Днес се провежда Консултативен съвет по национална сигурност при Президента на тема “Киберсигурност”. Броени дни по-рано се появи проект на “Националната стратегия за киберсигурност до 2020 г., изготвена от Съвета по сигурността към правителството.
Терминал 3 поиска коментар по документа от водещ експерт по информационни технологии, чиято експертиза покрива и темата “киберсигурност”. Делян Делчев е телекомуникационен инженер, който е участвал в изграждането на повечето телекомуникационни инфраструктури на мобилните оператори у нас през последните 20 години.
Прекалено голяма част от въпросната стратегия не е по същество, а е изпълнена с особен “комсомолски патос”, с буквално повтарящи се пасажи. Още първият пасаж може да се намери на поне две други места в документа, копиран 1:1. Това може да е технически детайл, но е чудесна илюстрация на факта, че документа оставя много повече усещане за патос, отколкото за информация или стратегия по същество.
Държавата определено има нужда от стратегия за сигурност на електронните системи, но в документа са налични множество сиви зони, които са прекрачени по начин, който може да създаде конфликти и допълнителни проблеми вместо решения.
Примери:
Многократно се отбелязва, че гражданските права трябва да бъдат спазени и запазени по закон. Може да се отиде още по-далече – че не трябва да има никаква разлика по начина по който се третират гражданските права електронно или физически. Документът от една страна намеква това, но от друга предполага специален подход (и по специално по отношение на правото на частен живот).
В документа има намесени проблеми, които по същество не са проблеми на кибер сигурността, а са проблеми на интелектуалните права. Българската кибер сигурност не се нарушава от използването на нелицензиран софтуер или нарушени интелектуални права. Нарушава се нечие право на собственост, но връзката със сигурността от това, е крайно спорна и неясна. Тези точки свободно могат да си останат във фокуса на друго законодателство и стратегии, и нямат място тук. Такива рискове съществуват много повече в лицензираните софтуери (вградени “бак-доорове”, т.е. своеброзани „задни вратички“), но най-вече възникват от начина по който гражданите и институциите използват софтуерите си и ги третират. Ако проблемите са бак-доорове и „троянски коне“ (т.е. същото), то нека това да се каже директно, за да може да се включат детайлно всичките случаи и вариации. Но проблемите с интелектуалното право нямат място в една такава стратегия. Вкарването им оставя впечатление, че се преследва съвсем различна цел. А именно – през силови механизми, създадени с оправдание “киберсигурност”, да се заобикаля системата за съдебен контрол и гарантиране на гражданските права.
Има ключово неизяснен проблем по отношение на взаимодействието и взаимното съдействие на участници от различни държави и произлизащи от различно право, както и призованите за доброволно съдействие български оператори. Един прост тестов проблем е “Какво би последвало ако партньорска служба или принципно трета страна поиска съдействие по отношение на придобиването на информация за лице, заподозряно че извършва действие, което те смятат за потенциално престъпление там, което обаче не е престъпление у нас?”. Иначе казано, преплитането на проблема с авторските права, различните закони в различните държави и техните свободни ентерпретации (което е недопустимо щом става дума за закони) отварят толкова широка врата в полето, която допуска “безконтролен контрол” на реално всичко, публикувано в интернет и ще доведе до на практика безпрецедентна цензура като един от ефектите. Дали в името на добрите взаимоотношения с дадена държава в областта на киберсигурността няма да се стигне до трайно нарушаване на гражданските права, на частен живот на засегнати граждани на практика безпричинно и/или дори технически незаконно?
Лесно могат да се измислят конфликтни примери, които на “нормалните хора” може да им звучат безумно, но според така създадената стратегия изглеждат напълно реализируеми. Като например Северна Корея се обажда да бъде свалена статия, обиждаща Ким Чен Ир. Или обратното, ние да търсим такова сваляне на информация от чужбина. Стратегията е прекалено обща. Взаимодействието с трети страни не е дефинирано и не е предвиден механизъм за страничен контрол, дори и пост фактум. Това може да не е предмет на тази стратегия, но също така не е дефинирано и като цел, и автоматично допуска създаването на сериозни изкривявания по отношение на интерпретацията на закона, в зависимост от това дали едно и също престъпление или гражданско право се интерпретира електронно или не електронно.
Понятието, което е дефинирано в Стратегията като “Кибер разузнаване и международна кибер дипломация” е трудно дори да си представим какво е на практика. Звучи патетично, но тук търсим прагматика.
В същото време специфичните технически детайли също не трябва да са част от подобен документ. Защото те много бързо могат да го направят остарял, както и не гъвкав (например точки в Приложение 2, https only / dnssec). Тези точки показват прекомерен фокус върху интернет, но киберсигурността не обхваща само интернет, а всякакви форми на съвременни телекомуникации. Защото, въпреки че те са споменати на някои места, детайлите по приложенията и фокуса на примерите, както и по-подробните описания дори в самите точки на документа дефинират експлицитно само интернет и то само специфични услуги там, а изпускат целят друг спектър, както и други бъдещи услуги, които могат да се появят. Така документът е вече остарял, а още не е приет. Примерно IOT революцията, може да създаде интересни бъдещи рискове (при автономните и полу автономни автомобили, системите за автоматично проследяване или известяване например при катастрофа, електронни винетки, други системи за проследяване, медицински досиета, банкова информация, масова експозиция на лични данни, и т.н.).
Дефинициите в документа накрая са прекалено общи и рискови. Дори да погледнем само дефиницията на киберпрестъпление като нещо, което е престъпление по местното ИЛИ международното право, но без да е дефинирано дали България е страна по това международно право. Така се отваря твърде много пространство за свободна интерпретация.
В заключение, една стратегия за киберсигурност трябва да се фокусира само върху подобряване на системите за защита на инфраструктурата и бърза и координирана реакция при проблем. Опасно и вредно е тя да се разлива в “сиви” сектори, където да засяга базисни граждански права, защита на интелектуално право и подобни, които подлежат на законова регулация и контрол от съдебната система.
