Читаем Глобальное управление Интернетом и безопасность в сфере использования ИКТ полностью

В январе 2014 г. доклад о мерах сдерживания и ответственного поведения государств в киберпространстве с упором на снижение рисков для объектов мирной атомной отрасли выпустил Институт «Восток – Запад»[6]. Одна из ключевых рекомендаций доклада призывала государства и частный сектор открыть на площадке Саммита по ядерной безопасности в Гааге дискуссию о выработке предварительного соглашения о том, что кибератаки, нарушающие безопасное функционирование гражданских атомных объектов в мирное время, должны быть запрещены многосторонним юридически обязывающим документом[7].

Эта рекомендация не была в полной мере учтена в ходе саммита, который состоялся 24–25 марта 2014 г. Однако проблематика кибербезопасности ядерных объектов все же была затронута на его площадке. В итоговом коммюнике саммита этим вопросам уделены два абзаца[8], которые, помимо прочего, призывают государства и частный сектор к разработке более эффективных стратегий снижения рисков атак на АСУ ТП и информационные системы атомных объектов, но не предлагают каких-либо международно-правовых нововведений в этой связи.

Важной вехой стала прошедшая 1–4 июня 2015 г. первая Международная конференция по компьютерной безопасности в ядерном мире, организованная МАГАТЭ. Задача конференции была определена как создание площадки для широкого обмена мнениями по вопросам защиты объектов ядерной отрасли от ИКТ-угроз, а также обсуждения возможностей укрепления роли МАГАТЭ по развитию международного сотрудничества в этой области. Содержание большей части докладов и обсуждений на конференции показало значительный зазор между развитием мысли в рамках экспертного трека 2 и видением проблем кибербезопасности атомной отрасли государствами и межправительственными организациями, включая прежде всего само МАГАТЭ. Правительства куда осторожнее экспертов оценивают перспективы тесного международного сотрудничества и выработки новых механизмов в этой нише; предпочтение отдается более узким, практическим и техническим задачам, для которых идеально подходит площадка МАГАТЭ. Причины лежат на поверхности: атомная отрасль особо чувствительна для национальной безопасности, что сильно ограничивает возможности обмена данными об инцидентах на атомных объектах, а также организации трансграничного содействия в расследовании таких инцидентов.

Вместе с тем формирование постоянной дискуссионной площадки для вопросов кибербезопасности атомной инфраструктуры показывает растущую важность этих вопросов для МАГАТЭ, а также для государств, развивающих мирную атомную энергетику. Поддержка этих треков и участие в них представляется востребованными для России и других государств направлениями работы. Вопросы ИКТ-угроз объектам КИИ в отрасли атомной энергетики также были затронуты в рамках IV Международной конференции по вопросам киберпространства, которая состоялась 16–17 апреля 2015 г. в г. Гааге, Нидерланды. Полезным и авторитетным форматом также стал международный научный форум «Партнерство государства, бизнеса и гражданского общества при обеспечении международной информационной безопасности», который ежегодно проходит в г. Гармиш-Партенкирхен, Германия. Наконец, дискуссия о безопасности КИИ атомной отрасли может получить должное развитие и в рамках генеральных конференций МАГАТЭ.

2. Учитывая высокий уровень компетенций МАГАТЭ в сфере разработки рекомендаций и практической проработки вопросов кибербезопасности на объектах ЯТЦ, целесообразным шагом в среднесрочной перспективе может стать закрепление за Агентством центральной роли в развитии и координации международного сотрудничества по борьбе с ИКТ-угрозами КИИ атомной отрасли. В частности, предметом обсуждения могут быть следующие меры:

• Формирование при МАГАТЭ международной базы данных по компьютерным инцидентам на объектах атомной отрасли. Информация, конфиденциально поступающая в подобный «информационный репозиторий» от государств-членов, компаний и экспертов ИБ-сектора и предприятий атомной отрасли, могла бы использоваться для развития рекомендаций и повышения экспертизы Агентства в этой области. Для создания базы данных может быть использован опыт существующих в частном секторе форматов – например, репозитория инцидентов безопасности на промышленных объектах (The Repository of Industrial Seсurity Incidents, RISI).