Политика №17, декабрь 2022

Европейская модель обеспечения безопасности Интернета вещей

Фото аватара
Мадина Касенова
Предисловие

Физические объекты («вещи»), подключенные к Интернету и иным коммуникационным сетям, иначе – Интернет вещей (Internet of Things, IoT), получают широкомасштабное применение, а современная парадигма IoT приобретает первостепенную значимость в силу ее многоплановости, которая охватывает бытовую технику, промышленность, секторы здравоохранения, энергетики, транспортные системы и т.д. Интернет вещей как некое слияние цифрового и физического мира в последнее десятилетие стал одной из фундаментальных и определяющих тенденций цифровой трансформации экономики, бизнеса, социальных отношений. По показателям некоторых статистических данных количество инсталлированных устройств IoT стремительно увеличивается, и к 2025 году прогнозируется их рост до 75,44 миллиарда, тогда как в 2015 году их насчитывалось 15,41 миллиарда. [1]

Посредством датчиков и электронных преобразователей технология IoTагрегирует, обрабатывает, хранит на устройствах, операционных системах, платформах облачных сервисов, а также распределяет и передает огромные объемы данных. Вместе с тем становится все более очевидным, что устройства Интернета вещей не всегда устойчивы к уязвимостям, подвержены взлому и другим видам атак, что создает существенные проблемы кибербезопасности, включая обеспечение конфиденциальности данных. Принимая во внимание взаимосвязанность и взаимообусловленность пространства Интернета вещей, любой киберинцидент, например, с подключенным устройством, способен оказать негативное влияние не только на само устройство, но также на целую зависимую систему в трансграничном масштабе.

Сказанное объясняет сфокусированность современных государств на принятии разнообразных законодательных и нормативных актов, направленных на решение сложных проблем стандартизации безопасности Интернета вещей, что обеспечит защиту всех, кто использует устройства IoT, а также определит специальные требования кибербезопасности к изготовителям, поставщикам и пользователям цифровой продукции.

Стандартизация безопасности является существенным инструментом, обеспечивающим универсализацию спецификаций, сертификатов и протоколов для целей совместимости устройств и приложений технологии Интернета вещей. В этой связи следует отметить, что нормативный регуляторный формат Интернета вещей зиждется на комплексе международных (универсальных и региональных) технических стандартов, куда прежде всего входят стандарты ISO/IEC, стандарты Европейского института телекоммуникационных стандартов (ETSI)[1], используемые в Европе, а также принимаемые де-факто Европейской комиссией (далее – Еврокомиссия) в качестве технической основы для директив и регламентов Европейского Союза (далее – Евросоюз или ЕС). Нелишне обратить внимание, в частности, на тот факт, что на международном стандарте ISO/IEC 30141:2018 «Информационные технологии – Интернет вещей (IoT) – Эталонная архитектура»[2] основывается действующий национальный стандарт Российской Федерации, утвержденный приказом Росстандарта (23.07.2020 № 29-пнст) и введенный в действие на период с 01.01.2021 по 01.01.2024[3].  Стандарты ETSI стали основой системы маркировки для устройств Интернета вещей (Labeling Scheme for IoT Devices), которую Финляндия ввела в действие с 2019 года для смарт-телевизоров, смартфонов, игрушек. Стандарты ETSI и ISO/IEC явились базой потребительской маркировки безопасности (Consumer SecurityLabel) в Германии (2021) для широкополосных маршрутизаторов, смарт-телевизоров, камер, динамиков, игрушек, уборочных и садовых роботов.

Несмотря на значимость принимаемых на национальном уровне законодательных и нормативных актов, направленных на обеспечение безопасности Интернета вещей, они фрагментарны и лишь частично решают существующие проблемы кибербезопасности цифровой продукции, а это не только создает риски нормативно-правовой неопределенности как для продавцов, так и для пользователей такой продукции, но также обременяет субъекты экономической деятельности необходимостью соблюдать многочисленные требования и обязательства. Немаловажным обстоятельством, подлежащим учету, выступает так называемое трансграничное измерение кибербезопасности Интернета вещей, поскольку цифровая продукция, произведенная в одной стране, зачастую используется лицами (физическими и юридическими) в других странах, соответственно, возникающие киберинциденты могут одновременно затрагивать не только физические и юридические лица, но и целые секторальные сферы нескольких государств.

Палитра системно развивающейся нормативно-правовой базы Евросоюза, обеспечивающая защиту киберпространства единого внутреннего рынка ЕС и транспарантную регламентацию функционирования его цифрового сектора, пополнилась новой законодательной инициативой. Речь идет о том, что 15 сентября 2022 года Еврокомиссия представила на рассмотрение Европейского парламента и Совета Предложение о принятии Регламента 2022/0272 (COD) относительно горизонтальных требований по кибербезопасности для продукции с цифровыми элементами, а также внесении изменений в Регламент (ЕС) 2019/1020[4]. Контекстный аспект данного регламента, кратко именуемого «Акт о киберустойчивости» (CyberResilience Act, CRA), сопряжен с тем, что кибербезопасность большей части аппаратного и программного обеспечения в Евросоюзе не регулируется общими правовыми актами ЕС, несмотря на то, что существующее законодательство ЕС регламентирует отдельные аспекты применения цифровой продукции. Предлагая к принятию названный регламент, Еврокомиссия исходила из следующих принципиальных моментов.

Во-первых, действующие законодательные акты Евросоюза не затрагивают ряд вопросов кибербезопасности невстроенного программного обеспечения, даже если кибератаки все чаще нацелены на уязвимости в этих изделиях, а это приводит к значительным социальным и экономическим издержкам. Во-вторых, глобальный характер рынков цифровой продукции и трансграничный масштаб ее применения порождают в государствах-членах ЕС риски, независимо от того, в каком государстве эта продукция используется. В-третьих, попытки регулирования рынка цифровой продукции на уровне государств-членов ЕС приводят к возникновению потенциально разных систем национальных нормативных правил, что способствует фрагментации регулирования и не содействует созданию открытого и конкурентоспособного единого рынка цифровой продукции. В-четвертых, повысить уровень доверия пользователей и привлекательность цифровой продукции в Евросоюзе можно лишь совместными действиями на уровне ЕС, усилив его роль в противодействии угрозам кибербезопасности, что принесет пользу единому внутреннему рынку ЕС, обеспечит правовую определенность, а также создаст равные условия для продавцов и потребителей цифровой продукции.

Надлежит отметить, что Акт киберустойчивости 2022 предложен Еврокомиссией в формате принятия не директивы, а регламента, т.е. общеправового законодательного акта прямого действия, подлежащего обязательному непосредственному применению в полном объеме как на уровне ЕС, так и в правопорядках всех государств-членов ЕС. Выбор такого типа регуляторного инструментария – регламента – можно объяснить тем, что законодательная форма директивы оставляет значительную меру усмотрения на национальном уровне, что потенциально может привести к отсутствию единообразного применения существенно значимых требований кибербезопасности, создаст правовую неопределенность и дальнейшую фрагментацию регулирования или породит дискриминационные ситуации в трансграничном масштабе, даже с учетом того, что охватываемая цифровая продукция может иметь различное предназначение или использование, а изготовители могут размещать на рынке разнообразные категории цифровой продукции.

Немаловажно также, что в силу прямого указания, имеющегося в Акте киберустойчивости 2022, сфера его действия распространяется на европейское экономическое пространство (European Economic Area, EEA)[5], а это расширяет рамки применения нормативных положений данного акта на правопорядки стран-членов EEA, т.е. на Исландию, Лихтенштейн, Норвегию. Помимо этого, следует обратить внимание на «опосредованное» расширение сферы охвата Акта киберустойчивости 2022, поскольку пунктом (67) его Преамбулы предусмотрено использование широкого спектра правовых инструментов, таких как билатеральные межправительственные соглашения о взаимном признании (Mutual Recognition Agreements, MRAs). Названные соглашения заключаются между Евросоюзом и третьими странами, которые находятся на сопоставимом уровне технического развития, в частности, со странами Европейской ассоциации свободной торговли (European Free Trade Association, EFTA), членами которой являются как страны-члены EEA, так и Великобритания, Швейцария[6]. Соглашения о взаимном признании не только способствуют торговле товарами между ЕС и странами-членами указанных организаций, равно как и с другими странами[7], облегчая взаимный доступ на рынки, но и базируются на взаимном признании сертификатов (certificates), знаков соответствия (marks of conformity), протоколов испытаний (test reports), выданных органами по оценке соответствия одной из сторон, согласно законодательству другой стороны. По смыслу положений упомянутого выше пункта (67) Акта киберустойчивости 2022, сотрудничество со странами-партнерами повышает киберустойчивость в глобальном масштабе, а в долгосрочной перспективе способствует укреплению системных рамок кибербезопасности как в рамках Евросоюза, так и за его пределами.

Предлагаемый Акт киберустойчивости 2022 тесно встраивается в регуляторные рамки как действующих законодательных актов, так и актов, находящихся в стадии разработки и принятия. Это гармонизирует и упорядочивает нормативно-правовую базу ЕС в части соблюдения вводимых требований кибербезопасности для цифровой продукции, в т.ч. исключая дублирование требований, вытекающих из разнообразных законодательных актов ЕС. В этой связи целесообразно отметить, что Акт киберустойчивости 2022 предполагает его системное взаимодействие с такими ключевыми действующими законодательными актами Евросоюза, как:

  • Директива 2013/40/ЕС об атаках на информационные системы (12.8.2013)[8];
  • Директива (ЕС) 2016/1148 о мерах по обеспечению высокого общего уровня безопасности сетевых и информационных систем в рамках Евросоюза (6.7.2016), именуемая Директивой NIS1[9];
  • Регламент (ЕС) 2019/881 от 17.4.2019 об Агентстве Европейского союза по кибербезопасности (ENISA) и о сертификации кибербезопасности информационно-коммуникационных технологий, а также отмене Регламента (ЕС) 526/2013 (Акт о кибербезопасности)[10];
  • Регламент (ЕС) 2019/1020 от 20.6.2019 о надзоре за рынком и соблюдении требований к продуктам, изменяющий Директиву 2004/42/ЕС и Регламенты (ЕС) 765/2008 и (ЕС) 305/2011[11].

Примечательно, что Акт киберустойчивости 2022 опирается на ряд законодательных актов, которые в настоящее время находятся в стадии принятия, и в их числе следует назвать Предложение по замене Директивы NIS и принятию Директивы NIS2, предварительное соглашение по тексту которой было достигнуто 13 мая 2022 года[12]; Предложение по принятию Регламента (21.04.2021) в отношении установления гармонизированных нормативных правил об искусственном интеллекте, а также внесении изменений в ряд законодательных актов Евросоюза, именуемый «Актом об искусственном интеллекте» (Artificial Intelligence Act, AI Act)[13].

Значительный объем Акта киберустойчивости 2022 позволяет в формате настоящей статьи лишь кратко обозначить его структуру, которая охватывает 71 пункт Преамбулы и семь глав: Общие положения (I); Обязательства для субъектов экономической деятельности (II); Соответствие продукции с цифровыми элементами(III); Нотификация органов по оценке соответствия (IV); Надзор за рынком и правоприменение (V); Делегированные полномочия и процедуры работы комитетов (VI); Конфиденциальность и взыскания (VII). Кроме того, Акт киберустойчивости 2022 содержит четыре приложения, соответственно, (I) детализирует существенно значимые требования кибербезопасности; (II) определяет информацию и инструкции для пользователей; (III) содержит классификацию критически значимой цифровой продукции; (IV) определяет содержание Декларации ЕС о соответствии; (V) детализирует содержание технической документации; (VI) описывает процедуру оценки соответствия.

В содержательном плане нормативные положения Акта киберустойчивости 2022 распространяются на всю цифровую продукцию, предполагаемое и разумно прогнозируемое использование которой связывается с прямым или косвенным, логическим или физическим подключением данных к устройству или сети, что охватывает как аппаратное, так и программное обеспечение. Установленные Актом киберустойчивости 2022 общие правила и требования кибербезопасности затрагивают обязательства разработчиков, изготовителей, дистрибьюторов цифровых продуктов (в т.ч. их представителей) и связываются с реализацией конкретных задач: (1) изготовителям следует обеспечивать безопасность цифровой продукции с момента ее проектирования и разработки, а также на протяжении всего жизненного цикла продукции; (2) производители оборудования и программного обеспечения должны предпринимать согласованные действия по соблюдению требований кибербезопасности; (3) размещаемые на рынке ЕС подключенные устройства, продукция и ПО должны отвечать требованиям кибербезопасности и быть устойчивыми к уязвимостям; (4) изготовители цифровой продукции и разработчики ПО, а также их представители должны нести ответственность за нарушение кибербезопасности продукции на протяжении всего ее жизненного цикла; (5) потребители должны обладать возможностью безопасно использовать цифровую продукцию, а также быть проинформированы надлежащим образом о кибербезопасности приобретаемой или используемой ими цифровой продукции.

Следует обратить внимание, что согласно рассматриваемому акту, изготовители цифровой продукции должны соблюдать установленные требования независимо от того, производятся ли эти продукты в ЕС или нет. Обязательным требованием для цифровой продукции является необходимость маркировки «CE», подтверждающей ее соответствие минимальному уровню проверки кибербезопасности. За нарушение установленных требований предусмотрены меры взыскания, включая штрафные санкции – штрафы в размере до 15 миллионов евро или 2,5% от мирового оборота, в зависимости от того, какая сумма больше.

                                    ***

Обозначенная в начале статьи широкая сфера действия Акта киберустойчивости 2022, а также его краткая структурно-содержательная характеристика, как представляется, дает основание сделать выводы обобщающего свойства.

Предложенный к принятию Акт киберустойчивости 2022 дополняет и обогащает широкую палитру нормативного регуляторного механизма защиты киберпространства единого внутреннего рынка ЕС, одновременно содействуя прозрачной регламентации функционирования цифрового сектора и ИКТ-пространства в масштабе Европы в целом.

Отнюдь не безосновательно Еврокомиссия полагает, что данный акт способен стать неким «международным» эталоном соответствия цифровой продукции требованиям кибербезопасности, повторив регуляторный успех системы маркировки Евросоюза «СЕ» и Регламента GDPR.

Текущий момент рассмотрения предлагаемого Акта киберустойчивости 2022 сопрягается с процедурой экспертного согласования, а также определения соразмерности и пропорциональности на уровне общих институциональных механизмов Евросоюза. Вместе с тем не вызывает сомнений, что в концептуальном, содержательном и регуляторном плане Акт киберустойчивости 2022 вряд ли претерпит существенные изменения.

Ссылки:

[1]European Telecommunications Standards Institute. URL: https://www.gartner.com/en/information-technology/glossary/etsi-european-telecommunications-standards-institute.

[2] ISO/IEC 30141:2018 «Information technology – Internet of Things (IoT) – Reference architecture», MOD). URL:https://www.iso.org/obp/ui/#iso:std:iso-iec:30141:ed-1:v1:en

[3] «Предварительный национальный стандарт Российской Федерации. Информационные технологии. Интернет вещей промышленный. Типовая архитектура» (утв. и введен в действие Приказом Росстандарта от 23.07.2020 N 29-пнст) // СПС КонсультантПлюс

[4] Proposal for a Regulation of the European Parliament and Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020. URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52022PC0454

[5] О Европейском экономическом пространстве, именуемого также Европейской экономической Зоной, см. подробнее, например, URL: Legal Aspects of the EEA Agreement.  https://www.efta.int/eea/eea-agreement#, а также: The basic features of the EEA Agreement. URL: http://www.efta.int/eea/eea-agreement/eea-basic-features.aspx and the EFTA website http://www.efta.int.

[6] European Free Trade Association, EFTA. URL: https://www.efta.int/Free-Trade/news/EEA-EFTA-States-sign-free-trade-agreement-UK-524641

[7] Европейские компании, экспортирующие свою продукцию в Австралию, Канаду, Японию, Новую Зеландию, США, Израиль, обязаны соблюдать действующие Соглашения о взаимном признании (MRAs), а также взаимодействовать с соответствующими назначенными органами по оценке соответствия (Conformity AssessmentBodies, CABs). URL:https://single-market-economy.ec.europa.eu/single-market/goods/international-aspects-single-market/mutual-recognition-agreements_en 

[8] Directive 2013/40/EU of the European Parliament and of the Council of 12 August 2013 on attacks against information systems and replacing Council Framework Decision 2005/222/JHA. Официальный Журнал ЕС. Право.    218, 14.8.2013, с. 8–14.

[9] Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union. Официальный Журнал ЕС. Право. 194/1, 19.7.2016, с.1)

[10] Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act). Официальный Журнал ЕС. Право. 151, 7.6.2019, с. 15

[11] Regulation (EU) 2019/1020 of the European Parliament and of the Council of 20 June 2019 on market surveillance and compliance of products and amending Directive 2004/42/EC and Regulations (EC) No 765/2008 and (EU) No 305/2011. Официальный Журнал ЕС. Право. 169/1, 25.6.2019, с. 1

[12] Directive NIS2. URL: https://www.nis-2-directive.com/

[13] Proposal for a Regulation of the European Parliament and of the Council laying down harmonized rules on artificial intelligence (Artificial Intelligence Act) and amending certain Union legislative Acts of 21 April 2021, COM (2021) 206 final. URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A52021PC0206