автордың кітабын онлайн тегін оқу Криминология кибербезопасности. Том 4. Формирование и развитие междисциплинарного правового ресурса обеспечения криминологической кибербезопасности
В. Ф. Джафарли
Криминология кибербезопасности.
Формирование и развитие междисциплинарного правового ресурса обеспечения криминологической кибербезопасности
Монографическая серия
в 5 томах. Том 4
Под редакцией
доктора юридических наук, профессора, заслуженного юриста РФ
С. Я. Лебедева
Информация о книге
УДК 343.9
ББК 67.51
Д40
Автор:
Джафарли В. Ф., кандидат юридических наук, доцент, доцент кафедры уголовного права и адвокатуры РГУ имени А. Н. Косыгина (Технологии. Дизайн. Искусство), доцент кафедры уголовно-правовых дисциплин Российской академии адвокатуры и нотариата (г. Москва).
Рецензенты:
Иванцов С. В., доктор юридических наук, профессор;
Номоконов В. А., доктор юридических наук, профессор;
Осипенко А. Л., доктор юридических наук, профессор.
Под редакцией доктора юридических наук, профессора, заслуженного юриста Российской Федерации С. Я. Лебедева.
В монографии раскрываются вопросы, связанные с перспективой формирования и развития междисциплинарного правового ресурса обеспечения криминологической кибербезопасности. Проанализирован мировой правоохранительный опыт обеспечения безопасности в области информационно-коммуникационных технологий, определены перспективы предметного международного сотрудничества в этой сфере. Рассмотрены правовые, научно-практические, информационно-технологические, коммерческие и общественные ресурсы формирования и развития системы криминологической безопасности в сфере информационно-коммуникационных технологий, определены пути их модернизации. Обоснованы перспективы совершенствования предметных антикриминальных нормативных правовых ресурсов, связанных с предупреждением преступлений в сфере информационно-коммуникационных технологий.
Законодательство приведено по состоянию на 1 сентября 2021 г.
Материал работы предназначен для специалистов в области уголовного права и криминологии, правоохранительной деятельности, информационной безопасности, студентов, аспирантов и преподавателей образовательных учреждений и научных организаций, а так-же всех, кому интересны проблемы кибербезопасности и пути их решения в современном обществе.
УДК 343.9
ББК 67.51
© Джафарли В. Ф., 2021
© ООО «Проспект», 2021
Нужно внимательно пересмотреть устав пресечения
и предупреждения преступлений — и тогда все будет
благополучно! Я, по крайней мере, сильно склоняюсь
в пользу этого предположения, хотя, увы! и понимаю,
что мое личное убеждение и бессильно ввиду
предписаний закона!
М.Е. Салтыков-Щедрин.
«Благонамеренные речи», 1876 г.
В большинстве стран государственные учреждения
сильно отстают от коммерческих организаций
в отношении использования инструментария
электронной эпохи.
Билл Гейтс. «Бизнес со скоростью мысли», 1999 г.
ВВЕДЕНИЕ
Как нами было обозначено во введении ко второму тому настоящей монографической серии, самой по себе оптимизации и адаптации уголовно-правового и криминологического ресурсов к новым явлениям кибербезопасности явно недостаточно для ее реального обеспечения. Необходимо в столь желаемый нами процесс формирования и развития системы криминологической безопасности в сфере информационно-коммуникационных технологий (ИКТ) интегрировать уже существующие или же находящиеся на стадии разработки иные важные ресурсы, позволяющие результативно реализовать имеющиеся теоретические наработки. Отсюда возникает потребность в максимальном усовершенствовании и внедрении в систему криминологической безопасности как специализированных антикриминальных, так и иных социальных ресурсов. Очевидно, что так можно вплотную подойти к созданию реального механизма уголовного правоприменения, когда степень защищенности личности, общества, государства от традиционной или же информационно-технологической преступности достигнет, наконец, социального приемлемого уровня.
Перспективы междисциплинарного правового ресурса обеспечения состояния защищенности отмеченных объектов в ИКТ-сфере диктуют необходимость в реализации третьего предварительного этапа к формированию и развитию системы криминологической кибербезопасности — совершенствование комплекса антикриминальных ресурсов, в рамках которого представляется важным произвести:
1. Анализ состояния адекватности и оптимальности соответствия существующих мировых систем правоохранения и позиционируемых ими перспектив своей антикриминогенной деятельности целям криминологической безопасности в сфере информационно-коммуникационных технологий, аспектов обеспечения всемерного и полноценного развития предметного международного сотрудничества в этой сфере.
Прежде чем приступить к изучению перспектив формирования и развития системы криминологической кибербезопасности, связанной с совершенствованием комплекса предметных антикриминальных ресурсов, необходимым представляется формулирование ответа на важнейший для достижения цели настоящего исследования вопрос: «А на каком, собственно, уровне должна формироваться и развиваться рассматриваемая система — на общемировом, региональном (в данном случае европейском) или же национальном?» Разрешение данного вопроса, по сути, обусловливает дальнейший вектор обозначенной нами деятельности.
Учитывая трансграничность киберпространства, естественным представляется вопрос о приоритетности предметного международного сотрудничества в сфере информационно-коммуникационных технологий, что должно привести к формированию системы криминологической кибербезопасности в ее планетарном масштабе. Здесь необходимо изучить состояние соответствующего законодательства, принимаемого как общемировым сообществом, где главным координатором является ООН, так и странами-членами Европейского союза, а также эффективность практической деятельности, соответствующей отмеченным правовым ресурсам.
Важен для исследования также законодательный и практический опыт отдельных зарубежных стран. Таким образом, посредством сравнительного исследования общемирового, регионального (европейского) и зарубежного национального уровней обеспечения криминологической безопасности в ИКТ-сфере можно определить вектор дальнейшего развития.
2. Оценку с правовой и информационно-технологической позиций российских отраслевых нормативных правовых ресурсов обеспечения криминологической безопасности в сфере информационно-коммуникационных технологий.
Изучение российского законодательства, непосредственно посвященного правовой и информационно-технологической основам обеспечения криминологической кибербезопасности, является весьма важным. Здесь нами сознательно акцентируется внимание на необходимости системного подхода со стороны государства, когда оно должно консолидировать силы и средства различных ресурсов в целях эффективной защиты личности, общества, государства от информационно-технологических преступных угроз.
3. Изучение научно-практических и инновационно-технологических предпосылок формирования и развития общих нормативных правовых основ системы криминологической безопасности в сфере информационно-коммуникационных технологий.
Как и в любой области современной жизнедеятельности, сопряженной со сложной и динамичной системой социальных взаимосвязей и взаимодействий, при формировании эффективной системы криминологической кибербезопасности необходимо задействование значительного интеллектуального потенциала. Причем данный процесс должен происходить по возможности с максимальной консолидацией научного-практического и инновационно-технологического ресурсов. Главная цель здесь заключается в формировании адекватного современным инновационным угрозам комплексного нормативного правового ресурса, поскольку высказываемое нами намерение к созданию полноценной системы защиты от ИКТ-преступлений требует соответствующего системного правового сопровождения.
4. Анализ состояния научных, информационно-технологических и коммерческих ресурсов, а также перспектив привлечения общественного ресурса к обеспечению криминологической безопасности в сфере информационно-коммуникационных технологий.
Этот анализ призван достичь понимания того, насколько отмеченные ресурсы способны к эффективному взаимодействию. Несомненно, важной представляется научная база, нацеленная на разработку инновационных механизмов обеспечения кибербезопасности, включающая в себя и технические, и гуманитарные направления. Особое значение придается перспективам государственно-частного партнерства в ИКТ-сфере, готовности правоохранительных органов и бизнес-структур к совместной деятельности в направлении обеспечения криминологической кибербезопасности.
Необходимо всячески поддерживать общественный ресурс обеспечения криминологической кибербезопасности, активно приобщать отдельных лиц и социальные группы к процессу охраны общественного порядка.
5. Исследование перспектив создания общенациональной системы защиты наиболее важных «сетевых» объектов, образующих критическую информационную инфраструктуру, в качестве которых должны выступать компьютерные группы реагирования на чрезвычайные ситуации — CERT (Computer Emergency Response Team).
Речь идет о создании на базе существующих коммерческих систем компьютерных групп реагирования на чрезвычайные ситуации CERT (Computer Emergency Response Team) общенациональной системы обеспечения безопасности объектов, относимых к критической информационной инфраструктуре (КИИ).
Здесь отметим важность защиты всех добросовестных и законопослушных пользователей Интернета, а значит, необходимо стремиться к безопасности информационной инфраструктуры в целом.
6. Инициацию модернизации образовательных стандартов и их реализацию в подготовке, переподготовке и повышении профессиональной квалификации юристов и иных специалистов правоохранительных органов для системы криминологической безопасности в сфере информационно-коммуникационных технологий.
Модернизация образовательных стандартов должна по возможности охватить различные сегменты общества, в результате чего, на разных уровнях овладевания знаниями и навыками субъектами познания будут усваиваться различные социально полезные компетенции.
7. Оценку перспектив совершенствования предметных антикриминальных (уголовно-правовой, уголовно-процессуальный, криминалистический, оперативно-разыскной и уголовно-исполнительный) нормативных правовых ресурсов, так или иначе связанных с предупреждением преступлений в сфере информационно-коммуникационных технологий.
Результатом осуществления рационального взаимодействия уголовно-правового, криминологического и информационно-технологического ресурсов должен стать реальный антикриминальный механизм, когда степень защищенности личности, общества, государства от традиционной или же информационно-технологической преступности достигнет социально приемлемого уровня.
8. Перспективы создания системы мониторинга реализации самих цифровых ресурсов обеспечения криминологической безопасности в сфере информационно-коммуникационных технологий.
Цифровые ресурсы обеспечения криминологической кибербезопасности должны в обязательном порядке быть подвергнуты системному мониторингу, который не может быть иным, как социальным, ориентированным на удовлетворение запросов объектов, нуждающихся в приемлемом уровне собственной защищенности как от традиционной, так и от инновационной преступности. Представляется, что такого рода контрольный механизм в наилучшей степени реализуем посредством отмеченной в предыдущих главах настоящей монографической серии комплексной технологии «криминологический кибермониторинг».
Глава 1.
МЕЖДУНАРОДНО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ КИБЕРБЕЗОПАСНОСТИ И МЕЖДУНАРОДНО-ПРАВОВОЕ СОТРУДНИЧЕСТВО В СФЕРЕ ИНФОРМАЦИОННО-КОММУНИКАЦИОННЫХ ТЕХНОЛОГИЙ
Специалисты, безусловно, согласятся с тем, что воздействие на криминогенные явления и, как их следствие, — преступления, лишь тогда будет результативным, когда оно будет осуществляться системно и комплексно, посредством адекватных по степени своего антикриминогенного потенциала и оптимальных по своим ресурсам социально-правовых средств обеспечения защиты личности, общества, государства от преступности. Потому формирование инновационных ресурсов обеспечения кибербезопасности вначале должно быть нацелено на оценку существующей системы криминологической безопасности и ее соответствия потребностям безопасности сферы информационно-коммуникационных технологий (ИКТ).
Здесь важно сразу отметить, что несмотря на значительное внедрение в последние годы ИКТ-ресурса в современную правоохранительную деятельность, последняя, к сожалению, оказывается пока неспособной обеспечить приемлемый уровень защищенности личности, общества и государства как от традиционных, так и от инновационных угроз. Компьютеризация работы правоприменителя, существующие информационные базы данных — такая модернизация представляется явно недостаточной для обеспечения безопасной социальной среды.
В самом деле, имеющиеся ныне уникальные возможности направлены не столько на реализацию комплекса мер по обеспечению общественной безопасности, сколько на обнаружение и фиксацию правонарушений и правонарушителей. Яркими примерами могут служить цифровое обеспечение безопасности дорожного движения, ориентирующееся исключительно на выявление его нарушителей, или же аналогичное обеспечение в условиях пандемии коронавируса эпидемиологической безопасности, связанного с выявлением лиц, нарушающих режим карантина и самоизоляции. Несомненно, сами по себе это очень важные ресурсы, требующие к себе особого внимания с целью недопущения более серьезных негативных последствий, но вместе с тем обладающие поистине колоссальными цифровыми возможностями, государство способно более эффективно и целенаправленно обеспечивать безопасность от всякого рода угроз, в том числе и криминальных.
Подмечая высокие темпы информационно-технологического обновления контроля государства над правонарушениями и преступлениями в отдельных территориальных образованиях страны, вместе с тем попробуем сформулировать вопросы, ответы на которые, как представляется, имеют более важное значение для защиты личности, общества, государства от преступности в эпоху информационно-коммуникационных технологий: что нужно сделать для того, чтобы люди чувствовали бы себя защищенными от традиционных и инновационных преступлений в любом пространстве нашей необъятной державы, и возможно ли обеспечить одинаково приемлемый уровень криминологической безопасности одновременно на всей территории страны?
Думается, что ответы на эти вопросы могут быть найдены как раз в условиях формирования и развития системы криминологической безопасности в сфере информационно-коммуникационных технологий. Современный уровень научно-технического прогресса, весь объем наработанного сегодня инновационного потенциала позволяют осуществить недостижимую до сих пор цель построения по-настоящему эффективной, комплексной системы защиты значимых объектов, обуздать и загнать криминал в минимальные количественные границы, установить жесткий контроль над злом, с которым общество принуждено к совместному существованию1.
Нельзя не согласиться с точкой зрения Х. Д. Аликперова о неэффективности принимаемых против преступности мер, когда ни уголовным правом, ни криминологией, ни другими дисциплинами криминального цикла не удалось за время существования разумного человечества «…предложить обществу рецепты обуздания этой социально-правовой пандемии»2.
Россия в решении этих проблем, к сожалению, находится не на передовых позициях. Между тем существующие мировые системы правоохранения и позиционируемые ими перспективы антикриминогенной деятельности и обеспечения криминологической безопасности в сфере информационно-коммуникационных технологий формируют перед российской правоохранительной системой довольно перспективный ориентир на всемерное и полноценное развитие предметного международного сотрудничества в этой сфере. Акцентируя внимание на таком ориентире, считаем важным привести аргументы бывшего эксперта Подгруппы по преступлениям в сфере высоких технологий Группы старших экспертов по транснациональной организованной преступности (Лионской группы) А. Г. Волеводза, согласно которым еще в начале 1980-х гг. во многих странах мира пришли к выводу, что противодействовать инновационной IT-преступности за счет традиционно сложившихся положений уголовного и иных отраслей антикриминального права — недостаточно. Более того, решение означенной проблемы заключается не только в разработке специального законодательства, но и, что вполне естественно, учитывая транснациональный характер рассматриваемых посягательств, также в необходимости «…согласованных международных действий и сотрудничества. Однако это возможно только в том случае, если существует общее понимание проблемы как таковой и необходимости рассмотрения соответствующих решений»3.
Основа правоохранительного сотрудничества в сфере новых технологий была заложена еще в 1981 г., когда, признавая крайне актуальной, в частности, защиту личных данных, европейские страны приняли специальную Конвенцию о защите личности в связи с автоматической обработкой персональных данных4. Вместе с тем только спустя пять лет, в 1986 г. в Париже группой экспертов Организации экономического сотрудничества и развития было дано определение компьютерного преступления, под которым понималось любое незаконное, неэтичное или неразрешенное поведение, затрагивающее автоматизированную обработку и (или) передачу данных5.
Отметим, что с целью унификации национальных законодательств 13 сентября 1989 г. на заседании Комитета Министров Европейского Совета (ЕС) был выработан список правонарушений, рекомендованный странам-участницам ЕС для разработки единой уголовной стратегии по разработке законодательства, связанного с «компьютерными» преступлениями6. В полном объеме он включает в себя так называемые Минимальный и Необязательный списки нарушений. «Минимальный список нарушений» содержит восемь видов «компьютерных» преступлений, состав которых определен в документе, озаглавленном как «Руководство Интерпола по компьютерной преступности».
Что касается Совета Европы, то им приняты несколько Рекомендаций, направленных на борьбу с киберпреступлениями. Цель данных документов — выработать согласованный подход государств при внесении изменений в уголовно-правовое и уголовно-процессуальное законодательство.
Так, в Рекомендации Комитета Министров № R (85)10 речь идет о практическом применении Европейской Конвенции об оказании содействия в расследовании уголовных дел в отношении судебных поручений по вопросам перехвата телекоммуникаций; в Рекомендации № R (88)2 — о борьбе с пиратством в области авторских и смежных прав; в Рекомендации № R (87)15 — об использовании персональных данных органами полиции; в Рекомендации № R (95)4 — о защите персональных данных в сфере телекоммуникационных услуг, с особой ссылкой на телефонные услуги; в Рекомендации R (95)13 — о вопросах уголовно-процессуального законодательства, связанного с информационными технологиями7.
Особо следует отметить еще два подобных нормативных акта. Так, в Рекомендации № (89)9 было принято понятие «преступление с использованием компьютера», а также признано, что дать определение подобного нарушения представляется чрезвычайно сложным, поскольку не всякое использование компьютерной системы позволяют квалифицировать данное деяние как незаконное. Поэтому в Рекомендации № (89)9 понятие преступления с использованием компьютера определяется через примерный перечень конкретных действий, которые в совокупности дают представление о компьютерном уголовно наказуемом правонарушении8.
Позднее, в Рекомендации № R (95) 13 Совет Европы заменил термин «преступление с использованием компьютера» другим — «преступление, связанное с использованием информационных технологий». В Рекомендациях подчеркивается, что правонарушения, связанные с информационными технологиями, могут совершаться с помощью компьютерной системы, при этом она может быть или объектом, или средой преступления9.
Таким образом, все шло к подготовке значимого межгосударственного акта, о необходимости которого речь шла в Резолюции № 1, принятой на 21-й Конференции министров юстиции государств-членов Совета Европы (Прага, июнь 1997 г.), в которой Совету Министров было рекомендовано поддержать работу по сближению норм национального уголовного законодательства в разных странах и внедрению эффективных методов расследования такого рода правонарушений, проводимую Европейским комитетом по проблемам преступности (CDPC). Эта же линия поддержана и в Резолюции № 3, принятой на 23-й Конференции министров юстиции государств-членов Совета Европы (Лондон, июнь 2000 г.). В ней сторонам было рекомендовано прилагать все свои усилия к выработке решений, которые позволили бы наибольшему числу государств присоединиться к подготавливаемой Конвенции.
Помимо этого, главами государств и правительств Совета Европы был принят специальный План действий по случаю их Второй встречи на высшем уровне (Страсбург, 10–11 октября 1997 г.), когда была обозначена нацеленность на поиск общих рекомендаций в связи с развитием новых информационных технологий, которые основывались бы на стандартах и ценностях Совета Европы.
Как видим, наиболее активно процесс формирования правовой основы для противодействия инновационным IT-преступлениям в 1980–90 гг. происходил на европейском континенте. Этот процесс вполне логично ознаменовался принятием Европейской Конвенции по киберпреступлениям (преступлениям в киберпространстве)10 (см. Приложение 1).
Подчеркнем ряд важных моментов, содержащихся в Конвенции. Во-первых, в Преамбуле особенное внимание придается правовым источникам создания данного документа, при этом в качестве приоритета выступают те, что охраняют права и свободы личности.
В главе I приведен ряд терминов, применяемых в Конвенции.
В главе II, в разделе 1 «Материальное уголовное право» содержится список криминальных посягательств в сфере информационных технологий, в числе которых преступления против конфиденциальности, целостности и доступности компьютерных данных и систем; преступления, связанные с компьютерами; правонарушения, связанные с содержанием; преступления, связанные с нарушениями авторского права и смежных прав.
В разделе 2 «Процессуальные нормы» речь идет о процедурах привлечения к уголовной ответственности. Естественно, особенное внимание уделяется механизмам межгосударственного и межведомственного взаимодействия по противодействию киберпреступности.
Следует отметить, что практическая реализация деятельности по обеспечению кибербезопасности на пространстве, относящемся к ЕС, осуществляется Агентством Европейского союза по кибербезопасности — ENISA (European Network and Information Security Agency), созданным в 2004 г. постановлением ЕС № 460/2004 и функционирующим с 1 сентября 2005 г. Регламент ENISA определен регламентом ЕС № 2019/881 Европейского парламента и Совета от 17 апреля 2019 г.11
Деятельность отмеченной организации посвящена разработке мер, которые могут помочь экспертам по безопасности, операторам IT- и критической инфраструктуры в странах Евросоюза заблаговременно обнаруживать инциденты сетевой безопасности. С этой целью был запущен проект, направленный на упреждающее (проактивное) обнаружение вредоносных действий с помощью внутренних инструментов мониторинга или внешних источников, предоставляющих данные об инцидентах12.
Следует отметить Декларацию принципов «Построение информационного общества — глобальная задача в новом тысячелетии» (г. Женева, 2003 г.), в которой отмечалось общее стремление к построению ориентированного на интересы людей, открытого для всех информационного общества, в котором у каждого имеется потенциал к обмену информацией и знаниями, в результате чего отдельные лица, общины и народы смогут в полной мере реализовать свои устремления в соответствии с целями и принципами Устава Организации Объединенных Наций и Всеобщей декларации прав человека13.
В 2005 г. Комитетом Министров Совета Европы была утверждена Декларация о правах человека и верховенстве права в информационном обществе. Одно из основных положений, содержащихся в данном документе, заключается в том, что при реализации прав человека не должно существовать иных ограничений, помимо отмеченных во Всеобщей декларации прав человека или в прецедентном праве Европейского Суда по правам человека, только на основании того, что эти права осуществляются в цифровой среде. Также была отмечена необходимость в принятии решительных мер для защиты граждан от новых, набирающих силу форм посягательств на права и интересы человека при использовании информационно-телекоммуникационных технологий14.
Что касается позиции ООН, то следует отметить, что в значительной степени она формировалась на основании рассмотренных выше тенденций, выработанных ЕС, а с начала 2000-х гг. уже регистрируются факты взаимовлияния деятельности двух этих организаций, хотя все же отметим, что европейские правовые инициативы в сфере противодействия киберпреступности по-прежнему занимают приоритетное положение в мире.
Итак, проблематика обеспечения информационной безопасности впервые была включена в повестку ООН в 1998 г., когда Российская Федерация представила Первому комитету ГА ООН проект соответствующей резолюции. Генеральная Ассамблея приняла Резолюцию 53/70 без голосования15.
4 декабря 2000 г. Генеральная Ассамблея ООН приняла Резолюцию 55/59, в п. 18 которой отмечено: «Мы принимаем решение разработать ориентированные на конкретные действия программные рекомендации в отношении предупреждения преступлений, связанных с использованием компьютеров, и борьбы с ними, и мы предлагаем Комиссии по предупреждению преступности и уголовному правосудию приступить к работе в этом направлении, принимая во внимание работу, которая ведется в других форумах. Мы также обязуемся работать в направлении укрепления наших возможностей по предупреждению, расследованию и преследованию преступлений, связанных с использованием высоких технологий и компьютеров»16 (см. Приложение 2).
В весьма значимом исследовании европейских экспертов по кибербезопасности Э. Верхелст и Я. Ваутерса, посвященном перспективам создания норм международного права в сфере кибербезопасности, со ссылкой на различные авторитетные источники отмечается, что начиная с 2004 г. группы правительственных экспертов (ГПЭ) ООН анализируют угрозы, возникающие вследствие расширения сферы применения информационно-коммуникационных технологий в контексте обеспечения международной безопасности, и меры противодействия этим угрозам. Работа ГПЭ сфокусирована на проблемах международного права параллельно с изучением существующих и возникающих вызовов, норм, правил и принципов, мер по укреплению доверия и наращивания потенциала. Отчеты ГПЭ ООН за 2013 и 2015 гг. в данном контексте наиболее важны.
В отчете 2013 г. ГПЭ ООН заявила, что международное право, в частности Устав ООН, следует применять и в физическом, и в киберпространстве. Под этим подразумевается государственный суверенитет и принципы, связанные с понятием «суверенитет». Например, государство обладает юрисдикцией над цифровой инфраструктурой на своей территории, следовательно, государство несет ответственность за международные противоправные действия в киберпространстве, исходящие с его территории17.
В отчете 2015 г. ГПЭ ООН выделила следующие принципы Устава ООН и международного права, применимые в отношении поведения государств в киберпространстве: «государственный суверенитет», «суверенное равенство», «разрешение споров мирными средствами» и «невмешательство во внутренние дела других государств». Перемещение в киберпространство основных принципов международного права, которые в большинстве своем имеют обязательный характер и/или были закреплены решениями Международного суда ООН, должно происходить при соблюдении широкого консенсуса.
Некоторые государства, включая «сверхдержавы», спустя некоторое время подтвердили применимость международного права в своих комментариях к докладам ГПЭ ООН, а также отдельными пунктами стратегий кибербезопасности. Доклады ГПЭ ООН свидетельствуют о формировании консенсуса и opinio juris по рассматриваемой проблеме, что важно для создания полноценных международных норм. Следует отметить, что деятельность государств в киберпространстве, как правило, осуществляется скрытно и имеет противоречивый характер.
Тем не менее в июне 2017 г. по итогам 50-й встречи ГПЭ ООН все более или менее значимые зачатки opinio juris были «окончательно растоптаны». Проявились фундаментальные противоречия между 25 членами ГПЭ, в частности, по вопросам о праве на самооборону и о применении международного гуманитарного права в ходе столкновений в киберпространстве. Делегация Кубы не поддержала прямую отсылку к праву государства на самооборону применительно к киберпространству, заявив, что это приведет к «легитимизации войн с применением ИКТ».
В декабре 2018 г. ГА ООН нашла выход из ситуации, инициировав два независимых процесса для обсуждения проблем безопасности при использовании ИКТ на период 2019–2021 гг. Резолюцией 73/27, активно поддержанной Россией, ГА ООН учредила Рабочую группу открытого состава (РГОС), что приветствовали представители Кубы и Китая. Одиннадцать дней спустя Генеральная Ассамблея приняла Резолюцию по результатам работы шестой Группы правительственных экспертов ООН, которая известна как «Группа правительственных экспертов ООН на 2019–2021 гг. по поощрению ответственного поведения государств в киберпространстве в контексте международной безопасности», которую поддержали США.
В то время как ГПЭ ООН занимается нормами, правилами, принципами, мерами укрепления доверия и наращивания потенциала, а также тем, как международное право может применяться в киберпространстве, РГОС может продолжить разработку или менять существующие нормы, правила и принципы, упомянутые в Резолюции 73/27, меры укрепления доверия и наращивания потенциала, изучать применимость международного права в киберпространстве, существующие и потенциальные угрозы, создать постоянную диалоговую площадку на базе ООН и соответствующие международные механизмы для защиты глобальных информационных систем. Следует подчеркнуть, что «пересекающиеся сферы полномочий ГПЭ ООН и РГОС потенциально могут повысить их эффективность»18.
При анализе документов ЕС по проблемам кибербезопасности явно отмечается стремление Евросоюза занять в данной сфере лидирующую позицию. Директива ЕС 2016 г. стала первым в своем роде юридически обязательным документом горизонтального прямого действия в сфере кибербезопасности. Целью Директивы является защита критической инфраструктуры (поставщиков жизненно важных и цифровых услуг) от кибератак, которые могут оказать «существенный разрушительный эффект». Европейский Парламент и Совет ЕС 6 июля 2016 г. приняли Директиву со сроком имплементации странами-членами до 9 мая 2018 г., цель которой была сформулирована следующим образом: «Обеспечить высокий средний уровень сетевой и информационной безопасности». Принятие Директивы было обусловлено отсутствием правовых норм в области кибербезопасности в законодательстве стран ЕС. Даже после принятия соответствующих норм между странами-членами Евросоюза сохранялись значительные расхождения. Европейские законодатели были обеспокоены тем, что «масштаб, частотность и организованность кибератак возрастают; они могут привести к неспособности частного бизнеса выполнять свои функции, существенным финансовым потерям в масштабах всей экономики ЕС и создать угрозы в социальной сфере».
Директива накладывает множество обязательств на страны-члены, включая обеспечение минимального уровня национальной готовности путем назначения компетентных органов, ответственных за выполнение положений Директивы, создания групп быстрого реагирования, разработки национальных стратегий и планов взаимодействия. Немаловажно, что Директива накладывает обязательства на частные компании — поставщиков жизненно важных и цифровых услуг. Для них список обязательств включает:
— принятие соответствующих технических и организационных мер для противодействия угрозам информационной безопасности;
— подготовку и внедрение планов обеспечения непрерывности деловой деятельности;
— информирование групп реагирования обо всех значимых инцидентах, связанных с информационной безопасностью.
До сих пор не ясно, что в рамках Директивы включается в понятие «существенный разрушительный эффект». Также остается открытым вопрос о том, как это понятие будет применяться на практике.
Далее Э. Верхелст и Я. Ваутерс рассматривают Закон о кибербезопасности ЕС 2019 г., принятый постановлением 2019/881 Европейского парламента и Совета ЕС от 17 апреля 2019 г. о Европейском агентстве по кибербезопасности (ENISA) (деятельность данного агентства мы вкратце рассмотрели в предыдущем исследовании из настоящей монографической серии) и о сертифицировании технологий в области информационной и коммуникационной безопасности. Постановление вступило в силу 27 июня 2019 г.
Принятие Закона о кибербезопасности было обусловлено рядом факторов, в частности стремлением ЕС занять лидирующую позицию на международном рынке технологий безопасности наряду с пониманием того, что существующая система защиты не может обеспечить своевременное противодействие определенным киберугрозам. По сути, данный Закон впервые представил систему сертифицирования технологий цифровой безопасности на всем пространстве ЕС, направленную на снижение риска фрагментации единого рынка и повышение конкурентоспособности ЕС на глобальном уровне. Наличие сертификата должно было свидетельствовать о том, что продукт или услуга соответствуют заданным критериям и обеспечивают определенный уровень защищенности от киберугроз. Одним из важных положений Закона является требование к государствам-членам о назначении одного или более компетентных органов для выполнения задач по сертифицированию, либо о наделении соответствующими функциями органов другого государства при наличии соответствующей договоренности.
Кроме того, рассматриваемый Закон наделил ENISA постоянным мандатом и более широким набором функций. Статья 6 указывает, что ENISA будет содействовать государствам-членам в развитии их потенциала (например, в разработке и внедрении принципов распространения информации об уязвимостях и создании национальных групп экстренного реагирования, что напрямую связывает Закон о кибербезопасности с Директивой, однако указанные меры не являются юридически обязательными19.
Э. Верхелст и Я. Ваутерс, ссылаясь на различные авторитетные источники, далее задаются резонным вопросом: «Способно ли международное право или право ЕС обеспечивать безопасность киберпространства?», после чего сами же выделяют пять факторов, связанных с особенностями реализации такого рода нормотворческого и практического процессов в двух обозначенных правовых плоскостях.
1. Высокий темп и технологичность киберреволюции.
Международное право. Цифровизация мира идет небывалыми темпами. Ожидалось, что к концу 2020 г. в мире будет более 20 млрд цифровых устройств. В отличие от того, как создатели норм международного права действовали в ХХ в., создавая, например, концепцию «исключительной экономической зоны» в рамках морского права и обеспечивая защиту морского дна, определяя его статус как «общего наследия человечества», киберреволюция идет с такой скоростью и настолько непредсказуемо, что законодатели не поспевают за инновациями20.
Право ЕС. Высокий темп и технологичность являются неотъемлемыми элементами киберреволюции, и этот факт находит отражение как в инициативах ООН, так и в решениях Европейского союза. Очевидно, что географическая ограниченность, эксклюзивность состава членов, а также принципиальность соблюдения определенных стандартов при вступлении в состав объединения, отсутствие за столом переговоров крупных кибердержав наряду с уже существующими правовыми инструментами, компетенциями и наднациональными структурами Евросоюза помогают объединению идти в ногу с киберреволюцией21.
2. Суверенность, территориальность, фрагментация юрисдикции и юридической атрибуции.
Международное право. Основой международного права является государственный суверенитет, который, однако, с трудом вписывается в реальность киберпространства. Несмотря на достигнутый консенсус относительно реализации государственного суверенитета в киберпространстве, за что нужно поблагодарить ГПЭ ООН, ни одно из существующих государств не может претендовать на суверенитет, который бы охватывал все киберпространство. Так происходит потому, что многие элементы инфраструктуры, на базе которых существует киберпространство, находятся в пределах разных суверенных территорий и, следовательно, согласно международному праву, относятся к разным юрисдикциям.
Тем не менее отмечается, что разделение юрисдикций не должно быть основанием для отказа от регулирования всего киберпространства: в конце концов, действия в киберпространстве все равно осуществляются на конкретной территории, равно как и их последствия ощущаются в конкретной области. Тот факт, что отдельные проблемы выходят за рамки конкретных юрисдикций, не является чем-то новым для международного права (вспомним, например, международное морское право, открытый космос, изменение климата). Основные проблемы связаны с юридической атрибуцией: зачастую нелегко определить, кто ответственен, откуда исходит кибератака или кто играет роль посредника. Именно атрибуция представляет наибольшую трудность. Даже существующие нормы киберправа могут утратить свою эффективность, столкнувшись с проблемой атрибутирования22.
Право ЕС. Отсутствие в киберпространстве каких-либо территориальных ограничений является его базовой характеристикой, и предложения ООН и ЕС учитывают это обстоятельство. В контексте рассмотренной ранее Директивы следует отметить следующее: поскольку критическая инфраструктура стран Евросоюза в основном располагается внутри его границ (например, системы очистки воды, больницы, ж/д пути) и, следовательно, внутри его собственной юрисдикции, страны ЕС могут обеспечивать ее защиту без опоры на общемировое международное право, тем самым не испытывая затруднений, связанных с фрагментацией юрисдикции. Схожий принцип заложен и в Законе о кибербезопасности, ст. 58 которого гласит: «Каждое государство-член назначает один или несколько национальных органов по сертификации кибербезопасности на своей территории или, с согласия другого государства-члена, назначает один или несколько национальных органов по сертификации кибербезопасности, созданных в государстве-члене, для выполнения указанных задач. Национальные органы по сертификации кибербезопасности обязуются:
— контролировать и применять правила… для мониторинга соответствия продуктов ИКТ, услуг ИКТ и процессов ИКТ требованиям европейских сертификатов кибербезопасности, которые были выданы на их соответствующих территориях…;
— контролировать и обеспечивать соблюдение производителями и поставщиками продуктов ИКТ, услуг ИКТ или процессов ИКТ правил, установленных на соответствующих территориях».
Юридическая атрибуция и в данном контексте представляет наиболее проблемную область. Эта проблема характерна и для ЕС, в перспективе же она может ослабить эффективность европейских инициатив в области кибербезопасности23.
3. Государство против частного сектора.
Международное право. Третьим фактором, усложняющим взаимоотношения между кибербезопасностью и международным правом, является проблема совместимости ролей государства и частного сектора в киберпространстве. В киберпространстве ведущая роль принадлежит производящим отраслям и частному капиталу. Негосударственные институты осуществляют управление киберпространством в отсутствие каких-либо формальных рамок, что сужает поле деятельности для субъектов нормотворчества (национальных государств). Отмечается, что неформальное управление представляет собой не что иное, как реликт частного предпринимательского права времен Средневековья. В этой связи уместен вопрос: должны ли государства контролировать частные компании в киберпространстве, и если «да», то до какого предела необходимо расширять рамки правового регулирования деятельности частного сектора в данной области? С другой стороны, нужно определить границы эффективности регулирования кибербезопасности в случае, если в подготовке и имплементации данных правил не участвуют негосударственные акторы.
Роль государства как арбитра киберпространства является предметом ожесточенных дискуссий. С одной стороны, можно утверждать, что национальные государства обязаны устанавливать правовые рамки, ограничивающие или иным способом направляющие деятельность частных компаний в киберпространстве. В данном случае аргументом «за» является перечень обязанностей государств в соответствии с нормами международного права: защита прав человека, поддержание международного мира и безопасности, следование принципу «не навреди», защита критической инфраструктуры и т. д. Данные обязательства могут быть соблюдены в киберпространстве только при условии, если соответствующие права и обязанности возлагаются и на негосударственных акторов.
С другой стороны, существуют доводы против широкого участия государств в регулировании киберпространства:
— для частного сектора не существует серьезных стимулов для сотрудничества с государственными инстанциями, так как последние могут помешать реализации коммерческих интересов первых (репутационный ущерб, прямое воздействие со стороны конкурентов при помощи создаваемых технологий);
— меры контроля замедляют инновационное развитие;
— частный сектор предпочитает иметь дело с нормами частного права как альтернативе уголовному праву.
Компромиссным решением может стать регулирование киберпространства на базе юридически обязательных (или не являющихся таковыми) норм корпоративной этики, которые будут выработаны непосредственно работающими в киберпространстве негосударственными институтами.
Описанные подходы не должны восприниматься как взаимоисключающие: вывод о том, нужно ли в принципе и насколько активно следует участвовать государствам в регулировании киберпространства, зависит от рассматриваемой сферы. «Выбор в пользу того или иного института зависит от предполагаемой эффективности рыночных механизмов, частных компаний, государств или международного права в решении той или иной проблемы». Немаловажно и то, что Директива ЕС 2016 г. налагает обязательства на отдельных представителей частного бизнеса, фактически признавая, что в киберпространстве невозможно обойтись без подобного рода партнерства24.
Право ЕС. Киберпространство управляется частными институтами, согласно неформальным правилам и нормам, что создает трудности как для ЕС, так и для ООН. Авторы Директивы указали на важность введения обязательств как для государственных органов, так и для представителей частного сектора, к примеру на поставщиков жизненно важных и цифровых услуг, перечисленных в Приложении II и Приложении III Директивы соответственно. ЕС обладает соответствующим опытом, правовыми инструментами и достаточно развитым внутренним рынком для внедрения подобных требований. Директива и Закон о кибербезопасности позволяют государствам-членам ЕС вводить меры наказания в случае несоблюдения положений упомянутых документов, но при этом нет никаких гарантий, что частный бизнес будет заинтересован в сотрудничестве с государством в ущерб своим коммерческим интересам, а новые правила не станут препятствием инновационному развитию. Все еще не ясно, как страны ЕС будут интерпретировать понятие «киберинцидент со значительным разрушительным воздействием» и смогут ли они добиться от поставщиков жизненно важных и цифровых услуг соблюдения обязательства об информировании соответствующих инстанций о подобных инцидентах, без чего Директива будет лишена смысла25.
4. Доводы в пользу применения существующих норм и создания новых.
Международное право. Нужно ли применять существующие нормы международного права в киберпространстве или же должны быть созданы новые, более подходящие для современных вызовов? Авторами приводится мнение М. Хойзингтона, который определил три варианта разрешения обозначенной дилеммы:
— проблемы кибербезопасности должны решаться в соответствии с существующими нормами и в рамках уже созданных структур международного права;
— киберпространство построено на фундаментально иных законах и, следовательно, требует создания новых правовых норм и структур;
— существующие нормы могут применяться для обеспечения кибербезопасности, но те из них, которые не соотносятся с уникальной природой отношений в киберпространстве, должны быть отброшены.
Уже существующие международные инициативы больше всего соответствуют первому утверждению: ГПЭ ООН заявила, что международное право, включая Устав ООН, может применяться в киберпространстве (разд. III). Tallinn Manual26 в своей второй редакции переносит основные концепции международного права в киберпространство (следует отметить пп. 1–24), в частности, применяет их в отношении кибервойны27.
Право ЕС. Директива и Закон о кибербезопасности являются примерами норм, созданных после того, как проблема кибербезопасности приобрела политический оттенок. Евросоюз с его широкими возможностями в сфере нормотворчества может задавать геополитические параметры рассматриваемого вопроса, что в данной ситуации имеет определяющее значение28.
5. Кибермания.
Международное право. Кибермания — еще один феномен, осложняющий установление взаимопонимания между международным правом и кибербезопасностью. Последние достижения в области киберправа как такового можно охарактеризовать как ограниченные, тогда как со стороны академического сообщества и политиков «законам кибервойны» уделяется огромное внимание. Отмечается, что кибератаки в Эстонии, получившие широкое медийное освещение (2007 г.), киберинциденты во время российско-грузинского конфликта (2008 г.) и ситуация вокруг сетевого червя Stuxnet (2010 г.) создали вокруг мер, принимаемых в интересах кибербезопасности, ореол милитаризованности. Большинство киберинцидентов, на самом деле, не пересекают условный рубеж, за которым их можно отнести к «вооруженному нападению» в интерпретации ст. 51 Устава ООН. Киберугрозы имеют более сложную и многогранную природу и чаще всего угрожают частным компаниям29.
Право ЕС. Для Европейского союза всепроникающая сущность кибертехнологий представляет меньшую проблему, нежели для ООН, и, следовательно, по мнению Э. Верхелст и Я. Ваутерса, данный фактор не нуждается в подробном разборе. ЕС не наделен присущим ООН мандатом в отношении поддержания международного мира и безопасности; различаются они и количеством государств-членов. ООН, в свою очередь, не имеет схожих с ЕС полномочий в области экономической политики и конкуренции, а также внутреннего рынка30.
В качестве резюме по поводу рассмотренных выше аспектов регулирования международным правом и правом ЕС безопасности киберпространства отметим, что несмотря на транснациональный характер образуемого информационно-телекоммуникационными сетями феномена, тем не менее существуют явные проблемы в вопросах межгосударственного обеспечения состояния защищенности интересов личности, общества, государства, что, соответственно, было отмечено нами в сносках к ряду рассмотренных факторов.
В связи с этим гораздо более продуктивным, в том числе и для использования в российском праве, является выработанный отдельными странами опыт противодействия киберпреступности. И здесь несомненный интерес представляет исследование Федерального агентства новостей (ФАН) «Топ-25 законов о киберпреступлениях: мировая практика защиты Интернета гораздо жестче, чем в РФ», использовавшего, в частности, данные Фонда защиты национальных ценностей — рейтинг законов по защите Интернета, принятых в разных странах31. ФАН приводит данные из исследования фонда, посвященные правилам регулирования Интернета в других странах, отмечая, что законодательные нормы за рубежом гораздо суровее, чем в России.
Один из самых жестких законов, регулирующих Интернет, принят в Германии. Закон «О мерах в отношении социальных сетей», вступивший в силу 1 января 2018 г., обязывает крупные сетевые платформы, такие как Facebook, Instagram, Twitter и YouTube, оперативно удалять «незаконный контент», признаваемый таковым по 22 разделам Уголовного кодекса страны, при этом штраф может доходить до 50 млн евро.
Отметим при этом, что германский закон о регулировании Интернета, по мнению представителей правозащитной организации Human Rights Watch, чреват бесконтрольной и неоправданно широкой цензурой и должен быть как можно скорее отменен.
Также весьма суров Закон КНР от 2017 г. «О кибербезопасности», который регламентирует действия поставщиков сетевых продуктов и услуг по сбору, хранению и обработке пользовательских данных, а также регулирует обеспечение информационной безопасности в стратегически важных отраслях. Главной целью принятия закона провозглашается защита национального «киберсуверенитета» КНР. Для нарушителей предусмотрены штрафы до миллиона юаней в зависимости от тяжести киберпреступления.
В Великобритании действует несколько законов, ограничивающих права интернет-пользователей в интересах государства. Это Закон от 2014 г. «Об истребовании персональных данных», который обязывает операторов хранить данные интернет-пользователей в течение года и предоставлять правоохранительным органам доступ к ним. Кроме того, в Британии действует более ранний Закон «О регулировании следственных действий», позволяющий госорганам осуществлять слежку за гражданами, а также перехватывать их сообщения.
Есть и британский Закон от 2010 г. «О цифровой экономике», который призван защищать авторские права в Интернете. А всего в Великобритании как минимум шесть законов (один совместный с Францией) о регулировании Интернета.
В Евросоюзе в настоящее время обсуждается «Директива ЕС об охране авторских прав», которая разрабатывается с 2016 г. Закон призван заставить Google, Facebook и другие платформы платить компенсации издателям и художникам, интеллектуальная собственность которых используется без разрешения.
Кроме того, в ЕС принят «Кодекс поведения по противодействию незаконным и ненавистническим высказываниям», который согласован с четырьмя платформами — Facebook, Microsoft, Twitter и YouTube. Instagram, Google+, Snapchat и Dailymotion также заявили о намерении присоединиться к конвенции.
Есть законы, ограничивающие Интернет, и в Индии. Один из них, «Об информационных технологиях», предусматривает уголовную ответственность за отправку «оскорбительных сообщений». Есть также раздел, который дает властям возможность «…перехвата, мониторинга или дешифрования любой информации через любой компьютерный ресурс».
Занимаются собственной кибербезопасностью и Соединенные Штаты, где Интернет регулируется как минимум восьмью законами. Так, с 1999 г. действует Закон «О прослушивании, хранении логинов, доступе к информации, установке оборудования для слежки». Есть и другие ограничительные акты, касающиеся Сети, в том числе закон, позволяющий фильтровать контент в учебных заведениях, закон о киберугрозах и т. д.
Не отстает и Италия, там действуют законодательные акты, касающиеся авторского права и предусматривающие возможность досудебных блокировок сайтов.
В Турции принят весьма жесткий Закон «О публикациях в Интернете и их последствиях», который дает властям право досудебной блокировки сайтов с запрещенной информацией, включая оскорбление государственных устоев.
Даже в сверхлиберальной Новой Зеландии есть Закон «О пагубных цифровых коммуникациях», предусматривающий ответственность за оскорбления в Интернете. Наказание — до 200 тыс. новозеландских долларов (около 167 тыс. долл. США).
На Филиппинах рассматривается проект закона об ответственности за умышленное распространение в Интернете ложных новостей и другие аналогичные нарушения, причем за основу взят закон, принятый в Германии.
О регулировании Интернета задумалась и Кения, там власти уже сейчас требуют в течение суток удалять аккаунты, которые используются для распространения «нежелательного политического контента».
В исследовании приведен рейтинг, составленный Фондом защиты национальных ценностей32 (см. Приложение 3).
Также нами хотелось бы рассмотреть эффективный законодательный и практический опыт противодействия киберпосягательствам в отдельно взятой стране — Израиле, предметно проанализированный в статье Е. С. Лариной и В. С. Овчинского «Израильская кибервойна. Секреты спецслужб»33.
Авторами в обоснование своего выбора отмечается, что «самый острый узел киберпротиворечий на сегодняшний день представляет собой Израиль с его инновационными и хорошо финансируемыми технологиями, и активным военно-разведывательным аппаратом. Он является одним из самых передовых игроков в области кибербезопасности и киберзащиты в мире. Геополитическое положение побудило его разработать и использовать свои современные разведывательные и наступательные возможности для поддержки обычных военных операций. Это стремление к безопасности также привело к участию в процессах построения международных норм для киберпространства».
Значительная часть статьи посвящена деятельности израильских спецслужб, направленной на проведение военных операций в киберпространстве, однако, вне всяких сомнений, не раз отмечаемая нами универсальная сущность ИКТ-потенциала, выражающаяся в возможности использования цифрового ресурса любым субъектом, имеющим доступ к нему, причем как в позитивных, так и негативных целях, заставляет нас внимательно исследовать любые материалы, посвященные различным аспектам обеспечения кибербезопасности.
Относительно внутренней правоохранительной деятельности, осуществляемой израильскими спецслужбами, отмечено, что в 2020 г. израильской полицией было возбуждено 8377 «кибердел», связанных с кражей личных данных, фальсификацией документов, при этом 350 дел имеют отношение к хищениям кредитных карт34.
В рамках рассматриваемой нами в данной монографической серии тематики, нацеленной на поиск путей обеспечения криминологической безопасности в сфере информационно-коммуникационных технологий, особый интерес представляет приведенный Е. С. Лариной и В. С. Овчинским отчет Центра исследований безопасности (Zürich) «Национальная кибербезопасность и позиция киберзащиты Израиля».
Отмечается фактор комплексного подхода к политике кибербезопасности, где основным критерием является повышение кибернадежности и киберустойчивости, причем данный процесс осуществляется в тесном взаимодействии как с национальными и международными, так и государственными и частными заинтересованными субъектами.
Как указано в публикации Е. С. Лариной и В. С. Овчинского, стратегическая политика кибербезопасности Израиля возглавляется и координируется на высшем уровне Национальным управлением кибербезопасности Израиля (INCD), которое находится под непосредственным руководством премьер-министра.
Основными органами киберзащиты Сил обороны Израиля (IDF) являются Подразделение 8200 (для наступательных киберопераций) и Управление C4I (для оборонительных операций и безопасности инфраструктуры). Ряд спецслужб, среди которых полиция и министерство юстиции Израиля, также обладают компетенцией киберзащиты.
Правительством Израиля активно привлекаются к партнерству в области киберохраны академические круги и частный сектор, например, к совершенствованию научно-исследовательских и опытно-конструкторских работ, а крупнейшее партнерство осуществляется с инновационным парком CyberSpark.
Защита критически важной инфраструктуры (CIP) была основной мотивацией первичных усилий Израиля по обеспечению кибербезопасности гражданского населения. Подобные решения были реализованы на краткосрочной, прагматической и специальной основе, приведя к относительной децентрализации системы государственного противодействия инновационной преступности. Однако за последние годы израильское правительство приложило значительные усилия для объединения различных гражданских агентств по кибербезопасности в одну организацию — INCD.
Задача INCD — «…организация ландшафта гражданской кибербезопасности», координация всех соответствующих аспектов, начиная от оперативной защиты и заканчивая наращиванием технологического потенциала и политическими предложениями.
Нельзя не отметить ключевые национальные тенденции. Как отмечается Е. С. Лариной и В. С. Овчинским, сегодня Израиль считает себя одним из пяти самых могущественных государств с точки зрения киберпространства, при этом это восприятие опирается на два столпа:
1) сильные и активные военные и надежные разведывательные службы;
2) инновационный гражданский сектор.
На долю 420 израильских компаний, занимающихся кибербезопасностью, приходится примерно 20% мировых инвестиций в кибербезопасность (815 млн долл. США), экспорт которых составляет 3,8 млрд долл. долларов США (2018), или 8% мирового рынка решений для кибербезопасности (2017).
Что касается международного сотрудничества, то Израиль был членом пятой Группы правительственных экспертов Организации Объединенных Наций (ГПЭ ООН) в области информации и телекоммуникаций, и Женевского диалога об ответственном поведении в киберпространстве.
Национальная стратегия кибербезопасности Израиля 2017 г. включает как прямые действия государства по противодействию киберрискам, так и косвенные усилия, направленные на сотрудничество с частным сектором.
Первая часть Национальной стратегии кибербезопасности относится к гражданской деятельности по киберзащите и состоит из трех уровней:
1. Повышение «совокупной киберустойчивости» к повседневным угрозам. Это позволяет превентивно снижать риски. Как указано в постановлении Правительства № 2443 / 2015 г., государство продвигает усилия по обеспечению безопасности, предпринимаемые частным сектором, например, создавая стимулы, правила, внедряя передовую практику. Правила в основном применяются в отношении предложения киберпродуктов и услуг, а INCD устанавливает обязательные стандарты для основных секторов и критической инфраструктуры.
2. Развитие «системной киберустойчивости» главным образом за счет улучшения межправител
...
