Компьютерные атаки на КИИ России: правовые меры защиты
В рубрику "В фокусе" | К списку рубрик | К списку авторов | К списку публикаций
Компьютерные атаки на КИИ России: правовые меры защиты
Ильдар Бегишев
Старший научный сотрудник Казанского инновационного университета им. В.Г. Тимирясова (ИЭУП), к.ю.н
Старший научный сотрудник Казанского инновационного университета им. В.Г. Тимирясова (ИЭУП), к.ю.н
Злоумышленники постоянно совершенствуют технологии компьютерных атак на объекты КИИ. Ярким примером являются действия вредоносных компьютерных программ-вымогателей WannaCry и Petya/Petrwrap/NotPetya/ exPetr, которые использовали для компьютерной атаки уязвимости в программном обеспечении пользователей1.
Так, например, согласно данным аналитического отчета одного из лидеров европейского рынка систем анализа защищенности и соответствия стандартам – компании Positive Technologies, в I квартале 2019 г. злоумышленники совершили около 58% компьютерных атак на различные объекты информационной инфраструктуры2.
Проблема безопасности КИИ уже давно интересует многих ученых. Несмотря на малое количество научных трудов, по рассматриваемой теме сложилась достаточно обширная методологическая база. При этом в анализе проблемы безопасности КИИ остается немало нерешенных задач.
Значение терминов и понятий
Изучение генезиса заявленного вопроса требует прежде всего пояснения понятия "безопасность".
По смыслу термин "безопасность" (от лат. securitas, англ. safety/security, фр. securite' ) означает отсутствие опасности, т.е. состояние, при котором опасность не угрожает.
В широком смысле этим словом обозначается ситуация, при которой вероятность причинения объекту защиты вреда и его возможные размеры, по мнению оценивающего ситуацию субъекта, меньше некоторого субъективно установленного им же предела3.
Следовательно, в общем виде безопасность означает состояние защищенности личности, общества и государства от внутренних и внешних угроз или опасностей.
Понимание этого составляет основу дефиниции национальной безопасности РФ, закрепленной в Стратегии4. В свою очередь, национальная безопасность РФ существенным образом зависит от обеспечения информационной безопасности5.
Наряду с этим информационная безопасность предполагает защищенность жизненно важных интересов личности, общества и государства непосредственно в информационной сфере6.
Законодатель определяет безопасность КИИ РФ как состояние защищенности КИИ, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак7.
Очевидно, что понятие "безопасность КИИ" является видовым по отношению к понятию "информационная безопасность", которая, в свою очередь, значится одним из видов безопасности и входит в понятие "национальная безопасность".
Таким образом, обеспечение безопасности КИИ должно основываться на принципах и методологии обеспечения национальной безопасности.
Закон о безопасности КИИ предписывает его субъектам обеспечить безопасность своих информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления.
Напомним, что в Федеральном законе от 27 июля 2006 г. №1 49-ФЗ "Об информации, информационных технологиях и о защите информации"8 (ст. 2 "Основные понятия, используемые в настоящем Федеральном законе") отражены понятия информационной системы и информационно-телекоммуникационной сети.
Понятие автоматизированной системы управления нашло свое отражение в Федеральном законе от 26 июля 2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"9 (ст. 2 "Основные понятия, используемые в настоящем Федеральном законе"). Данное понятие носит в основном технологический характер и довольно широко используется в обиходе представителелями технических специальностей.
В широком смысле автоматизированная система управления состоит из информационной системы и информационно-телекоммуникационной сети, являющихся базовыми элементами КИИ, хотя они имеют свою особую технологическую основу, способную выделить автоматизированную систему в самостоятельный объект КИИ.
Субъекты КИИ
Видится, что наиболее тяжелым последствием компьютерных инцидентов является нарушение технологического процесса на предприятии. Это, в свою очередь, может привести к повреждению выпускаемого продукта, снижению качества обслуживания клиентов, снижению объемов или временной остановке производства. Более того, возникает высокий риск техногенных аварий и экологических катастроф. Подобные инциденты могут повлечь за собой снижение стоимости акций компании, репутационный ущерб, штрафные санкции, что также в конечном итоге может являться целью компьютерной атаки10. Поэтому мы считаем, что субъектам КИИ необходимо выстраивать слаженную систему своей информационной безопасности, а уже в ее рамках выполнять требования к обеспечению защиты информации, которые определены в соответствующих актах11.
К субъектам КИИ отнесены государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей12.
При этом указанные субъекты КИИ должны функционировать только в некоторых социально-экономических областях13.
Расширение списка
По нашему мнению, помимо указанных сфер, возможны и иные виды экономической деятельности, например жилищно-коммунальное и сельское хозяйство, строительство, пищевая промышленность и т.д. Однако указанные виды к субъектам КИИ почему-то не отнесены, хотя на их информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления также могут быть совершены компьютерные атаки14.
Предполагается, что в результате атак на сервисы для расчета и оплаты коммунальных услуг, мониторинга деятельности управляющих и ресурсоснабжающих организаций, состояния объектов государственного учета жилищного фонда может быть нарушено функционирование государственной информационной системы жилищно-коммунального хозяйства15 – одной из важнейших социально значимых информационных систем государства.
В этой связи регулятору еще предстоит отнести часть субъектов экономической деятельности, не упоминающихся в действующем законодательстве, к субъектам КИИ.
Для успешного решения этого вопроса необходимо использовать данные Общероссийского классификатора видов экономической деятельности (ОКВЭД 2)16. Согласно именно его данным следует соотносить вид экономической деятельности с предполагаемым субъектом КИИ.
Внедрение программы "Цифровая экономика Российской Федерации"
Безопасность КИИ напрямую зависит от правильности принятия решений в сфере противодействия компьютерным атакам, от быстроты и эффективности действий субъектов.
Наиболее значимый вклад в цифровую трансформацию российской экономики вносит реализация национальной программы "Цифровая экономика Российской Федерации". Она принята в соответствии с Указом Президента РФ от 7 мая 2018 г. № 204 "О национальных целях и стратегических задачах развития Российской Федерации на период до 2024 г."17 и утверждена президиумом Совета при Президенте Российской Федерации по стратегическому развитию и национальным проектам (протокол № 16 от 24 декабря 2018 г.). Программа включает в себя шесть приоритетных направлений:
- Нормативное регулирование цифровой среды (создание гибкой системы правового регулирования, обеспечивающей цифровую трансформацию отраслей экономики, социальной сферы и управления).
- Информационная инфраструктура (создание глобально конкурентоспособной инфраструктуры передачи, обработки и хранения данных, а также цифровых продуктов для граждан, бизнеса и власти).
- Кадры для цифровой экономики (создание условий для формирования рынка труда квалифицированными и конкурентоспособными кадрами цифровой экономики через трансформацию всех уровней систем образования).
- Информационная безопасность (создание безопасной и устойчивой информационной инфраструктуры для граждан, представителей бизнеса и государства в цифровом пространстве).
- Цифровые технологии (создание комплексной системы поддержки исследований, проектов по разработке и внедрению цифровых технологий и платформенных решений).
- Цифровое государственное управление (переход к управлению данными государства на основе цифровых технологий, разработка комплексных суперсервисов для получения гражданами и бизнесом государственных услуг "в один клик")18.
Вопросы уголовно-правовой регламентации
Особое внимание в российской национальной программе уделено вопросам безопасности КИИ и внедрения цифровых технологий. Цифровая экономика является одним из главных двигателей роста и развития мировой экономики, открывающим безграничные возможности для бизнеса и государственного сектора. Информационные и телекоммуникационные технологии играют огромную роль в прогрессе традиционных отраслей. Внедрение цифровых технологий в глобальные производственные процессы в различных сегментах повсеместно влияет на характер производства19.
При изучении общественных отношений, складывающихся в связи с уголовно-правовой регламентацией неправомерного воздействия на КИИ РФ и некоторых зарубежных стран, установлено, что нормы зарубежного и российской законодательства, предусматривающие ответственность за посягательства на объекты КИИ, имеют в основном бланкетный характер.
Редакция ст. 274.1 "Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации" УК РФ представляет собой структуру, состоящую из трех норм об ответственности за преступления в сфере компьютерной информации:
- ст. 272 "Неправомерный доступ к компьютерной информации" УК РФ;
- ст. 273 "Создание, использование и распространение вредоносных компьютерных программ" УК РФ;
- ст. 274 "Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей" УК РФ.
По смыслу ст. 274.1 УК РФ все эти деяния должны быть направлены против объектов КИИ.
Таким образом, анализируемая уголовно-правовая норма в определенной мере конкурирует сразу с тремя вышеперечисленными статьями и является по некоторым критериям специальной по отношению к ним. В некотором смысле конструирование ст. 274.1 УК РФ противоречит сложившимся отечественным традициям криминализации и использования приемов юридической техники при описании уголовно-правовых норм. Следуя им, установление более строгой уголовной ответственности за посягательства на объекты КИИ предпочтительнее было бы реализовать путем выделения соответствующих квалифицирующих и особо квалифицирующих признаков в ст. 272–274 УК РФ20. Мы солидарны с мнением процитированных ученых. Полагаем, что уголовно-правовая норма об ответственности за неправомерное воздействие на КИИ РФ требует изменения.
Консолидация сил
Приведенный анализ показывает, что мировое цифровое пространство является целью хорошо организованных компьютерных атак. Методы и средства, используемые для их подготовки, постоянно совершенствуются. Такие компьютерные атаки могут быть направлены против различных объектов КИИ не только своего, но и зарубежных государств. Эффективное противодействие компьютерным атакам возможно только в рамках совместных усилий всех заинтересованных стран, в частности национальных уполномоченных органов в области обнаружения и предупреждения компьютерных атак, и унификации международного законодательства в сфере обеспечения безопасности КИИ.
___________________________________________
1 Барташевич С.А. Информационная безопасность – залог успеха бизнеса // Information Security / Информационная безопасность. – 2017. – № 4. – С. 19.
2 Аналитический отчет “Актуальные киберугрозы. I квартал 2019 года" // Аналитический центр Positive Technologies. https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-q1-2019/#id5
3 Атаманов Г.А. Методология безопасности // Фонд содействия научным исследованиям проблем безопасности “НАУКА- XXI". http://naukaxxi.ru/materials/302/
4 Указ Президента Российской Федерации от 31 декабря 2015 г. № 683 “О Стратегии национальной безопасности Российской Федерации" // СЗ РФ. – 2016. – № 1 (часть II). – Ст. 212.
5 Терещенко Л.К., Тиунов О.И. Информационная безопасность органов исполнительной власти на современном этапе // Журнал российского права. – 2015. – № 8. – С. 107.
6 Хисамова З.И. Понятие и сущность преступлений, посягающих на информационную безопасность в сфере экономики // Общество и право. – 2015. – № 1(51). – С. 157.
7 Федеральный закон от 26 июля 2017 г. № 187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации" // СЗ РФ. – 2017. – № 31 (часть I). – Ст. 4736.
8 Федеральный закон от 27 июля 2006 г. № 149-ФЗ “Об информации, информационных технологиях и о защите информации" // СЗ РФ. – 2006. – № 31 (часть I). – Ст. 3448.
9 Федеральный закон от 26 июля 2017 г. №1 87-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации" // СЗ РФ. – 2017. – № 31 (часть I). – Ст. 4736.
10 Сердюк В.А. Некоторые аспекты защиты АСУ ТП // Information Security / Информационная безопасность. – 2017. – № 6. – С. 12.
11 Приказ Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. № 31 “Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды" // Российская газета. – 2014. – № 175.
12 Федеральный закон от 26 июля 2017 г. № 187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации" // СЗ РФ. – 2017. – № 31 (часть I). – Ст. 4736.
13 Там же.
14 Бегишев И.Р. Безопасность критической информационной инфраструктуры Российской Федерации // Безопасность бизнеса. – 2019. – № 1. – С. 29.
15 Приказ Министерства связи и массовых коммуникаций Российской Федерации от 14 июня 2016 г. № 264 “О вводе в эксплуатацию государственной информационной системы жилищно-коммунального хозяйства" // Официальный сайт Министерства связи и массовых коммуникаций Российской Федерации. http://minsvyaz.ru/ru/documents/5069/
16 Приказ Федерального агентства по техническому регулированию и метрологии от 31 января 2014 г. № 14-ст “О принятии и введении в действие Общероссийского классификатора видов экономической деятельности (ОКВЭД2) ОК 029–2014 (КДЕС ред. 2) и Общероссийского классификатора продукции по видам экономической деятельности (ОКПД2) ОК 034–2014 (КПЕС 2008)" // Бухгалтерское приложение к газете "Экономика и жизнь". – 2014. – № 21.
17 Указ Президента Российской Федерации от 7 мая 2018 г. № 204 "О национальных целях и стратегических задачах развития Российской Федерации на период до 2024 года" // СЗ РФ. 2018. – № 20. – Ст. 2817.
18 Там же.
19 Хисамова З.И. Международный опыт уголовно-правового противодействия преступлениям в сфере цифровой экономики. Краснодар: Изд-во Краснодар. ун-та МВД России, 2018. – С. 5.
20 Решетников А.Ю., Русскевич Е.А. Об уголовной ответственности за неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации (ст. 274.1 УК России) // Законы России: опыт, анализ, практика. – 2018. – № 2.– С. 52.
1 Барташевич С.А. Информационная безопасность – залог успеха бизнеса // Information Security / Информационная безопасность. – 2017. – № 4. – С. 19.
2 Аналитический отчет “Актуальные киберугрозы. I квартал 2019 года" // Аналитический центр Positive Technologies. https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-q1-2019/#id5
3 Атаманов Г.А. Методология безопасности // Фонд содействия научным исследованиям проблем безопасности “НАУКА- XXI". http://naukaxxi.ru/materials/302/
4 Указ Президента Российской Федерации от 31 декабря 2015 г. № 683 “О Стратегии национальной безопасности Российской Федерации" // СЗ РФ. – 2016. – № 1 (часть II). – Ст. 212.
5 Терещенко Л.К., Тиунов О.И. Информационная безопасность органов исполнительной власти на современном этапе // Журнал российского права. – 2015. – № 8. – С. 107.
6 Хисамова З.И. Понятие и сущность преступлений, посягающих на информационную безопасность в сфере экономики // Общество и право. – 2015. – № 1(51). – С. 157.
7 Федеральный закон от 26 июля 2017 г. № 187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации" // СЗ РФ. – 2017. – № 31 (часть I). – Ст. 4736.
8 Федеральный закон от 27 июля 2006 г. № 149-ФЗ “Об информации, информационных технологиях и о защите информации" // СЗ РФ. – 2006. – № 31 (часть I). – Ст. 3448.
9 Федеральный закон от 26 июля 2017 г. №1 87-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации" // СЗ РФ. – 2017. – № 31 (часть I). – Ст. 4736.
10 Сердюк В.А. Некоторые аспекты защиты АСУ ТП // Information Security / Информационная безопасность. – 2017. – № 6. – С. 12.
11 Приказ Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. № 31 “Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды" // Российская газета. – 2014. – № 175.
12 Федеральный закон от 26 июля 2017 г. № 187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации" // СЗ РФ. – 2017. – № 31 (часть I). – Ст. 4736.
13 Там же.
14 Бегишев И.Р. Безопасность критической информационной инфраструктуры Российской Федерации // Безопасность бизнеса. – 2019. – № 1. – С. 29.
15 Приказ Министерства связи и массовых коммуникаций Российской Федерации от 14 июня 2016 г. № 264 “О вводе в эксплуатацию государственной информационной системы жилищно-коммунального хозяйства" // Официальный сайт Министерства связи и массовых коммуникаций Российской Федерации. http://minsvyaz.ru/ru/documents/5069/
16 Приказ Федерального агентства по техническому регулированию и метрологии от 31 января 2014 г. № 14-ст “О принятии и введении в действие Общероссийского классификатора видов экономической деятельности (ОКВЭД2) ОК 029–2014 (КДЕС ред. 2) и Общероссийского классификатора продукции по видам экономической деятельности (ОКПД2) ОК 034–2014 (КПЕС 2008)" // Бухгалтерское приложение к газете "Экономика и жизнь". – 2014. – № 21.
17 Указ Президента Российской Федерации от 7 мая 2018 г. № 204 "О национальных целях и стратегических задачах развития Российской Федерации на период до 2024 года" // СЗ РФ. 2018. – № 20. – Ст. 2817.
18 Там же.
19 Хисамова З.И. Международный опыт уголовно-правового противодействия преступлениям в сфере цифровой экономики. Краснодар: Изд-во Краснодар. ун-та МВД России, 2018. – С. 5.
20 Решетников А.Ю., Русскевич Е.А. Об уголовной ответственности за неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации (ст. 274.1 УК России) // Законы России: опыт, анализ, практика. – 2018. – № 2.– С. 52.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2019
