Выход слона: Индия включается в гонку глобальных стратегий кибербезопасности

Олег Демидов

14-15 октября 2013 г. мне посчастливилось принять участие в международной конференции CyFy 2013: TheIndiaConferenceonCyberSecurityandCyberGovernance по приглашению одного из ведущих и известных индийских неправительственных мозговых центров – ObserverResearchFoundation (ORF). Конференция, которая проходила первой в своем роде, представляла собой первый этап в реализации крупной инициативы ORF – в партнерстве с Федерацией торгово-промышленных палат Индии (FICCI) – свести на единой н площадке, оркеструемой авторитетными независимыми экспертами, ключевых стейкхолдеров ИТ-отрасли и вывести экспертный и политический диалог по вопросам кибербезопасности на новый уровень. Для ORF эта инициатива – попытка занять важную нишу в формировании видения индийской политики в отношении киберпространства с участием политических фигур и бизнеса.

Усилие, надо сказать, весьма своевременное – в Индии быстро растет интерес к международно-политическим аспектам кибербезопасности, доктринальным вопросам – т.е. аспектам, выходящим за рамки привычного для индусов прежде диалога сугубо в ключе коммерческих интересов бизнеса и защиты отдельных пользователей. Как следствие, множится число площадок для обсуждения этих новых вопросов. Достаточно упомянуть, что только в Дели ровно в те же даты, в которые проходила CyFy 2013, параллельно состоялась еще одна крупная конференция на ту же тему – 11th India Knowledge Summit 2013: Cyber Era – Securing the Future. Самим индусам такая ситуация в новинку, о чем сообщили спикеры из правительства, вынужденные бегать с одного мероприятия на другое открывать секции.

В плане состава участников конференции CyFy2013 выглядела достаточно представительно: выступали оба местных ИТ-министра (в Индии есть одновременно Министр коммуникаций, информационных технологий, права и юстиции, а также Министр информации и телерадиовещания), Советник по национальной безопасности и его заместитель, директор индийского Центра реагирования на киберинциденты (CERT-In) – крупной и довольно значимой государственной структуры. В числе иностранных участников были Министр образования Эстонии, представители НАТО, германского, британского и российского МИД, оборонного концерна Raytheon, американского телеком-гиганта AT&T, а также американских, израильских, австралийских мозговых центров.  В общей сложности, из общего числа примерно в 200 участников было порядка 30 иностранцев, которые были заметны именно как спикеры, однако зал и твит-стена были индийскими. 

Я выступил на конференции с докладом, в рамках которого попытался вкратце сформулировать суть и последние новости, связанные с развитием российского подхода в сфере МИБ, а также сопоставить российский опыт с формирующимся индийским подходом и предложить те наработки в части международного сотрудничества, которые могут считаться успешными, индийским коллегам. Доклад встретили с интересом, было довольно много вопросов и цитирований моих тезисов в твиттере – прежде всего, по поводу создания российского киберкомандования, российско-американских двусторонних соглашений по мерам доверия в киберпространстве и их дальнейших перспектив после истории с Эдвардом Сноуденом.

В этой связи неудивительно, что одним из центральных вопросов в рамках CyFy  стала резко ускорившаяся в 2013 г. работа по закладке доктринальных основ индийской национальной политики в сфере кибербезопасности. Ключевой результат этой работы на сегодня – документ Национальная политика в сфере кибербезопасности (NationalCyberSecurityPolicy), принятый индийским правительством 2 июля 2013 г. По своей значимости этот документ является условным аналогом российских Основ государственной политики в области обеспечения международной информационной безопасности до 2020 г.,которые были  подписаны Президентом РФ всего на месяц позже – 3 августа 2013 г. Любопытное и достаточно принципиальное различие кроется в том, что пока он полностью сконцентрирован именно на национальной политике и не берет в расчет международную составляющую проблематики. Национальная стратегия кибербезопасности сейчас готовится, и NCSP – одна из основных составляющих ее фундамента, задающая ей направление.

Среди ключевых норм NCSP – создание государственного агентства, которое будет координировать повестку дня в сфере кибербезопасности в национальном масштабе, взаимодействуя с другими государственными органами и частным сектором. Кроме того, на CERT-In возлагается ответственность за реагирование и разрешение компьютерных инцидентов, а также кризис-менеджмент –  опять же, в общегосударственном масштабе. Важные нововведения предусмотрены и в области защиты критической инфраструктуры – документ предусматривает учреждение Национального Центра защиты критической информационной инфраструктуры (NCIPC) и делегирование ему соответствующих полномочий, а также разработку национального плана защиты критической информационной инфраструктуры. Наконец, в документе прописано стимулирование введения во всех частных и государственных организациях страны единообразной позиции Директора по информационной безопасности (CISO), который отвечал бы за все соответствующие вопросы на организационном уровне, являясь контактным и координирующим лицом.

Что касается международной повестки дня в киберпространстве, она, не найдя содержательного отражения в NCSP, как раз встает во весь рост перед Индией следующим большим вопросом, решение которого отделяет республику от формирования полноценной стратегии кибербезопасности. Центральной темой для южно-азиатского гиганта становится выбор между различными институциональными и правовыми форматами международного сотрудничества в киберпространстве – как уже существующими, так и перспективными. Пока индийцы не определились с выбором международного формата сотрудничества в борьбе с киберпреступностью, однако сейчас весьма активно и пристально приглядываются к Конвенции Совета Европы о компьютерных преступлениях  от 2001 г. Той самой Будапештской конвенции, которую так последовательно критикует Россия – в том числе и на конференции устами представителей МИД. Однако, судя по выступлениям и комментариям, которые прозвучали от индийских участников CyFy 2013, именно этот механизм пока привлекает наибольшее внимание индийского частного сектора, экспертного сообщества – и, в той или иной степени, госструктур.

При этом, вполне возможно, дело не в принципиальной позиции российского партнера по БРИКС, а в банальном недостатке информированности индийских стейкхолдеров о существующих альтернативах. Когда я в своем докладе упомянул о подготовке Россией проекте универсальной Конвенции ООН по борьбе с трансграничной киберпреступностью, реакцией было удивление – ранее индийские участники CyFy 2013 если и слышали об этой инициативе, то не отличали ее от концепции Конвенции о обеспечении МИБ 2011 г. Вывод прост – надо больше разговаривать с индийцами, не зацикливаясь на диалоге между представителями политического руководства. Нужно доносить цели и плюсы российской позиции до экспертного сообщества, предлагать индийцам свой опыт в части работы с международными вызовами кибербезопасности – благо у России с 1998 г. есть чем поделиться, даже если многое покажется нашим партнерам заведомо неприемлемым.

Согласно заместителю Советника национальной безопасности Индии Ненчала Сандху (Nenchal Sandhu), принятый в июле документ – ступень к стратегии кибербезопасности Индии, которая уже вберет в себя все аспекты вопросов кибербезопасности, включая прежде всего международные; разработка такой стратегии активно ведется в настоящее время. Проработка международного, внешнего измерения индийской политики кибербезопасности в закрывающем конференцию выступлении г-на Сандху было признано несомненной и неотложной необходимостью. 

Если это так, необходим как можно более интенсивный обмен мнениями с индийским экспертным сообществом, включая правительственных экспертов, на данном этапе. Конечно, самостоятельного и огромного индийского слона невозможно развернуть в нужную нам или кому-либо еще сторону, но необходимо заранее обеспечить почву для будущего сотрудничества и лучшего взаимопонимания по вопросам кибербезопасности и  управления интернетом.

Диалог о стратегиях кибербезопасности – не самый плохой формат такой работы сегодня, когда для индийцев формирование видения и определение вектора своей международной политики в киберпространстве стало насущной необходимостью. Вместе с тем, надо отметить, что до сих пор Индия следовала своеобразной линии, стараясь балансировать между защитниками свободы в интернете и сторонниками цифрового суверенитета. Это было видно и прежде всего по индийской линии в отношении ВКМЭ-2012 в Дубае и подписания обновленного Регламента международной электросвязи. Индийцы тогда поступили достаточно своеобразно – не стали голосовать ни за, ни против проекта РМЭ, вызвавшего бурные политические дискуссии, не свойственные площадке Международного союза электросвязи. Вместо этого представители Индии взяли время подумать и до сих пор не сформулировали вообще никакой однозначной позиции, таким образом, проигнорировав всю эту историю и избежав необходимости записываться в один из двух противоборствующих лагерей, сформировавшихся по итогам Конференции МСЭ в Дубае.

Ни дать не взять – политика неприсоединения в киберпространстве.

Любопытно, что примерно такой же подход прослеживается и в отношении вопросов, связанных с разоблачениями Эдварда Сноудена. Тема Сноудена, конечно, была в центре внимания и удостоилась отдельной секции – но вместе с тем, у представителей государства в Индии разоблачения Сноудена особого шока и гнева не вызывают, это совсем не Бразилия. Первые официальные комментарии представителей индийских регуляторов появились уже вскоре после первых разоблачений Сноудена в июле-августе 2013 г. – и их тональность колебалась от нейтральной до завуалированно-позитивной. Общую их логику можно сформулировать примерно так: разумеется, плохо, что спецслужбы злоупотребляют своими полномочиями, однако их цель – борьба с гидрой международного терроризма, –  благо; да и вообще, кто не шпионит сегодня? На конференции было видно, что частный сектор куда охотнее и эмоциональнее обсуждает тему Сноудена, чем представители государственных органов – те скорее старались от нее уйти. С учетом этого, представляется далеко не очевидным, что в лице Индии Россия получит нового, подобного Бразилии союзника в кампании по пересмотру нечестных правил игры, установленных и поддерживаемых США в интернете. Даже несмотря на тот факт, что прошедшие 21 октября 2013 г. в Москве переговоры В.В. Путина с индийским премьер-министром Манмоханом Сингхом обернулись существенным прогрессом в этом направлении.

В ходе переговоров и прошедшего одновременно саммита по укреплению российско-индийского стратегического партнерства было принято объемное совместное заявление, параграф 38 которого посвящен сотрудничеству в сфере обеспечения МИБ. В параграфе, в частности, постулируется «необходимость принятия универсальных правил, норм или принципов ответственного поведения государств при использовании ИКТ». Также предлагается ускорить работу над межправительственным российско-индийским соглашением о сотрудничестве в области обеспечения МИБ; наконец, отмечается важность невмешательства во внутренние дела, а также соблюдения прав человека в интернете. Комплексная и оптимистичная программа сотрудничества – но пока ничего конкретного и юридически обязывающего, что однозначно отвечало бы российским целям в области обеспечения МИБ, из этого текста не вытекает.

Так, упоминаемые универсальные правила, нормы или принципы поведения в киберпространстве представляют собой инструменты мягкого права, которые не являются юридически обязывающими, хотя и представляют собой отдельный пункт в списке целей российской политики в сфере МИБ. Видение общих целей в части обеспечения свободы и безопасности в интернете предельно размыто, и в принципе могло бы характеризовать как российскую, так и китайскую или американскую  точку зрения на проблему без изменения формулировки.

То есть, позитивный импульс сотрудничеству РФ и Индии в киберпространстве после переговоров Путина и Сингха не обязательно будет означать прорыв в части выбора индийцами правильного подхода к реформированию архитектуры глобального управления интернетом или выбору формата международного сотрудничества в борьбе с киберпреступностью. Здесь есть фактор, который не всегда может выглядеть очевидным для российской стороны двусторонних переговоров – Манмохан Сингх сам по себе не представляет ни экспертное сообщество Индии, ни индийский частный интернет-сектор, который обладает впечатляющими размерами и аккумулирует значительное влияние на процесс принятия политических решений.

Вообще необходимо отметить, что частный индийский ИТ-бизнес, судя по CyFy 2013, производит мощное и довольно самодостаточное впечатление. Большое количество компаний любого размера и профиля, включая индийские ТНК с мощными ИБ-отделами – и с активной позицией по ключевым вопросам, в том числе связанным с политическим измерением кибербезопасности. Самое любопытное – то, что местная ИТ-отрасль достаточно свободно, а временами и нагло разговаривает с чиновниками, что нечасто уже встретишь в Москве. Выступавшего на конференции руководителя одной из государственных ИТ-организаций буквально засмеяли из зала, когда он не отказался с ходу назвать определение privacy, которым руководствуются индийские регуляторы.

Здесь, на мой взгляд, частично кроется ответ на вопрос, почему страна со 160 млн пользователей и валовым доходом ИТ-сектора порядка 100 млрд долл. до недавних пор была достаточно пассивна в международно-политических и стратегических вопросах регулирования киберпространства. Обеспечение кибербезопасности было по большей части отдано на откуп частному бизнесу, который был локомотивом информатизации и использовал инструменты саморегулирования, тогда как правительство находилось в догоняющем положении, а в формировании активной международной позиции по этим вопросам до некоторых пор не было острой необходимости. Сейчас ситуация меняется, но индусы по-прежнему видят роль частного сектора в обеспечении национальной кибербезопасности не просто как важную, а как становую. Никто не будет строить государственные системы защиты индийских критических объектов по примеру Указа Президента РФ N 31с от 15 января 2013 г. Речь скорее идет о том, как правительству возложить на бизнес эту обязанность на взаимовыгодных условиях, либо в формате ГЧП –  опять же, с ведущей ролью частного сектора.  

***

Как раз накануне CyFy 2013 местные СМИ распространили информацию о том, что крупнейший индийский промышленный холдинг Reliance Industries Ltd (RIL) займется созданием «корпоративной вертикали кибербезопасности», которая впоследствии может предлагаться другим игрокам индийского рынка в качестве комплексного организационного и технологического решения. Это хороший пример того, как частная отрасль в Индии подхватывает государственные инициативы и самостоятельно воплощает их на практике, не забывая при этом о собственных интересах. В этом плане уже Россия могла бы кое-чего поучиться у своего стратегического партнера. 

Выходные данные cтатьи:

Электронный бюллетень ПИР-Центра “Пульс кибермира” №6 (6) Октябрь 2013