В рубрику "В фокусе" | К списку рубрик | К списку авторов | К списку публикаций
Злоумышленники постоянно совершенствуют технологии компьютерных атак на объекты КИИ. Ярким примером являются действия вредоносных компьютерных программ-вымогателей WannaCry и Petya/Petrwrap/NotPetya/ exPetr, которые использовали для компьютерной атаки уязвимости в программном обеспечении пользователей1.
Так, например, согласно данным аналитического отчета одного из лидеров европейского рынка систем анализа защищенности и соответствия стандартам – компании Positive Technologies, в I квартале 2019 г. злоумышленники совершили около 58% компьютерных атак на различные объекты информационной инфраструктуры2.
Проблема безопасности КИИ уже давно интересует многих ученых. Несмотря на малое количество научных трудов, по рассматриваемой теме сложилась достаточно обширная методологическая база. При этом в анализе проблемы безопасности КИИ остается немало нерешенных задач.
Изучение генезиса заявленного вопроса требует прежде всего пояснения понятия "безопасность".
По смыслу термин "безопасность" (от лат. securitas, англ. safety/security, фр. securite' ) означает отсутствие опасности, т.е. состояние, при котором опасность не угрожает.
В широком смысле этим словом обозначается ситуация, при которой вероятность причинения объекту защиты вреда и его возможные размеры, по мнению оценивающего ситуацию субъекта, меньше некоторого субъективно установленного им же предела3.
Следовательно, в общем виде безопасность означает состояние защищенности личности, общества и государства от внутренних и внешних угроз или опасностей.
Понимание этого составляет основу дефиниции национальной безопасности РФ, закрепленной в Стратегии4. В свою очередь, национальная безопасность РФ существенным образом зависит от обеспечения информационной безопасности5.
Наряду с этим информационная безопасность предполагает защищенность жизненно важных интересов личности, общества и государства непосредственно в информационной сфере6.
Законодатель определяет безопасность КИИ РФ как состояние защищенности КИИ, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак7.
Очевидно, что понятие "безопасность КИИ" является видовым по отношению к понятию "информационная безопасность", которая, в свою очередь, значится одним из видов безопасности и входит в понятие "национальная безопасность".
Таким образом, обеспечение безопасности КИИ должно основываться на принципах и методологии обеспечения национальной безопасности.
Закон о безопасности КИИ предписывает его субъектам обеспечить безопасность своих информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления.
Напомним, что в Федеральном законе от 27 июля 2006 г. №1 49-ФЗ "Об информации, информационных технологиях и о защите информации"8 (ст. 2 "Основные понятия, используемые в настоящем Федеральном законе") отражены понятия информационной системы и информационно-телекоммуникационной сети.
Понятие автоматизированной системы управления нашло свое отражение в Федеральном законе от 26 июля 2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"9 (ст. 2 "Основные понятия, используемые в настоящем Федеральном законе"). Данное понятие носит в основном технологический характер и довольно широко используется в обиходе представителелями технических специальностей.
В широком смысле автоматизированная система управления состоит из информационной системы и информационно-телекоммуникационной сети, являющихся базовыми элементами КИИ, хотя они имеют свою особую технологическую основу, способную выделить автоматизированную систему в самостоятельный объект КИИ.
Видится, что наиболее тяжелым последствием компьютерных инцидентов является нарушение технологического процесса на предприятии. Это, в свою очередь, может привести к повреждению выпускаемого продукта, снижению качества обслуживания клиентов, снижению объемов или временной остановке производства. Более того, возникает высокий риск техногенных аварий и экологических катастроф. Подобные инциденты могут повлечь за собой снижение стоимости акций компании, репутационный ущерб, штрафные санкции, что также в конечном итоге может являться целью компьютерной атаки10. Поэтому мы считаем, что субъектам КИИ необходимо выстраивать слаженную систему своей информационной безопасности, а уже в ее рамках выполнять требования к обеспечению защиты информации, которые определены в соответствующих актах11.
К субъектам КИИ отнесены государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей12.
При этом указанные субъекты КИИ должны функционировать только в некоторых социально-экономических областях13.
По нашему мнению, помимо указанных сфер, возможны и иные виды экономической деятельности, например жилищно-коммунальное и сельское хозяйство, строительство, пищевая промышленность и т.д. Однако указанные виды к субъектам КИИ почему-то не отнесены, хотя на их информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления также могут быть совершены компьютерные атаки14.
Предполагается, что в результате атак на сервисы для расчета и оплаты коммунальных услуг, мониторинга деятельности управляющих и ресурсоснабжающих организаций, состояния объектов государственного учета жилищного фонда может быть нарушено функционирование государственной информационной системы жилищно-коммунального хозяйства15 – одной из важнейших социально значимых информационных систем государства.
В этой связи регулятору еще предстоит отнести часть субъектов экономической деятельности, не упоминающихся в действующем законодательстве, к субъектам КИИ.
Для успешного решения этого вопроса необходимо использовать данные Общероссийского классификатора видов экономической деятельности (ОКВЭД 2)16. Согласно именно его данным следует соотносить вид экономической деятельности с предполагаемым субъектом КИИ.
Безопасность КИИ напрямую зависит от правильности принятия решений в сфере противодействия компьютерным атакам, от быстроты и эффективности действий субъектов.
Редакция ст. 274.1 "Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации" УК РФ представляет собой структуру, состоящую из трех норм об ответственности за преступления в сфере компьютерной информации:
Наиболее значимый вклад в цифровую трансформацию российской экономики вносит реализация национальной программы "Цифровая экономика Российской Федерации". Она принята в соответствии с Указом Президента РФ от 7 мая 2018 г. № 204 "О национальных целях и стратегических задачах развития Российской Федерации на период до 2024 г."17 и утверждена президиумом Совета при Президенте Российской Федерации по стратегическому развитию и национальным проектам (протокол № 16 от 24 декабря 2018 г.). Программа включает в себя шесть приоритетных направлений:
Особое внимание в российской национальной программе уделено вопросам безопасности КИИ и внедрения цифровых технологий. Цифровая экономика является одним из главных двигателей роста и развития мировой экономики, открывающим безграничные возможности для бизнеса и государственного сектора. Информационные и телекоммуникационные технологии играют огромную роль в прогрессе традиционных отраслей. Внедрение цифровых технологий в глобальные производственные процессы в различных сегментах повсеместно влияет на характер производства19.
При изучении общественных отношений, складывающихся в связи с уголовно-правовой регламентацией неправомерного воздействия на КИИ РФ и некоторых зарубежных стран, установлено, что нормы зарубежного и российской законодательства, предусматривающие ответственность за посягательства на объекты КИИ, имеют в основном бланкетный характер.
Редакция ст. 274.1 "Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации" УК РФ представляет собой структуру, состоящую из трех норм об ответственности за преступления в сфере компьютерной информации:
По смыслу ст. 274.1 УК РФ все эти деяния должны быть направлены против объектов КИИ.
Таким образом, анализируемая уголовно-правовая норма в определенной мере конкурирует сразу с тремя вышеперечисленными статьями и является по некоторым критериям специальной по отношению к ним. В некотором смысле конструирование ст. 274.1 УК РФ противоречит сложившимся отечественным традициям криминализации и использования приемов юридической техники при описании уголовно-правовых норм. Следуя им, установление более строгой уголовной ответственности за посягательства на объекты КИИ предпочтительнее было бы реализовать путем выделения соответствующих квалифицирующих и особо квалифицирующих признаков в ст. 272–274 УК РФ20. Мы солидарны с мнением процитированных ученых. Полагаем, что уголовно-правовая норма об ответственности за неправомерное воздействие на КИИ РФ требует изменения.
Приведенный анализ показывает, что мировое цифровое пространство является целью хорошо организованных компьютерных атак. Методы и средства, используемые для их подготовки, постоянно совершенствуются. Такие компьютерные атаки могут быть направлены против различных объектов КИИ не только своего, но и зарубежных государств. Эффективное противодействие компьютерным атакам возможно только в рамках совместных усилий всех заинтересованных стран, в частности национальных уполномоченных органов в области обнаружения и предупреждения компьютерных атак, и унификации международного законодательства в сфере обеспечения безопасности КИИ.