Особенности национальной политики информационной безопасности в условиях глобализации

Яблочкин Александр Сергеевич аспирант, кафедра политологии и социологии, ФГБОУ ВО «Российский экономический университет имени Г.В. Плеханова» 117997, Россия, г. Москва, ул. Стремянный Переулок, 32, оф. 340 (корп. 1) Yablochkin Aleksandr Sergeevich Postgraduate student, the department of Political Science and Sociology, Plekhanov Russian University of Economics 117997, Russia, g. Moscow, ul. Stremyannyi Pereulok, 32, of. 340 (korp. 1) alexander7985@bk.ru Другие публикации этого автора

Кошкин Андрей Петрович доктор политических наук профессор, кафедра политологии и социологии, ФГБОУ ВО «Российский экономический университет имени Г.В. Плеханова» 117997, Россия, г. Москва, ул. Стремянный Переулок, 32, оф. 340 (корп. 1) Koshkin Andrey Petrovich Doctor of Politics Professor, the department of Political Science and Sociology, Plekhanov Russian University of Economics 117997, Russia, g. Moscow, ul. Stremyannyi Pereulok, 32, of. 340 (korp. 1) 160957@mail.ru Другие публикации этого автора

В глобализированном, сетевом и насыщенном информацией мире информационная безопасность имеет решающее значение для государств. Совокупность факторов и действующих лиц, включая различные политические и экономические интересы, процессы разработки политики, типы правительств и технические знания, в совокупности создают разрозненные политики в области информационной безопасности в разных государствах. В литературе по информационной безопасности мало внимания уделяется важному вопросу о различиях в политике в области информационной безопасности между государствами, особенно различиям между политикой в авторитарных и демократических государствах и тому, как различные процессы разработки политики способствуют этим различиям. Рассматривают ли авторитарные и демократические правительства политику информационной безопасности одинаково или по-разному, и с учетом ли напряженности между различными субъектами и заинтересованными сторонами при различных типах режимов. Что может наилучшим образом объяснить эти сходства или различия?

Политика, как правило, подразделяется на две широкие категории: а) конкретные меры политики, которые принимаются правительствами, и б) меры политики, которые предлагаются, но не могут быть приняты, и обсуждения, связанные с этими предложениями. В контексте информационной безопасности мы задаем следующий вопрос: какие виды информации защищают правительства? Какие аргументы используют правительства для оправдания защиты этой информации? Ответ на второй вопрос заключается не только в том, что правительства могут делать то, что они хотят, пока они связывают это с национальной безопасностью. Это особенно верно в тех случаях, когда задействовано большое число субъектов и интересов и требуется больше координации для изменения статус-кво.

Существует две проблемы в понимании того, как государства решают вопросы политики информационной безопасности. Во-первых, существует множество субъектов, как государственных, так и частных, заинтересованных в том, как функционирует политика информационной безопасности. Однако эти акторы не работают в вакууме. Они ограничены политическими, идеологическими и институциональными факторами. Это приводит ко второй проблеме, которая заключается в том, что институциональный характер правительства (будь то демократическое или авторитарное) также влияет на то, как оно решает эти вопросы. В то время как директивные органы и частные субъекты как в демократических, так и в авторитарных странах взаимодействуют в целях обеспечения сохранности того, что они считают жизненно важной информацией, эти взаимодействия могут различаться в зависимости от типа режима. Следовательно, процесс разработки политики может напоминать «перетягивание каната» в странах, в которых полномочия в области разработки политики размыты. В этих странах взаимодействие между политиками и частными субъектами «тянет» политику в том или ином направлении в зависимости от политического и идеологического климата. В такой среде редко можно обнаружить, что политика информационной безопасности полностью подчинена одному образу мышления. Однако это в меньшей степени относится к случаям концентрации директивных полномочий, как это имеет место в авторитарных правительствах. Несмотря на то, что в этом заинтересованы несколько субъектов, они менее способны влиять на политику, которая соответственно становится меньше похожа на «перетягивание каната» и больше ориентирована на собственные интересы государства.

Когда речь заходит о защите информации, правительства по-разному занимаются разработкой политики. В частности, широкий круг субъектов и интересов, вовлеченных в процесс разработки решений в демократиях, создает уникальную напряженность, которой нет в авторитарных странах, где доступ может быть более ограниченным, а процесс разработки политики более централизованным. Несмотря на эти идеалы, есть литература, которая предполагает, что демократии не всегда могут соответствовать своим заявленным идеалам, особенно тем, которые касаются информационной прозрачности и в периоды, когда сталкиваются с угрозами ^[22]. Для оценки этих идей в контексте политики информационной безопасности в настоящем исследовании рассматривается набор данных из реализуемых и разрабатываемых национальных политик информационной безопасности стран всего мира. Полученные результаты свидетельствуют о том, что разработка политики в области информационной безопасности в демократических странах напоминает «перетягивание каната» с участием нескольких субъектов, в ходе которого процесс принятия решений редко приводит к значительным изменениям или адаптации действующей политики ^[4]. Это отличается от процесса разработки политики в автократических странах, который по-прежнему является «перетягиванием каната», но включает в себя меньше субъектов и менее разнообразный набор интересов. Эти выводы согласуются с общими представлениями о демократии и автократии. Однако существуют исключения из этих общих выводов, особенно когда демократии сталкиваются с серьезными угрозами национальной безопасности.

Формирование политики в области информационной безопасности и государственное управление. Значительная часть государственного вмешательства в информационную безопасность осуществляется в двух крупных категориях: 1) военные и оборонные и 2) защита прав потребителей/идентичности, хотя есть и другие. Например, М. Либицки изложил структуру того, как Министерство обороны США понимает информационную безопасность, предоставив некоторые важные широкие концепции, которые могут применяться в различных случаях и, возможно, даже в других странах ^[15].

Со стороны потребителя Б. Салливан дает обзор политики, которая защищает (но, часто не защищает) личность потребителя. Б. Салливан представляет то, что он называет «кафкианскими испытаниями», с которыми сталкиваются люди, когда их личные права нарушены, но вместо полезной политики для некоторого возмещения урона они находят «неэффективность правительства и безразличие правоохранительных органов» ^[28]. Но какие субъекты и интересы должны объединиться, чтобы подтолкнуть политику в направлении, которое будет работать? Какие стратегии и обоснования они могут использовать для этого?

Как с демократическими, так и с авторитарными правительствами существует большое разнообразие факторов, которые играют роль в том, как государство создает политику информационной безопасности. Они содержатся в письменных документах, таких как конституции, а также те неформальные практики в виде культурных, политических и экономических правил участия, которые являются просто частью функционирования страны и общества.

Когда речь заходит о демократии и информации, существует общее мнение, что демократии должны стремиться к транспарентности в своей политике и действиях перед гражданами и другими странами ^[10]. Руководствуясь этими идеалами, директивные органы должны строить свою политику в области информационной безопасности на основе цели создания общества открытого доступа, в котором информация является доступной, а государственные процессы прозрачными. Отстаивая преимущества такого подхода и подотчетности политических акторов электорату, некоторые сторонники этой точки зрения признают, что даже в демократических обществах для защиты жизненно важных государственных интересов может быть необходима более жесткая форма информационной безопасности, но такой контроль должен быть как можно более ограниченным ^[10].

Одним из ограничений этого аргумента является то, что в нем не рассматривается переходный период между нормами и политикой. Даже если предположить, что демократические нормы поддерживают полную или почти полную прозрачность и противостоят государственной тайне, все равно остается вопрос: каким образом нормы находят свой путь через политический процесс в исполняемые законы. Еще одно ограничение в некоторых аргументах, касающихся информационной безопасности, касается институциональных истоков закрытой государственной политики. Существует предположение, что исполнительная власть правительства, особенно в США, несет ответственность за увеличение или сохранение государственной тайны ^[10]. Хотя исполнительная власть может быть заинтересована в сохранении секретности, в этом аргументе упускается из виду тот факт, что в условиях демократии в процессе разработки политики участвуют многочисленные субъекты. Выработка рекомендаций в отношении мер безопасности на основе понимания только одного субъекта вместо привлечения более широкого круга участников в том, что касается информационной безопасности, оказывается неполной. В целом объем исследований, непосредственно касающихся информационной безопасности в контексте разработки политики весьма ограничен.

В отличие от демократического идеала прозрачности, авторитарные правительства полагаются на принцип самосохранения ^[20]. Результирующая политика в области информационной безопасности обычно отражает этот принцип, сосредоточив внимание на правительственном доступе к информационным узлам и предоставляя законные полномочия представителям правительства запрашивать информацию с минимальными средствами правовой защиты. Одной из сильных сторон этой позиции является то, что государственные структуры создаются для утверждения и реализации политики информационной безопасности без формальных вопросов со стороны. Если есть оппозиция, то она находится в относительно слабом положении.

Конечно, авторитарные правительства не застрахованы от политических споров и разногласий. В частности, авторитарные правительства могут столкнуться с угрозой протеста из-за своей политики. Институциональные различия между демократией и авторитарными правительствами позволяют последним решать эту проблему более непосредственно. Другими словами, хотя эта угроза может быть постоянной и реальной, некоторые правительства нашли способы ее предотвратить. Питер Джонс пишет, что недавние «революции» на Ближнем Востоке, меньше всего затронули монархии. Он рассуждает, что это может быть связано с социальным контролем, который режимы создают через патерналистский «социальный контракт», который принимает большая часть общества, или даже с тем, что они «откупаются» от своих граждан через финансовые стимулы ^[1].

Сравнивая политику информационной безопасности по двум типам правительств, Хелен Милнер применила идею демократической исключительности к распространению различных средств и технологий, утверждая, что фракции, находящиеся у власти в авторитарных странах, могут видеть и предотвращать распространение технологий, которые могут подорвать их власть. В то время как фракциям в демократических правительствах приходится преодолевать гораздо больше институциональных препятствий ^[18].

Не исключено, что авторитарные правительства стремятся ограничить распространение конфиденциальной информации, в то время как демократические институты поощряют открытость. Однако одним из ключевых моментов Милнера является то, что группы, стремящиеся блокировать распространение технологий в рамках демократии, часто не имеют поддержки политических институтов ^[18]. Существует целый ряд субъектов, как институциональных, так и индивидуальных, которые обладают огромной властью и могут выступать против политики, направленной на повышение транспарентности.

Ранние исследования информационных потоков, особенно касающихся Всемирной паутины, предполагали демократический императив. То есть больший поток информации приведет к большей открытости. Но ученые тут же начали опровергать это предположение. Демократические правительства могут иметь более автократические тенденции, когда речь заходит об ограничении информации ^[17]. Также большинство правительств во казалось, склоняются в сторону безопасности, а не распространения ^[14]. Аналогичным образом, Г. Джакомелло рассматривает различные способы, с помощью которых демократические страны справляются с контролем над Интернетом ^[11]. В частности, проведенный им анализ демократий показал, что, хотя они часто сталкиваются с аналогичными проблемами, их методы решения этих проблем различаются в зависимости от общества и культуры.

Методология

Чтобы понять эти конкурирующие политические интересы, были рассмотрены несколько примеров политики информационной безопасности. Примеры представляют все регионы мира, охватывая период с 1998 года по настоящее время. Хотя некоторые законы и примеры могут показаться устаревшими, важность этого проекта заключается в анализе политики с течением времени, а не только в его актуальности для текущих событий. В статье использовался метод сравнительного и исторического анализа.

Эти политики не представляют собой случайно распределенные события. Страны, которые создали политику информационной безопасности, имеют ее, потому что обстоятельства таковы, что эта политика имеет достаточную поддержку, а также то, что она может быть принята через существующий институциональный процесс. Основными источниками сбора информации были новостные и политические базы данных, а также банки парламентских документов стран. Политика была проанализирована на основе трех вопросов. Во-первых, какой тип информации защищен или ограничен? Ответы должны были представлять область политических вопросов. Некоторые законы пересекаются между категориями. Во-вторых, каково обоснование, которое правительства используют для обеспечения безопасности или ограничения информации? Это включает в себя цели политики, хотя они не всегда четко сформулированы. В-третьих, каковы обстоятельства, вокруг которых формулируется политика? Это самый сложный вопрос, поскольку ситуации не всегда конкретно изложены в новостных статьях или законодательных архивах. Но там, где это возможно, этот контекст может обеспечить глубокое понимание того, в какой степени правительства стремятся обеспечить безопасность информации.

Национальная информационная политика

В то время как некоторые информационные политики призваны освободить поток информации - например, законы о защите прав потребителей или законы о свободе информации - другие направлены на ограничение, обеспечение безопасности или контроль потока информации. Виды контролируемой информации подразделяются на следующие категории: внешние угрозы (вопросы национальной безопасности), внутренние угрозы (антиправительственная информация), инфраструктурная информация, личная или индивидуальная информация, коммерческая информация и информация средств массовой информации.

Внешние угрозы (вопросы национальной безопасности). Вопросы политики национальной безопасности всегда были целями политики ограничения информационных потоков. Гарольд Иннис приводит довод о том, что контроль над информацией (то, что он называл «монополиями на знания») был незаменим при создании империй ^[12]. Защита национальных приоритетов от внешних угроз является наиболее очевидной и часто наиболее приемлемой причиной ограничения потоков информации внутри страны. Однако внешние угрозы, такие как война и некоторые формы международного терроризма, отличаются от внутренних угроз, таких как антиправительственные протесты и вооруженные акты неповиновения.

Например, "Патриотический акт" предоставил правительству США доступ к некоторой информации, которой оно раньше не располагало. В то время как американские военные используют Интернет и другие средства массовой информации для общения с населением и создания своего позитивного образа и получения разведывательной информации ^[23]. Это также ограничивает использование определенных типов средств массовой информации солдатами, которые могут захотеть вести блог или комментировать войну, оправдываясь аргументом, что такая коммуникация может потенциально расширить возможности врагов или создать разобщенность.

Помимо предоставления правительствам возможности расширить сферу охвата информации, которую они отслеживают и регулируют, внешние угрозы могут выявить новые уязвимости. Война между странами также обеспечивает мощный стимул для разработки политики информационной безопасности, которая может защитить от иностранного вторжения. В частности, напряженность между Россией и Грузией продемонстрировала необходимость защиты компьютерных сетей (как гражданских, так и военных) в случае вооруженного конфликта.

Такие уроки не являются уникальными для взаимодействия между государственными субъектами. После 11 сентября 2001 года повышенное внимание стало уделяться роли негосударственных субъектов. Внешняя угроза терроризма играет заметную роль в формировании тех видов политики информационной безопасности, которые сформировались за последние десятилетия. Нападения Аль-Каиды, побудили другие страны разработать собственную политику контроля за информацией.

Внутренние угрозы (антиправительственная и антистабильная информация). Ограничение информации является относительно распространенным явлением при рассмотрении угроз внутренней стабильности страны. Законы о подстрекательстве к мятежу 1798 года в Соединенных Штатах криминализировали измену. Совсем недавно, изменения в российском законодательстве о СМИ в 2000-х годах, а также в 2016 в связи принятием «пакета Яровой» и закона 2019 года о «критике власти» создали широкую дискуссию о том, что лица, выступающие против действующей власти, могут стать более подверженными судебному преследованию.

Помимо этого, широко признан опыт Сингапур в сфере программ электронного взаимодействия граждан и правительства. Правительство заявило, что хочет быть «безбумажным» обществом. Однако в 2003 году парламент принял закон о неправомерном использовании компьютеров, который интерпретаторы назвали ответом на Интернет как «оружие массового поражения». Подобные новые законы могут быть использованы в качестве «инструмента угнетения» со стороны правительства ^[26].

Для Китая борьба с угрожающими информационными потоками является имплицитной политикой. Как для компаний, так и для частных лиц, понимание китайской онлайн-политической цензуры осложняется секретностью, которой она окутана. Чиновники обычно отрицают, что это она вообще существует. Но высшие руководители не оставили никаких сомнений в том, что контроль над интернетом является политическим приоритетом ^[30].

Информация об инфраструктуре. Развитие информационной инфраструктуры во всем мире традиционно представляет собой сочетание государственных и частных инициатив, причем некоторые страны склоняются к тому или иному варианту. Те, кто склонен осуществлять финансируемые государством программы, могут делать это с намерением контролировать информацию, проходящую через эти сети.

Например, в 2006 году Кения, Уганда и Танзания начали процесс принятия согласованных законов в области кибербезопасности, с тем чтобы создать возможности для создания программ электронного правительства и электронной торговли. Соответствующие правительства признали трансграничные потоки информации, которые уже имеют место, и хотели бы гарантировать, что они будут иметь некоторый контроль (и, возможно, доход) от этих существующих связей ^[24]. Этот тип контроля не обязательно является отрицательным. Власти просто хотят знать, что происходит.

Другим примером контроля над инфраструктурой является дискуссия об ответственности частных интернет-провайдеров за поток информации, проходящий по их сетям. Интернет-провайдеры, организации или компании, предоставляющие каналы, по которым проходит большая часть интернет-информации, могут находиться в публичном или частном управлении. Проблема заключается в том, что, хотя существует технология мониторинга информации, которая проходит через их сети, многие интернет-провайдеры, особенно частные, этого не делают. Правительства участвуют в политических дебатах с ними по вопросу контроля над инфраструктурой.

Например, согласно закону Индии об информационных технологиях от 2000 года, интернет-провайдеры не несут ответственности за преступную деятельность в своих сетях ^[8]. Но, полная автономия, как правило, не представляется возможной. Впоследствии в законе говорится, что полиция имеет право входить в любое учреждение и осуществлять поиск в его электронных записях, если ситуация того требует. США решают этот же вопрос с помощью обновления Акта о негласном наблюдении в целях внешней разведки 1978 года. Хотя американские законодатели не решаются защищать интернет-провайдеров во имя гражданских свобод.

Личная информация. Конфиденциальность личной информации уже давно является предметом обсуждения в национальных парламентах, особенно в более демократических обществах. Некоторые страны приняли соответствующие законы, а другие нет. Поскольку в разных культурах конфиденциальность понимается с иных точек зрения, может быть трудно классифицировать законы по этой теме. Различие в культуре конфиденциальности легко проявляется в дискуссиях, связанных с информацией между США и Евросоюза ^[21]. Для того чтобы сформулировать и реализовать политику конфиденциальности или конкретную программу, правительства должны каким-то образом контролировать информацию. Обычно ограничивая информацию, которая может быть собрана или сохранена правительствами и частными предприятиями. Например, Конвенция Европейского Союза о киберпреступности признает право на неприкосновенность частной жизни: учитывая также право на защиту персональных данных, закрепленное, например, Конвенцией Совета Европы 1981 года «О защите физических лиц в отношении автоматической обработки персональных данных» ^[9]. Этот вопрос не всегда решается однозначно и в других странах информация о физических лицах не получает такого же уровня защиты. Например, в Казахстане принят закон «О защите государственной тайны Республики Казахстан», который снимает акцент с личной тайны в пользу более официальной информации.

Коммерческая информация. Страны могут также иметь политику, касающуюся коммерческой информации, то есть финансовых операций, электронной торговли, налогообложения в интернете и т.д. В некоторых случаях такая политика может носить дерегулирующий характер и быть направлена на стимулирование роста в соответствии с принципами свободного рынка. В других случаях регулирование может быть сильнее, чтобы обеспечить стимулы или денежные вливания в регион. Восточноафриканское сообщество приступило к реализации программы под названием Инициатива по разработке политики в области электронного законодательства ^[5]. Эта программа признает как характер информации для пересечения границ, так и желание правительств участвовать в разработке проекта и, таким образом, иметь некоторый контроль над информацией, которая проходит через вновь созданные сети.

Освещение новостей в СМИ. Информационная политика также может быть инициативой по ограничению свободы средств массовой информации. Например, российское правительство пыталось контролировать освещение конфликта с сепаратистским регионом Чечней, основываясь на существующих законах о СМИ ^[19]. В некоторых странах действуют законы о СМИ, определяющие виды информации, которую следует или не следует публиковать или транслировать. Немногие страны имеют законы о свободе слова и печати, аналогичные тем, которые содержатся в Конституции США.

Компьютерные вирусы. Наконец, существует категория законов, которые нацелены на хакеров и тех, кто злонамеренно отправляет вирусы через информационные сети. Так, например, после широкомасштабных хакерских атак из других государств в 2003 году Япония приняла закон, предусматривающий уголовную ответственность за эту деятельность, даже если она носит лишь подготовительный характер. Кроме того, был создан Центр мониторинга для отслеживания правонарушителей ^[5].

Обоснование необходимости обеспечения сохранности информации

Вопрос заключается в определении обоснования заявленного или предполагаемого принятия закона или осуществления политики. Они делятся на три категории: а) защита национальных интересов, б) защита граждан и в) содействие трансграничному обмену информацией.

Защита национальных интересов является самой крупной категорией и имеет ряд составляющих. Всегда существует заинтересованность в использовании военных и оборонных интересов в качестве обоснования ограничения потока информации. Страны хотят защитить разведку во время конфликтов, чтобы «враг» не обнаружил секретную информацию и защитить, насколько возможно, тех, кто ведет наземные бои. В 2006 году китайские правительственные чиновники опубликовали доклад под названием «Национальная оборона Китая», в котором говорится, что КНР проводит трехэтапную стратегию развития для модернизации своей национальной обороны и вооруженных сил, которая включает создание «информационных вооруженных сил, способных выиграть информационные войны» к 2050 году ^[30].

Также на арене вопросов безопасности находится поддержание контроля в пределах границ. Опять же, китайское правительство имеет репутацию последователя цензуры коммуникации и информации, поступающей через Интернет, хотя это не единственная страна, которая делает это ^[13].

В то время как «Великий китайский файрвол» защищает правительство от информационного нападения извне, внутри страны применяется другая система (также известная как «Золотой щит»). Нечетко сформулированные законы против любого мнения, признанного крамольным, суеверным или просто «вредным для общественного порядка», дают чиновникам широкие полномочия по наказанию тех, кто публикует или размещает конфиденциальный контент. Но основная нагрузка рутинной цензуры ложится на интернет-провайдеров и поставщиков контента ^[30].

И, поскольку последние группы могут быть мишенями правительственных репрессий так же легко, как и отдельные лица, они часто являются добровольными участниками. Не подавляя оппозицию полностью, Китай преуспел в ограничении влияния некоторых социальных групп посредством этой цензуры и мониторинга, что привело к общественному согласию с проводимым курсом правящей партии.

Защита граждан является вторым обоснованием. Это может быть защита от кибер-угроз, как в приведенном выше Японском примере. Но может проявляться в форме регулирования раздражающих факторов, таких как спам (незапрошенная коммерческая электронная почта), как в случае с законом CanSpam 2003 года в США. Но язык защиты также используется более широко. В Южной Африке парламент принял законопроект «Об электронных коммуникациях и транзакциях», который был разработан для защиты граждан от кибертерроризма. Учитывая широкую формулировку законопроекта, критика была неизбежной: «новый закон подвергся резкой критике, особенно со стороны партии Демократический Альянс, которая голосовала против него, а также со стороны организаций за свободу интернета и частных фирм. Закон позволяет министру связи назначать инспекторов для контроля за телекоммуникационными сетями и их контентом, которые они уполномочены захватывать» ^[13].

В одном случае политика четко отражала ущерб, нанесенный гражданам. В апреле и мае 2007 года эстонское правительство подверглось ряду DoS-атак на интернет инфраструктуру в стране. Это событие вывело из строя банки и государственные учреждения ^[27]. Осенью того же года эстонский парламент откликнулся, проголосовав за изменение уголовного кодекса страны. «Компьютерная атака становится актом терроризма, если она совершается с теми же целями, что и обычный теракт. Согласно действующему законодательству, преступления терроризма - это преступления, цель которых заключается в серьезном нарушении или разрушении политического, конституционного, экономического или социального порядка страны» ^[27]. Полученная реакция эстонцев на законопроект, особенно технических специалистов, обеспечила ориентацию на защиту граждан в последующих политических решениях.

В начале 2012 года негативная реакция американских граждан на закон «О борьбе с пиратством в Интернете» (SOPA) и закон «О защите интеллектуальной собственности» (PIPA) привела к тому, что ряд политиков изменили свое мнение о том, как они воспринимают законодательство. По крайней мере, некоторые заслуги в этом изменении были приписаны протесту граждан, который привлек внимание к тому, что первоначально казалось легким изменением законодательства ^[25]. Это, в частности, является ярким примером той роли, которую имеет общественное мнение, а не только политические деятели.

Третья категория объяснений политики защиты информации заключается в том, что она облегчает трансграничный обмен информацией. Как видно из примеров Кении и Восточноафриканского сообщества, существует желание воспользоваться уже существующими сетями и связями в интересах государства. Одна из причин - обмен информацией о преступной деятельности. Восточноафриканское сообщество «начало согласовывать свои законы для преследования киберпреступников, действующих через национальные границы» ^[24]. Не всегда легко получить информацию о хакерах или других киберпреступниках, которые не живут в пределах национальных границ. Например, в Конвенции ЕС о преступности особое внимание уделяется отслеживанию тех, кто распространяет детскую порнографию, являющуюся единственным правонарушением, связанным с содержанием конвенции ^[9]. Глава III конвенции полностью посвящена международному сотрудничеству и обмену информацией. В то же время Конвенция позволяет странам принимать индивидуальные решения по двусторонним соглашениям друг с другом

Обстоятельства, которые приводят к защите информации

Обоснование - это заявленная причина, по которой была предложена или принята политика. Эти обстоятельства являются уникальными ситуациями, которые могли бы привести к началу разработки или принятию политики. Хотя каждое обстоятельство или ситуация могут быть различными, есть некоторые тенденции. На данном этапе принятие или изменение большей части информационной политики, по-видимому, происходит в ответ на какую-то угрозу.

Наиболее заметной и наиболее цитируемой угрозой является терроризм, как онлайн, так и оффлайн. Австралийский закон о киберпреступности и политические изменения в Эстонии, хотя и не определяющие терроризм, как другие, были предложены, приняты и осуществлены из-за того, что каждый из них интерпретировал как террористические акты. Австралийский парламентарий прямо заявил, что он предложил этот законопроект из-за событий сентября 2001 года. Эстонцы отреагировали на то, что, по их мнению, было кибер-терактами со стороны России.

Расширение финансирования исследований, связанных с киберпространством, является еще одним типом политической реакции. С сентября 2001 года США и Израиль работают вместе над программами информационной безопасности и мониторинга, которые, предназначены для прогнозирования будущей террористической деятельности и целей путем поиска веб-страниц, электронной почты и других онлайн-данных ^[2]. Другие программы включают разработку математических моделей для определения местонахождения конкретных террористов и их деятельности.

Некоторые относятся к этим угрозам менее провокационно, называя их антиправительственными хакерами. В 2000 году правительство Азербайджана заявило, что армянские хакеры атаковали интернет-провайдеров страны. Во время армяно-азербайджанской «электронной войны» в Азербайджане были взломаны и подверглись вандализму сайты всех крупных интернет-пользователей, в том числе гуманитарных организаций. Были разорваны онлайн связи всех крупных азербайджанских газет. Появился сайт, на котором размещена неверная информация о Президенте Азербайджана Гейдаре Алиеве. В отместку были атакованы сайты Армянского государственного телевидения и Армянской Ассамблеи в Америке. В ответ на определенное давление со стороны этих организаций правительство создало новый технический совет для рассмотрения этого вопроса. В ее состав входили эксперты из Министерства национальной безопасности и владельцы и операторы интернет-провайдеров ^[3]. Хотя само правительство не подверглось нападению, политиков убедили в том, что нападение на институты гражданского общества Армении представляет угрозу для страны, и поэтому они были вынуждены действовать в интересах этих институтов. Можно было бы утверждать, что создание совета не является очень эффективным ответом, а лишь способствует росту бюрократии. Однако совет не был бы создан без давления со стороны групп, подвергшихся нападению.

Другая угроза заключается в использовании личной информации. Некоторые считают, что правительства могут использовать законодательство и программы для сбора подробной информации о своих гражданах и использовать ее против них. В Пакистане парламент принял законопроект, предусматривающий «принятие мер по предупреждению электронных преступлений». В то время как большая часть законодательства отражает другие законы о киберпреступности принятые в мире, оно также включает создание нового правительственного учреждения для расследования и судебного преследования кибер-преступлений, предусмотренных этим законом ^[29]. Агентству были предоставлены полные и неограниченные полномочия по аресту и конфискации материалов по мере необходимости, не заставляя их представлять достоверное дело до выдачи ордера на арест. Если следовать закону, они могут забрать любое лицо или имущество, держать их под стражей до одного года (допускается продление), прежде чем даже представить дело в суд ^[16].

Последняя угроза заключается не в том, чтобы оказаться на переднем крае экономической конкурентоспособности в эпоху глобальных информационных потоков. Ряд стратегий был направлен на открытие границ и обмен информацией в весьма специфических условиях. Интересы были представлены частным сектором. В этих случаях правительства, как представляется, видят ценность более открытых информационных потоков в целях экономического развития. Они открыты для партнерства с бизнесом, чтобы поощрять и облегчать его деятельность. Хотя не было никаких непосредственных доказательств влияния частного сектора на изменение политики, исследования предоставили некоторую эмпирическую и теоретическую поддержку тому, что оно действительно могло быть ^[7].

Изменения информационной политики

Чем же тогда лучше всего объясняются процессы, в результате которых формируется политика информационной безопасности? Политика информационной безопасности является результатом выбора конгломерата независимых политических акторов, имеющих свой собственный набор интересов и целей. Понимая, как эти силы действуют и противодействуют друг другу, становится яснее конечный результат, т.е. фактическая политика информационной безопасности, принятая конкретным государством. В игре могут участвовать самые разные субъекты, но результаты политики различаются в зависимости от институтов, которые наделяют этих субъектов полномочиями. Существует целый ряд факторов, которые будут определять, как политика будет колебаться по мере продолжения конкуренции.

Расположение в пространстве политики субъектов и мер информационной безопасности не зависит напрямую от типа правительства. Если бы это было так, демократии должны были бы проводить информационную политику, аналогичную другим демократиям, а автократии другим автократиям. Слабый или строгий характер политики информационной безопасности в той или иной стране, по-видимому, в большей степени отражает относительную силу одной политической позиции по сравнению с другой.

Главным действующим лицом является исполнительная ветвь власти. Теоретическое предположение состоит в том, что исполнительная власть в условиях демократии заинтересована в продвижении и принятии политики, результатом которой является гибкое регулирование вопросов информационной безопасности. Гибкое регулирование дает исполнительному органу больше свободы действий в отношении разглашения конфиденциальной информации. Это не означает, что исполнительная власть всегда предпочтет быть закрытой, а не открытой, но просто отражает тот факт, что исполнительная власть предпочла бы иметь выбор, а не иметь предел, определенный законодательным органом. Руководители имеют желание сохранить свою должность на весь определенный срок. Для этого они должны обеспечивать себе общественную поддержку, которая может пострадать от более полного раскрытия политических действий. Исполнительная власть в автократии озабочена своим долгосрочным самосохранением, поэтому политические решения, принимаемые на высшем уровне, можно было бы описать аналогичным образом: желание чтобы выбор оставался, независимо от существа выбора.

В разработке политики участвуют и другие ветви власти. Роль законодательной власти имеет важное значение, поскольку она принимает законы, определяющие правила в области информационной безопасности. В законодательном органе существуют идеологические и социальные фракции, выполняющие важные функции. Некоторые могут согласиться с исполнительной властью и не желают устанавливать ей ограничения, в то время как другие могут предложить более конкретную проверку исполнительной власти. В этом случае менее гибкие стандарты в отношении информационной безопасности могут помочь им более эффективно выполнять надзорную роль. Когда стандарты являются менее гибкими или более определенными, тогда легче выявлять нарушения стандарта. В то время как законодательная власть в автократии выполняет лишь формальную роль, ее существование все еще обеспечивает видимое и публичное действие, на которое автократ может ссылаться для обеспечения своей легитимности.

Группы интересов могут также играть определенную роль в процессе разработки политики в области информационной безопасности. Эти группы могут быть представлены медиа-организациями, которые существуют на одном или нескольких рынках. Международные организации, такие как Amnesty International и Human Rights Watch, также стремятся к благоприятной политике в области информационной безопасности. Роль этих групп двояка. Во-первых, они хотят и настаивают на принятии законов, обеспечивающих доступ к информации. Во-вторых, они действуют как сторожевые псы, привлекающие внимание к чрезмерной секретности правительства или отсутствию информации по важным вопросам. К числу других учреждений, принимающих участие в этом перетягивании каната, относятся средства массовой информации и другие представители гражданского общества, такие, как религиозные или этнические группы или ad hoc объединения граждан.

Заключение

Эта статья иллюстрирует парадокс: демократические страны, которые должны быть наиболее заинтересованы в защите информации при определенных условиях будут злоупотреблять информацией так же, как и любая другая страна. Хотя этот анализ проиллюстрировал некоторые из этих условий, эти выводы, безусловно, не представляют собой последнее слово. Скорее, они предоставляют концепции, которые могут осветить некоторые нюансы в разработке политики информационной безопасности.

Во-первых, несмотря на то, что «перетягивание каната» с несколькими участниками является подходящей визуализацией процесса принятия политических решений, результаты различаются в зависимости от типов информации, которую правительства пытаются контролировать. Пример Сингапура иллюстрирует тот факт, что, несмотря на наличие достаточной политической воли для расширения доступа к информации для всех граждан, по-прежнему мало надежды на то, что стремление к открытости в этой области приведет к увеличению уровня безопасности с точки зрения того, как правительство решит контролировать этот расширенный доступ к информации. Маркировка стран как «открытых» или «закрытых» должна осуществляться очень осторожно, поскольку это обозначение может быть более подходящим в некоторых обстоятельствах, а не в других.

Кроме того, это «перетягивание каната» обычно означает, что инкременталистская политика является нормой: происходят лишь небольшие изменения и корректировки в существующей или принимается новая политика, которая не создает много новшеств ^{[6, с. 216]}. Например, политика США по борьбе со спамом предусматривает уголовную ответственность только за вводящие в заблуждение тематические строки (закон о спаме 2003 года) и поправки 2006 года к законопроекту об ИТ Индии, которые ограничивают его воздействие. Но есть исключения, когда одна группа в «перетягивании каната» сильнее, например, как в случае с политикой цензуры Китая или, когда несколько групп объединяются, как в примере с политикой США после сентября 2001 года.

Второй связанный с этим момент касается воздействия демократических принципов и идеалов и затрагивает нормативные вопросы. Результаты, безусловно, неоднозначные. Демократии, сталкиваясь с внутренними и внешними угрозами, ограничивают свою открытость в пользу большей защиты. Этот вывод не является надежным и может зависеть от других факторов, о чем свидетельствует обсуждение вопроса об обновлении положений Закона «О надзоре за внешней разведкой» (FISA). В США существует явная оппозиция. Конгресс выступает за ограничение гражданских свобод, хотя трудно сказать, представляет ли эта оппозиция нормативное различие между акторами, пытающимися повлиять на место проведения политики, или же она представляет собой простую политическую борьбу. В целом кажется, что даже демократии время от времени демонстрируют тенденции закрытого общества, несмотря на постоянные дебаты по поводу открытости.

В-третьих, как представляется, существует четкая связь между способностью вносить изменения в политику информационной безопасности и угрозой терроризма или войны. Проблемы национальной безопасности оказывают очень сильное влияние. Правительства и другие заинтересованные группы склонны полагать, что политика информационной безопасности может сыграть важную роль в обеспечении любой стабильности или победы в конфликте. Эта связь вызывает вопросы о том, как и почему это происходит, и потребует более глубокого изучения этапа осуществления политики и программ, связанных с информацией.

Наконец, есть некоторые страны, которые придают больше культурной ценности личной жизни, чем другие, иногда в ущерб другим глобальным или национальным проблемам — и наоборот. Эти типы политики, как правило, подразумевают, что граждане отказываются от части своего информационного контроля в интересах государства. Например, Закон «Об электронных преступлениях» в Пакистане направлен на защиту граждан от последствий преступлений в интернете, но он также предоставляет правоохранительным органам большую свободу для вмешательства в деятельность граждан. Конвенция ЕС о киберпреступности является исключением из этого, но европейская культурная приверженность конфиденциальности также, по-видимому, отличается от остального мира.

Таким образом, с концептуальной точки зрения модель формирования информационной политики в этом направлении должна учитывать участников, заинтересованных в формулировании политики, аргументы, которые участники используют для поддержки своих позиций, и обстоятельства, при которых происходит формулирование политики. Во-первых, как определено здесь, акторы включают широкий круг политических, экономических и социальных групп, не все из которых будут заинтересованы в каждой части политики, связанной с информационной безопасностью. Но, это не слишком трудно определить заинтересованные стороны через исследование законодательных слушаний и освещения в средствах массовой информации. Во-вторых, обоснование или аргументы в позиционировании политики могут быть идентифицированы с помощью аналогичных источников: каталогизация заявлений и использование контент-анализа для их выявления и понимания. В-третьих, обстоятельства требуют некоторых исторических и контекстуальных исследований с помощью архивов и средств массовой информации.

На протяжении всего процесса разработки политики может возникать напряженность между участниками и заинтересованными сторонами: политиками, группами интересов, представителями частного сектора, независимыми экспертами, гражданами и «техническими элитами», теми практиками, которые понимают, как работает технология. Некоторые из этих субъектов, особенно лица, определяющие политику, могут испытывать трудности с пониманием нюансов политики информационной безопасности или даже информационной политики в более широком смысле. более широком уровне политика информационной безопасности также является примером напряженности между решениями, принимаемыми в ответ на очень конкретные ситуации, но последствия которых могут быть непредвиденными. Эти два трения вдохновляют потенциально богатую исследовательскую программу о динамике информационных технологий и вытекающих из нее требованиях к безопасности и/или прозрачности.

Просто выделите и скопируйте ссылку на эту статью в буфер обмена. Вы можете также попробовать найти похожие статьи