О том, чем правоохранительные и законодательные органы отвечают на рост мирового рынка средств кибершпионажа, рассказал “Ъ” управляющий партнер агентства «Емельянников, Попова и партнеры» Михаил Емельянников.
— Рост числа киберугроз во многом способствовал появлению коммерческого рынка cyber threat intelligence. Что это за рынок и как он будет развиваться в ближайшие годы, в частности, в России?
— Начать надо с того, что само понятие cyber threat intelligence неустоявшееся и понимается в разных странах и разными людьми по-разному. В целом это большой по объему и быстрорастущий рынок средств кибератак, кибершпионажа, воздействия на массовое сознание и противодействия всем этим инструментам. Рост рынка неразрывно связан с растущим проникновением информатизации и интернета в повседневную жизнь, расширением их сфер применения и постоянно растущим числом пользователей.
Средствами cyber threat intelligence решаются задачи самых различных групп: правительств, бизнеса, криминала, гражданского общества, конечных пользователей и т. д. На сегодня можно выделить наиболее большие по объему и быстрорастущие сегменты этого рынка: средства атак на финансовые системы и их клиентов с целью хищения денежных средств и дестабилизации кредитных организаций в целях конкурентной борьбы; средства шпионажа для добывания политически ценной и коммерчески важной информации; средства воздействия на масс-сознание; средства воздействия на критически важные объекты — от терроризма до политического противостояния и конкурентной борьбы. С ростом интернета вещей будет расти и сегмент воздействия на него. Успешный опыт манипулирования гражданами в ходе «цветных» революций и выборов последних лет в разных странах позволяет сделать вывод о перспективности и этого сегмента. Соответственно, неизбежно будет расти и рынок средств защиты от таких воздействий.
Все эти тенденции будут характерны и для России, занимающей довольное заметное место в цифровом мире. Будут на российском рынке и свои особенности, характерные, впрочем, и для некоторых других стран, связанные с государственным регулированием интернета, его сегментированием в пределах национальных границ, суверенизацией российского сегмента, усилением контроля за действиями пользователей.
— Правоохранительные органы нередко привлекают к расследованию кибератак и подготовке технических экспертиз коммерческие компании. Это вызвано низкой квалификацией сотрудников органов или есть еще какие-то причины?
— Я не думаю, что квалификация сотрудников соответствующих госорганов низкая или недостаточная. В государственном сегменте уже есть и специалисты с высокими, рыночными зарплатами, работающие в области кибербезопасности и кибератак. Причины широкого привлечения специалистов коммерческих организаций, как мне кажется, в другом. Рынок cyber threat intelligence очень большой по объему и быстрорастущий, и госорганы просто физически не могут, да и не должны охватывать все его сегменты. Они в первую очередь решают государственные задачи, возложенные на них законодательством.
Кибервоздействие так или иначе очень часто связано с интересами бизнеса, поэтому коммерческие компании работают над гораздо более широким кругом задач, имея возможность узкой специализации и глубокого погружения в конкретные проблемы. Именно поэтому при решении специфических задач государственные органы обращаются в коммерческие организации за соответствующими инструментами и помощью, развивая параллельно компетенции в своих областях. Скажем, создание ГосСОПКА, FinCERT Банка России или войск информационных операций в вооруженных силах России — наглядное подтверждение такой тенденции. В концепцию создания этих структур изначально закладывалось их взаимодействие с аналогичными по задачам органами коммерческих структур.
— Известно ли вам о случаях ошибок в атрибуции кибератак, которые привели бы к серьезным последствиям, например, заключению под стражу невиновного?
— Нет, таких проверенных и надежных фактов я не знаю. Но тема атрибуции широко используется при обсуждении реальных и предполагаемых кибервоздействий на государственные системы и структуры, и очень часто на основании недоказанного источника атаки и сомнительных признаков ее территориального происхождения делаются далеко идущие политические выводы, которые затем активно используются в межгосударственных отношениях. Атрибуция в изначально анонимной сети интернет, где группировки хакеров, в которых объединены люди самых разных национальностей, живущие в разных странах, взаимодействующие через специальные инструменты проксирования, анонимизации, сокрытия информационного обмена, делают атрибуцию атаки в интернете крайне сложной, в большинстве случаев невыполнимой, и чаще всего атрибуция производится, исходя только из одного признака — кому это может быть выгодно.
— Совершенно ли российское законодательство с точки зрения противодействия кибератакам?
— Законодательное регулирование всегда отстает и будет отставать от технологий. С одной стороны, Уголовный кодекс содержит главу 28, предусматривающую ответственность за преступления в сфере компьютерной информации, в отдельные статьи выделено мошенничество с использованием платежных карт и в сфере компьютерной информации. С другой стороны, получить защиту у государственных институтов в случае хищения коммерческой тайны из информационной системы, например из базы данных, крайне сложно, поскольку закон «О коммерческой тайне» требует нанесения ограничительно грифа, полного наименования обладателя и его адреса на каждый материальный носитель такой информации. Реализовать это в информационной системе практически невозможно.
Практика правоприменения тоже пока не сильно сдерживает киберпреступников. Наказание для налетчиков на банк и хакеров, укравших ту же сумму через платежную или банковскую систему, на практике существенно разнятся. Много предстоит сделать для привлечения к судебной ответственности в случае атак на интернет вещей или объекты критической инфраструктуры. Не за горами автомобили без водителя или юридические компании с роботом-консультантом и неизбежные атаки и на них. Всем этим вызовам придется искать адекватную защиту, в том числе правовую.