Парижская киберкоммуна
В понедельник, 12 ноября, президент Франции Эмманюэль Макрон на Форуме по управлению интернетом представил «Парижский призыв к доверию и безопасности в киберпространстве» (Paris Call for Trust and Security in Cyberspace) — меморандум, который должен обеспечить мягкое регулирование интернета.
Что именно должен регулировать меморандум, как он будет работать и повлияет ли он на жизнь обычных пользователей, разбирался РБК.
Кто поддержал документ?
Документ поддержали 51 страна, несколько сотен коммерческих и некоммерческих организаций — всего более 370 подписантов, следует из документа, опубликованного на сайте Министерства европейских и иностранных дел Франции. Среди стран, присоединившихся к документу, нет России, Китая и США. Однако его подписали две компании из России — «Лаборатория Касперского» и Group-IB, а также многие крупные технологические компании — Microsoft, Facebook, Google, Dell, SAP, IBM, Nokia, Oracle, Panasonic и другие.
Как заявил Макрон, существует два подхода к регулированию интернета: калифорнийский, который предполагает полную бесконтрольность, и китайский, когда государство полностью контролирует Сеть. Президент Франции не является сторонником ни того ни другого. По его словам, государства должны защищать граждан и от неправильного использования их данных, а также от вредного контента. По его словам, число подписантов документа будет расти.
«Мы, в Group-IB, полностью поддерживаем основные принципы Paris Call, — рассказал РБК представитель компании. — Особенно мы поддерживаем идеи государственно-частного партнерства в сфере борьбы с киберпреступностью».
Представитель пресс-службы «Лаборатории Касперского» также подтвердил, что их компания поддержала французскую инициативу. «Paris Call выдвигает ряд важных принципов международной кибербезопасности. В частности, признает ответственность ключевых субъектов частного сектора за укрепление доверия, безопасности и стабильности в киберпространстве, а также поощряет инициативы, направленные на повышение защищенности цифровых процессов и продуктов по всей цепочке поставок», — сказал представитель компании.
Какие обязательства взяли на себя подписанты?
- Защищать пользователей интернета и объекты критической инфраструктуры от вредоносных действий в киберпространстве любого масштаба, помогать устранять их последствия;
- не допускать любые действия, которые преднамеренно и существенно вредят общедоступности и целостности интернета;
- способствовать предотвращению иностранного вмешательства в предвыборный процесс через действия в киберпространстве;
- предотвращать кражу интеллектуальной собственности с помощью информационно-коммуникационных технологий (включая информацию, которая составляет коммерческую тайну и может быть использована конкурентами в своих целях);
- препятствовать распространению способов причинения вреда через информационно-коммуникационные технологии;
- укреплять безопасность цифровых процессов, продуктов и сервисов на всем протяжении их жизненного цикла;
- поддерживать усилия по распространению основ безопасного поведения в Сети (кибергигиены) для всех субъектов;
- предпринимать усилия для защиты негосударственных субъектов от кибератак;
- содействовать широкому признанию и соблюдению международных норм ответственного поведения наряду с мерами, укрепляющими доверие в киберпространстве.
Какие еще есть международные документы о кибербезопасности?
Первым международным документом по кибербезопасности является Будапештская конвенция Совета Европы, принятая в 2001 году. Ее подписали более 40 государств, в число которых Россия не входит. Наряду с Китаем Россия критиковала пункт, который позволяет уполномоченным органам одного государства получать доступ к компьютерным данным, хранящимся на территории другого государства, без предварительного согласия последнего.
Россия, в свою очередь, выступает за принятие юридически обязывающей конвенции ООН «О международной информационной безопасности». Как объяснял ранее спецпредставитель президента России по вопросам международного сотрудничества в области информационной безопасности, посол по особым поручениям Андрей Крутских, в международном праве нет определения, является ли кибератака вооруженным нападением, а киберсредства не признаны оружием. Поэтому Россия считает, что необходимы отдельный документ с правилами (например, в форме резолюции ООН), а также изменения в международном праве. Страны, нарушившие эти правила, должны попадать под санкции. Однако против документа выступают западные страны.
В конце октября Россия вынесла на рассмотрение 73-й сессии Генассамблеи ООН проект резолюции по кибербезопасности, предусматривающей создание соответствующей рабочей группы, а также установление норм поведения государств в информационном пространстве, передавал ТАСС. В пятницу, 9 ноября, документ был рассмотрен первым комитетом ГА ООН и одобрен большинством его членов (109 «за», 45 «против», 16 воздержались).
Какой статус имеет французский документ?
Партнер юридической компании «НАФКО-Консультанты» Ирина Мостовая отметила, что речь идет исключительно о дипломатическом документе, содержащем позицию государства Франции по отношению к проблеме кибербезопасности. «Ни одна сторона, будь то суверенное государство, как Франция, наднациональное образование, как Евросоюз, либо частная компания, как Microsoft или Facebook, соглашаясь с достаточно общими положениями документа, не возлагает на себя никаких обязательств, равно как и не может нести никакой ответственности за их несоблюдение», — пояснил юрист.
По мнению советника практики разрешения споров и информационных технологий Bryan Cave Leigton Paisner (Russia) Наталии Беломестновой, учитывая возрастающую актуальность темы кибербезопасности, на основе этого меморандума могут быть составлены документы, имеющие юридическую силу.
Французский президент в ходе выступления признал, что реализация положений, предложенных в декларации, остается крайне сложной задачей. Чтобы эффективнее решать ее, Макрон предложил наделить Internet Governance Forum (IGF, Форум по управлению использованием интернета, входит в состав ЮНЕСКО) дополнительными полномочиями. По замыслам французского лидера, IGF должен получить от ООН мандат, позволяющий форуму вести мониторинг реализации принципов, указанных в декларации.
По словам главного аналитика Российской ассоциации электронных коммуникаций Карена Казаряна, участие российских компаний может быть вызвано их желанием заявить о себе в международном пространстве. «В современных условиях большинство международных инициатив по кибербезопасности нежизнеспособны. Это может быть важно для компаний, которые занимаются кибербезопасностью, но для других ИТ-игроков на российском рынке это что-то необязательное», — пояснил он.
По его словам, в России уже есть собственные документы по обеспечению информационной безопасности на внутреннем и внешнеполитическом уровнях, включая руководящий документ по вопросам международного сотрудничества в области безопасного использования ИКТ до 2020 года, поэтому гипотетическое подписание французской декларации в любом случае не повлияло бы на политику России в этой сфере.
Подписание соглашения «Лабораторией Касперского» и Group-IB — это еще и декларативный шаг, сказал Евгений Медведев, консультант компании ТСС, специализирующейся на кибербезопасности. Как отметил аналитик, обе фирмы позиционируют себя как глобальные компании и поэтому готовы активно участвовать в международных проектах. «Для таких игроков, как «Лаборатория Касперского», которая недавно столкнулась с запретами на покупку своей продукции госорганами в некоторых странах, подписание подобных деклараций — это еще и демонстрация готовности к сотрудничеству, попытка укрепить свою репутацию», — указал Медведев.
Что документ даст пользователям?
Директор по работе с государственными органами Group-IB Дмитрий Буянов считает, что документ, в котором закреплены основные принципы борьбы с киберпреступностью, был необходим давно. «Будапештская конвенция живет уже более 17 лет, ее актуальность в отношении современных киберугроз ставится под сомнение, учитывая скорость развития технологий, методов и инструментов международной киберпреступности», — сказал он.
Буянов считает, что французский проект существенно снизит киберугрозы, однако полностью решить проблему одним таким документом невозможно. «Необходимо создание органа, который будет продвигать идеи, которые изложены в этом меморандуме. Если такой орган будет создан, мы точно готовы практически поучаствовать в его работе».
Однако консультант по стратегии кибербезопасности ПИР-центра Олег Демидов считает, что ситуация в киберпространстве не изменится в связи с принятием документа. По его мнению, на пользователях документ отразится, только если на основе этой декларации будут разработаны отдельная нормативно-правовая база и механизмы сотрудничества с другими государствами и частным сектором.
«На данный момент также рано говорить о влиянии документа на простых пользователей. Сейчас можно говорить только о зарождающемся сотрудничестве Франции и международных ИТ-компаний», — пояснил Демидов.