Сегодня
термины «вызовы, угрозы, риски, опасности» и в специальной литературе, и в
журналистике используются очень широко. Чаще всего как синонимы. Иногда их различают.
Значительно реже противопоставляют.
Как следует трактовать понятия «вызов»,
«угроза», «риск», «опасность» и как их корректно использовать было написано в
предыдущих статьях рубрики [1]. Тем не менее, для удобства напомню.
Под термином «вызов» следует понимать
воспринятые и осознанные субъектом изменения в окружающей среде, оказывающие на
него дестабилизирующее воздействие и потому требующие определённой реакции для
обеспечения своей жизнеспособности и жизнедеятельности. Вызов – это приглашение
к действию. Вызов не всегда сопряжён с опасностью. При адекватной и
своевременной реакции на вызов объект может не только сохранить свое прежнее
состояние, но и выйти на новый – более высокий – уровень развития [1, с. 17].
Угроза – это демонстрация действующим объектом желания
и/или возможности причинить вред объекту воздействия. Любая «угроза» есть
«вызов», но не всякий «вызов» есть «угроза» [1, с. 19]. Угроза есть
атрибут действий Иного, т.е. объектов внешней (не только в структурном, но и
функциональном плане) среды.
Риск есть атрибут деятельности субъекта.
Деятельности, в результате которой ему самому может быть причинён вред. Существование
риска обусловлено наличием неопределённости результата деятельности,
невозможностью однозначного предсказания конечного результата. В информационной
сфере любые действия субъекта, связанные с получением (созданием), хранением,
передачей информации сопряжены с риском [1, с. 21].
Опасность – это ситуация, при которой субъекту может
быть причинён существенный вред. Информационная опасность – это термин,
обозначающий ситуацию, при которой может быть причинён вред информационной
составляющей самого субъекта (его информационной структуре и информационной
функции) или вред информационному пространству, в котором он находится [2, с. 12].
Необходимо отметить, что ставший уже привычным термин
«угроза безопасности» хоть и звучит мелодично, на самом деле является идиомой (идиоматическим оборотом).
Безопасности никто никогда не грозил! Угрожают не состоянию[1]
и не ситуации[2], а
объекту (например, информации) или субъекту (индивиду, организации,
государству) [3]. Причём угрозы в адрес объекта – это частный случай угроз
субъекту.
Угроза «я
убью тебя, лодочник» - это не «угроза безопасности лодочника», а «угроза
лодочнику». Если кто-то кому-то говорит:
«Я разнесу (прикрою) твою лавочку», - то это не угроза «лавочке», а угроза её
хозяину с указанием способа реализации угрозы. А если цыган поёт: «Спрячь за
высоким забором девчонку, выкраду вместе с забором», - то это угроза не
девчонке (она, может быть и сама хочет, чтобы её украли) и не забору (ему
вообще «на всё плевать»), а тому, кто забор построил и спрятал за него
девчонку.
Точно так же обещание (желание) украсть или уничтожить
принадлежащую кому-то информацию – это не угрозы информации, а угрозы её
владельцу. Информации от того, что её украдут или она куда-то «утечёт», не
будет, как говориться, ни холодно, ни жарко. По-научному: информация
индифферентна по отношению к действиям с ней. А вот субъекту–владельцу
информации и/или субъектам, чьи интересы затрагиваются (страдают) при этом,
будет не всё равно, они не будут индифферентны. Именно поэтому необходимо
различать понятия «объект безопасности» и «объект защиты». Понятия эти
тождественны только в том случае, если речь идёт о физической безопасности
человека (индивида, личности). Во всех остальных случаях они далеко не
тождественны, особенно, когда речь идёт об информационной безопасности. Здесь
информация, точнее – информационные объекты, информационные ресурсы,
принадлежащие или имеющие отношение к субъекту, – это объект защиты, а объект безопасности
– это всегда субъект (субъекты)[3].
И угрожают субъекту, а объекту причиняют ущерб.
Необходимо так же уточнить, что нет, и не может быть
универсальных «информационных угроз». Угрозы всегда предметны и адресны, т.е.
исходят от какого-либо предмета (объекта-источника угроз) и направлены в
сторону конкретного предмета или группы предметов (объекта безопасности). У каждого
объекта безопасности, в качестве которого выступают социальные субъекты
различного структурного уровня сложности, угрозы и, следовательно, методы и
средства их реализации будут свои.
Индивиду
можно угрожать ножом или пистолетом, но нельзя создать теми же орудиями угрозу предприятию
и, тем более, государству. В то же время можно организовать рейдерский захват
предприятия, но нельзя это же сделать в отношении индивида или государства.
Можно угрожать захватом части территории или всего государства, но нельзя угрожать
захватом части индивида. И так далее и тому подобное.
Вот некоторые вызовы, т.е. изменения в окружающей
среде, могут быть общими для всех субъектов всех структурных уровней сложности.
Однако и здесь необходимо различать такие понятия как «информационные вызовы»,
«вызовы информационной эпохи», «вызовы информационной революции» [4] и другие
аналогичные, коих и в научном дискурсе, и в журналистике существует довольно
много. Правда, суть их, как правило, остаётся нераскрытой их авторами.
А задумывались ли вы сами над тем, что означает очень
распространённая фраза «угрозы информационной безопасности»? Здесь не задан ни
субъект действия (кто угрожает), ни объект воздействия (кому угрожают). По
правилам русского языка эту фразу нужно понимать так: неизвестно кто (или что)
угрожает безопасности (непонятно чьей, но указано какой –
информационной, т.е. связанной с информацией). Это абсолютно неопределённое
понятие. Точно такое же, как и «угрозы безопасности». С точки зрения логики – нулевое
множество. А как следует понимать фразу «угроза безопасности информации»? В методологическом
плане она ничем не отличается от фразы «угроза безопасности хлеба»[4]. Но
кто-нибудь когда-нибудь слышал такую фразу? Я – никогда! Почему? Потому, что
она абсурдна по своей сути. В предыдущих статьях я уже писал, что информация с
точки зрения логики точно такой же объект, как и любой другой, на который
направлены познавательные способности и/или действия субъекта. Например,
табурет. Воспользовавшись методом подстановки, получим «угрозы безопасности
табурета»!? А ещё могут быть «угрозы безопасности книги» и «угрозы безопасности
песни» как частные случаи (подвиды) «угроз безопасности информации» (и книга, и
песня – информация, точнее – информационные объекты, т.е. материальные объекты,
содержащие информацию). Абсурд?! Однако он так прочно вошёл в нашу жизнь, к
нему так привыкли, что сделать что-либо по избавлению от него не представляется
возможным.
Как подсказывает логика, анализ необходимо начинать не
с угроз, а с вызовов, т.е. с изменений в окружающей среде. Это необходимо, чтобы
вовремя и адекватно на них отреагировать и чтобы они не стали угрозами, а затем
и опасностями. Но ещё раз уточню, что понятия «информационные вызовы» и «вызовы
информационной эпохи» не тождественны и их следует различать.
Что означает термин «информационные вызовы»? И если
есть вызовы информационные, значит, должны быть ещё какие-то. Какие? Если вызов
это воспринятые и осознанные субъектом изменения в окружающей среде, то все
вызовы информационные, т.к. и восприятие, и осознание суть информационные
процессы. Обо всех изменениях в окружающем нас пространстве мы узнаём
посредством информационной коммуникации. Если же под термином «информационная»
понимать сферу деятельности, то под термином «информационные вызовы» следовало
бы понимать все изменения в информационной сфере общества. Но тогда мы упрёмся
в понятие «информационная сфера общества». Она есть, эта информационная сфера?
Или её нет? Если есть, то что в неё входит и как её следует трактовать? Потом мы
упрёмся в понятие «сфера», потом «общество». И так до бесконечности.
Довольно часто люди употребляют термины, не придавая
особого значения их содержанию, кажущиеся им интуитивно понятными. Но то, что
допустимо в обыденной речи, недопустимо в науке. Хотя и в обыденной речи
следовало бы соблюдать правила, выработанные ещё мыслителями глубокой
древности. Я часто цитирую Конфуция, который говорил, что «если благородный
человек о чем-то говорит, его слова должны нести четкую смысловую нагрузку, ибо
слова не должны расходиться с делом. В своих высказываниях благородный человек
должен проявлять определённость, но не небрежность» [Конфуций, цит. по 5]. За
две с половиной тысячи лет эти слова не только не потеряли значения, а, скорее
наоборот, приобрели ещё большее. Поэтому не будем тратить время на анализ
содержания термина «информационные вызовы», оставим это на откуп российским
учёным, а сосредоточим своё внимание на вызовах, порождённых современной
эпохой, которую с подачи американских социологов окрестили «информационной».
Я считаю, что
информационной человеческая цивилизация была всегда и что информационная
революция произошла давным-давно, когда один человек (или то, что потом стало
человеком) произнёс членораздельные звуки-слова, а другой понял, что от него
хотят. Другими словами, информационная революция – это возникновение языка. Всё
последующее – революции технологические, революции в средствах сбора, обработки,
хранения и передачи информации.
Да, нынешняя революция самая мощная. Она затронула
сразу все компоненты информационного процесса. Но, тем не менее, это не
информационная революция и породила она не информационную эпоху, а эпоху тотальной
информатизации, информатизационную или, по Кастельсу, информациональную. И
информация не сегодня стала товаром, как считают и пишут многие. И значение её
не стало играть большую роль в жизни
человека и человечества. Скорее наоборот.
В XVII веке в
немецком городе Насау за разглашение иностранцам секретов кузнецкого мастерства
виновных подвергали смертной казне. Каменотёсы Страсбурга в 1459 году приняли
решение, запрещающее «всем купцам ли, болтунам ли открывать секреты, коими они
(каменотёсы) могут ловко и быстро работать» [6]. Нарушителя ждала суровая кара.
На Руси разгласившим тайну заливали в глотку расплавленный свинец. Троянцы, не
проверив содержание информационного объекта, взяли его «на временное хранение»
и были уничтожены греками, подсунувшими им эту «дезу».
Сегодня «деза» льётся мутными потоками по всем радио-,
теле-, интернет-каналам. Газеты «пожелтели» от стыда за то количество лжи,
которое в них впихивают независимые (от совести) журналисты. И никого не
казнили. Сноуден разгласил святая святых – государственную тайну – и ничего с
ним не происходит, и ничего особенного не происходит с окружающим миром. Но
почему-то все учёные в голос кричат об увеличении значения информации и об
увеличении её цены.
Нынешняя эпоха – это эпоха тотального внедрения принципиально новых технологий и
соответствующих им технических средств сбора, обработки, хранения и передачи
информации, т.е. средств информатизации. Конечно, предприимчивые люди
научились более эффективно зарабатывать на продаже информационных объектов,
производить и продавать информационные товары. Но это отличие больше касается
технологий ведения бизнеса, связанного с информацией, нежели самой информации. На
самом же деле информация сегодня ничего не стоит. Нет, конечно, информационный
мусор типа голливудских блокбастеров, фэнтэзи, российских полицейских сериалов
и ток-шоу, компьютерных игрушек, кассет и дисков с записями глупых песен и
клипов стоит иногда больших денег. А научная информация, умная литература,
интеллектуальное кино «пылятся» на полках магазинов и прозябают на сайтах в
Интернете. Никому не нужны истинные знания. Иногда их приходится «впаривать»,
«втюхивать», «впихивать» в сознание индивидов, маскируя под обыкновенную
лабуду.
Ещё раз: самое существенное изменение, произошедшее в
современном социуме, а, следовательно, самый первый и самый главный вызов – тотальная информатизация. Пока это
вызов, но при той реакции, которую демонстрирует человечество, довольно скоро он
станет (и уже становится) реальной угрозой существования если не всего
человечества, то отдельных его составляющих – некоторых национальных государств,
это точно. В том числе и России. Какие негативные последствия могут произойти
вследствие несвоевременной и неадекватной реакции на этот вызов? Во-первых,
существенный экономический ущерб. Если в США внедрение новых информационных
технологий приносит прирост национального продукта всего на 1% [7], то для
России эта цифра имеет, скорее всего, отрицательное значение. У нас на закупку,
установку, защиту компьютеров, предназначенных для обработки никому не нужной
информации, выбрасываются порой огромные деньги и без какой-либо отдачи.
Подавляющее большинство ПЭВМ, особенно в органах власти всех уровней и видов,
используется в качестве пишущих машинок с памятью. То есть, возможности ЭВМ
используются всего на 1-2%, не больше. И если провести серьёзные исследования
на эту тему, скорее всего, обнаружится, что внедрение новых ИКТ наносит стране
колоссальный экономический ущерб.
Ещё один вызов, непосредственно связанный с первым, и,
по сути, являющийся его следствием, - это экспоненциальный
рост объёмов информации.
Колоссальное увеличение объёмов информации часто
называют угрозой информационной эпохи. Но что плохого в том, что
экспоненциально станет увеличиваться истинное знание? Плохо, если
экспоненциально растёт объём информационного мусора в виде ток-шоу,
компьютерных игр, глупых фильмов, ещё более глупых и мерзких сериалов,
«высосанных из пальца» триллеров, квазинаучных статей, эзотерической лабуды,
КВНов, камеди-клабов, пустого «трёпа» в соцсетях, глупых книг, скабрёзных
анекдотов и т.д. и т.п. Вот это действительно угроза, а рост объёмов информации
это только вызов. Кто реагирует на него адекватно, тот развивается и
интеллектуально, и материально. Кто реагирует неправильно, тот деградирует.
К вызовам следует отнести и такие явления как:
- сокращение
времени на доставку и обработку информации;
- лёгкость
манипуляции (трансформации и размножения) текстами;
- тотальность
информационного пространства (в т. ч. контроля);
- инклюзивный
характер информационного воздействия;
- резко
возросшие возможности манипулирования сознанием и поведением людей (доведение
воздействия на сознание человека до простой технологии).
Тотальность информационного пространства и инклюзивный
характер информационного воздействия можно рассматривать как великое благо,
если они используются для того, чтобы сеять разумное, доброе, вечное. И оно же
становится страшным злом, если используется как фактор информационной войны,
тем более, против своего народа. А что плохого в тотальном контроле, если он
осуществляется с целью борьбы с терроризмом, бандитизмом и просто хулиганством?
Плохо, если кто-то решит использовать материалы такого контроля в
противоправных целях или в эгоистических меркантильных интересах, или в целях сведения
счётов с политическими оппонентами. А если возросшие возможности воздействия на
психику человека использовать в благих целях – обучения и воспитания, – то это
огромное благо, если в узкокорпоративных и антигуманных – огромный вред. Сокращение
времени на доставку и обработку информации принесло с собой огромные выгоды
бизнесу, но предъявило серьёзные требования к психике и уровню профессиональной
подготовки специалистов. Лёгкость трансформации и размножения текстов позволяет
во много раз быстрее написать научную статью, напечатать умную книгу таким
тиражом, чтобы она была у каждого желающего. Но эти же возможности позволяют недобросовестному
студенту сдать курсовую работу «тупо скачав» текст с Интернета и даже не читая
его, предприимчивому учёному скомпилировать
из чужих текстов и защитить диссертацию, бюрократу – требовать от граждан кучу
справок, плодить никчёмные документы и с лёгкостью размножать их в
неограниченном количестве экземпляров и т.д. и т.п. Таким образом, подавляющее
большинство факторов, традиционно причисляемых к категории угроз, таковыми не
являются. Это либо условия, либо средства, которые могут привести как к
причинению вреда субъекту, так и принести ему блага. И зависит это, прежде
всего, от субъекта информационной коммуникации, т.е. того, кто создаёт контент
и управляет (должен управлять) его хранением и перемещением в социуме.
И получается, что наибольшую угрозу представляют не сами
изменения, происходящие объективно и независимо от нас, а те, кто должен на них
реагировать. На микроуровне это сам индивид, на макроуровне – руководители органов
власти регионального и местного уровня, директора предприятий, организаций,
учреждений, деятели науки и образования, на мегауровне – Президент,
Государственная Дума и Правительство. Именно несвоевременная и/или неадекватная
реакция перечисленных субъектов на происходящие в окружающем нас мире изменения
может (и реально приводит) к тому, что вызовы, в т. ч. порождённые и
порождаемые современной эпохой, переходят в разряд угроз.
Термин «информационные угрозы» в плане смысловой
определённости мало чем отличается от термина «информационные вызовы». Однако
он также прочно вошёл в современную науку, журналистику и обыденную речь, к
нему привыкли, и изменить что-либо в его использовании не представляется
возможным. Единственное, что здесь можно сделать, так это уточнить, что конкретный
автор понимает под этим термином.
С моей точки зрения информационные угрозы социальным
субъектам были, есть и будут всегда. Они не зависят от характера эпохи. Они проистекают
из специфики информационной деятельности, носят информационно-психологический
(когнитивный, консциентальный) характер. Довольно часто произносимое/слышимое
«я тебя убью» трудно отнести к категории «информационная угроза», хотя по факту
это именно и только информационная угроза. Я считаю, что к категории
«информационных» следует относить угрозы типа «я выведу тебя на чистую воду»,
«я расскажу про тебя всю правду» или угрозы «облить грязью», «подмочить репутацию» и им подобные. То есть
те, в которых обещается причинить вред посредством информационной коммуникации.
Поэтому под термином «информационные угрозы» я предлагаю понимать обещания или
возможности причинения вреда субъекту при помощи информационных технологий.
В документе под названием «Основы государственной
политики РФ в области международной информационной безопасности на период до
2020 года», принятом в начале ноября 2013 года, в качестве основных угроз для Российской
Федерации названы:
1) использование информационно-коммуникационных
технологий (ИКТ) в качестве информационного оружия в военно-политических целях,
для осуществления враждебных действий и актов агрессии;
2) применение ИКТ в террористических целях;
3) киберпреступления, включая неправомерный доступ
к компьютерной информации, создание и распространение вредоносных программ;
4) использование интернет-технологий для
вмешательства во внутренние дела государств, нарушения общественного порядка,
разжигания вражды и пропаганды идей, подстрекающих к насилию [8].
Является всё перечисленное угрозами? С точки зрения
логики – нет! Во-первых, «использование» и «применение» – это не «обещания»
и/или «возможности» причинить вред объекту защиты, во-вторых,
«киберпреступления» – это вид преступной деятельности или события, т.е.
свершившиеся факты, в результате которых некоему субъекту уже причинён вред, а
не возможность его причинения. В-третьих, всё это не угрозы, а методы и
средства их реализации. Кроме того, если перечисленные выше средства и методы
будет использовать РФ в отношении своих оппонентов, это будут уже не угрозы, а обычные
методы ведения боевых действий. Так Россия применяла ИКТ во время
российско-грузинского конфликта для осуществления акта агрессии[5],
а после конфликта – в качестве информационного оружия в политических целях.
Понятно, что всё это делалось в интересах России и с благими целями, но
делалось же. А теперь это всё отнесено к категории угроз. На самом же деле
угрозы это – возможность агрессии, обещание совершения террористического акта,
возможность заражения ЛВС критически важных объектов компьютерными вирусами,
возможность дестабилизации положения в стране из вне и т.п.
В наиболее общем виде угрозами для Российской
Федерации следует считать:
1) деструкцию страны, т.е. нарушение её территориальной
целостности;
2) дисфункцию, т.е. разрушение (нарушение)
социальной коммуникации;
3) ухудшение условий существования, т.е. развал
экономики, формирование негативного имиджа страны как в глазах собственных
граждан, так и международной общественности.
Для реализации этих угроз применяются такие методы как:
- диаспоризация и клерикализация населения
страны;
- дебилизация населения,
навязывание ему антисоциальных целей;
- снижение уровня культуры
населения;
- дегероизации личностей,
отдавших жизнь служению народу и государству;
- «оплёвывания» исторического
прошлого;
- героизации преступности и
преступников;
- насаждения чуждых ценностей,
норм поведения, этических и эстетических стандартов и другие аналогичные.
Всё перечисленное и есть
«информационные угрозы». Потому что для их реализации применяются
информационные технологии. Но, тем не менее, само применение технологий не
является угрозой. Угрозу представляют специально разработанные и специально
используемые приёмы воздействия на информационные объекты, информационные
продукты, информационные ресурсы. Вот
эти приёмы и представляют «угрозу информации»:
- некорректное уничтожение информации;
- искажение информации;
- установка некорректных условий
доступа к информации;
- нарушение установленного порядка
доступа к информации;
- некорректная статусофикация;
- неправомерное изменение статуса информации.
Самая серьёзная угроза для всех субъектов всех
структурных уровней – это угроза безвозвратной потери информации, её
некорректное уничтожение. Не нарушение конфиденциальности, как это прописано во
всех российских нормативных правовых актах (далее – НПА), а именно некорректное
уничтожение. Нарушение конфиденциальности информации это всего лишь вопрос цены
информационного объекта, но не его ценности. Если конкуренту стали известны
параметры нового изделия или технология его производства и он организовал их
копирование, то компания, разработавшая новое изделие, недополучит прибыли. Но
если документация на это изделие будет уничтожена, она не сможет организовать
его производство и не получит ничего, кроме убытков.
Сегодня огромное количество информации создаётся и
хранится только в электронном виде и всё больше текстов, ранее хранившихся на
различных материальных носителях,
переводится в электронный вид. Вероятность безвозвратной потери такой
информации возросла экспоненциально. И связано это не только с возможностью
утраты носителя информации, как было раньше, но, прежде всего, с потерей
возможности осуществить семантический доступ к информации, т.е. утратой возможности
её восприятия. Прочитать информацию, сохранённую на машинном носителе, не имея
соответствующей «машины» и её программного обеспечения, невозможно. Постоянное
совершенствование «машин» и машинных носителей информации вынуждает переносить
информацию с одного носителя на другой, более современный. В процессе переноса
неизбежно что-то теряется. И часто – очень ценное и безвозвратно. Таким образом,
мы рискуем потерять не только важную деловую информацию, но и огромный пласт
культуры. И потому каждый субъект должен проявлять заботу, прежде всего, об
обеспечении сохранности ценной информации, её физической и семантической
доступности.
Самая распространённая и наиболее часто реализуемая
угроза – искажение информации. Искажение или, иначе, некорректная модификация,
может произойти случайно в
результате ошибки, допущенной персоналом, может закономерно вследствие неправильно организованного технологического
процесса, может преднамеренно специально засланным агентом, а может непреднамеренно по незнанию, усталости,
невнимательности и т.п.
Далее по важности следует угроза установки
некорректных условий доступа к информации. Сегодня законодательство РФ объявляет
главной угрозой несанкционированный доступ к информации. В действительности же гораздо
большую угрозу представляет установка некорректных условий доступа к
информации. Сюда следует отнести, например, предоставление свободного доступа к
порносайтам, сайтам, пропагандирующим суицид, терроризм, национализм,
клерикализм и т.д. и не предоставление свободного и бесплатного доступа к
государственной научной библиотеке, образовательным и обучающим программам и
сайтам, информации о деятельности государственных органов власти и органов
власти местного самоуправления, коммерческих предприятий, общественных
объединений и физических лиц.
У нас с 2010 года действует
Федеральный закон от 9 февраля 2009 года № 8-ФЗ «Об обеспечении доступа к
информации о деятельности государственных органов и органов местного
самоуправления», но если вы захотите ознакомиться с информацией о деятельности
какого-либо органа власти, особенно показателях эффективности его работы, вам
вряд ли удастся это сделать. И вполне возможно, что интересующая вас информация
будет иметь место на официальном сайте нужной вам организации, но она будет
размещена там, где вы её никогда не найдёте и ознакомиться с ней не сможете.
Но, скорее всего, её там не будет вовсе. А если, например, органы финансового
контроля (или даже правоохранительные органы) захотят провести проверку
размеров выплаченной работникам заработной платы, они этого не смогут сделать в
силу запретов, введённых 152-ФЗ «О персональных данных». Т.е. в одном случае
есть закон, предписывающий размещать определённую информацию в открытом
доступе, но условия доступа исполнителем установлены не совсем так, как нужно,
т.е. некорректно. В другом случае сам закон устанавливает такие правила доступа
к информации, которые создают угрозу и гражданам, и самому государству.
К категории угроз относится и некорректное
блокирование доступа к социально значимой информации. Подчёркиваю – именно некорректное
блокирование, а не, например, несанкционированное или случайное, как иногда
встречается в литературе по теме информационной безопасности и некоторых НПА.
Блокирование доступа к запрещённому законодательством контенту – священный долг
и почётная обязанность нашего РКН. Это корректное блокирование. И это благо. А
вот если блокирован доступ граждан к госуслугам (не важно, в результате хакерской
атаки или безграмотного администрирования сети) – это некорректное блокирование.
И возможность такого блокирования есть угроза.
Нарушение установленного порядка доступа к информации
– это почти то же, что и несанкционированный доступ. Но только почти. Более
того, я считаю, что несанкционированный доступ нельзя относить к категории
угроз. Во-первых, потому, что это всего лишь один из этапов процедуры, могущей
привести к причинению вреда информации и ущерба её владельцу.
Несанкционированный доступ не всегда приводит к негативным последствиям. На
самом деле несанкционированный доступ (далее – НСД) представляет угрозу не для
информации (ей, как известно, «на всё наплевать») и даже не для её владельца, а
для того, кто этот НСД осуществил. Ведь после того как некто осуществил НСД
даже не причинив никому никакого вреда, он стал нарушителем закона, т.е.
преступником и его могут найти и наказать. Причём, сурово. Даже, если он сделал
это случайно и/или непреднамеренно. Как, например, в ситуации непреднамеренного
прослушивания. Человек случайно оказывается не в том месте и не в то время и становится невольным
свидетелем конфиденциального (ещё хуже – секретного) разговора. По всем
российским законам – лицом, осуществившим НСД к коммерческой (государственной)
тайне, и его можно сажать в тюрьму. Не того, кто разгласил, не убедившись в
безопасности переговоров, а того, кто случайно оказался свидетелем. И всё
потому, что НСД законодательством отнесено к категории угроз.
Термин «нарушение установленного порядка доступа к
информации» длиннее, непривычнее, но намного правильнее. В случае его принятия «непреднамеренное
прослушивание» уже не становится нарушением и тем более преступлением.
Нарушителем (преступником) будет тот, что нарушил установленный законом порядок
доступа к той или иной информации. Обсуждал с коллегами проблему в кафе,
озвучил государственную тайну – получи «по полной». А тот, кто случайно при
этом оказался рядом (осуществил НСД), не виноват, он жертва.
Наибольшую сложность в понимании представляет понятие,
обозначенное термином «некорректная статусофикация». Статусофикация информации
– это процедура присвоения информации определённого статуса. Суть этой
процедуры – отнесение информации к одной из установленных законом категорий с
последующей простановкой на материальном носителе (информационном объекте[6])
соответствующей метки, как то: грифа секретности, пометки конфиденциальности,
реквизитов принадлежности, прав собственности и т.п. Я считаю, что завышение
грифа секретности, неоправданное отнесение информации, необходимой гражданам, к
категории конфиденциальной, отказ в предоставлении открытой информации под
предлогом отнесения её к категории «служебная информация ограниченного
доступа», «врачебная тайна» и т.п. наносит гражданам, организациям и
государству гораздо больший ущерб, нежели утечка подавляющего большинства
информации в полном соответствии с законом отнесенной к категории
конфиденциальной. Так, например, завышение грифа секретности влечёт за собой
резкое увеличение затрат на защиту, резко ограничивает круг лиц, допускаемых к
такой информации, и таким образом резко снижает её функциональность. Именно так
сейчас обстоят дела с пространственными данными. Засекречивание топографических
карт крупного масштаба тормозит внедрение геоинформационных систем (ГИС).
Особенно нуждаются в развитии ГИС-технологий муниципалитеты. Однако многие из
них не в состоянии этим заниматься не столько из-за дороговизны таких работ, а
из-за того, что подоснова
отнесена к категории «государственная тайна». Складывается парадоксальная
ситуация: Google-картами, которые актуальнее и
точнее отечественных, ныне действующих, пользоваться нельзя, потому что они не
имеют статуса официальных, а официальными нельзя, потому что они секретные. Не
меньше вреда приносит и отнесение к категории «государственная тайна» систем
водоснабжения городов и некоторых населённых пунктов. Такую меру объясняют
угрозой совершения террористического акта на объектах водоснабжения и
водоотведения. Террористические акты в Буйнакске и на Дубровке показывают, что
при желании террористы обходят куда более серьёзные запреты и ограничения, а руководители
органов местного самоуправления, кому в первую очередь необходима такая
информация, обойти их не могут, не подпадая под статью уголовного кодекса. Это
не означает, что информацию о системе водоснабжения не нужно защищать, я говорю
лишь о том, что такая информация должна быть правильно статусофицирована, т.е.
отнесена к категории, коррелированной с размерами возможно причинённого ущерба
в случае реализации самых страшных угроз. При этом не следует забывать, что
кроме запретов на пользование информацией, есть организационные и технические
меры защиты соответствующих сооружений.
И наконец,
неправомерное изменение статуса. Неправомерное изменение статуса – это и
незаконная смена собственника (владельца, пользователя) информации, т.е. кража,
съём в т.ч. в результате утечки, и разглашение, и незаконное ознакомление, и
то, что на Западе окрестили «кражей личности»[7]. Другими словами,
если информации корректно (в т.ч. и законно) присвоен определённый статус, то
изменить его можно только по закону. Возможность изменения корректно
установленного информации статуса, минуя закон, – угроза субъекту-владельцу
информации.
Я обрисовал здесь только контуры
общей проблемы выявления и классификации угроз, имеющих отношение к информации
и информационной коммуникации. И как я
уже неоднократно писал, подавляющее большинство перечисляемых в официальных
источниках угроз являются виртуальными, т.е. вымышленными, надуманными, и
никогда не перейдут из категории «возможное» в категорию «действительное», т.е.
никогда не будут реализованы. Более того, основная их масса по своей сути
угрозами не является, а относится к
категории «вызов».
Как не всё то золото, что блестит, так и не всё то
угроза, что мерещится. Детализация
угроз – дело творческое и всегда конкретное.
Как нельзя объять необъятное, так
нельзя выявить все возможные «информационные угрозы» и все «угрозы информации».
Это можно сделать только в отношении конкретного объекта с вполне конкретными
характеристиками и их параметрами. «Угроз вообще» (т.е. безотносительно к
конкретному объекту) не бывает! В том числе и информационных.
Не бывает, как это я отметил выше, и общих
информационных рисков. Рискуют все – рискует правительство, не принимая до сих
пор внятной программы построения в стране «информационного общества» и принимая
абсурдные законы типа 152-ФЗ и подзаконные акты типа ПП-1119. Рискуют предприятия,
организации и учреждения, разрабатывая ГИСы, добывая информацию, необходимую
для обеспечения безопасности бизнеса, но запрещённую к обороту правительством.
Рискуют индивиды, например:
- «утонуть» в море информации;
- «отравиться» информацией;
- заболеть информационной булимией;
- заработать паранойю (манию преследования);
- «проболтаться»;
- «засветиться»;
- «ошибиться» и т.д.
Для индивида это может закончиться:
- формированием искажённой (ложной) картины мира;
- потерей (формированием ложной)
самоидентификации;
- потерей субъектности;
- потерей имиджа;
- потерей информации и активов;
- потерей здоровья и/или свободы и т.д. и т.п.
Только своевременное выявление, правильная
идентификация и тщательное компарирование[8] существующих
и возникающих вызовов, угроз и рисков позволит разработать и принять адекватные
меры по обеспечению безопасности конкретного субъекта и, как следствие, защите
конкретных объектов. Попытки унифицировать и втиснуть все риски и угрозы в
прокрустово ложе одного или даже нескольких НПА – абсолютная утопия. Дело это
творческое, требующее вдумчивости, ответственности, профессионализма. И потому
для его реализации нужны грамотные и ответственные профессионалы.
Литература
1. Атаманов Г.А. Азбука безопасности.
Исходные понятия теории безопасности и их определения // Защита
информации. Инсайд. 2012, № 4, с. 16-21.
2. Атаманов Г.А. Азбука безопасности.
Информационная безопасность: содержание понятия и его определение
// Защита информации. Инсайд. 2013, № 3, с. 8 - 13.
3. Атаманов Г.А. Чему угрожают: информации или её
безопасности? // Защита информации. Инсайд. 2010, № 6,
с. 20-28.
4. Ю.Н. Балуевский; С.Н. Гриняев, Угрозы и вызовы информационной революции.
Среднесрочный прогноз экспертов корпорации РЭНД [Электронный ресурс]. – Режим
доступа: http://flot.com/publications/books/shelf/safety/20.htm,(29.11.2013).
5. Томсон М. Восточная философия / Пер.
с англ. Ю.Бондарева.- М.: ФАИР-ПРЕСС, 2000. С. 217-218.
6. Климов
В. Промышленный шпионаж как основа информационных войн [Электронный ресурс]. – Режим доступа:
http://www.fact.ru/www/arhiv7s7.htm,
(29.11.2013).
7. Пономаренко, В.
Проблема 2033 [Электронный ресурс]. - Режим доступа: http://www.libereya.ru/biblus/pr2033.html,
свободный (13.12.2004).
8. Россия определила основные информационные
угрозы // Сетевой центр русского зарубежья, 01.08.2013 – Режим доступа: http://www.russkie.org/index.php?module=fullitem&id=29997
(12.11.2013).
[1] Общепринятая трактовка
безопасности – состояние защищённости.
[2] Моя трактовка
безопасности - ситуация, при которой объекту безопасности не может быть причинён вред.
[3] Субъекты в зависимости от
уровня структурной сложности делятся на индивида (микроуровень), корпорации или
организации (макроуровень), государства (мегауровень).
[4] Хлеб – пища материальная,
информация – пища интеллектуальная. В гносеологическом плане (т.е. как объекты
познания) они тождественны.
[5] Война, вне зависимости от
того, справедливая она или нет, - это всегда акт агрессии. «Принуждение к миру»
тоже война и тоже агрессия.
[6] Информационный объект –
это совокупность материального носителя и содержащейся на нём информации.
[7] Кража личности (англ. Identity theft) - преступление, при
котором незаконно используются персональные данные человека для получения
материальной выгоды. Термин придуман в 1964. Является неточным, так как
личность украсть невозможно.
[8] Компарирование (от франц. comparer — сравнивать,
сличать), сравнение мер или измеряемой величины с величиной, воспроизводимой
мерой, в процессе измерения / БСЭ.
Библиографическая ссылка: Атаманов Г.А. Азбука
безопасности. Информационные вызовы, риски и угрозы / Г.А.
Атаманов // Защита информации. Инсайд. – 2014. – № 1.
– С. 6 - 12.
Комментариев нет:
Отправить комментарий