Статья опубликована в рамках проекта «Посткризисное мироустройство: вызовы и технологии, конкуренция и сотрудничество» по гранту Министерства науки и высшего образования РФ на проведение крупных научных проектов по приоритетным направлениям научно-технологического развития (Соглашение № 075-15-2020-783).
Информационно-коммуникационные технологии (ИКТ) лежат в основе обработки больших данных, квантовых вычислений, дополненной и виртуальной реальности, блокчейна, интернета вещей и иных направлений цифрового развития, составляющих фундамент научно-технического прогресса.
Уже в 2017 г. глобальное производство товаров и услуг ИКТ составило примерно 6,5% валового внутреннего продукта, и около 100 млн человек были заняты в секторе цифровых услуг[1]. Возрастающая зависимость современного мира от ИКТ предопределяет необходимость обеспечения их безопасной и устойчивой работы. В особенности это относится к критически важной инфраструктуре (КВИ), её защита от кибервоздействий стала одной из важнейших задач национальной безопасности, и развитые страны заняты активной работой по созданию соответствующих доктринальных, нормативно-правовых, организационных и технических основ. Отрасли, подлежащие защите, – это, среди прочего, системы энерго- и водоснабжения, объекты повышенной опасности[2], а также информационной инфраструктуры. Значительная часть киберугроз в этой сфере не связана напрямую с военной деятельностью государств.
Обеспечение кибербезопасности критически важной инфраструктуры
Международное сообщество пока не выработало общепринятого определения «критически важной инфраструктуры», но таковые есть на национальном уровне – зачастую, не единые. Например, глоссарий американского Национального института стандартов и технологий (NIST) насчитывает пять определений КВИ.
США решают проблему защиты КВИ от кибератак уже более 25 лет. Так, в 1997 г. в докладе президентской комиссии по защите КВИ отмечено, что «инфраструктура гражданского и военного секторов в возрастающей степени зависима от телекоммуникаций и компьютеров… Киберугрозы реальны»[3]. Текущая политика США в области защиты КВИ определяется президентской директивой № 21 (PPD-21): Безопасность и устойчивость критической инфраструктуры, принятой в 2013 году[4]. Федеральное правительство совместно с владельцами и операторами КВИ и органами местного самоуправления принимает упреждающие меры по управлению рисками и укреплению безопасности и устойчивости критической инфраструктуры, с учётом всех опасностей. Под опасностями в документе понимаются «стихийные бедствия, киберинциденты, промышленные аварии, пандемии, террористические акты, саботаж и разрушительная преступная деятельность, направленная против критически важной инфраструктуры»[5]. Актуальное на данный момент определение КВИ приведено в USA Patriot Act[6], принятом после терактов 11 сентября 2001 г., – «системы и активы, физические или виртуальные, настолько жизненно важные для Соединённых Штатов, что их выход из строя или разрушение окажет пагубное воздействие на национальную безопасность, экономическую безопасность, общественное здравоохранение или общественную безопасность». Согласно упомянутой Директиве № 21, в число объектов КВИ входят предприятия 16 категорий: химическая промышленность, торговые предприятия, системы связи, важнейшие производственные предприятия, плотины, военно-промышленная база, службы спасения, энергетика, финансовые услуги, производство продовольствия и сельское хозяйство, государственные учреждения, институты здравоохранения, предприятия, связанные с информационными технологиями, ядерные реакторы, материалы и отходы, транспортные системы, системы водоснабжения и водоотведения.
Система кибербезопасности КВИ в США непрерывно развивается. Так, президентский указ[7], подписанный после атаки хакеров на трубопровод Colonial Pipeline[8] в мае 2021 г., предусматривает устранение барьеров для обмена информацией об угрозах между правительством и частным сектором; внедрение более строгих стандартов кибербезопасности в федеральном правительстве; повышение безопасности цепочки поставок программного обеспечения; создание специализированной структуры для изучения крупных инцидентов и стандартного руководства по реагированию на киберинциденты.
ЕС начал развивать соответствующую систему в 2004 г., когда Комиссия европейских сообществ приняла коммюнике о защите объектов критической инфраструктуры в борьбе с терроризмом[9]. К объектам КВИ относятся «те физические и информационные технологические объекты, сети, услуги и активы, которые в случае нарушения или уничтожения могут оказать серьёзное влияние на здоровье, безопасность, защищённость или экономическое благополучие граждан или на эффективное функционирование правительств государств-членов»[10]. В их числе: энергетические установки и сети; коммуникационные и информационные технологии; финансовые институты; здравоохранение; производство продуктов питания; водоснабжение; транспорт; производство, хранение и транспортировка опасных грузов; правительственные структуры. Эти инфраструктуры принадлежат или эксплуатируются как государственным, так и частным сектором, однако в коммюнике 574/2001 от 10 октября 2001 г. Комиссия заявила: «Укрепление некоторых мер безопасности… после нападений, направленных против общества в целом, а не против участников отрасли, должно осуществляться государством». Если в документе 2004 г. основной угрозой КВИ назван терроризм, то, согласно Стратегии кибербезопасности ЕС 2020 г., ландшафт угроз безопасности осложняется геополитической напряжённостью в отношении глобального и открытого интернета и контроля над технологиями по всей цепочке поставок. Соответственно, особое значение придаётся мерам достижения технологического суверенитета[11]. Стремление отдельных государств возвести «цифровые границы» упоминается как угроза глобальному и открытому киберпространству и «ключевым ценностям ЕС».
Фактически намечено постепенное движение к суверенизации европейского сегмента глобальной сети и установлению пресловутых цифровых границ. Так, в рамках подготовки к экстремальным сценариям, влияющим на целостность и доступность глобальной корневой системы DNS, предполагается создание европейской службы по обработке DNS-запросов – DNS4EU.
В России принят ряд нормативно-правовых документов и документов стратегического планирования, регламентирующих защиту объектов КВИ, в частности: Доктрина информационной безопасности Российской Федерации[12], Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации (2012 г.)[13], Федеральный закон от 26 июня 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»[14], Указ Президента РФ от 22 декабря 2017 г. № 620 «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»[15]. Под объектами КВИ понимаются те, нарушение (или прекращение) функционирования которых «приводит к потере управления, разрушению инфраструктуры, необратимому негативному изменению (или разрушению) экономики страны, субъекта Российской Федерации либо административно-территориальной единицы или существенному ухудшению безопасности жизнедеятельности населения, проживающего на этих территориях, на длительный срок»[16]. В соответствии с Федеральным законом № 187-ФЗ, к объектам критической информационной инфраструктуры отнесены: «информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности».
Для противодействия атакам на КВИ создана Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Система является всеобъемлющей, так как, в соответствии с концепцией её функционирования[17], помимо обнаружения, предупреждения и ликвидации, она должна проводить научные исследования в сфере разработки и применения средств и методов обнаружения, предупреждения и ликвидации последствий компьютерных атак, заниматься подготовкой необходимых кадров. В 2018 г. в рамках системы создан Национальный координационный центр по компьютерным инцидентам (НКЦКИ), который обеспечивает координацию «деятельности субъектов критической информационной инфраструктуры РФ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты»[18]. Фактически это GovCERT – государственная группа реагирования на компьютерные инциденты – с соответствующими полномочиями[19].
Различные центры координации кибербезопасности созданы и в США – Агентство по кибербезопасности и защите инфраструктуры (CISA – действует с 2018 г.), и в ЕС – Европейское агентство по сетевой и информационной безопасности (ENISA), функционирующее с 2005 года. CISA обеспечивает защиту федеральных гражданских правительственных сетей, а также является национальным координатором по безопасности и отказоустойчивости КВИ, в том числе в сфере усилий по национальной киберзащите, и обеспечивает своевременный обмен информацией между государственным и частным сектором[20]. ENISA является экспертным центром в области кибербезопасности и оказывает помощь в разработке и реализации политик кибербезопасности, а также способствует наращиванию потенциала[21]. Агентство работает над созданием и поддержанием европейской системы сертификации кибербезопасности, повышением уровня осведомлённости, кибергигиены и киберграмотности среди граждан, организаций и предприятий.
Среди особенностей китайского подхода к обеспечению безопасности и устойчивости КВИ, например, – меньшее вовлечение частного сектора в подготовку соответствующих норм, а также отсутствие «привязки» к международным стандартам[22]. Между принятием закона о кибербезопасности и нормативов в части критической инфраструктуры прошло без малого пять лет[23]. Статья 2 документа, вступившего в силу в сентябре 2021 г., относит к КВИ следующие отрасли и секторы: государственные телекоммуникации и информационные услуги; энергетика; транспорт; водоснабжение; финансы; государственные услуги; электронное правительство; наука, технологии и промышленность в сфере национальной обороны; прочие элементы, «разрушение, потеря функциональности или утечка данных в части которых может нанести серьёзный ущерб национальной безопасности, национальной экономике и жизнеобеспечению людей или общественным интересам»[24].
Глобальные вызовы кибербезопасности КВИ
Глобализация способствовала разделению труда между странами и регионами. В отношении разработки и производства микроэлектроники это привело к появлению, с одной стороны, контрактных фабрик (создающих на своём оборудовании микросхемы для заказчиков со всего мира), а с другой – «бесфабричных» (fabless) компаний, которые занимаются именно разработкой и проектированием микросхем. Объём мирового рынка полупроводников составил в 2021 г. 555 млрд долларов[25], около 20% от всех полупроводников изготовлены на Тайване, а в целом на страны Восточной Азии приходится 70% их производства[26]. Уязвимые стороны коммерческих программных и аппаратных продуктов хорошо изучены хакерами, а перенос производства за рубеж создаёт угрозу внедрения закладок. Ввиду же роста международной напряжённости цепочки поставок под постоянной угрозой. Значительные перебои вызывают даже ограниченные по времени стихийные бедствия и техногенные катастрофы[27]. Предугадать последствия продолжительных нарушений цепи поставок (например, при военно-политической эскалации) для глобального рынка микроэлектроники сложно.
Геополитические риски стали одним из ключевых факторов торговой войны между Соединёнными Штатами и Китаем, развернувшейся в 2018 году. В августе 2022 г. США приняли CHIPS and Science ACT[28], призванный обеспечить лидерство в промышленности «завтрашнего дня», включая нанотехнологии, чистую энергию, квантовые вычисления и искусственный интеллект, путём развития национального производства и цепочек поставок. В отрасль полупроводников предполагается инвестировать сотни миллиардов долларов. На выделяемые средства наложены ограничения, которые гарантируют, что их получатели не будут строить определённые объекты в Китае и других странах, вызывающих обеспокоенность.
В КНР создаётся независимая ИКТ-инфраструктура из четырёх основных элементов: базовое оборудование, базовое программное обеспечение, прикладное программное обеспечение и информационная безопасность. Во всех этих категориях уже есть ключевые предприятия, важно взаимодействие ИТ-компаний, исследовательских центров и университетов[29]. Кроме того, для достижения независимости китайской высокотехнологичной промышленности важную роль играет т.н. «гражданско-военный синтез» (civil-military fusion), возможность взаимообмена ресурсов и разработок[30].
Несмотря на жёсткое давление США, микроэлектронная промышленность КНР сохраняет устойчивость, пусть и отстаёт от передового уровня. В 2014 г. Госсовет КНР издал «Руководство по продвижению национального производства интегральных схем», вслед за чем создан соответствующий инвестиционный фонд. С 2015 г. запущена программа «Сделано в Китае 2025». Уже в 2020 г. Госсовет КНР издал новый документ, предусматривающий меры «содействия высококачественному развитию индустрии интегральных микросхем и индустрии программного обеспечения в Новую Эру», под которой косвенно понимается интенсификация противоборства с Соединёнными Штатами[31]. Параллельно создаётся собственная экосистема программного обеспечения с открытым исходным кодом для повышения статуса КНР в данной области[32].
Локализация производств направлена на создание технологических кластеров, также она может обусловить технологическую зависимость менее развитых государств от передовых стран, что также является для первых невоенным вызовом кибербезопасности критически важной инфраструктуры. Сегодня это наиболее явно происходит в сфере технологий искусственного интеллекта (ИИ). В докладе специальной рабочей группы Минобороны Франции (2019 г.) сказано: «Две сверхдержавы, США и Китай, находятся вне досягаемости других государств[33]. Обе страны контролируют огромный объём данных, обладают экосистемой, основанной на мощных глобальных интеграторах… и могут использовать свои научные и финансовые ресурсы для дальнейшего усиления своего господства». В «Докладе о цифровой экономике 2021» Конференции ООН по торговле и развитию (ЮНКТАД)[34] отмечено, что на США и Китай приходится «половина мировых гипермасштабируемых центров обработки данных, самые высокие темпы внедрения 5G в мире, 94% всего финансирования стартапов в области ИИ за последние пять лет, 70% ведущих учёных в сфере ИИ в мире и почти 90% рыночной капитализации крупнейших мировых цифровых платформ: “Эпл”, “Майкрософт”, “Амазон”, “Алфабет” (“Гугл”), “Фейсбук”, “Тенсент” и “Алибаба”».
В 2020 г. комиссар ЕС по внутреннему рынку Тьерри Бретон заявил: «Перед лицом “технологической войны” между США и Китаем Европа должна заложить основы своего суверенитета на следующие 20 лет», а некоторые из направлений будут развиваться с привлечением ресурсов Европейского оборонного фонда[35]. В феврале 2020 г. принята Белая книга Европейской комиссии по искусственному интеллекту, где отмечено стремление Евросоюза стать «мировым лидером в области инноваций в экономике данных и её приложениях»[36]. В апреле 2021 г. принята программа «Цифровая Европа» для повышения инновационной мощи ЕС и устранения зависимости от систем и решений, разработанных в других регионах мира[37]. В рамках этой программы в 2021‒2027 гг. планируется потратить более 7,5 млрд евро бюджетных средств. 8 февраля 2022 г. Европейская комиссия приняла Европейский закон о чипах[38]: инвестиции в размере 43 млрд евро до 2030 г. должны удвоить долю ЕС на мировом рынке полупроводников – до 20%. Финансирование высокотехнологичных отраслей, в том числе электроники, также будет осуществляться в рамках ранее объявленных программ «Европейские горизонты» (бюджет до 2027 г. около 100 млрд евро)[39]и «Программа цифровой Европы»[40].
В рамках реализации соответствующих указов президента (от 07.05.2018 № 204 и от 21.07.2020 № 474) сформирована национальная программа «Цифровая экономика Российской Федерации», в которую входят в том числе такие федеральные проекты, как «Нормативное регулирование цифровой среды» и «Информационная безопасность», а также «Цифровые технологии»[41]. Документы стратегического планирования в сфере развития микроэлектронной промышленности также появились сравнительно давно (например, в 2007 г. утверждены соответствующие Стратегия[42] и Федеральная целевая программа[43]), однако эффективность их реализации оставляет желать лучшего. Так, глава комитета Совета Федерации по конституционному законодательству и государственному строительству Андрей Клишас в мае 2022 г. прямо заявил: «Программа импортозамещения провалена полностью»[44]. Одна из ключевых проблем отечественной высокотехнологичной микроэлектроники – приоритетность военного заказчика. При этом развитие соответствующих технологий по состоянию на 2019 г. практически по всем направлениям составляло от 20 до 60% мирового уровня[45]. Санкционное давление привело к сворачиванию присутствия как крупных фабрик и поставщиков компонентов, необходимых для производства на территории России, так и к опасениям более мелких предприятий, например, из Китая, большая часть продукции которых остаётся ориентированной на западные рынки[46]. Впрочем, проблема осознаётся. Так, в 2020 г. принята Стратегия развития электронной промышленности до 2030 г.[47], а председатель правительства Михаил Мишустин заявил, что предусмотрены «инфраструктурные инвестиции в размере 142 млрд рублей. Общие инвестиции до 2024 г. в связанные с микроэлектроникой отрасли составят примерно 266 млрд рублей»[48].
Локализация и/или импортозамещение могут преследовать различные цели, зачастую одновременно, например: снижение уязвимости ИКТ в гражданской сфере; создание потенциала для высокотехнологичного производства в военной сфере; борьба с другими производителями за доли рынка; создание условий для формирования новой национальной экономики; обеспечение занятости граждан, а также привлечение талантливых иммигрантов путём запуска перспективных проектов и создания высокооплачиваемых рабочих мест.
Вопросы устойчивости КВИ неразрывно связаны с непрерывным и стабильным функционированием глобальных информационных сетей и проблематикой управления интернетом. Корпорация ICANN, которая большую часть своего существования была подотчётна правительству США, сегодня формально является независимой, но применяемый в ней подход мультистейкхолдеризма (т.е. участия всех заинтересованных сторон) не позволил обеспечить значимое представительство России и Китая, в том числе на уровне компаний. Так, на середину 2022 г. их нет в совете директоров[49]. ICANN занимается координацией системы присвоения имён интернета, и тем самым управляет его развитием[50]. Одной из важнейших функций является разработка интернет-протоколов и соответствующих политик, поскольку это предопределяет качества ИКТ-среды – в том числе её безопасность. Адресация протокола IPv6, например, теоретически может ликвидировать анонимность в сети – если у каждого устройства есть свой индивидуальный IP-адрес, и они работают друг с другом напрямую.
В апреле 2022 г. в Соединённых Штатах представлена «Декларация о будущем интернета»[51], которая подтверждает приверженность стран-партнёров (помимо США это ещё почти 60 государств) единому глобальному интернету – открытому и поощряющему конкуренцию, конфиденциальность и уважение прав человека. Сущность Декларации заключается в консолидации сторонников американского взгляда на развитие глобальной сети и идеологического отделения тех стран, которые не согласны с монополизацией управления глобальной информационной инфраструктурой.
Так, в России принят закон «О персональных данных» от 27 июля 2006 г. № 152-ФЗ и ряд дополнений к нему[52], в соответствии с которым базы данных, использующиеся для хранения персональной информации, должны находиться на территории Российской Федерации. В 2019 г. одобрен т.н. «закон о суверенном Рунете» – Федеральный закон от № 90-ФЗ «О внесении изменений в Федеральный закон “О связи” и Федеральный закон “Об информации, информационных технологиях и о защите информации”»[53], он позволил, среди прочего, создать независимую от внешних факторов национальную систему маршрутизации интернет-трафика.
Ещё в 2012 г. начали обсуждать проблему «перекрёстка» в развитии глобальной сети – сохранение её единства или «балканизация», т.е. создание отдельных независимых «интернетов»[54]. В 2015 г. призывы к недопущению такой эволюции сочетались с рассуждениями о «предательских» действиях Эдварда Сноудена. Обнародованные им материалы Агентства национальной безопасности заставили многих усомниться в справедливости существующего положения дел[55]. В 2018 г. отдельно подчеркивались негативные последствия для международной экономики нескоординированного регулирования интернета национальными правительствами[56]. В 2020 г. стали обсуждать фактор идеологических подходов, а также более крупных, многосферных конфликтов, которые ведут к «балканизации» интернета[57]. В 2021 г. тезис о «смерти интернета, каким мы его знаем» уже носил фаталистический характер, пусть и сопровождался призывом отбросить разногласия и вести совместную работу[58]. К 2022 г. сочетание букв VPN стало аббревиатурой, понятной практически каждому в связи с различными взаимными ограничениями на доступ к информационным площадкам и социальным сетям. Так, из России «по умолчанию» недоступно большинство американских «околовоенных» сайтов в домене .mil, а также ряд сайтов предприятий ОПК, в то время как с территории Соединённых Штатов недоступен, например, сайт Роскосмоса.
Вероятный вектор развития глобальной сети описан в докладе американского Совета по международным отношениям «Противостояние реальности в киберпространстве»: «Политика США, продвигающая открытый глобальный интернет, потерпела неудачу, и Вашингтон не сможет остановить или повернуть вспять тенденцию к фрагментации»[59]. Рекомендуется «консолидировать союзников и друзей вокруг такого видения интернета, которое в максимально возможной степени сохранит эту надёжную и защищённую международную платформу коммуникации»[60].
* * *
Обеспечение кибербезопасности КВИ за последние 20 лет стало одной из важнейших задач развитых стран. В условиях чрезвычайной международной напряжённости всё чаще возникают вопросы об устойчивости цепи поставок в сфере микроэлектроники, а также о формировании собственных технологических кластеров. Принимая во внимание политическую составляющую этих взаимосвязанных и взаимозависимых вопросов, можно констатировать, что достижение и поддержание технологического суверенитета становится императивом международных отношений. Менее развитые страны находятся в уязвимом положении и рискуют стать жертвами технологического неоколониализма. Им придётся использовать и оплачивать технологические наработки и услуги «метрополии» при полной неспособности развивать национальные компетенции. Решая задачу кибербезопасности своей КВИ, ряд развитых государств бросает вызов в сфере кибербезопасности всем остальным. Подобный сценарий обретает всё более явственные черты на фоне усилий по локализации производства высокотехнологичной микроэлектроники. Развитые страны вне технологических кластеров столкнутся с дилеммой – примкнуть к одному из них или пытаться использовать имеющиеся ресурсы – как минимум для создания национальных аналогов наиболее критически важных технологий, как максимум – собственной конкурентоспособной технологической платформы. Альтернативой могло бы стать международное сотрудничество в рамках ООН, которая приложила немалые (хотя и недостаточные[61]) усилия к преодолению цифрового разрыва.
Группа правительственных экспертов ООН по достижениям в сфере информатизации и телекоммуникаций в контексте международной безопасности выработала нормы, правила и принципы ответственного поведения государств. Например, они должны «принимать надлежащие меры для защиты своей КВИ от угроз в сфере ИКТ, принимая во внимание резолюцию 58/199 Генеральной Ассамблеи о создании глобальной культуры кибербезопасности и защите важнейших информационных инфраструктур и другие соответствующие резолюции». Текущая политическая обстановка не способствует эффективности многосторонних форматов, и государства зачастую заняты не урегулированием, а стимулированием разногласий, что иллюстрирует и происходящее в Рабочей группе открытого состава ООН по вопросам ИКТ[62].
Подчеркнём ключевые глобальные тенденции, ряд которых взаимосвязан:
растущий интерес правительств, международных организаций, деловых кругов и общественности к проблематике кибербезопасности; локализация производства программного обеспечения и оборудования и переформатирование цепочек производства микроэлектроники; создание конкурирующих национальных и региональных технологических экосистем; укрепление национальных и региональных технических возможностей по управлению информационно-телекоммуникационными сетями, что можно характеризовать как предтечу фрагментации глобальной сети.
С высокой долей вероятности можно прогнозировать наращивание противоборства в сфере ИКТ, сопровождающееся попытками обезопасить собственную КВИ как через её «автономизацию», так и через международные договорённости.