Государственно-частное партнерство

Государственно-частное партнерство

Создавая прочную базу для защиты жизненно важных служб

Агниешка Вербитска, Департамент кибербезопасности, Министерство кибернетики Польши

За последние 10 лет информационные и коммуникационные технологии (ИКТ) стали жизненно важными для функционирования экономики и превратились в основную движущую силу развития во всех секторах. Правительства, бизнес-сообщество, общественные и частные организации и частные лица — все стали зависимы от цифровой среды в своей основной деятельности.

И по этой причине все они стоят перед лицом растущего количества неопределенностей. Угрозы безопасности кибернетическому, цифровому и аппаратному и программному обеспечению ИКТ возросли, увеличилось и количество нападений, что привело к серьезным негативным последствиям в таких сферах, как финансы, конфиденциальность и репутация, а в отдельных случаях был нанесен даже физический ущерб. Инциденты в области цифровой безопасности могут иметь далеко идущие экономические последствия для организаций. Примерами могут служить нарушение нормального функционирования (нападение типа «отказ в предоставлении услуг», нарушение гарантий конфиденциальности информации и саботаж), прямые финансовые убытки на сотни миллиардов евро, судебные иски, нанесение ущерба репутации, кражи интеллектуальной собственности, технологий и результатов исследований, потеря конкурентоспособности (кража торговых секретов), а также потеря доверия среди граждан, клиентов, сотрудников, акционеров и партнеров.

Мы часто слышим, что информация — это власть, а обмен информацией между партнерами — это ключевая ценность партнерства между общественным и частным секторами. Эта концепция особенно верна в мире, который двигается со скоростью света — со скоростью интернета. Своевременный, достоверный и оперативный обмен информацией, относящейся к кибербезопасности, между организациями — в критических секторах, между секторами, в пределах одной страны и в международных масштабах — является чрезвычайно важным для эффективного противостояния угрозам кибербезопасности организаций. Одним из наиболее важных результатов обмена информацией является установление доверия между людьми и организациями. Обмен информацией представляет собой эффективный метод управления совместными рисками в среде, где картина угроз постоянно меняется. Обмен информацией все больше поощряется законодателями и другими заинтересованными сторонами, которые осознают, что снижение рисков кибербезопасности для правительственных систем, критических объектов инфраструктуры и предприятий все в большей степени зависит от этой формы проактивного сотрудничества. Однако, выгоды в сфере безопасности, получаемые в результате обмена информацией, должны достигаться таким способом, чтобы при этом не наносился ущерб конфиденциальности и не ущемлялись права и свободы личности. Для того, чтобы программы обмена информацией широко использовались и были успешными, надежная защита конфиденциальности и гражданских свобод должна ставиться на первое место.

Министр иностранных дел Австралии Джули Бишоп, в центре, посещает центр операционной безопасности компании Telstra перед выступлением по случаю инаугурации «Стратегии международного киберсотрудничества» в Центре ознакомления посетителей компании Telstra в Сиднее в октябре 2017 г. EPA

Ни одна организация не в состоянии справиться с полным спектром вопросов по обеспечению своей кибербезопасности и жизнестойкости своих компьютерных сетей в одиночку. Организации тяготеют к глобальной взаимосвязи и, соответственно, в одинаковой степени подвержены глобальным угрозам кибербезопасности. Поэтому, необходимо сотрудничество с партнерами с различной организационной, функциональной, секторальной и национальной принадлежностью и с предприятиями, начиная от малых и средних и заканчивая многонациональными частными корпорациями и правительствами. Это чрезвычайно важно для противодействия динамичным и многоплановым угрозам для кибербезопасности, которые могут нанести вред организации и ее службам. Более того, критически важные объекты инфраструктуры в большинстве случаев находятся в частных руках. В частном секторе накоплен значительный опыт в развитии интернет-политики, создании компьютерных технологий и организации защиты против несанкционированного проникновения в сети.

Отношения партнерства используются организациями государственного и частного секторов для обмена информацией об инцидентах, уязвимых местах, угрозах, соответствующих стратегических вопросах, операционных методах и примерах наиболее эффективных решений. Ряд стран, таких как Германия, Голландия, Великобритания и США, приобрели значительный опыт посредством сотрудничества, при этом в ходе сотрудничества своими знаниями обменивались все заинтересованные стороны, такие как правительства, национальные агентства, регулирующие органы, компании, занимающиеся информационными технологиями (ИТ), фирмы по безопасности ИТ, крупные предприятия, частные объекты критически важной инфраструктуры и исследователи в области безопасности. Это сотрудничество развивалось неравномерно, в зависимости от ситуации, культурных особенностей и законодательных рамок в каждой конкретной стране. Некоторые из этих отношений между представителями государственного и частного секторов были закреплены законодательным или регулятивным образом. Другие создавались просто организациями-единомышленниками без всякого юридического оформления.

Ключ к успеху

Создание обстановки доверия чрезвычайно важно для любого партнерства между общественными и частными организациями, поскольку информация, передающаяся в рамках такого сотрудничества, зачастую носит закрытый характер. Чрезвычайно важно создать атмосферу, в которой общественные и частные субъекты понимают требования друг друга к вопросам порядочности и действуют соответствующим образом. Доверие особенно важно тогда, когда сотрудничество базируется на добровольном обмене информацией и добровольном участии в партнерстве. В основанном на доверии партнерстве у всех его участников должно быть понимание того, что цель сотрудничества не в том, чтобы выявить у одного из партнеров слабое место или упущение в том, что касается кибербезопасности. Эффективно функционирующее партнерство создает атмосферу уверенности и доверия, что позволяет обмениваться примерами удачных и неудачных решений между заинтересованными сторонами, делиться опытом относительно предпринятых против них нападений, обсудить подготовительные меры или даже реагирование простых граждан и регулирующих органов на разнооб­разные аспекты такого широкомасштабного вопроса, как информационная безопасность. Доверие между участниками создается в зависимости от их вкладов, совместной деятельности и накопленного опыта.

Существуют различные методы построения доверия, такие как неформальные встречи, рабочие встречи малыми группами, прозрачность деятельности, телеконференции, сети доверия и репутация порядочного партнера. Центры обмена информацией и анализа или организации по обмену информацией и анализу, использование «Протокола светофора» и других стандартов устанавливают правила передачи информации. В рамках усилий по выработке доверия важно с самого начала создать отношения партнерства. Этого можно достичь, начав работать с партнером на ранних стадиях, в идеале вообще «с чистого листа», или привлекая партнеров из государственного или частного секторов на наиболее приоритетных этапах проекта или на этапах, когда надо достичь определенной цели.

Для углубления сотрудничества необходимо постоянное и регулярное взаимодействие между заинтересованными сторонами. Доверие также создается путем установления совместного руководства программами и механизма принятия решений, основанного на консенсусе партнеров. Эффективное партнерство между общественными и частными организациями характеризуется четким набором правил, регулирующих рамки сотрудничества, такими как меморандум о взаимопонимании, а в случае партнерства с большим количеством участников — соглашения об обмене (кибер) информацией (или, как минимум, разработка руководящих принципов и этикета, которые стороны будут соблюдать). Правила должны предотвращать конфликт интересов и исключать двусмысленность в отношениях, обозначать четкие сферы ответственности и отчетности, а также определять реально достижимые цели и устаноавливать стимулы для партнеров. Еще одним ключом к успеху является общий интерес, который создаёт основу для сотрудничества и ситуацию, при которой в выигрыше остаются все партнеры. Необходим баланс между частным сектором (который рассматривает угрозы для кибербезопасности с точки зрения возможных финансовых потерь и испорченной репутации) и общественным сектором (где кибербезопасность рассматривается как общественное благо).

Вице-президент Европейской Комиссии Андрус Ансип, слева направо, Комиссар Союза безопасности ЕС Джулиан Кинг и Комиссар Цифровой экономики и общества при ЕС Мария Габриэль выступают на тему кибербезопасности в Брюсселе. Рейтер

Для того, чтобы избежать недоразумений и ошибок, необходимо сразу внести ясность в такие аспекты, как возникновение напряженности или конкуренции. Если интересы партнеров не полностью совпадают, то тогда предлагается, чтобы их поведение регулировалось принятыми всеми сторонами правилами. Необходимо, чтобы каждая сторона имела четкое представление о приоритетах, целях и пределах возможностей своих партнеров. Это предотвращает возникновение конфликтных ситуаций из-за неправильной оценки партнера. Как государственные, так и частные организации должны иметь представление о движущих мотивах друг друга и быть в состоянии дать оценку, являются ли цели партнеров достаточно явными и совместимо ли функционирование такого партнерства с этими целями. Сотрудничество возможно только тогда, когда обе стороны понимают задачи и полномочия друг друга и стандартные операционные процедуры. Более того, топ-менеджеры организаций должны иметь четкое представление о целях и задачах и о том, как защита интересов акционеров способствует реализации целей и задач организации.

Обмен информацией в рамках партнерства приносит большие выгоды. Чрезвычайно важно, чтобы в течение определенного времени каждый партнер передал другим сторонам примерно такое же количество информации, какое он получил от других сторон. Это стимулирует каждого участника к сотрудничеству и повышает доверие в рамках партнерства. Второй, не менее важный плюс состоит в наработке сети надежных коллег. По мере того, как постепенно растет степень доверия, появляется желание и дальше продолжать обмен информацией. Энергичное участие каждой организации-партнера постоянно повышает ценность всех заинтересованных сторон вместе взятых, что служит движущей силой для продолжения партнерства. Приверженность партнерству на уровне топ-менеджеров государственных и частных организаций должна быть доведена до сведения всего персонала этих организаций.

Партнерские отношения складываются наилучшим образом, когда сотрудничающие организации находятся примерно на одном уровне зрелости. О степени зрелости организации свидетельствует ее желание обмениваться чувствительной информацией, относящейся к кибербезопасности, профессионализм и опыт персонала компании, отвечающего за кибербезопасность, и способность профессионально и безопасно обращаться с чувствительной информацией, полученной от других партнеров. Однако, в некоторых случаях уровень способности и зрелости партнерских организации различен. Более крупные организации еще могут получать выгоды от обмена информацией с меньшими по размеру организациями и от защиты таких организаций, поскольку это может позитивно сказаться на репутации всего сектора. У разных организаций разная история и разная модель функционирования, особенно у организаций из разных стран. У каждой из них своя культура, история, язык, правовая система, политические и этические предпочтения, а также свой опыт, процедуры, правила функционирования и практическая деятельность. Одни из них общественные организации, другие частные, и одни из них могут быть более открыты в сотрудничестве, чем другие.

Языковые барьеры могут возникать не только во время перевода с одного языка на другой, но и из-за разной лексики или технической терминологии (сленг, специфичный для конкретного сектора). Недостаточное внимание к этим различиям во время взаимодействия людей, технологий и процедур может негативно сказаться на сотрудничестве и обмене информацией. Помощь людей, способных преодолеть культурные барьеры, может способствовать беспрепятственному обмену информацией между разнородными партнерами. Более того, нельзя заставлять организации делиться информацией вопреки их воле. Если от них этого потребовать, то они могут продемонстрировать свое нежелание путем умышленного предоставления огромного количества ничего не значащей информации. Однако, в отдельных случаях, когда дело касается национальной безопасности или безопасности населения, сообщения об имевших место инцидентах с компьютерными сетями могут носить обязательный характер. В настоящее время идут дебаты между сторонниками принудительного и добровольного обмена информацией. Это не полный и окончательный список ключевых факторов, необходимых для установления и поддержания успешных партнерских отношений между общественными и частными организациями, но это те характеристики, которые были отмечены в ходе многочисленных исследований и которые стоит взять на заметку.

Проблемы

Партнерские отношения сталкиваются со многими проблемами, которые затрудняют обмен информацией. Иногда сообщения об обнаруженных уязвимых местах противоречат коммерческим интересам частных компаний, особенно, когда обнаружение и исправление недостатка прежде, чем о нем узнает конкурент, даст определенные рыночные преимущества. Общественный сектор также сталкивается с ограничениями при обмене информацией. Секретная и с ограниченным доступом информация, а также торговые секреты не могут передаваться людям, не имеющим необходимого допуска к секретным документам. Даже те сотрудники частного сектора, которые имеют допуск к секретным документам, зачастую ничего не могут делать с секретной информацией из-за существующих законов и правил. Более того, ожидания, что информация об угрозах, поступающая из государственного сектора в частный, окажется верной, приводит к длительному и тщательному процессу рассмотрения и пересмотра данных, что задерживает выдачу критичной по времени информации. Высокая сменяемость кадров в государственном секторе часто негативно влияет на эффективность сотрудничества, особенно на аспект установления доверия. Нежелание делиться информацией может также происходить оттого, что пассивные партнеры или те, которые не делятся информацией, не несут никакого наказания или, потому что условия вступления в партнерство слишком облегченные и неформальные. Еще больший ущерб партнерству могут нанести недостаточное уважение к конфиденциальности информации или к установленным правилам сотрудничества, с которыми согласились все заинтересованные стороны. Продуктивный обмен информацией между организациями из разных стран также затрудняется разницей в законах и местных правилах, налагающих ограничения на обмен и хранение информации, а также правилами секретности и неразглашения информации.

Немецкий телекоммуникационный гигант Deutsche Telekom AG открыл крупнейший в Европе Операционный центр киберобороны и безопасности в Бонне в октябре 2017 г. Рейтер

Некоторые страны или отдельные сектора в экономике предполагают, что в соответствии с национальным или европейским законодательством обмен информацией об инцидентах с компьютерными сетями можно интерпретировать как поведение, нарушающее конкуренцию, и, потому, посягающее на существующие правила конкуренции. Более того, правоохранительные органы и другие общественные службы могут иметь задачи, вступающие в конфликт друг с другом, а их роль может иметь двусмысленный характер. Обмен детальной информацией об угрозах с целью повысить общее осознание сложившейся ситуации может также, при определенных юридических обстоятельствах, заставить правоохранителей предстать в новой роли и использовать эту информацию в целях проведения расследования. В результате источник информации может быть обнародован в суде, и может пострадать репутация организации, ставшей жертвой нападения. Национальные законы и правила в отношении защиты персональной информации выступают в качестве дополнительного барьера на пути процесса обмена информацией. Например, национальные законы, которые считают IP-адреса персональной информацией, не разрешают организациям обмениваться этой информацией, даже если это окажет помощь другим компаниям.

Рекомендации:

  • Обеспечьте участие всех слоев общества. Партнерство должно использовать информацию, предоставляемую теми участниками, которые наилучшим образом подходят для достижения целей этого партнерства. Как общественные, так и частные субъекты имеют законные (хотя и разноплановые) интересы в сфере кибербезопасности и должны сотрудничать между собой. Поскольку залогом успеха является поддержка руководства на самом высоком уровне, участие в партнерстве государственного сектора должно включать представителей ключевых министерств, имеющих отношение к вопросам кибербезопасности. Участие государственных, местных и территориальных правительственных учреждений также является важным для обеспечения безопасности критической цифровой инфраструктуры на региональном и местном уровнях. Правительства разных стран также должны участвовать либо по межправительственным каналам, либо напрямую через партнерские отношения, чтобы обеспечить взаимодействие при решении как технических, так и политических вопросов. Наконец, для частного сектора сферой подходящего партнерства были бы как промышленные компании, так и некоммерческие организации; в число последних входят академические круги и защитники конфиденциальности и гражданских свобод. Например, привлечение некоммерческих организаций, занимающихся вопросами общественного управления посредством интернета, было бы необходимо для достижения координации политики, в то время как те организации, которые делают в своей работе упор на технологическом развитии, оказали бы большую помощь в продвижении исследований и разработок в сфере кибербезопасности. Представители академических кругов были бы также полезны в работе по обоим направлениям. Одинаково важным также является включение в число партнеров частного сектора промышленных компаний, от крупнейших корпораций до небольших стартапов. Более того, хотя поддержка на уровне высшего руководства в обоих секторах является залогом успеха, не менее важно иметь партнерские отношения и на тактических уровнях в организациях-партнерах для того, чтобы детальное обсуждение вопросов проходило между экспертами всех рангов.
  • Установите ясность относительно возможных напряженных ситуаций и конкуренции. Похоже, что заинтересованные стороны в правительственных кругах считают кибербезопасность вопросом национальной безопасности. Они требуют, чтобы частный сектор приложил все знания и опыт для того, чтобы обезопасить киберпространство, и считают партнерские отношения общественным благом. В противоположность государственному сектору, частный сектор, похоже, считает кибербезопасность затратой, необходимой для охраны инвестиций в интеллектуальную собственность и в иные активы. Партнерство с общественным сектором представляет интерес только с той точки зрения, что оно служит цели увеличения прибыли. Четко установив конечную цель, партнеры легче смогут преодолеть культурные различия и достичь успеха, хотя достигать этого они будут совершенно разными путями.
  • Укрепляйте доверие, базирующееся на взаимной уверенности в том, что сотрудничество принесет выгоды обоим партнерам. Доверие является ключевым элементом любых успешных отношений, оно достигается со временем и, как правило, через личные отношения. Партнерство между двумя секторами должно базироваться на правилах, способствующих долгосрочному сотрудничеству, поддерживаемому определенными стимулами. Правильно подобранный персонал — еще один путь к укреплению доверия. Участники партнерства, вносящие ценный вклад, который невозможно получить другим путем, будут укреплять стимулы к созданию доверительных отношений. Кроме того, отношения доверия должны быть взаимными. Это означает, что получатель информации не будет ею злоупотреблять и не нанесет вреда источнику, но, с другой стороны, будет доверять источнику настолько, чтобы быть уверенным, что информация подлинная и не вводит в заблуждение. Вот почему партнерства должны принять правила рассылки информации, такие как «Протокол светофора», чтобы дать источнику информации уверенность в том, что информация будет использована только так, как было ранее согласовано. Более того, в отдельных случаях необходимо заключить соглашение о неразглашении информации и достичь договоренности о правилах обмена чувствительной информацией.
  • Создайте стимулы для партнерства государственного сектора. Хотя создание атмосферы доверия чрезвычайно важно для формирования настоящего партнерства, Рейчел Нисвандер Томас и Ларри Клинтон в своих трудах, опубликованных, соответственно, Центром стратегических и международных исследований и в журнале «Journal on Strategic Security», указывают, что также должны присутствовать стимулы, чтобы вознаградить каждый из секторов за сотрудничество. Когда мы говорим о подходе, основанном на побудительных мотивах, то лучше привязывать стимулирование к результату, чем к деятельности. Стимулы могут включать снижение уровня риска взлома системы путем создания более совершенной системы безопасности и жизнестойкости; экономию средств благодаря распределению труда при решении критической проблемы; доступ к конфиденциальной информации, получаемой от правительства; доступ к знаниям, которые невозможно получить никаким иным путем; возможность не соблюдать неадекватное предписание; возможность вносить вклад в стратегические решения и национальную политику; технические знания; развединформацию, исследования и анализ; подтягивание своих навыков, опыта и организационной структуры до уровня партнеров; и приостановление членства за отказ делиться информацией или пропуски совместных заседаний.
  • Установите правовые/регуляторные рамки. Значительный рост партнерского сотрудничества в сфере кибербезопасности между государственными и частными организациями за последнее десятилетие позволяет сделать вывод, что общественные и частные субъекты могут работать вместе и без юридического оформления. Однако, правовые нормы могут помочь создать регулируемую среду, более благоприятную для добровольного партнерства в таких секторах как финансы или телекоммуникации. Если будет четкое разъяснение полномочий различных общественных институтов при оказании помощи частному сектору в случае незаконного проникновения в его сети, то это позволит общественным институтам более своевременно реагировать на запросы, что сделает их более привлекательными для партнерства в глазах частного сектора. Такие правила должны предотвратить появление конфликта интересов и снизить вероятность двусмысленных ситуаций.
  • Разработайте подход «снизу-вверх». Партнерство, движимое в основном необходимостью обеспечения подконтрольности, будет требовать более жесткой инфраструктуры (и, возможно, сети отношений, основанных на какого-либо рода контракте), в то время как партнерство, ценящее гибкость, предпочтет более неформальные рамки. Учитывая, что кибербезопасность является аспектом национальной безопасности, может показаться логичным при формировании партнерства между частным и общественным секторами отдать предпочтение подконтрольности, а не гибкости. Однако, быстро развивающаяся природа киберугроз и необходимость в оперативном технологическом прогрессе для того, чтобы противостоять этим угрозам, делают гибкость чрезвычайно важным фактором в партнерствах по вопросам кибербезопасности. Это совсем не исключает возможность введения регуляторного механизма с целью поощрения подконтрольности, но структура самого партнерства в условиях эволюционирующего киберпространства должна быть достаточно гибкой, чтобы отвечать его целям.
  • Создайте крепкую и устойчивую финансовую базу (пример Великобритании). Правительство может добавить такому партнерству ценность и снизить экономические барьеры, покрыв административные расходы и стоимость места проведения встреч.
  • Сделайте максимальной прозрачность. Четко информируйте участников об актуальности и дополнительных преимуществах партнерства и будьте транспарентными в вопросах соблюдаемых правил и практических действий.
  • Правильно распределяйте и разделяйте риски. Вопросы кибербезопасности должны быть частью непрерывного цикла управления рисками в организации.

Двигаясь вперед

Партнерство государственного и частного секторов остается чрезвычайно важным и эффективным инструментом для достижения целей кибербезопасности как в интересах государства, так и в интересах бизнес-сообщества. Совместные действия по предотвращению, защите, смягчению последствий и восстановлению после нападения является наилучшим способом обезопасить киберпространство. Но для смещения баланса в пользу жизнестойкости и прочной защиты, занимаясь одновременно и новаторскими разработками, требуется сосредоточение ресурсов на исследованиях и разработках, выработка соответствующей политики на национальном и международном уровнях и создание человеческого капитала в лице профессионалов высокого класса. Совместное создание экосистемы кибербезопасности способствует достижению целей как государства, так и бизнес-сообщества, поскольку обеспечивает развитие рынка и общественную безопасность.

Высказанные в статье взгляды принадлежат только автору и не обязательно отображают официальную политику или позицию правительства Польши, Министерства кибернетики или любого другого правительственного учреждения.