Захист Інтернет-середовища як складник інформаційної безпеки держави: досвід Франції

Размещено на http://www.allbest.ru/

Навчально-науковий гуманітарний інститут Таврійського національного університету імені В.І. Вернадського

Захист інтернет-середовища як складник інформаційної безпеки держави: досвід Франції

Шемчук В.В.,

кандидат юридичних наук, заслужений юрист України, доцент кафедри конституційного та міжнародного права

Анотація

Стаття присвячена досвіду Франції щодо забезпечення безпеки в її цифровому просторі. Розглядаються програмні документи щодо аналізу загроз і вироблення стратегій захисту кіберпростору.

Наприклад, 2015 р. прийнято Національну стратегію цифрової безпеки Франції для підтримки цифрового переходу французького суспільства, що відповідає новим викликам унаслідок еволюції цифрового використання і пов'язаних із ним загроз. Тут визначено такі напрями діяльності: 1) гарантія національного суверенітету; 2) забезпечення рішучої відповіді проти актів кіберзлочинності; 3) інформування громадськості; 4) зробити цифрову безпеку конкурентною перевагою для французьких компаній; 5) зміцнення голосу Франції на міжнародному рівні.

Окрема увага приділена Стратегічному огляду оборони та національної безпеки 2017 р. Ним передбачено нові умови конфронтації (кіберпростір, екзо-атмосферний простір) та засоби дій в інформаційному полі (Інтернет, соціальні мережі, цифрова пропаганда), що дають змогу діяти дистанційно, звільняючись від кордонів між «всередині» і «зовні» держав, а також від традиційних поділів між мирними, кризовими й воєнним часом.

Реалізацію вказаних вище програмних документів у сфері цифрової безпеки Франції, виявлення та протидії загрозам інформаційній безпеці здійснює система органів державної влади, головними з яких є ANSSI, Міністерство оборони та Міністерство внутрішніх справ. Загалом, кібербезпека розглядається Францією як національний пріоритет, який нині стосується кожного з її громадян.

На європейському рівні Франція захищає амбітне бачення і концепцію «цифрової стратегічної автономії ЄС», яка гарантує колективний потенціал, ініціативи та дії країн-членів. Уважаємо, що проаналізований досвід захисту інтернет-середовища, загалом забезпечення кібербезпеки є вартим уваги та може бути запозичений іншими державами, зокрема Україною, з урахуванням національного законодавства, потреб та інтересів населення і суспільства.

Ключові слова: Інтернет, національна безпека, ANSSI, Біла книга, кіберстратегія.

Annotation

PROTECTING THE INTERNET ENVIRONMENT AS A COMPONENT OF INFORMATION SECURITY OF THE STATE: THE EXPERIENCE OF FRANCE

The article focuses on France's experience in securing its digital space. Programmatic documents on threat analysis and development of cyberspace protection strategies are reviewed. For example, in the White Paper of 2008 on Defense and National Security, it was cyber-attacks on national infrastructures that were identified as the most likely major threats for the next fifteen years. In this regard, it was the duty of the state to develop the capacity to prevent and respond to cyber-attacks and to make it one of the priorities of its national security organization. In accordance with the proposals of this White Paper of 2008, the National Information Systems Security Agency (ANSSI) was created.

In 2011, France launched the first national cyber strategy: “Defense and Security of Information Systems: France's Strategy”. This strategy has four main goals: securing global leadership in cyber defense, protecting the decision-making apparatus in France by protecting sovereign information, enhancing cybersecurity of critical infrastructure, and securing cyberspace.

In 2015, France adopted the National Digital Security Strategy. Designed to support the digital transition of French society, it addresses the new challenges posed by the evolution of digital use and its associated threats. This strategy was subsequently extended to the French Digital Strategy presented by the Minister for Europe and Foreign Affairs in December 2017.

Internet space, as a scene of regular aggressive action with potentially dramatic consequences, is also covered in the Strategic Defense and National Security Review of 2017. In February 2018, the Secretary-General of Defense and Homeland Security of France presented with a Cyber Defense Strategy Review. It defines the doctrine of digital crisis management.

The implementation of the above programmatic documents in the field of digital security in France is carried out by a system of public authorities, the main ones being ANSSI, the Ministry of Defense and the Ministry of the Interior.

At European level, France defends the ambitious vision and concept of “EU digital strategic autonomy”, which guarantees the collective potential, initiatives and actions of Member States. This concept covers technology, regulation and capabilities.

Key words: Internet, national security, ANSSI, White Paper, cyber strategy.

Постановка проблеми

Глобальна інформатизація та поширення неконвенційних війн у світі перетворило інтернет-середовище на арену протистояння між державами, корпораціями й іншими суб'єктами. У цьому інформаційному протиборстві вони використовують різні деструктивні практики: використання Інтернету у злочинних цілях, зокрема в терористичних; поширення неправдивої інформації; пропаганда або великомасштабні маніпуляції; дифамація публічних осіб; шпигунство з політичною та економічною метою; атаки на критичні інфраструктури та інше. стратегія захист кіберпростір влада

Активне використання таких засобів «м'якої сили» зумовлено низкою факторів, зокрема, кібера- таки можуть здійснюватися з великих відстаней чи з інших країн, що ускладнює встановлення істинного замовника такої атаки. Виконавці кібератак також можуть діяти через недобровільних ретрансляторів (бот-мережі) чи посередників (проксі- сервери). Тобто кібератаки можуть бути здійснені порівняно легко, з низькими затратами та з невеликим ризиком для зловмисників. Наведені фактори також свідчать про складність протидії та запобігання цим атакам із боку держави та приватних суб'єктів. Для нашої держави, яка перебуває в умовах тривалої інформаційної війни з РФ, питання захисту українського інтернет-простору є вельми актуальним. Вивчення досвіду роботи органів кібербезпеки європейських країн дасть змогу виявити недоліки та вдосконалити вітчизняну систему інформаційної безпеки мережі Інтернет.

Мета статті полягає в аналізі правових та організаційних засад захисту інтернет-середовища Франції, зважаючи на відповідні правові акти та практики діяльності уповноважених органів.

Аналіз останніх досліджень і публікацій

Розвиток інформаційного суспільства та становлення системи інформаційної безпеки, кібербезпеки в іноземних державах розглядали такі вчені: І. Авдошин, А. Андрейчук, В. Безногих, І. Боднар, С. Гончар, А. Гурковський, А. Жбанов, Н. Камінська, В. Крутов, М. Малик, М. Мельник, А. Палюх, М. Рижков, О. Тронько, І. Чернухін, В. Цимбалюк та інші.

Виклад основного матеріалу

У Франції усвідомлення мережі Інтернет як джерела ризиків і загроз національній безпеці держави відбувалося поступово і було зумовлено ростом залежності від ІТ-процесів та все більш широким використанням цифрових технологій у найважливіших сферах французького суспільства і держави.

Наприклад, у Білій книзі з оборони та національної безпеки від 2008 року саме кібератаки на національні інфраструктури були визнані найбільш ймовірними основними загрозами на найближчі п'ятнадцять років. У зв'язку з цим було встановлено обов'язок держави розвивати потенціал для запобігання та реагування на кібератаки і зробити це одним із пріоритетів своєї організації національної безпеки. Зокрема, було наголошено на необхідності раннього виявлення кібератак для організації протидії їм. У сфері запобігання пропонувалося більш широке використання продуктів і мереж із високим рівнем безпеки, а також створення пулу спеціалістів для обслуговування урядових департаментів та операторів, що мають вагоме значення.

Відповідно до пропозицій цієї Білої книги від 2008 року було створено Національне агентство безпеки інформаційних систем (далі - ANSSI). Для розроблення національної стратегії цифрової безпеки цим органом було утворено Стратегічний комітет із кібербезпеки.

Слідом за створенням цього органу у 2011 році у Франції була опублікована перша національна кіберстратегія: «Оборона і безпека інформаційних систем: стратегія Франції». Ця стратегія містить чотири основні цілі: забезпечення світового лідерства в питаннях кібероборони, охорона апарату прийняття рішень у Франції за допомогою захисту суверенної інформації, підвищення рівня кібербезпеки критично важливих елементів інфраструктури, а також забезпечення безпеки в кіберпросторі [1].

У Білій книзі від 2013 року було констатовано збільшення кількості та складності атак на інформаційні системи численних французьких підприємств і підприємств державного сектору, що стало ключовим чинником для посилення державного контролю за операторами, що мають вагоме значення (поняття, яке визначається законом як: «оператор, відсутність якого може серйозно загрожувати економічному або військовому потенціалу, безпеці або стійкості нації»).

Керівні принципи, встановлені в Білій книзі від 2013 року, були закладені в Закон Франції про військове планування від 18 грудня 2013 року, яким, серед іншого, передбачався обов'язок операторів, що мають вагоме значення, дотримуватися стандартів безпеки, визначених ANSSI під час взаємодії з операторами; мати надійні механізми виявлення кіберзагроз, керованих ANSSI або купувати надійних постачальників послуг; повідомляти про серйозні інциденти в ANSSI [2].

Крім того, ANSSI у співпраці з промисловими колами також виступило з додатковими пропозиціями для операторів інфраструктури з метою надати сприяння власникам, операторам і наглядовим державним структурам в сфері застосування норм безпеки. Водночас ANSSI спільно з групою партнерів запустило ініціативу з акредитації організацій - «Знак відповідності у сфері кібербезпеки» (Cyber-security label) - для компаній, що працюють в ІТ і секторах забезпечення онлайн-безпеки. Мета цього процесу акредитації - забезпечити високі стандарти рішень французьких виробників у цій галузі як для внутрішнього ринку, так і для експорту в треті країни [3].

У 2015 році Франція прийняла Національну стратегію цифрової безпеки. Розроблена для підтримки цифрового переходу французького суспільства, вона відповідає новим викликам, що виникають унаслідок еволюції цифрового використання і пов'язаних із ним загроз. У ній визначено п'ять напрямів діяльності:

- гарантія національного суверенітету;

- забезпечення рішучої відповіді проти актів кіберзлочинності;

- інформування громадськості;

- зробити цифрову безпеку конкурентною перевагою для французьких компаній;

- зміцнення голосу Франції на міжнародному рівні.

Загалом, стратегія кібербезпеки Франції містить п'ять ключових цілей на шляху створення «цифрової республіки» з одночасним забезпеченням безпеки та гнучкості інформаційно-комунікаційних систем. Ці стратегічні пріоритети передбачають таке: 1) захист основоположних інтересів Франції в кіберпросторі, таких як державні інформаційні системи і критично важливі елементи інфраструктури; 2) забезпечення взаємної довіри, приватності та захисту персональних даних у мережі за допомогою розроблення продуктів для кібербезпеки, а також надання юридичної та технічної допомоги в цій галузі; 3) підвищення обізнаності в питаннях кібербезпеки і ріст потенціалу в цій галузі в національному масштабі; 4) створення сприятливої атмосфери для розвитку підприємницької діяльності, інвестицій в інформаційно-комунікаційні технології та інноваційного бізнесу; 5) розроблення «дорожньої карти» для досягнення європейської стратегічної цифрової автономії [4].

Ця стратегія була згодом розширена завдяки Міжнародній стратегії Франції щодо цифрових технологій, яка була представлена міністром Європи та закордонних справ у грудні 2017 року, цей текст узагальнює всі стратегічні орієнтації, які Франція просуває в цифровому світі навколо трьох стовпів: управління, економіка, безпека.

Інтернет-простір як сцена регулярних агресивних дій, що мають потенційно драматичні наслідки, розглядається і в Стратегічному огляді оборони та національної безпеки 2017 року (далі - Оборонний огляд).

Зокрема, констатується що нові умови конфронтації (кіберпростір, екзо-атмосферний простір) та засоби дій в інформаційному полі (Інтернет, соціальні мережі, цифрова пропаганда) дають змогу діяти дистанційно, звільняючись від кордонів між «всередині» і «зовні» держав, а також від традиційних поділів між мирним, кризовим й воєнним часом.

Такі засоби стають усе більш привабливими, оскільки вони сьогодні погано регулюються законодавством та є мало інструментів контролю. Замість того, щоб переслідувати фізичні активи, вони націлені на те, що безпосередньо закладено в основу суспільства (наприклад, критичні інфраструктури та ресурси), а також на його нематеріальні аспекти (моральний дух і політична згуртованість). Звичайні пропагандистські інструменти, розгорнуті за допомогою офіційних ЗМІ і таємних засобів впливу, тепер поєднуються з тролями соціальних мереж і групами хакерів. Проведені з різним ступенем обережності, зусилля з дезінформації, посилені Інтер- нетом, можуть призвести до м'яких форм підривної діяльності, спрямованої на загострення напруженості в суспільстві, проти якого вона спрямована, а також на здійснення впливу і сприяння політичному паралічу [5].

В Оборонному огляді в контексті нових можливостей для злочину з потенціалом розвитку розглядаються анонімайзери (мережа TOR) та створення електронних валют (особливо Bitcoin). Крім того, наголошується на геополітичному значенні та впливі сервісних компаній, що працюють в Інтер- неті, зокрема Google, Facebook і Baidu. Їх великі бази користувачів дають їм змогу збирати і контролювати величезні обсяги даних, а також надавати основні послуги. Володіння, збір і обробка цих даних є важливою перевагою як з економічного, так і зі стратегічного поглядів (інформація, прогнозування тощо). Ці платформи стали критично важливими для боротьби з тероризмом, кібербезпеки, захисту персональних даних і в деяких випадках - виявлення кібератак, атрибуції та відповідного реагування.

Для посилення захисту інтернет-простору Франція виступає за його міжнародне-правове регулювання, однак це питання залишається дискусійним, оскільки низка держав заперечує проти цього та поки невідомі механізми забезпечення такого регулювання.

У лютому 2018 року Генеральним секретарем оборони та національної безпеки Франції було представлено Огляд стратегії кіберзахисту. Тут визначається доктрина цифрового кризового управління, роз'яснено цілі національної стратегії кіберзахисту та підтверджено актуальність французької моделі, основну відповідальність держави в цій галузі.

Реалізацію вказаних вище програмних документів у сфері цифрової безпеки Франції здійснює система органів державної влади, головними з яких є ANSSI, Міністерство оборони та Міністерство внутрішніх справ.

Як уже зазначалося, ANSSI є національним органом, який відповідає за захист інформаційних систем і мереж як у державному, так і в приватному секторах [6]. Він є провідним гравцем, що забезпечує кібербезпеку для Франції, а також забезпечує діяльність групи реагування на надзвичайні ситуації у кіберпросторі (далі - CERT), яка також надає рекомендації та поради в сфері захисту і стійкості громадських мереж і найважливіших елементів інфраструктури, проводить аудит інформаційної безпеки секретної урядової інфраструктури, а також навчає урядових спеціалістів. CERT виступає державним центром моніторингу, оповіщення та реагування на комп'ютерні атаки і на своєму сайті регулярно публікує та оновлює інформацію з питань кібербезпеки, рекомендації та приклади з практики для державних органів, підприємств і рядових громадян.

ANSSI також є материнською організацією для Оперативного центру безпеки інформаційних систем (Centre Opйrationnel de la Sйcuritй des Systиmes d'information, COSSI), який є державною організацією, що несе особисту відповідальність за визначення і запобігання кібератак проти державних інформаційних систем.

Міністерство збройних сил має подвійну місію захисту мереж, які лежать в основі його дій та інтеграції цифрової боротьби в ядро військових операцій. З метою консолідації дій Міністерства в цій сфері на початку 2017 року було засновано командування з питань кібернетичного захисту (COMCYBER) під командуванням начальника штабу збройних сил.

Завдання Міністерства внутрішніх справ полягає в боротьбі зі всіма формами кіберзлочинності, націленими як на національні інститути та інтереси, економічних суб'єктів та державні органи, так і на окремих осіб. З цією метою воно мобілізує спеціалізовані центральні служби та територіальні мережі Національної поліції, Національної жандармерії та внутрішньої безпеки. Вони відповідають за розслідування, спрямоване на виявлення і відправлення до суду осіб, які вчинили кібератаки. Крім того, діяльність міністерства сприяє запобіганню та підвищенню обізнаності громадськості.

На європейському рівні Франція захищає амбітне бачення і концепцію «цифрової стратегічної автономії ЄС», яка гарантує колективний потенціал, ініціативи та дії країн-членів. Ця концепція охоплює такі сфери:

Технологічна. Промислова політика ЄС підтримує передові науково-дослідні та дослідно-конструкторські можливості з метою сприяння впровадженню цифрових технологій і послуг у галузі безпеки, надійність яких повинна бути оцінена. Інтеграція безпеки в усі цифрові компоненти також дасть конкурентну перевагу європейським пропозиціям.

Сфера регулювання. Зовнішня політика ЄС повинна визначати правила, що враховують вимоги конкурентоспроможності й потенціал цифрових технологій, зберігаючи при цьому захист громадян, підприємств, держав-членів відповідно до спільних цінностей (право на недоторканність приватного життя та захист персональних даних, захист критичної інфраструктури).

Сфера можливостей. ЄС відіграє ключову роль у заохоченні та підтримці розвитку потенціалу в сфері кіберзахисту державних і приватних структур у державах-членах, а також самих європейських інститутів, спираючись на європейські ноу-хау. Він також може надавати підтримку в галузі підготовки та навчання, що створює синергію і запобігає дублюванню потенціалу [7].

Висновки

Кібербезпека охоплює всі заходи безпеки, які можуть бути прийняті для захисту від атак у цифровому просторі. Неухильне зростання складності й інтенсивності кібератак призвело до того, що в останні роки більшість розвинених країн підвищили стійкість і прийняли національні стратегії кібербезпеки. Зокрема, у Франції діє Національна кіберстратегія від 2011 року, Національна стратегія цифрової безпеки від 2015 року, а також Міжнародна стратегія Франції щодо цифрових технологій від 2017 року. Зазначені документи доповнюються Білими книгами, Оборонним оглядом та оглядом стратегії кіберзахисту. Захист інтернет-середовища Франції здійснюється такими державними органами, як ANSSI, CERT, COSSI, Міністерство оборони, COMCYBER та Міністерство внутрішніх справ. Кібербезпека розглядається Францією як національний пріоритет, який нині стосується кожного з її громадян.

На наше переконання, проаналізований досвід захисту інтернет-середовища, загалом забезпечення кібербезпеки є вартим уваги та може бути запозичений іншими державами, зокрема Україною, з урахуванням національного законодавства, потреб та інтересів населення і суспільства.

Список використаних джерел

1. Information Systems Defense and Security: France's Strategy, 2011..

2. LOI № 2013-1168 du 18 dйcembre 2013 relative а la programmation militaire pour les annйes 2014 а 2019 et portant diverses dispositions concernant la dйfense et la sйcuritй nationale.

3. Cyber-security: France Leads the Way in Europe. Media Econocom Blog. May 7, 2015.

4. French National Digital Security Strategy, 2015.

5. Revue stratйgique: une analyse lucide et volontariste pour prйparer la prochaine loi de programmation militaire.

6. Dйcret № 2009-834 du 7 juillet 2009 portant crйation d'un service а compйtence nationale dйnommй “Agence nationale de la sйcuritй des systиmes d'information”.

7. Construire l'autonomie strategique europeenne pour la securite du numerique.

8. Камінська Н., Бондар І. Протидія кіберзлочинності: міжнародний досвід та новели національного законодавства. Правові реформи в України: реалії сьогодення : матеріали міжвуз. науково-практичної конференції, присвяченої Всеукраїнському тижню права, м. Київ, 28 листопада 2018 р. Київ : НАВС, 2018. С. 65-67.

Размещено на Allbest.ru