«Угрозы информационной безопасности становятся все более изощренными и масштабными»
Заместитель секретаря Совбеза РФ Олег Храмов о новых вызовах из киберпространства
В Тверь 23–25 мая по приглашению секретаря Совбеза РФ Николая Патрушева съедутся высокопоставленные силовики почти из 100 стран. Ключевой темой конференции станет информационная и кибербезопасность. Заместитель секретаря Совбеза РФ Олег Храмов в своем первом интервью на этом посту рассказал корреспонденту “Ъ” Елене Черненко, как российские власти планируют защищать критически важные объекты от кибератак, где грань между свободой и безопасностью в сети и что ответила Москва на запрос из Вашингтона о вмешательстве в американские выборы.
— Чем обусловлен выбор темы конференции секретарей совбезов?
— Эта тема крайне актуальна с учетом тех вызовов и угроз, с которыми сталкивается сегодня не только Россия, но и все мировое сообщество. Хотим мы того или нет, она будет доминировать и в краткосрочной, и в среднесрочной, и долгосрочной перспективе.
Ведь современное общество не может обходиться без электроэнергии и топлива, транспортных коммуникаций, банковских платежных систем, высокотехнологичной медицины и многого другого, что обеспечивает жизнедеятельность человека и относится к так называемой критической инфраструктуре. Системы управления и оборудование для этих отраслей совершенствовались десятилетиями и считались надежными и безопасными. Но применение информационных и коммуникационных технологий (ИКТ.— “Ъ”) для обеспечения функционирования объектов критически важной инфраструктуры сделало их крайне уязвимыми. И степень этой уязвимости неуклонно возрастает.
Возьмите, к примеру интернет вещей. Его лавинообразное развитие порождает ситуацию, когда, образно говоря, миллион муравьев может съесть слона.
— В смысле?
— Работоспособность любого элемента критически важной инфраструктуры может быть нарушена компьютерными атаками с использованием многочисленного и разнообразного пользовательского оборудования связи. Это и мобильные телефоны, и компьютеры, и телеприемники, и многие другие «умные» бытовые электронные устройства. Такое деструктивное воздействие может быть осуществлено не только в криминальных, но и в террористических и даже в военных целях. Государство должно быть готово к противодействию таким угрозам.
— Не слишком ли большую роль отводят именно государству российские власти, когда речь заходит о безопасности в сфере ИКТ?
— Когда что-то плохое происходит, к кому всегда обращается человек? К государству. В котором он, этот конкретный человек, проживает, за руководителей которого он установленным Конституцией порядком голосует и от представителей которого он ожидает защиты своих интересов. Поэтому государство обязано заниматься этим вопросом.
Скажем, если при неправильных действиях в сфере ИКТ люди будут лишаться своих средств, что уже происходит, а злоумышленники не будут нести соответствующего наказания, то тогда как же люди смогут доверять государству? Это один пример.
Но есть и более серьезные угрозы. Терроризм…
— Но ведь не было примеров терактов с использованием кибеоружия?
— Терактов не было, но интернет активно используется для вербовки террористов.
Никто не сможет утверждать, что государство в состоянии само справиться со всеми угрозами. Скажем, задача обеспечения безопасности критической информационной инфраструктуры требует комплексного решения с задействованием всех имеющихся сил и средств. При этом очень важно продолжить выстраивание взаимовыгодных отношений госорганов, отвечающих за безопасность, с бизнес-структурами, которые являются собственниками критически важных объектов и эксплуатируют их.
— На рассмотрении в Госдуме находится проект федерального закона «О безопасности критической информационной инфраструктуры РФ». В чем его смысл?
— Основная его цель — сформировать механизм эффективного взаимодействия всех заинтересованных сторон на основе взаимной ответственности за обеспечение безопасности критической информационной инфраструктуры. Базовый принцип этого документа заключается в том, что собственники объектов критической инфраструктуры обязаны самостоятельно обеспечить их безопасность и нести за это ответственность.
— А государство что будет делать?
— Государство берет на себя обязательство оказывать собственникам этих объектов максимальное содействие, включая информирование об актуальных угрозах информационной безопасности и поддержку разработки необходимых средств защиты. Собственники, в свою очередь, обязаны информировать уполномоченные ведомства о серьезных компьютерных инцидентах.
— Насколько серьезными могут быть последствия компьютерных атак на объекты критической инфраструктуры?
— Мир уже видел примеры подобных компьютерных диверсий, например применение в 2010 году вируса Stuxnet против объектов иранской ядерной программы, когда были выведены из строя центрифуги по обогащению урана. Заметьте, большинство зарубежных экспертов сходится во мнении, что за этой атакой стоят западные спецслужбы. Они дали старт масштабному деструктивному использованию информационных и коммуникационных технологий, выпустив, таким образом, джинна из бутылки.
Только в 2016 году на информационные ресурсы РФ совершено более 50 млн кибератак. По сравнению с 2015 годом их число возросло более чем в три раза. Причем более 60% из них осуществлялось из других стран.
Не реагировать на это нельзя. Поэтому для надежной защиты собственной критической информационной инфраструктуры в соответствии с указом президента Российской Федерации последовательно создается государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
— А насколько уязвимыми оказались объекты критической инфраструктуры в России перед последней хакерской атакой — вирусом-вымогателем WannaCry?
— Благодаря упомянутой государственной системе удалось избежать серьезного ущерба. Критическая информационная инфраструктура оказалась готовой противостоять масштабному распространению этого вируса.
Но следует отдавать себе отчет: подобные угрозы информационной безопасности становятся все более изощренными и масштабными. К этому надо быть готовыми. Поэтому защита информационной инфраструктуры страны входит в число приоритетных задач, причем не только государства, но и наших ученых и экспертов, бизнеса, каждого российского гражданина.
— Представители американских спецслужб продолжают обвинять российские власти во вмешательстве в прошлогодние президентские выборы. Российские хакеры в погонах якобы взломали сервер Демократической партии США и всю переписку слили сайту WikiLeaks. Обращались ли власти США к России за разъяснением?
— Да, но сделали они это запоздало.
— Когда?
— Первый запрос поступил за неделю до ноябрьских выборов.
— Он поступил по линии тех двусторонних механизмов, которые были созданы в 2013 году в рамках пакета соглашений между РФ и США о мерах доверия в сфере ИКТ?
— Да, но прежде чем воспользоваться этими каналами, известные круги в США задействовали другой механизм — пропаганду. По принципу политтехнологов «600 раз скажи, что человек неправ, и все в это поверят». Видимо, сделав свою ставку, они специально затянули направление в Россию официального запроса.
— А когда Россия дала на него ответ?
— Российские профильные ведомства своевременно реагируют на все поступающие от иностранных партнеров запросы. Поэтому ответ был дан сразу же, в ноябре. Была запрошена дополнительная информация, поскольку данные, содержавшиеся в их первом обращении, были размытыми и в основном повторяли сообщения СМИ. Наши компетентные ведомства, естественно, попросили партнеров дать конкретные IP-адреса, сигнатуры атак и так далее.
Второй запрос, содержавший дополнительную информацию, пришел только в начале этого года. На него был оперативно дан развернутый ответ.
— Американцев российский ответ устроил?
— Запросов с их стороны больше не было.
— А какая информация содержалась в российском ответе?
— Там были конкретные вопросы, на которые были даны исчерпывающие ответы, в том числе технического плана.
— Но из российского ответа следует, что причастности госорганов РФ к этой атаке нет?
— Как неоднократно подчеркивал президент Владимир Путин,
Российская Федерация не вмешивается во внутренние дела других государств, включая, естественно, и их избирательные процессы. Есть примеры вмешательства некоторых стран в наши внутренние дела, но это уже другой вопрос.
— Россия вот уже несколько лет призывает принять под эгидой ООН правила поведения государств в киберпространстве. Но с западной стороны звучат обвинения, что российские власти лишь хотят усилить цензуру в интернете, поставить его под жесткий контроль государства. Что бы вы ответили критикам?
— А какое они предлагают решение?
— Свободу слова, свободу доступа…
— Что вы выберете: вседозволенность или право людей, общества на то, чтобы жить спокойно?
— Вы о том, что нужно поступиться свободой в интернете с тем, чтобы укрепить безопасность?
— Безусловно, чем-то надо жертвовать. Например, сейчас идет борьба с обезличенными симками. Кому-то хочется иметь обезличенную сим-карту, но с точки зрения действующих норм права, требований обеспечения безопасности и особенно борьбы с терроризмом это недопустимо.
Свобода как вседозволенность вызывает законные вопросы. Недаром говорилось, что жить в обществе и быть свободным от общества нельзя.
Такой подход имеет еще один правовой аспект, о котором, как правило, наши оппоненты умалчивают. В международном пакте о гражданских и политических правах, принятом резолюцией Генассамблеи ООН 16 декабря 1966 года, в ст. 19 прямо сказано: «Пользование правом на свободное выражение своего мнения, включающим свободу искать, получать и распространять всякого рода информацию и идеи, налагает особые обязанности и особую ответственность. Оно может быть, следовательно, сопряжено с некоторыми ограничениями, установленными законом и являющимися необходимыми прежде всего для уважения прав и репутации других лиц. Но главное — для охраны государственной безопасности, общественного порядка, здоровья или нравственности населения».
Заметьте, этому документу более 50 лет, а его актуальность сегодня не только сохраняется, но и возрастает.
— Но не приведет ли забота о безопасности к тотальной зарегулированности и, возможно, еще более жесткой цензуре, чем у китайцев?
— Надо найти золотую середину, а для этого необходимо договариваться, искать компромиссы, учитывать общественное мнение. Ведь вы же не будете защищать свободу, наблюдать детскую порнографию? Или свободу быть обманутым теми, кто использует возможности интернета для наживы?
— А как быть со свободой заходить в Twitter и Facebook? Вот вы пользуетесь социальными сетями?
— Редко, и считаю, что сидеть в Twitter и Facebook целыми днями — это беда нашего молодого поколения. Социальные сети им уже заменили книги, но на эту тему можно рассуждать долго.
— Помимо призывов принять правила поведения государств в информпространстве Россия разработала для принятия под эгидой ООН проект конвенции «О сотрудничестве в сфере противодействия информационной преступности». Если я правильно понимаю, по задумке Москвы этот документ должен прийти на смену Будапештской конвенции о компьютерных преступлениях 2001 года, в которой российские власти увидели угрозу суверенитету страны. Как продвигается эта инициатива?
— Работа над этим вопросом ведется активно и на различных площадках. При этом мы пытаемся донести до зарубежных партнеров ключевую мысль: безусловно, реагирование на компьютерные инциденты — очень важная задача, но это уже борьба с последствиями. Если мы хотим добиться реальной защищенности критической инфраструктуры, то приоритетной задачей сотрудничества должно стать именно предотвращение компьютерных атак.
На национальном уровне приоритет предотвращения компьютерных инцидентов перед устранением их последствий закреплен в уже упомянутом законопроекте «О безопасности критической информационной инфраструктуры Российской Федерации».
При этом Россия еще два десятка лет назад криминализировала производство, распространение и применение вредоносных программ. Это позволило повысить эффективность борьбы с киберпреступностью. И мы не устаем призывать другие страны последовать нашему примеру и также криминализировать производство вредоносного ПО.
Понятно, что компьютерную атаку невозможно осуществить без наличия уязвимости в программном или аппаратном обеспечении. Устранение таких уязвимостей обязано стать первостепенной задачей производителей.
— Разве они этим не занимаются?
— Стремление к наживе пока преобладает и вынуждает их экономить на средствах безопасности. В продолжающейся борьбе «безопасность—прибыль» мораль уходит на второй план, и, увы, до сих пор побеждают деньги. Хотя всем понятно, что экономия на информационной безопасности сегодня приведет к тому, что завтра потери будут значительно больше.
В связи с этим Россия выступает за введение ответственности производителей за обеспечение гарантий безопасности программных и аппаратных средств. Всем необходимо наконец осознать, что мы «находимся в одной лодке» и недостаточная защищенность информационных ресурсов хотя бы одной из стран создает угрозы международной безопасности в целом.
— На следующей неделе Совету безопасности РФ исполняется 25 лет. Что было сделано в области информационной безопасности за эти годы?
— Да, 25 лет — это солидный срок для истории новой России. Все эти годы информационная безопасность неизменно была в поле зрения Совета безопасности. На этом стратегически важном направлении были приняты решения, позволившие создать в масштабе государства надежную и эффективную систему обеспечения информационной безопасности страны.
Но впереди у нас много новых дел. Главное — претворить в жизнь идеи, заложенные в новой редакции доктрины информационной безопасности, утвержденной указом президента РФ 5 декабря 2016 года.