«Безопасные корабли – это вытащенные на берег корабли»
Анахарсис, скифский философ
Необходимость быть защищенным является одной из базовых в соответствии с теорией иерархии потребностей, выдвинутой А. Маслоу [1]. По мнению известного практически каждому школьнику ученого, потребность в безопасности появляется как только удовлетворены физиологические, то есть самые низкоуровневые нужды вроде сна и пищи. Вопрос физической безопасности неоспоримо главенствует во многих сферах, от ракетостроения и до массовых мероприятий. Несмотря на наличие сомнений в научности теории пирамиды Маслоу [2], ее упоминание позволяет обратить взор на место вопроса защищенности в человеческом сознании в условиях современных вызовов.
Происходящие в социуме процессы не могут не зависеть от потребностей людей. Одним из таких процессов является цифровизация бизнеса и общества в целом. Описывая цифровые барьеры в предыдущем материале [3], вопрос безопасности сознательно был упомянут лишь вскользь. С ракурса цифровой трансформации защитой данных организаций озабочена большая доля профессионалов: Microsoft в своем исследовании «цифровой революции» и принимающей в ней участие компаний в Центральной и Восточной Европе выясняли, что 46% опрошенных специалистов определяют угрозы информационной безопасности в качестве препятствия, которое необходимо преодолеть для успешной реализации цифровой трансформации [4]. Вместе с тем, по данным опроса, проведенного PriceWaterhouseCoopers в 2017 году, у 40% российских компаний отсутствует стратегия обеспечения информационной безопасности, что контрастирует с изложенным предположением о едва ли не базовой значимости защищенности [5]. Отражает ли такая статистика реальные убеждения людей относительно желания иметь защиту в цифровой среде или же охрана информации не соотносится с потребностью человека в безопасности? Возможно, значимость защиты с точки зрения личного отношения человека и преувеличена, но последние утечки персональных данных и обеспокоенность властей (как представителей владельцев этих данных в рамках законотворчества) свидетельствует несколько об ином [6].
Новые технологии порождают новые угрозы, так было с ядерной энергией, интернетом и паровым двигателем, абсолютно аналогичная картина складывается и в условиях цифровой трансформации. Сведения, хранящиеся в электронном формате, подвергаются нападениям с момента возникновения «цифры» как таковой, однако в условиях накопления огромного количества сведений в цифровом виде; базы данных становятся все более привлекательными целями для злоумышленников, тем более в энергетической сфере, что стимулирует развивать как способы нападения, так и обороны. В связи с таким положением дел в эпоху «цифрового взрыва» представляется обязательной для изучения тематика информации и способов обеспечения ее сохранности.
Что такое информация и каким образом компания может распоряжаться сведениями
Прежде чем приступать к обеспечению безопасности чего-либо необходимо выяснить чем является объект защиты. Для этого необходимо разобраться с тем, что собой представляет информация и почему она ценна? В первую очередь обратимся к правовому регулированию.
В соответствии с определением, зафиксированном в Федеральном законе от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – ФЗ об информации), информация – это сведения (сообщения, данные) независимо от формы их представления. Является ли такое определение исчерпывающим? Едва ли, но с учетом отсутствия по умолчанию с точки зрения законодателя экономический ценности в качестве объекта гражданского права, такой минималистичный подход является достаточно ясным, с учетом регулирования, о котором речь пойдет далее.
Гражданский кодекс РФ не определяет информацию в качестве объекта гражданских прав, что не мешает извлекать экономическую выгоду из аккумулирования и передачи сведений другим лицам. При этом законом определен способ обличения информации в объект, права на который могут передаваться по договору, а именно создание баз данных, либо же создание секрета производства (ноу-хау), однако такого рода организация информации является избыточной в канве защиты сведений, которыми компания обладает, а также является специфическим инструментом извлечения прибыли. Параллельно с этим существует точка зрения, в соответствии с которой информация, полученная в результате выполнения работ или оказания услуг, может являться объектом гражданского права,
Согласно тому же ФЗ об информации обладателем информации является лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. То есть классическое понимание права собственности на информацию распространению не подлежит, на что в свое время указывал и Конституционный Суд РФ, определяя обладателя информации в качестве лица, лишь правомочного в отношении конкретной информации решать вопрос о ее получении другими лицами и о способах ее использования [7]. При этом ранее законодатель определял информацию в качестве объекта гражданских прав, однако с 01.01.2008 г. такое положения утратило силу. Уголовное законодательство в свою очередь содержит определение, схожее с уже упомянутым, а именно компьютерной информации.
Под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи (прим. 1 ст. 272 УК РФ).
Полагаем, что будет верным определить компьютерную информацию как составляющую часть термина информации, установленного в ФЗ об информации [8], то есть фактически речь идет о сведениях, хранящихся на цифровых носителях. По существу именно этот смысл и является общим для рассматриваемого понятия.
Вопросов о праве собственности на носитель информации не возникает, это самые обычные вещи в понимании гражданского права. Нельзя ли было провести законодательную связь между носителем и информацией на ней хранящейся в части вещного права? Хотя это и был бы самый просто путь регулирования, но он несет за собой большое количество рисков. При этом в положениях ФЗ об информации прямо указывается на то, что «информация может являться объектом публичных, гражданских и иных правовых отношений». К сожалению, на наш взгляд, пока информация не будет прямо поименована в перечне объектов гражданских прав (ст. 128 ГК РФ), реализовывать правомочия собственника в отношении данных крайне сложно, если вообще допустимо. С другой стороны, существует и противоположное мнение, основывающееся на системном толковании норм гражданского законодательства и ФЗ об информации, в соответствии с которым информацию можно превратить в объект гражданских прав, определив ее, например, в качестве результата выполнения работ [9]. Обоснованной представляется позиция, в соответствии с которой информация может участвовать в гражданском обороте только в рамках баз данных, ноу-хау, либо же через режим коммерческой тайны [10], поскольку законодатель прямо указывает на возможность такого коммерческого использования имеющихся у организации сведений.
Может ли при этом фактически хоть какое-либо лицо пользоваться, распоряжаться, владеть информацией, несмотря на вышеперечисленные обстоятельства? Закон об информации прямо разрешает пользоваться данными и распространять и передавать их, в том числе по договору.
В реальном мире организации управляют информацией, извлекают выгоду из ее использования и вне закрепленных законом форм.
Полагаем, что это происходит вне привязки к реализации гражданских прав, в связи с чем положения гражданского законодательства, в частности института вещных прав, на информацию распространению не подлежат. Таким образом, на информацию саму по себе невозможно получить право собственности, это в буквальном смысле противоречит её природе. Спорным вопросом является и возможность определения информации в качестве предмета договора. Все эти неоднозначные темы порождают дискуссии в правовом сообществе, что прямо указывает на необходимость более однозначного регулирования оборотоспособности информации, при этом необходимо учесть и потребности общества как в защите информации, так и в свободном ее распространении [11]. Возможно, внесением в ГК РФ статьи 783.1 «Особенности договора об оказании услуг по предоставлению информации» законодатель пытался разрешить описанный выше спор, однако правовой режим информации как объекта гражданских прав она, к сожалению, не решает.
При перечисленных сложностях оборота информации в регулировании также имеется большое количество требований и ограничений. В частности, в перечне нормативных актов, относящих сведения к категории ограниченного доступа, подготовленном Консультант Плюс, содержится 83 видов таких сведений, начиная от государственной тайны и заканчивая информацией, содержащейся в государственной информационной системе учета твердых коммунальных отходов [12]. Не имеет смысла раскрывать содержание каждого из них, остановимся лишь на том, что распространение таких сведений возможно при соблюдении установленных в законодательстве требований и ограничений.
Исходя из изложенного можно сделать о неоднозначности ценности информации как таковой. Если существуют объективные препятствия в распространении информации за плату, в чем же тогда ее ценность? Отвечая на этот вопрос, можно с уверенностью заявить – любые сведения об организации являются ценными, хотя бы и гипотетически; зачастую заранее неизвестно какая именно утечка позволит конкурентам обогнать компанию на рынке; неизвестно, каковы будут репутационные потери в случае «слива» определенных данных. Кроме того, если сами данные ценности не представляют сейчас, то аналитическими методами можно получить полезные связи, предсказания, на их основе строить модели – именно за счет этого развиваются сферы больших данных и искусственного интеллекта. И если с правовой точки зрения достаточно установить режим коммерческой тайны, то с точки зрения желающих такие сведения получить во что бы то ни стало, несмотря на запреты, существует необходимость обеспечить сохранность данных, имеющихся у организации, тем более что за утрату контроля за некоторыми из них возможно наступление юридической ответственности. Злоумышленников могут интересовать такие виды информации, как внутренняя операционная информация, персональные данные сотрудников, финансовая информация, информация о заказчиках/клиентах, интеллектуальная собственность, исследования рынка/анализ деятельности конкурентов, платежная информация, хотя оказаться ценными могут и любые другие сведения. Для энергетической компании, например, будет являться критически важным сохранение режима конфиденциальности относительно персональных данных потребителей ресурсов и объемы такого потребления. А для обеспечения цифровой безопасности таких данных необходимо разобраться хотя бы в основах защиты данных.
Системы безопасности баз данных: как они устроены и зачем нужны
Сведения компании хранятся в корпоративных хранилищах и базах данных (далее также – БД) различного объема и характера. Под БД понимается организованная структура, предназначенная для хранения, изменения и обработки взаимосвязанной информации, преимущественно больших объемов. Создание таких структур приводит к необходимости обеспечения защиты не только коммуникаций, операционных систем и других элементов инфраструктуры, но и хранилищ данных как еще одного барьера на пути злоумышленника. Однако на сегодняшний день работы в области обеспечения безопасности БД направлены в основном на преодоление существующих и уже известных уязвимостей, реализацию основных моделей доступа и рассмотрение вопросов, специфичных для конкретной системы управления БД (далее – СУБД).
В качестве реакций на действия злоумышленников, получили развитие различные системы безопасности баз данных. Закономерно, что со временем, увеличилось количество, равно как и виды угроз, которым подвергались базы данных, при этом и сами базы данных претерпевали изменения для своевременного отражения атак.
Подходы к управлению базами данных менялись с течением времени, по направлению от простого к сложному, в связи этим можно выделить следующие:
Очевидно, что указанные подходы сменяли друг друга постепенно с течением времени, в зависимости от количества пользователей данных и сложности самой структуры базы данных.
Компания Uber для целей развития бизнеса беспилотных автомобилей приобрела стартап Otto с основателем Энтони Левандовски во главе. К концу 2017 года Uber стал вырываться в лидеры беспилотных разработок, но в это же время конкурент Uber, Waymo, подал в суд на компанию за хищение корпоративной тайны. Оказалось, что разработчик Левандовски, бывший сотрудник Waymo, перед увольнением из компании украл свыше 14 000 конфиденциальных технических документов, чертежей и прочих файлов, чтобы использовать их в том самом стартапе, который приобрёл Uber. Компания столкнулась с юридическим преследованием за использование чужой технологии при разработке беспилотных автомобилей и за активное покрывательство кражи коммерческой тайны. Суд несколько раз переносился, пока идут общественные слушания, но многое говорит о том, что борьба идёт далеко не за 14 000 файлов, а за право развивать технологию, которая по оценкам экспертов будет такой же значимой для мирового автомобилестроения, как изобретение самого автомобиля.
При этом, обеспечение безопасности хранимой информации невозможно без обеспечения безопасного управления данными. Исходя из этой концепции, все уязвимости и вопросы безопасности СУБД можно разделить на две категории: зависимые от данных и независимые от данных. Отметим, что уязвимости, независимые от данных (их структуры, организации и т.д.), являются характерными для всех прочих видов ПО. К этой группе можно отнести несвоевременное обновление ПО или наличие неиспользуемых функций. Зависимыми от данных (в той или иной степени), в свою очередь, является большое число аспектов безопасности. В частности, механизмы логического вывода и агрегирования данных, называемые специфичными проблемами СУБД.
Особенности безопасности информации энергетической компании как объекта критической инфраструктуры
Понятие объекта критической информационной инфраструктуры (КИИ) было введено Федеральным Законом №187 «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – Закон) в 2017 году, для регулирования отношений в области обеспечения безопасности информационных объектов, функционирование которых критически важно для экономики государства, а также для устойчивого функционирования КИИ при проведении в отношении нее компьютерных атак.
Согласно Закону, к объектам КИИ могут быть отнесены информационные системы и сети, а также автоматизированные системы управления, функционирующие в сфере:
К субъектам КИИ, согласно Федеральному Закону, относятся государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Иными словами, требования Закона затрагивают тех лиц (государственные органы и учреждения, юридические лица и индивидуальных предпринимателей), которым принадлежат (на праве собственности, аренды или ином законном основании) объекты КИИ или которые обеспечивают их взаимодействие. Таким образом энергетические компании зачастую окажутся владельцами объектов КИИ, что в свою очередь возложит на них обязанности, речь о которых пойдет далее.
Вопрос, относится ли то или иное юридическое лицо к субъекту критической инфраструктуры подлежит разрешению самим субъектом КИИ. Именно субъект КИИ должен самостоятельно оценивать, какие из его систем и сетей относятся к объектам КИИ. Субъекты КИИ могут быть также и значимыми, в таком случае, правила их категорирования и статус определены Постановлением Правительства РФ от 08.02.2018 № 127. Тогда же, когда субъект не относится к значимым субъектам, такого вопроса представляется непростым. На практике, выделены следующие подходы к критериям, по которым организация может быть отнесена к субъектам КИИ [13].
Косвенный подход. Информационная система относится к определенной сфере в том случае, если она явно или косвенно обеспечивает реализацию функций, относящихся к определенным видам деятельности Организации в рамках рассматриваемой сферы. В этом случае, система может быть классической информационной системой и не выполнять специализированных функций, явно относящихся к данной сфере, но при этом обеспечивать реализацию критических для рассматриваемой сферы процессов. В качестве примера можно рассмотреть систему продаж ЖД билетов и систему управления турникетами прохода пассажиров на ЖД платформы. Так, по функционалу система продаж ЖД билетов ничем не отличается от классической системы продаж билетов, например, в кинотеатре. А система управления турникетами прохода пассажиров на ЖД платформы работает аналогично системе управления турникетами в каком-нибудь бизнес-центре. Но при этом от работы системы продажи ЖД билетов и системы управления турникетами прохода пассажиров на ЖД платформы существенно зависит доступность транспортных услуг. Примеров таких систем может быть много, и вообще невозможно себе представить ситуацию, при которой Организация осуществляет деятельность в одной из сфер и не имеет ни одной ИС, обеспечивающей реализацию процессов, в рамках этой деятельности, если только она не делает все на бумаге.
Прямой подход. Информационная система относится к определенной сфере в том случае, если она выполняет специализированные функции, явно относящиеся к данной сфере, т.е. является специализированной информационной системой в рассматриваемой сфере. Скорее всего, эти специализированные функции и вообще отнесение самой системе к сфере прописаны в проектной документации на систему (техническое задание, паспорт и тому подобные документы). Например, это может быть система централизации стрелок и сигналов на ЖД станциях. В данном случае вопросов о том относится данная система к транспортной сфере или нет возникать не должно.
При этом в связи с тем, что даже первичное определение того, является ли объект частью критической информационной инфраструктуры, требует детального анализа не только положений Закона, но и приказов, позиций, а также выступлений представителей регуляторов, то большинство компаний нанимают для данной деятельности подрядчиков. Однако, у организаций неизбежно возникает вопрос экономической оправданности подрядчика в данном процессе. Для того чтобы подрядчик смог качественно провести категорирование, ему необходимо полностью изучить все бизнес-процессы организации, ее инфраструктуру, показатели деятельности (договоры, финансовую отчетность, иную статистику). Очевидно, что в данном случае проект займет не один месяц, а стоимость работ может оцениваться в миллионы рублей, если речь идет о крупных предприятиях или группах компаний. Проведение категорирования своими силами – это еще один повод детально разобраться в бизнес-процессах организации, оценить все риски и ответить на главный вопрос: к каким последствиям может привести недостаточное соблюдение организационных и технических мер защиты информации, для дальнейшей реализации мер защиты и обосновании соответствующих проектов.
После первичного определения компании в качестве субъекта КИИ, далее, Закон предусматривает следующие мероприятия для обеспечения безопасности объектов КИИ:
С момента утверждения перечня объектов КИИ, согласно Закону, у субъектов появляются следующие обязанности:
При этом, информирование о компьютерных инцидентах необходимо будет осуществлять через взаимодействие с ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации). Организация взаимодействия в указанном порядке определена нормативными актами ФСБ России. Если у организации есть значимые объекты КИИ, то ей потребуется реализовать систему безопасности для защиты данных объектов в соответствии с нормативными документами ФСТЭК России.
Таким образом, создание и поддержание системы информационной безопасности компании, в случае, когда она является субъектом критической информационной инфраструктуры, требует финансовых затрат, как для категорирования объектов, так и для поддержания системы в рабочем состоянии. Однако, в случае игнорирования требований Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации», у субъектов возникнет угроза административной ответственности (проект внесения соответствующих норм в КоАП РФ находится в стадии обсуждения). В настоящий момент, проект предполагает административные штрафы за нарушение порядка исполнения требований указанного Федерального Закона в размере от 50 до 500 тысяч рублей, в зависимости от серьезности нарушения. Кроме того, Уголовный кодекс РФ устанавливает наказание за несоблюдение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре. Уголовная ответственность наступает, если нарушение причинило вред критической информационной инфраструктуре.
Решения в сфере безопасности: актуальные предложения и кому они пригодятся
На рынке продуктов безопасности можно найти сотни решений на любой вкус, а если требующийся продукт отсутствует/не подходит/нуждается в доработке, можно организовать разработку подходящего софта. С этой точки зрения интереснее решения, которые представляются публично, что интересует специалистов. С этой целью представляет собой интерес прошедший с 3 по 5 ноября XII Петербургский Международный Инновационный Форум [14], где в рамках трека «Национальная конкурентоспособность и диверсификация экспорта» состоялась панельная дискуссия с обозначенной темой «Обеспечение безопасности промышленности в эпоху цифровизации», в рамках которой, в том числе, прошло обсуждение современных методой и инструментов охраны данных организаций.
Одним из радикальных предложений по защите информации является использование специализированных под это операционных систем. В лице Александра Гутина, директора по маркетингу Группы компаний Astra Linux, Компания АО «НПО РусБИТех» представила разработанную на базе программного обеспечения, находящегося в свободном доступе собственную «ось» под названием Astra Linux в версии Special Edition. Операционная система предназначена для создания на ее основе автоматизированных систем в защищенном исполнении, обрабатывающих информацию до степени секретности «особой важности» включительно. Система сертифицирована ФСТЭК России, ФСБ России, Минобороны России, а также верифицирована ИСПРАН. При этом производитель заявляет пожизненную поддержку системы, совместимость всех стандартных программ, а также возможность работы на большинстве конфигураций. При этом не стоит забывать и об удобстве для пользователя. Например, разработчик Astra Linux предоставляют полную совместимость стандартного пакета приложений, шрифтов и прочего, а также обеспечивает возможность обучаться работе с ОС.
Как отмечал Павел Салмин, руководитель направления «Код безопасности», российский рынок дорос до состояния, когда организации обеспокоены уровнем информационной безопасности, превышающем необходимый минимум, установленный регуляторами. На текущий момент используя любую операционную систему никто не может гарантировать уязвимости нулевого дня – это те уязвимости о которых неизвестно, а значит и неизвестно как от них защищаться, но при этом сама возможность успешной атаки существует. Имея возможность такого нападения на операционную систему, можно получить доступ ко всему, в том числе и к средствам защиты от такого рода атак. В связи с этим «Код безопасности» предложено решение под названием «Доверенная среда», которое позволяет при компрометации ОС хакер не сможет получить доступ к данным. Модуль размещается на отдельном устройстве типа флэшкарты, из него запускается виртуальная машина с защитной системой, которая возвращает контроль над операционной системой, при этом такая машина остается незаметной для захваченной ОС. При этом Александр Хегай, генеральный директор компании Secret Technologies, отмечал, что
базовые проблемы цифровой защиты интересов компании решаются минимальными и бесплатными методами, такими как применение принципов недоверия, минимальных привилегий, разделения полномочий, разграничения доступа и тому подобных.
Дмитрий Лучко, руководитель управления Информационной безопасности, Digital Design также отметил ряд проблем промышленной безопасности, основной из которых является отсутствие выстроенной работы на низовом уровне – не настроена система патч-менеджмента, сотрудники не обучены базовым правилам цифровой безопасности.
Панельная дискуссия показала, что российские разработчики готовы предоставлять необходимые продукты для решения проблем высокого уровня. Вместе с тем, специалистами неоднократно отмечалось, что организациями не организован даже начальный уровень информационной безопасности, хотя для этого не требуется существенных денежных вложений, при этом дает закрытие большого количества пробелов в защите БД организаций. В таких условиях мысль о том, что экономически целесообразней потратить некоторую небольшую сумму (относительно стоимости простоя или утраты ценных сведений) на создание системы цифровой защиты, кажется уже не такой очевидной.
[1] A. H. Maslow. A Theory of Human Motivation // http://psychclassics.yorku.ca/Maslow/motivation.htm
[2] U. Abulof. Introduction: Why We Need Maslow in the Twenty-First Century // https://link.springer.com/article/10.1007/s12115-017-0198-6
[3] Л.В. Березин. Бег с цифровыми препятствиями: какие барьеры стоят на пути цифровизации энергетической отрасли // ГАЗ-ИНФОРМ
[4] Путеводитель в будущее. Как компании в Центральной и Восточной Европе, работающие в разных отраслях, действуют в период цифровой революции // https://info.microsoft.com/rs/157-GQE-382/images/RU-CNTNT-Whitepaper-RURUENENDTThoughtleadershipreportAGuidetothefuture-MGC0003199.pdf
[5] PwC: у 40 % опрошенных российских компаний нет стратегии информационной безопасности // https://www.pwc.ru/ru/press-releases/2017/information-security-survey.html
[6] В Минфине выразили обеспокоенность утечками данных из банков // https://iz.ru/942716/2019-11-13/v-minfine-vyrazili-obespokoennost-utechkami-dannykh-iz-bankov
[7] Постановление Конституционного Суда РФ от 26.10.2017 г. № 25-П. П. 3.
[8] Комментарий к Уголовному кодексу Российской Федерации: в 4 т. (постатейный) / А.В. Бриллиантов, А.В. Галахова, В.А. Давыдов и др.; отв. ред. В.М. Лебедев. М.: Юрайт, 2017. Т. 3: Особенная часть. Раздел IX. С. 240.
[9] Киселев А. Договорное распространение информации и его доказательства // СПС КонсультантПлюс. 2018.
[10] Инюшкин А.А. Информация в системе объектов гражданских прав и ее взаимосвязь с интеллектуальной собственностью на примере баз данных // Информационное право. 2016. № 4. С. 7.
[11] Мирских И.Ю., Мингалева Ж.А. К вопросу о правовом регулировании информации в условиях информационной экономики // Вестник Пермского университета. Юридические науки. 2017. № 4. С. 445.
[12] Справочная информация: «Перечень нормативных актов, относящих сведения к категории ограниченного доступа» // http://www.consultant.ru/document/cons_doc_LAW_93980/
[13]Выступление заместителя начальника управления ФСТЭК России Елены Торбенко на ТБ Форуме 2018 г. // https://www.proib.ru/2018/02/2018-140218.html
[14] XII Петербургский Международный Инновационный Форум «Синергетическая экономика» // https://spbinno.ru/
