Криминологическая кибербезопасность. Теоретические, правовые и технологические основы

Теоретические и практические основы системы криминологической кибербезопасности, ее актуальность и социальная обусловленность

Существует четкое понимание того, что обеспечение криминологической безопасности в сфере информационной безопасности обусловливается фактом появления инновационных ИТ-средств, в полной мере проявляющих свою универсальную сущность. Как было отмечено, посредством информационно-технологического ресурса представляется возможным в определенной степени обеспечивать состояние защищенности триады интересов в антикриминальной деятельности. Вместе с тем возможности инновационных технологий с успехом эксплуатируют представители криминала, осуществляя, например, дистанционное слежение, похищая электронные денежные активы и проч.

В плане обеспечения криминологической кибербезопасности, таким образом, прослеживаются четкие взаимосвязи, взаимозависимости и взаимодействия криминологического и информационно-технологического ресурсов обеспечения приемлемого уровня защищенности личности, общества и государства от преступных посягательств с использованием ИТ-средств, что и приводит к дальнейшему развитию вышеупомянутой теории, направленной на познание рассматриваемой области.

Речь идет о феномене «криминологическое обеспечение кибербезопасности», а также об определении его понятийно-терминологического аппарата; при этом следует отметить, что проблематика защищенности личности, общества и государства в создаваемом информационно-телекоммуникационными сетями (включая сеть «Интернет») киберпространстве достаточно давно не вызывает вопросов в своей актуальности.

В процессе динамичного внедрения инновационных высокотехнологичных систем и средств в самые разнообразные сферы жизнедеятельности человечество, помимо множества положительных результатов, обзавелось и целым рядом проблем, в том числе и социально опасного характера. Справедливыми следует признать слова С. Я. Лебедева, согласно которым «перманентно расширяющаяся сфера информационного, главным образом так называемого цифрового пространства закономерно поглощает и культивирует в себе все, что изобретено человечеством за долгую историю цивилизаций. В то же время охватываемые глобальным кибернетическим полем неисчерпаемые масштабы позитивных человеческих ценностей, при всем приоритете таковых вместе с соответствующим положительным эмоциональным сопровождением, постепенно уступают информационным масштабам тревоги людей за свою безопасность, которой активно угрожает нарастающий в киберпространстве экстремистский и террористический потенциал»[60].

Рассмотрение теоретических и методологических основ криминологического обеспечения безопасности в ИКТ-сфере является важной предпосылкой для научно обоснованного подхода к борьбе с информационно-технологической преступностью и в итоге к построению надежной системы защиты личности, общества и государства от такого рода посягательств.

Очевидно, что речь прежде всего идет о процессах обеспечения информационной безопасности, которая, как было отмечено, является одной из составляющих национальной безопасности Российской Федерации. Зарубежные, а в последнее время и отечественные нормативные источники вместо термина «информационная безопасность» применяют другой – «кибербезопасность», что позволяет прийти к четкому пониманию того, о каких именно явлениях идет речь.

Динамика развития нормативных правовых актов (далее – НПА), составляющих правовую основу обеспечения криминологической кибербезопасности, как раз и указывает на постепенный перевод понятийно-терминологического аппарата на общемировые стандарты, что представляется вполне обоснованным по причине глобальности, универсальности и транснациональности сетевых взаимоотношений и взаимодействий, требующих в числе иных социальных регуляторов комплекс современных юридических норм.

Что касается правовых основ обеспечения кибербезопасности (информационной безопасности), то следует отметить, что Конституция Российской Федерации в ряде своих норм отмечает вопросы правового регулирования информационной сферы, в том числе и ее защиты. Соответственно, можно констатировать заложенное в данном законодательном акте само собой разумеющееся стремление к обеспечению защиты граждан, общества и государства от нарушения их законных интересов.

Здесь следует отметить, что гораздо раньше сферу информационно-коммуникационных технологий стало регулировать зарубежное законодательство, а именно законодательство США, что представляется вполне естественным по причине появления там технологий, которые и поныне в различных вариациях возможно отнести к инновационным.

Что же касается Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», то в ст. 1 указывается на круг отношений, подлежащих регулированию, а именно тех, что существуют в области обеспечения безопасности критической информационной инфраструктуры (далее – КИИ) Российской Федерации, и нацеленных на ее устойчивое функционирование в случаях проведения компьютерных атак[61].

Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» касается в основном вопросов регулирования отношений, возникающих при осуществлении законного права на различные операции с информацией путем применения ИТ, а также общих вопросов, связанных с обеспечением защиты информации; в ряде положений он указывает на механизм обеспечения кибербезопасности. Так, ст. 3 содержит такие принципы, на которых основывается правовое регулирование информационных отношений, как «обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации».

Безопасность граждан специально оговаривается в ст. 15.1,

15.1–1 и 15.3, согласно которым запрещается и ограничивается деятельность сайтов, посредством которых распространяется информация, содержащая порнографический контент; ссылку на наркотические средства, психотропные вещества и их прекурсоры; способы совершения самоубийства, а также призывы к совершению самоубийства; сведения о несовершеннолетнем, который пострадал в результате противоправных деяний в отношении него; точку зрения, выраженную в неприличной форме, оскорбляющую человеческое достоинство и общественную нравственность, заключающуюся в явном неуважении к обществу и стране, в том числе к ее официальным символам, а также Конституции Российской Федерации или органам государственной власти; призывы к массовым беспорядкам, осуществлению экстремистской деятельности, участию в незаконных массовых (публичных) мероприятиях; сообщения, создающие угрозу причинения вреда жизни и (или) здоровью граждан, имуществу, угрозу массового нарушения общественного порядка и (или) общественной безопасности и проч.[62]

Доктрина информационной безопасности Российской Федерации (далее – Доктрина) представляется в качестве системы официальных взглядов в области обеспечения национальной безопасности Российской Федерации в информационной сфере.

Доктрина под национальными интересами Российской Федерации в информационной сфере понимает «объективно значимые потребности личности, общества и государства в обеспечении их защищенности и устойчивого развития в части, касающейся информационной сферы» (п. 1). Отмечается, что Доктрина – документ стратегического планирования, призванный обеспечить национальную безопасность Российской Федерации, быть основой при формировании государственной политики и развитии общественных отношений в сфере обеспечения информационной безопасности (ИБ), при выработке мер в области совершенствования системы ИБ (п. 5–6). Направленность в реализации национальных интересов в сфере ИТ заключается в формировании безопасной среды информационного оборота и проч. (п. 9).

В качестве основных информационных угроз для состояния информационной безопасности Доктрина отмечает:

– возможности трансграничного оборота информации в противоправных геополитических, военно-политических, террористических, экстремистских, криминальных и иных целях;

– практику внедрения ИТ без учета обеспечения ИБ, существенно повышающих вероятность информационных угроз;

– наращивание возможностей ИТ-воздействия на военную информационную инфраструктуру со стороны ряда зарубежных стран;

– деятельность организаций по осуществлению технической разведки в российских государственных органах, научных организациях и предприятиях оборонно-промышленного комплекса;

– расширение масштабов оказания иностранными специальными службами информационно-психологического воздействия на внутриполитическую и социальную ситуацию в различных регионах мира;

– тенденцию к наращиванию информационного воздействия на население России, прежде всего на молодежь, размывающего традиционные российские духовно-нравственные ценности;

– использование различными террористическими и экстремистскими организациями механизмов информационного воздействия на индивидуальное, групповое и общественное сознание, активного создания средств деструктивного воздействия на объекты КИИ;

– возрастание масштабов компьютерной преступности в кредитно-финансовой сфере, в области неприкосновенности частной жизни, личной и семейной тайны;

– увеличение масштабов применения ИТ в военно-политических целях, возрастание угроз суверенитету, политической и социальной стабильности, территориальной целостности Российской Федерации, глобальной и региональной безопасности;

– постоянное повышение сложности, увеличение масштабов и рост скоординированности компьютерных атак на объекты КИИ, усиление разведывательной деятельности в отношении России и проч. (п. 10–19)[63].

Что касается Стратегии развития информационного общества в Российской Федерации на 2017–2030 гг. (далее – Стратегия), то, как следует из названия, основной целью является прежде всего создание и развитие специфической общности российских граждан, широко вовлеченных в современные программно-технологические процессы, а именно информационного общества. Помимо этого, данная Стратегия призвана определять дальнейшее поступательное движение российской внутренней и внешней политики в сфере применения ИКТ, а также формировать национальную цифровую экономику при условии обеспечения национальных интересов и реализации стратегических национальных приоритетов (п. 1).

Как отмечается в Стратегии, основные направления развития российских ИКТ заключаются в конвергенции сетей связи и создании сетей связи нового поколения, обработке больших объемов данных, искусственном интеллекте, доверенных технологиях электронной идентификации и аутентификации, включая кредитно-финансовую сферу, облачных и туманных вычислениях, Интернете вещей и индустриальном Интернете, робототехнике и биотехнологиях, радиотехнике и электронной компонентной базе, информационной безопасности (п. 36)[64].

Естественно, вопросы, касающиеся кибербезопасности, учитывая ее глобальное значение, не могли пройти мимо внимания мирового сообщества. Одним из важных документов в этом направлении является подготовленное Международным союзом электросвязи (МСЭ) Руководство по разработке национальной стратегии кибербезопасности, датируемое 2018 г. (далее – Руководство).

Во вступлении к данному Руководству указывается на факт использования миллиардами людей во всем мире в последние 20 лет преимуществ экспоненциального роста и стремительного внедрения ИКТ, а также связанных с этим социально-экономических возможностей. В связи с этим отмечается: «Мы живем в эпоху цифровой революции, которая ведет к коренным преобразованиям в нашем обществе». Что касается кибербезопасности, то указывается, что данный феномен – основной фактор обеспечения социально-экономического развития, но при этом лишь в 67 странах мира (данные Глобального индекса кибербезопасности МСЭ за 2017 г.) имеются общедоступные национальные стратегии по вопросам защищенности значимых объектов в ИКТ-сфере.

Таким образом, в Руководстве ставится цель придать импульс стратегическому мышлению, помочь руководству государств, а также различным директивным органам в разработке, принятии и применении национальных стратегий кибербезопасности. Справедливо отмечается, что обеспечение кибербезопасности является комплексной задачей, включающей различные управленческие, политические, эксплуатационные, технические и правовые аспекты[65].

Весьма перспективным представляется проект Концепции стратегии кибербезопасности Российской Федерации, в котором обоснованно указывается на необходимость и своевременность разработки Стратегии кибербезопасности Российской Федерации (далее – Стратегия). Кроме того, проектом определяются ее принципы и направления, а также место документа в системе российских НПА, отмечается возрастание возможностей ИКТ для совершения ряда новых правонарушений, а также развития уже существующих угроз против личности, общества и государства. Трансграничность киберпространства, активное использование его российскими гражданами России определяют, с одной стороны, новые возможности для них, но одновременно способствуют развитию новых угроз.

Стратегия дифференцирует термины «информационная безопасность» и «кибербезопасность», справедливо соотнося такой подход со сложившимися международными стандартами, согласно которым второй термин более узок, нежели первый, поскольку информационное пространство, образуемое не только ИКТ, гораздо шире, а киберпространство формируется лишь посредством определенных программно-технических средств. Что касается места Стратегии в системе действующего законодательства, то рассматриваемый проект обоснованно указывает на специфичный предмет, регулируемый Стратегией, которая не противоречит действующим нормативным актам, не создавая, таким образом, избыточного регулирования[66].

Отдельно, в качестве наиболее продвинутых, следует отметить два документа, посвященных проблемам регулирования отношений в сфере технологий искусственного интеллекта и робототехники. Очевидно, что на государственном уровне осознан потенциал в развитии отмеченных технологий как наиболее перспективных, устремленных в скорое будущее.

В Национальной стратегии развития искусственного интеллекта на период до 2030 г. (далее – Стратегия ИИ 2030) прежде всего в качестве приоритетов определяется ряд важных направлений, в частности она является основой для разработки (корректировки) государственных программ и проектов как федерального, так и регионального значения. Помимо этого, плановые и программно-целевые документы экономических субъектов с государственным участием также должны учитывать Стратегию ИИ 2030 при любой деятельности, связанной с развитием искусственного интеллекта.

Отмечается, что процесс создания универсального (сильного) ИИ, способного, подобно человеку, на мышление, решение различных задач, взаимодействие и адаптацию к изменяющимся условиям, представляет собой сложную научно-техническую проблему, для решения которой необходимо привлечение естественно-научного, технического и социально-гуманитарного ресурсов. При этом результатом могут быть как позитивные изменения в ключевых сферах жизнедеятельности, так и негативные последствия, вызванные значительными, сопутствующими развитию технологий ИИ, социальными и технологическими изменениями[67].

Одним из наиболее актуальных на данный момент документов, направленных на создание правовой основы для сферы информационно-коммуникационных технологий, является Концепция развития регулирования отношений в сфере технологий искусственного интеллекта и робототехники до 2024 г.[68] (далее – Концепция-2024), лейтмотивом которой является создание подходов к формированию новых связей и взаимодействий между человеком и современным машинным устройством.

Цель Концепции-2024 заключается в создании правовой основы для интегрирования ИИ и робототехники в различные сферы экономики, при которой должны быть максимально обеспечены права граждан и состояние защищенности личности, общества и государства. При развитии технологий ИИ возникают серьезные вызовы перед отечественной правовой системой, а также перед системой государственного управления и перед обществом в целом. Главная проблема заключается в наличии таких свойств ИИ, как определенная степень автономности его действий в процессе решения поставленных задач и неспособность к непосредственному восприятию этических и правовых норм.

В качестве приоритетной цели регулирования отношений, связанных с ИИ и робототехникой, указывается потребность в разработке, внедрении и использовании таких технологий «в доверенном и безопасном исполнении», когда будут достигаться высокие темпы экономического роста, повышаться благосостояние и качество жизни граждан, обеспечиваться национальная безопасность и правопорядок[69].

Среди концептуальных проблемных направлений регулирования можно выделить, в частности, направления, связанные:

– с соблюдением баланса между критериями защиты персональных данных и потребностью в обучении систем ИИ и «насыщении» их конфиденциальной информацией;

– идентификацией и взаимодействием системы ИИ с человеком;

– правовым «делегированием» решений системам ИИ и робототехники[70];

– ответственностью за причинение вреда с использованием рассматриваемых систем[71].

Отдельным образом в Концепции-2024 отмечены вопросы юридической ответственности в случае применения рассматриваемых систем. Как подчеркнуто в Концепции-2024, требуются шаги в направлении дальнейшей проработки механизмов гражданскоправовой, уголовной и административной ответственности, реагирующих на случаи причинения вреда как системами ИИ и робототехники, обладающими высокой степенью автономности, так и разработчиками таких систем.

Существует острая необходимость в выявлении и анализе сфер, в которых системы ИИ должны иметь ограниченное применение при принятии юридически значимых выводов. Опять же, речь идет о точечном «делегировании» определенных решений такого рода системам, когда это является объективно целесообразным и не несущим угрозы триаде интересов[72].

Достаточно подробно Концепцией-2024 рассматривается вопрос об отраслевых направлениях совершенствования регулирования применения технологий ИИ и робототехники, что представляет большой интерес при разрешении проблемы обеспечения криминологической безопасности в ИТ-сфере. Особо данная нацеленность проявляется в сфере охраны здоровья граждан, где существует как крайняя востребованность и эффективность технологий ИИ и робототехники, так и перспективы наступления общественно-опасных последствий. Такого рода угрозы и риски, как известно, относятся к криминологическим[73].

В сфере государственного (муниципального) управления существует множество возможностей для формирования и развития системы криминологической безопасности. Рассматриваемые технологии в значительной степени могут оптимизировать правоохранительную сферу, в значительной степени сократить число рутинных операций и повысить скорость принятия решений (например, при обращении к структурированным и неструктурированным (большие данные) информационным базам при поиске необходимых данных).

Что касается принятия каких-либо юридически значимых решений, связанных с рассмотрением обращений граждан, то, опять же, например, при получении информации криминального характера трудно переоценить возможности ИИ не только в сфере приема и обработки данных, но и в плане обеспечения прозрачности и объективности, когда машина беспристрастно фиксирует все обстоятельства антиобщественных проявлений, не пытаясь что-либо преуменьшить или преувеличить, уговорить не подавать заявление и проч.[74]

Возвращаясь к теме обеспечения криминологической безопасности в сфере информационно-коммуникационных технологий, мы отмечаем, что зарубежные, а в последнее время и отечественные нормативные источники вместо термина «информационная безопасность» применяют другой – «кибербезопасность», что позволяет прийти к четкому пониманию того, о каких именно явлениях идет речь.

Так, в первом случае мы говорим о любой информации, распространение которой происходит посредством традиционных средств ее передачи – газет, телевидения, радио, непосредственного человеческого общения. Во втором же – данный процесс опосредован информационными технологиями (ИТ), включающими в себя информационно-телекоммуникационные сети (сеть «Интернет»).

Следует отметить, что вопросами, связанными с обеспечением состояния защищенности в ИКТ-сфере, занимаются специалисты разных научных направлений. В частности, серьезные исследования ведут ученые в области технических наук, активно исследуя различные аспекты рассматриваемого феномена, прежде всего через призму защищенности национальных интересов Российской Федерации в условиях информационного противоборства. Например, философское понимание кибербезопасности заключается в свойстве или состоянии системы «сохранять надежность и функциональную устойчивость в условиях современного информационного противоборства». А вот определение кибербезопасности по технической сущности: «Информационная безопасность компьютерных информационно-управляющих систем, обеспечивающая их высокую надежность и функциональную устойчивость в условиях современного информационного противоборства»[75].

Проблемность в подобном раскрытии термина «кибербезопасность» заключается в том, что, таким образом, рассматриваемое понятие приобретает чрезмерно упрощенный «цифровой» характер, в связи с чем может сложиться впечатление, что под кибербезопасностью следует понимать, в основном, систему мер, направленных на защиту от угроз, нацеленных на программно-техническую инфраструктуру.

Здесь нельзя упускать из виду, что компьютерная техника, выступая прежде всего в качестве средства коммуникации, имеет своим предназначением прием-передачу информации не только между программно-техническими устройствами, но и между людьми. То есть объектом воздействия является, помимо аппаратной инфраструктуры, также сознание, мысли, чувства, внутренний мирчеловека.

Также важно понимание того, что кибербезопасность не связана исключительно с преступными посягательствами, то есть нельзя сводить суть рассматриваемого понятия к состоянию защищенности от всех правонарушений, совершаемых в киберпространстве – и уголовно-правовых, и гражданско-правовых, и административных, и проч. Жесткая связь кибербезопасности исключительно с преступными посягательствами неверна.

Очевидно, что, по сути, термин «безопасность» без прилагательного «криминологическая» не может охватывать явления, связанные с преступными проявлениями. Здесь необходимо четкое понимание, о чем идет речь: о состоянии ли защищенности от разного рода угроз, но не криминального характера, и тогда речь идет о какой угодно безопасности, но только не криминологической, или же речь заходит о явлениях преступного содержания, что уже позволяет говорить о криминологической безопасности.

Непозволительно, рассматривая сущность кибербезопасности, сразу же подразумевать наличие одних лишь преступных угроз в киберпространстве.

Таким образом, под кибербезопасностью следует понимать состояние защищенности личности, общества и государства от различных угроз некриминального характера, исходящих от информационного пространства, создаваемого программно-техническими устройствами, и возникающих при их эксплуатации и использовании гражданами, организациями, государственными и муниципальными органами.

Соответственно, криминологическая кибербезопасность – состояние защищенности личности, общества и государства от различных угроз, охватываемых нормами УК РФ и исходящих от информационного пространства, создаваемого программно-техническими устройствами при их эксплуатации и использовании.