Выступление заместителя Секретаря Совета Безопасности Российской Федерации О.В.Храмова на международной конференции «Кибербезопасность критической инфраструктуры: укрепление доверия в ОБСЕ» (г. Вена, Австрийская Республика, 15 февраля 2017 г.)

Современное общество не может обходиться без электроэнергии и топлива, транспортных коммуникаций, банковских платежных систем, высокотехнологичной медицины и много другого, что обеспечивает жизнедеятельность человека.

Системы управления и оборудование для этих отраслей совершенствовалось десятилетиями и считалось надежным и безопасным.

Однако внедрение информационно-коммуникационных технологий для обеспечения функционирования объектов критически важной инфраструктуры сделало их весьма уязвимыми.

При этом бурное развитие цифровой сферы формирует все новые источники  угроз, которые зачастую являются латентными.

Лавинообразное развитие «Интернета вещей» породило ситуацию, когда, образно говоря, «миллион муравьев может съесть слона». То есть, работоспособность любого элемента критически важной инфраструктуры может быть нарушена компьютерными атаками с использованием огромного количества пользовательского оборудования связи и «умных» бытовых электронных устройств.

И такое деструктивное воздействие может быть осуществлено как в террористических, так и в военных целях.

В Доктрине информационной безопасности Российской Федерации обеспечение устойчивого и бесперебойного функционирования информационной инфраструктуры определено в качестве одной из ключевых задач по защите национальных интересов в информационной сфере.

При этом очень важно выстроить взаимовыгодные отношения государственных органов, отвечающих за безопасность, с бизнес-структурами, которые являются собственниками критически важных объектов и эксплуатируют такие объекты.

Успеха невозможно добиться без определения четких и ясных «правил игры».

В этих целях разработан проект федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации». Сейчас он рассматривается в российском Парламенте.

Основная цель законопроекта – сформировать механизм эффективного взаимодействия всех заинтересованных сторон на основе взаимной ответственности в обеспечении безопасности критической информационной инфраструктуры.

Базовый принцип документа – собственники объектов критической инфраструктуры обязаны обеспечить их безопасность.

Государство берет на себя ответственность оказывать им максимальное содействие, включая информирование об актуальных угрозах информационной безопасности и поддержку разработки необходимых средств защиты. В свою очередь, собственники обязаны информировать уполномоченные ведомства о значительных компьютерных инцидентах.

В практическом плане для решения этих задач создается  государственная система обнаружения и предупреждения компьютерных атак.

В 2016 году на информационные ресурсы Российской Федерации совершено более 70 миллионов компьютерных атак. (По сравнению с 2015 годом их число возросло почти в три раза.) Причем более 60% из них осуществлялось из других стран.

Для блокирования компьютерных атак, исходящих с территории иностранных государств, Российская Федерация использует как возможности национальных групп реагирования на компьютерные инциденты, так и контактные пункты, которые созданы в рамках реализации мер укрепления доверия ОБСЕ.

В частности, в 2016 году было пресечено функционирование 1130 источников вредоносных воздействий на территории нашей страны и почти 500 зарубежных источников вредоносных воздействий на информационное пространство Российской Федерации. Кроме этого, были предотвращены готовящиеся атаки на критическую информационную инфраструктуру нашей страны.

По всем поступившим к нам запросам иностранных партнеров принимаются необходимые меры.

Так, проведено детальное расследование по обращению в конце прошлого года американской стороны, которое касалось компьютерной атаки на портал Демократической партии США.

В этой связи следует вновь подчеркнуть важность оперативного взаимодействия при возникновении компьютерных инцидентов, поскольку меры по сохранению «цифровых доказательств» необходимо принимать незамедлительно – счет идет на часы.

Чтобы запросы не поступали через 6 месяцев после выявления компьютерной атаки, видимо необходимо повышать уровень компетентности структур, ответственных за реагирование на инциденты.

Кроме того, считаем, что существенно улучшить механизм взаимодействия поможет создание защищенных каналов обмена чувствительной информацией о компьютерных инцидентах, что возможно сделать в рамках реализации мер укрепления доверия, выработанных в формате ОБСЕ. При этом полагаем, что страны, обменивающиеся  информацией, будут сами определять способы защиты этих каналов для обеспечения необходимого уровня доверия.

Безусловно, формирование эффективных международных механизмов реагирования на компьютерные инциденты – очень важная задача, но это уже борьба с последствиями.

По нашим прогнозам, изощренность и сложность компьютерных атак будет возрастать одновременно с усилением мер противодействия.

Поэтому, если мы хотим добиться реальной защищенности критической инфраструктуры, целеполаганием нашего сотрудничества следовало бы определить предотвращение компьютерных атак.

На национальном уровне приоритет предотвращения компьютерных инцидентов перед устранением их последствий закреплен в упомянутом законопроекте «О безопасности критической информационной инфраструктуры Российской Федерации».

Россия еще два десятка лет назад криминализировала производство, распространение и применение вредоносных программ, что позволило повысить эффективность борьбы с преступностью в сфере высоких технологий.

Мы многократно призывали все страны последовать нашему примеру и также криминализировать производство вредоносного программного обеспечения. К сожалению, бездействие привело к тому, что высокотехнологичные средства для осуществления компьютерных атак стали весьма доходным товаром. А ведь этот криминальный бизнес несет угрозы милитаризации цифрового пространства и его использования террористическими структурами.

Понятно, что компьютерную атаку невозможно осуществить без наличия уязвимости в программном или аппаратном обеспечении. Вместе с тем в стремлении к наживе их производители зачастую стремятся сэкономить на средствах безопасности. В борьбе между безопасностью и доходностью мораль уходит на второй план и, увы, побеждают деньги. Хотя очевидно, что сэкономив на информационной безопасности сегодня, завтра можно потерять значительно больше.

Россия неоднократно выдвигала инициативы ввести ответственность производителей за обеспечение гарантий безопасности программных и аппаратных средств.

Всем необходимо, наконец, осознать, что мы «находимся в одной лодке», и недостаточная защищенность информационных ресурсов хотя бы одной из стран создает угрозы международной безопасности в целом.

В настоящее время Группой правительственных экспертов ООН по международной информационной безопасности ведется подготовка проекта Правил ответственного поведения государств в информационном пространстве.

По нашему мнению, в интересах формирования действительно безопасного глобального информационного пространства в этот документ следует включить следующие положения.

Во-первых, государства должны принимать исчерпывающие меры по противодействию осуществлению компьютерных атак со своей территории. Этому будет способствовать обеспечение реального суверенитета над национальной информационно-телекоммуникационной инфраструктурой.

Во-вторых,  любые обвинения в адрес государств в причастности к компьютерным атакам должны быть доказаны.

Мы уверены, что создание системы международной информационной безопасности, учитывающей интересы всех государств, сегодня является реальностью.