Cybersecurity as the main direction of legal norms development in the digital economy: international trends

ART 193073

UDK 340.111.52

Authors:

Ivan Shishigin,

Irina Nikolaeva

Abstract. The international activity of large multinational companies and states in the sphere of legal regulation of information security is an actual trend of international cooperation in the context of digital economy development. The purpose of the article is to analyze recent international conferences and events and formulate the basic principles of cybersecurity in today's global information environment. The authors make the conclusions on the need for further internal legislative regulation of the information security in the Russian Federation.

Keywords: internet, information security, legal regulation, principles of cybersecurity

Full text

Виртуальный мир давно уже стал неотъемлемой частью современного общества. С другой стороны, правовые отношения, реализуемые в контексте «Всемирной паутины», продолжают требовать правового регулирования. Так, в существующем информационном пространстве одни из самых значимых этические проблемы, связанные с информационным неравенством, нарушениями неприкосновенности личной жизни, этикой поведения в сети Интернет и т. п. В последнее время во всех странах с развитой цифровой экономикой активно обсуждают и продвигают новые интернет-нормы для защиты своего киберпространства. В решении этих вопросов этики и права заинтересованы не только государства, но и крупные компании [1].

Информационная безопасность уже международное понятие. Под ним подразумевают комплекс специальных технических и организационных мер, которые направлены на обеспечение защиты данных, целостности информации и ее доступности, специальные правила для управляемости массивов данных и информации. Структурные элементы информационной безопасности на международном и внутригосударственном уровнях включают:

- защиту сведений, содержащих государственную или коммерческую тайну;

- защиту серверов государственных учреждений и систем жизнеобеспечения;

- защиту безопасности данных как набора аппаратных и программных средств, которые обеспечивают сохранность информации от неавторизированного доступа, затруднения доступа, разрушения и перепрограммирования;

- реализацию системы мер, направленных на защиту от целенаправленного информационного воздействия на субъект нападения, его психологическое состояние или имидж на международной арене [2].

В настоящий момент глобальное информационное пространство представляет собой развитую систему взаимоотношений различных субъектов с разными потребностями, возможностями и целями. Такое интернет-пространство требует определенного регулирования содержания и нормативного закрепления прав и обязанностей. Большое количество субъектов также вовлечено в процесс управления интернет-средой, основными из которых являются гражданское общество, бизнес и государство. В целом в проблемах регулирования интернет-пространства можно выделить два основных направления: содержательное и техническое. Как правило, техническое направление информационной безопасности в большей своей части зависит от объемов затраченных на нее средств, в то время как содержательное направление кибербезопасности является неким «мерилом» уровня развития гражданского общества, а именно вопросов этики поведения людей в информационном пространстве. В данной статье будут рассмотрены основные международные тренды данного направления кибербезопасности.

До настоящего времени большинство стран развивало самостоятельные правовые нормы. Так, в нашей стране фундаментом правового регулирования отношений в интернет-сфере является Конституция РФ. Кроме того, основным федеральным законом, регулирующим взаимоотношения в сфере информационных технологий, является Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ (ред. от 01.05.2019 г.). Данный нормативно-правовой документ Российской Федерации описывает юридические определения и понятия в сфере информационных технологий [3]. Этот документ задает правовые принципы регулирования отношений в различных сферах информационных технологий, информации, а также ее защиты. Данный документ регулирует отношения при осуществлении получения, распространении, права на поиск, производство и передачу при использовании информационных технологий [4]. Большую роль играет статья 15, в которой говорится об информации и её передаче без ограничений с использованием интернет-сетей.

Один из самых жестких законов, регулирующих Интернет, принят в Германии под названием NetzDG (Act to Improve Enforcement of the Law in Social Networks (Network Enforcement Act) = «О мерах в отношении социальных сетей»), вступивший в силу 1 января 2018 г., который обязывает крупные сетевые платформы, такие как Facebook, Instagram, Twitter и YouTube, оперативно удалять «незаконный контент», признаваемый таковым по 22 разделам уголовного кодекса [5]. Штраф может достигать до 50 млн евро.

В Китайской Народной Республике действует закон «О кибербезопасности», который регламентирует действия поставщиков сетевых продуктов и услуг по сбору, хранению и обработке пользовательских данных, определяет порядок и специфику обеспечения безопасности информационной инфраструктуры в стратегически важных отраслях. Главной целью принятия закона провозглашается защита национального «киберсуверенитета» КНР. Закон существенно ограничивает анонимность пользователей за счет введения требования об обязательной верификации для доступа к сети [6].

В Великобритании существует целый перечень основных законодательных актов, регулирующих нормы права в сети Интернет:

- Закон «Об истребовании персональных данных». Обязывает операторов хранить данные интернет-пользователей в течение года и предоставлять доступ к ним правоохранительным органам.

- Закон «О регулировании следственных действий». Закон регулирует полномочия государственных органов для осуществления слежки и следствия, а также перехвата сообщений. Позволяет следователям требовать от подозреваемого предоставления доступа к зашифрованным материалам. Закон требует, чтобы крупные провайдеры интернет-услуг установили технические системы перехвата информации.

- Закон «О цифровой экономике». Регулирует порядок воздействия на нарушителей авторских прав в сети Интернет и устанавливает определенные полномочия правообладателей, обязанности провайдеров, ответственность операторов сайтов и пользователей.

- Закон «Об электронных коммуникациях». Контролирует создание независимого регулятора коммуникационного пространства.

На основании вышеперечисленного законодательства правительство Великобритании имеет право определять режим работы систем цифровой передачи данных вплоть до полного отключения.

Также отдельного упоминания заслуживает законодательство США, а именно:

- Закон «О наблюдении за иностранной разведкой». Позволяет вести слежку за пользователями без судебного ордера и предоставляет иммунитет для сотрудничающих компаний.

- Закон «Об авторском праве в цифровую эпоху». Вводит механизм досудебного урегулирования и удаления пиратского контента, ограничения ответственности информационных посредников.

- Закон «О защите детей в Интернете». Позволяет фильтровать интернет-контент в учебных заведениях.

- Закон «Об обмене информацией о киберугрозах». Предназначен для «повышения кибербезопасности в Соединенных Штатах посредством расширенного обмена информацией об угрозах кибербезопасности и для других целей. Закон разрешает обмен информацией о интернет-трафике между государственными органами США и технологическими и производственными компаниями.

- Административный указ (АУ) № 13694 «Блокирование имущества некоторых лиц, осуществляющих значительные злонамеренные действия в киберпространстве», с поправками и кодификацией в соответствии с Законом о противодействии противникам Америки посредством санкций (CAATSA).

- Административный указ (АУ) № 13757 «Принятие дополнительных мер для устранения чрезвычайных ситуаций в стране в отношении значительных злонамеренных действий в киберпространстве» и др.

Несмотря на развитие законотворчества в информационной сфере во всех странах, во всем мире наблюдается постоянный рост количества киберпреступлений. Самые распространенные из них – неправомерный доступ к компьютерной информации (статья 272 УК РФ), создание, использование и распространение вредоносных компьютерных программ (статья 273 УК РФ).

По состоянию на 2019 г. кибербезопасность продолжает оставаться горячей темой как в СМИ, так и в бизнесе. Ежегодный обзор информации об утечке данных в 2018 г., проведенный Центром ресурсов для кражи личных данных (Identity Theft Resource Center), выявил рост числа кибер-инцидентов на 44,7 процента по сравнению с 2016 г. [7] Развиваясь такими темпами, киберпреступность грозит стать еще более разрушительной не только для государственных структур, но и для бизнеса. Для компаний по всему миру возникает необходимость усиления реализации передовых стратегий защиты данных. Именно поэтому основным трендом сегодня становится международное сотрудничество, объединяющее как страны, так и крупные компании, в сфере информационной безопасности в глобальном информационном пространстве.

Так, в период 27–29 сентября 2017 г. генеральное консульство Швейцарии в Сан-Франциско совместно с американскими, швейцарскими и международными партнерами организовало конференцию Crisis Code: Humanitarian Protection in the Digital Age = Кризисный код: гуманитарная защита в эпоху цифровых технологий в швейцарском Сан-Франциско. Цель данной конференции состояла в том, чтобы коллективно изучить международные гуманитарные законы и законы, стандарты и нормы в области прав человека в свете новых киберреальностей [8, 9].

Чуть позже, 9 ноября 2017 г., в Женеве в ходе серий лекций Current Internet governance challenges: What's next? = Текущие проблемы управления Интернетом: что дальше? [10] президент транснациональной корпорации Microsoft Брэд Смит рассказал о необходимости и важности интернет-технологий для реализации целей в области устойчивого развития интернет-пространства. Дискуссии с Брэдом Смитом предшествовала сессия «Предотвращение киберконфликтов: нужен ли кибер-договор?», организованная на конференции RSA в феврале 2017 г. [11] Microsoft призвала страны принять аналог Женевской цифровой конвенции, которая должна «обязать правительства избегать кибератак, нацеленных на частный сектор или критически важную инфраструктуру, или использования взлома для кражи интеллектуальной собственности, корпорация привлекла внимание сообщества к цифровой политике. Брэд Смит выдвинул на первый план идею о том, что в поисках более безопасного и стабильного Интернета интернет-компании должны взаимодействовать с правительствами и совместно разрабатывать разумные меры. Это предложение породило много актуальных вопросов, связанных с будущим цифрового управления, в частности в области информационной безопасности. Согласно предложению Microsoft, конвенция должна мотивировать государства придерживаться единых согласованных норм.

20 декабря 2017 г. в ходе открытого форума Geneva's Platform for Global Digital Governance, посвященного Женевской платформе глобального цифрового управления, на форуме по управлению глобальной информационной сетью Интернет была представлена «Женевская инициатива по развитию потенциала в области цифровой политики», которая продвигает инновационные решения по развитию потенциала для использования цифровых возможностей и смягчения возможных рисков [12].

В апреле 2018 г. 34 технологические компании, в том числе Microsoft, Facebook, LinkedIn, Arm, ABB, Telefonica, Cisco и Dell и многие другие, договорились о техническом соглашении о кибербезопасности (CYBERSECURITY TECH ACCORD) [13], публично взяв на себя обязательство защищать и расширять возможности всех клиентов по всему миру от злонамеренных атак со стороны киберпреступных предприятий и национальных государств, а также для повышения безопасности, стабильности и устойчивости киберпространства.

Четыре принципа технической безопасности, которые совместно сформулировали ведущие компании ИТ-индустрии, можно обобщить следующим образом:

Более сильная защита: защита всех пользователей и клиентов повсюду, в том числе посредством разработки продуктов и услуг, которые отдают приоритет безопасности, конфиденциальности, целостности и надежности.
Без обид: противодействовать кибератакам из любой точки мира, защищая от подделки и использования возможных уязвимостей в продуктах и услугах и не помогая правительствам проводить кибератаки против физических и юридических лиц.
Наращивание потенциала: оказание помощи пользователям, клиентам и разработчикам в усилении защиты кибербезопасности путем предоставления информации и инструментов для борьбы с угрозами, а также поддержки участников в наращивании потенциала кибербезопасности.
Коллективные действия: сотрудничество друг с другом и с группами единомышленников в целях повышения кибербезопасности, улучшения технического сотрудничества, скоординированного раскрытия уязвимостей, обмена угрозами и информацией, минимизации уровней вредоносного кода, внедряемого в киберпространство, и гражданских усилий по реагированию кибератак.

По состоянию на 24 июня 2019 г. 105 компаний ИТ-сферы уже подписали данное соглашение о кибербезопасности. Так, из компаний «большой пятерки» Microsoft и Facebook поддержали соглашение, а Apple, Amazon и Google пока нет.

До этого, в феврале 2018 г., на Мюнхенской конференции по безопасности несколько ведущих европейских технологических компаний, таких как Siemens, IBM, Deutsche Telecom, Airbus и многие другие, представили свой совместный проект – Charter of Trust for a Secure Digital World = Хартия доверия для безопасного цифрового мира [14]. Цель проекта – объединение международных усилий для совместного владения и контроля за кибернетической и ИТ-безопасностью. В Хартии говорится о создании совместных структур для противодействия гибридным угрозам в сфере информационной безопасности, формировании обновленной стратегии кибербезопасности, создании центра исследований и компетенций в области кибербезопасности (управление идентификацией и доступом, шифрование и постоянная защита и пр.), сертификации, прозрачности и реагировании, об усилении нормативно-правовой базы и других совместных инициативах с заинтересованными сторонами.

Несомненный интерес вызывает правовая основа, предложенная корпорацией Google для цифровой безопасности и надлежащей правовой процедуры. На интернет-индустрию все большее давление оказывают правительства с целью предоставления цифровой информации для использования в уголовных расследованиях и антитеррористической деятельности. Существующие традиционные каналы международного сотрудничества медленные и громоздкие. Регулярный юридический процесс получения цифровых доказательств в рамках договоров о взаимной правовой помощи (Mutual Legal Assistance Treaties, далее – MLAT) может занять не менее десяти месяцев. Чтобы ускорить развитие правовой системы в цифровую эпоху, ТК Google предложила новые нормы предоставления цифровых доказательств правительствам иностранных государств. Предложение Google позволит правоохранительным органам запрашивать цифровые доказательства непосредственно у интернет-компаний, минуя необходимость проходить через каналы MLAT. Согласно предложению инициатора, такое международное сотрудничество будет возможно только между странами, которые придерживаются стандартов конфиденциальности, прав человека и надлежащей правовой процедуры.

Международные стандарты кибербезопасности пытаются разработать и в Азиатско-Тихоокеанском регионе. Так, 9–10 апреля 2019 г. в Японии прошла глобальная комиссия по стабильности киберпространства под названием Global Commission Meets Alongside ICANN64 Forum in Japan (GCSC) [15]. Это было уже второе заседание в 2019 г. наряду с форумом сообщества корпорации по управлению доменными именами и IP-адресами ICAN-64 (Internet Corporation for Assigned Names and Numbers). Конференция, организованная министерством внутренних дел и коммуникаций Японии и в партнерстве с ICANN, предоставила членам GCSC возможность взаимодействовать с сообществом ICANN, которое лежит в основе управления Интернетом и сотрудничества с участием многих заинтересованных сторон. Было сформулировано определение понятия «киберстабильность», а также разработаны основополагающие принципы в поддержку международных усилий по укреплению мира и безопасности в киберпространстве. Была поставлена задача на ближайшее будущее: определить рекомендации для архитектуры международной безопасности в киберпространстве с элементами реализации норм, мониторинга и отчетности, а также обеспечения постоянного участия заинтересованных сторон, вкладываемых в мирное и безопасное киберпространство.

Авторы считают, что мировая практика регулирования интернет-сети гораздо более развита по сравнению с современными реалиями Российской Федерации и российского информационного общества, а именно более продумана ответственность за правонарушения в информационной сфере. Учитывая исторический временной разрыв в формировании интернет-пространства в нашей стране и в развитых странах мира, скорее всего, это можно объяснить большим количеством разных прецедентов в сфере киберпреступлений в международной практике. Тем не менее уровень развития информационного общества в Российской Федерации растет опережающими темпами, поэтому крупным российским компаниям необходимо активно включаться в международное сообщество. Большую роль при этом может сыграть активная просветительская работа с населением, направленная на формирование норм этики поведения в глобальной сети, учитывающей основные правила личной кибербезопасности. Таким образом, нашей стране необходимо следить за мировыми трендами в сфере информационной безопасности, а также своевременно обновлять внутреннее законодательство в области правонарушений в сфере информационных технологий в соответствии с международными нормами.