на компьютерах, жестких дисках, маршрутизаторах и других устройствах таких компаний, как Cisco, Dell, Western Digital, Seagate, Maxtor, Samsung и Huawei.
Отныне такие действия поставлены вне закона. "Государства должны принимать целесообразные меры для обеспечения целостности сети поставок с тем, чтобы конечные пользователи могли быть уверенными в безопасности ИКТ-продукции. Также они должны стремиться предотвращать распространение сложных вредоносных ИКТ-инструментов и методов и использование скрытых вредоносных функций",— сказано в докладе правительственных экспертов ООН.
В соответствии с докладом государства также обязуются впредь огульно не обвинять друг друга в кибератаках: "Обвинения государств в организации и осуществлении противоправных деяний должны быть доказаны". Также они должны прилагать усилия по борьбе с хакерами, осуществляющими кибератаки с их территории или через нее.
У согласованных норм поведения государств, впрочем, есть один изъян: они не являются юридически обязующими. "Сам термин "норма" может означать как кодификацию уже принятой в обществе, устойчивой модели поведения, так и желаемую модель поведения, к которой следует стремиться. В этом смысле это поступательное движение к киберстабильности в русле "тактики малых шагов" от фиксации признанных правил поведения в области использования ИКТ к последующему юридическому их закреплению,— пояснила "Ъ" координатор программы ПИР-Центра "Глобальное управление интернетом и международная информационная безопасность" Александра Куликова.— На данный момент договоренность о некоторых нормах поведения государств может быть в чем-то скорее декларативной мерой, чем оперативной. И это нормально. Путь к юридически обязывающему документу возможен лишь при успешном прохождении этапа добровольного соблюдения договоренностей и проработки их реализации". По словам эксперта, с учетом геополитической напряженности в мире и дефицита доверия различных игроков в области ИКТ друг к другу этот путь "наиболее реалистичный".
Как рассказал "Ъ" спецпредставитель президента РФ по международной информационной безопасности, посол по особым поручениям МИД РФ Андрей Крутских , "в идеале Россия предпочла бы юридически обязывающую международную конвенцию под эгидой ООН". "Но мы понимаем, что для такого документа ряд наших западных партнеров пока еще не созрел. Тем не менее о базовых правилах поведения нужно договариваться уже сегодня",— отметил он.
Елена Черненко