Особенности национальной политики информационной безопасности в условиях глобализации

Яблочкин Александр Сергеевич аспирант, кафедра политологии и социологии, ФГБОУ ВО «Российский экономический университет имени Г.В. Плеханова» 117997, Россия, г. Москва, ул. Стремянный Переулок, 32, оф. 340 (корп. 1) Yablochkin Aleksandr Sergeevich Postgraduate student, the department of Political Science and Sociology, Plekhanov Russian University of Economics 117997, Russia, g. Moscow, ul. Stremyannyi Pereulok, 32, of. 340 (korp. 1) alexander7985@bk.ru Другие публикации этого автора

Кошкин Андрей Петрович доктор политических наук профессор, кафедра политологии и социологии, ФГБОУ ВО «Российский экономический университет имени Г.В. Плеханова» 117997, Россия, г. Москва, ул. Стремянный Переулок, 32, оф. 340 (корп. 1) Koshkin Andrey Petrovich Doctor of Politics Professor, the department of Political Science and Sociology, Plekhanov Russian University of Economics 117997, Russia, g. Moscow, ul. Stremyannyi Pereulok, 32, of. 340 (korp. 1) 160957@mail.ru Другие публикации этого автора

В глобализированном, сетевом и насыщенном информацией мире информационная безопасность имеет решающее значение для государств. Совокупность факторов и действующих лиц, включая различные политические и экономические интересы, процессы разработки политики, типы правительств и технические знания, в совокупности создают разрозненные политики в области информационной безопасности в разных государствах. В литературе по информационной безопасности мало внимания уделяется важному вопросу о различиях в политике в области информационной безопасности между государствами, особенно различиям между политикой в авторитарных и демократических государствах и тому, как различные процессы разработки политики способствуют этим различиям. Рассматривают ли авторитарные и демократические правительства политику информационной безопасности одинаково или по-разному, и с учетом ли напряженности между различными субъектами и заинтересованными сторонами при различных типах режимов. Что может наилучшим образом объяснить эти сходства или различия?

Политика, как правило, подразделяется на две широкие категории: а) конкретные меры политики, которые принимаются правительствами, и б) меры политики, которые предлагаются, но не могут быть приняты, и обсуждения, связанные с этими предложениями. В контексте информационной безопасности мы задаем следующий вопрос: какие виды информации защищают правительства? Какие аргументы используют правительства для оправдания защиты этой информации? Ответ на второй вопрос заключается не только в том, что правительства могут делать то, что они хотят, пока они связывают это с национальной безопасностью. Это особенно верно в тех случаях, когда задействовано большое число субъектов и интересов и требуется больше координации для изменения статус-кво.

Существует две проблемы в понимании того, как государства решают вопросы политики информационной безопасности. Во-первых, существует множество субъектов, как государственных, так и частных, заинтересованных в том, как функционирует политика информационной безопасности. Однако эти акторы не работают в вакууме. Они ограничены политическими, идеологическими и институциональными факторами. Это приводит ко второй проблеме, которая заключается в том, что институциональный характер правительства (будь то демократическое или авторитарное) также влияет на то, как оно решает эти вопросы. В то время как директивные органы и частные субъекты как в демократических, так и в авторитарных странах взаимодействуют в целях обеспечения сохранности того, что они считают жизненно важной информацией, эти взаимодействия могут различаться в зависимости от типа режима. Следовательно, процесс разработки политики может напоминать «перетягивание каната» в странах, в которых полномочия в области разработки политики размыты. В этих странах взаимодействие между политиками и частными субъектами «тянет» политику в том или ином направлении в зависимости от политического и идеологического климата. В такой среде редко можно обнаружить, что политика информационной безопасности полностью подчинена одному образу мышления. Однако это в меньшей степени относится к случаям концентрации директивных полномочий, как это имеет место в авторитарных правительствах. Несмотря на то, что в этом заинтересованы несколько субъектов, они менее способны влиять на политику, которая соответственно становится меньше похожа на «перетягивание каната» и больше ориентирована на собственные интересы государства.

Когда речь заходит о защите информации, правительства по-разному занимаются разработкой политики. В частности, широкий круг субъектов и интересов, вовлеченных в процесс разработки решений в демократиях, создает уникальную напряженность, которой нет в авторитарных странах, где доступ может быть более ограниченным, а процесс разработки политики более централизованным. Несмотря на эти идеалы, есть литература, которая предполагает, что демократии не всегда могут соответствовать своим заявленным идеалам, особенно тем, которые касаются информационной прозрачности и в периоды, когда сталкиваются с угрозами ^[22]. Для оценки этих идей в контексте политики информационной безопасности в настоящем исследовании рассматривается набор данных из реализуемых и разрабатываемых национальных политик информационной безопасности стран всего мира. Полученные результаты свидетельствуют о том, что разработка политики в области информационной безопасности в демократических странах напоминает «перетягивание каната» с участием нескольких субъектов, в ходе которого процесс принятия решений редко приводит к значительным изменениям или адаптации действующей политики ^[4]. Это отличается от процесса разработки политики в автократических странах, который по-прежнему является «перетягиванием каната», но включает в себя меньше субъектов и менее разнообразный набор интересов. Эти выводы согласуются с общими представлениями о демократии и автократии. Однако существуют исключения из этих общих выводов, особенно когда демократии сталкиваются с серьезными угрозами национальной безопасности.

Формирование политики в области информационной безопасности и государственное управление. Значительная часть государственного вмешательства в информационную безопасность осуществляется в двух крупных категориях: 1) военные и оборонные и 2) защита прав потребителей/идентичности, хотя есть и другие. Например, М. Либицки изложил структуру того, как Министерство обороны США понимает информационную безопасность, предоставив некоторые важные широкие концепции, которые могут применяться в различных случаях и, возможно, даже в других странах ^[15].

Со стороны потребителя Б. Салливан дает обзор политики, которая защищает (но, часто не защищает) личность потребителя. Б. Салливан представляет то, что он называет «кафкианскими испытаниями», с которыми сталкиваются люди, когда их личные права нарушены, но вместо полезной политики для некоторого возмещения урона они находят «неэффективность правительства и безразличие правоохранительных органов» ^[28]. Но какие субъекты и интересы должны объединиться, чтобы подтолкнуть политику в направлении, которое будет работать? Какие стратегии и обоснования они могут использовать для этого?

Как с демократическими, так и с авторитарными правительствами существует большое разнообразие факторов, которые играют роль в том, как государство создает политику информационной безопасности. Они содержатся в письменных документах, таких как конституции, а также те неформальные практики в виде культурных, политических и экономических правил участия, которые являются просто частью функционирования страны и общества.

Когда речь заходит о демократии и информации, существует общее мнение, что демократии должны стремиться к транспарентности в своей политике и действиях перед гражданами и другими странами ^[10]. Руководствуясь этими идеалами, директивные органы должны строить свою политику в области информационной безопасности на основе цели создания общества открытого доступа, в котором информация является доступной, а государственные процессы прозрачными. Отстаивая преимущества такого подхода и подотчетности политических акторов электорату, некоторые сторонники этой точки зрения признают, что даже в демократических обществах для защиты жизненно важных государственных интересов может быть необходима более жесткая форма информационной безопасности, но такой контроль должен быть как можно более ограниченным ^[10].

Одним из ограничений этого аргумента является то, что в нем не рассматривается переходный период между нормами и политикой. Даже если предположить, что демократические нормы поддерживают полную или почти полную прозрачность и противостоят государственной тайне, все равно остается вопрос: каким образом нормы находят свой путь через политический процесс в исполняемые законы. Еще одно ограничение в некоторых аргументах, касающихся информационной безопасности, касается институциональных истоков закрытой государственной политики. Существует предположение, что исполнительная власть правительства, особенно в США, несет ответственность за увеличение или сохранение государственной тайны ^[10]. Хотя исполнительная власть может быть заинтересована в сохранении секретности, в этом аргументе упускается из виду тот факт, что в условиях демократии в процессе разработки политики участвуют многочисленные субъекты. Выработка рекомендаций в отношении мер безопасности на основе понимания только одного субъекта вместо привлечения более широкого круга участников в том, что касается информационной безопасности, оказывается неполной. В целом объем исследований, непосредственно касающихся информационной безопасности в контексте разработки политики весьма ограничен.

В отличие от демократического идеала прозрачности, авторитарные правительства полагаются на принцип самосохранения ^[20]. Результирующая политика в области информационной безопасности обычно отражает этот принцип, сосредоточив внимание на правительственном доступе к информационным узлам и предоставляя законные полномочия представителям правительства запрашивать информацию с минимальными средствами правовой защиты. Одной из сильных сторон этой позиции является то, что государственные структуры создаются для утверждения и реализации политики информационной безопасности без формальных вопросов со стороны. Если есть оппозиция, то она находится в относительно слабом положении.

Конечно, авторитарные правительства не застрахованы от политических споров и разногласий. В частности, авторитарные правительства могут столкнуться с угрозой протеста из-за своей политики. Институциональные различия между демократией и авторитарными правительствами позволяют последним решать эту проблему более непосредственно. Другими словами, хотя эта угроза может быть постоянной и реальной, некоторые правительства нашли способы ее предотвратить. Питер Джонс пишет, что недавние «революции» на Ближнем Востоке, меньше всего затронули монархии. Он рассуждает, что это может быть связано с социальным контролем, который режимы создают через патерналистский «социальный контракт», который принимает большая часть общества, или даже с тем, что они «откупаются» от своих граждан через финансовые стимулы ^[1].

Сравнивая политику информационной безопасности по двум типам правительств, Хелен Милнер применила идею демократической исключительности к распространению различных средств и технологий, утверждая, что фракции, находящиеся у власти в авторитарных странах, могут видеть и предотвращать распространение технологий, которые могут подорвать их власть. В то время как фракциям в демократических правительствах приходится преодолевать гораздо больше институциональных препятствий ^[18].

Не исключено, что авторитарные правительства стремятся ограничить распространение конфиденциальной информации, в то время как демократические институты поощряют открытость. Однако одним из ключевых моментов Милнера является то, что группы, стремящиеся блокировать распространение технологий в рамках демократии, часто не имеют поддержки политических институтов ^[18]. Существует целый ряд субъектов, как институциональных, так и индивидуальных, которые обладают огромной властью и могут выступать против политики, направленной на повышение транспарентности.

Ранние исследования информационных потоков, особенно касающихся Всемирной паутины, предполагали демократический императив. То есть больший поток информации приведет к большей открытости. Но ученые тут же начали опровергать это предположение. Демократические правительства могут иметь более автократические тенденции, когда речь заходит об ограничении информации ^[17]. Также большинство правительств во казалось, склоняются в сторону безопасности, а не распространения ^[14]. Аналогичным образом, Г. Джакомелло рассматривает различные способы, с помощью которых демократические страны справляются с контролем над Интернетом ^[11]. В частности, проведенный им анализ демократий показал, что, хотя они часто сталкиваются с аналогичными проблемами, их методы решения этих проблем различаются в зависимости от общества и культуры.

Методология

Чтобы понять эти конкурирующие политические интересы, были рассмотрены несколько примеров политики информационной безопасности. Примеры представляют все регионы мира, охватывая период с 1998 года по настоящее время. Хотя некоторые законы и примеры могут показаться устаревшими, важность этого проекта заключается в анализе политики с течением времени, а не только в его актуальности для текущих событий. В статье использовался метод сравнительного и исторического анализа.

Эти политики не представляют собой случайно распределенные события. Страны, которые создали политику информационной безопасности, имеют ее, потому что обстоятельства таковы, что эта политика имеет достаточную поддержку, а также то, что она может быть принята через существующий институциональный процесс. Основными источниками сбора информации были новостные и политические базы данных, а также банки парламентских документов стран. Политика была проанализирована на основе трех вопросов. Во-первых, какой тип информации защищен или ограничен? Ответы должны были представлять область политических вопросов. Некоторые законы пересекаются между категориями. Во-вторых, каково обоснование, которое правительства используют для обеспечения безопасности или ограничения информации? Это включает в себя цели политики, хотя они не всегда четко сформулированы. В-третьих, каковы обстоятельства, вокруг которых формулируется политика? Это самый сложный вопрос, поскольку ситуации не всегда конкретно изложены в новостных статьях или законодательных архивах. Но там, где это возможно, этот контекст может обеспечить глубокое понимание того, в какой степени правительства стремятся обеспечить безопасность информации.

Национальная информационная политика

В то время как некоторые информационные политики призваны освободить поток информации - например, законы о защите прав потребителей или законы о свободе информации - другие направлены на ограничение, обеспечение безопасности или контроль потока информации. Виды контролируемой информации подразделяются на следующие категории: внешние угрозы (вопросы национальной безопасности), внутренние угрозы (антиправительственная информация), инфраструктурная информация, личная или индивидуальная информация, коммерческая информация и информация средств массовой информации.

Внешние угрозы (вопросы национальной безопасности). Вопросы политики национальной безопасности всегда были целями политики ограничения информационных потоков. Гарольд Иннис приводит довод о том, что контроль над информацией (то, что он называл «монополиями на знания») был незаменим при создании империй ^[12]. Защита национальных приоритетов от внешних угроз является наиболее очевидной и часто наиболее приемлемой причиной ограничения потоков информации внутри страны. Однако внешние угрозы, такие как война и некоторые формы международного терроризма, отличаются от внутренних угроз, таких как антиправительственные протесты и вооруженные акты неповиновения.

Например, "Патриотический акт" предоставил правительству США доступ к некоторой информации, которой оно раньше не располагало. В то время как американские военные используют Интернет и другие средства массовой информации для общения с населением и создания своего позитивного образа и получения разведывательной информации ^[23]. Это также ограничивает использование определенных типов средств массовой информации солдатами, которые могут захотеть вести блог или комментировать войну, оправдываясь аргументом, что такая коммуникация может потенциально расширить возможности врагов или создать разобщенность.

Помимо предоставления правительствам возможности расширить сферу охвата информации, которую они отслеживают и регулируют, внешние угрозы могут выявить новые уязвимости. Война между странами также обеспечивает мощный стимул для разработки политики информационной безопасности, которая может защитить от иностранного вторжения. В частности, напряженность между Россией и Грузией продемонстрировала необходимость защиты компьютерных сетей (как гражданских, так и военных) в случае вооруженного конфликта.

Такие уроки не являются уникальными для взаимодействия между государственными субъектами. После 11 сентября 2001 года повышенное внимание стало уделяться роли негосударственных субъектов. Внешняя угроза терроризма играет заметную роль в формировании тех видов политики информационной безопасности, которые сформировались за последние десятилетия. Нападения Аль-Каиды, побудили другие страны разработать собственную политику контроля за информацией.

Внутренние угрозы (антиправительственная и антистабильная информация). Ограничение информации является относительно распространенным явлением при рассмотрении угроз внутренней стабильности страны. Законы о подстрекательстве к мятежу 1798 года в Соединенных Штатах криминализировали измену. Совсем недавно, изменения в российском законодательстве о СМИ в 2000-х годах, а также в 2016 в связи принятием «пакета Яровой» и закона 2019 года о «критике власти» создали широкую дискуссию о том, что лица, выступающие против действующей власти, могут стать более подверженными судебному преследованию.

Помимо этого, широко признан опыт Сингапур в сфере программ электронного взаимодействия граждан и правительства. Правительство заявило, что хочет быть «безбумажным» обществом. Однако в 2003 году парламент принял закон о неправомерном использовании компьютеров, который интерпретаторы назвали ответом на Интернет как «оружие массового поражения». Подобные новые законы могут быть использованы в качестве «инструмента угнетения» со стороны правительства ^[26].

Для Китая борьба с угрожающими информационными потоками является имплицитной политикой. Как для компаний, так и для частных лиц, понимание китайской онлайн-политической цензуры осложняется секретностью, которой она окутана. Чиновники обычно отрицают, что это она вообще существует. Но высшие руководители не оставили никаких сомнений в том, что контроль над интернетом является политическим приоритетом ^[30].

Информация об инфраструктуре. Развитие информационной инфраструктуры во всем мире традиционно представляет собой сочетание государственных и частных инициатив, причем некоторые страны склоняются к тому или иному варианту. Те, кто склонен осуществлять финансируемые государством программы, могут делать это с намерением контролировать информацию, проходящую через эти сети.

Например, в 2006 году Кения, Уганда и Танзания начали процесс принятия согласованных законов в области кибербезопасности, с тем чтобы создать возможности для создания программ электронного правительства и электронной торговли. Соответствующие правительства признали трансграничные потоки информации, которые уже имеют место, и хотели бы гарантировать, что они будут иметь некоторый контроль (и, возможно, доход) от этих существующих связей ^[24]. Этот тип контроля не обязательно является отрицательным. Власти просто хотят знать, что происходит.

Другим примером контроля над инфраструктурой является дискуссия об ответственности частных интернет-провайдеров за поток информации, проходящий по их сетям. Интернет-провайдеры, организации или компании, предоставляющие каналы, по которым проходит большая часть интернет-информации, могут находиться в публичном или частном управлении. Проблема заключается в том, что, хотя существует технология мониторинга информации, которая проходит через их сети, многие интернет-провайдеры, особенно частные, этого не делают. Правительства участвуют в политических дебатах с ними по вопросу контроля над инфраструктурой.

Например, согласно закону Индии об информационных технологиях от 2000 года, интернет-провайдеры не несут ответственности за преступную деятельность в своих сетях ^[8]. Но, полная автономия, как правило, не представляется возможной. Впоследствии в законе говорится, что полиция имеет право входить в любое учреждение и осуществлять поиск в его электронных записях, если ситуация того требует. США решают этот же вопрос с помощью обновления Акта о негласном наблюдении в целях внешней разведки 1978 года. Хотя американские законодатели не решаются защищать интернет-провайдеров во имя гражданских свобод.

Личная информация. Конфиденциальность личной информации уже давно является предметом обсуждения в национальных парламентах, особенно в более демократических обществах. Некоторые страны приняли соответствующие законы, а другие нет. Поскольку в разных культурах конфиденциальность понимается с иных точек зрения, может быть трудно классифицировать законы по этой теме. Различие в культуре конфиденциальности легко проявляется в дискуссиях, связанных с информацией между США и Евросоюза ^[21]. Для того чтобы сформулировать и реализовать политику конфиденциальности или конкретную программу, правительства должны каким-то образом контролировать информацию. Обычно ограничивая информацию, которая может быть собрана или сохранена правительствами и частными предприятиями. Например, Конвенция Европейского Союза о киберпреступности признает право на неприкосновенность частной жизни: учитывая также право на защиту персональных данных, закрепленное, например, Конвенцией Совета Европы 1981 года «О защите физических лиц в отношении автоматической обработки персональных данных» ^[9]. Этот вопрос не всегда решается однозначно и в других странах информация о физических лицах не получает такого же уровня защиты. Например, в Казахстане принят закон «О защите государственной тайны Республики Казахстан», который снимает акцент с личной тайны в пользу более официальной информации.

Коммерческая информация. Страны могут также иметь политику, касающуюся коммерческой информации, то есть финансовых операций, электронной торговли, налогообложения в интернете и т.д. В некоторых случаях такая политика может носить дерегулирующий характер и быть направлена на стимулирование роста в соответствии с принципами свободного рынка. В других случаях регулирование может быть сильнее, чтобы обеспечить стимулы или денежные вливания в регион. Восточноафриканское сообщество приступило к реализации программы под названием Инициатива по разработке политики в области электронного законодательства ^[5]. Эта программа признает как характер информации для пересечения границ, так и желание правительств участвовать в разработке проекта и, таким образом, иметь некоторый контроль над информацией, которая проходит через вновь созданные сети.

Освещение новостей в СМИ. Информационная политика также может быть инициативой по ограничению свободы средств массовой информации. Например, российское правительство пыталось контролировать освещение конфликта с сепаратистским регионом Чечней, основываясь на существующих законах о СМИ ^[19]. В некоторых странах действуют законы о СМИ, определяющие виды информации, которую следует или не следует публиковать или транслировать. Немногие страны имеют законы о свободе слова и печати, аналогичные тем, которые содержатся в Конституции США.

Компьютерные вирусы. Наконец, существует категория законов, которые нацелены на хакеров и тех, кто злонамеренно отправляет вирусы через информационные сети. Так, например, после широкомасштабных хакерских атак из других государств в 2003 году Япония приняла закон, предусматривающий уголовную ответственность за эту деятельность, даже если она носит лишь подготовительный характер. Кроме того, был создан Центр мониторинга для отслеживания правонарушителей ^[5].

Обоснование необходимости обеспечения сохранности информации

Вопрос заключается в определении обоснования заявленного или предполагаемого принятия закона или осуществления политики. Они делятся на три категории: а) защита национальных интересов, б) защита граждан и в) содействие трансграничному обмену информацией.

Защита национальных интересов является самой крупной категорией и имеет ряд составляющих. Всегда существует заинтересованность в использовании военных и оборонных интересов в качестве обоснования ограничения потока информации. Страны хотят защитить разведку во время конфликтов, чтобы «враг» не обнаружил секретную информацию и защитить, насколько возможно, тех, кто ведет наземные бои. В 2006 году китайские правительственные чиновники опубликовали доклад под названием «Национальная оборона Китая», в котором говорится, что КНР проводит трехэтапную стратегию развития для модернизации своей национальной обороны и вооруженных сил, которая включает создание «информационных вооруженных сил, способных выиграть информационные войны» к 2050 году ^[30].

Также на арене вопросов безопасности находится поддержание контроля в пределах границ. Опять же, китайское п