Одной из ключевых тем восьмой конференции Ассоциации документальной электросвязи (АДЭ) “Безопасность и доверие при использовании инфокоммуникационных сетей и систем” стала тема законодательной поддержки информационной безопасности (ИБ) российской отрасли ИКТ. Участники обозначили несколько наиболее важных аспектов этой темы, вытекающих из общей ситуации в стране и происходящей в отрасли IP-перестройки. Как сказал председатель исполкома АДЭ Аркадий Кремер, реально вводя ограничения, ИБ должна обеспечивать свободу доступа к информационным ресурсам, свободу людей от посягательств на их гражданские права, свободу от терроризма, от вторжений в частную жизнь.
Организационные аспекты
Проблемы изменения правового поля в соответствии с реалиями жизни стоят не только перед направлением ИБ, но чрезвычайно актуальны для отрасли ИКТ в целом. Примерно четыре месяца назад Минкомсвязи РФ были созданы при участии АДЭ две рабочие группы. РГ-1, которой руководит Алексей Рокотян, нацелена на подготовку изменений в действующие положения и законы, тормозящие отрасль. Вторая группа (РГ-2), возглавляемая Игорем Масленниковым, прорабатывает идеи будущей законодательной базы отрасли, стараясь учесть ее перспективные потребности в регулировании.
Как сказал Алексей Рокотян, Минкомсвязи сделало сильный ход, предоставив участникам отрасли возможность предлагать “правильные” законы. Фактически это вызов ИТ-профессионалам: не хотите так, как есть, покажите, как надо. По мнению г-на Рокотяна, деятельность групп станет проверкой отрасли на зрелость. Он сообщил, что динамика развития отрасли и накопившиеся общеотраслевые противоречия в действующих законах пока не дали его группе возможности заняться специальными вопросами ИБ. В работе группы Игоря Масленникова дело тоже пока не спустилось с уровня задач построения моделей отрасли и ее регулирования до специальных проблем регулирования направления ИБ.
Международные аспекты
В условиях глобализации, стимулируемой развитием Интернета, важное значение приобрели задачи “сопряжения правил игры”, действующих в разных странах. В их решении одну из первых ролей играют процессы международной стандартизации. По мнению генерального директора компании “Синтерра” Виктора Слизеня, наша страна в этом направлении явно недорабатывает. Он обратил внимание на недостаточное госфинансирование участия российского представительства в международных организациях, из-за чего Россия ощутимо проигрывает, в том числе в технической реализации национальной системы ИБ, поскольку страна слабо представлена в процессе разработки международных стандартов, но вместе с тем вынуждена их использовать.
Конкретный пример недоиспользования Россией своих возможностей на международном рынке привел инженер-консультант Cisco Михаил Кадер, отметивший, что наиболее “продвинутые” услуги в области криптографии базируются на зарубежных стандартах. Это свидетельствует о том, что российскому государству недостает активности в участии в международном процессе стандартизации, чтобы продвигать национальные наработки. В стране, по мнению г-на Кадера, отсутствует сформулированная с участием профессионалов политика государства в области функционирования ИТ. “Остается надеяться на то, что в течение нескольких ближайших лет мы станем свидетелями существенного изменения политики государства в этой области” — подытожил он, отметив, что такие организации, как АДЭ, позволяют специалистам хоть как-то влиять на ИКТ-деятельность государства.
По выражению начальника бюро специальных технических мероприятий МВД РФ Бориса Мирошникова, уникальное свойство Интернета — трансграничность — российскими силовиками оценивается как зловредное из-за того, что силовым структурам все еще не удается в должной мере организовать взаимодействие с коллегами из других стран. Им тоже мешает несогласованность нормативно-правовых баз.
Бизнес-аспекты
По мнению председателя совета директоров компании “Интервэйл” Игоря Милашевского, недостаточная активность регуляторов финансового рынка в деле использования ИТ-инноваций привела к тому, что сегодня развиваются в основном технологии для наличных расчетов — именно те, где на его взгляд производится основная часть незаконных операций. Он также обратил внимание участников конференции на растущую потребность в удаленных безопасных банковских сервисах с помощью мобильного телефона как платежного терминала, на необходимость обеспечить их удобство и безопасность.
Издержки регулирования ИТ, считает Виктор Слизень, привели к противостоянию интересов владельцев информации и операторов связи. Требуемый законом уровень ИБ делает невозможным внедрение информационных сервисов, заключает он и приводит простой пример: “Чтобы дешево (иначе эту информацию купят на компакт-диске в каком-нибудь киоске вместе с украденной БД) продать справку о том, где живет тот или иной человек, оператору нужно обеспечить защиту этих персональных данных, а она стоит, по нашим оценкам, около 1,5 млн. долл.”. Такое положение дел, по его мнению, препятствует насыщению рынка информационными сервисами. “Операторам хотелось бы по-честному поделиться вложениями в ИБ с другими участниками рынка, ведь интерес здесь не только у них. ИБ должна обеспечиваться взаимными усилиями”, — считает г-н Слизень. Он также обращает внимание на то, что существующее положение с обеспечением ИБ создает для новых игроков очень высокий барьер выхода на рынок.
Генеральный директор компании “Яндекс” Аркадий Волож обратил внимание на проблему организации и поддержки молодого интернет-бизнеса. По его мнению, регулирование здесь во многом касается организации работы коллективов, а не вопросов использования технологий. Он поделился опытом своей компании, придерживающейся в этой области трех принципов: инновационными ИТ-фирмами должны управлять те, кто их создал; их нужно поддерживать как несырьевую альтернативу развития страны; стартапы, пробившиеся в крупный, национальных масштабов бизнес, должны выполнять специальные (прозрачные для самих компаний, их инвесторов и общественности) правила, государство, отвечающее за национальную безопасность, вправе требовать этого от них как от стратегически важного ресурса.
Борис Мирошников указал на то, что при ныне действующих законах нашим интернет-провайдерам невыгодно отвечать за содержание трафика со всеми вытекающими отсюда последствиями в виде DDoS-атак, спама, фишинга, порнографии и т. д. Он также упомянул, что требование закона “О персональных данных” защищать информацию о клиентах операторы связи порой используют как повод для отказа предоставлять сведения МВД. “Но разве когда ведется расследование преступления, граждане не вправе рассчитывать на защиту от преступников?” — задал он риторический контрвопрос. Как видим, новые законы не всегда устраняют существующие в жизни общества противоречия, порой даже порождают дополнительные.
Этические аспекты
На анонимность в Сети как на препону обеспечения ИБ указывают уже не только силовики. Так, по мнению Виктора Слизеня, гораздо эффективней обеспечить надежную аутентификацию и неотвратимость наказания за нарушение законов (как это делается, например, в США), чем строить высокие заборы вокруг охраняемых ресурсов (как это делается у нас).
Аркадий Волож напомнил, что Сеть не привнесла в человеческую культуру в сфере отношения к анонимности ничего нового. Здесь, как и всюду, необходим здравый баланс, ведь Сеть — не единственное место, куда людей сегодня пускают “без паспорта”. Не нужна аутентификация пользователей и большей части интернет-приложений, считает Аркадий Волож.
“Люди оставляют “логи” своего поведения не только в Сети, но это не означает, что слежка за нами идет постоянно. Зато благодаря этим логам (по отслеживанию телефонных звонков, по записям видеокамер, по статистике в Интернете) быстрее раскрываются преступления”, — подчеркнул он.
Вместе с тем есть ситуации, когда человек сам стремится авторизовать себя в Интернете, к примеру, для соблюдения авторских прав. Случаются и обратные ситуации, когда хочется потребовать “на сцену” автора (например, непристойного контента, предоставленного помимо желания получателя).
По мнению участников конференции, из технической проблемы ИБ превращается в проблему общества в целом. Динамичность развития технологий диктует необходимость адекватной динамики в области законодательного регулирования направления ИБ. Как считают члены АДЭ, для профессионалов ИКТ-сегмента сейчас возникла реальная возможность перехода от разговоров к конкретным действиям и влияния на законодательное регулирование ИТ в целом и ИБ в частности.
