Мы продолжаем серию публикаций, посвященную своду знаний по кибербезопасности - Cybersecurity Body of Knowledge (CyBOK). В Главе 3 данного свода знаний описываются основные регуляторные нормы и принципы международного права, которые имеют отношение к кибербезопасности и могут применяться при оценке киберрисков, управлении ИБ, расследовании киберинцидентов. Сегодня – восьмая часть обзора Главы 3 CyBOK, в которой обсуждаются вопросы юридической значимости электронных подписей и ответственности издателей сертификатов, некоторые отраслевые требования по ИБ и экспортные ограничения для технологий кибербезопасности.
Руслан Рахметов, Security Vision
Предыдущие главы и части:
Глава 3 часть 1, часть 2, часть 3, часть 4, часть 5, часть 6, часть 7
3.10. Электронные документы и службы удостоверения подлинности личности
С ростом уровня цифровизации появилась необходимость перенести в электронный вид традиционные методы обеспечения подлинности и целостности бумажных документов, такие как подписи, печати, несмываемые чернила. Ответом стали защитные технологии, зачастую основанные на PKI (Public Key Infrastructure, инфраструктура открытых ключей), применение которых породило ряд новых юридических вопросов: юридическая значимость электронных документов, правовое обеспечение цифровых коммуникаций, права и обязанности при предоставлении и использовании электронных услуг.
3.10.1. Допустимость использования электронных документов в качестве доказательства
Приемлемость электронных документов в качестве доказательства при судебных разбирательствах встречается сейчас повсеместно. Суды и законодатели допускают использование инструментов форензики, разработанных для проверки подлинности и целостности данных. Законодательство различных стран может требовать выполнения специальных процедур для признания доказательств в электронном виде, однако правила в целом совпадают с требованиями к документально подтверждаемым свидетельствам других типов.
3.10.2. Требования к форме и риск неприменимости законодательных норм
Законодательное требование к форме выражается в том, что некоторая коммуникация может быть объектом правоприменения только в том случае, если она носила заранее определенную форму. Невыполнение применимых законодательных требований к форме порождает риск того, что предмет (существо) коммуникации потеряет юридическую силу. Разные страны применяют различные требования к форме, которые могут включать выполнение следующих примерных правил для признания документов имеющими юридическую силу:
· некоторые юридические уведомления должны направляться в письменной форме (в виде бумажного документа);
· определенные договоры должны быть собственноручно подписаны;
· некоторые обращения в государственные органы могут быть оформлены только по специальной форме;
· некоторые пункты договоров, влияющие на ответственность одной из сторон, должны быть оформлены с визуальным выделением (например, с использованием заглавных букв, заметного шрифта и т.д.) и подписаны одной из сторон;
· завещание должно быть составлено в письменном виде и подписано в присутствии свидетелей;
· документ о передаче прав на имущество должен быть подписан в присутствии государственного служащего, который затем ставит на документ печать.
Электронные торговые системы, появившиеся в 1960-х годах, обошли часть формальных требований к оформлению документов за счет подписания в бумажной форме рамочного договора, который содержал перечень правил электронной торговой площадки и их связь с юридическими обязательствами - в результате, структурированные текстовые сообщения в электронной торговой системе становились юридически значимыми коммуникациями между участниками торговли. Однако, современные торговые площадки предъявляют гораздо меньше формальных требований к участникам торговли (физическим и юридическим лицам - продавцам и покупателям). В 1996 году в ООН был подписан типовой закон ЮНСИТРАЛ (UNCITRAL) об электронной торговле для облегчения использования интернет-площадок в коммерческих целях и устранения юридических препятствий за счет принятия правила равнозначности документов в бумажном и электронном видах. В свою очередь, отдельные государства стали принимать законы, обеспечивающие правовую основу для онлайн-взаимодействия, включая торговлю, передачу финансовой информации и отчётности, правила судебных разбирательств и т.д. Однако, определенные чувствительные вопросы во многих странах до сих пор не переведены в электронный формат - включая, например, передачу прав собственности или вопросы наследования имущества. В России, однако, большинство вопросов можно решить через портал Госуслуг, что порождает определенные материальные риски и юридические последствия для граждан: например, через Госуслуги можно оформить кредит или продать недвижимость - именно поэтому важно знать о возможности установить самозапрет на получение кредитов и запрет на действия с недвижимостью без личного участия собственника.
3.10.3. Электронная подпись и службы удостоверения подлинности личности
Развитие сектора электронной коммерции шло одновременно с распространением служб удостоверения подлинности личности (англ. identity trust services), в том числе тех, которые выпускают цифровые сертификаты, связывающие определенное лицо с его открытым ключом в рамках PKI-инфраструктуры. По мере развития таких служб проверки подлинности сформировались два предмета дискуссии: во-первых, в какой степени юридическая значимость собственноручной подписи на бумаге соответствует цифровой подписи; во-вторых, каков объем прав и обязанностей лиц, обслуживающих и использующих такие службы. Первый вопрос решён в большинстве государств, где в оговорённых условиях цифровая подпись приравнивается к собственноручной: например, в России в соответствии с нормами Федерального закона "Об электронной подписи" №63-ФЗ от 06.04.2011 г. применяют простые электронные подписи (ПЭП, пара "логин-пароль" или одноразовый код из СМС/приложения), неквалифицированные электронные подписи (НЭП, пара открытый-закрытый ключ и сертификат), а также усиленные квалифицированные электронные подписи (УКЭП/КЭП, выдаются аккредитованными удостоверяющими центрами, используются сертифицированные СКЗИ). Вопрос прав и обязанностей служб удостоверения подлинности личности уже сложнее: нужно определить меру ответственности издателя за некорректно выданные цифровые сертификаты и за сбои в системе проверки их валидности, за компрометацию закрытого ключа корневого центра сертификации, за нарушение доступности сервиса и киберинциденты. Кроме того, важно определить правила ответственности подписанта, который может скомпрометировать свой закрытый ключ или потерять доступ к устройству для создания подписи - эти вопросы регулируются отраслевым законодательством конкретной страны и рассматриваются для каждого конкретного сценария использования (например, при использовании электронных платежных систем). При использовании систем выдачи сертификатов возникают задачи обмена информацией между принимающей сертификат сущностью и доверяющей ему стороной, пользователем-подписантом и центром сертификации, выпускающим и подтверждающим действительность сертификата. Общими правилами стали следующие нормы, представленные в различных законодательных актах некоторых стран:
· обязательность признания цифровых подписей в качестве юридического доказательства;
· обязательность признания цифровых подписей эквивалентом собственноручной подписи при условии выполнении ряда технических требований для обеспечения подлинности и целостности;
· судьям рекомендовано не отказывать в признании цифровых подписей юридически значимыми лишь потому, что они имеют электронную форму;
· обязанность издателя сертификата обеспечивать должную надежность и осторожность в отношении третьих лиц, которые доверяют выпущенному сертификату;
· возложение ответственности на издателя сертификата в вопросе подтверждения надежности операций (вместо обязанности пострадавшей стороны, доверявшей выпущенному сертификату, самостоятельно доказывать небрежность издателя);
· внедрение фреймворков для повышения технических и нетехнических стандартов качества при выдаче сертификатов;
· предоставление издателям сертификатов возможность ограничить свою финансовую ответственность за счет указания применяемых ограничений в текстовом виде в теле самого сертификата;
· предоставление издателям сертификатов возможность исключить свою ответственность путём указания исключений в текстовом виде в теле самого сертификата.
Кроме указанных принципов важно учитывать юридический вопрос доверия издателям сертификатов со стороны конечных пользователей - это касается в том числе пользователей интернет-браузеров и работодателей, которые устанавливают на устройства сотрудников корпоративные корневые сертификаты, обеспечивающие санкционированную инспекцию зашифрованного трафика.
3.10.4. Коллизионное право при использовании электронных подписей и служб удостоверения подлинности личности
Правовые коллизии возникают при трансграничном использовании сертификатов - например, если издатель сертификата находится в одном государстве, подписант - в другом, а лицо, полагающееся на подлинность сертификата - в третьем. Если речь идёт о передаче прав на собственность, которая физически может находиться уже в четвёртом государстве, то будут применяться нормы права этого государства. В соответствии с законом ЕС "Rome I" (Регламент 593/2008) был выработан единый механизм правоприменения для договорных обязательств, который предполагает предварительный выбор юрисдикции сторонами договора для решения споров, а в случае претензий со стороны покупателя трансграничный договор с продавцом может быть признан действительным только в случае его валидности в стране проживания потребителя. Не менее сложные кейсы могут возникнуть, например, в случаях, когда издатель сертификата использовал принципы ограничения собственной ответственности в соответствии с нормами своей страны резидентства, а лицо, пострадавшее от неосторожности или небезопасности действий издателя, подаёт иск в другой стране (в которой оно зарегистрировано).
3.11. Другие регуляторные вопросы
3.11.1. Отраслевые требования и Директива NIS
Помимо государственных органов, различные отраслевые регуляторы также разрабатывают свои требования к кибербезопасности - например, в финансовом секторе, юридической практике, здравоохранении могут применяться нормы об отчетности и оповещении по инцидентам несанкционированного доступа к данным. Рост уровня киберрисков, особенно для национальных критических инфраструктур, повлёк разработку различных государственных требований в области кибербезопасности. Например, в ЕС действуют Директива 2016/1148 ("NIS") и Директива 2022/2555 ("NIS 2"), посвященные мерам обеспечения кибербезопасности сетевых и информационных систем (Network and Information Systems, сокр. NIS). Требования Директивы "NIS 2" применяются к 18 секторам критической инфраструктуры - энергетике, транспорту, водоснабжению, здравоохранению, науке, химической и пищевой промышленности, финансовому и цифровому секторам, сфере государственного управления. Положения Директивы "NIS 2" включают:
· ответственность непосредственных руководителей организаций за исполнение требований Директивы;
· необходимость реализации процессов управления киберрисками, киберинцидентами, непрерывностью бизнеса, безопасностью цепочек поставок (включая сервис-провайдеров);
· отправку уведомлений в региональный центр CSIRT (Computer Security Incident Response Team, группа реагирования на киберинциденты) в течение 24 часов после обнаружения инцидента и в течение 72 часов после первичного анализа инцидента (с указанием опасности и ущерба, перечислением индикаторов компрометации), с предоставлением итогового отчета по инциденту не позднее чем через 1 месяц;
· штрафные санкции за несоблюдение требований Директивы "NIS 2" составляют до 10 млн евро или до 2% от годового оборота компании-нарушителя.
В США ключевыми нормативными актами в области кибербезопасности являются:
· Федеральный закон об управлении информационной безопасностью (FISMA - Federal Information Security Management Act) 2002 года с изменениями 2014 года;
· Закон об обмене информацией в сфере кибербезопасности (CISA - Cybersecurity Information Sharing Act) 2015 года;
· Закон об укреплении американской кибербезопасности (Strengthening American Cybersecurity Act) 2022 года;
· Закон о порядке сообщения о киберинцидентах в критически важной инфраструктуре (CIRCIA - Cyber Incident Reporting for Critical Infrastructure Act) 2022 года.
3.11.2. Повышение кибербезопасности товаров и услуг
Развитие интернета вещей и облачных сервисов создают повышенные риски нарушения конфиденциальности данных частных покупателей и компаний, в связи с чем регулирующие органы различных стран разрабатывают юридические правила сертификации соответствия ИБ-стандартам для продуктов и услуг. Например, в ЕС действует Закон о кибербезопасности (EU Cybersecurity Act, Регламент 2019/881), который разработан в целях повышения кибербезопасности цифрового рынка и является фреймворком добровольной сертификации для ИТ-продуктов, сервисов, процессов и присвоения им одного из трёх уровней оценки надёжности. В США действует Закон о повышении кибербезопасности интернета вещей (IoT Cybersecurity Improvement Act) 2020 года, в рамках которого американский институт NIST ведет работу по стандартизации для обеспечения ключевых требований закона (управление уязвимостями и обновлениями IoT-устройств, запрет использования жестко закодированных учетных данных, выполнение производителями базовых ИБ-требований).
3.11.3. Экспортные ограничения для технологий кибербезопасности
Режим экспортных ограничений действует на различную продукцию двойного назначения, в том числе на криптографические функции как часть программного и аппаратного обеспечения. До 2000 года в США применялись достаточно строгие ограничения к экспортируемым в другие страны продуктам с встроенными криптографическими функциями - например, первые стабильные релизы интернет-браузера Netscape Navigator в 1995 году распространялись в США и Канаде в версии с полноценной поддержкой асимметричных RSA-ключей длиной 1024 бит и алгоритма симметричного потокового шифрования RC4 с ключами длиной 128 бит, в то время как в экспортных версиях поддерживались только RSA-ключи длиной 512 бит и ключи RC4 длиной всего 40 бит, что означало их низкую криптостойкость. Наконец, в 2000 году судебным решением США было установлено, что запрет на распространение исходного кода программ и алгоритмов нарушает принцип свободы слова (Первую поправку к Конституции США), а правительство обновило экспортные требования, которые стали налагать значительно менее широкие ограничения на криптографический функционал. Однако, в настоящее время контроль за экспортом и импортом криптографического оборудования сохраняется: например, Центр по лицензированию, сертификации и защите государственной тайны (ЦЛСЗ) ФСБ России осуществляет регистрацию нотификаций о характеристиках продуктов, содержащих шифровальные (криптографические) средства - такое разрешение требуется получать при ввозе в РФ различных импортных устройств, реализующих определенные криптографические функции (например, шифрующих трафик). Контроль экспорта российских товаров и технологий двойного назначения, включая криптографические средства, осуществляет уже ФСТЭК России.
3.11.4. Вопросы защиты государственной тайны
ИБ-специалисты, работающие в государственных учреждениях, могут столкнуться с применением законодательных требований о защите секретных данных или государственной тайны. Чаще всего данные типы информации связаны с обороноспособностью государства, с проведением расследований и работой правоохранительных органов, с безопасностью отдельных лиц и т.д. Законы о защите гостайны могут использоваться для засекречивания научно-исследовательских и опытно-конструкторских работ третьих лиц, а ИБ-специалисты могут подпадать под действие этих законов при работе с некоторыми данными аналитики киберугроз (киберразведки). Нарушение требований законодательства о защите гостайны может грозить очень серьёзными последствиями.