БЕЗОПАСНОСТЬ
Евгений Роговский, Павел Шариков
В сентябре 2002 года в Институте США и Канады РАН был завершен очередной этап исследований, посвященных влиянию государства на развитие в Америке сферы информационных технологий.
Во второй половине ХХ века на эту сферу существенное воздействие оказывали все ветви государственной власти США - и законодательная, и исполнительная, и судебная, основными ориентирами деятельности которых можно считать (соответственно) налоговое стимулирование, федеральные программы исследований и развития информационных технологий, а также антимонопольные процессы.
В начале XXI века на проблемы национальной безопасности администрацию президента Буша заставили обратить серьезное внимание террористические акты, совершенные 11 сентября 2001 г. Год спустя была подготовлена новая Стратегия национальной безопасности США. Но жертвой террористических нападений оказались не только башни Международного торгового центра в Нью-Йорке - Соединенные Штаты подверглись также атакам кибертеррористов (в качестве примеров были приведены нацеленные на американские сайты кибератаки вирусов NIMDA и Code Red). ИТ-преступления совершаются все чаще, они становятся более изощренными и причиняют все больший ущерб. Американскому государству надо было решать задачу обеспечения информационной безопасности страны.
Это потребовало дополнить Стратегию национальной безопасности специальным документом - Стратегией национальной безопасности США в киберпространстве. В этом документе официально признается то, о чем раньше говорилось только в кулуарах, в частности, констатируется, что жизнь американцев стала сильно зависеть от информационных технологий, от различных составляющих национальной инфраструктуры, которые оказались весьма уязвимыми для атак кибертеррористов. По мнению федерального правительства США, государство не готово противостоять подобным угрозам, оно просто не в состоянии обеспечить соответствующими системами компьютерной безопасности все компоненты частного сектора - банки, энергетические компании, предприятия транспорта и т. д.
Администрация обратила внимание на то, что одной из центральных является проблема неэффективности американской правоохранительной системы (в том числе законодательства). Как выяснилось, в этой сфере законодательство США не соответствует масштабу сформировавшихся в настоящее время угроз киберпреступности. Более того, складывается впечатление, что дальнейшее продвижение в направлении рыночной либерализации сферы ИТ-технологий без адекватных средств защиты национального киберпространства, повышения технического уровня правоохранительной и судебной системы не только нерационально, но даже опасно. Для борьбы с преступностью в области ИТ-технологий - защиты критических элементов инфраструктуры от кибертеррористов, а пользователей от мошенничества (онлайнового грабежа), обеспечения конфиденциальности информации, защиты прав интеллектуальной собственности на элементы ИТ-технологий, копирайта и пр. - потребовалось существенное развитие всей правоохранительной системы.
В стратегии подробно рассматриваются угрозы нанесения ущерба, приводятся рекомендации, как избежать их, акцентируется роль государства в противодействии преступлениям, совершаемым с помощью ИТ-технологий. Поскольку именно пользователь знает слабые места своего участка киберпространства, в деле обеспечения информационной безопасности правительство ориентируется на совместные усилия государства, бизнеса и частных лиц*, и в этом каждый заинтересованный должен оказывать федеральному правительству посильное содействие**.
В чем же может состоять такая заинтересованность?
Как известно, традиционным средством борьбы с киберпреступностью является распространение новых программных продуктов, реализующих системы информационной безопасности. Очевидно, что такие системы тоже со временем могут быть взломаны, причем информация об их взломе стимулирует спрос на новые разработки. При этом информационная безопасность опирается на оперативные данные о том, какие программные средства уже взломаны или устарели и не могут больше выполнять охранные функции, а также об ускоренной амортизации соответствующих видов электронного оборудования и программного обеспечения.
Однако всего этого, по нашему мнению, недостаточно. Для повышения конкурентоспособности программных средств и эффективности борьбы с их пиратским распространением предоставляемые фирмой гарантии высокого качества своей продукции и услуг должны быть дополнены коммерческим страхованием рисков нарушения непрерывности бизнеса (связанных со взломами этих продуктов).
Объемы продаж средств защиты от киберпреступлений могут существенно возрасти, если эффективность их действия будет подкреплена финансовыми обязательствами авторитетной страховой компании.
Важно отметить, что с учетом глобального характера информационнных технологий в своем противодействии киберпреступности США должны опираться на международное сотрудничество. В связи с этим, как и большинство других стран, они намерены присоединиться к принятой в ноябре 2001 года Советом Европы Конвенции по киберпреступлениям. По той же причине сотрудничество в области кибербезопасности может стать одним из ведущих направлений российско-американского взаимодействия.
По нашему мнению, фундамент такого сотрудничества должны создать не мидовские чиновники, а специалисты коммерческих фирм, определяющие баланс между инновациями и возможностями информационной защиты, а также страховые компании, специализирующиеся на страховании непрерывности бизнеса от компьютерных преступлений.
Авторы - сотрудники Центра проблем промышленной политики ИСК РАН.
*Первые шаги в этом направлении были сделаны (при Клинтоне) генеральным прокурором США Джанет Рено, которая неоднократно обращала внимание на необходимость сотрудничества государства и частных предпринимателей. В 1998 году по распоряжению президента Б. Клинтона в ФБР было создано специальное подразделение по борьбе с киберпреступностью (NIPC - National Infrastructure Protection Center).
**В качестве таких пользователей можно рассматривать: домашних пользователей и мелких предпринимателей, крупные компании, правительственные и неправительственные структуры, вузы, структуры национального и глобального уровня.
