Граффити — камера слежения. Источник: Pixabay, опубликовано с разрешения.
Приведённый ниже материал — это перевод с адаптированной англоязычной статьи, оригинал которой был впервые опубликован [1] [кит] на китайском языке на гонконгском сайте гражданской журналистики inmediahk.net.
В расположенном на южном побережье Китая Макао — бывшей колонии Португалии, а ныне специальном административном районе КНР — начались общественные консультации по предлагаемому Закону о кибербезопасности [2].
С помощью нового закона правительство Макао рассчитывает обеспечить «безопасность сетевых коммуникаций». Законопроект предусматривает создание постоянного местного комитета по кибербезопасности, а также центра кибербезопасности, призванного осуществлять контроль за информационными потоками онлайн в двоичном коде с целью отслеживания и расследования будущих кибератак. Центр будет взаимодействовать с правительственными отделами с целью осуществления контроля и выполнения процедур защиты для компаний 11 ключевых отраслей экономики, включая интернет-операторов, организации СМИ, водоснабжения и энергообеспечения, финансовые и банковские компании, предприятия игорного бизнеса, а также медицинские учреждения.
Закон также обяжет операторов связи и провайдеров интернет-услуг ввести системы регистрации настоящего имени с требованием полной идентификации пользователей во время любой сетевой активности. Закон предписывает всем интернет-провайдерам вести журнал сетевой активности пользователей и хранить его в течение как минимум одного года.
Критики закона считают [2], что нововведение скорее создаст правовую основу для массовой слежки, нежели повысит уровень сетевой безопасности.
Для того, чтобы разобраться в целесообразности данной законодательной инициативы и узнать точку зрения информированного эксперта, коллектив вопросов и ответов о китайских новостях [1] [кит] взял интервью у старшего аналитика по информационной безопасности, деятельность которого связана с одной из 11 ключевых отраслей, попавших в список документа.
Вопрос: Наблюдались ли в Макао за последние несколько лет случаи взлома компьютерных систем? С точки зрения сектора информационной безопасности, существует ли необходимость установления механизмов наблюдения за информационным потоком?
Ответ: За последние годы в Макао не наблюдалось ни значительных инцидентов взлома [которые бы угрожали общественной безопасности], ни кибератак в отношении граждан либо общественного сектора. (Программа-вымогатели, подобные WannaCry, не создаются для атаки конкретной цели.)
[Примечание редактора: по сообщениям СМИ, если исключить вредоносную программу WannaCry, в январе 2013 года в Макао был взломан интернет-провайдер, при этом было похищено только 34 процента информации клиентов. Тем не менее, это не расценивается как серьёзное нарушение безопасности.]
Необходимости создания механизма контроля за информационными потоками нет. Если придётся отслеживать потоки данных, мы будем вынуждены записывать и анализировать все поступающие сведения, как это делают сотрудники таможни, когда они производят досмотр багажа туристов. Более того, такая система контроля не в состоянии предотвратить кибератаки.
Углубляясь в изучение данного вопроса, рассмотрим два наиболее распространённых варианта кибератак:
1. Распределённая атака типа «отказ в обслуживании» (DDOS): Масштабная DDoS-атака создаёт внушительное количество информации. Для записи данных в таком случае требуются огромный объём памяти и значительные трудовые ресурсы. Иными словами, во время DDoS-атак невозможно отслеживать информационные потоки.
2. Взлом веб-сайтов и частных компьютерных сетей: В случае целевых хакерских атак команде реагирования на чрезвычайные ситуации из центра кибербезопасности необходимо собрать доказательства с атакуемого сервера. Естественно, их можно получить с сетевого объекта. Однако запись и разборка всего пакета данных по сети представляют собой крайне неэффективный способ получения улик при расследовании кибератаки.
С другой стороны, механизм контроля за информационными потоками позволяет эффективно фильтровать данные по ключевым словам. В частности, если в пакете данных содержится ключевая фраза «оправдание 4 июня», система контроля сможет выслать предупреждение. Однако в данном случае речь не идёт о мерах безопасности — это более похоже на интернет-цензуру в стиле континентального Китая.
Вопрос: Законопроект о кибербезопасности в первую очередь окажет влияние на 11 ключевых отраслей экономики. По состоянию, на данный момент высказал ли своё принципиальное мнение торговый сектор?
Ответ: Представители торгового сектора до сих пор пытаются разобраться в содержании законопроекта. Например, в проекте упоминается, что операторы 11 ключевых отраслей обязаны предоставлять отчёты по сетевой безопасности, при этом не указано, что именно подлежит включению в указанный документ. Аналогичным образом, при назначении на ключевые позиции операторам предписывается осуществлять проверку квалификации и биографических сведений. Но что подразумевается под «квалификацией»? Понадобится ли сотрудникам получать лицензию от Министерства промышленности и информатизации КНР? И что означают «биографические сведения»? Придётся ли им доказывать, что они любят Китай и Макао? Именно это, по большей части, и беспокоит сектор информационной безопасности.
Вопрос: Проводились ли консультации при формировании списка 11 ключевых отраслей?
Ответ: С коммерческими отраслями не проводилось никаких консультаций. Законопроект был представлен к рассмотрению 8 декабря 2017 года без предварительного уведомления, что оставило всего неделю на подготовку к консультации, следовательно, приготовление пришлось осуществлять в спешке.
Вопрос: С точки зрения отрасли информационных технологий, какой механизм был бы наиболее подходящим?
Ответ: Как специалист по кибербезопасности, я не считаю, что предлагаемая концепция управления кибербезопасностью способна поддерживать то, что обещает законопроект, а именно «трёхуровневую систему наблюдения, включающую верхний уровень [органы власти] и нижний уровень [коммерческие предприятия], которые органичным образом сплетут воедино стратегию и её реализацию». Напротив, такая концепция окажется препятствием в работе по обеспечению кибербезопасности.
С точки зрения сектора по обеспечению кибербезопасности, чтобы органически объединить стратегию и её реализацию, как политические деятели, так и управленческий аппарат должны быть хорошо знакомы с технологиями.
В так называемой трёхуровневой концепции управления безопасностью коммерческие предприятия окажутся под контролем правительственных учреждений.
Будут ли правительственные учреждения в состоянии [с точки зрения технических знаний] обеспечивать контроль и защиту сетевой безопасности, а также способствовать защите коммерческих предприятий от кибератак? Почему бы не создать для управления кибербезопасностью независимый экспертный отдел?
Вопрос: Скажется ли законопроект, включая, например, требование регистрировать SIM-карты под настоящим именем, на экономических интересах коммерческой отрасли, в частности, секторов азартных игр, СМИ и провайдеров интернет-услуг?
Ответ: Во-первых, следует отметить, что на провайдеров интернет-услуг и игорный бизнес регистрация SIM-карты под настоящим именем окажет минимальное воздействие. В настоящее время при регистрации на получение данных услуг пользователи обязаны предоставить паспорт или иной документ, удостоверяющий личность. Что касается СМИ, это довольно деликатная область. Общение репортёров подлежит прослушиванию. В случае регистрации SIM-карт под настоящим именем неизбежно некоторое отрицательное воздействие.
Во-вторых, говоря о представлении операторами отчётов по сетевой безопасности, такие отчёты могут содержать коммерческую тайну и, естественно, деловой сектор не желает, чтобы сторонние лица (включая правительство) получали доступ к их секретам. Позволит ли правительство юридическим лицам предоставлять отчёты по сетевой безопасности без включения в них чувствительной и важной информации?
В-третьих, говоря о долге сотрудничества, в законопроекте оговорено, что предприятия обязаны обеспечить специалистам центра кибербезопасности доступ к своим объектам и офисам, а также содействовать их деятельности, предоставляя по требованию информацию и оказывая сотрудничество. В случае неспособности выполнения своего долга субъектам будет вменено нарушение административного положения, что повлечёт штраф в размере от 50 000 до 150 000 патак Макао за незначительные правонарушения и от 150 000 до 5 000 000 патак Макао за серьёзные преступления [1 патака Макао ≈ 7 рублей — примечание переводчика].
Следует принять во внимание то, что в случае кибератаки первые шаги предприятия будут направлены на восстановление системы. В случае с игорным бизнесом инцидентом безопасности будут заниматься как сотрудники внутренней службы безопасности, так и субподрядчики по обеспечению кибербезопасности, обладающие наиболее передовым оснащением и знаниями в этой области. Кроме того, с каждым из них подписано соглашение о неразглашении тайны. Однако в соответствии с предлагаемым правительством проектом и оповещения в области кибербезопасности, и профилактические мероприятия по предотвращению кибератак попадают под юрисдикцию полиции, а также начальника телекоммуникаций и почтовой связи. Что касается делового сектора, естественно, они скорее обратятся за помощью к команде профессионалов по вопросам безопасности, чем в государственные органы. Возникает вопрос: придётся ли в данной ситуации предприятию платить штраф? Если правительство требует, чтобы расследование было проведено до восстановления системы, то кто оплатит убытки?
Вопрос: Ущемит ли новый закон право на невмешательство в личную жизнь и свободу граждан?
Ответ: Его введение окажет на общество сдерживающий эффект. Регистрация под своим настоящим именем будет способствовать информационному контролю и вызовет у людей беспокойство относительно безопасности их личных коммуникаций. Более того, в настоящее время провайдеры интернет-услуг уже обладают потенциалом контролировать нашу деятельность онлайн и даже перехватывать информацию в сети. С введением закона данные полномочия окажутся в руках полиции и в случае перехвата сведений люди не будут об этом знать.