ОРГАНИЗАЦИОННЫЕ И ОБЩЕТЕОРЕТИЧЕСКИЕ ВОПРОСЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
УДК 004.9
ДЕМОКРАТИЧЕСКИЕ ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
© Овчинников Сергей Александрович
почётный работник высшего профессионального образования Российской Федерации, советник и эксперт Правительства Саратовской области, директор НОЦ «ИНФО ЭПР», доктор исторических наук, профессор, проректор по безопасности, Саратовский государственный социально-экономический университет.
© Русакова Наталия Александровна
кандидат политических наук, доцент кафедры документоведения и документа-ционного обеспечения управления, Саратовский государственный социально-экономический университет.
В работе представлен обзор демократических проблем обеспечения информационной безопасности в современном обществе.
Ключевые слова: стратегия кибербезопасности, киберугрозы, информационная война.
От
ьдним из ключевых элементов стратегии кибербезопасности, который активно используется правительствами, частными лицами и бизнес-структурами, является использование брандмауэров. По сути, брандмауэр фиксирует границу между двумя или более сетями и регулирует трафик между ними в соответствии с набором правил или политики различной сложности и конфигурации.
На коммерческом уровне использование брандмауэров в рамках государственно-частного партнёрства происходит по такой же схеме, при этом частные фирмы обычно развивают аппаратно-программное обеспечение, необходимое для запуска системы защиты.
Этот элемент кибербезопасности постоянно расширяется, поскольку правительства во всем мире стремятся к внедрению многих инструментов, которые позволят надёжно защитить информацию в засекреченной сети в го-
раздо более широком спектре государственных учреждений.
Тем не менее подобные процессы выходят на более сложный уровень, так как государственные и частные организации становятся связанными между собой необходимостью выдерживать требования комплекса нормативно-правовой базы, в частности, по обеспечению информационной безопасности критической инфраструктуры, учитывая разнообразие акторов, которые владеют или управляют критически важными объектами информационной инфраструктуры (электростанции, аэропорты и т. д.).
Однако попытки выстроить брандмауэр для всех граждан, работающих в Сети, по-видимому, не реальны, что подтверждает отчётливо выраженное стремление государства обеспечить защиту только информационных ресурсов национального масштаба. Кроме того, как считают эксперты, национальное законодательство многих стран предусматривает ограни-
ченное использование инструментов для защиты пользователей за границей коммуникации.
Попытки создания национальных брандмауэров или аналогичных систем контроля международного трафика данных встречают сопротивление частных лиц, сотрудничающих с правительством в этой области. В Австралии на предложение правительства о внесении законопроекта, который требует от провайдеров блокировать определённые веб-сайты и типы контента, негативно реагировали представители промышленности и гражданского общества. Google, например, заметил, что предлагаемый законопроект может поднять вопрос о подлинном ограничении доступа к информации, если её содержимое неприятно. Правительство не должно и не имеет права блокировать информацию, которая может способствовать обсуждению спорных вопросов [1].
Распыление ответственности, часто сопровождающее государственно-частное партнёрство, может иметь прямые и далеко не лучшие последствия для защиты прав человека. Когда государство и частный сектор сотрудничают в достижении целей, поставленных перед правоохранительными органами, то становится гораздо труднее инкриминировать ответственность, если произошло и установлено нарушение прав человека. Так, в США было выявлено, что AT&T (американский гигант телекоммуникаций) направляет без судебного ордера огромное количество данных (сообщения электронной почты, телефонные звонки и т. д.) Агентству национальной безопасности. В последующих судебных исках было трудно определить, будет являться ответчиком телекоммуникационная компания или правительство и какова мера ответственности. В июне 2008 г. Палата представителей США приняла закон, которым предоставлен иммунитет от уголовного преследования ряду американских телекоммуникационных компаний, включая AT & T и Verizon. Этот иммунитет защищает их от более чем сорока исков, вытекающих из их участия в государственных программах по осуществлению несанкционированных наблюдений за электронной почтой и интернет-трафиком. В предъявленных исках утверждалось, что фирмы в этом вопросе нарушили законы о конфиденциальности и позволили вести шпионаж без судебного ордера [2].
Таким образом, эта проблема показала, что существует фундаментальное противоречие между необходимостью защиты права на частную жизнь и улучшением идентификации и аутентификации пользователей. Такая особенность кибербезопасности и технических действий, необходимых для выявления он-лайн-нарушителей, привела к автоматическому
возникновению вторичной угрозы, поскольку в этом случае государство и частные фирмы осуществляют сбор и анализ огромного количества личных и конфиденциальных данных для обеспечения безопасности пользователей (или их клиентов), что осуществляется, практически, без достаточного демократического контроля.
Подобное вольное отношение к требованиям законодательства со стороны частных телекоммуникационных компаний требует пристального рассмотрения важных вопросов ответственности частных субъектов в государственно-частном партнёрстве при обеспечении кибербезопасности.
Так, Европейский суд по правам человека установил в 2008 г. при рассмотрении иска KU против Финляндии, что существует достаточное количество законодательных норм для поддержки запросов властями на получение данных от провайдера, когда это требуется в ходе уголовного расследования. Суд основывал свои выводы на ряде примеров европейского законодательства и практики. В Рекомендациях Комитета министров №R(95)13 относительно уголовно-процессуального законодательства в области преступлений сфере информационных технологий и Европейской конвенции о киберпреступности содержится требование к поставщикам услуг предоставлять информацию для идентификации пользователей при запросе компетентных следственных органов. Суд также сослался на Директиву ЕС 2002/58/ЕС, статья 15 которой гласит: «государства-члены ЕС могут принять законодательные меры для ограничения прав и обязанностей... если такое ограничение представляет собой необходимую, соответствующую и пропорциональную меру в рамках демократического общества для осуществления защиты национальной (государственной) безопасности , обороны и общественной безопасности, предотвращения, расследования, обнаружения и судебного преследования преступных действий или несанкционированного использования системы электронной связи» [3].
Однако эти тенденции сталкиваются и с движением в противоположном направлении. В 2008 г. рабочая группа по защите данных оказала огромное давление на Google по поводу реализуемой им политики хранения данных с точки зрения её ужесточения.
Кроме того, глобальный характер Сети существенно усложняет данный вопрос, при этом эффективные меры кибербезопасности сталкиваются с барьерами, установленными в рамках международных усилий по сотрудничеству. Всё это заметно осложняет фактор привлечения частного сектора. Если веб-сайт хостинга вредоносного контента имеет, напри-
мер, адрес в Швейцарии, но владелец находится в России, а техника размещена в Нидерландах, возникает вопрос о том, какую правовую систему применить. Для выяснения информации о принадлежности №-адреса необходимо обращение к субъектам частного сектора, многие из которых ссылаются на то, что не имеют соответствующих данных или не хотят делиться ими, боясь утратить доверие и потерять клиентов.
Эта проблема усугубляется и тем, что многие государства имеют ограниченное законодательство по этому вопросу либо его правового закрепления нет вообще, из-за отсутствия политической воли, необходимых технических возможностей для разработки и реализации такого законодательства. Пробел в законодательстве означает, что киберпреступники могут получить доступ к Интернет анонимно, а также совершать правонарушения за границей безнаказанно. Учитывая высокие затраты на обеспечение безопасности в режиме онлайн (по оценкам экспертов, от 3 до 10% ИТ-бюджетов), неясно, как быстро такие государства смогут выделить необходимые ресурсы для реализации этой деятельности.
Таким образом, усилия, направленные на содействие развитию международного сотрудничества в сфере кибербезопасности, неизбежно сталкиваются с проблемами практической реализации принципов анонимности, конфиденциальности и свободы обмена информацией, которые активно эксплуатируют киберпреступники.
Сохранение пользовательских данных интернет-провайдерами также можно считать рискованным и ненужным делом с точки зрения демократии. Кроме того, в ряде государств не осуществляется должного надзора за неукоснительным соблюдением законов для предотвращения возможных злоупотреблений правительственными структурами, направляющими запросы на получение данных о личности и использовании гражданами каналов связи.
Центр стратегических и международных исследований (CSIS) считает, что анонимность и меры по аутентификации личности создают самые большие вызовы безопасности в кибер-пространстве, они также служат для защиты тех, кто хочет осуществлять противоправные действия. Поэтому предлагается осуществлять ранжирование деятельности в Интернет по степени риска, например, при пользовании интернет-магазином (низкий риск) и при доступе к системам управления критической инфраструктурой (высокий риск). Граждане могут более свободно использовать низкие уровни проверки подлинности некоторых онлайн-действий, но будут вынуждены обеспечивать
надёжную поверку полномочий при участии в деятельности высшего риска [4].
В мае 2009 г. был обнаружен гигантский ботнет с кодовым названием Mariposa, которым были инфицированы более 13 млн машин в более чем 190 странах мира. Среди заражённых машин были компьютеры в крупных банках и более чем в половине из 1 000 крупнейших компаний мира. Ботнет был использован киберпреступ-никами, чтобы похитить огромное количество личной информации, в том числе банковские реквизиты и кредитные карты. Части ботнета использовались различными организованными преступными группами. Чтобы выявить преступников и арестовать их, активно сотрудничали службы разведки, ФБР, коммерческих структур США и испанской полиции [5].
Одной из проблем обеспечения кибер-безопасности является то, что происхождение угрозы довольно сложно определить. Это затрудняет её сдерживание и минимизацию нанесения в дальнейшем ущерба путём угрозы неотвратимого возмездия, поскольку выработанные международно признанные и устоявшиеся принципы реализации политики традиционного сдерживания и реагирования на агрессию при этом практически неприемлемы.
Центр стратегических и международных исследований считает, что «в США признаны большие наступательные возможности кибер-атак, но от них можно ожидать весьма малого сдерживающего эффекта либо вообще никакого. Несомненно, что надёжный сдерживающий фактор будет определён, но это потребует времени и больших финансовых затрат» [6].
Следующей проблемой является то, что, даже если киберпреступник правильно определён, довольно трудно официальным структурам адекватно реагировать на это, что связано с крайней сложностью дифференциации проявлений вандализма, кражи коммерческой информации или спонсируемой враждебным государством кибервойны. При этом также размыты различия между гражданскими и военными категориями цели кибератаки. Так, например, кибератака может быть направлена на разрушение финансовой системы определённой страны, не затрагивая при этом военные или государственные активы, хотя косвенным путём им может быть нанесён ущерб.
Всё это представляет проблему для тех государств, которые стремятся нанести ответный удар киберагрессору. Устав ООН в статье 2 (4) закрепляет положение: «Все члены воздерживаются в их международных отношениях от угрозы силой или её применения как против территориальной неприкосновенности или политической независимости любого государства,
так и каким-либо другим образом, несовместимым с целями Организации Объединенных Наций» [7].
Этот принцип, являющийся частью международного права, запрещающей применение силы, кроме двух чётко определённых ситуаций: во-первых, Совет Безопасности может разрешить коллективные действия для поддержания или соблюдения международного мира и безопасности, и, во-вторых, государства могут обеспечивать индивидуальную или коллективную самооборону, если произойдёт вооружённое нападение на государство.
Министерство обороны США в июле 2011 г. выпустило первую Стратегию по обеспечению безопасности киберпространства. На основе этой стратегии Министерство обороны сосредоточило усилия на ряде центральных аспектов киберугроз (в том числе внешних и внутренних) , уязвимо-стей цепочки поставок и угрозы для оперативных возможностей Министерства обороны.
Стратегия безопасности в киберпростран-стве американских военных включает пять стратегических инициатив исходя из новой концепции управления для защиты сетей и систем. В качестве первого шага определено повышение «кибергигиены» как новой стратегии в кибер-пространстве и совершенствование практики в целях улучшения общей кибербезопасности и большей ситуационной осведомлённости. Намечены меры по интеграции частного сектора, что обеспечит применение непрерывных методов обновления для упрочнения своих вычислительных устройств и поддержание передового опыта «кибергигиены» [8].
В настоящее время в США активизировано проведение работ, направленных на реализацию национальной информационной стратегии. Ключевым элементом является управление восприятием целевой аудитории и формирование «общественного мнения» путём манипулирования информацией. Основная форма достижения поставленных целей - ненасильственные действия и инициирование «бархатных» революций.
Цели национальной политики США достигаются путём ведения стратегического информационного противоборства с использованием атакующего информационного оружия. В качестве такового в последнее время всё чаще рассматриваются не аппаратно-программные средства воздействия на информационные системы и информационный ресурс противника, а средства и методы манипулирования информацией. Появился ряд новых понятий, например «реальная виртуальность», когда освещение некоторого события в прессе приобретает большую важность, чем само это событие.
В ходе ряда научных исследований по таким программам, как «МК-Ультра», «Артишок», проведённым ещё в 1960-1970 гг., объективно установлено, что наиболее перспективными методами ведения информационной войны являются именно методы воздействия на индивидуальное, групповое и общественное сознание. Реализация подобных методов на государственном уровне требует пересмотра ключевых подходов к реализации вопросов информационной безопасности российским государством в информационную эпоху.
Необходимость достижения подавляющего информационного превосходства над противником и совершенствования существующей в США системы проведения информационных и психологических операций была доказана после детального анализа американскими военными экспертами результатов операций против Югославии, Афганистана и Ирака. В ходе этих кампаний американские военные ещё раз убедились в огромном потенциале средств манипулирования информацией [9].
«Дни гнева» - «сетевые революции нового типа». Оценки этим событиям, безусловно, даст история, но уже сейчас мониторинг западных СМИ свидетельствует об информационной войне в поддержку оппозиционных сил во всех случаях антиправительственных выступлений. У всех «сетевых революций» один общий стержень -использование Интернета для мобилизации сил протеста и активная поддержка иностранных СМИ, организующих кибервойну против законных правительств. В случае же с Ливией в это противоборство включились и государственные структуры, начавшие блокировать выход в мировое информационное пространство материалов ливийского правительства, фото-и видеодокументов, показывающих реальное положение в стране.
Одной из основных особенностей «сетевых революций» является полное отсутствие каких-либо формальных или неформальных структур, которые выступают в качестве зачинщиков. «Сетевые революции» характеризуются тем, что ни одна из них не имела и не имеет чёткого формального руководства. Лидеров «сетевой революции» не в состоянии вычислить ни одна спецслужба мира так как сами лидеры не знают о том, что они являются лидерами, до тех пор, пока не оказываются вовлечёнными в процесс низвержения существующего режима. Противостоять такой системе организации свержения власти невозможно, потому что и системы как таковой, вроде бы, нет. Безусловно, среди этих организаторов могли быть представители иностранных спецслужб или местные агенты влияния.
С точки зрения внешнего воздействия все оппозиционные выступления были моментально поддержаны как западными СМИ, так и политическим руководством ЕС и США. Если посмотреть на карту мира, то все «дни гнева» точно выстраиваются в сплошной пояс по южной границе Средиземного и Чёрного морей. Вся Европа берётся в полукольцо революций и гражданских войн в сопредельных с ней странах при вероятности победы там исламистских сил, которые придут на смену вполне светским (пусть и диктаторским) режимам [10].
Размышляя о вышеизложенном, вполне закономерны вопросы о том, какие меры предпринимает международное сообщество для пресечения подобных противозаконных, провокационных действий, какие ответные действия на законной основе может предпринять правительство страны, подвергшейся внешнему агрессивному информационному воздействию. Однозначных и аргументированных ответов на эти вопросы пока не существует.
для участия в «революции в военных делах» с помощью научных разработок и создания соответствующих структур, необходимо создание эффективных механизмов реализации международно признанных норм обеспечения прозрачности, подотчётности и надзора за развитием этой сферы.
Особую тревогу вызывают кибератаки на всё более активно получающее развитие во всех странах мира электронное государственное управление - «электронное правительство».
Например, власти Эстонии смещают свою деятельность в виртуальную область, превращаясь в одну из самых электронно-передовых стран в мире. Здесь активно развиваются онлайн-уча-стие и голосование на национальных выборах с помощью компьютеров, почти 61% населения имеет онлайн-доступ к их банковским счетам, а 95% банковских операций осуществляется в электронном виде.
Однако жизнь показала, что такая электронная активность достаточно уязвима. В апре-
Необходимость достижения подавляющего информационного превосходства над противником и совершенствования существующей в США системы проведения информационных и психологических операций была доказана после детального анализа американскими военными экспертами результатов операций против Югославии, Афганистана и Ирака.
В настоящее время НАТО, например, не определяет кибератаку в качестве замаскированного военного действия. Это означает, что положения статьи V Североатлантического договора о коллективной самообороне не будут автоматически распространяться на страну, подвергшуюся кибернападению. Между тем, продолжаются дискуссии о том, что государства могут реально угрожать странам, с территории которых осуществляется кибератака путём дипломатического демарша, формального протеста, ответных экономических мер, уголовного преследования виновных лиц, нанесения упреждающего информационного или военного удара.
Создание НАТО структуры совместной кибернетической обороны - Центра передового опыта (CCD COE) в Таллине - свидетельствует, что альянс учитывает намерение современных военных использовать киберпространство в качестве поля битвы в будущих конфликтах. Даже если чисто сетевая атака маловероятна, кибератаки могут использоваться совместно с обычным оружием, что, по мнению представителей Центра, станет стандартной процедурой в будущих конфликтах [11].
В то время как многие государства стремятся получить возможности, необходимые
ле 2007 г. парламент Эстонии, ряд министерств, банков и средств массовой информации пострадали от серии скоординированных, распределённых DDoS-атак, вызвавших отказы в обслуживании.
Перенос «Бронзового солдата» в Таллине из советского военного мемориала вызвал протесты и беспорядки среди русского меньшинства в Эстонии. За ними последовали массовые отказы в обслуживании из-за DDoS-атак, которые на время заблокировали доступ или разрушили ряд ключевых эстонских сайтов. Призывы к действию, сопровождаемые конкретными инструкциями о том, как принять участие в DDoS-атаках, быстро распространилась по русским чатам. В результате веб-сайты министерств иностранных дел и юстиции были заблокированы, а сайт премьер-министра был повреждён. Нападения вызвали кратковременное отключение национального телефонного номера экстренных служб. Периодически ки-бератаки на национальные правительственные сайты, в том числе Государственной канцелярии и Федеральной избирательной комиссии, продолжалось до середины мая 2007 г. [12].
Оценки в отношении тяжести и последствий подобных нападений отличаются друг от
друга, осложняются тем, что некоторые данные указывают на вовлечённость иностранных граждан, координирующих или иным образом поддерживавших атаку. Эта проблема продемонстрировала, что как и при любом интернет-преступлении, несмотря на то, что кибератака была широко признана, отсутствовала возможность официального обращения по этому поводу.
События в Эстонии многие эксперты расценили как предвестник гораздо более серьёзных и разрушительных будущих сражений на виртуальном поле. Тем не менее существует опасность влияния на формирование более закрытого Интернета, в котором личность нападавших легче установить, но при этом могут быть затронуты основные свободы: право на неприкосновенность частной жизни и свободу выражения мнений, что также приведёт к нежелательному развитию государственного контроля и надзора за тем, что люди пишут в электронной почте, какие запросы вводят в поисковые системы или загружаются с веб-сайта.
Классический пример реализации комбинированной кибератаки, сопровождавшей военные действия в Грузии, Абхазии и Южной Осетии, можно было наблюдать в июле-августе 2008 г.
Первая серия DDoS-атак началась в июне, почти за два месяца до пятидневной войны между Россией и Грузией. С 20 июля группа защиты Интернет Shadowserver Foundation зарегистрировала несколько DDoS-атак, направленных на официальный сайт президента Грузии, которые заблокировали президентский сайт в течение более 24 часов и были реализованы через сервер, находящийся в США, - факт, который подчёркивает широкий характер угрозы.
DDoS-атаки против инфраструктуры Интернета в Грузии достигли максимума 8 августа, в первый день войны. Именно тогда Shadowserver обнаружил первое нападение шести различных ботнетов против веб-сайтов грузинского правительства и средств массовой информации. Когда конфликт обострился, онлайновые атаки заблокировали и испортили веб-сайты президента, парламента Грузии, Министерства обороны, Министерства иностранных дел, Национального банка Грузии и двух онлайн-агентств.
Координацию атак в значительной степени осуществлял хакерский онлайн-форум StopGeorgia.ru. Он разместил постоянно обновляемый список целевых сайтов и призвал посетителей сайта загружать бесплатную программу, которая позволяла им участвовать в нападениях.
Кроме того, были использованы простые, но не менее эффективные атаки в виде SQL-инъекций, которые выводили из строя соответ-
ствующий сервер миллионами нежелательных запросов. С позиции хакера, SQL-атака обеспечивает два основных преимущества. Во-первых, при использовании в комбинации с традиционными DDoS-атаками, их чрезвычайно трудно обнаружить. Во-вторых, SQL-инъекции требуют гораздо меньше компьютеров для достижения той же цели, что и DDoS-атаки, которые не могут быть устойчивыми и эффективными без ботнетов.
Кибератаки нанесли определённый политико-экономический ущерб, а действия хакеров фактически сорвали распространение информации грузинского правительства на решающем этапе конфликта [13].
Имеется и ряд других вопросов, препятствующих демократическому управлению в отношении реагирования на проблемы в сфере информационной безопасности. Во-первых, так называемое «распыление ответственности» зачастую не позволяет понять, кто отвечает за соответствующую область информационного пространства. При этом необходимо чётко определить роль и ответственность различных государственных структур, реализующих механизмы реагирования на угрозы. То же следует предпринять и в правовой области, чтобы устранить «лоскутное» и противоречивое законодательство, которое изначально развивалось так, чтобы закрыть различные аспекты в данной сфере деятельности. Существует необходимость чётко определить роли и обязанности в данном направлении между государственным и частным секторами.
Во-вторых, акторы весьма неохотно делятся информацией о нарушениях в сфере информационной безопасности, что вызывает озабоченность, учитывая большое количество акторов, у которых имеется такая важная информация.
Коммерческие структуры имеют основание скрывать от общественности предпринимаемые меры безопасности, держать их в тайне, пока они не будут реализованы и защитят ценную конфиденциальную информацию. Однако по этой причине вскрыть недостатки в таких мерах можно только после того, как они были предприняты. Кроме того, латентность таких проявлений не позволяет правительству своевременно узнавать об имевшем место кибернападении.
Рассматривая факт кибератаки на Google, представитель спецслужб США отметил: «Если Google рассказал о нападении на него, другие компании, вероятно, никогда бы не сделали этого, что действительно страшно. Проблема, конечно, в том, что правительство может не знать, что люди или фирмы могут не знать, что их территория используется для нападений» [9].
Возможные пути решения этой проблемы включают предложение установить пороги «ки-беринцидента», о котором отчётность становится обязательной, несмотря на то, что существует огромное количество событий низкого уровня опасности, но в совокупности оказывающих большое влияние на безопасность информации [14, 15].
При этом доверие и прозрачность являются ключевыми вопросами для частных лиц, многие из которых боятся потерять долю рынка, если они будут вынуждены раскрывать перед правительством слишком много информации (о клиентах, операциях), а также о вредоносных атаках. Есть также множество нерешённых правовых вопросов, связанных с действиями органов власти, чтобы защитить частные массивы критической инфраструктуры, программное обеспечение для мониторинга, автоматического обнаружения и предупреждения атак, обмена данными с третьими лицами и ответственность за информационную безопасность в частном секторе.
На правительственном уровне требуется усиление координации и сотрудничества между правоохранительными органами, разведкой, контрразведкой и военными для оперативного реагирования на все удалённые вторжения, инсайдерские операции и вскрытые уязвимости цепочки поставок, а также планирования, выявления, профилактики и реагирования на инциденты. Эти усилия должны быть интегрированы на комплексной основе, особенно в отношении реагирования на инциденты от момента их возникновения до завершения.
Таким образом, исходя из изложенного можно сделать следующие выводы.
Во-первых, борьба с интернет-угрозами требует от государств выхода за пределы правительственной парадигмы и принять подход, который ставит в центр эффективные и действенные меры государственно-частного сотрудничества в этой сфере. Такие партнёрские отношения должны включать не только частных лиц, участвующих в обеспечении информационной безопасности так называемых критических секторов, а также специализированные фирмы интернет-безопасности, разработчиков программного обеспечения, производителей обо-
Библиографический
1. Democracy Society and the Governance of Security [Текст] / Edited by J. Wood, B. Dupont. - Cambridge: Cambridge University Press, 2006.
2. Sanchez J. New bill will force providers retain user data in a period of two years [Текст] // The Guardian. - 2008. - 20 june.
3. Директива Европейского Парламента и Совета Европейского Союза 2002/58/ЕС
рудования, владельцев серверов электронной почты, онлайн-хостов, представителей банков и финансового сектора, акторов интернет-коммерции и заинтересованных частных лиц.
Учитывая, что интернет-угрозы, как правило, носят международный характер, необходимо транснациональное партнёрство. Тем не менее проблемы здесь ещё более острые, чем на национальном уровне, и реализация совместной политики и подходов между региональными и международными организациями пока недостаточно развиты. Проблема осложняется наличием глубокого разрыва возможностей в плане законодательства, оборудования, опыта и, самое главное, учреждений и организаций надзора между различными государствами. Эти пробелы устранить весьма затруднительно.
Во-вторых, государственно-частное партнёрство, необходимое для обеспечения информационной безопасности, недостаточно эффективно развивается на комплексной основе, сложно и сопровождается многими нерешёнными вопросами, связанными с надзором и отчётностью, соблюдением основных прав граждан, таких как право на неприкосновенность частной жизни и свободу слова и собраний.
Проведение параллели между проблемой обеспечения информационной безопасности и многими другими областями обеспечения безопасности личности, общества и государства осложняется добавлением фактора участия частного сектора, имеющего свои мотивы и приоритеты, отсутствием прозрачности, в соединении с множеством трудностей, с которыми сталкиваются соответствующие надзорные органы.
В-третьих, возможности развязывания кибервойны, наряду с вопросами о том, как велико её влияние на военные действия, в конечном счёте, вызывают новые вопросы о возможности ответных мер, необходимости демократического контроля и устранения правовых проблем, с которыми будет сталкиваться любой ответ на киберагрессию. Не ясен порог, перешагнув который, атаки становятся кибервойной, какие инструменты могут быть использованы в ответ. Пока всё это нерешённые и очень новые вопросы.
Материалы поступили в редакцию 28.08.2012 г. список (References)
1. Democracy Society and the Governance of Security . Edited by J. Wood, B. Dupont. Cambridge. Cambridge University Press, 2006.
2. Sanchez J. New bill will force providers retain user data in a period of two years. The Guardian. 2008. 20 june.
3. Direktiva Evropejskogo Parlamenta i Soveta Evropejskogo Sojuza 2002/58/ES ot 12 ijulja
ll
от 12 июля 2002 г.[Электронный ресурс] // Информационно-правовой портал. - URL: http://base.garant.ru/2570354/ (дата обращения: 11.12.2012 г.).
4. Securing Cyberspace for the 44th Presidency [Текст] : a report of the CSIS Commission on Cybersecurity for the 44th Presidency, Center for Strategic and International Studies. - Washington DC : CSIS, 2008.
5. Cyberspace Policy Review [Текст]. - Washington DC : The White House, 2009.
6. Securing Cyberspace for the 44 th Presidency [Текст] : a report of the CSIS Commission on Cybersecurity for the 44th Presidency, Center for Strategic and International Studies. - Washington DC : CSIS, 2008.
7. Карр Д. Международный ответ на кибератаки как акт войны [Электронный ресурс] . - URL: http://gcn. com /articles/2011/01/17/security-trends-2011.aspx (дата обращения: 24.04.12 г.).
8. Иноземцев В. Приближение к адекватности [Текст] // BusinessWeek (Россия). - 2005. - 10 октября. - № 3. - ISSN 0739-8395.
9. Дни гнева» - сетевые революции нового типа [Электронный ресурс] // km.ru. - URL: http:// www.km.ru/news/dni-gneva-setevye-revolyutsii-novogo-tipa (дата обращения: 20.12.2012 г.).
10. General Trends [Электронный ресурс] // NATO Cooperative Cyber Defence Centre of Excellence Tallinn, Estonia. - URL: http://www.ccdcoe.org/8. html (дата обращения: 20.12.2012 г.).
11. Traynor I. Russia accused of unleashing the cyber war against Estonia [Текст] // The Guardian.
- 2007. - 17 may.
12. Ryan J. IWar: the new threat, its convenience and our growing vulnerability [Электронный ресурс] // NATO Review, 2009. - URL: http://www. nato.int (дата обращения: 20.12.2012 г.).
13. Nakashima E. The Director of the FBI warns about the rapidly growing threat of cyber terrorism [Текст] // Washington Post. - 2010. - 4 march.
14. Овчинников С. А. Комплексный подход к рассмотрению теории управления рисками при внедрении информационных технологий [Текст] / С. А. Овчинников, С. Е. Гришин // Вестник Саратовского государственного социально-экономического университета. - 2011.
- № 5 (39). - ISSN 1994-5094.
15. Овчинников С. А. Угрозы личности, обществу и государству при внедрении информационных технологий [Текст] / С. А. Овчинников, С. Е. Гришин // Информационная безопасность регионов : научно-практический журнал. - 2011.
- № 2 (9). - ISSN 1995-5731.
2002 g. Informacionno-pravovoj portal. URL: http://base.garant.ru/2570354/ (data obrashhenija: 11.12.2012 g.).
4. Securing Cyberspace for the 44th Presidency. a report of the CSIS Commission on Cybersecurity for the 44th Presidency, Center for Strategic and International Studies. Washington DC. CSIS, 2008.
5. Cyberspace Policy Review. Washington DC. The White House, 2009.
6. Securing Cyberspace for the 44th Presidency. a report of the CSIS Commission on Cybersecurity for the 44th Presidency, Center for Strategic and International Studies. Washington DC. CSIS, 2008.
7. Karr D. Mezhdunarodnyj otvet na kiberataki kak akt vojny. URL: http://gcn. com / articles/2011/01/17/security-trends-2011.aspx (data obrashhenija: 24.04.12 g.).
8. Inozemcev V. Priblizhenie k adekvatnosti. BusinessWeek (Rossija). 2005. 10 oktjabrja. № 3. ISSN 0739-8395.
9. Dni gneva» - setevye revoljucii novogo tipa. km.ru. URL: http://www.km.ru/news/dni-gneva-setevye-revolyutsii-novogo-tipa (data obrashhenija: 20.12.2012 g.).
10. General Trends [Jelektronnyj resurs]. NATO Cooperative Cyber Defence Centre of Excellence Tallinn, Estonia. URL: http://www.ccdcoe.org/8. html (data obrashhenija: 20.12.2012 g.).
11. Traynor I. Russia accused of unleashing the cyber war against Estonia. The Guardian. 2007. 17 may.
12. Ryan J. IWar: the new threat, its convenience and our growing vulnerability. NATO Review, 2009. URL: http://www.nato.int (data obrashhenija: 20.12.2012 g.).
13. Nakashima E. The Director of the FBI warns about the rapidly growing threat of cyber terrorism. Washington Post. 2010. 4 march.
14. Ovchinnikov S. A., Grishin S. E. Komp-leksnyj podhod k rassmotreniju teorii upravlenija riskami pri vnedrenii informacionnyh tehnologij. Vestnik Saratovskogo gosudarstvennogo social'no-jekonomicheskogo universiteta. 2011. № 5 (39). ISSN 1994-5094.
15. Ovchinnikov S. A. , Grishin S. E. Ugrozy lichnosti, obshhestvu i gosudarstvu pri vnedrenii informacionnyh tehnologij. Informacionnaja bezopasnost' regionov. nauchno-prakticheskij zhurnal. 2011. № 2 (9). ISSN 1995-5731.