Помощник президента России Игорь Щеголев в интервью РБК — о необходимости защиты информационной инфраструктуры, допуске правительств к управлению интернетом и возможности замедления скорости доступа к сайтам компаний, нарушающих российские законы.
В июле 2014 года в России прошли «цифровые учения». Силовые ведомства, включая ФСО и Минобороны, специалисты «Ростелекома» и Координационного центра национального домена сети «Интернет» под руководством главы Минкомсвязи Николая Никифорова оценивали состояние защищенности и стабильности функционирования Рунета «в случае негативного целенаправленного воздействия».
Эти учения, говорит помощник президента Игорь Щеголев, показали уязвимость российского интернета. Перед профильными ведомствами была поставлена задача — предложить меры по защите от внешних угроз.
Спустя два года, в ноябре 2016 года, Минкомсвязь представила предложения, суть которых — обеспечить функционирование интернета внутри страны в случае отключения России от Сети. А еще через месяц, в декабре 2016 года, правительство внесло в Госдуму законопроект «О безопасности критической информационной инфраструктуры РФ», разработанный ФСБ. Документ, в частности, предусматривает создание реестра значимых объектов критической информационной инфраструктуры и введение уголовной ответственности за кибератаки на них.
Что угрожает миру и стабильности в Рунете и какие ограничения ждут в связи с этим его пользователей, Игорь Щеголев рассказал в интервью РБК.
«Отключать страну от интернета в целом задачи нет»
— Угроза для Рунета действительно существует и требуются особые меры защиты? — Были учения, они показали на техническом уровне, что она существует. Угроза не гипотетическая, она практическая. Это показывают и события последних лет, когда целые страны внезапно на несколько дней отключались от интернета. Был случай Северной Кореи, был случай Сирии. Есть материалы, подтверждающие, что по меньшей мере в одном из этих случаев это было результатом целенаправленного воздействия. Пересмотрите фильм «Сноуден», если хотите понять, как это делается. Мы слишком большая страна и экономика, чтобы позволить себе жить с этой угрозой. — Специалисты говорят, что сделать интернет полностью автономным в какой-то стране невозможно. — У нас нет задачи сделать так, чтобы интернет был автономен, чтобы мы были отключены от внешнего мира. В случае целенаправленного внешнего воздействия, которое не будет бесконечным, а будет длиться какое-то время, внутри страны наш интернет должен сохранять работоспособность. Такая задача стоит. А отключать страну от интернета в целом и чтобы все происходило только у нас внутри, задачи нет. — Эта задача актуальна вне зависимости от того, что происходит во внешней политике? — Речь идет о том, как устроен интернет, именно поэтому Россия предлагает сделать систему управления интернетом более прозрачной. Если будет некий международный документ, юридически обязывающий, который даст нам гарантии от подобного рода действий и который будет налагать некие санкции на тех, кто эти действия инициирует, то нам будет жить спокойнее. Тогда, может быть, нам и не понадобится на инженерном уровне себя защищать. Но с нами не хотят разговаривать об этом, нам говорят: «Вы — правительство, вы ничего не понимаете в интернете, поэтому ваше место десятое. У нас есть набор экспертов, международных светил, они будут решать судьбу международного интернета,так называемое многостороннее сообщество».
Нас это не устраивает. Мы долгое время вели дискуссию на международном уровне, говорили, перед тем как инициировать внесение подобного рода инициатив, продолжаем настаивать: «Давайте все-таки определим, что интернет перестал быть изобретением, которое может быть собственностью одной страны». — Вы имеете в виду реформу ICANN — корпорации по управлению доменными именами и IP-адресами всего мира? Вас не устраивает, что от управления ICANN отстранили Министерство торговли США и с 1 октября 2016 года функции координации перешли к некоммерческой корпорации по обеспечению общественных интересов? — Нам говорят, что судьбу интернета теперь будет решать некая автономная организация, которая зарегистрирована в Калифорнии и живет по законам Соединенных Штатов Америки, а решения в ней принимают директора. Они, конечно, светила, может быть, очень умные люди. Но по «счастливому» стечению обстоятельств это представители США, Канады, Новой Зеландии и Австралии.
То, как реформа была проведена, точно ситуацию не улучшило. До этого хотя бы можно было предъявить претензии правительству США, если что-то происходило. А сейчас это некая автономная или некоммерческая организация, которая просто работает по американскому праву. И американские чиновники могут сказать: «Мы здесь ни при чем. Идите в суд в Калифорнии и судитесь с этими ребятами». —Те, кто выступают за независимое управление ICANN, считают, что правительства не должны влиять на принятие решений… — Давайте разберемся на примере телефонной связи. Больше 150 лет телефонная связь в мире регулируется Международным союзом электросвязи, который сейчас находится под эгидой ООН. Эта организация возникла за 80 лет до ООН. И телефонная связь во всем мире работает, несмотря на то что на правительственном уровне согласовывается то, как ее развивать.
Поэтому возможное негативное влияние правительств — это слабый аргумент.
Между прочим, многие представители американских интеллектуальных и политических кругов признают, что существующая модель эффективна, но нелегитимна. Это не мои слова, это сказал Джозеф Най, автор термина «мягкая сила», который работал в Госдепартаменте и Министерстве обороны США, а сейчас входит в разного рода проамериканские неправительственные организации по управлению интернетом. Мы настаиваем на том, что роль правительств должна быть четко прописана и что она не может быть просто совещательной. — Значит, Россия будет добиваться изменений в управлении ICANN? — Мы считаем, что должны продолжать дискуссию, договариваться. Нелегитимность никуда не денется, все время будут возникать вопросы: как управляется интернет, что с ним происходит? Страны будут вынуждены искать технические и юридические решения, которые их в этой ситуации защищают. Одно из таких решений — это законопроект о российском сегменте сети «Интернет». — Вы имеете в виду проект изменений закона «О связи», подготовленный Минкомсвязи в ноябре 2016 года и фактически предполагающий создание в России автономного интернета? Как это поможет в диалоге об управлении ICANN? — Это инструмент по обеспечению нашей безопасности. Зарубежные коллеги будут понимать, что в мире идут процессы, которые, может быть, заставят их задуматься над тем, чтобы все-таки провести настоящую реформу международного управления интернетом. — В конце декабря в Госдуму были внесены предложения от ФСБ, которые предполагают уголовную ответственность за кибератаки на объекты так называемой критической информационной инфраструктуры. Нет ли здесь избыточности в защите Рунета? — Эти законопроекты друг друга дополняют. Критическая инфраструктура — это не новое понятие, не мы его вводим, оно существует в мире, в ряде стран уже приняты законы, которые определяют политику государства по отношению к такой инфраструктуре. Конечно же, она должна быть защищена, потому что в случае ее отказа могут перестать функционировать целые отрасли экономики, системы государственного управления.
В том, что касается российского сегмента сети «Интернет», он в целом уязвим. Отдельные его элементы будут представлять собой часть критической инфраструктуры, но в целом весь наш интернет, и критическая, и некритическая инфраструктура уязвимы по отношению к внешнему воздействию, целенаправленному или случайному.Уязвимость была подтверждена. После этого была поставлена задача, в частности, перед Минкомсвязи — предложить меры, как наш российский сегмент интернета защитить. На это и направлен их законопроект.
«Просто в диалоге убедить крупнейшие интернет-компании не получается»
— Сейчас обсуждаются изменения еще в один закон, вызвавший много споров в отрасли, — так называемый пакет Яровой, по которому операторы связи и интернет-площадки должны хранить записи аудиозвонков и содержание переписки. Что, по вашему мнению, в нем нужно поменять? — Большинство законов, которые регулируют отношения в интернете, воспринимались сообществом и участниками рынка очень настороженно. И, как показывает практика, ничего трагичного не происходит, после того как законы заработали.
Что касается так называемого закона Яровой, то не нужно забывать, что он направлен на защиту от терроризма. И многое будет зависеть от того, как он будет реализовываться, от тех подзаконных актов, которые будут приниматься правительством. Если будут минимизированы объемы хранения трафика, исключено дублирование тех сведений, которые будут накапливаться в разных системах,то его исполнение отрасли вполне под силу. — Отраслевые рабочие группы, которые вы курируете, обсуждают оптимизацию положений этого закона? — Напрямую — нет. Но в том, что касается в целом подхода к работе с большими пользовательскими данными — как она должна быть выстроена, по каким принципам проходить, — такая работа ведется. И косвенно это может повлиять в том числе и на способы реализации «закона Яровой». — Можете пояснить? — Пока нет окончательного решения, мы еще не договорились, но эта проблема была поставлена в рамках нашей рабочей группы (при администрации президента, созданной в декабре 2015 года. — РБК) — относительно больших пользовательских данных. Нужно понять, как государство будет их защищать, какие механизмы будут для этого применяться, какие данные допустимо накапливать, каким образом это делать. По мере того как мы будем находить ответы на эти вопросы, можем продвинуться и в способах реализации «закона Яровой». — Законопроект о регулировании больших пользовательских данных должен появиться до конца весны. Предполагается, что в том же документе может быть прописано ограничение скорости доступа к сайтам компаний, которые нарушают российские законы. Например, его можно будет применить к компании Google, которая не исполняет предписание российской ФАС об устранении нарушений закона «О конкуренции». ФАС требует, чтобы Google разрешила предустановку сервисов других компаний в устройствах, работающих под управлением операционной системы Android. — Нет, это разные понятия — регулирование больших пользовательских данных и ограничение скорости доступа. Эти направления никак друг с другом не связаны. — Но идея ограничения скорости доступа к отдельным сайтам действительно обсуждается? Вы участвуете в дискуссиях? — Предпочел бы обсуждать саму идею. Она мне кажется вполне здравой. Пока ни одна страна в мире не нашла адекватных способов быстрого и эффективного диалога с крупнейшими интернет-компаниями. Безусловно, у нас ведется поиск инструментов, как их убедить исполнять российское законодательство, решения наших государственных органов и судов. Просто в диалоге убедить их не получается. Полная блокировка — это слишком радикальный способ. Если в качестве одной из мер будет признано возможным и целесообразным замедление трафика, то это, может быть, отрезвит мировых гигантов, которые всячески стремятся злоупотреблять своим монопольным положением на нашем рынке и не спешат исполнять решения российских властей. — Замедление доступа к сайту в любом случае будет негативно отражаться на пользователях. — Скорее на сервисах. У пользователей будет возможность работать с аналогичными сервисами российских компаний.
«У пользователя должно появиться больше возможностей влиять на судьбу тех данных, которые о нем получены»
— Вернемся к большим пользовательским данным. Когда может быть подготовлен соответствующий законопроект? — Мы непосредственно подготовкой этого документа не занимаемся, мы обсуждаем идеи. Надеюсь, в течение этого года идеи будут сформулированы, а дальше станет понятен график работы с возможным законопроектом. Пока прогнозов нет. — Какие идеи обсуждаются? Есть предположение, что регулирование больших пользовательских данных будет продолжением уже существующего регулирования персональных данных россиян. Это так? — Вполне возможно, что так и получится. С развитием промышленного интернета и интернета вещей объем данных, по которым можно будет однозначно вычислить человека, с которым эти данные связаны, будет увеличиваться. И не всегда эти данные могут быть квалифицированы напрямую как персональные. Уже сейчас есть явления, которые находятся на грани, в серой зоне, просто пока эта зона не отрегулирована. Когда, например, операторы связи передают данные об абонентах банкам и другим компаниям. Строго говоря, они собирают данные о пользователях, которые прямо не прописаны в законе о персональных данных. Но они явно были собраны не в тех целях, на которые давал согласие абонент. Как с этим быть? — Вы считаете, что это надо запретить? — Нет, мы не хотим запретить. Хотим, чтобы у пользователя появилось больше возможностей влиять на судьбу тех данных, которые о нем получены. Раз уж такие данные могут начать влиять на судьбу хозяина. — Пользователи всегда выступают против всего, а для компаний продажа пользовательских данных — это способ заработать в условиях, когда все остальные источники дохода падают. — Мы не собираемся перекрывать источники доходов. Пользователи, когда подписывались под пользовательскими соглашениями, понимали, что их данные нужны для того-то и того-то. Но с течением времени их стали использовать по-другому. У людей должно быть понимание, что о них собирается и для каких целей это используется. Должна быть возможность сказать: «Для этого я готов такие-то данные предоставлять и готов, чтобы они таким образом использовались, а для этого не готов. Поэтому, будьте любезны, эти данные обо мне больше не используйте». Мы здесь опять-таки не пионеры. В Европейском союзе такое регулирование тоже вводится. Там не только обсуждаются подобного рода меры, но некоторые уже принимаются в рамках реформы телекоммуникационного рынка и защиты персональных данных.
«Кто-то что-то подслушивает, подсматривает, расставляет какие-то сервера…»
— Помимо защиты непосредственно Рунета постоянно возникают инициативы по переходу на отечественное оборудование, программное обеспечение, создание специального мессенджера для госслужащих... Это все действительно так необходимо? Или все это лоббизм с целью заработать на государственных заказах? — Не вижу ничего плохого в том, что у нас есть компании, которые хотят продвигать свои продукты и зарабатывать на этом деньги. В этом, по-моему, смысл той экономики, в условиях которой мы живем.
Мы регулярно получаем подтверждения, что наша телекоммуникационная инфраструктура не в должной степени безопасна. Кто-то что-то подслушивает, подсматривает, расставляет какие-то сервера, которые за кем-то следят, забирается к нам домой через смарт-телевизоры. И что, государство должно просто с этим смириться? Мы видим, что значительную часть проблем можно устранить только через импортозамещение. Хотя бы на тех направлениях, где это необходимо для государственной безопасности — экономической, информационной, физической и так далее. — Здесь вопрос целеполагания государства. Оно заботится только о безопасности от внешней угрозы или может нести угрозу для своих граждан, чрезмерно внедряясь в телекоммуникационные сети и нарушая границы приватности? — То есть то, что американское или другое государство внедряется в наши сети и подсматривает за нашими гражданами, опасений не вызывает? — Думаю, у многих граждан вызывают больше опасений российские спецслужбы. При этом предполагается, что от действий американских спецслужб защитит правительство, а кто от российских — непонятно. — Подобного рода вопросы задавались, как мне кажется, не мне одному, и ни в одном случае я не слышал, что кто-то в нашем государстве намерен допускать злоупотребления со стороны наших спецслужб по отношению к нашим гражданам. Поэтому совершенно точно могу сказать, что то, о чем идет речь, — это защита от внешних факторов.
«Большинство законов, которые регулируют отношения в интернете, воспринимались сообществом и участниками рынка очень настороженно. И, как показывает практика, ничего трагичного не происходит, после того как законы заработали»