Інформаційна безпека США: законодавче регулювання та перспективи співпраці для УкраїниО. Бусол, д-р юрид. наук, ст. наук. співроб. НЮБ НБУВ

Інформаційна безпека США: законодавче регулювання та перспективи співпраці для України

 

Сьогодні, в умовах глобалізації, інтелектуалізації злочинності, охоплення інформатизацією всіх суспільних відносин, міжнародна спільнота усвідомлює необхідність удосконалення чинних і розробки уніфікованих нормативно-правових актів щодо регулювання міжнародної інформаційної безпеки.

Розробки науковців показують, що першість у забезпеченні інформаційної безпеки у світі належить США. Так, навіть Японія, яка вважається меккою виробництва цифрової техніки та використання найсучасніших IT-технологій, відстає від США більше ніж на п’ять років у сфері розповсюдження персональних комп’ютерів, кабельного телебачення, цифрової телефонії та в інших аспектах інформаційної політики [1].

Сьогодні законодавство США у сфері забезпечення інформаційної безпеки складається з федеральних законів та законів штатів, які створили правову основу для формування єдиної державної політики в галузі захисту інформації для забезпечення інтересів національної безпеки. Це насамперед, такі закони: «Про інформаційну безпеку», «Про удосконалення інформаційної безпеки» (1997 р.), «Про комп’ютерне шахрайство та зловживання» (1986 р.), «Про свободу інформації» (1967 p.), «Про висвітлення діяльності уряду», «Про охорону особистих таємниць», «Про таємницю» (1974 p.), «Про право на фінансову таємницю» (1978 p.), «Про доступ до інформації про діяльність ЦРУ» (1984 р.), «Про безпеку комп’ютерних систем» (1987 р.).

Національна політика США в галузі захисту інформації формується Агентством національної безпеки (АНБ), а найважливіші стратегічні питання інформаційної безпеки розглядаються Радою національної безпеки з виданням директив Президента США, серед яких: PD/NSC-24 «Політика в галузі захисту систем зв’язку» (1977 p.), у якій вперше зазначено про необхідність захисту важливої несекретної інформації для забезпечення національної безпеки; SDD – 145 «Національна політика США в галузі безпеки систем зв’язку в автоматизованих інформаційних системах (1984 p.), якою на АНБ покладено функції із захисту інформації і контролю за безпекою у каналах зв’язку, обчислювальних та інформаційно-телекомунікаційних системах, а також сертифікації технологій, систем і устаткування із захисту інформації в інформаційно-телекомунікаційних системах, а також ліцензування діяльності в галузі захисту інформації.

США, здійснюючи політику в галузі захисту інформації виходять з того, що перехоплення іноземними державами відкритої інформації, яка ціркулює в урядових і комерційних телекомунікаційних мережах, може завдати шкоди державі, оскільки оброблення цієї інформації, зіставлення та об’єднання розрізнених відомостей може призвести до розкриття державної таємниці. Тож у 80-х роках захист ліній зв’язку й автоматизованих систем стає основним завданням компетентних державних органів США. Конгресом США у 1987 р. був прийнятий Закон «Про забезпечення безпеки ЕОМ» Mb HR-145, який встановив пріоритет національних інтересів при вирішенні питань безпеки інформації, зокрема приватної. Цим законом також фактично встановлено нову категорію інформації обмеженого доступу – «несекретна, але важлива з погляду національної безпеки» – це несекретна інформація урядових відомств, а також більша частина відомостей, що циркулюють або обробляються в інформаційно-телекомунікаційних системах корпорацій і приватних фірм, що працюють на замовлення уряду США.

Генеральна Асамблея ООН ще у 2001 р. на 56-й сесії акцентувала поняття «Інформаційна та мережева безпека», що озна­чає захист особистої інформації про від­правників і одержувачів, захист інформа­ції від несанкціонованих змін, захист від несанкціонованого доступу до інформації і створення надійного джерела постачання обладнання, послуг та інформації. Інфор­маційна безпека того часу охоплювала захист інформації, що стосується військового по­тенціалу та інших аспектів національної безпеки. Уже у ті часи передбачалося, що недостатній захист життєво важ­ливих інформаційних ресурсів і інформа­ційних і телекомунікаційних систем несе загрозу міжнародній безпе­ці.

Тен­денцію до надання пріоритетної ролі інформаційній безпеці наочно демонструють резолюції Генеральної асамблеї ООН: «Роль науки і техніки в контексті міжнародної безпеки, роззбро­єння та інших, пов’язаних з цим сфер» № 53/576 (1998 р.); «Досяг­нення у сфері інформатизації і телекомунікацій в контексті міжнародної безпе­ки» № 54/49 (1999 р.); № 55/28 (2000 р.); № 60/45 (2005 р.) [2].

Загалом державна політика США у сфері інформаційної безпеки пройшла тривалий еволюційний шлях, який складається з чотирьох етапів: виникнення – 1939–1947 рр.; становлення – 1947–1982 рр.; активний розвиток – 1983–2001 рр.; докорінне вдосконалення – 2001 р. – дотепер. З приходом у 1981 р. до влади президента США Р. Рейгана та його адміністрації управління інформаційними ресурсами, відповідно із «Законом про свободу інформації» напрям інформаційної безпеки був визначений як пріоритетний в урядовій політиці.

Уже в 1992 р. у США було прийнято програми «Національна інформаційна політика» та «Глобальна інформаційна політика» (GII). GII базувалася на п’яти ключових принципах: залучення приватних інвестицій, сприяння конкуренції, введення гнучких механізмів регулювання, які мають забезпечити пристосовування до швидких технологічних змін та ринкової конкуренції; надання відкритого доступу до існуючих мереж усім провайдерам і користувачам; забезпечення загальнодоступних інформаційних послуг, створенні «електронного уряду». Достатньо сказати, щопри Бібліотеці Конгресу США створено центральний депозитарій документів з проблем кібер-, медіа- та психотероризму з метою моніторингу теорії і практики інформаційно-психологічних впливів у сучасному світі, а також створення ефективної регіональної системи протиборства з інформаційними загрозами та об’єднання зусиль держав-членів ОАД (Організація американських держав) у сфері інформаційної безпеки [3]. Адміністрація США на офіційному рівні розглядає інформацію як певний стратегічний ресурс, який виникає в результаті обробки даних за допомогою спеціалізованих систем аналізу.

Військово-політичне керівництво США на початку 90-х років приділяє особливу увагу розвитку інформаційних технологій, високо оцінюючи їх потенційні можливості для досягнення військової переваги. Саме про це говорить директива МО США ТS від 21 грудня 1992 р. «Інформаційна війна», в якій зазначено на необхідності всебічного обліку інформаційних ресурсів при організації планування і функціонування систем управління в інтересах підвищення ефективності дії своїх військ в умовах протидії супротивника. Складовими концепта «інформаційна війна» є: оперативна безпека, введення супротивника в оману, психологічні операції, електронна війна і вогневе знищення, які проводяться в комплексі з глибокою і всебічною розвідкою як для дезорганізації системи управління противника, так і для захисту власної системи управління в ході бойових дій. При цьому інформація, що циркулює в системі управління, розглядається як високопріорітетний об’єкт впливу і захисту, зниження або підвищення достовірності. Для Пентагону, який використовує кількасот різних інформаційних систем і мереж, питання інформаційної безпеки фактично прирівнюється до питань військової безпеки [4].

Інформаційні військові дії проводяться для досягнення інформаційної переваги в інтересах національної військової стратегії і здійснюються шляхом впливу на інформацію та інформаційні системи противника при одночасному захисті власної інформації і своїх інформаційних систем [5].

За 1997–2001 рр. на законодавчому рівні у сфері інформаційної безпеки США було зроблено чимало: пом’якшені експортні обмеження на криптографічні продукти, сформована інфраструктура з відкритими ключами, розроблено ряд стандартів на кшалт електронного цифрового підпису – FIPS 186-2 (2000 р.). Усе це дало змогу зосередитися на одному з її найважливіших додатків – аутентифікації, що проводиться за відпрацьованою на кріптографічних засобах методикою. На базі цих законів у США сформована загальнонаціональна інфраструктура електронної аутентифікації.

 Крім того, у законодавстві США діють як положення обмежувальної спрямованості, так і директиви, які захищають інтереси таких державних відомств, як Міністерство оборони, АНБ, ФБР, ЦРУ.

У березні 2001р. президент США Д. Буш, виступаючи у штаб-квартирі ЦРУ в Ленглі, вказав на основні загрози національній безпеці США. На другому місті після тероризму в цьому переліку значиться інформаційна війна і вже за нею – розповсюдження зброї масового ураження та засобів його доставки.

Збір розвідувальних даних із комп’ютерних систем противника дає можливість отримувати щодо нього дані стратегічного й оперативного характеру та виявляти уразливі місця в його інформаційних системах. Тож США розроблено та реалізуються програми, спрямовані на розширення можливостей розвідки з добування й обробки інформації щодо загроз національній інформаційній інфраструктурі з боку інших держав. Крім традиційних методів агентурної роботи, ЦРУ приділяє велику увагу аналізу відкритих джерел і добуванню інформації із закритих (конфіденційних) баз даних програмним шляхом. У США на офіційному рівні визнають, що контроль над секретними комунікаціями противника при одночасному захисті своїх власних надає їм унікальні можливості для збереження лідируючих позицій у світі.

У 2009 р. конгресмени США О. Сноу та Д. Рокфеллер підготували та ініціювали проект закону США «Акт про кібербезпеку» (TheCybersecurityActof 2009 [6], у якому закріплено повноваження Президента США відключати доступ до мережі Інтернет на всій території США у надзвичайних випадках загроз національній безпеці. У цьому ж році американським політиком О. Джілібреном ініційовано законодавчий проект «Акт глобальної відповіді на кібервиклики» (FosteringaGlobalResponsetoCyberAttacksAct), в якому містяться положення щодо взаємодії уряду США з урядом будь-якої іншої держави в питаннях організації протидії злочинам у кіберпросторі.

Крім того, у 2009 р. у США оприлюднено «Огляд кібербезпекової політики» (CyberSecurityReview), у якому визначено, що Білий дім має сформувати нову структуру системи національної кібербезпеки. До ключових завдань керівництва США у цій сфері віднесено: забезпечення центральної ролі Білого дому у формуванні кібербезпекової політики з метою демонстрування як суспільству США, так і міжнародним партнерам серйозність намірів американського керівництва; перегляд законодавства та політики; посилення федерального законодавства та відповідальності; просування інформаційних проектів державного, регіонального та локального рівня у сфері кібербезпеки.

У «Зауваженнях щодо забезпечення безпеки національної кіберінфраструктури» (2009 р.) [7] Б. Обама зробив висновок про те, що «...кіберзагрози є одними з найбільш серйозних викликів економічній та національній безпеці, з яким зіткнулася нація». З огляду на це, Б. Обама оголосив цифрову інфраструктуру США стратегічною національною цінністю, а захист цієї інфраструктури – національним пріоритетом. Окреслено ним також і основні напрями, спрямовані на вирішення зазначених вище проблем: розроблення ефективної стратегії забезпечення безпеки інформаційних і комунікаційних мереж; розроблення систем попередження та реагування на кібератаки; посилення партнерства між державою та приватним сектором; збільшення інвестицій в іноваційні технології, а також наголошено на початку масштабної національної кампанії щодо посилення готовності суспільства до протидії кіберзагрозам [8].

У 2010 р. з метою реалізації захисту держави та уряду від кібератак та хакерів президентом США було затверджено «Ініціативу зі всеосяжної національної кібербезпеки» Ради національної безпеки США, яка містить дванадцять загальних положень. Ця ініціатива є складовою частиною розділу Військової доктрини США, що стосується кібернетичної оборони. Документом передбачено створення єдиної федеральної мережі, пов’язаної захищеними каналами зв’язку, який у свою чергу, має здійснюватися через контрольовані точки доступу. Крім того, ініціатива передбачає об’єднання всіх наявних у США центрів оперативного реагування на кіберзлочини з метою підвищення ефективності їх діяльності та проведення більш глибокого аналізу щодо хакерських атак. Також, з метою протидії іноземним кібершпигунам документом передбачено створення підрозділів кіберконтррозвідки в державних органах США, зокрема для захисту секретних внутрішніх мереж Міністерства оборони США від терористичних атак.

Передбачено також створення системи управління ризиками для прогнозування наслідків зламу систем, викрадення або пошкодження інформації та мінімізації збитків від таких протиправних втручань. АНБ спільно з партнерами приватного сектору розробили план спільних заходів протидії загрозам у неурядових комп’ютерних мережах. Таким чином держава бере участь у захисті ключових приватних інфраструктурних мереж (телекомунікації, електромережі, мережі банківських розрахунків, інтернет-провайдери). Запроваджено роботу програми «Ейнштейн» (англ. EINSTEINProgram,або Einstein) – система виявлення втручань, яка захищає мережеві шлюзи вищих державних органів і відомств США від несанкціонованого доступу. Програмне забезпечення було розроблено IT-командою екстреної готовності США (US-CERT), яка є оперативним підрозділом Національного управління кібербезпеки міністерства внутрішньої безпеки США.

У Стратегії кібербезпеки США (2011 р.), запропонованій президентом США Б. Обамою, передбачено право держави приймати заходи у відповідь на ворожі дії у кіберпросторі, розглядаючи їх як будь-які інші загрози. Тобто, хакерські атаки прирівняні до оголошення війни США.

У кінці квітня 2012 р. сенат США прийняв Закон CISPA (CyberIntelliggenceSharringandProtectionAct), який дає можливість уряду США, приватним агентствам безпеки та будь-яким приватним компаніям за наявності підозри про вчинення кіберзлочину отримувати доступ до конфіденційної інформації користувачів і комерційних організацій.

Аналіз законодавства США у сфері інформаційної безпеки показує, що основними напрямами забезпечення національної кібербезпеки США є захист критично важливих об’єктів інфраструктури, а саме – їх інформаційних систем від кібернетичних атак; вдосконалення засобів виявлення таких атак і оперативного реагування на них; визначення завдань безпеки кіберпроcтору та способи їх вирішення; підготовка відповідних фахівців з безпеки інформації та взаємодія з приватним сектором; співпраця з міжнародними організаціями з метою забезпечення відкритого, безпечного, надійного кіберпростору.

Нормативно-правовими документами США, які регулюють безпеку кіберпростору стали Національна стратегія безпечного кіберпростору (2003 р.), Огляд політики кібербезпеки (2009 р.), Міжнародна стратегія для кіберпростору (2011 р.), Наказ Президента США «Щодо Проекту стратегії покращення кібербезпеки критично важливих об’єктів інфраструктури (2013 р.), Проект стратегії покращення кібербезпеки критично важливих об’єктів інфраструктури (2014 р.), Закон з кібербезпеки та обміну інформацією (2015 р.), Національна стратегія безпеки (2015 р.), Стратегія кібербезпеки Департаменту оборони (2015 р.). У зазначених нормативно-правових актах закріплено дії зі знешкодження та протистояння атакам у національному інформаційному просторі, визначені види загроз, обов’язки захисту кіберпростору для різних спеціалізованих державних установ. Цими документами визначено умови для обміну даними з протидії кіберзагрозам, прогнозуванні відповідних ризиків, співробітництва з іншими державами з проблем кібертероризму, а також підвищення кваліфікації спеціалістів з протидії цим злочинам. Крім того, окремо акцентується на залученні до протидії тероризму приватних установ і громадських організацій, наприклад CERT, ISACA, CSX, СCSIS, а також залучення освітніх і наукових установ до проведення досліджень щодо гарантування безпеки національного кіберпростору [9].

Аналіз наукових розвідок щодо інформаційної безпеки США показує, що, не зважаючи на чималу кількість нормативно-правових актів США в сфері інформаційної безпеки, вони не завжди є ефективними. Законодавство США не охоплює всіх загроз в інформаційній сфері держави, які існують на сучасному етапі. Прогалинами у політиці інформаційної безпеки США можна вважати випадок з Е. Сноуденом, який викликав шквал протилежних висловлюваньу США, так і в інших державах про допустимість масового негласного спостереження, межі державної таємниці та балансі між захистом персональних даних і забезпеченням національної безпеки після 11 вересня 2001 р. (дата, відома як теракт у Лос-Анжелесі з наймасштабнішими наслідками). Тож захист інформаційного простору від кібертерористів, а користувачів інформаційних систем від шахрайства, забезпечення конфіденційності інформації в інформаційних системах, захист прав інтелектуальної власності потребують розробки нормативно-правових актів з інформаційної безпеки США принципово нового, більш високого рівня.

За останні 35 років у США сформувалася чітка система забезпечення інформаційної безпеки, яка характеризується поступовими тенденціями та, разом з тим, кардинальними заходами. Тож американський досвід державної політики в сфері інформаційної безпеки уявляється важливим для української зовнішньої та внутрішньої политики. Найціннішим є дієвий підхід до регулювання ринка інформаційних технологій в умовах ринкової економіки.

Треба все ж зазначити, що хоча нині Україна є одним з лідерів у світі з підготовки висококваліфікованих IT-спеціалістів і одним з основних постачальників «мізків» відповідного напряму за кордон, слід констатувати існуючу залежність України від американського програмного продукту, що можна спостерігати в комп’ютерних засобах майже кожної державної установі та окремих громадян. Отже, для забезпечення національної безпеки України необхідно спрямувати зусилля на створення власних конкурентноздатних IT-технологій, та повернення наших фахівців «додому».

У свою чергу США мають величезний досвід у сфері впровадження інформаційних технологій в діяльність держави з усіх напрямів. Особливо важливим, в умовах військового захисту Україною своїх територій у відповідь на збройну агресію іноземної держави, є американський досвід використання інформаційних технологій для створення систем зв’язку та військового управління, а також високоточного озброєння.

Указом Президента України 25 лютого 2017 р. введено в дію Рішення Ради національної безпеки і оборони України від 29 грудня 2016 р. «Про Доктрину інформаційної безпеки України». Доктрина спрямована на захист українського суспільства від агресивного інформаційного впливу, що спрямований на розпалювання національної та релігійної ворожнечі, зміни конституційного ладу та порушення суверенітету і територіальної цілісності держави. Завдання щодо перевірки українського сегмента Інтернету та засоби масової інформації на предмет забороненої інформації покладено на Міністерство інформаційної політики. Служба безпеки України також братиме участь у перевірці, але сфера її діяльності – це моніторинг спеціальними методами й способами вітчизняних та іноземних ЗМІ й Інтернету. Кабінет Міністрів України має координувати роботу міністерств (та інших органів виконавчої влади) і фінансувати програми, які пов’язані з інформаційною безпекою.

З метою посилення кібербезпеки президент США Д. Трамп 11 травня 2017 р. підписав новий указ про кібернетичний захист федеральних мереж, який має допомогти в захисті від хакерів найбільш важливих об’єктів інфраструктури США.

Інформаційну безпеку можна без перебільшення назвати одним з перспективних напрямів взаємовигідного співробітництва між Україною та США.


[1] Брижко В. До питання сучасної інформаційної політики. Вісн. Академії управління МВС. 2009. № 2. C. 32–36.

[2] Role of science and technology in the context of international security and disarmament. Report of the First Committee General Assembly. 1998. № 53/579. URL: https://documents-dds-ny.un.org/doc/UNDOC/GEN/N98/360/57/PDF/N9836057.pdf?OpenElement; Developments in the field of information and telecommunications in the context of international security. Resolution adopted by the General Assembly. 1999. № 54/49. URL: https://documents-dds-ny.un.org/doc/UNDOC/GEN/N99/777/13/PDF/N9977713.pdf?OpenElement;

Developments in the field of information and telecommunications in the context of international security. Resolution adopted by the General Assembly. 2000. № 55/28. URL: https://documents-dds-ny.un.org/doc/UNDOC/GEN/N00/561/07/PDF/N0056107.pdf?OpenElement;

Developments in the field of information and telecommunications in the context of international security. Resolution adopted by the General Assembly on 8 December 2005. № 60/45. URL: https://documents-dds-ny.un.org/doc/UNDOC/GEN/N05/490/30/PDF/N0549030.pdf?OpenElement. .

[3] National Security Strategy of the United States of America. Washington. 2010, may. 52 p. White House. URL: http://www.whitehouse.gov/sites/default/files/r.

[4] Шамрай В. О. Інформаційна безпека як складова національної безпеки України. URL: http://www.crime-research.ru/library/Shamray.htm.

[5] Баранов А. Информационный суверенитет или информационная безопасность. Нац. безпека і оборона. 2001. № 1. С. 70–76.

[6]The Cybcrsecurity Асі of 2009. URL: http: //whiiehouse.gov/ihe_press_ofllce.

[7] Remarks by (he President on securing our nation’s cyber infrastructure). White House. URL: whitehouse.gov/ihe_press_ofIicc/Remarks-by-the-Presidcni-on-Sceuriiy-Nations-Cyber-Infrusimcture.

[8] Statement by the President on the White House Organization for Homeland Security.

[9] 1) Statement by the President on the White House Organization for Homeland Security;

2) National Strategy to Secure Cyberspace. February 2003. URL: https://www.us-cert.gov/sites/default/files/publications/cyberspace_strategy.pdf;

3) Updating U.S. Federal Cybersecurity Policy and Guidance. October 2012. URL: http://csis.org/files/publication/121019_Reeder_A130_Web.pdf;

4) Assuring a Trusted and Resilient Information and Communications Infrastructure. White House. URL: https://www.whitehouse.gov/assets/documents/Cyberspace_Policy_
Review_final.pdf;

5) The Administration’s Priorities on Cybersecurity. White House. URL: https://www.whitehouse.gov/issues/foreign-policy/cybersecurity#section-protect-critical-infrastructure;

6) Cyber Security Strategy Documents. URL: https://ccdcoe.org/strategies-policies.html;

7) The Department of Defense Cyber Strategy. URL: strategy/Final_2015_DoD_CYBER_STRATEGY_for_web.pdf;

8) International Strategy for Cyberspace.White House. URL: http://www.whitehouse.gov/sites/default/files/rss_viewer/international_
strategy_for_cyberspace.pdf;

9) Carter W. A., Carter W. A., Zheng D. E. The Evolution of Cybersecurity Requirements for the U.S. Financial Industry. 2015. July. URL: http://csis.org/files/publication/150717_Carter_CybersecurityRequirements
_Web.pdf;

10) US Enacts Cybersecurity Information Legislature. URL: http://www.isaca.org/cyber/Documents/CSX-Special-Report_misc_Eng_0116.pdf;

11) US cybersecurity: Progress stalled Key findings from the 2015 US State of Cybercrime Survey. URL: https://www.pwc.com/us/en/increasing-it-effectiveness/publications/assets/2015-us-cybercrime-survey.pdf;

12) US-CERT: Understanding Hidden Threats: Rootkits and Botnets. URL: https://www.us-cert.gov/ncas/tips.