Размещено на http://www.allbest.ru/

ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ АВТОНОМНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

ВЫСШЕГО ОБРАЗОВАНИЯ

«НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ

ВЫСШАЯ ШКОЛА ЭКОНОМИКИ»

Факультет социальных наук

Выпускная квалификационная работа

Анализ международного опыта регулирования кибербезопасности и его применимость в современной России

по направлению подготовки 38.03.04 «Государственное и муниципальное управление»

образовательная программа «Государственное и муниципальное управление»

Гончарова Наталия Александровна

Рецензент доцент Е.М. Стырин

Руководитель ВКР доцент Д.Б. Цыганков

Москва 2018

ВВЕДЕНИЕ

С момента формирования государства одной из ключевых функций органов власти стало обеспечение стало обеспечение стало обеспечение своей безопасности. В первую очередь, основу безопасности государства в целом составляет безопасность ее критической инфраструктуры, играющую важную роль в обеспечении и поддержании жизнедеятельности населения. С развитием общества правительства стран сталкивались с различными угрозами функционирования объектов критической инфраструктуры, однако внедрение новых технологий, автоматизация производственных процессов и компьютеризация процессов управления трансформировали уязвимости критической инфраструктуры, перенеся их в иную плоскость - киберпространство. Многочисленные случаи кибератак на кибератак на жизненно важные объекты инфраструктуры продемонстрировали необходимость обеспечения государством кибербезопасности данных объектов.

В последние десятилетия во многих развитых странах данная задача реализуется путем формирования законодательной базы в области кибербезопасности критической инфраструктуры и корректировки уже существующих требований к безопасности ее компьютерных систем, путем установления мягкого или жесткого регулирования в зависимости от необходимости мер данного рода. В то же время в России осознание необходимости прямого государственного регулирования кибербезопасности критической инфраструктуры пришло лишь недавно, что нашло отражение в принятом лишь в 2017 году Федеральном законе «О безопасности критической информационной инфраструктуры Российской Федерации», служащим, как предполагается, основой для дальнейшего принятия мер по отраслевому государственному регулированию кибербезопасности. Тем не менее данный закон носит довольно общий характер, а пописанные в нем нормы неясны, то есть не дают полного понимания путей их реализации. В связи с этим актуальным становится анализ опыта передовых стран в вопросах обеспечения компьютерной безопасности критической инфраструктуры и возможности его внедрения в современных российских реалиях.

На данный момент зарубежные исследователи сфокусированы скорее на разработке методологии по оценке обоснованности государственного регулирования без привязки их к отдельным отраслям, чем на анализе конкретных мер, что остается на откуп специалистов-практиков и практически не находит отражения в научной литературе. Российские же авторы останавливают свое внимание на исследовании подходов к оценке государственного регулирования, в то время как оценка возможности внедрения мирового опыта в области обеспечения кибербезопасности критической инфраструктуры в России остается в ведении государственных органов, которые подходят к ней довольно формально, зачастую не учитывая многие аспекты обоснования регулирования для различных экономических акторов, в том числе оценку рисков.

Данная низкая проработанность темы кибербезопасности в работах российских и зарубежных авторов, в то же время дающих весомую базу для выстраивания теоретической основы данной бакалаврской работы и проведению самостоятельного анализа регулирующего воздействия зарубежных мер в развитых странах и при их внедрении российские отрасли с мягким и жестким регулированием, а также учет риска при оценке воздействия регулирования составляет научную новизну данного исследования. Помимо этого, для поддержания актуальности данной работы в основу анализа лягут только подлежащие или уже находящиеся в процессе реализации меры государственного регулирования.

В ходе бакалаврской работы будут проверены следующие гипотезы:

В отраслях с высокими рисками баланс «издержки-выгоды» регулирования будет приблизительно схожим для стран ОЭСР и России при внедрении мер по кибербезопасности критической инфраструктуры в РФ.

В отраслях с низкими рисками баланс «издержки-выгоды» регулирования будет различнымдля стран ОЭСР и России при внедрении мер по кибербезопасности критической инфраструктуры в РФ.

Сформулированные гипотезы предполагается проверить на примере гражданской авиации в качестве отрасли с относительно жестким регулированием и телекоммуникаций в качестве отрасли с относительно мягким регулированием. Выбор отраслей для анализа обусловлен их спецификой, завязанной, в большинстве своем, на обеспечении компьютерной безопасности коммуникационных систем.

Таким образом, предметом данной работы является изучение обоснованности государственного регулирования в области обеспечения кибербезопасности объектов критической инфраструктуры на примере компьютерных систем гражданской авиации и телекоммуникаций некоторых стран англоязычного блока ОЭСР,а также их применимости в Российской Федерации.

В качестве объекта исследования выступают меры программ модернизации гражданской авиации NextGen в части кибербезопасности и меры по сертификации центров обработки (и хранения) данных (ЦОД).

В рамках данной работы оценка обоснованности регулирования будет представлена в виде баланса «выгоды-издержки» регулирования по итогам процедуры оценки регулирующего воздействия, основой которой послужитанализ выгод и издержек ключевых стейкхолдеров регулирования и процедура оценки риска успешной кибератаки на объект критической инфраструктуры.

Цель данной работы заключается в выявлении возможности внедрения в России зарубежного опыта в области государственного регулирования кибербезопасности критической инфраструктуры в отраслях с мягким и жестким регулированием.

Для достижения поставленной цели были сформулированы следующие задачи:

1) Изучить общую законодательную базу стран ОЭСР в области кибербезопасности как критической инфраструктуры в целом, так гражданской авиации и телекоммуникации в частности;

2) Классифицировать отраслевые меры кибербезопасности по видам компьютерных систем и отдельным и объектам критической инфраструктуры для упрощения дальнейшего анализа;

3) Выявить и оценить ключевые издержки и выгоды стейкхолдеров при внедрении анализируемых мер;

4) Сравнить баланс «выгоды-издержки» государственного регулирования между Россией и обозначеннымивыше странами для оценки возможности внедрения зарубежного опыта в области кибербезопасности критической инфраструктуры в зависимости от мягкости/жесткости государственного регулирования в отрасли;

5) Выявить наиболее подходящие для России меры по обеспечению компьютерной безопасности объектов критической инфраструктуры.

В основу теоретической части исследования лягут работы российских и зарубежных авторов по подходам к оценке обоснованности мер государственного регулирования при их внедрении, а также нормативно-правовая база вышеперечисленных стран в области кибербезопасности критической инфраструктуры государства. Базисом для проведения эмпирической части исследования послужат отчеты и аналитические материалы наднациональных и национальных регулирующих органов, консалтинговых компаний и организаций, специализирующихся на предоставлении услуг в области кибербезопасности.

Данная бакалаврская работа состоит из 2 глав, каждая из которых дополнительно разбита на разделы и параграфы, заключения, списка сокращений, списка литературы и 20 приложений.

инфраструктура кибербезопасность государственный сертификация

1. ТЕОРЕТИЧЕСКАЯ ЧАСТЬ

1.1 Критическая инфраструктура как ключевой элемент безопасности государства

Обеспечение национальной безопасности является неотъемлемой функцией государства с момента его создания. Тем не менее среди представителей научного сообществ по сей день не выработано единого всеобъемлющего подхода к пониманию содержания термина «безопасность государства». В большинстве своем при трактовании данного термина имеется в виду комплекс мер по обеспечению безопасности различных сфер жизнедеятельности человека, поддержанию общественного и государственного строя, независимости государства и его территориальной неприкосновенности Указ Президента РФ от 31.12.2015 N 683 "О Стратегии национальной безопасности Российской Федерации". Таким образом, традиционно при проведении исследований авторы предпочитают фокусироваться на конкретной составляющей безопасности государства в зависимости от затрагиваемой сферы жизнедеятельности человека, в связи с чем обычно принято выделять такие элементы национальной безопасности, как политическая, экономическая (в т.ч. продовольственная), социальная, экологическая, военная, информационная, духовная и пр. в зависимости от используемого подхода.

Несмотря на объемность содержания понятия «государственная безопасность», в его основе лежит обеспечение безопасности конкретных объектов, играющих важную роль в обеспечении и поддержании жизнедеятельности населения государства и поддержании его суверенитета, - безопасности критической инфраструктуры. Как и понятие «государственная безопасность», термин «критическая инфраструктура» не имеет единого общепринятого определения и разнится от государства к государству.

Так, в Канаде под критической инфраструктурой понимаются «процессы, системы, объекты, технологии, сети, активы и услуги, необходимые для охраны здоровья, безопасности, экономического благополучия (граждан) и эффективного функционирование правительства», то есть при определении данного термина основываются на интересах экономических акторов National Strategy and Action Plan for Critical Infrastructure / Government of Canada/ P. 2 [Электронныйресурс] URL: https://www.publicsafety.gc.ca/cnt/rsrcs/pblctns/srtg-crtcl-nfrstrctr/srtg-crtcl-nfrstrctr-eng.pdf (Датаобращения: 15.02.2018). В Соединенных Штатах USAPATRIOTAct определяет критическую инфраструктуру в качестве «совокупности физических или виртуальных систем и средств, важных для государства в такой мере, что их вывод из строя или уничтожение могут привести к губительным последствиям в области обороны, экономики, здравоохранения и безопасности нации», то есть используется некоторое искаженное разделение объектов по сферам жизнедеятельности человека и функционирования государства Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism (USA PATRIOT) Act of 2001 [Электронныйресурс] URL: https://www.gpo.gov/fdsys/pkg/PLAW-107publ56/html/PLAW-107publ56.htm (Датаобращения: 15.02.2018).Центр защиты национальной инфраструктуры Великобритании подходит к толкованию термина «национальная критическая инфраструктура» (CriticalNationalInfrastructure) несколько иначе, определяя его в более простых и понятных категориях, однако несколько хаотично как «объекты, системы, сайты, информация, люди, сети и процессы, необходимые для функционирования государства и лежащие в основе ежедневной жизни, а также сайты и организации, не критичные для предоставления жизненно важных услуг населению, но необходимые для защиты общества от потенциальных угроз» Critical National Infrastructure // Centre for the Protection of National Infrastructure [Электронныйресурс] URL: https://www.cpni.gov.uk/critical-national-infrastructure-0 (Датаобращения: 15.02.2018).

В России же до сих под законодательно данная дефиниция не определена, однако ключ к ее пониманию косвенно содержится в определении критически важного объекта, данного в Федеральном законе от 21.12.1994 N 68-ФЗ «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера», субъекта критической информационной инфраструктуры (КИИ), данного в Федеральном законе от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Так, критически важным объектом является «объект, нарушение или прекращение функционирования которого приведет к потере управления экономикой» государства или его административно-территориальной единицы территориальной единицы, «ее необратимому негативному изменению (разрушению) либо существенному снижению безопасности жизнедеятельности населения» Федеральный закон от 21.12.1994 N 68-ФЗ (ред. от 23.06.2016) "О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера".

Статья 2 последнего из упомянутых федеральных законов не дает прямого определения критической инфраструктуры через призму ее важности для осуществления определенных процессов, однако дает представление об отраслях, в которых присутствуют объекты КИ, а именно в «сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности» Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" .

В связи с использованием довольно пространных и объемных категорий при определении термина «критическая инфраструктура» и сходных с ним понятий в представленных странах перечень отраслей, составляющих КИ, также разнится от государства к государству. После приведения состава отраслей к единому виду наиболее полные секторальные перечни КИ принадлежат США и Канаде: они состоят из 16 секторов с 14 из них общими. Тем не менее пересечение по всем 4 анализируемым странам имеют лишь 8 из представленных секторов (см. Приложение 1).

Правовые основы обеспечения безопасности критической инфраструктуры в развитых странах в большинстве своем представлены федеральных регулированием общего характера, не учитывающего отраслевую специфику объектов КИ.

В США большая часть федерального законодательства, принятого в 2000-х гг., являлась реакцией на события 11 сентября 2001 года, продемонстрировавших низкую степень защищенности объектов критической инфраструктуры Guarding America: Security Guards and U.S. Critical Infrastructure Protection. CRS Report for Congress // Federation of American Scientists [Электронныйресурс] URL: https://fas.org/sgp/crs/RL32670.pdf (Датаобращения: 17.02.2018). Оно представлено следующими нормативно-правовыми актами:

· USAPATRIOTAct (октябрь 2001 г.), устанавливающий приоритеты в области обеспечения национальной безопасности Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism (USA PATRIOT) Act of 2001 [Электронныйресурс] URL: https://www.gpo.gov/fdsys/pkg/PLAW-107publ56/html/PLAW-107publ56.htm (Датаобращения: 15.02.2018);

· Национальная стратегия внутренней безопасности (октябрь 2007 г.), в которой отображены рекомендации по защите ключевой инфраструктуры Соединенных Штатов National Strategy for Homeland Security // https://www.dhs.gov/xlibrary/assets/nat_strat_homelandsecurity_2007.pdf (Датаобращения: 17.02.2018);

· Национальная стратегия по обеспечению физической безопасности критической инфраструктуры и ключевых активов (февраль 2003 г.), состоящая из указаний по обеспечению безопасности наиболее уязвимых объектов КИ National Strategy for the Physical Protection of Critical Infrastructure // U.S. Department of Homeland Security [Электронныйресурс] URL: https://www.dhs.gov/xlibrary/assets/Physical_Strategy.pdf (Датаобращения: 17.02.2018);

· Национальный план защиты критической инфраструктуры (октябрь 2013 г.), содержащего в себе инструменты по взаимодействию в интересах защиты КИ National Infrastructure Protection Plan (NIPP) 2013: Partnering for Critical Infrastructure Security and Resilience // U.S. Department of Homeland Security [Электронныйресурс] URL: https://www.dhs.gov/sites/default/files/publications/national-infrastructure-protection-plan-2013-508.pdf (Датаобращения: 17.02.2018);

· ряд директивных документов по защите объектов КИ.

Отдельно стоит отметить, что несмотря на колоссальные экономические потери, вызванные терактами, в основу государственного регулирования безопасности КИ Соединенных Штатов все-таки лег риск-ориентированный подход, заложенный еще Национальным планом защиты критической инфраструктуры, а не завышение выгод регулирования при наличии минимальных рисков в отрасли, порождающее непомерное экономическое бремя, возлагаемое на его адресатов National Infrastructure Protection Plan (NIPP) 2013: Partnering for Critical Infrastructure Security and Resilience // U.S. Department of Homeland Security [Электронныйресурс] URL: https://www.dhs.gov/sites/default/files/publications/national-infrastructure-protection-plan-2013-508.pdf (Датаобращения: 17.02.2018).

Толчком для развития законодательной базы по обеспечению безопасности объектов КИ в Европейском Союзе также стал террористический акт - взрывы поездов в Мадриде 11 марта 2004 года. После данного трагического события Европейской комиссией была разработана Стратегия по защите критической инфраструктуры EU COM(2006) 786 EU Communication from the Commission on a European Programme for Critical Infrastructure Protection [Электронныйресурс] URL: http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52006DC0786&from=EN (Датаобращения: 18.05.2018), Lewis T. G. Critical infrastructure protection in homeland security: defending a networked nation. - John Wiley & Sons, 2014..

Тем не менее узконаправленность ряда угроз, наблюдаемая последнее десятилетие, заставила регуляторов многих стран задуматься о сужении регулирования безопасности не только до отрасли КИ, но и до специфики отдельных видов ее безопасности, что нашло отражение в разрабатываемых отраслевыми ведомствами стандартами различных для обеспечение различных элементов безопасности.

1.2 Кибербезопасность критической инфраструктуры

Масштабная автоматизация и компьютеризация различных каждодневных операций, призванные сократить человеческие издержки, стали серьезным вызовом для безопасности жизнедеятельности человека. Обратной стороной развития и внедрения в повседневную жизнь ИКТ стало появление многочисленных уязвимостей в используемых компьютерных системах. Согласно данным Лаборатории Касперского, ежедневно в мире обнаруживается более 250 тысяч новых уязвимостей (Рис. 1), из которых более 13,5 %фиксируется в России (см. Приложение 2). И всеми данными ежедневно пытаются воспользоваться в собственных целях порядка 13,24 млн злоумышленников по всему миру, при этом на Россию приходится около 5,7 % общего числа кибератак(Рис. 2) (см. Приложение 3).

Рис. 1. Статистика обнаруженных уязвимостей по странамс 12.04.2018 по 11.05.2018

Рис. 2. Статистика сетевых кибератак по странамс 12.04.2018 по 11.05.2018

Особый интерес со стороны хакеров проявляется в вопросе безопасности критической инфраструктуры ввиду ее особой важности в рамках обеспечения национальной безопасности. Последнее десятилетие отмечено колоссальны количеством кибератак на объекты критической инфраструктуры в различных отраслях по всему миру. Наиболее ярким примером последствий компьютерной атаки является атака вируса Stuxnet на объекты ядерной промышленности Ирана в 2009 году, в результате которой были остановлены 1368 из 5000 центрифуг завода по обогащению Урана в Натанзе, а также приостановлен запуск Бушерской АЭС, что, по экспертной оценке, отбросило выполнение иранской ядерной программы на несколько лет назад Stuxnet may have destroyed 1000 centrifuges at Natanz // The Jerusalem Post [Электронныйресурс] URL: https://www.jpost.com/Defense/Stuxnet-may-have-destroyed-1000-centrifuges-at-Natanz (Датаобращения: 17.02.2018).Когда целью становятся объекты критической инфраструктуры, кибератаки становятся своего рода новой формой терроризма - кибертерроризма - так как целью подобной атаки является нанесение существенного ущерба и подрыв функционирования систем жизнеобеспечения человека, несущей угрозы человеческой жизни.

В связи с ростом числа кибератак на объекты КИ, исключительно важно со стороны регуляторов комплексно подойти к регулированию данной области. Наиболее показателен в данной области опыт США. ФОИВы настолько прониклись идеей необходимости обеспечения кибербезопасности всех сфер критической инфраструктуры, что у каждого из них есть одно или несколько отельных структурных подразделений, занимающихся вопросами безопасности в киберпространстве.

В общем понимании под кибербезопасностью понимается безопасность компьютерных систем, однако, как и в случае с критической инфраструктурой, более узкое определение термина «кибербезопасность» разнится от государства к государству. В Великобритании в соответствии с Национальной стратегией кибербезопасности под данным термином понимается защита систем, связанных с сетью Интернет(в том числе оборудование, программное обеспечение, связанная инфраструктура), их информации и предоставляемых ими услуг от несанкционированного доступа, причинения вреда, намеренного или случайного (в результате нарушения правил безопасности), и неправильной эксплуатации National Cyber Security Strategy 2016 to 2021 // The UK Government [Электронныйресурс] URL: https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/567242/national_cyber_security_strategy_2016.pdf (Датаобращения: 10.01.2018). Таким образов в Соединенном Королевстве подходят к определению кибербезопасности с точки зрения состава систем, подлежащих защите, и перечня угроз их безопасности.

Национальный институт стандартов и технологий США (NIST) всвоей методике «FrameworkforImprovingCriticalInfrastructureCybersecurity» определяет кибербезопасность как процесс защиты информации путем предупреждения, выявления атак и принятия ответных мер Framework for Improving Critical Infrastructure Cybersecurity // National Institute of Standards and Technology [Электронныйресурс] URL: https://www.nist.gov/sites/default/files/documents////draft-cybersecurity-framework-v1.11.pdf (Датаобращения: 10.01.2018). Следовательно, в данном случае кибербезопасность рассматривается в качестве элемента информационной безопасности.

Зачастую кибербезопасность подменяют термином «информационная безопасность», однако данные дефиниции имеют разное содержание. Под информационной безопасностью понимается защита непосредственно данных, «состояние сохранности информационных ресурсов и защищенности законных прав личности и общества в информационной сфере», в то время как кибербезопасность отвечает за сохранность компьютерных систем Безопасность: теория, парадигма, концепция, культура. Словарь-справочник (недоступная ссылка с 14-06-2016 [705 дней]) / Автор-сост. профессор В. Ф. Пилипенко. 2-е изд., доп. и перераб. -- М.: ПЕР СЭ-Пресс, 2005..Кибербезопасность не является составной частью информационной безопасности, несмотря на определение, данное NIST.Тем не менее данные виды безопасности тесно взаимосвязаны, так как в век компьютеризации именно техника отвечает за безопасность информации и операций, проводимых с ней. Таким образом, компьютерная безопасность является ключевым фактором к построению информационной безопасности.

В России актуальность проблемы несовершенной защищенности объектов КИ встает еще острее ввиду популярности в России темы цифровизации экономики и отсутствием понимания, как минимум, к определению кибербезопасности, не говоря о подходах к ее обеспечению. Российским законодательством до сих пор не определен сам термин «кибербезопасность». Попытки исправить данный пробел были предприняты в 2014 году, когда на официальном сайте Совета Федерации был размещен для ознакомления проект «Концепции стратегии кибербезопасности Российской Федерации». В соответствии с представленной концепцией, под кибербезопасностью понимается «совокупность условий, при которых все составляющие киберпространства защищены от максимально возможного числа угроз и воздействий с нежелательными последствиями» Проект «Концепции стратегии кибербезопасности Российской Федерации» // Совет Федерации Федерального Собрания РФ [Электронный ресурс] URL: http://www.council.gov.ru/media/files/41d4b3dfbdb25cea8a73.pdf (Дата обращения: 08.01.2018). При этом принятия данной концепции было создание базы для унификации российского регулирования в данной сфере для выстраивания дальнейшей совместной международной деятельности в данной области с регуляторами других стран, однако данное Советом Федерации определение не соотносится ни с одним предложенных ранее определений.

Ввиду того, что цифровизация экономики многими государственными деятелями обозначена в качестве ключевого драйвера экономического роста на ближайшие десятилетия, ожидается ускорении темпов внедрения информационных технологий в различные ее отрасти, в том числе и отрасли критической инфраструктуры. Вместе с ростом объемов и темпов цифровизации ожидается и увеличение численности компьютерных атак на различные объекты инфраструктурыв связи с отсутствием какого-либо государственного регулирования в данной области.

1.3 Государственное регулирование в области кибербезопасности КИ в развитых странах

Дилемма «мягкого-жесткого» государственного регулирования

В составотраслей объектов критической инфраструктуры входят как отрасли с жестким государственным регулированием, так и с мягким, несмотря на исключительную важность обеспечения безопасности КИ для государства. Объясняется этот факт во многом тем, что нарушение работы критически важных объектов не во всех отраслях ведет к масштабных негативным последствиям, не подлежащим восстановлению, например, таким как угроза человеческой жизни или окружающей среде. Очевидно, что утечка опасных химических веществ на химическом заводе, а тем более авария на энергетической станции способны привести к гораздо более тяжелым последствиям, нежели атака на банковский сектор, после совершения которой все-таки существует вероятность поимки злоумышленников и возврата средств пострадавшим лицам.

Тем не менее в вопросах безопасности регуляторы склонных завышать выгоды регулирования в обоих видах отраслей, при этом зачастую не прибегая к полноценной оценке риска, учитывающей не только экономическое потери экономических агентов при наступлении неблагоприятного исхода (рискового события), но и непосредственно вероятность (частотность) его наступления.

В данной работе в качестве отрасли с жестким регулированием анализу на степень внедряемости мер кибербезопасности на основании выгод и издержек регулирования будет подвергнута гражданская авиация. Гражданская авиация является одной из немногих отраслей, государственное регулирование которой носит общепризнанный ярко выраженный жесткий характер, объясняемый не только наличием высокого риска в первую очередь для населения, но и наличием мощного наднационального регулятора в лице ИКАО. Темнова Ю. А., Фарафонтова Е. Л. Проблема правового регулирования оперативного лизинга воздушных судов гражданской авиации в России //Актуальные проблемы авиации и космонавтики. - 2015. - Т. 2. - №. 11..

В качестве отрасли с мягким регулирование анализу будут подвергнуты телекоммуникации, так как компьютерные атаки на их системы не несут собой угрозу человеческой жизни или окружающей среде и не могут нанести непоправимый физический вред.

Поимо этого, данные отрасли выбраны для проведение анализа и в связи с тем, что они, во-первых, общепризнанно входят в состав критической инфраструктуры (см. Приложение 1) и, во-вторых, имеют общую специфику использования компьютерных систем с целью обеспечения функционирования каналов коммуникации ограниченного доступа в гражданской авиации и общего доступа в телекоммуникациях.

Государственная политика в сфере кибербезопасности гражданской авиации

Сбои в функционировании гражданской авиации способны привести к колоссальным издержкам для многих экономических агентов. Согласно отчету Министерства транспорта США, американская экономика ежегодно теряет более 20 млрд из-за задержек и простоев рейсов, которые зачастую вызваны сбоями в системе управления воздушным транспортом и инцидентами безопасности на объектах инфраструктуры гражданской авиацииBeyond Traffic: 2045 Final Report // U.S. Department of Transportation [Электронныйресурс] URL: https://www.transportation.gov/policy-initiatives/beyond-traffic-2045-final-report(Датаобращения: 03.05.2018).

Обеспечение воздушной безопасности является ключевой задачей государства по регулированию отрасли, так как ценой авиационного инцидента могут стать сотни человеческих жизней. Прежде основной сферой регулирования являлось физическая безопасность системы управления воздушным движением, то после 11 сентября 2001 года приоритеты в области нормотворчества сместились в сферупредупреждения террористических актах на объектах инфраструктуры гражданской авиации и в воздухеKittichaisaree K. Public International Law of Cyberspace. - Springer, 2017. - Т. 32.. До сих пор защита авиации от атак террористов является одним из основных направлений деятельности государства в рамках обеспечения национальной безопасности.

Тем не менее с усовершенствованием технологической начинки современных воздушных средств, систем управления воздушным движением, информационных систем аэропортов и прочих объектов инфраструктуры гражданской авиации и ее элементов возросла и уязвимость киберпространства гражданской авиации, которой зачастую пытаются воспользоваться злоумышленники. Согласно данным юридической фирмыCozenO'Connor, представленным на международной конференции по риск-менеджменту в 2016 году, Международный аэропорт Майами в среднем подвергается 20 тыс. попыток кибератак в день, в то время как аэропорты Лос-Анжелеса (7 аэропортов) в год в общей сложности подвергаются 2,9 млн хакерских атак Cyber Security in Aviation // Cozen O'Connor. 2016 Risk Management Conference [Электронныйресурс] URL: https://www.aci-na.org/sites/default/files/gs-10_aci-na_presentation.pdf (Датаобращения: 21.02.2018).

Новый взгляд на проблемы кибербезопасности гражданской авиации пролил предупреждение ФБР, согласно которому эксперту по безопасности Крису Робертсу удалось воспользоваться взаимосвязанностью бортовой сетьюWiFi, раздаваемом на борту самолета авиакомпания UnitedAirlines, с его бортовыми системами и через свой смартфон перехватить управление полетом воздушного суднаFBI probe of alleged plane hack sparks worries over flight safety // The Washington Post [Электронныйресурс] URL: https://www.washingtonpost.com/business/economy/fbi-probe-of-plane-hack-sparks-worries-over-flight-safety/2015/05/18/8f75e662-fd69-11e4-805c-c3f407e5a9e9_story.html?utm_term=.44ea631122bd (Датаобращения: 21.02.2018).По словам специалиста, с 2011 по 2014 год ему удавалось 15 раз проникнуть в бортовые системы с целью изучения их уязвимостей ФБР уличило хакера в перехвате управления самолетом // Портал деловой авиации [Электронный ресурс] URL: http://www.ato.ru/content/fbr-ulichilo-hakera-v-perehvate-upravleniya-samoletom (Дата обращения: 20.01.2018). Подобные уязвимость существует на многих самолета, в том числе и на ВС производителейBoeingи Airbus, что делает угрозу кибератаки на бортовые системы актуальнойФБР предупредило авиакомпании о возможных атаках хакеров // Русская служба BBChttps://www.bbc.com/russian/international/2015/04/150422_fbi_airlines_hack (Дата обращения: 20.01.2018). Особо актуально это для России, где более 85 % авиапарка 10 крупнейших авиаперевозчиков состоит из самолетов данных производителей (см. Приложение4).

Таким образом, перед внедрением мер кибербезопасности ввиду повышенной активности регуляторов различных стран в попытках в кратчайшие сроки зарегулировать киберпространство за повышения уровня его безопасности, необходимо проводить оценку соотносимости экономического бремени по реализации мер, возлагаемых на стейкхолдеров, с размером реального риска, существующего в отрасли при отсутствии рассматриваемого регулирования, так как иначе это может привести к установлению хаотичного низкоэффективного и необоснованно жесткого регулирования в отрасли, несмотря на прогнозируемые высокие риски.

Помимо этого, зачастую при обнаружении пробелов в системах безопасности, в том числе и кибербезопасности производители оборудования ведут себя оппортунистически и не стремятся предпринять своевременные меры по их устранению, во-первых, в связи с высокими издержками данной процедуры (отзыв оборудования, разработка средств защиты и их тестирования и пр.), и, во-вторых, в целях защиты собственной деловой репутации Cyber-Security, a new challenge for the aviation and automotive industries // Harvard Journal of Strategic Threat Intelligence [Электронныйресурс] URL: http://blogs.harvard.edu/cybersecurity/files/2017/01/Cybersecurity-aviation-strategic-report.pdf (Датаобращения: 22.03.2018) Также поступили и в Boeing, выпустив заявление о невозможности кибератаки в разобранном выше кейсе FBI probe of alleged plane hack sparks worries over flight safety // The Washington Post [Электронныйресурс] URL: https://www.washingtonpost.com/business/economy/fbi-probe-of-plane-hack-sparks-worries-over-flight-safety/2015/05/18/8f75e662-fd69-11e4-805c-c3f407e5a9e9_story.html?utm_term=.44ea631122bd (Датаобращения: 21.02.2018).

В целях повышения уровня кибербезопасности индустрии при учете высокой вероятности недобросовестного поведения со стороны производителей оборудования для гражданской авиации наиболее оптимальным видится установление жесткого регулирования в отрасли. С другой же стороны, избыточность и жесткость регулирования может и дальше стимулировать недобросовестное поведение стейкхолдеров гражданской авиации по уклонению от исполнения норм.

Во многом установление жесткого регулирования в гражданской авиации является следствием и наличия в отрасли мощного наднационального регулятора, а именно ИКАО.В связи с имеющимися уязвимостям компьютерных систем гражданской авиации со стороны ИКАО было предпринято много попыток по установлению и развитию сотрудничества между ключевыми стейкхолдерами с целью выявления рисков, связанных с киберпространством, и их минимизации. Например, организация разворачивала дискуссию на тему распределения ответственности за кибербезопасность среди стейкхолдеров отрасли с целью разработки дальнейшего регулирования отрасли на уровне национальных регуляторов.

Помимо этого, ИКАО призывала страны внедрять жесткое управление сферой кибербезопасности гражданской авиации и принимать как можно больше мер по предотвращению кибератак, которые могут привести к негативным последствиям. На основе данной позиции организации можно сделать вывод о том, что в ближайшие годы данная сфера может стать излишне зарегулированной, при этом нормотворчество может стать хаотичным. С другой же стороны, готовность национальных регуляторов разных стран можно проследить на примере России: при направлении официального запроса информации о кибератаках в Росавиацию, агентство ответило, что подобной информацией не располагает, так как она не запрашивается у отраслевых стейкхолдеров. Таким образом, российское отраслевое агентство не обладает данными для разработки мер по регулированию компьютерной безопасности в гражданской авиации, что позволяет сделать вывод о том, что, во-первых, у органа нет представления о текущей ситуации в сфере, во-вторых, регулирование в данной отрасли будет приниматься во многом вслепую и, в-третьих, при разработке мер регуляторне будет обращаться к оценке риска для их обоснования, что может привести, в свою очередь, к излишнему регулированию и подтверждает тезис, выдвинутый ранее в данной работе.

Желание как можно быстрее зарегулировать сферу кибербезопасности в отрасли с такими высокими рисками, как в гражданской авиации, уже отмеченное выше, усиленное популярностью данной темы приводит к хаотичному нагромождению регуляторных норм и запрещающего характера, ошибочно относимых регуляторами к сфере кибербезопасности.

Наиболее ярким примером является введение в марте 2017 года в США, а затем и в Великобритании запрета на провоз ноутбуков и крупногабаритных гаджетов в ручной клади для путешественников из ряда стран Среднего Востока US bans laptops, iPads and other electronic devices on flights from certain Middle Eastern airports / The Telegraph [Электронныйресурс] URL: http://www.telegraph.co.uk/news/2017/03/20/donald-trump-announce-ban-passengers-dozen-countries-carrying/ (Датаобращения: 20.01.2018) Britain will ban electronic devices on flights from six Middle Eastern nations amid terror threat / The Telegraph [Электронныйресурс] URL: http://www.telegraph.co.uk/news/2017/03/21/exclusive-britain-poised-follow-us-ban-laptops-ipads-flights/ (Датаобращения: 20.01.2018). Данная мера была призвана усилить антитеррористическую защиту в таких критически значимых объектах инфраструктуры как аэропорты, а также на борту самолетов.

Необходимость в данном запрете возникла в связи с данными ФРБ, согласно которым террористы Исламского государства и подобном экстремистских группировок разработали способы обхода существующих систем проверки безопасности аэропорта, устанавливая снаряды со взрывчатым веществом в ноутбуки и мобильные телефоны. Данная версия была подтверждена рядом тестов, по итогам которых сотрудники Бюро обнаружили, что взрывчатка действительно может быть спрятана в деталях батареи ноутбука с помощью подручных средств при сохранении его рабочего состояния и невидимости взрывчатки для систем безопасности Airports and nuclear power stations on terror alert as government officials warn of 'credible' cyber threat / The Telegraph [Электронныйресурс] URL: http://www.telegraph.co.uk/news/2017/04/01/airports-nuclear-power-stations-terror-alert-government-officials/ (Датаобращения: 20.01.2018).

Проводом для экспериментов ФБР и прецедентом дальнейшего ограничения проноса ноутбуков стал взрыв 2 февраля 2016 года на борту самолета, следовавшего из Могадишо в Джибути. Террористический акт был организован группировкой «Аш-Шабааб», входящая в состав Аль-Каиды и действующая на территории Сомали. Террористы-смертники поместили взрывчатку в ноутбук вместо дисковода, в результате чего перед взлетом в ходе проверки она не была обнаруженаТамже.

С одной стороны, представленная мера напрямую связана с использованием электронных устройств, однако, несмотря на заявления представителей власти, она не относится к сфере кибербезопасности, так как гаджеты в данном случае являются лишь «оболочкой», средством проноса взрывчатки на борт самолета. В связи с этим описанный случай не может быть отнесен к инцидентам кибербезопасности, как и сама запрет не регулирует эксплуатацию компьютерных систем, а является в чистом виде мерой по предупреждению террористической угрозы в гражданской авиации.

В то же время скептически стоит относится и к эффективности самой меры. Во-первых, запрет проноса электронных устройств распространяется лишь на ручную кладь, в то время как они свободно могут быть провезены на борту того же самолета в грузовом отсеке в багаже, подлежащем к сдаче, а детонатор самой взрывчатки может быть активизирован дистанционно. Во-вторых, запрет распространяется лишь на пассажиров прямых рейсов из ряда аэропортов стран Среднего Востока и рейсы с промежуточной посадкой в Канаде, что дает возможность потенциальным террористам совершить пересадку в другой стране, где системы безопасности также не в состоянии отследить наличие взрывчатки, содержащейся в гаджете, и провести его в ручной клади на борту самолета, держащего курс в Соединенные Штаты. Таким образом, обнаруженная уязвимость систем безопасности не была ликвидирована посредством регулирования, а дополнительные переплаты в связи с увеличением веса провозимого багажа упали на плечи пассажиров.

Если говорить о системе регулирования кибербезопасности гражданской авиации в целом, то в большинстве стран данная областьдо сих пор регулируется в основном не отраслевым, а межотраслевым законодательством в рамках обеспечения кибербезопасности критической инфраструктуры или транспортной системы.

В Соединенных Штатах для решения данной проблемы был избран путь стандартизации. В 2013 году Правительство США занялось разработкой стандартов обеспечения информационной и кибербезопасности объектов КИ, в том числе и гражданской авиации в рамках указа Б. Обамы по повышению кибербезопасности критической инфраструктуры.

Осознают власти и необходимость качественно нового технического обновления существующих принципов выстраивания компьютерной архитектуры различных систем гражданской авиации, в результате чего особое внимание было уделено перспективам модернизации отрасли. В частности, в США и Великобритании были разработаны и уже частично внедрены комплексные программы модернизации NextGen и SESAR, содержащие ряд требований к наземной инфраструктуре и авиапарку.

ВРоссии же в целом инициативы по государственному регулированию безопасности в авиационной отрасли предпринимались еще во второй половине 90-х гг., однако в силу разных обстоятельств законопроекты были сняты с рассмотрения в Государственной думе. Тема вновь была поднята лишь в 2006 году, Президент РФ поручил Правительству разработку KPIФОИВов и РОИВов, в том числе и для регуляторов в гражданской авиации, в то время как в Европейском Союзе для сравнения свод общих правил с сфере авиационной безопасности был принят уже в 2003 году Регламент Европейского Союза 1702/2003 от 24 сентября 2003 г., устанавливающий правила имплементации для летной годности и природоохранной сертификации в отношении самолетов и связанных с ними продукции, частей и устройств, а также для сертификации конструкторских и производственных организаций (Брюссель, 24 сентября 2003 г.).

На данный момент в соответствии с Воздушным Кодексом РФ ключевым показателем воздушной безопасности является степень защищенности авиации от незаконного вмешательства "Воздушный кодекс Российской Федерации" от 19.03.1997 N 60-ФЗ (ред. от 31.12.2017). Однако данного рода вмешательство может быть осуществлено и нетипичным для истории гражданкой авиации способом при помощи использования уязвимостей в киберпространстве ее систем. Эта сфера до сих пор выпадает из государственного регулирования в России. Фактически первым нормативным правовым актом, затрагивающим данную область, является Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации», который лишь обязывает бизнес сообщать властям об инцидентах в области информационной (де-факто кибер-) безопасности. Таким образом, данный закон абсолютно не учитывает особенности анализируемой отрасли.

В связи с неохваченностью данной сферы государственным регулированием в России и во избежание хаотичного и излишнего нормотворчества в данной области становится актуальным обращение к международному опыту регулирования кибербезопасности в области гражданской авиации и оценка перспектив его внедрения в российских реалиях. В частности, в данной работе будет проведена упрощенная оценка обоснованности находящейся на стадии реализации комплексной программы модернизации гражданской авиации Соединенных ШтатовNextGenв части повышения уровня компьютерной безопасности в отрасли.

Государственная политика в сфере кибербезопасности систем телекоммуникации.

Как уж было отмечено прежде, государство при регулировании телекоммуникационной отрасли в основном прибегает к мягким мерам. Несмотря на мировой опыт, в погоне за повышением уровня безопасности граждан в России в последние годы наблюдается обратная тенденция. Ярким примером установления жесткого регулирования телекоммуникаций является принятие в 2016 году ряда антитеррористических актов, известных широкой публике под названием «пакет Яровой». Во-первых, в соответствии с внесенными изменениями в Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» организаторов распространения информации в сети «Интернет» (мессенджеры, социальные сети), использующих средства шифрования, обязали предоставлять Федеральной службе безопасности информацию, позволяющую декодировать электронные сообщения пользователей. Наиболеерезонанснымв связи с этим стал конфликт между ФСБ и Telegram, владельцы которого отказались предоставить информацию, необходимую для дешифровки данных переписки пользователей. Итогом данного конфликта стало взыскание с компании штрафа размере 1 млн рублей и последующая блокировка самого популярного мессенджера (в России и странах СНГ) на территории Российской Федерации, что наглядно демонстрирует масштаб негативных последствий внедрения жестких мер регулирования.

Поправки же, внесенные в Федеральный закон от 7 июля 2003 года № 126-ФЗ «О связи», обязали мобильных операторов в течение 3 лет хранить «информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, текстовых сообщений, изображений, звуков, видео- или иных сообщений пользователей услугами связи», и непосредственно содержание этих материалов - до 6 месяцев Федеральный закон от 6 июля 2016 г. № 374-ФЗ «О внесении изменений в Федеральный закон „О противодействии терроризму“ и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности», Федеральный закон от 7 июля 2003 года № 126-ФЗ «О связи». В результате принятия данного нормативно-правового акта, на мобильных операторов были возложены колоссальные издержки регулирования. Так, по предварительным оценкам МТС, затраты компании на исполнение «Закона Яровой» составят десятки миллиардов рублей, в то время как затраты «Мегафона» за пять лет могут достигнуть 35-40 миллиардов рублей, что, как ожидается, повлечет за собой рост тарифов на услуги сотовой связи и ухудшение качества предоставляемых услуг МТС оценивает затраты на "пакет Яровой" в десятки миллиардов рублей // РИА Новости [Электронный ресурс] URL: https://ria.ru/economy/20171218/1511202481.html (Дата обращения: 21.03.2018), Тарифный план «Яровой» // Газета.ru [Электронный ресурс] URL: https://www.gazeta.ru/tech/2016/06/30/8348381/tarif.shtml (Дата обращения: 21.03.2018).

О том, насколько целесообразны, а главное, обоснованы с точки зрения риска были данных федеральные законы неясно, так как процедура оценки риска до их принятия не была проведена, как и не было названо число случаев использования заблокированного мессенджера террористами при подготовке терактов. Тем не менее они породили ряд вызовов кибербезопасности для центров обработки (и хранения) данных, собираемых операторами сотовой связи для исполнения вышеуказанных нормативно-правовых актов. Так, получение несанкционированного доступа в результате кибератаки предоставит хакерам возможность украсть колоссальные массивы персональных данных пользователей с их дальнейшим использованием в собственных целях, а также поставит под угрозу функционирование самих дата-центров и, следовательно, предоставление операторами качественных услуг сотовой связи и доступа в сеть Интернет (подробнее об этом будет сказано в практической части).

Ожидается, что безопасность компьютерных систем на объектах, предназначенных для хранения и обработки критической информации, а также подключения абонентов к сети Интернет, не должна быть уязвима для кибератак во избежание наступления масштабных негативных последствий. Тем не менее, последние годы опровергли данное предположение.

Примером возможностей хакеров при атаке на системы дата-центров были продемонстрированы в апреле 2018 года, когда была совершена массированная кибератака на оборудование Cisco, используемого в ЦОДах. Уязвимость заключалась в программе под названием CiscoSmartInstallClient, которая позволяет использовать удаленную настройку систем дата-центров (ZeroTouchDeployment) Что случилось с Интернетом: атака на свитчи Cisco // Блог Лаборатории Касперского [Электронный ресурс] URL: https://www.kaspersky.ru/blog/cisco-apocalypse/20136/ (Дата обращения: 07.05.2018). В результате этого было парализовано множество дата-центров по всему миру, однако большую их часть составляли именно российские. К масштабным негативным последствиям данная атака не привела, так как хакеры ставили перед собой в качестве задачи не нанесение ущерба, а привлечение внимания к «русскому следу» в президентских выборах США 2016 года, о чем свидетельствует помещенный в системы файл со схематичным изображением американского флага и текстом «Don'tmesswithourelections».Однако использование данной уязвимости потенциально могло принести миллионные убытки сотовым операторам.

Тем не менее, несмотря на возросшие кибер-риски, законодательно не установлено никаких требований к безопасности ЦОДов именно мобильных операторов.

В США и ряде стран Европейского Союза в последнее время идет речь об ужесточении требований безопасности к дата-центрам, эксплуатируемым операторами сотовой связи. В частности, выдвигается инициатива о введении обязательно сертификации ЦОДовна соответствие стандарту Tier, проводимой UptimeInstitute Tier Certification Overview // Uptime Institute [Электронныйресурс] URL: https://uptimeinstitute.com/tier-certification (Датаобращения: 09.05.2018). Оценка регулирующего воздействия данной инициативы для России и США будет представлена в практической части данной работы.

1.4 Методология исследования

Оценка регулирующего воздействия

Любое вмешательство государства в существующие отношения посредством установления регулирования вызывает ряд последствий как положительного характера, так и отрицательного. Для анализа данных последствий обычно прибегают к оценке регулирующего воздействия (regulatoryimpactassessment).

Оценка регулирующего воздействия (ОРВ) является инструментом оценки государственных программ и политик ex-ante наравне с симуляцией и экспериментом, в целях реализации концепции «лучшего регулирования» (betterregulation) во избежание «нагромождающего» нормотворчества посредством смещения фокуса при реализации регуляторных мер на результаты (outputs) в рамках концепции NewPublicManagement, а также для предупреждения оппортунистического поведения экономических акторов, попадающих в зону действия регуляторных мер, путем оптимизации данного регулирования.