с 01.01.2010 по 01.01.2020
г. Москва и Московская область, Россия
В статье рассматривается киберпреступность или риски информационной безопасности как одна из ключевых угроз мировой и национальной безопасности, проявляющаяся в виде незаконной деятельности в отношении информации и данных, хранящихся на электронных носителях. Проанализированы статистические данные о тенденциях киберпреступности в мире и России. Проведен сравнительный анализ законодательной системы кибербезопасности в ряде стран, в том числе входящих в пятерку лидеров по уровню киберпреступности, что позволяет оценить влияние государственной политики на информационную защищенность стран.
информационные технологии, киберпреступность, информационная безопасность, кибербезопасность
Анализ мировых тенденций киберпреступности
Развитие информационных технологий и цифровизация экономики наряду с очевидными благами для человека и общества, повышением производительности бизнес-процессов и эффективности деятельности, приводит к росту киберпреступности или рисков информационной безопасности, связанных с несанкционированным доступом к информационным системам и базам данным, а также угроз для социальных и технологических процессов, сопутствующих информатизации и цифровизации экономики и финансов.
В результате информационная безопасность стала главным условием разработки программного обеспечения и баз данных для хранения информации во всех секторах экономики. Необходимость защиты информации от различного рода кибератак, результатами которых являются утечки информации, повлияла на развитие области кибербезопасности как одного из приоритетных направлений информационных технологий в IT-секторе многих стран мира.
По данным отчёта о глобальных утечках от аналитиков российской компании InfoWatch (рис. 1), в 2020 году было официально зарегистрировано 2395 утечек, при этом их количество сократилось на 4,5%, однако, по мнению экспертов, увеличилось количество «скрытых» утечек, а также вырос финансовый ущерб по сравнению с предыдущим годом. При этом количество утечек по вине внешнего нарушителя (то есть, в результате кибератаки) выросло с 47% в 2019 году до 56% в 2020 году [1].
Рис. 1. Число зарегистрированных утечек информации в мире, 2006-2020 гг.
Источник: Составлено на основе [1]
Учитывая реалии 2020 года, когда практически всё мировое сообщество было вынуждено перейти на дистанционный формат работы в связи с пандемией коронавируса, а большинство работодателей были не готовы адаптировать свой рабочий процесс под данный формат, в том числе обеспечить эффективную систему защиты данных, по мнению экспертов, отрицательная динамика официально зарегистрированных утечек связана с ростом количества незарегистрированных случаев, так как о случившихся инцидентах становится известно только после их публикации в СМИ. Одним из главных аргументов в подтверждение данного мнения является возросшее количество крупных утечек (от 1 млн. до 10 млн. записей) и «мега» утечек (более 10 млн. записей) в 2020 году, данные которых были опубликованы в сети Интернет. На «мега» утечки пришлось около 95% скомпрометированных личных записей пользователей (всего в 2020 году их было зарегистрировано 11060 млн.) [2]. За первые три квартала 2021 года произошло более 1,9 тысячи утечек по вине внешнего нарушителя, среди которых так же были «мега»-утечки, в результате каждой из которых было скомпрометировано более 100 млн. записей.
Согласно отчету «Internet Security Threat Report» компании NortonLifeLock в 2020 году около 56% утечек информации были вызваны нарушениями со стороны внешнего злоумышленника, 34% приходится на случайные утечки информации и 7% на внутреннего злоумышленника (рис. 2).
Рис. 2. Утечки информации по источникам возникновения в 2020 г.
Источник: Составлено на основе [2]
Три страны с наибольшим количеством официально зафиксированных утечек – США, Россия и Великобритания. США заняли первое место с 938 выявленными случаями утечки данных, что составляет около 39,2% утечек данных, зарегистрированных в мире в 2020 году. В 2020 году Россия заняла второе место по количеству инцидентов, связанных с утечкой данных – 404 случая или 17% от всех инцидентов по миру (рис. 3).
Рис. 3. Доля России в общем объёме зарегистрированных утечек информации в мире, 2006-2020 гг.
Источник: Составлено на основе [3]
При этом, следует отметить, что доля России за последние 15 лет увеличилась более чем в 4 раза. На третьем месте осталась Великобритания с 143 утечками в [4].
Растущее число проблем, связанных с хранением и передачей информации, способствует развитию информационных технологий безопасности, которые отвечают за обнаружение и устранение вредоносных программ. Согласно ежегодному исследовательскому отчёту одной из крупнейших телекоммуникационных компаний США Verizon Communications, в 2016 году количество вредоносных программ троянского типа составляло чуть менее 50% от всех кибератак, и с тех пор их количество снизилось до 6,5% [5]. Анализ вредоносных программ показывает, что 45% из них представляют собой дропперы (файлы - носители вируса, запускающие вирус в систему), бэкдоры (компьютерные дефекты, позволяющие обойти систему защиты) или кейлоггеры (программы, записывающие нажатые пользователем клавиши, часто с целью кражи паролей и прочих конфиденциальных данных). Несмотря на то, что угроз такого типа по-прежнему много, большая их часть успешно блокируется [5].
Развитие технологий, предназначенных для защиты и хранения информации, непосредственно связано с активным развитием рынка кибербезопасности. Согласно прогнозу компании Gartner, Inc., мировые расходы на технологии и услуги, обеспечивающие информационную безопасность, увеличатся на 12,4% и достигнут 150,4 млрд долл. в 2021 году (в 2020 году объём рынка составил 133, 8 млрд дол.) [6].
Сравнительный анализ государственной политики в области кибербезопасности в России и за рубежом
Анализ различий в статистике киберпреступности по странам, в том числе с примерно одинаковым уровнем развития информационных технологий, позволяет сделать вывод о том, что важным фактором является государственная политика страны и её законодательство в сфере кибербезопасности. Для сравнения рассмотрим три страны – США, Россию и Японию. Первые две являются лидерами по количеству утечек информации в мире, в то время как на Японию приходится меньше 1% утечек. При этом, все страны занимают довольно высокие позиции в международных рейтингах развития информационных технологий, например, в «Рейтинге сетевой готовности стран», который ежегодно издается Всемирным экономическим форумом, США находятся на 8 месте, Япония - на 15, Россия - на 48 [7]. В 2020 году в «Рейтинге электронного правительства ООН» США занимают 9 место, Япония – 14, Россия - 36 [8].
Для сравнительного анализа государственной политики стран в сфере кибербезопасности рассмотрим следующие данные: раскрытие кибербезопасности и киберпреступности в законодательстве; основные законодательные акты в области кибербезопасности; органы, реализующие политику в области кибербезопасности; публичность информации и показатели стран по Индексу киберготовности CIR 2.0.
Япония
В первую очередь проанализируем доступную информацию по кибербезопасности в Японии для того, чтобы выяснить, как функционирует система контроля и обеспечения защиты электронной информации в стране с самой высокой в мире вовлечённостью населения в информационно-коммуникационные технологии, составляющей 88%[9]. В Японии кибератаки рассматриваются как одни из наиболее серьёзных угроз национальной безопасности, поэтому в стране разработана эффективная нормативно-правовая система, а также функционируют органы по надзору и устранению киберпреступности [10]. В японском законодательстве термин «кибербезопасность» интерпретируется как «меры, которые необходимо предпринимать для управления информацией в целях обеспечения её безопасности», в том числе: обеспечить превентивную защиту от утечек, модификации или удаления (утраты) данных, которые хранятся и передаются с помощью электромагнитных и других средств, не распознаваемых с помощью органов чувств человека; гарантировать защиту информационных систем и информационно-телекоммуникационных сетей. Кроме того, киберпреступность в японском законодательстве определёна рядом криминализированных действий в сети Интернет, большинство из которых соответствуют Будапештской конвенции о киберпреступности 2001 года [11]. Таким образом, киберпреступлениями в Японии считаются: создание и распространение компьютерных вирусов (за данное нарушение предусмотрено наказание в виде лишения свободы до 3 лет или штрафа до 4,5 тыс. долл.); попытка стороннего вмешательства в работу компьютерных систем (за данное нарушение предусмотрена уголовная ответственность в виде лишения свободы сроком до 5 лет или штрафа до 9,1 тыс. долл.). Ключевым законодательным актом в области кибербезопасности является «Основной закон о кибербезопасности» №14 (2014 г.), основная цель которого – «обеспечение мира и безопасности международного сообщества, в том числе в Японии».
Другими законодательными актами в данной области являются: «Основной закон о формировании современного информационно-телекоммуникационного сетевого общества» №144, 2000; «Основной закон об использовании данных в государственном и частном секторе» №103, 2016; «Закон о защите персональных данных» №57, 2003; «Закон о запрете несанкционированного доступа к компьютерным данным» №128, 1999.
Стратегический штаб по кибербезопасности. В законе также определены его основные полномочия. Штаб был создан при Кабинете министров в ноябре 2014 года для эффективного и всестороннего продвижения политики по кибербезопасности. К основным функциям штаба относятся: подготовка стратегии кибербезопасности и её реализация, разработка мер по кибербезопасности, подготовка проекта плана по развитию использования данных государственного и частного секторов и содействие его внедрению и т.д. Всего около 10 органов осуществляют деятельность в области кибербезопасности в Японии: Стратегический штаб по кибербезопасности при Кабинете министров; Агентство поддержки кибербезопасности в промышленности; Агентство содействия развитию в области ИКТ; отдел по борьбе с высокотехнологичными преступлениями в Национальном полицейском агентстве (NPA); Японский центр по борьбе с киберпреступлениями; Комиссия по защите персональных данных; Партнёрство по обмену информации в области кибербезопасности.
США
С одной стороны, США является родиной Интернета, с другой, стороны, страной, где были зафиксированы первые кибератаки в 2003 году. С тех пор в Стратегии национальной безопасности США уделяется особое внимание возрастающей роли кибербезопасности, но несмотря на продвинутую нормативно-правовую систему кибербезопасности и большое количество органов контроля и управления киберпреступностью, США ежегодно занимают 1 место в мире по количеству кибератак,
Термин «кибербезопасность» часто фигурирует в законодательных актах США, например, в государственном ресурсе The National Initiative for Cybersecurity Careers and Studies, даётся следующее определение: «кибербезопасность» — это деятельность, посредством которой информационные и коммуникационные системы вместе с информацией, содержащийся в них, защищены от нелегального использования, модификации или эксплуатации [12]. В США существует огромное количество федеральных и региональных правовых актов, в которых перечислены группы киберпреступлений [13]: несанкционированный доступ к компьютеру (или превышение разрешенного доступа), который включает в себя доступ к защищенному компьютеру без авторизации с целью мошенничества, повреждение компьютера намеренно или по неосторожности, торговлю паролями, вымогательство с угрозами повреждения компьютера или нарушения конфиденциальности информации. В зависимости от конкретного преступления, наказание может варьироваться от 1 до 20 лет лишения свободы; заражение ИТ-систем с помощью вредоносной программы, включая трояны, вирусы и другие программы-вымогатели, является уголовным преступлением, наказание может достигать 10 лет лишения свободы; распространение, продажа или предложение о продаже оборудования, ПО и других инструментов для совершения киберпреступления будут подлежать тому же наказанию, что и совершение киберпреступления в случае наличия доказательств преступного намерения, то есть наказуемому лицу может грозить срок до 20 лет лишения свободы [14].
Большая часть законов, принятых в США до 2001 года, была направлена на преступные действия в отношении федеральных компьютерных систем, например, Закон "О компьютерном мошенничестве и злоупотреблении" 1986 года, Закон "О компьютерной безопасности" 1987 года, и, принятый в 1997 году Закон "О совершенствовании компьютерной безопасности" (последняя редакция от 2014 года).
Ключевые американские законодательные акты в области кибербезопасности были приняты после терактов 11 сентября 2001 года, которые продемонстрировали несовершенную систему защиты информационных данных. Уже в конце сентября 2001 года был принят Закон «Об усилении полномочий спецслужб», согласно которому несанкционированное проникновение в государственные компьютерные сети с целью получения выгоды или нанесения ущерба, определяется одной из форм терроризма. А Закон "О повышении кибернетической безопасности" 2002 года определяет меры наказания за киберпреступления вплоть до пожизненного лишения свободы. Также, в американской законодательной системе значительное влияние имеют правовые акты, определяющие информационную безопасность в конкретных областях экономики страны. К ним можно отнести: «Акт (закон) о мобильности и подотчётности медицинского страхования» от 1996 года, регулирующий правила хранения, передачи и защиты от мошенников личной информации в медицинских учреждениях; Закон «Грэмма — Лича — Блайли», принятый в 1999 году, в котором также указаны правила хранения и сохранения личной информации клиентов в банковских учреждениях [15].
В США на протяжении длительного времени существовала исторически сложившаяся система субъектов – государственных органов, осуществлявших противодействие киберпреступности, компьютерным атакам и кибертерроризму, обеспечивавших кибербезопасность государства, коммерческих структур и граждан. В нее входили: Федеральное бюро расследований (ФБР), Центральное разведывательное управление (ЦРУ), министерство обороны, полиция. После теракта 11 сентября 2001 года, были сформированы новые органы и ведомства, отвечающие за информационную безопасность в стране: Министерства внутренней безопасности (Department of Homeland Security); Национальное управление кибербезопасности (National Cyber Security Division); Национальный центр интеграции кибербезопасности и коммуникаций (National Cybersecurity and Communications Integration Center); Агентство по кибербезопасности и безопасности инфраструктуры (Cybersecurity and Infrastructure Security Agency) [16, 17].
Россия
В официальных российских документах в области информационной безопасности термин «кибербезопасность» не выделяется из понятия «информационная безопасность» и не используется отдельно. Трактовка термина «киберпреступность» также отсутствует, а в УК РФ содержится глава 28 «Преступления в сфере компьютерной информации», включающей четыре статьи с 272 по 274.1 УК РФ: неправомерный доступ к компьютерной информации; создание, использование и распространение вредоносных компьютерных программ; нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации; неправомерное воздействие на критическую информационную инфраструктуру РФ.
В качестве основных законодательных актов, регулирующих область кибербезопасности в РФ, можно назвать [17,18]: Закон Российской Федерации 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Основы государственной политики Российской Федерации в области международной информационной безопасности на период до 2020 года; Доктрина информационной безопасности Российской Федерации; Стратегия развития информационного общества в Российской Федерации; Указ Президента России 2013г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ»; Указ Президента России от 02.07.2021 № 400 «О Стратегии национальной безопасности Российской Федерации» [19].
Так как в российском законодательстве термин «кибербезопасность» неотделим от термина «информационная безопасность», то контроль и надзор за кибербезопасностью в стране осуществляют те же государственные органы, которые отвечают за информационную безопасность, а именно: Комитет Государственной думы по безопасности; Совет безопасности России; Федеральная служба по техническому и экспортному контролю (ФСТЭК России); Федеральная служба безопасности Российской Федерации (ФСБ России); Федеральная служба охраны Российской Федерации (ФСО России) и т.д.
Уровень кибербезопасности стран сегодня оценивается по индексу киберготовности — Cyber Readiness Index (CRI) 2.0, разработанному Потомакским институтом политических исследований (США) [20]. Расчет глобального индекса кибербезопасности проводится Потомакским институтом политических исследований и основывается на комплаенс оценке национальных законодательств. При этом России в их исследованиях нет, очевидно потому, что в нашем законодательстве не выделено понятие кибепреступности, а включено в общее понятие информационной безопасности.
Методология рейтинга CRI разработана для оценки уровня готовности стран к отражению киберугроз на основе показателей, представленных в таблице 6.
Таблица 6
Индекс киберготовности Японии и США, 2018 год, %
Показатель |
Япония |
США |
Россия |
Национальная стратегия |
67 |
50 |
н/д |
Реагирование на инциденты |
67 |
80 |
н/д |
Киберпреступность и охрана правопорядка |
74 |
76 |
н/д |
Обмен информацией |
72 |
78 |
н/д |
Инвестиции в исследования и разработки |
60 |
88 |
н/д |
Дипломатия и торговля |
79 |
92 |
н/д |
Оборона и кризисное реагирование |
47 |
99 |
н/д |
Согласно рейтингу, ни одна из стран мира не соответствует показателям на 100%. Япония отвечает шести из семи критериям на 60-79%, кроме обороны и кризисного реагирования (47%). Таким образом, согласно рейтингу CRI, Япония является одной из стран, наиболее готовых к отражению кибератак. США имеет высокий уровень готовности к отражению кибератак: по показателям инвестиций в исследования и разработки, обороны и кризисного реагирования и дипломатии и торговли – 88-99%, по остальным критериям - около 80%, исключением является критерий национальной стратегии –50%.
Обобщая результаты исследования можно сделать вывод о том, что с внедрением новых информационных технологий усиливаются угрозы безопасности мирового сообщества. Проведенный анализ статистических данных и результатов исследований крупнейших компаний, занимающихся разработкой технологий защиты информации, доказывает, что рынок кибербезопасности развивается параллельно росту возникающих угроз, при этом решение проблем противостояния киберпреступности зависит от совершенства, прежде всего, национального законодательства, механизма его реализации, систем мониторинга и контроля, а также эффективности работы государственных органов [21].
1. Глобальное исследование утечек конфиденциальной информации в 2020 году // InfoWatch. - 2021. - URL: InfoWatch_Мир_Утечки_2020_v.1.17.pdf (дата обращения 15.08.2021)
2. Gartner Forecasts Worldwide Security and Risk Management Spending to Exceed $150 Billion in 2021 // Gartner Inc. - 2021. - URL: https://www.gartner.com/en/newsroom/press-releases/2021-05-17-gartner-forecasts-worldwide-security-and-risk-managem (дата обращения 20.08.2021)
3. State of Cybersecurity Report 2020 // Wipro. - 2020. - URL: https://www.wipro.com/content/dam/nexus/en/service-lines/applications/latest-thinking/state-of-cybersecurity-report-2020.pdf (дата обращения 20.08.2021)
4. Columbus L., Top 10 Cybersecurity Companies To Watch In 2020 // Forbes. - 2020. - URL: https://www.forbes.com/sites/louiscolumbus/2020/01/26/top-10-cybersecurity-companies-to-watch-in-2020/?sh=5a9212514fe6 (дата обращения 21.08.2021)
5. Data Breach Investigations Report // Verizon. - 2020. - URL: https://enterprise.verizon.com/resources/executivebriefs/2020-dbir-executive-brief.pdf (дата обращения 15.08.2021)
6. Lefferts R., Gartner names Microsoft a Leader in the 2021 Endpoint Protection Platforms Magic Quadrant // Microsoft 365 Security. - 2021. - URL: https://www.microsoft.com/security/blog/2021/05/11/gartner-names-microsoft-a-leader-in-the-2021-endpoint-protection-platforms-magic-quadrant/ (дата обращения 22.08.2021)
7. Международные рейтинги стран по развитию ИКТ // Институт развития информационного общества. - 2021. - URL: http://eregion.ru/mezhdunarodnye-ryeitingi (дата обращения 27.08.2021)
8. Исследование ООН: Электронное правительство 2020 // Департамент по экономическим и социальным вопросам ООН. - 2020. - URL: https://publicadministration.un.org/egovkb/Portals/egovkb/Documents/un/2020-Survey/2020%20UN%20E-Government%20Survey%20-%20Russian.pdf (дата обращения 27.08.2021)
9. Япония: обзор законодательства в сфере кибербезопасности // InfoWatch. - 2021. - URL: https://www.infowatch.ru/analytics/analitika/yaponiya-obzor-zakonodatelstva-v-sfere-kiberbezopasnosti (дата обращения 08.09.2021)
10. Kosseff J., Defining Cybersecurity Law // Iowa Law Review. - 2018. - URL: https://ilr.law.uiowa.edu/print/volume-103-issue-3/defining-cybersecurity-law/ (дата обращения 11.09.2021)
11. Gramm-Leach-Bliley Act // Federal Trade Commission. - 2020. - URL: https://www.ftc.gov/tips-advice/business-center/privacy-and-security/gramm-leach-bliley-act (дата обращения 11.09.2021)
12. Legislative proposals // Cyberspace Solarium Commission. - 2020. - URL: https://www.solarium.gov/report/legislative-proposals (дата обращения 12.09.2021)
13. NPPD at a Glance // Cybersecurity & infrastructure security agency. - 2020. - URL: https://www.cisa.gov/publication/nppd-glance (дата обращения 12.09.2021)
14. Supplemental Tool: Connecting to the NICC and NCCIC // CISA. - 2020. - URL: https://www.cisa.gov/sites/default/files/publications/NIPP-2013-Supplement-Connecting-to-the-NICC-and-NCCIC-508.pdf (дата обращения 12.09.2021)
15. The National Initiative for Cybersecurity Careers and Studies. - 2021. - URL: https://niccs.cisa.gov/ (дата обращения 17.09.2021)
16. USA: Cybersecurity Laws and Regulations 2021 // ICLG. - 2021. - URL: https://iclg.com/practice-areas/cybersecurity-laws-and-regulations/usa (дата обращения 17.09.2021)
17. Володин В., Рожкова Л., Сальникова О., Обеспечение безопасности России и США в информационном и киберпространстве: правовые, политические и экономические аспекты // Международные процессы. - 2018. - URL: http://pravo.mgimo.ru/sites/default/files/pdf/008.pdf (дата обращения 17.09.2021)
18. Цирлов В.Л., Правовые основы кибербезопасности Российской Федерации // Правовая информатика. - 2019. - URL: file:///C:/Users/User/Downloads/pravovye-osnovy-kiberbezopasnosti-rossiyskoy-federatsii.pdf (дата обращения 18.09.2021)
19. Указ Президента Российской Федерации от 02.07.2021 № 400 "О Стратегии национальной безопасности Российской Федерации" // Официальный Интернет-портал правовой информации. - 2021. - URL: http://publication.pravo.gov.ru/Document/View/0001202107030001 (дата обращения 19.09.2021)
20. Cyber Readiness Index Country Profiles // Potomac Institute for Policy Studies. - 2020. - URL: https://www.potomacinstitute.org/academic-centers/cyber-readiness-index#inline5207 (дата обращения 10.09.2021)
21. Суглобов А.Е., Минаков А.В. Перспективы использования цифровых технологий в сфере государственных услуг и управления //Russian Journal of Management. 2021. Т. 9. № 3. С. 46-50.