По информации ЕК, только 12 % европейских пользователей сети Интернет чувствуют себя абсолютно безопасно, осуществляя онлайн-транзакции. Такие угрозы, как вредоносное программное обеспечение и интернет-мошенничество, лишают прироста количества потребителей и сводят на нет усилия, направленные на продвижение цифровой экономики.
Ситуация с обеспечением безопасности в Интернете
Что касается украинских потребителей, то по состоянию на февраль 2019 года в Украине к сети Интернет подключено 65 % домохозяйств. Регулярно, то есть раз в месяц, пользуются сетью Интернет 63 % семей. По данным Всемирного банка, проникновение сети Интернет в Украине ежегодно повышается в среднем на 5 %. То есть проблемы, связанные с доверием в сети и онлайн-транзакциями, будут расти из года в год.
Полстолетия назад впервые применяли термин "информационная безопасность" вместе с терминами "информационное общество", "экономика знаний" и позже "цифровая экономика" и т. д. Теперь все чаще можно услышать "кибербезопасность", "кибервойна", "кибернападение", "киберпреступление". Попробуем для начала разобраться, что это такое.
Информационная безопасность – сохранение конфиденциальности, целостности и доступности информации. Также должны учитываться достоверность, ответственность, невозможность возражения и надежность (ISO/IEC 17799:2005). То есть это действия для защиты именно информации от граждан и средств, а не наоборот – граждан защищать от информации, о чем иногда можно прочитать на просторах Интернета.
Что такое кибербезопасность? Способы обеспечения кибербезопасности
Термин "кибербезопасность" обычно касается корпоративного управления, менеджмента и предоставления уверенности относительно безопасности, которые выходят за пределы того, что мы понимаем как "информационную безопасность". Кибербезопасность сосредоточивается на особых формах сложных атак и охватывает их технический и социальный аспекты.
Поскольку существует много определений кибербезопасности, этот термин часто понимают неправильно.
Официальное определение ЕС следующее:
"Кибербезопасность обычно касается мер и действий, направленных на защиту киберпространства в гражданской и военной сферах от угроз, которые могут нанести ущерб взаимозависимым сетям и информационной инфраструктуре или связаны с ними. Кибербезопасность направлена на сохранение доступности и целостности сетей и инфраструктуры, а также конфиденциальности информации, содержащейся в них." 1
ISACA дает следующее определение кибербезопасности:
"Защита информационных активов путем борьбы с угрозами безопасности информации, которая обрабатывается, хранится и передается с помощью информационных систем, взаимодействующих с помощью сетей." 2
В своей публикации Трансформация кибербезопасности ISACA описывает кибербезопасность подробнее:
"… Кибербезопасность охватывает все, что защищает организации и физических лиц от умышленных атак, нарушений, инцидентов и их последствий. На практике кибербезопасность прежде всего касается тех типов атак, нарушений и инцидентов, которые являются целевыми, высокотехнологическими и сложными в выявлении или управлении. … Кибербезопасность сосредоточивается на так называемых сложных направленных постоянных угрозах (APT) 3, кибервойнах и их влиянии на организации и людей." 4
Таким образом, информационная безопасность имеет более низкий уровень, чем кибербезопасность, и отличается масштабом, мотивами, возможностями и методами атак.
Взглянем на PESTLE-анализ – это подробный анализ разных аспектов предприятия, а именно политического (Political), экономического (Economic), социального (Social), технологического (Technical), юридического (Legal) и окружающей среды (Environmental), подготовленный экспертами ISACA.
Как защитить свои интересы в Интернете? Угроза распространения данных, фото и видео
Кибербезопасность, в отличие от информационной безопасности, обеспечивается не только непосредственно организацией, которая защищается, но и другими поставщиками услуг (телекоммуникационных, сервисных, облачных и т. п.).
В большинстве случаев речь идет о коллективной безопасности участников деятельности в сети Интернет. То есть большое количество пользователей, которых не может контролировать одна организация в прямом смысле этого слова, но которые имеют доступ к определенным коллективным ресурсам или право пользования публичными сервисами.
Провайдер сервисов имеет в этом случае большую власть и техническую возможность управлять информацией и транзитом потока данных (интернет-трафика) через сети, которыми он оперирует. Поставщики услуг доступа в Интернет могут принимать участие в управлении интернет-трафиком для конкретных законных целей, например, для сохранения целостности и безопасности сети. Они могут также принять меры, чтобы предотвратить доступ или распространение незаконного или вредоносного содержимого, например, через системы саморегулирования в сотрудничестве с государственными органами. Однако прочие вмешательства в интернет-трафик могут повлиять на качество услуг, предоставляемых интернет-пользователям, и привести к блокированию, дискриминации или приоритетности конкретных видов контента, приложений и услуг. Более того, некоторые из методов, используемых в контексте управления доступом, или мониторинг сообщений могут подорвать доверие пользователей к сети Интернет.
Европейское сообщество для реализации прав человека в сети Интернет (с 2013 года право на доступ к сети Интернет является базовым правом человека) приняла Рекомендацию CM/Rec (2016) 1 Комитета Министров государствам-членам по защите и поощрению права на свободу выражения взглядов и право на частную жизнь относительно сетевого нейтралитета (принята Комитетом Министров 13 января 2016 года на 1244 заседании заместителей министров) и Рекомендацию CM/Rec (2016) 5 Комитета Министров государств-членов относительно Интернет-свободы (принята Комитетом Министров 13 апреля 2016 года на 1253 заседании заместителей министров), признавая риски, связанные с регулированием доступа в сети Интернет и возможностями провайдеров сервисов.
Европейские рекомендации по обеспечению защиты прав человека в Интернете
Как указано в Рекомендации Rec (2016) 5, механизмы управления Интернетом, на национальном, региональном или глобальном уровне, должны основываться на понимании Интернет-свободы. Государства имеют права и обязанности относительно международной политики, связанной с Интернетом. При осуществлении своих суверенных прав государства должны в соответствии с нормами международного права воздерживаться от каких-либо действий, которые могут прямо или косвенно нанести ущерб физическим или юридическим лицам внутри или за пределами их юрисдикции. К
акое-либо национальное решение или действие на ограничение прав человека и основных прав в Интернете должны отвечать международным обязательствам и, в частности, базироваться на законе. Придерживаться в полной мере принципов пропорциональности и гарантировать доступ к средствам правовой защиты, а также право быть услышанным и обращаться с обеспечением надлежащих гарантий процесса должны быть важны в демократическом обществе.
ЕС, понимая все возможные последствия технического и технологического регулирования обеспечения доступа к сети Интернет, подчеркивает необходимость регулирования на уровне закона ограничений, необходимых для обеспечения коллективной безопасности. Это касается и обязанности государства защищать людей от киберпреступлений с помощью эффективного уголовного правосудия или других мер.
В случае если такие меры содержат риск, связанный с правом на частную жизнь, правом на свободу выражения или правом на свободу мирных собраний и ассоциаций, они подлежат условиям и гарантиям против злоупотреблений. Эти меры должны отвечать статьям 8, 10 и 11 Конвенции о защите прав человека и основоположных свобод. Причем они должны быть установлены на уровне закона. Закон должен быть доступным, точным, ясным; преследовать законную цель; необходимым и пропорциональным в демократическом обществе и обеспечивать эффективные средства правовой защиты.
Украина присоединилась к Конвенции о защите прав человека и основоположных свобод уже довольно давно, а Соглашение с ЕС об ассоциации вступило в силу (временное применение) несколько лет назад. Следовательно, государство Украина определилось, что в сфере прав человека будет придерживаться демократической европейской модели государственного регулирования (ограничения) прав человека, в частности в сети Интернет.
Законодательство в сфере защиты прав человека в Интернете
Отвечает ли на сегодняшний день законодательное регулирование европейской модели? Частично да. Что касается телекоммуникационных услуг – да, относительно кибербезопасности – нет.
В 2006 году Украина присоединилась к Конвенции о киберпреступности, в частности признала "необходимость сотрудничества между Государствами и частными предприятиями для борьбы с киберпреступностью и необходимость защиты законных интересов в ходе использования и развития информационных технологий".
И в развитие данной Конвенции Украине необходимо было разработать механизмы сотрудничества государства и частного сектора в части обеспечения кибербезопасности (далее – меры кибербезопасности), но сохраняя "надлежащий баланс между правоохранительными интересами и уважением к основным правам человека". Также следовало пересмотреть уголовное законодательство Украины в части разработки процедурных вопросов с целью получения надлежащих доказательств в преступлениях с использованием информационно-телекоммуникационных сетей и технологий, формулировки самого состава преступления в цифровом мире. Одной из задач было обеспечение как специалистами, которые смогут без лома и выемки серверов расследовать преступления, так и специалистами, которые адекватно смогут установить соответствующие факты в суде.
Как вы понимаете, не все так хорошо за 11 лет после присоединения к Конвенции о киберпреступности. Сейчас существует только Стратегия кибербезопасности Украины, утвержденная Указом Президента Украины 1,5 года назад, и законопроект 2126а, который подавался на рассмотрение Верховной Рады Украины и был передан на повторное второе чтение.
Анализируя законопроект № 2126а на предмет наличия мер по кибербезопасности, отметим, что ни одной из вышеперечисленных в нем нет. Внесение изменений в уголовное и процессуальное законодательство, установление механизмов государственно-частного партнерства также отсутствуют. Так же отсутствует и расшифровка (толкование), как достигается соблюдение принципов кибербезопасности. Кстати, кибербезопасность и киберзащита в украинской вариации – две большие разницы, как говорят в Одессе. В других странах под кибербезопасностью как раз и понимают меры по защите, о чем речь шла выше. На наш взгляд, принятие указанного закона не обеспечит реализацию цели, которая описана в его преамбуле: в законопроекте отсутствуют статьи на реализацию принципов обеспечения кибербезопасности, а определение объектов критической инфраструктуры и всех связанных с ними вопросов вообще отнесено на другой уровень – постановлений и распоряжений Кабмина.
Кстати, термин "кибербезопасность" из законопроекта имеет интересную деталь: "кибербезопасность – защищенность жизненно важных интересов человека и гражданина, общества и государства во время использования киберпространства, при которой обеспечиваются постоянное развитие информационного общества и цифровой коммуникативной среды, своевременное выявление, предупреждение и нейтрализация реальных и потенциальных угроз национальной безопасности Украины в киберпространстве;".
Закон Украины "Об основах национальной безопасности Украины" определяет национальную безопасность так:
"национальная безопасность – защищенность жизненно важных интересов человека и гражданина, общества и государства, при которой обеспечиваются стабильное развитие общества, своевременное выявление, предотвращение и нейтрализация реальных и потенциальных угроз национальным интересам в сферах правоохранительной деятельности, борьбы с коррупцией, пограничной деятельности и обороны, миграционной политики, здравоохранения, образования и науки, научно-технической и инновационной политики, культурного развития населения, обеспечения свободы слова и информационной безопасности, социальной политики и пенсионного обеспечения, жилищно-коммунального хозяйства, рынка финансовых услуг, защиты прав собственности, фондовых рынков и ценных бумаг, налогово-бюджетной и таможенной политики, торговли и предпринимательской деятельности, рынка банковских услуг, инвестиционной политики, ревизионной деятельности, монетарной и валютной политики, защиты информации, лицензирования, промышленности и сельского хозяйства, транспорта и связи, информационных технологий, энергетики и энергосбережения, функционирования естественных монополий, использования недр, земельных и водных ресурсов, полезных ископаемых, защиты экологии и окружающей среды и других сферах государственного управления при возникновении негативных тенденций к созданию потенциальных или реальных угроз национальным интересам".
Ничего не удивило? Так вот кибербезопасность должна обеспечить своевременное выявление, предупреждение и нейтрализацию угроз национальным интересам.
Одной из угроз (статья 7 Закона Украины "Об основах национальной безопасности Украины") является
"в информационной сфере:
проявления ограничения свободы слова и доступа к публичной информации;
распространение средствами массовой информации культа насилия, жестокости, порнографии;
компьютерная преступность и компьютерный терроризм;
разглашение информации, составляющей государственную тайну, или другой информации с ограниченным доступом, направленной на удовлетворение нужд и обеспечение защиты национальных интересов общества и государства;
стремление манипулировать общественным сознанием, в частности, путем распространения недостоверной, неполной или предвзятой информации".
Кажется, немного перемудрили.
О правах и ограничениях прав в законопроекте речь не идет, но интересная юридическая уловка "обеспечение кибербезопасности в Украине основывается на принципах: 1) верховенства права, законности, уважения к правам человека и основоположных свобод и их защиты в порядке, определенном законом" доказывает противоположное: существует ли уже какой-либо закон, где описан порядок защиты прав и свобод, или он еще будет разработан – ответа законопроект не дает.
Если имели в виду законодательные акты о защите персональных данных или о доступе к публичной информации, или об обеспечении доступа к сети Интернет – то можно было бы и сослаться на них. Вообще, вопросов больше, чем ответов. Хорошо, что есть возможность пересмотреть законопроект (заложенные в него нормы) критически.
ВЫВОД:
В данной статье не ставилась цель подробно рассмотреть нарушение конкретных прав и свобод в связи с мерами для обеспечения кибербезопасности, только основные понятия, принципы и их сущность для понимания того, что сосуществование прав и свобод возможно. Безопасность создается не в обмен на права и свободы, а только вместе с ними. Ничто не стоит так много, как свобода. И ограничения (а не запреты!!!) для коллективной безопасности можно и нужно внедрять, но при одном условии – закон должен быть доступным, точным, ясным; преследовать законную цель; необходимым и пропорциональным в демократическом обществе и обеспечивать эффективные средства правовой защиты.
Закон и только закон должен быть!