Правові механізми формування інформаційної безпеки Естонії

Домінантною рисою сучасних міжнародних відносин є стрімкий розвиток інформаційного суспільства, основу якого складають інформаційно-комунікаційні технології (ІКТ). Для інформаційного суспільства характерне постійне вдосконалення інформаційних технологій й швидкі темпи їхнього впровадження у всі сфери суспільного життя. Результатом є віртуалізація значної частини суспільних відносин (розвиток державних онлайн послуг, е-комерції, дистанційного навчання та ін.) і посилення залежності країн від електронних мереж та інформаційних систем.

Важливими тенденціями сучасного етапу розвитку людства є також інтенсифікація транскордонних інформаційних потоків, поширення різноманітних способів і засобів інформаційного обміну, що практично не контролюються державою. За цих умов набувають поширення нові – інформаційні – загрози та виклики, що вимагають від держав негайного реагування й застосування нестандартних заходів і рішень.

У зв’язку з цим пріоритетним питанням «порядку денного» на міжнародному, регіональному та національному рівнях стає інформаційна безпека. Активну політику в сфері інформаційної безпеки проводить Європейський Союз.

Серед країнЦентрально-Східної Європи, які отримали членство в ЄС, провідні позиції у розробці і впровадженні політики інформаційної безпеки займаєЕстонія.Розробкою і впровадженням політики інформаційної безпеки займається Міністерство економіки та комунікацій, а точніше такі його структурні підрозділи, як Департамент державної інформаційної системи та Естонський центр інформатики [7].

Департамент державної інформаційної системи уповноважений координувати політичну діяльність в сфері інформаційних технологій та розробляти плани в сфері державних адміністративних інформаційних систем, а саме: державні ІТ-бюджети, законодавство в сфері інформаційних технологій, координація ІТ-проектів, ІТ-аудити, стандартизація, міжнародне співробітництво в сфері державних інформаційних систем.

Естонський центр інформатики є виконавчим органом в загальній системі координації державної інформаційної політики та розвитку державного сектору інформаційних технологій. Основне завдання Центру – координувати розробку і управління державною інформаційною системою. До компетенції Центру відноситься управління проектами, включаючи підготовку ІТ-проектів для державних інституцій; проведення моніторингу ситуації з інформаційними технологіями; створення державних реєстрів; розвиток комп’ютерних мереж; вироблення правових засад для сфери інформаційних технологій; здійснення державних закупівель інформаційних технологій тощо.

Міністерством економіки та комунікацій Естонії розроблено національну політику інформаційної безпеки. Основна мета політики Естонії в сфері інформаційної безпеки – створення безпечного і відкритого для міжнародної співпраці інформаційного суспільства. Більш конкретними цілями політики інформаційної безпеки є усунення неприйнятних ризиків, захист основних прав людини, забезпечення обізнаності та тренінгів в сфері інформаційної безпеки, участь у міжнародних ініціативах з е-безпеки, а також підвищення конкурентоспроможності економіки. Державна політикав сфері інформаційної безпеки охоплює п’ять сфер:

1. Співробітництво з питань е-безпеки, що координується Міністерством економіки та комунікацій. Сюди відносяться координація аналізу ризиків естонського ІКТ-середовища, створення і управління естонською комп’ютерною групою швидкого реагування, участь у діяльності Європейської агенції з питань мережевої та інформаційної безпеки, а також координація транскордонних ініціатив.

2. Кризовий менеджмент та кіберзлочинність, що координується Міністерством внутрішніх справ спільно з Міністерством оборони. Ця сфера діяльності включає підготовку плану державного кризового управління, координацію роботи державних і локальних кризових комітетів та координацію міжнародних ініціатив з кіберзлочинності.

3. Освіта і навчання, що координується Міністерством освіти і науки, Міністерством оборони, Міністерством економіки і комунікацій та Державною канцелярією. Діяльність в цій сфері включає здійснення заходів зі зв’язків з громадськістю, проведення тренінгів, створення інформаційних веб-сайтів, розвиток співпраці зі школами тощо.

4. Безпечне е-врядування, що базується на відповідному законодавстві, стандартах та процедурах, таких як безпекові вимоги до баз даних, послуг та державних закупівель. Нормативні питання узгоджуються Міністерством економіки і комунікацій спільно з Міністерством внутрішніх справ.

5. Сфера додатків, що координується Міністерством внутрішніх справ та Міністерством оборони. Сюди відноситься координація завдань, пов’язаних з безпекою додатків, зокрема, розповсюдження ідентифікаційних карток (ID cards), використання інтегрованих засобів передачі й обробки інформації (телематики) в адміністративних мережах.

8 травня 2008 року урядом Естонії затверджено Стратегію кібербезпеки Естонії на 2008-2013 роки. Згідно зі Стратегією, політика кібербезпеки має здійснюватися за такими напрямами, як оцінка уразливості національної критичної інфраструктури, розробка системи превентивних заходів проти кібератак, визначення повноважень в сфері управління кібербезпекою на національному рівні, а також вдосконалення правової бази, підвищення обізнаності громадськості щодо кіберзагроз та посилення міжнародного співробітництва.

Близько ста експертів в області безпеки, політики та ЗМІ з восьми країн на початку лютого зібралися на організовану Державної канцелярією Естонії конференцію «Психологічний захист, медійні та інформаційні загрози». Учасники конференції міркували як про ерозію мультикультуралізму в Західній Європі, так і про роль ЗМІ у поширенні пропаганди і в реалізації «м’якої сили» (soft power). Хоча такі терміни, як “психологічні операції» та «інформаційні війни» у багатьох асоціюються із періодом холодної війни, для аудиторії конференції згадані теми були як і раніше актуальними.

Вже сам склад учасників заходу вказував на те, як до згаданих тем ставиться політичне керівництво Естонії. На конференції виступили Міністр оборони Естонії Яак Аавіксоо, Міністр юстиції Рейн Ланг, представники структур оборони і безпеки держави. Від початку і до кінця у дводенній конференції брав участь Президент Естонії Тоомас Хендрік Ільвес.

Увага влади Естонії до даної сфери має свою передісторію.«У 21-му столітті безпека – це не тільки танки і артилерія», – такі слова в 2007 році після кібератак на установи Естонії виголосив представник НАТО Джеймс Аппатураї. Естонія висунула в якості однієї з цілей бути флагманом Європи в сфері IT. Крім очевидних здобутків, ця мета пов’язана також з додатковими ризиками: державне управління, ЗМІ та приватні підприємства стають все більш залежними від безпеки в інтернет-середовищі. У 2007 році згадані ризики перетворилися на реальну загрозу, приблизно протягом двох тижнів ряд міністерств, банків і провідних ЗМІ підпадали під атаки хакерів.Добре організовані атаки сприяли створенню в 2008 році в Таллінні Центру кіберзахисту НАТО (Cooperative Cyber Defence Centre of Excellence). Як наголошується на сайті згаданого центру, сучасні військові фахівці готуються використовувати кіберпростір як паралельне поле бою в конфліктах майбутнього.[7]

 

Національна стратегія кібербезпеки базується на таких принципах:

- інтеграція планів дій з кібербезпеки у систему національної безпеки;

- координація дій усіх зацікавлених сторін як державного, так і приватного секторів;

- високий рівень соціальної обізнаності щодо загроз у кіберпросторі та готовності реагувати на них;

- співробітництво з міжнародними організаціями та іншими країнами для посилення кібербезпеки;

- захист прав людини, персональних даних та ідентичності тощо.

У документі визначено такі стратегічні цілі Естонії у сфері кібербезпеки:

1. створення багаторівневої системи безпекових заходів;

2. розширення компетенції та обізнаності громадян країни з питань інформаційної безпеки;

3. правове регулювання питань кібербезпеки;

4. зміцнення позиції Естонії як однієї з країн-лідерів у міжнародній співпраці в сфері кібербезпеки.

При створенні багаторівневої системи безпекових заходів пріоритетне значення надається захисту критичної інформаційної інфраструктури, розробці і впровадженню заходів безпеки та організаційному співробітництву.

Діяльність щодо захисту критичної інформаційної інфраструктури включає:

- визначення послуг, необхідних для функціонування критичної інформаційної інраструктури;

- визначення взаємозалежності критичної інфраструктури та критичної інформаційної інфраструктури;

- розробка загальної методології оцінки уразливості інформаційних систем критичної інфраструктури;

- збір та обробка інформації щодо поточної ситуації у кіберпросторі для планування превентивних заходів та контрзаходів у сфері національної кібербезпеки.

Розробка та впровадження системи заходів безпеки передбачає визначення додаткових засобів безпеки інформаційних систем; визначення мінімального рівня функціональності інформаційної інфраструктури та забезпечення цього рівня функціонування у кризовій ситуації; визначення заходів протидії у надзвичайній ситуації, якщо на об’єкти критичної інфраструктури здійснено атаку; вироблення економічно прийнятних й оптимальних методів забезпечення інформаційної безпеки; розробка методів тестування для засобів безпеки; вдосконалення систем ідентифікації та моніторингу електромангітного впливу на критичну інфраструктуру; зміцнення інфраструктури Інтернет; підвищення безпеки систем контролю (наприклад, SCADA (Система управління і збору даних) - автоматизована система управління і контролю, що використовуються в промисловості); перевірка рівня безпеки об’єктів критичної інформаційної інфраструктури з точки зору електромагнітних впливів.

Контроль за впровадженням заходів безпеки для критичної інфраструктури здійснює Міністерство внутрішніх справ та Міністерство економіки і комунікацій у співробітництві з іншими міністерствами, що відповідають за різні сектори критичної інфраструктури.

Для зміцнення організаційного співробітництва передбачено реалізацію таких заходів:

- створення Ради з кібербезпеки в Комітеті з питань безпеки естонського уряду, уповноваженого втілювати у життя cтратегію кібербезпеки;

- визначення повноважень структурного підрозділу Міністерства економіки і комунікацій, що відповідає за безпеку державних інформаційних систем;

- вдосконалення методів оцінки ризиків, розроблених міністерствами та використання цих методів в сфері кібербезпеки;

- створення експертної робочої групи (яка надаватиме професійні поради Раді з кібербезпеки), уповноваженої виявляти прогалини в інформаційній безпеці, визначати необхідні ресурси для оновлення безпекових заходів та обмінюватися оперативною інформацією;

- формулювання пропозицій для внесення поправок у національне і міжнародне законодавство;

- координація заходів щодо підвищення обізнаності в сфері кібербезпеки та визначення органу, відповідального за проведення цих заходів.

Основними способами підвищення компетентності в сфері кібербезпеки визначено організацію навчань (тренінгів) з питань кібербезпеки та проведення досліджень. Сюди відноситься, зокрема, встановлення вимог до знань в сфері інформаційної безпеки та кіберзахисту для робітників державного і приватного секторів та впровадження відповідної системи оцінювання; підвищення рівня підготовленості до кризових ситуацій в державному та приватному секторах; створення в Естонії під егідою НАТО Центру експертизи з питань кооперативної кібер-оборони (NATO Cooperative Cyber Defence Centre of Excellence).[4]

Діяльність щодо правового регулювання сфери кібербезпеки включає розробку правових визначень кібербезпеки та кіберзлочину; впровадження законодавства щодо питань кібербезпеки, включаючи запровадження обов’язкових заходів та стандартів безпеки і встановлення мінімальних вимог до безпеки інформаційних систем; започаткування ініціатив у законотворчій діяльності на міжнародному рівні тощо.

Діяльність щодо зміцнення міжнародної співпраці з питань кібербезпеки передбачає винесення проблем кібербезпеки на міжнародний «порядок денний»; сприяння ратифікації країнами Конвенції Ради Європи про кібезлочинність; обговорення проблем кібербезпеки на конференціях, семінарах та форумах; надання підтримки міжнародним корпораціям, асоціаціям, дослідницьким інститутам та неурядовим організаціям, які займаються проблемами кібербезпеки; просування кращої практики в сфері кібербезпеки на міжнародному рівні; направлення представників Естонії до експертних груп міжнародних організацій, задіяних в сфері кібербезпеки.

Важливу роль у вирішенні проблем інформаційної безпеки в Естонії відіграє Естонська інспекція захисту даних. Це установа державного нагляду, основними напрямами діяльності якої є [11]:

- надання правової допомоги і здійснення контролю (надання порад, роз’яснення, розгляд скарг, здійснення перевірок, участь у діяльності європейських організацій з питань захисту даних);

- створення баз даних державного сектору;

- реєстрація обробки конфіденційних персональних даних;

- авторизація обробки даних (авторизація обробки даних для наукових або статистичних цілей без згоди людини, авторизація передачі персональних даних з недостатнім рівнем захисту до зарубіжних країн);

- здійснення адміністративного примусу та виконання наказів щодо правової відповідальності тощо.

Інспекція здійснює нагляд за власниками інформації та особами, які обробляють персональні дані. Крім приватного сектору, діяльність Інспекції охоплює усі державні установи. У випадках, коли інтереси по захисту персональних даних протирічать інтересам щодо розголошення інформації, роль Інспекції полягає у тлумаченні та застосуванні правових норм так, щоб забезпечити збалансований захист обох благ.

З 2006 року в Естонії працює Комп’ютерна група швидкого реагування (CERT Estonia) – організація, відповідальна за управління безпековими інцидентами в національних комп’ютерних мережах (точніше, мережах домену «.ee»). Організація надає допомогу естонським Інтернет-користувачам у реалізації превентивних заходів, з метою мінімізації шкоди від безпекових інцидентів та у реагуванні на загрози безпеці. Обсяг підтримки, що надається CERT Estonia, залежить від типу та серйозності безпекового інциденту, від кількості потенційно постраждалих користувачів та наявних в організації ресурсів.

Комп’ютерною групою швидкого реагування Естонії надаються такі послуги:

- управління інцидентом – прийняття повідомлень про інцидент, пріоритизація інцидентів залежно від рівня серйозності; аналіз інциденту; надання допомоги у реагуванні на інцидент; координація дій з реагування на інцидент;

- інформування і попередження – інформування користувачів про атаки, віруси, «хробаків», «троянів» в мережах домену першого рівня «.ee» та сповіщення про уразливі місця, виявлені у найбільш популярних в Естонії системах і додатках.

CERT Estonia не надає послуг кінцевим користувачам, тому у разі безпекового інциденту користувачі мають звертатитися до системних адміністраторів їхнього Інтернет-провайдеру, до мережевих адміністраторів або до служби підтримки споживачів.

В Естонії також функціонує декілька неурядових організацій, які роблять свій внесок у зміцнення інформаційної безпеки держави. Серед них - Фонд Look@World та Центр сертифікації.[8]

У 2001 році десять провідних компаній Естонії створили Фонд Look@World з метою підвищення кількості Інтернет-користувачів в країні.Фондом реалізовано такі проекти, як тренінги з користування комп’ютерами та мережею Інтернет для 100,000 громадян, створення середовища eSchool, відкриття 500 пунктів доступу до мережі Інтернет.

23 травня 2006 року основні учасники Фонду Look@World та Міністерство економіки і комунікацій Естонії підписали договір про співпрацю щодо започаткування загальнонаціональної ініціативи під назвою «Computer Protection 2009». Мета проекту – перетворити Естонію на країну з найбільш безпечним інформаційним суспільством у світі до 2009 року [14]. Ініціатива відома під назвою «Look@World 2». Впродовж трьох років партнери Фонду Hansapank, EMT, SEB Eesti Ühispank та Elion фінансують ініціативу у розмірі 3.83 мільйонів євро.

За договором, сторони зобов’язуються забезпечити стійкий розвиток е-послуг та ІТ-рішень, що надаються державою та приватним сектором; дати можливість користувачам е-послуг активно брати участь у захисті інформаційного суспільства, зберігаючи при цьому стабільне середовище та довіру до цих послуг; сприяти заходам із підвищення обізнаності та вдосконалення навичок, пов’язаних із ІТ-безпекою; створити умови для підвищення простоти, доступності та зручності у користуванні апаратних засобів та програмного забезпечення.

Сторони домовилися об’єднати зусилля для забезпечення розробки і впровадження додатків на базі ідентифікаційної картки (ID card) та сучасної криптографічної системи з відкритим ключем.

Згідно з договором внесок Міністерства економіки і комунікацій Естонії у реалізацію інціативи полягає у наступному:

- надання пріоритетного значення питанням інформаційної безпеки під час розробки стратегій та законодавства стосовно інформаційного суспільства і забезпечення ефективної діяльності Комп’ютерної групи швидкого реагування Естонії;

- використання рішень, що враховують можливості ідентифікаційної картки у розвитку нових безпечних публічних е-послуг та у функціонуванні державної адміністрації;

- сприяння діалогу з питань безпеки мережі Інтернет між державним і приватним секторами;

- пошук і обмін інформацією про програми ЄС, спрямовані на розвиток безпечного інформаційного суспільства;

- поширення досвіду Естонії в сфері електронної ідентифікації в країнах ЄС та полегшення обміну кращим досвідом з іншими країнами;

- участь у розробці та просуванні системи показників безпеки Інтернет та реалізації аналітичних досліджень щодо використання ідентифікаційних карток та е-послуг.

Діяльність Фонду Look@World в рамках ініціативи «Computer Protection 2009» полягає у наступному:

- просування і пріоритетний розвиток ідентифікаційних карток;

- інтеграція ідентифікаційної картки та інших механізмів ідентифікації на базі технології PKI (Public Key Infrastructure) у свої послуги та забезпечення максимального використання цифрового підпису у бізнес-процесах;

- інвестування в інфраструктуру та подібні послуги;

- проведення тренінгів та надання інформації естонським громадянам щодо користування ідентифікаційною карткою в електронних системах;

-розробка і впровадження нових послуг, що базуються на ID-картках;

- надання консультацій підприємствам та установам щодо розвитку послуг на базі ідентифікаційних карток;

- реалізація заходів щодо підвищення громадської обізнаності в сфері інформаційної безпеки, зокрема створення і підтримку порталу, присвяченого безпеці інформаційних технологій;

- поширення інформації про безпеку інформаційних технологій через засоби інформації;

- розробка показників Інтернет-безпеки та їхнє просування.

З метою інформування громадськості про ідентифікаційну картку як найбільш простий та безпечний механізм самозахисту під час використання е-послуг створено сайт http://koolitus.id.ee, на якому пояснюється, чому необхідна ідентифікаційна картка, як її отримати, як нею користуватися, як зробити електронний підпис тощо. Інформація доступна естонською та російською мовою. Крім того, створено сайт, де розміщено корисну інформацію з питань безпеки інформаційних технологій: www.arvutikaitse.ee (естонська версія), www.infosecurity.ee (російська версія).

У лютому 2001 року двома провідними банками Естонії Hansapank і SEB спільно з двома телекомунікаційними компаніями Elion і EMT створено Центр сертифікації. Це єдина установа в Естонії, яка видає сертифікати на аутентифікацію та електронний підпис для ID-карток. Основна функція Центру – забезпечення надійності та цілісності електронної інфраструктури для ідентифікаційних карток. Центр не лише видає сертифікати на ідентифікаційні картки, але й надає послуги, пов’язані із юридичною дієвістю сертифікатів та використанням електронних підписів. Послугами Центру користуються естонські банки, судові органи і нотаріуси, правоохоронні органи, Республіки Латвія та Литва та багато інших [11].

Центром сертифікації та його партнерами створено безпечну, надійну й зручну технологію DigiDoc, яка дозволяє створювати електронні підписи у будь-яких формах комунікації. Технологія, яка стала стандартом в Естонії, використовується здебільшого державним сектором (судами, урядом, органами місцевого самоврядування, банками тощо).

Таким чином, в рамках ЄС інформаційна безпека розглядається, насамперед, як такий стан інформаційних мереж і систем, що забезпечує достатній рівень захисту цілісності, доступності й конфіденційності інформації та належний рівень протидії зовнішнім негативним впливам. Відповідно одним з пріоритетів політики країн ЄС в сфері інформаційної безпеки є розробка і впровадження програм та різних технічних засобів, які дозволяють підтримувати певний рівень захисту інформаційно-комунікаційних технологій. Поряд з цим, значна увага в рамках ЄС приділяється правовим засадам інформаційної безпеки, що передбачає розробку нормативно-правових актів, які б встановлювали перелік злочинів, пов’язаних із інформаційними технологіями, й визначали відповідну кримінальну відповідальність. Іншим пріоритетом політики ЄС є інформаційна безпека громадян. По суті це високий рівень обізнаності громадськості щодо ризиків та загроз, пов’язаних з інформаційними технологіями, та щодо способів захисту своїх інформаційних систем/мереж від небажаних впливів. Сюди відноситься не лише протидія кібератакам, але й захист персональних даних, виявлення шкідливого контенту в мережі Інтернет тощо.