В Тверь 23-25 мая по приглашению секретаря Совбеза РФ Николая Патрушева съедутся высокопоставленные силовики из почти ста стран. Ключевой темой конференции станет информационная безопасность. Заместитель секретаря Совбеза РФ Олег Храмов в своем первом интервью на этом посту рассказал корреспонденту "Ъ" Елене Черненко, как российские власти планируют защищать критически важные объекты от кибератак, где грань между свободой и безопасностью в сети и что ответила Москва на запрос из Вашингтона о вмешательстве в выборы.
Фото: Роман Яровицын, Коммерсантъ
— Чем обусловлен выбор темы конференции?
— Эта тема крайне актуальна с учетом тех вызовов и угроз, с которыми сталкивается сегодня не только Россия, но и все мировое сообщество. Хотим мы того, или нет, она будет доминировать и в краткосрочной, и в среднесрочной, и долгосрочной перспективе.
Ведь современное общество не может обходиться без электроэнергии и топлива, транспортных коммуникаций, банковских платежных систем, высокотехнологичной медицины и многого другого, что обеспечивает жизнедеятельность человека и относится к так называемой критической инфраструктуре. Системы управления и оборудование для этих отраслей совершенствовались десятилетиями и считались надежными и безопасными. Но применение информационных и коммуникационных технологий (ИКТ.— "Ъ") для обеспечения функционирования объектов критически важной инфраструктуры сделало их крайне уязвимыми. И степень этой уязвимости неуклонно возрастает.
Возьмите, к примеру, интернет вещей. Его лавинообразное развитие порождает ситуацию, когда, образно говоря, миллион муравьев может съесть слона.
— В смысле?
— Работоспособность любого элемента критически важной инфраструктуры может быть нарушена компьютерными атаками с использованием многочисленного и разнообразного пользовательского оборудования связи. Это и мобильные телефоны, и компьютеры, и телеприемники, и многие другие "умные" бытовые электронные устройства. Такое деструктивное воздействие может быть осуществлено не только в криминальных, но и в террористических и даже в военных целях. Государство должно быть готово к противодействию таким угрозам.
— Не слишком ли большую роль отводят именно государству российские власти, когда речь заходит о безопасности в сфере ИКТ?
— Когда что-то плохое происходит, к кому всегда обращается человек? К государству. В котором он, этот конкретный человек, проживает, за руководителей которого он установленным Конституцией порядком голосует и от представителей которого ожидает защиты своих интересов. Поэтому государство обязано заниматься этим вопросом.
Скажем, если при неправильных действиях в сфере ИКТ люди будут лишаться своих средств, что уже происходит, а злоумышленники не будут нести соответствующего наказания, то тогда как же люди смогут доверять государству? Это один пример.
Но есть и более серьезные угрозы. Терроризм...
— Но ведь не было примеров терактов с использованием кибероружия?
— Терактов не было, но интернет активно используется для вербовки террористов.
Никто не сможет утверждать, что государство в состоянии само справиться со всеми угрозами. Скажем, задача обеспечения безопасности критической информационной инфраструктуры требует комплексного решения с задействованием всех имеющихся сил и средств. При этом очень важно продолжить выстраивание взаимовыгодных отношений госорганов, отвечающих за безопасность, с бизнес-структурами, которые являются собственниками критически важных объектов и эксплуатируют их.
— На рассмотрении в Госдуме находится проект закона "О безопасности критической информационной инфраструктуры РФ". В чем его смысл?
— Основная его цель — сформировать механизм взаимодействия всех заинтересованных сторон на основе взаимной ответственности за обеспечение безопасности критической информационной инфраструктуры. Базовый принцип этого документа заключается в том, что собственники объектов критической инфраструктуры обязаны самостоятельно обеспечить их безопасность и нести за это ответственность.
— А государство что будет делать?
— Государство берет на себя обязательство оказывать собственникам этих объектов максимальное содействие, включая информирование об актуальных угрозах информационной безопасности и поддержку разработки необходимых средств защиты. Собственники, в свою очередь, обязаны информировать уполномоченные ведомства о серьезных компьютерных инцидентах.
— Насколько серьезными могут быть последствия кибератак на объекты критической инфраструктуры?
— Мир уже видел примеры подобных компьютерных диверсий, например, применение в 2010 году вируса Stuxnet против объектов иранской ядерной программы, когда были выведены из строя центрифуги по обогащению урана. Заметьте, большинство зарубежных экспертов сходятся во мнении, что за этой атакой стоят западные спецслужбы. Они дали старт масштабному деструктивному использованию информационных и коммуникационных технологий, выпустив, таким образом, джинна из бутылки.
Только в 2016 году на информационные ресурсы РФ совершено более 50 млн кибератак. По сравнению с 2015 годом их число возросло более чем в три раза. Причем более 60% из них осуществлялось из других стран.
Не реагировать на это нельзя, поэтому для надежной защиты собственной критической информационной инфраструктуры в соответствии с указом президента РФ последовательно создается государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы страны.
— А насколько уязвимыми оказались объекты критической инфраструктуры в России перед вирусом-вымогателем WannaCry?
— Благодаря упомянутой государственной системе удалось избежать серьезного ущерба. Критическая информационная инфраструктура оказалась готовой противостоять распространению этого вируса. Но подобные угрозы информационной безопасности становятся все более изощренными и масштабными.
— Представители американских спецслужб продолжают обвинять российские власти во вмешательстве в прошлогодние президентские выборы. Российские хакеры в погонах якобы взломали сервер Демократической партии США и всю переписку "слили" сайту WikiLeaks. Обращались ли власти США к России за разъяснением?
— Да, но сделали они это запоздало.
— Когда?
— Первый запрос поступил за неделю до ноябрьских выборов.
— Он поступил по линии тех двусторонних механизмов, которые были созданы в 2013 году в рамках пакета соглашений между РФ и США о мерах доверия в сфере ИКТ?
— Да, но прежде чем воспользоваться этими каналами, известные круги в США задействовали другой механизм — пропаганду. По принципу политтехнологов "600 раз скажи, что человек неправ, и все в это поверят". Видимо, сделав свою ставку, они специально затянули направление в Россию официального запроса.
— А когда Россия дала на него ответ?
— Российские профильные ведомства своевременно реагируют на все поступающие от иностранных партнеров запросы. Поэтому ответ был дан сразу же, в ноябре. Была запрошена дополнительная информация, поскольку данные, содержавшиеся в их первом обращении, были размытыми и в основном повторяли сообщения СМИ. Наши компетентные ведомства, естественно, попросили партнеров дать конкретные IP-адреса, сигнатуры атак и так далее.
Второй запрос, содержавший дополнительную информацию, пришел только в начале этого года. На него был оперативно дан развернутый ответ.
— Американцев российский ответ устроил?
— Запросов с их стороны больше не было.
— А какая информация содержалась в российском ответе?
— Там были конкретные вопросы, на которые были даны исчерпывающие ответы, в том числе технического плана.
— Из российского ответа следует, что причастности госорганов РФ к этой атаке нет?
— Как неоднократно подчеркивал президент Владимир Путин, Россия не вмешивается во внутренние дела других государств, включая, естественно, и их избирательные процессы. Есть примеры вмешательства некоторых стран в наши внутренние дела, но это уже другой вопрос.
— Россия вот уже несколько лет призывает принять под эгидой ООН правила поведения государств в киберпространстве. Но с западной стороны звучат обвинения, что российские власти лишь хотят усилить цензуру в интернете, поставить его под жесткий контроль государства. Что бы вы ответили критикам?
— А какое они предлагают решение?
— Свободу слова, свободу доступа...
— Что вы выберете: вседозволенность или право людей, общества на то, чтобы жить спокойно?
— Вы к тому, что нужно поступиться свободой в интернете, с тем чтобы укрепить безопасность?
— Безусловно, чем-то надо жертвовать. Например, сейчас идет борьба с обезличенными симками. Кому-то хочется иметь обезличенную сим-карту, но с точки зрения действующих норм права, требований обеспечения безопасности и особенно борьбы с терроризмом это недопустимо.
Свобода, как вседозволенность, вызывает законные вопросы. Недаром говорилось, что жить в обществе и быть свободным от общества нельзя. Такой подход имеет еще один правовой аспект, о котором, как правило, наши оппоненты умалчивают. В международном пакте о гражданских и политических правах, принятом резолюцией Генассамблеи ООН 16 декабря 1966 года, прямо сказано: "Пользование правом на свободное выражение своего мнения, включающим свободу искать, получать и распространять всякого рода информацию и идеи, налагает особые обязанности и особую ответственность. Оно может быть, следовательно, сопряжено с некоторыми ограничениями, установленными законом и являющимися необходимыми прежде всего для уважения прав и репутации других лиц. Но главное — для охраны государственной безопасности, общественного порядка, здоровья или нравственности населения". Заметьте, этому документу более 50 лет, а его актуальность сегодня не только сохраняется, но и возрастает.
— Но не приведет ли забота о безопасности к тотальной зарегулированности и еще более жесткой цензуре, чем у китайцев?
— Надо найти золотую середину, а для этого необходимо договариваться, искать компромиссы, учитывать общественное мнение. Ведь вы же не будете защищать свободу наблюдать детскую порнографию? Или свободу быть обманутым теми, кто использует возможности интернета для наживы?
— А как быть со свободой заходить в Twitter и Facebook? Вот вы пользуетесь социальными сетями?
— Редко и считаю, что сидеть в Twitter и Facebook целыми днями — это беда нашего молодого поколения. Социальные сети им уже заменили книги, но на эту тему можно рассуждать долго.