Демократы завалили проект Белого дома по кибербезопасности
Научная фантастика с каждым годом все глубже проникает в реальную жизнь. В Сенате США прошло голосование по проекту закона «О кибербезопасности-2012». Восьми голосов не хватило для того, чтобы закон вступил в силу, даже несмотря на то, что его принятие активно поддерживалось на высшем военном уровне, а также самим президентом Соединенных Штатов.
В целом политику администрации Барака Обамы в сфере кибербезопасности можно оценить достаточно высоко. Начиная с самого первого дня в Белом доме администрации удалось достичь многих успехов. Среди них – учреждение должности помощника президента США по кибербезопасности и назначение на эту должность Говарда Шмидта, частичное рассекречивание и продолжение принятой администрацией президента Джорджа Буша-младшего «Всеобъемлющей национальной инициативы по кибербезопасности», учреждение КИБЕРКОМа – военного киберкомандования в составе Стратегического командования Соединенных Штатов, принятие международной стратегии развития киберпространства, а затем – военной стратегии кибербезопасности, подписание ряда международных договоров и двусторонних соглашений, посвященных проблемам информационной безопасности (в том числе с Россией), наконец, принятие ряда мер на межведомственном уровне с целью повышения эффективности обмена информацией между федеральными органами исполнительной власти (что в основном было обусловлено скандально-известным инцидентом с сайтом WikiLeaks.org и касалось военных и разведывательных органов).
В американском Конгрессе тем временем велось активное обсуждение различных законов по вопросам кибербезопасности. По оценке Мелиссы Хэтэвэй – предшественницы Говарда Шмидта, законопроектов, имевших положения по вопросам кибербезопасности, было не менее 40. Новым направлением американского законотворчества стало так называемое всеобъемлющее законодательство по кибербезопасности, то есть единый закон, регулировавший все вопросы, связанные с угрозами национальной безопасности Соединенных Штатов в киберпространстве.
Дискуссии в Конгрессе
Данная тема в Конгрессе возникла достаточно давно, в июле 2010 года лидер демократического большинства сенатор Гарри Рейд, председатель юридического комитета Патри Лихи, председатель комитета по вооруженным силам Карл Левин, председатель комитета по внешней политике Джон Керри, председатель комитета по торговле, науке и транспорту Джон Рокфеллер IV, председатель комитета по внутренней безопасности Джозеф Либерман и председатель комитета по разведке Диана Фейнштейн направили на имя президента письмо, в котором отмечалось, что комитеты, лидеры которых поставили свои подписи, ведут активную законотворческую работу для противодействия следующим угрозам: «утечка разведывательной информации, потеря результатов интеллектуальной собственности, кража личных данных и прочие криминальные преступления, нанесение ущерба критически важным элементам инфраструктуры, нарушение функционирования систем коммуникаций, небезопасные финансовые транзакции».
Джозеф Либерман и Джон Рокфеллер IV являются «ветеранами» американского законодательства в области кибербезопасности. В 2009 году Джон Рокфеллер IV выносил на обсуждение законопроект «О кибербезопасности» в комитете по торговле, науке и транспорту. В законопроекте предлагалось наделить президента США дополнительными полномочиями, к которым относилась разработка национальной стратегии информационной безопасности, предоставление полного обзора по любым направлениям деятельности правительства в области информационной безопасности раз в четыре года (Quadrennial cyberseurity review) и сотрудничество с иностранными правительствами при создании норм международного права для обеспечения международной информационной безопасности. Законопроект не был принят, но многие его положения нашли отражение в политике администрации Барака Обамы.
В 111-м Конгрессе сенаторы-демократы Джозеф Либерман, Сьюзан Коллинз и Томас Карпер вынесли на обсуждение законопроект, дающий исполнительной власти в лице президента США юридические полномочия, а также техническую возможность прекращать работу коммерческих сайтов и серверов в случае возникновения чрезвычайного киберпроисшествия (cyberemergency). Законопроект моментально окрестили «законом о кнопке выключения Интернета» (Internet Kil lSwitch bill) и не позволили ему вступить в силу.
В ответ на письмо инициативной группы Белый дом опубликовал ряд предложений по законодательному обеспечению кибербезопасности, которые были призваны «улучшить обеспечение кибербезопасности американского народа, национальной инфраструктуры, а также сетей и компьютеров федеральных органов государственного управления».
В июне 2011 года Республиканская партия создала рабочую группу по проблемам кибербезопасности под руководством вице-председателя комитета Палаты представителей по вооруженным силам, члена комитета по разведке Мака Торнберри (в комитете по вооруженным силам он также является председателем подкомитета по новым угрозам национальной безопасности Соединенных Штатов). В состав республиканской рабочей группы вошли: Роберт Адерхольт (комитет по ассигнованиям), Джейсон Чаффетз (комитет по бюджету, юридический комитет и комитет по контролю и правительственным реформам), Майк Коффман (комитеты по вооруженным силам, по природным ресурсам и по малому бизнесу), Роберт Херт (комитет по финансовым услугам), Роберт Латта (комитет по энергетике и торговле), Дэн Лунгрен (председатель комитета по управлению Палатой представителей, член комитета по внутренней безопасности, а также юридического комитета), Тим Мерфи (комитет по энергетике и торговле) и другие конгрессмены. Состав республиканской инициативной группы по вопросам кибербезопасности оказался не так представителен, как у демократов, однако разнообразие комитетов, члены которых вошли в рабочую группу, не менее велико.
В октябре 2011 года республиканской рабочей группой был подготовлен доклад, содержащий рекомендации Конгрессу по вопросам разработки законодательства по обеспечению информационной безопасности. Доклад содержал умеренную критику существующей системы государственного регулирования, хотя многие элементы этой системы были созданы еще при президенте Джордже Буше-младшем, представителе Республиканской партии.
По мнению республиканцев, первоочередной проблемой, на решение которой Конгрессу стоит направить свои усилия, является защита критически важных элементов национальной инфраструктуры. Рабочая группа предложила принять ряд добровольных мер, таких как налоговые льготы, финансирование через гранты, страхование. Кроме того, в ряде случаев необходимо ограниченное государственное регулирование, например в форме государственного надзора, или предоставление отчетов об обеспечении кибербезопасности. В докладе также упоминается необходимость развития потенциала киберобороны (Developing Active Defense Capability).
Большое внимание в докладе уделялось вопросам защиты частного сектора от киберугроз и развитию государственно-частного партнерства в этой области. Республиканцы отметили срочность принятия законодательных мер для противодействия киберугрозам, однако выразили сомнения в эффективности разработки «всеобъемлющего» масштабного законопроекта по кибербезопасности.
Ключевые вопросы, ответы на которые должны быть даны в процессе принятия законов по кибербезопасности, были сформулированы членами республиканской рабочей группы следующим образом:
1. В чем должна заключаться ответственность и каковы должны быть полномочия федерального правительства США в области защиты частного бизнеса от кибератаки при разных условиях, в частности, если атака проводится иностранным государством, или в случае, если источник атаки не известен?
2. Возможно ли применить концепцию сдерживания в киберпространстве? Каким образом следует применить весь спектр инструментов национального влияния для устрашения агрессора в киберпространстве?
3. Как решить, какую информацию по кибератакам, собранную разведсообществом Соединенных Штатов, можно использовать в целях национальной обороны? Как обмениваться информацией на уровне сети? Как интегрировать открытую и секретную информацию для защиты собственных сетей?
4. Какова должна быть роль военных? Что делать, если полномочия военных и других органов обеспечения информационной безопасности совпадают?
5. Существуют ли, кроме военных, другие органы государственного управления, обладающие информационным потенциалом для проведения наступательных информационных операций в целях обеспечения кибербезопасности, если Минобороны не получит от Конгресса полномочий на применение силы?
В начале работы 112-го Конгресса серьезных противоречий по вопросам обеспечения кибербезопасности между демократами и республиканцами не наблюдалось.
Предложения демократов и республиканцев
Демократическая коалиция по вопросам кибербезопасности во главе с независимым сенатором Дж. Либерманом в соавторстве с четырьмя сенаторами-демократами (Сьюзан Коллинз, Шэлдон Уайтхаус, Диана Фейнштейн и Джон Рокфеллер IV) вынесла на обсуждение законопроект «О кибербезопасности». Законопроект был представлен в Комитет по внутренней безопасности в начале февраля 2012 года. Согласно законопроекту, министр внутренней безопасности совместно с военными и разведывательными федеральными ведомствами, Советом по партнерству в области критически важных инфраструктур, министерствами торговли, государственным департаментом, а также академическим сообществом обязан провести исследование наиболее уязвимых для кибератак элементов национальной инфраструктуры. На основе оценки рисков, связанных с кибератаками, будут разработаны специальные планы по реагированию на кибератаки.
Кроме того, законопроект предусматривает юридическую защиту компаний, обеспечивающих работу критически важных элементов инфраструктуры. Он мог бы обязать министра внутренней безопасности ежегодно отчитываться перед Конгрессом по вопросам кибербезопасности. В отчет предлагалось включить, в частности, разделы о глобальных угрозах кибербезопасности и субъектах информационного пространства, представляющих серьезную угрозу кибернападений.
С жесткой критикой законопроекта Либермана–Коллинза выступила американская Торговая палата. На единственных слушаниях, посвященных обсуждению законопроекта, выступал Том Ридж, в прошлом – глава Министерства внутренней безопасности (при президенте Джордже Буше-младшем), а ныне – председатель Торговой палаты. Он высказал большие опасения по поводу положений законопроекта, которые давали полномочия правительству в области управления коммерческими элементами критически важной национальной инфраструктуры.
Республиканская коалиция в марте 2012 года предложила другой законопроект под названием SECURE IT (Strengthening and Enhancing Cybersecurity by Using Research, Education, Information, and Technology Act of 2012 – «Укрепление и усиление кибербезопасности посредством использования исследований, образования, информации и технологий»). Законопроект был представлен 1 марта 2012 года Джоном Маккейном в комитете по торговле, науке и транспорту. Соавторами законопроекта выступили семь сенаторов республиканцев: Ричард Берр, Сэксби Чамблисс, Дэниел Котс, Чак Грэссли, Кэй Бэйли Хатчинсон, Рон Джонсон и Лиза Мурковски.
Положения законопроекта республиканцев значительно перекликаются с предложениями демократов, в первую очередь связанных с разглашением информации об угрозах информационной безопасности, государственно-частным партнерством, юридической защитой коммерческих предприятий, сотрудничающих с государственными органами, а также с предоставлением отчетов Конгрессу. Положения проекта документа касаются директора национальной разведки и министра внутренней безопасности. Законопроект обязывает президента лично курировать обеспечение кибербезопасности государственных информационных систем. При этом, однако, предусматривает значительные полномочия коммерческих структур, из-за чего, судя по всему, и происходят основные противоречия.
В поддержку этого законопроекта активно выступил исполнительный вице-президент Торговой палаты США Брюс Джостен.
Голосование по принятию закона
В преддверии голосования администрация президента, военные и сами сенаторы-демократы проявили большую активность. 19 июля Барак Обама опубликовал статью в Wall Street Journal, в которой достаточно подробно доказал, почему американские избиратели должны быть уверены, что коммерческие предприятия, обеспечивающие критически важные инфраструктуры, соответствуют новейшим стандартам кибербезопасности. Завершается статья, разумеется, просьбой к сенаторам одобрить законопроект о кибербезопасности.
Накануне голосования администрация провела масштабную пресс-конференцию, посвященную законопроекту. В ней приняли участие помощник президента по внутренней безопасности Джон Бреннан, председатель Комитета начальников штабов генерал Мартин Демпси, командующий киберкомандованием СТРАТКОМа Кейт Александер и другие официальные лица.
Джон Бреннан заявил, что «принятие законопроекта даст возможность специалистам в области кибербезопасности использовать необходимые инструменты для противодействия реальным и срочным рискам национальной безопасности».
Кейт Александер упомянул о том, что его ведомство передало в Конгресс засекреченную информацию с конкретными примерами того, какие угрозы наиболее актуальны в киберпространстве для Соединенных Штатов.
Мартин Демпси сказал, что «байты и биты сегодня представляют не меньшую угрозу национальной безопасности Соединенных Штатов, чем пули и бомбы».
Тем не менее, несмотря на поддержку со стороны военных и администрации, законопроект не был принят. Оппозиция утверждает, что в процессе подготовки закона Гарри Рейд не дал возможности ей внести изменения, а сам законопроект был вынесен на голосование без прохождения всех необходимых процедур. Как представляется, провал законопроекта также связан с предвыборной гонкой. Митт Ромни – единственный оставшийся республиканский конкурент Барака Обамы уже давно заявлял о том, что усилия администрации в области кибербезопасности недостаточно эффективны в борьбе против киберугроз национальной безопасности.
Принятие всеобъемлющего закона о кибербезопасности могло бы стать логическим завершением политики администрации Барака Обамы в этой области в течение первого срока. Логично предположить, что демократическая коалиция не допустит принятия республиканского законопроекта.
Павел Александрович Шариков - кандидат политических наук, руководитель Центра прикладных исследований Института США и Канады РАН