Цифровой суверенитет. Как государства защищают интересы в сети

• Задачи по обеспечению цифрового суверенитета и повышение международного сотрудничества в борьбе с киберпреступниками дополняют, а не противоречат друг другу.
• Отсутствие эффективных региональных и глобальных организаций по обмену опытом и стандартизации мер защиты снижает уровень информационной безопасности.
• Несмотря на то, что рынок услуг по кибербезопасности в США — самый большой в мире, на нем же и произошло больше всего киберпреступлений в 2023 году.

Информационная безопасность, в свою очередь, является неотъемлемой частью цифрового суверенитета. Она подразумевает комплекс мер, направленных на защиту информации от несанкционированного доступа, использования, раскрытия, изменения или уничтожения. Обеспечение информационной безопасности является критически важным для государства, бизнеса и граждан, поскольку утечка или потеря данных может привести к серьезным последствиям, включая финансовые траты, потерю репутации и даже угрозы национальной безопасности.

В разных регионах мира складываются свои подходы к пониманию и реализации цифрового суверенитета, которые можно рассмотреть на примерах США, ЕС, КНР и России.

США: контроль над компонентами ПО, усиление шифрования и борьба с технологическими конкурентами политическими методами

В США концепция цифрового суверенитета традиционно ассоциируется с идеей свободы интернета и ограниченного вмешательства государства в цифровую сферу.

Это отражает декларируемые либеральные ценности американского общества, одной из которых является свободное распространение информации. Однако в последние годы наблюдается усиление внимания к вопросам национальной безопасности и защиты критической инфраструктуры от кибератак, особенно после ряда громких скандалов, которые вывели в публичную сферу глобальные масштабы незаконной слежки как за собственными гражданами, так и за иностранными политиками.

Прозрачные «облака» для спецслужб

Тенденция к усилению государственного участия в цифровой сфере отразилась в ряде законодательных актов. Один из самых заметных из них — CLOUD Act (2018), который упрощает для американских правоохранительных органов доступ к данным, хранящимся на серверах американских компаний за пределами США.

Недоверие к китайскому телекоммуникационному оборудованию

Опасаясь потенциального использования оборудования китайских компаний правительством КНР для разведывательной деятельности, аналогичной той, что ведут американские спецслужбы, в 2019 году был принят закон, запрещающий использование средств федерального бюджета США для приобретения оборудования и услуг у Huawei и ZTE. В том же году Huawei была внесена в санкционный список, что ограничило доступ компании к американским технологиям и компонентам, включая как аппаратное обеспечение (чипы), так и программное (например, операционную систему Android).

Одновременно с этим Вашингтон оказывает давление на своих сателлитов, чтобы те прекратили использовать китайское оборудование в сетях 5G. Одним из наиболее ярких примеров давления США на союзников в вопросе отказа от китайского оборудования 5G является случай с Великобританией. В 2020 году британское правительство приняло решение исключить Huawei из своей сети 5G к 2027 году, несмотря на критику со стороны представителей бизнеса, которые считали, что такой шаг приведет к задержкам и увеличению затрат на развертывание сетей нового поколения. В 2020 году Швеция запретила Huawei и ZTE участвовать в аукционах на частоты 5G, ссылаясь на риски национальной безопасности.

В 2022 году Канада объявила о запрете на использование оборудования Huawei и ZTE в своих сетях 5G, присоединившись к своим союзникам по организации «Five eyes» (США, Великобритания, Австралия и Новая Зеландия).

Усиление безопасности цепочек поставок ПО

В мае 2021 года президент США подписал указ №14028 об «Усилении кибербезопасности страны». Данный документ содержит 74 директивы, 45 из которых имеют определенные сроки исполнения в пределах двух лет. Указ затрагивает компании, поставляющие программное обеспечение (ПО) и информационные аппаратные комплексы и предоставляющие ИТ-услуги правительству США, с акцентом на «критически важное программное обеспечение». Главный принцип, заложенный в документ — обеспечение безопасности цепочки поставок ПО, то есть гарантирование надежности и безопасности компонентов, из которых собираются готовые программы. Указ устанавливает базовые стандарты безопасности для ПО, продаваемого правительству, обязывает разработчиков обеспечивать большую прозрачность своего ПО, задает новые подходы к разработке безопасного ПО и закладывает общие правила стандартизации и маркировки для безопасно разработанного ПО. Основной концепцией документа является спецификация программных компонентов, которая представляет собой перечень используемых в готовом программном продукте библиотек и модулей.

 

Цепочки поставок ПО играют все более важную роль в поддержании работоспособности систем. Но далеко не у всех компаний есть человеческие и финансовые ресурсы для подтверждения нормального функционирования обновлений. По данным компании CloudStrike, которая 18 июня опубликовала доклад о «Состоянии безопасности приложений» 2024, основанный на опросе 400 менеджеров по безопасности ПО в американских компаниях, крупные апдейты используемого ПО проходят аудит в среднем только в половине случаев. 22% респондентов признались, что проводили проверку безопасности менее чем в половине случаев, и приблизительно столько же утверждает, что проверяли код в 50-74% случаев. Более пятой части опрошенных ответили, что проверяли значительные изменения кода менее чем в четверти случаев. С другой стороны, треть заявила, что делала это по крайней мере в 75% случаев.

19 июля обновление входящего в комплекс безопасности CrowdStrike компонента Falcon Sensor, который следит за поведением других программ, выявляет и блокирует подозрительные операции, привело к сбою около 8,5 млн компьютеров и северов на операционной системе Windows. После апдейта они не могли загрузиться в нормальном режиме и выполнять свои задачи. Среди пострадавших организаций, которые применили плохо сконфигурированное обновление ПО сразу ко всем своим машинам, оказались десятки авиакомпаний. Тысячи рейсов по всему миру были отменены или задержаны. Аэропорты в Соединенных Штатах, Индии, Германии, Таиланде, Сингапуре, Гонконге, Южной Корее, Австралии и других странах сообщили о нарушениях в работе. Нескольким местным телевизионным станциям в США 19 июня не удалось выйти в эфир, а некоторые государственные и местные органы власти сообщили о проблемах в судах, департаментах транспортных средств, агентствах по безработице, центрах экстренных вызовов и других учреждениях. Также в тот день крупный контейнерный хаб в Гданьске приостановил работу. В той или иной степени от проблемного обновления пострадали 29 тыс. компаний-клиентов CrowdStrike, включая около 300 компаний из списка Fortune 500. Её услугами, по данным TechCrunch, к середине июля пользовались восемь из десяти крупнейших финансовых компаний и такое же количество ведущих технологических компаний. CrowdStrike также имеет широкое присутствие в секторах здравоохранения и производства, обслуживая, соответственно, шесть и семь из десяти ведущих компаний в этих отраслях.

Защита данных в США

Указ об «Усилении кибербезопасности страны» также устанавливает единые правила обмена информацией федеральными агентствами с коммерческими компаниями о попытках кибернападений, утечках персональных данных и других событиях и явлениях, которые могут представлять интерес для расследований.

Дополнительные требования выдвигаются к поставщикам облачных услуг для хранения и обработки данных государственных органов. Данные должны быть обязательно зашифрованы при передаче и хранении, а расшифровываться только на время выполнения каких-либо вычислительных операций над ними и исключительно тогда, когда нельзя использовать гомоморфное шифрование. Оно позволяет выполнять вычисления над зашифрованными данными без их расшифровки. В результате вычисления остаются в зашифрованном виде и при расшифровке приводят к результату, идентичному тому, который был бы получен при выполнении операций с незашифрованными данными. При запросе данных из хранилищ все государственные служащие должны пользоваться многофакторной аутентификацией.

Отсутствие усиленных мер по защите государственных данных может привести к серьезным последствиям. Например, главный союзник США — Великобритания — в начале мая 2024 года допустила в результате кибератаки на частного ИТ-подрядчика SSCL, имеющего множество правительственных контрактов, утечку данных о 272 тыс. человек, находящихся в платежной ведомости Министерства обороны Великобритании. SSCL, принадлежащая парижской компании

Sopra Steria, специализирующейся на цифровых услугах, владеет данными о заработной плате большинства военнослужащих британских вооруженных сил и 550 тыс. государственных служащих в целом через другие государственные контракты, в том числе с министерством внутренних дел, министерством юстиции и лондонской полицией.

Выстраивание систем обмена данными с союзниками

В начале июля 2024 года австралийское управление связи (АУС), ведомство, отвечающее за киберзащиту страны, обвинило КНР в незаконном проникновении во внутренние сети правительственных агентств, частных компаний и университетов в США, Канаде, Новой Зеландии и странах Ближнего Востока. Представители Китая отрицают обвинения. АУС заявила, что китайские специалисты использовали уязвимости в программном обеспечении, разработанном такими компаниями, как Microsoft и Atlassian, для взлома сетей, включая домашние устройства. Полученный доступ был использован для кражи данных и сотен паролей.

США и их ближайшие союзники выстраивают общий защищенный контур для хранения данных и проведения операций с секретной информацией. Подразделение облачных сервисов Amazon 4 июня 2024 года выиграло контракт на 2 млрд австралийских долларов (1,3 млрд долларов США) с правительством Австралии на строительство трех центров обработки данных для безопасного обмена информацией. Amazon Web Services уже предоставляет услуги облачных вычислений правительствам США и Великобритании. После выполнения контракта Австралия получит больше возможностей для обмена разведывательной и военной информацией и использования искусственного интеллекта для анализа данных.

AWS занимает прочные позиции в США и странах-союзниках по подрядам на хранение и обработку информации с грифом «совершенно секретно». В 2013 году Amazon выиграла контракт с американскими спецслужбами на сумму 600 млн долларов США. Позднее к созданию компьютерных систем для американских силовых структур присоединились другие компаний из США, включая Microsoft и IBM.

Правительство Великобритании присоединилось к этой системе в 2021 году. Тогда разведывательные агентства королевства подписали с AWS контракт стоимостью 1 млрд фунтов стерлингов, чтобы внедрить искусственный интеллект и обмен данными в центры своих операций.

Три специализированных центра обработки данных будут финансироваться за счет средств, выделенных Австралией на существенное увеличение расходов на оборону, чтобы подготовиться к росту напряженности в Индо-Тихоокеанском регионе на фоне ухудшающихся геополитических отношений с Китаем.

Европейский союз: защита цифровых прав граждан и выдавливание китайских технологий с рынка

В Европейском союзе концепция цифрового суверенитета тесно связана с идеей защиты персональных данных и цифровых прав граждан. Европейцы придают большое значение неприкосновенности частной жизни и контролю над своими данными, что нашло отражение в Общем регламенте по защите данных (GDPR), принятом в 2016 году.

Защита персональных данных в ЕС

GDPR стал одним из наиболее строгих законодательных актов в мире, регулирующих обработку персональных данных, и установил высокие стандарты защиты данных для компаний, работающих в ЕС. С момента его полного вступления в силу в июне 2018 года и по 1 марта 2024 года всего было выписано 2086 штрафов на общую сумму 4,48 млрд евро. Самый большой на середину июля 2024 года штраф по GDPR в размере 1,2 млрд евро был наложен в Ирландии в мае 2023 года за нарушение правил международной передачи персональных данных.

Хотя GDPR в первую очередь ориентирован на защиту данных и конфиденциальность, он также включает положения, касающиеся кибербезопасности. В частности, организации должны применять соответствующие технические и организационные меры, включая псевдонимизацию, шифрование и регулярное тестирование. В директиве предусмотрено обязательное уведомление контролирующего органа и, в некоторых случаях, пострадавших лиц о нарушениях персональных данных. GDPR имеет прямое действие во всех государствах-членах ЕС, и в каждом государстве союза есть надзорный орган, отвечающий за его соблюдение.

Европейский союз также стремится к развитию собственной цифровой инфраструктуры и технологий, чтобы уменьшить зависимость от американских и китайских компаний. В 2020 году Европейская комиссия представила стратегию «Shaping Europe’s digital future», в которой цифровой суверенитет рассматривается как ключевой элемент цифровой трансформации Европы и включает в себя такие инициативы, как создание европейского облачного хранилища данных Gaia-X и развитие собственных процессоров.

Защита сетей и информационных систем

Вторая директива о сетях и информационных системах (NIS2), вступившая в силу в январе 2023 года, является важной частью системы кибербезопасности ЕС и обновляет предыдущую директиву от 2016 года. Она предписывает государствам-членам разработать национальные стратегии кибербезопасности, возможности реагирования на инциденты и механизмы сотрудничества для повышения устойчивости основных служб и поставщиков цифровых услуг.

Директива NIS2 направлена на обеспечение того, чтобы организации в критических сферах экономики (например, энергетика, транспорт и здравоохранение) и крупные поставщики цифровых услуг (например, поставщики облачных услуг и торговые онлайн-площадки) принимали соответствующие меры для управления рисками кибербезопасности. В частности, организации должны создать актуальную модель угроз и управлять соответствующими рисками. Кроме того, директива обязывает сообщать о значительных инцидентах национальным органам власти, которые затем сотрудничают с другими государствами-членами и Агентством ЕС по кибербезопасности (ENISA). Директива также делает обязательной оценку рисков, связанных с цепочками поставок в используемом программном обеспечении.

Государства ЕС должны перенести ее положения в национальное законодательство до 17 октября 2024 года и назначить компетентные органы для надзора за ее выполнением. Страны также должны к тому моменту создать механизмы сотрудничества, такие как группы реагирования на инциденты компьютерной безопасности (CSIRTs), для облегчения обмена информацией и координации действий по реагированию на инциденты.

Скорее всего, некоторые страны могут не уложиться в поставленные сроки. Тексты национальных законопроектов, связанных с этой директивой, на середину июля 2024 года подготовили только Норвегия и Франция.

Уязвимости системы кибербезопасности в ЕС

Закон о кибербезопасности от 2019 года, по замыслу должен был укрепить ENISA, предоставляя агентству постоянный мандат и стабильное финансирование из бюджета ЕС. Ключевая задача агентства — создать и обеспечить бесперебойную работу первой в масштабах ЕС системы сертификации цифровых продуктов и услуг.

18 апреля 2023 года Европейская Комиссия предложила внести поправку в Закон о кибербезопасности ЕС. Уточнение направлено на то, чтобы ввести в сферу ответственности ENIS компании-подрядчики по обеспечению безопасности в дополнение к информационно-технологическим продуктам, ИКТ-услугам и ИКТ-процессам, которые уже подпадают под действие Закона о кибербезопасности.

Наиболее уязвимым аспектом системы общеевропейской кибербезопасности является ограниченность финансовых ресурсов. Например, в 2023 году ENISA получила из бюджета EC лишь около 25 млн евро. Этой суммы оказывается недостаточно, чтобы полноценно выполнять стоящие перед агентством задачи.

Еще одна недоработка сложившейся в ЕС системы заключается в том, что ENISA не имеет юридически обязывающих полномочий, а может только давать рекомендации, что ограничивает его возможности по обеспечению эффективного применения мер кибербезопасности государствами союза. Даже если организации или правительства какой-либо страны не выполняют критерии сертификации агентства, то у последнего нет возможности повлиять на сроки и объемы выполняемых работ по усилению киберзащиты. Недофинансированность и отсутствие серьезных полномочий приводит к тому, что количество инцидентов в сфере кибербезопасности в ЕС быстро увеличивается.

Некоторые из них вызывали серьезные последствия. Например, 25 августа 2023 года работа польской железнодорожной системы была нарушена в результате DoS-атаки на механизмы экстренной остановки поездов. Злоумышленники воспользовались уязвимостью в конструкции системы, а именно отсутствием шифрования радиосигнала, используемого в железнодорожной системе управления. Злоумышленники посылали сигнал «стоп», что приводило к остановке движения.

Хотя ENISA предупреждала об этой уязвимости, оператор железной дороги Польши не принял необходимые меры, что в результате нарушило работу всей системы на три дня, а на некоторых участках железнодорожной сети — на неделю.

24 февраля 2022 года хакеры использовали неправильную конфигурацию виртуальной частной сети (VPN) в сети KA-SAT (провайдер спутникового интернета, принадлежащий компании Viasat), которая обеспечивала удаленный доступ к доверенному сегменту управления в сети KA-SAT. Это позволило получить контроль над спутниковыми модемами, обеспечивающими доступ в Интернет. Атака заключалась в частичной перепрошивке модемов, в результате чего они становились непригодными для использования. Атака вызвала перебои в работе спутникового интернета, прежде всего, на Украине, а также в соседних странах, включая Чехию и Словакию.

Для того чтобы вернуть модемы в строй, требовался физический доступ к ним, чтобы восстановить первоначальную конфигурацию, поэтому перебои в работе продолжались более 2 недель. Также пострадали более 5 тыс. ветряных турбин в Германии, которые использовали сеть KA-SAT для передачи телеметрических данных, технического обслуживания и получения обновлений. Кроме того пострадали операторы ветрогенераторов в Греции, Франции, Италии, Венгрии и Польше.

Стоит отметить, что большинство кибернападений преследуют финансовые цели и представляют собой шифрование данных в обмен на выкуп, ограничение доступа к какому-либо сервису или сайту, либо кражу и последующую продажу данных. Нападения со стороны групп, связанных с какими-либо государствами, или гражданских активистов, которые преследуют политические, разведывательные и другие подобные цели, занимают в структуре нападений небольшие доли.

Давление со стороны США

Некоторые страны ЕС не могут проводить полностью самостоятельную политику, когда речь идет о создании телекоммуникационной инфраструктуры. Речь идет, в том числе, и о крупнейших экономиках. 11 июня Германия под давлением США решила постепенно исключить китайские компоненты из своих сетей 5G к 2029 году.

Это компромиссное решение призвано уравновесить соображения безопасности и экономический ущерб. На первом этапе, который завершится в 2026 году, основное внимание будет уделено удалению основных компонентов, например, в центрах обработки данных. На втором этапе, который завершится в 2029 году, будут удалено оборудование в сетях передачи данных и узлах обмена трафиком.

Это решение вызвало неоднозначную реакцию: одни критикуют медленные сроки, другие подчеркивают необходимость поддерживать хорошие отношения с Китаем, крупнейшим торговым партнером Германии. В то время как телекоммуникационные компании выступают против запрета из-за возможных затрат и сбоев в работе, правительство стремится защитить критически важную инфраструктуру от шпионажа и саботажа. Однако как показывает аналитика ENISA, самые серьезные угрозы исходят не от телекоммуникационного оборудования, а от неправильно сконфигурированных сетей и непродуманной организации работы систем управления и хранения данных.

Китайская Народная Республика: киберсуверенитет и деполитизация кибербезопасности

В Китае концепция цифрового суверенитета имеет ярко выраженный политический характер и тесно связана с идеологией киберсуверенитета, которая подчеркивает право государства контролировать информационное пространство в пределах своих границ. Китайское правительство активно контролирует информационное пространство, блокируя доступ к иностранным ресурсам, таким как Google, Facebook и Twitter, и ограничивая деятельность иностранных компаний в сфере информационных технологий.

В 2017 году был принят Закон о кибербезопасности, который усилил контроль государства над информационной инфраструктурой и данными, требуя от компаний хранить данные на территории Китая и предоставлять доступ к ним государственным органам. В Китае также активно развиваются собственные цифровые технологии и платформы, такие как поисковая система Baidu и мессенджер WeChat, что уменьшает зависимость от западных технологий.

Однако Китай не планирует отгораживаться от мира. В марте 2024 года Государственная канцелярия интернет-информации КНР (ГКИИК) смягчила требования к трансграничной передаче персональных данных. Новые правила определяют условия, при которых экспорт данных не требует оценки безопасности таких действий, а также создают механизм «негативного списка» для зон свободной торговли (ЗСТ).

Теперь ЗСТ могут составлять свои перечни данных, так называемые «негативные списки» данных, оценку передачи которых нужно обязательно проводить, а данные, не включенные в эти списки, могут передаваться через границу без декларирования, что должно улучшить условия ведения бизнеса для иностранных инвесторов.

В новых правилах уточнены критерии данных, которые не подлежат декларированию при передаче за рубеж. К нем относятся данные, собранные или созданные в ходе международной торговли, трансграничных перевозок, академического сотрудничества, транснационального производства и маркетинговой деятельности, которые не связаны с персональной информацией или критическими данными.

В новых правилах также уточняются условия, при которых передача данных требует обязательной оценки безопасности. В первую очередь они касаются операторов критической информационной инфраструктуры и обработчиков данных, которые предоставляют персональные данные более 1 миллиона человек.

В ответ на растущие угрозы со стороны киберпространства китайское правительство приняло несколько законодательных актов. За контроль над цифровым пространством отвечают Министерство промышленности и информационных технологий, Народный банк Китая, ГКИИК и Министерство общественной безопасности.

Китайские компании и частные лица подвержены тем же угрозам, что и все остальные. Многие преступления были совершены преступниками с гражданством КНР, зачастую находящимися в безопасности в Мьянме, Камбодже и Саудовской Аравии. Однако зарубежные угрозы также присутствуют. Например, в ноябре 2023 года один из крупнейших банков Китая, ICBC, стал жертвой банды кибервымогателей, использовавших распространенный вирус Lockbit.

В киберпространстве границы национальных государств и объединений преступных группировок становятся размытыми. Китай и РФ имеют во многом схожие взгляды на проблему обеспечения кибербезопасности в мире, которые основываются на создании в рамках профильного Спецкомитета ООН всеобъемлющей конвенции по противодействию использованию информационно-коммуникационных технологий в преступных целях.

Россия: национальная цифровая инфраструктура и защита от внешних угроз

В России концепция цифрового суверенитета активно развивается в последние годы, особенно в контексте геополитической напряженности и санкций со стороны западных стран. В 2019 году была принята Доктрина информационной безопасности Российской Федерации, в которой цифровой суверенитет рассматривается как одно из приоритетных направлений государственной политики.

Россия стремится к созданию национальной цифровой инфраструктуры, включая собственные поисковые системы, социальные сети и мессенджеры, чтобы уменьшить зависимость от западных платформ. В 2021 году был принят закон о «суверенном интернете», который предусматривает создание национальной системы маршрутизации интернет-трафика и централизованное управление критической информационной инфраструктурой.

Государственная политика РФ в сфере информационной безопасности после 2022 года претерпела значительные изменения, обусловленные новыми геополитическими вызовами. Первым шагом стало усиление защиты критической информационной инфраструктуры (КИИ). В указе Президента РФ от 1 мая 2022 года № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» определил перечень объектов КИИ и установил требования к их защите. В частности, он запрещает к 1 января 2025 года использоваться государственных органам власти, госкомпаниям использовать иностранное программное обеспечение. Федеральный закон от 26 июля 2022 года № 323-ФЗ ужесточил ответственность за нарушения в сфере защиты КИИ. Постановление Правительства РФ от 8 февраля 2023 года № 176 утвердило правила категоризирования объектов КИИ и требования к обеспечению их безопасности.

Стратегия развития отрасли информационных технологий в Российской Федерации на 2024-2030 годы поставила задачу достижения технологического суверенитета России в сфере ИТ. Был создан Национальный координационный центр по компьютерным инцидентам (НКЦКИ), который осуществляет мониторинг и реагирование на инциденты в КИИ, а также координирует деятельность субъектов КИИ по обеспечению информационной безопасности. В 2023 году были проведены масштабные учения по выявлению и ликвидации последствий компьютерных атак на объекты КИИ с участием государственных органов, операторов связи и энергетических компаний. ФСТЭК России разработала и утвердила ряд стандартов информационной безопасности для различных отраслей КИИ, таких как энергетика, транспорт, финансы и связь.

Правительство также ведет несколько программ, направленных на повышение цифровой грамотности. С 2019 года проводится акция «Цифровой диктант», которая проверяет уровень знаний всех желающих и направлена на популяризацию знаний в области ИТ. С 2018 года работает онлайн-платформа «Цифровой гражданин», которая предоставляет доступ к образовательным материалам и проводит тестирования сотрудников государственных органов и частных компаний.

Большинство утечек данных в России связано с потерей личной информации, такой как имена, электронные почты, адреса проживания, ИИН, паспортные данные и т.д. Среди других видов утечек данных — коммерческая и государственная тайна.

В 2023 году число российских утекших учетных записей превысило 78 миллионов, что стало вторым показателем после США.

Крупнейшая российская компания в сфере кибербезопасности — «Лаборатории Касперского», чьи антивирусы и средства защиты оконечных устройств, а также другие сервисы продаются по всему миру. На втором месте по выручке — московская компания Softline, работающая в Восточной Европе, Америкеб и Азии и предлагающая широкий спектр ИТ-услуг, включая решения в области кибербезопасности. За ней следует группа компаний «Цитадель», которая является крупнейшим в стране производителем систем анализа трафика. За ними следуют BI.Zone Cybersecurity, GIS, Solar и Positive Technologies.

Глобальный характер киберугроз и необходимость международного ответа

С киберугрозами сталкиваются как рядовые граждане, так и транснациональные корпорации и национальные правительства. В потребительском контексте ИТ-безопасность может ограничиваться использованием паролей для контроля доступа к компьютерному оборудованию и антивирусного программного обеспечения для защиты потребительских устройств.

Информационная безопасность предприятия — это сложная задача, охватывающая персональные компьютеры, серверы, маршрутизаторы, телекоммуникационное оборудование, решение которой основано на программном и аппаратное обеспечении, политике управления информацией на всем ее жизненном цикле. В 2024 году объем рынка кибербезопасности превысит 200 млрд долларов США.

По различным оценкам, в мире есть неудовлетворенный спрос почти на 4 млн специалистов в области кибербезопасности. А так как методы преступников постоянно совершенствуются, то необходимость постоянного обмена опытом становится с каждым годом все острее. Киберпространство стало бы более безопасным местом, если бы в дополнение к региональным и национальным органам информационной безопасности появились их глобальные аналоги на основе ООН или других представительных международных организаций таких как БРИКС или ШОС.

Правительства по всему миру запрещают использование иностранного оборудования в критической инфраструктуре, опасаясь за национальную безопасность. Однако многие эксперты по киберугрозам сомневаются в эффективности такой стратегии, которая может лишь усилить геополитическую напряженность, оставив при этом уязвимости в других местах.

В мае Китай объявил, что операторам национальной инфраструктуры больше не будет разрешено приобретать компьютерные чипы или компоненты у американской полупроводниковой компании Micron Technology из-за серьезных рисков сетевой безопасности. Ранее, как отмечено выше, на аналогичные шаги пошли США и их союзники.

Разработка инструментов для обеспечения информационной безопасности, включая изучение отдельных библиотек и программных модулей конечных программных продуктов, должна носить международный характер и быть прозрачной. Только в таких условиях можно надеяться на улучшение ситуации с кибербезопасностью и уменьшение ее экономической привлекательности для преступников, которые, преимущественно, и создают проблемы.

До тех пор, пока к разработке программ с открытым исходным кодом и свободными лицензиями не присоединятся крупные игроки, готовые взять на себя часть работы, которую сейчас в основном бесплатно выполняют энтузиасты, частота кибератак через цепочку поставок ПО будет продолжать расти.

Преимущества и недостатки подходов

В США политика информационной безопасности фокусируется на контроле над компонентами программного обеспечения, усилении шифрования данных и борьбе с технологическими конкурентами, такими как Китай, преимущественно политическими методами. Преимущества этого подхода заключаются в развитии собственных технологий и защите национальных интересов. Однако недостатки включают в себя высокую стоимость разработки и внедрения. Кроме того, политизированный подход к информационной безопасности может привести к росту напряженности в международных отношениях.

Политика информационной безопасности ЕС делает упор на защите персональных данных и цифровых прав граждан, что отражено в Общем регламенте по защите данных (GDPR). Преимуществами этого подхода являются высокий уровень защиты персональных данных граждан и стимулирование развития европейской цифровой инфраструктуры. Недостатками являются высокая стоимость соблюдения GDPR для бизнеса, а также ограниченность ресурсов и полномочий Европейского агентства по кибербезопасности (ENISA), что не позволяет ей в полной мере выполнять свои функции.

В Китае политика информационной безопасности основана на идеологии киберсуверенитета и контроле государства над информационным пространством. Преимуществами этого подхода являются быстрое развитие собственных цифровых технологий и платформ, а также эффективная защита от внешних киберугроз.

В качестве недостатков можно выделить высокие барьеры для выхода иностранных компаний на китайский рынок, что ограничивает конкуренцию и доступ к передовым зарубежным технологиям, а также строгий контроль над информацией, затрудняющий международное сотрудничество в области кибербезопасности.

Подход к информационной безопасности в России основан на создании национальной цифровой инфраструктуры и защите от внешних угроз. Преимуществами этого подхода являются снижение зависимости от западных технологий и повышение устойчивости к внешним кибератакам. К недостаткам можно отнести ограничение конкуренции на рынке продуктов информационной безопасности, что может увеличить их цену, потенциально, сказаться на качестве.

Выводы

• Геополитическое противостояние затрагивает и киберпространство, хотя самый серьезный ущерб от противоправных действий в интернете приносят финансово мотивированные преступники.
• Ограничение телеком-оборудования тех или иных стран при создании сетей имеет меньший эффект, чем обмен информацией по укреплению мер защиты.
• Рынок продуктов и услуг в сфере кибербезопасности в 2024 году, ожидается, превысит 200 млрд долларов США и сохранит быстрые темпы роста в дальнейшем.
• Создание международных организаций под эгидой ООН или других представительных межгосударственных объединений может помочь в снижении ущерба от киберпреступлений.