Следует выработать общемировые стандартные обеспечения безопасности в том числе в сфере киберпространства, убежден премьер-министр России Дмитрий Медведев. По оценке главы российского правительства, позиция, которую занимает государство, отказавшееся от сотрудничества в этой области, является странной и опасной.
Фото: icc.moscow
Это мнение российский премьер высказал на Международном конгрессе по кибербезопасности.
«Проблема киберпреступности входит в пятерку глобальных рисков в рейтинге Всемирного экономического форума», – приводит газета «Коммерсантъ» слова Дмитрия Медведева. Председатель правительства сослался при этом на данные аналитиков о потерях мировой экономики от кибератак и прогнозе на потери в текущем году. По их оценке, эти потери могут увеличиться до двух с половиной триллионов рублей.
Медведев подчеркнул, что Россия готова к сотрудничеству и к тому, чтобы делиться своими знаниями, накопленным опытом в сфере кибербезопасности. Между тем стоит отметить, что в самой России проблемы кибербезопасности не являются решенными. Так, по сообщению информационного агентства ТАСС, ссылающегося на слова председателя Центрального банка России Эльвиры Набиуллиной, проверив 75 банков на соответствие требованиям кибербезопасности, ЦБ у всех обнаружил нарушения.
Фото: icc.moscow
Набиуллина подчеркнула, что обнаруженные проблемы не относятся к критическим, однако могут стать ими, если не принимать меры по пресечению возможных киберпреступлений.
О проблеме кибербезопасности в мире, насущности попыток ее решения и о том, с чем связаны сложности в борьбе с нарушениями в этой области, рассказал Алексей Раевский, генеральный директор компании Zecurion.
«Для чего нужно сотрудничество в сфере кибербезопасности? Виртуальное пространство сейчас становится своего рода полем военных действий, и какие-то международные соглашения, как, например, в сфере ограничении ядерного оружия или любых других вооружений, в сфере кибербезопасности также необходимы. Их имеет смысл прописать. Потому что сейчас, например, США в своей военной доктрине указали, что могут применять обычные вооружения против тех, кто нарушает их кибербезопасность.
То есть, грубо говоря, если какой-то хакер пытается взломать сайт Пентагона, ему за это грозят ядерной бомбой. И это вполне официально зафиксировано в военной доктрине США. Так что, конечно, нужны какие-то международные соглашения, которые это регулировали бы. Содержание их может быть любым, и понятно, что сразу не получится прийти каким-то очень эффективным договоренностям. Но любые договоренности лучше, чем анархия.
Это одна сторона вопроса. Вторая сторона связана с расследованием преступлений в сфере кибербезопасности.
Фото: pixabay.com
Дело в том, что преступления, которые совершаются в киберпространстве, экстерриториальны. Как правило, полиция расследовать их не может. Потому что преступник, совершивший преступление по законам одной страны, может находиться в другой стране и при этом использовать компьютерные ресурсы в третьей стране. И просто для того, чтобы найти его, нужно сотрудничество полицейских органов всех стран. А для того, чтобы этого преступника наказать, нужно еще больше усилий. Представим себе хакера, допустим, из Пакистана: вот он взломал какую-то российскую сеть. По российскому законодательству он совершил преступление, а как это преступление расследовать и преступника наказывать? Здесь пока пробел, «серая» зона, отсутствие какой-либо ясности.
Те же США пытаются с этим бороться: выслеживают этих хакеров и арестовывают их, когда те где-нибудь путешествуют – в Таиланде, например. Но это разовые операции, которые требуют очень высоких затрат, и на потоке этот подход не работает совершенно. Однако не работают и другие, более традиционные, поскольку у любого закона, у любой полиции есть своя юрисдикция, а у хакеров ее нет. Предположим, российский хакер Вася взломает завтра какой-нибудь швейцарский банк, сидя где-нибудь в Самаре. Как швейцарская полиция будет это расследовать? Как будет требовать наказания?
Так что, как видите, тем для соглашения в сфере кибербезопасности может быть больше одной. В этой области все пока находится в зачаточном состоянии, и надо выполнить очень большой объем работ, чтобы появилось какое-то более или менее действенная регулирование.
А что касается массовой уязвимости российских банков в сфере кибербезопасности, то ничего специфического или сверхсложного в этом нет – это просто показатель низкого уровня безопасности в виртуальном пространстве в России вообще. Этому вопросу у нас до сих пор не уделяется должного внимания, и нет даже механизмов, которые могли бы заставлять уделять внимание. В Европе и Америке организации, в первую очередь банки, штрафуют за такие нарушения очень существенно. Если произошла утечка данных клиентов, банк очень легко может попасть на штраф в десятки миллионов долларов. У нас же максимальный штраф за такое по закону «О персональных данных» составляет 75 тысяч рублей.
У банков стимула что-либо предпринимать нет, и никто этим не занимается. Запрос на перемены в этой области в обществе есть, но банкам это и невыгодно. Вопрос здесь будет решаться в зависимости от того, у кого окажется более сильное лобби.
Кибербезопасность – это действительно сложная тема, и взломать могут каждого. Но то, что на этот счет сделано так мало, говорит само за себя. Может ли быть вопрос в том, что не хватает специалистов? Вряд ли. Пока никто еще не пытался по-настоящему оценить, достаточно ли их, но надо отметить, что во всех странах такие специалисты есть. Так неужели у нас нет? Это довольно странно. У нас ведь только ленивый технический вуз не выпускает специалистов по информационной безопасности. Насколько они востребованы, это уже другой вопрос. Равно как насколько они именно специалисты, отвечают потребностям работодателей», – сказал Алексей Раевский.