В вопросе о критической инфраструктуре не хватает ясности
Современные предприятия энергетического сектора в своей работе всё больше полагаются на автоматизированные системы управления производственными процессами, и это открывает путь для оказания вредоносных кибервоздействий. Поэтому обеспечение информационной безопасности критически важных инфраструктур – в том числе предприятий генерации, передачи и распределения электроэнергии и энергоносителей — одна из важнейших задач любого развитого государства.
На сегодняшний день международным сообществом не выработано общепринятого универсального определения критической инфраструктуры, но определения, зафиксированные в документах различных государств и объединений, во многом пересекаются и не противоречат друг другу.
Проблема выработки общих определений существует не только на международном, но и на национальном уровне. Так, в США глоссарий Национального института стандартов и технологий (NIST) содержит пять похожих, но не идентичных определений критической инфраструктуры, которые используются в различных документах. К примеру в документе NIST «Платформа для улучшения кибербезопасности критически важной инфраструктуры» от апреля 2018 г. приведено следующее определение: «Физические или виртуальные системы и активы, которые настолько жизненно важны для Соединенных Штатов, что частичное или полное нарушение их работоспособности негативным образом скажется на кибербезопасности, национальной экономической безопасности, здоровье или безопасности граждан».
В Директиве Европейского совета 2008/114/EC критическая инфраструктура определена как актив, система или ее часть, расположенная на территории ЕС и имеющая важное значение для поддержания жизненно важных социальных функций, здоровья, безопасности, экономики или благополучия населения, нарушение работы или уничтожение которой окажет значительное влияние как минимум на два государства-члена.
В ЕС кроме того принято определение «оператор основных услуг», под которым понимается государственная или частная организация, предоставляющая услугу, имеющую важное значение для поддержания иных критически важных услуг или хозяйственной деятельности, осуществление которых зависит от сети информационных систем, для предоставления которых возможный инцидент будет иметь серьезные разрушительные последствия. В число операторов основных услуг входят предприятия по производству, передаче и распределения электроэнергии, операторы нефтедобывающих, нефтеперерабатывающих и очистных сооружений, хранения и транспортировки нефти, операторы системы распределения, передачи, хранения природного газа.
В России под критически важными объектами инфраструктуры понимаются объекты, нарушение (или прекращение) функционирования которых приводит к потере управления, разрушению инфраструктуры, необратимому негативному изменению (или разрушению) экономики страны, субъекта Российской Федерации либо административно-территориальной единицы или существенному ухудшению безопасности жизнедеятельности населения, проживающего на этих территориях, на длительный срок.
Очевидно, что приведенные определения отличаются, но сходятся в главном: они признают значимость бесперебойной работы критической инфраструктуры. Кроме этого, все государства признают, что среда информационно-коммуникационных технологий взаимосвязана и взаимозависима. Если раньше существовало четкое разделение на концепции информационной и кибербезопасности (информационная безопасность вместе с информационно-техническими аспектами рассматривает информационно-гуманитарные), то в последние годы наметилось их сближение. Сейчас в рамках концепций кибербезопасности также выделяется угроза информационного воздействия, например на общественное сознание, а в рамках концепции информационной безопасности всё чаще говорят о кибербезопасности, как об отдельном направлении. Формирование общего понимания может стать фундаментом продуктивного взаимодействия и по защите критической инфраструктуры.
Ведущие страны мира уже не первый год выстраивают нормативно-правовые, организационно-технические и административные механизмы обеспечения информационной и кибербезопасности своей критической инфраструктуры. Изучение опыта этих стран и выявление слабых и сильных сторон применяемых ими практик — естественная и полезная научная задача.
В 2018 г. во Французском институте международных отношений был опубликован доклад «Кибербезопасность в энергетическом секторе: сравнительный анализ Европы и США». Несмотря на некоторую устарелость, эта научно-аналитическая работа всё ещё представляет определенный интерес. В ней достаточно обстоятельно рассмотрены отдельные аспекты исследуемой проблематики – в частности, приведен обзор актуальных на тот момент основных документов США и ЕС.
При всех достоинствах этой работы автор делает некоторые допущения, и на их основе — спорные выводы. Отмечая различия в подходах ЕС и США к кибербезопасности критической инфраструктуры в целом и энергетического сектора в частности, он не раскрывает глубинных причин того, почему эти подходы сложились именно так, а не иначе, не рассматривает возможные преграды для реализации предложений. По итогам исследования делается вывод, что совместно разработанные ЕС и США нормы и стандарты могут стать основой для выработки международных норм. При этом автор полностью игнорирует не только очевидные проблемы подобной идеи – в частности, исключение из процесса разработки предполагаемых норм других ключевых игроков, но и достижения, которые уже были сделаны в рамках ООН.
Рассматривая подходы ЕС и США к кибербезопасности энергетического сектора, автор отмечает, что Соединенные Штаты отдают предпочтение стратегии «всеобъемлющей безопасности» с обязательными и подробными правилами для конкретных секторов, которые реализуются учреждениями, обладающими правом на принуждение. В то же время ЕС принял более гибкий подход, который охватывает широкий круг вопросов, оставляя государствам-членам значительную свободу маневра в реализации норм. Далее, автор выделяет сильные и слабые стороны каждого из этих подходов, не указывая при этом, что эти подходы сформировались исходя из сущности взаимоотношений между наднациональными институтами ЕС и отдельными государствами-членами, а также между федеральным правительством США и отдельными штатами.
Полномочия, которые, в соответствии с Конституцией США, делегированы Федеральному правительству, несопоставимы с теми полномочиями, которыми обладают наднациональные институты ЕС. Одновременно можно констатировать, что государства-члены ЕС активно защищают свой государственный суверенитет, особенно в такой области, как энергетика (например, можно привести позицию ФРГ по вопросу строительства газопровода «Северный поток – 2»). Этого очевидного наблюдения достаточно, чтобы осознать, насколько трудно будет реализовать некоторые из предложений автора исследования – например, ввести новые нормы кибербезопасности в виде Постановлений ЕС, которые обязательны к исполнению всеми странами-членами. Кроме того, в объединенной Европе реализуется концепция «многих скоростей» — далеко не все государства могут быть готовы к введению тех, или иных стандартов кибербезопасности.
Основная критика доклада относится к предложениям по развитию международного сотрудничества. Несмотря на нейтральное название доклада, из текста следует, что автор является сторонником идеи евроатлантизма, и поэтому неудивительно, что, продвигая взаимодействие между государствами, он полностью игнорирует Россию и другие страны-поставщики энергоносителей и электроэнергии в страны ЕС. Автор убежден, что общие трансатлантические стандарты могут стать строгими международными нормами кибербезопасности. У международного сообщества уже есть опыт разработки подобных норм в виде Будапештской конвенции по противодействию киберпреступности. Несмотря на весь позитивный опыт её применения, существенные недостатки так и не позволили ей стать универсальным документом. Один из главных недостатков — концептуальный. Конвенция была разработана странами Европы для стран Европы и учитывает европейскую правовую и культурную специфику, но не учитывает особенности третьих стран. (Так, статья 32 о трансграничном доступе к данным рассматривается рядом государств, в том числе Россией, как нарушающая национальный суверенитет).
Разные подходы
Нет никаких сомнений, что Россия и другие страны мира играют значительную роль в энергосистеме ЕС. Согласно статистическим данным, в 2000–2018 гг. зависимость Евросоюза от импорта энергоносителей только возрастала, достигая 58,2 % в 2018 г. Автор совершенно справедливо отмечает, что взаимосвязанность предприятий как на физическом уровне, так и на уровне информационной инфраструктуры несет в себе значительные риски, и сотрудничество государств необходимо. Принимая во внимание указанные факторы, логично было бы развивать общие стандарты с теми государствами, чьи экономические интересы и интересы обеспечения безопасности критической инфраструктуры совпадают. Так, в 2018 г. Россия была лидером по экспорту в ЕС угля, нефти, и природного газа, в то время как США входили в пятерку стран-экспортеров в ЕС только по каменному углю. Автор исследования, очевидно, исходит из другой логики — трансатлантической солидарности, которая, как показал тот же «Северный поток – 2», не всегда отвечает интересам отдельных стран-членов ЕС.
Также никакого внимания не уделяется достижениям Группы правительственных экспертов ООН, хотя многие европейские государства и США принимали участие в её работе. В Докладе ГПЭ 2015 г. содержатся согласованные нормы, правила и принципы ответственного поведения государств, ряд из которых имеют прямое отношение к безопасности критической инфраструктуры. Например, государства должны «принимать надлежащие меры для защиты своей критически важной инфраструктуры от угроз в сфере ИКТ, принимая во внимание резолюцию 58/199
Генеральной Ассамблеи о создании глобальной культуры кибербезопасности и защите важнейших информационных инфраструктур и другие соответствующие резолюции»; государства также должны «удовлетворять соответствующие просьбы об оказании помощи, поступающие от других государств, критически важная инфраструктура которых становится объектом злонамеренных действий в сфере ИКТ». Так как нормы, правила и принципы были согласованы консенсусом, есть все основания полагать, что они могут быть использованы в качестве основы при разработке универсальных стандартов кибербезопасности критически важных объектов.
Представляется, что защита взаимосвязанной и взаимозависимой критически важной инфраструктуры — это общая задача развитых государств. Принимая во внимание текущую напряженную ситуацию на международной арене и уровень недоверия между крупнейшими игроками, решение этой задачи только в рамках региональных объединений (без учета интересов всех заинтересованных стран и акторов) является контрпродуктивным, так как способно обострить возможные противоречия. Эта сфера представляет общий интерес, и должны быть предприняты шаги по её деполитизации.
Актуальные события и необычные детали
Принимая во внимание то, что с момента публикации доклада прошло более двух лет, следует обратить внимание на основные изменения, которые произошли в ландшафте кибербезопасности критической инфраструктуры в США и ЕС за этот период. Факты говорят о том, что трансатлантическое взаимодействие — не единственный возможный путь развития.
В апреле 2021 г. было объявлено о старте пилотного проекта широкой инициативы администрации Дж. Байдена по кибербезопасности, которая должна охватить ряд критически важных секторов инфраструктуры. Конкретно это выразилось в начале реализации 100-дневного плана по повышению кибербезопасности промышленных систем управления электроэнергетических компаний и обеспечению безопасности цепочки поставок энергетического сектора. В рамках инициативы в целом предполагается поощрять владельцев и операторов внедрять меры или технологии, повышающие возможность обнаружения, смягчения и криминалистики кибератак. Кроме того, будут развернуты технологии и системы, которые позволят обеспечить большую ситуационную осведомленность и возможность реагирования в режиме, близком к реальному времени.
В целях реализации плана Министерство энергетики запросило у электроэнергетических компаний, научных кругов, исследовательских лабораторий, государственных учреждений и других заинтересованных сторон комментарии, которые позволят оценить, какие новые меры необходимы для дальнейшего укрепления защиты критически важной инфраструктуры от злонамеренной киберактивности, а также для укрепления внутренней производственной базы.
Уже в мае этого года, когда произошла значительная по последствиям кибератака на трубопровод Colonial Pipeline, появилась возможность оценить эффективность работы администрации Байдена в сфере защиты критической инфраструктуры. Были приняты исчерпывающие ответные меры, направленные на обеспечение безопасности поставок энергоносителей. ФБР и Агентство кибербезопасности и защиты инфраструктуры вместе с Министерством энергетики распространили среди владельцев и операторов критически важной инфраструктуры информацию, способствующую выявлению заражения вирусом-вымогателем и смягчению его последствий.
Через несколько дней после кибератаки, американский президент подписал указ, направленный на повышение кибербезопасности страны. Документом предусмотрен ряд мер, направленных на устранение барьеров для обмена информацией об угрозах между правительством и частным сектором, модернизацию и внедрение более строгих стандартов кибербезопасности в федеральном правительстве, повышение безопасности цепочки поставок программного обеспечения. Кроме того, указ предписывает создание Совета по анализу кибербезопасности для изучения крупных инцидентов и выпуск стандартного руководства по реагированию на них, развитие системы обнаружения угроз кибербезопасности в сетях федерального правительства, а также развитие возможностей расследования инцидентов и исправления их последствий. В принципе, кроме создания стандартизированного руководства по реагированию и Совета по анализу кибербезопасности, все предлагаемые меры носят скорее эволюционный, а не революционный характер.
Атака на Colonial Pipeline примечательна несколькими необычными деталями. Во-первых, Джо Байден заявил: нет доказательств того, что замешано российское правительство, хотя и не обошелся без оговорки, есть некоторые свидетельства того, что злоумышленники находятся в России и на ней лежит определенная ответственность по борьбе с ними. Во-вторых, СМИ сообщили, что хакерская группировка, взявшая на себя ответственность за эту кибератаку, заявила: «Мы не участвуем в геополитике, не нужно связывать нас с определенным правительством и искать... наши мотивы».
Трансатлантизм и Россия
Теперь главное. Тема информационной безопасности и противодействия киберпреступности с высокой долей вероятности будет затронута на предстоящем саммите глав России и США в июне. Президент Байден, в частности, заявил: «Мы работаем над тем, чтобы создать некий международный стандарт, согласно которому, когда правительства знают, что с их территории осуществляется преступная деятельность, мы все противодействуем этим преступным группам. Я полагаю, что это станет одним из вопросов, о которых я буду говорить с президентом Путиным».
Такая постановка вопроса позволяет с осторожным оптимизмом предположить, что России и США удастся достичь договоренностей по отдельным вопросам кибербезопасности.
Что же касается ЕС, то Еврокомиссия в декабре 2020 г. представила новую стратегию кибербезопасности, в которой критической инфраструктуре уделяется особое значение. В частности, было предложено разработать новые интегрированные принципы защиты всей инфраструктуры стран ЕС. Также будет разработана система наказаний и крупных штрафов для европейских операторов и компаний, которые будут пренебрегать выполнением европейских требований по кибербезопасности.
Важно обратить внимание и на ряд других концептуальных аспектов документа.
Во-первых, Стратегия излагает меры, направленные на достижение технологического суверенитета, который должен быть основан на устойчивости всех подключенных услуг и продуктов.
Во-вторых, запланировано формирование оборонного потенциала. Стратегия призывает государства-члены придать дополнительный импульс развитию современных возможностей киберзащиты посредством различных политик и инструментов ЕС. Для этого потребуется уделить внимание разработке и использованию таких ключевых технологий, как искусственный интеллект, шифрование и квантовые вычисления.
Необходимо дальнейшее развитие сотрудничества между государствами-членами в области киберзащиты – в том числе с использованием потенциала Постоянного структурного сотрудничества по вопросам безопасности и обороны и Европейского фонда развития.
В-третьих, более активными становятся действия на международной арене. ЕС будет продвигать, координировать и консолидировать позиции государств-членов на международных форумах и выработает общую позицию в отношении применения международного права в киберпространстве. В рамках этого подхода в ООН уже представлена Программа действий по развитию ответственного поведения государств в киберпространстве. Она предлагается как платформа для сотрудничества и обмена передовым опытом в рамках ООН и создания механизма для применения на практике норм ответственного поведения государств. Для продвижения своих интересов ЕС активизирует свое участие и лидерство в международных процессах стандартизации, а также расширяет свое представительство в международных и европейских органах по стандартизации и в других организациях по разработке стандартов.
В-четвертых, ЕС продолжит наращивать потенциал на Западных Балканах и в странах-соседях ЕС, а также в странах-партнерах, переживающих быстрое цифровое развитие. ЕС будет поддерживать развитие законодательства и политики в этих странах в соответствии с соответствующими политиками и стандартами ЕС в области кибердипломатии.
Перечисленные положения Стратегии свидетельствуют о том, что ЕС стремится стать значимым самостоятельным центром, формирующим глобальную киберповестку, в том числе и по вопросам безопасности критической инфраструктуры. Можно предположить, что импульсом для этого намерения стала политика Д. Трампа в отношении ЕС и НАТО. Но на момент принятия документа выборы 2020 г. в США уже состоялись, и то, что документ был принят в таком виде, говорит о серьёзности намерений объединенной Европы. Обращает на себя внимание и тот факт, что в числе стран, ставших соавторами Программы действий по развитию ответственного поведения государств в киберпространстве, нет ни России, ни США – это также можно расценивать, как желание ЕС быть более самостоятельным в кибервопросах.
Трансатлантический путь — не единственно возможный, и он, как минимум, не должен отрицать возможность сотрудничества с другими центрами силы — как отдельными государствами, так и объединениями. Известно, что чем больше сторон участвует в переговорах, тем сложнее договориться. Поэтому, взаимодействие между различными объединениями, каждое из которых имеет общую позицию, может оказаться более продуктивным. Главное условие подобной работы — соблюдение равноправия сторон и взаимное уважение интересов.