Кибератаки: как государства реагируют на инциденты, затрагивающие кибербезопасность информационных систем на современном этапе международного информационного права | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 5 февраля, печатный экземпляр отправим 9 февраля.

Опубликовать статью в журнале

Автор:

Рубрика: Юриспруденция

Опубликовано в Молодой учёный №48 (390) ноябрь 2021 г.

Дата публикации: 27.11.2021

Статья просмотрена: 17 раз

Библиографическое описание:

Власенко, В. Э. Кибератаки: как государства реагируют на инциденты, затрагивающие кибербезопасность информационных систем на современном этапе международного информационного права / В. Э. Власенко. — Текст : непосредственный // Молодой ученый. — 2021. — № 48 (390). — С. 208-211. — URL: https://moluch.ru/archive/390/86008/ (дата обращения: 22.01.2022).



В статье автор рассматривает существующие механизмы реагирования государств, в частности, Соединенных Штатов Америки, Российской Федерации, а также государств Европейского союза на инциденты, затрагивающие кибербезопасность информационных систем.

Ключевые слова: кибепространство, киберпреступность, кибератака, механизмы реагирования, защитные меры, кибербезопасность информационных систем, поставщик цифровых услуг, оператор основных услуг.

При быстром развитии технологических реалий появление новых механизмов реагирования на атаки в сети «Интернет» набирают большую актуальность. Иногда государства, помимо создания правовых превентивных норм, проведения двусторонних переговоров по данной тематике и разработки безопасных операционных систем, вынуждены прибегать к отдельным концепциям военной науки.

Наиболее тесное сотрудничество происходит между Российской Федерацией (далее — РФ) и Соединёнными Штатами Америки (далее — США). При этом уделяется внимание всем возможным областям правовой и фактической информационной защиты. Так, 9 июля 2021 года президенты России и США Владимир Путин и Джо Байден провели телефонный разговор, в ходе которого было выбрано основное направление отношений двух стран по поддержанию международной кибербезопасности, а именно взаимодействие в сфере борьбы с киберпреступностью, устанавливающее при этом «постоянный, профессиональный и неполитизированный характер отношений» [3].

Многие технологические компании сегодня разрабатывают собственные стандарты кибербезопасности. Для извлечения прибыли и стабилизации экономической системы, корпорации применяют цифровые технологии, проводя большую часть финансовых операций через сеть «Интернет». Для корректного, достоверного и защищённого порядка и для минимизации рисков такие операции должны быть полностью защищены.

Механизмы реагирования на инциденты, затрагивающие кибербезопасность информационных систем («защитные меры по обеспечению безопасности информационных систем»), — явные и скрытые меры и операции в киберпространстве, предназначенные для сохранения и дальнейшего безопасного использования информации, а также защиты данных, сетей и информационных систем [6].

Несмотря на попытки государств выстраивать двусторонние и многосторонние отношения для реализации норм и правил по защите баз данных и предотвращении кибератак, основным механизмом реагирования остаются правовые нормы и законодательные акты государств.

На международном уровне правовое регулирование кибербезопасности включает директивы, которые обеспечивают безопасность информационных технологий и компьютерных систем и предоставляют возможность организациям защитить свои базы данных от кибератак, таких как вирусы-шифровальщики, несанкционированный доступ, DDoS-атаки и так далее. С подробным разбором инцидентов, затрагивающих кибербезопасность информационных систем, можно ознакомиться в статье Власенко В. Э. «Правовые аспекты инцидентов, затрагивающих кибербезопасность информационных систем на современном этапе международного информационного права» [2].

Родоначальником системы защиты информационного пространства является США. Появление большого количество корпораций, связанных с информационными технологиями (IT), таких как Microsoft Corporation (Корпорация «Майкрософт»), Apple («Эппл») и других, привело к резкому увеличению киберпреступлений.

В 2011 году Министерство обороны США приняло руководство под названием The 2011 U. S. Department of Defense Strategy for Operating in Cyberspace («Стратегия Министерства обороны по работе в киберпространстве 2011 года»), в котором сформулированы несколько основных направлений:

— принимать информационное пространство как область для оперативного действия;

— применять модернизированные концепции защиты сетей, систем и баз данных Министерства обороны;

— оказывать правовую поддержку иным агентствам и организациям [17].

Основными источниками, содержащими нормы противодействия и предупреждения кибератак на информационные системы США, являются:

  1. The Homeland Security Act of 2002 («Закон о внутренней безопасности 2002 года»), включающий Federal Information Security Modernization Act of 2014 (FISMA 2014) («Федеральный закон о модернизации информационной безопасности 2014 года») [19] [12];
  2. Comprehensive Crime Control Act of 1984 («Закон о всеобъемлющей борьбе с преступностью 1984 года»), включающий в себя Computer Fraud and Abuse Act of 1984 («Закон 1986 года о Компьютерных мошенничествах и злоупотребления информацией») в качестве поправки к нему [7], [8].

Первые два источника активно применяются в каждом правительственном учреждении Соединённых Штатов и определяют направления для разработки и детального употребления обязательных норм, принципов и стандартов безопасности информационных систем. Однако данные положения не охватывают некоторые области и группы, связанные с компьютерами, например, деятельность провайдеров Интернет-услуг (ISP) и разработка программного обеспечения [9]. К сожалению, в правилах не указан диапазон и виды норм, доступных к применению, отмечается только «разумный» уровень контроля.

Поправка в форме законодательного акта о компьютерных мошенничествах устанавливает ответственность за киберпреступления. Закон также включает:

— компьютерный шпионаж;

— несанкционированный доступ к скрытой информации;

— компьютерное мошенничество;

— умышленное или небрежное повреждение и/или уничтожение защищенных компьютеров и прочего [8].

Один из разделов закона посвящен экономическим киберпреступлениям и предусматривает увеличение штрафов за кражу интеллектуальной собственности американских компаний. Так, срок тюремного заключения за такое преступление может составлять от 15 до 20 лет [7]. При краже со взломом сети компьютерной инфраструктуры Соединенных Штатов, а именно телевизионной сети, электросети, каналов транспортной связи, систем управления водными ресурсами — срок тюремного заключения может составлять 30 лет без права на условно-досрочное освобождение [8].

При сравнении правовых норм Европейского Союза (далее — ЕС) и Соединённых Штатов следует учитывать различия в обществе, инфраструктуре и ценностях в данных странах. Зачастую нормы одного всеобъемлющего стандарта безопасности не могут быть оптимальным для снижения рисков всех государств в целом. В то время как стандарты США стремятся обеспечивать основу для урегулирования операций во всём мировом сообществе, Европейский Союз создаёт индивидуально-специализированные нормы для корпораций и предприятий, ведущих свою деятельность только на территории ЕС.

В рамках ЕС разработана стратегия единого цифрового рынка, законодательную основу для которого составляют и образуют:

  1. The European Union Agency for Cybersecurity (ENISA) (Агентство Европейского Союза по кибербезопасности) [18];
  2. The Directive on Security of Network and Information Systems (the NIS Directive) of 2016 («Директива о безопасности сетей и информационных систем 2016 года» (Директива NIS)) [14];
  3. The EU General Data Protection Regulation (GDPR) of 2016 («Общий регламент ЕС по защите данных 2016 года» (GDPR)) [13].

Первоначально Агентство Европейского Союза по кибербезопасности (ENISA) было создано Постановлением ЕС № 460/2004 Европейского парламента и Совета от 10 марта 2004 г. с целью контроля над всеми сетевыми и информационными аспектами безопасности для всех операций в ЕС. Данный документ был отменён и переписан. ENISA в настоящее время работает в соответствии с Регламентом (ЕС) № 526/2013 [10]. ENISA также активно сотрудничает с государствами-членами Европейского Союза для предоставления определённого перечня информационных услуг. В деятельности организации внимание акцентировано на трёх аспектах:

— рекомендации государствам-членам относительно действий при нарушениях безопасности;

— поддержка разработки и реализации политики для всех стран-членов ЕС;

— прямая поддержка ENISA с практическим подходом к работе с оперативными группами в ЕС [5].

ENISA как профильное агентство ЕС по кибербезопасности неоднократно выпускало и выпускает до сих пор исследования, охватывающие все основные вопросы информационной безопасности. Прошлые и текущие инициативы ENISA:

— облачная стратегия ЕС;

— открытые стандарты в области информационных коммуникационных технологий;

— стратегия кибербезопасности ЕС;

— координационная группа кибербезопасности [5].

ENISA также работает в сотрудничестве с существующими международными организациями по стандартизации, такими как ISO и ITU [15].

6 июля 2016 года Европейский парламент ввел в действие Директиву безопасности сетей и информационных систем (Директива NIS) [16].

Цель Директивы NIS — повышение общего уровня информационной безопасности и обеспечение информационно-технологического контроля за предприятиями Европейского Союза. Поставщики цифровых услуг (DSP) и операторы основных услуг (OES) — категории, деятельность которых регулирует данная директива. OES — любые виды организаций, деятельность которых напрямую связана с информацией, информационными системами, цифровыми услугами, т. е. в случае нарушения их кибербезопасности деятельность будет нарушена или прервана [11]. Несмотря на то, что DSP и OES несут ответственность за сообщение о серьезных инцидентах безопасности, нормы, применяемые к DSP, более лояльные, чем к операторам основных услуг, поскольку именно они организуют основную деятельность по защите и контролю за информационной безопасностью цифровых систем.

Общий регламент ЕС по защите данных (GDPR) был введен в действие 14 апреля 2016 года. Цель регламента — внедрить единый стандарт защиты данных для всех стран-членов ЕС. Применяется «географический фактор». Теперь при обработке данных гражданина ЕС организация попадает под действие GDPR вне зависимости от того, где именно обрабатываются эти данные [15].

В Российской Федерации Уголовный кодекс содержит главу 28 «Преступления в области компьютерной информации», которая включает в себя четыре статьи с 272 по 274.1:

— незаконный доступ к компьютерной информации;

— создание, использование и распространение вредоносных компьютерных программ;

— нарушение правила эксплуатации хранилищ, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей;

— неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации [4].

Уголовный кодекс России относит компьютерные преступления к преступлениям против собственности, а не к защите прав и свобод личности [1]. Санкции включают штрафы и тюремное заключение. Например, за незаконный доступ к компьютерной информации предусмотрен штраф в размере пятисот тысяч рублей или лишение свободы на срок до 7 лет [4].

Принимая во внимание, что преступления в цифровом пространстве становятся все более распространенными, Правительство России в настоящее время разрабатывает законопроект об ужесточении наказания за киберпреступления.

На мой взгляд, разработка и принятие вышеназванного законопроекта будет являться очень важным этапом не только в правовом аспекте развития данной сферы, но и в самом развитии кибербезопасности в стране. Россия постепенно должна принимать мощное развитие киберпространства и соответственно необходимым образом реагировать на это.

На данный момент в обществе, несмотря на быстрое развитие киберпространства, сложились механизмы реагирования государств на происходящие киберпреступления, однако они должны постоянно совершенствоваться и актуализироваться в связи с увеличивающимся ростом киберпреступлений в мировом сообществе.

Литература:

  1. Бородкина Т. Н., Павлюк А. В. Киберпреступления: понятие, содержание и меры противодействия. Социально-политические науки. № 1–2018. С. 158–160;
  2. Власенко, В. Э. Правовые аспекты инцидентов, затрагивающих кибербезопасность информационных систем на современном этапе международного информационного права // Молодой ученый. — 2021. — № 21 (363). — С. 180–183. — URL: https://moluch.ru/archive/363/81517/ (дата обращения: 20.11.2021);
  3. Кибербезопасность и Сирия. Что обсудили Путин и Байден в третьем телефонном разговоре. URL: https://tass.ru/politika/11871877 (дата обращения: 20.11.2021);
  4. Уголовный кодекс Российской Федерации» от 13.06.1996 N 63-ФЗ // СЗ РФ. 1996. № 25. Ст. 2954;
  5. About ENISA — The European Union Agency for Cybersecurity URL: https://www.enisa.europa.eu/about-enisa (дата обращения: 25.11.2021);
  6. CNSSI № 4009 Committee on National Security Systems (CNSS) Glossary of 06.04.2015 URL: https://rmf.org/wp-content/uploads/2017/10/CNSSI-4009.pdf (дата обращения: 20.11.2021);
  7. Comprehensive Crime Control Act of 1984 Pub.L. 98–473, S. 1762, 98 Stat. 1976;
  8. Computer Fraud and Abuse Act of 1984 S.2864–98th Congress (1983–1984);
  9. David Berteau , Steven L. Schooner Emerging Policy and Practice Issues. P.: GWU Legal Studies Research Paper No. 2016–1, Washington, 2016. р. 35;
  10. Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union». EUR Lex. 19 July 2016.;
  11. Directive on security of network and information systems (NIS Directive)". Digital Single Market. Retrieved 2017–03–12 URL: https://digital-strategy.ec.europa.eu/en/policies/nis-directive (дата обращения: 25.11.2021);
  12. Federal Information Security Modernization Act of 2014 S.2521–113th Congress (2013–2014);
  13. Home Page of EU GDPR. Официальный сайт. URL: https://gdpr-info.eu/ (дата обращения: 22.11.2021);
  14. Key Changes with the General Data Protection Regulation. EU GDPR Portal. URL: https://www.dlapiper.com/en/us/focus/eu-data-protection-regulation/key-changes/ (дата обращения: 22.11.2021);
  15. Purser Steve Standards for Cyber Security Best Practices in Computer Network Defense: Incident Detection and Response. P.: NATO Science for Peace and Security Series, Washington, 2017;
  16. Regulation (EU) no 526/2013 of the European Parliament and of the Council of 21 May 2013 concerning the European Union Agency for Network and Information Security (ENISA) and repealing Regulation (EC) No 460/2004;
  17. The 2011 U. S. Department of Defense Strategy for Operating in Cyberspace.URL:https://csrc.nist.gov/CSRC/media/Projects/ISPAB/documents/DOD-Strategy-for-Operating-in-Cyberspace.pdf (дата обращения: 25.11.2021);
  18. The European Union Agency for Cybersecurity (ENISA) (Агентство Европейского Союза по кибербезопасности). Официальный сайт. URL: https://www.enisa.europa.eu/;
  19. The Homeland Security Act of 2002. Public Law. 107–296—NOV. 25, 2002 107th Congress
Основные термины (генерируются автоматически): ENISA, GDPR, NIS, Европейский Союз, DSP, OES, система, информационная безопасность, компьютерная информация, Российская Федерация.


Ключевые слова

киберпреступность, кибератака, защитные меры, кибепространство, механизмы реагирования, кибербезопасность информационных систем, поставщик цифровых услуг, оператор основных услуг
Задать вопрос