Международный союз электросвязи ( МСЭ), учреждение Организации Объединенных Наций, являющееся «главным всемирным форумом, в рамках которого стороны могут добиваться консенсуса по широкому кругу вопросов, влияющих на будущее направление развития отрасли ИКТ» (МСЭ, без даты), инициировал Глобальную программу кибербезопасности, которая представляет для МСЭ «основу международного сотрудничества, цель которого состоит в том, чтобы предложить стратегии для поиска решений в области укрепления доверия и безопасности в условиях информационного общества» (МСЭ, без даты). В Глобальной программе кибербезопасности МСЭ определены пять стратегических принципов: правовые меры, технические меры, организационные меры, создание потенциала и сотрудничество (см. рисунок 3).
Правовой принцип сосредоточен на унификации регламентов и законов, касающихся кибербезопасности и киберзависимых преступлений, а также преступлений, совершаемых с использованием киберпространства. В качестве примера можно привести законы о борьбе с киберпреступностью (см. модули 2 и 3 Серии модулей по киберпреступности), законы и регламенты о защите данных (см. модуль 10 Серии модулей по киберпреступности), законы о кибербезопасности и другие соответствующие законы (например, Дания, Закон о защите данных 2018 года; Фиджи, Указ о преступлениях 2009 года: раздел 6 - компьютерные преступления; Объединенные Арабские Эмираты, Федеральный закон №.1 от 2006 года об электронной коммерции и заключении сделок в электронном виде; и Великобритания, Закон о неправомерном использовании компьютерных технологий 1990 года и Закон о защите данных 2018 года. Для получения дополнительной информации об этом принципе см. ITU, 2015; ITU, 2017).
Технический принцип охватывает существующие технические учреждения, стандарты и протоколы кибербезопасности, а также меры, необходимые для борьбы с угрозами кибербезопасности. Примером технического учреждения является группа реагирования на нарушение компьютерной защиты (CERT), которая определяется как «организация или группа, которая предоставляет четко определенному кругу клиентов услуги и поддержку как для предупреждения инцидентов, связанных с компьютерной безопасностью, так и для реагирования на них» (Wahid, 2016). Возможности CERT варьируются в зависимости от диапазона и сочетания предлагаемых реактивных и упреждающих услуг управления, а также услуг управления качеством обеспечения безопасности (CMU-SEI, 2006). Например, такие услуги могут включать в себя оперативное реагирование на инцидент, с тем чтобы получить возможность для быстрой локализации и расследования атаки и способствовать быстрому восстановлению до исходного состояния (Borodkin, 2001). В дополнение к реагированию на инциденты CERT может участвовать в других мероприятиях, таких как оценка уязвимостей и проведение инструктажей по вопросам безопасности; участие в таких дополнительных мероприятиях зависит от самой организации (Proffitt, 2007). Страны могут иметь национальные, правительственные и отраслевые CERT и группы реагирования на инциденты в сфере компьютерной безопасности (или CSIRT) или использовать комбинацию с участием нескольких или всех таких групп (для получения дополнительной информации об этом принципе см. ITU, 2015; ITU, 2017). CERT/CSIRT также создали в своих регионах группы для обмена информацией, координации действий и т.п. (например, Азиатско-тихоокеанская группа CERT или APCERT; Африканская группа CERT или AfricaCERT).
CERT® является зарегистрированным товарным знаком Института разработки программного обеспечения Университета Карнеги-Меллона. Группы CSIRT могут запрашивать разрешение на использование знака CERT. На следующем веб-сайте указаны шаги, которые следует предпринять группе CSIRT для получения разрешения на использование знака CERT.
Принцип, связанный с организационными мерами, включает в себя организационные структуры и меры политики в сфере кибербезопасности и учреждения, ответственные за координацию политики обеспечения кибербезопасности. В этот принцип включены национальные стратегии кибербезопасности и национальные механизмы обеспечения кибербезопасности, а также регулирующие органы, которые осуществляют надзор за реализацией этих стратегий и механизмов (например, Совет по кибербезопасности в Исландии; Федеральное управление по информационной безопасности в Германии; Управление кибербезопасности и информационного обеспечения в Великобритании; Министерство науки, информационных технологий и планирования будущего в Республике Корея; Департамент национального планирования и Министерство информационных технологий и связи в Колумбии; и т.д.) (для получения дополнительной информации об этом принципе см. ITU, 2015; ITU, 2017).
Принцип создания потенциала охватывает усилия по поощрению осведомленности, образования и обучения в сфере кибербезопасности. Примерами могут служить кампании по информированию общественности, исследования и разработки в области кибербезопасности, профессиональная подготовка, а также национальные образовательные программы и учебные планы. Например, в Доминиканской Республике « Национальная комиссия по вопросам общества информации и знаний (CNSIC) осуществляет официально признанную национальную программу повышения осведомленности, которая пропагандирует нормы, ценности и социальное поведение, способствующие добросовестности, креативности и инновациям при навигации в киберпространстве» (ITU, 2015, p. 171; для получения дополнительной информации об этом принципе см. ITU, 2015; ITU, 2017). Соответствующие кампании по повышению осведомленности и просвещению в сфере кибербезопасности были инициированы и другими странами (см. вставку «Примеры национальных и международных кампаний по повышению осведомленности и просвещению в сфере кибербезопасности»). В дополнение к этим информационным и просветительским кампаниям в области кибербезопасности МСЭ предоставляет инструменты для оказания помощи странам в их усилиях по созданию потенциала. Эти инструменты предназначены для «сбора информации о конкретных угрозах, которым подвергается страна» (исследовательская сеть Honeypot или HORNET), и «агрегирования и распространения соответствующих данных об инцидентах» (Механизм предупреждения и составления отчетов об инцидентах или AWARE) (ITU, n.d.).
В Австралии проводится кампания Stay Smart Online, которая предоставляет частным лицам и малым предприятиям информацию о том, как защитить себя от угроз кибербезопасности и снизить такие угрозы. Кроме того, управление Комиссара по электронной безопасности Австралии ( Office of the eSafety Commission) через свой веб-сайт способствует обеспечению безопасности в Интернете, предоставляя образовательные материалы для детей, родителей и других лиц и информируя их о различных формах киберпреступности (в частности, о киберпреступлениях против личности, которые рассматриваются в модуле 12 Серии модулей по киберпреступности) и способах защиты от них в Интернете, а также предоставляет пользователям возможность сообщать об определенных киберпреступлениях через свой веб-сайт. Например, это управление имеет портал для размещения сообщений о случаях надругательств с использованием изображений ( image-based abuse online reporting portal), на котором потерпевшие могут оставлять сообщения о случаях размещения (загрузки//распространения) их фотографий интимного или сексуального характера без их согласия. После получения такого сообщения управление принимает меры по обнаружению этих фотографий и обращается к соответствующим социальным сетям или Интернет-посредникам (а в некоторых случаях и к самим злоумышленникам) с требованием о снятии и удалении фотографий (Flynn and Henry, forthcoming).
В Канаде кампания Get Cyber Safe предоставляет частным лицам и предприятиям информацию о рисках кибербезопасности и способах, при помощи которых частные лица и предприятия могут защитить себя от угроз кибербезопасности.
Осуществляемая в Великобритании кампания GetSafeOnline представляет собой инициативу по повышению осведомленности о кибербезопасности, которая предоставляет людям информацию о безопасных методах работы дома и на рабочем месте.
Инициатива StaySafeOnline Национального альянса по кибербезопасности предлагает людям информацию о безопасных методах работы в Интернете, киберпреступности, защите ключевых учетных записей в сети и цифровых устройств и контроле конфиденциальности. Национальный месячник знаний о кибербезопасности ( National Cybersecurity Awareness Month) (NCSAM), который проводится в октябре каждого года, был инициирован в 2004 году государственно-частным партнерством (а именно Национальным альянсом по кибербезопасности и Министерством внутренней безопасности США) с целью предоставления ресурсов, необходимых людям для безопасной навигации в Интернете и использования цифровых устройств защищенным образом. Точно так же Европейский месячник кибербезопасности ( European Cyber Security Month) (ECSM), кампания по повышению осведомленности о кибербезопасности, которая также проводится в октябре каждого года, направлена на информирование людей о киберпреступности и кибербезопасности с целью изменения небезопасных методов работы в Интернете. Более того, День безопасного Интернета ( Safer Internet Day) (SID) отмечается во всем мире каждый год в феврале с целью способствования безопасности и поддержки здоровых и счастливых Интернет-сообществ.
Министерство внутренней безопасности США также организовало международную кампанию по просвещению и повышению осведомленности о кибербезопасности, известную под названием «Остановись. Подумай. Подключись» ( STOP. THINK. CONNECT.™). Предприятия, национальные правительственные министерства и НПО национального масштаба, например, в Боливии, Панаме, Монголии, Тонга, Нигерии, Тринидаде и Тобаго, Антигуа и Барбуде, Ямайке, Индии и Японии (и многих других странах) приняли и развернули у себя такую информационно-просветительскую кампанию (Anti-Phishing Working Group, n.d.). Министерство внутренней безопасности США создало информационный пакет для своей кампании STOP. THINK. CONNECT.™, чтобы обеспечить возможность другим странам инициировать аналогичные внутренние кампании на территории своих стран. Этот пакет включает в себя передовой опыт осуществления программы информационной работы, примерный план информационной работы и показатели успеха кампаний по повышению осведомленности о кибербезопасности (European Cyber Security Month, n.d.).
Южно-Африканская Республика развернула несколько кампаний по повышению осведомленности о кибербезопасности, которые проводят только научное сообщество, частные организации и государственные учреждения (Dlamini and Modise, 2012). Кроме того, Министерство телекоммуникаций и почтовой связи ЮАР создало портал кибербезопасности ( Cybersecurity Hub), который содержит информацию и материалы о мерах защиты от киберпреступности и кампаниях по повышению осведомленности о кибербезопасности. Так же, как в США и других странах, в ЮАР инициирована кампания по повышению осведомленности о кибербезопасности, которая проводится ежегодно в октябре (Pazvakavambwa, 2016).
CyberBayKin, кампания по кибербезопасности в Мьянме, была запущена в 2018 году с целью повышения осведомленности о кибербезопасности и рисках. Она инициирована Университетом Монаша (Австралия) и компанией Kernellix Co., Ltd. (Мьянма) в сотрудничестве с Национальным центром кибербезопасности Министерства транспорта и коммуникаций Мьянмы. Шесть мьянманских комических персонажей, разработанных для кампании, были представлены перед ее запуском. В ходе этой годовой кампании на платформе кампании в Facebook каждые две недели появляются комические иллюстрации, способствующие повышению осведомленности о кибербезопасности. Кампания поддерживается и финансируется Министерством иностранных дел и торговли Австралии в рамках стратегии международного взаимодействия в киберпространстве и Школой социальных наук Университета Монаша (CyberBayKin, 2018).
Принцип сотрудничества сосредоточен на межучрежденческих и государственно-частных партнерствах, сетях обмена информацией и соглашениях о сотрудничестве. В качестве примера можно привести австралийскую стратегию международного взаимодействия в киберпространстве ( International Cyber Engagement Strategy), целью которой является развитие государственно-частного партнерства и укрепление сотрудничества между странами. Другие примеры включают в себя партнерства на уровне стран и обмен информацией с МСЭ, А гентством по сетевой и информационной безопасности Европейского Союза (ENISA), Организацией по безопасности и сотрудничеству в Европе (ОБСЕ) и Организацией Североатлантического договора (НАТО), а также договоры о сотрудничестве, такие, как Конвенция Совета Европы о компьютерных преступлениях 2001 года, Соглашение о сотрудничестве государств-участников Содружества Независимых Государств в борьбе с преступлениями в сфере компьютерной информации 2001 года, Конвенция Лиги арабских государств о борьбе с преступлениями в области информационных технологий 2010 года, Конвенция Африканского союза о кибербезопасности и защите персональных данных 2014 года и многие другие (для получения дополнительной информации об этом принципе см. ITU, 2015; ITU, 2017).
Сравнительный анализ национальных стратегий кибербезопасности десяти стран (Австралии, Канады, Финляндии, Франции, Германии, Японии, Нидерландов, Испании, США и Великобритании), проведенный Организацией экономического сотрудничества и развития (ОЭСР) в 2012 году, выявил различия в определениях понятия кибербезопасности, а также сходства в подходах стран к комплексному решению проблемы кибербезопасности, которые предполагают использование в той или иной степени каждого из стратегических принципов - правовые, технические, организационные меры, создание потенциала и сотрудничество.
Для разработки всеобъемлющей и эффективной национальной стратегии кибербезопасности, МСЭ, в своем Руководстве по разработке национальной стратегии кибербезопасности, опубликованном в 2018 году, предлагает включить в стратегию следующие тематические области: управление (рассматривается в данном модуле); управление рисками (т.е. процесс выявления, оценки и контролирования и/или ликвидации угроз; рассматривается в модуле 9 Серии модулей по киберпреступности); обеспечение готовности и устойчивости (рассматривается в модуле 9 Серии модулей по киберпреступности); услуги жизненно важной инфраструктуры и основные услуги (рассматривается в модуле 14 Серии модулей по киберпреступности); развитие возможностей, создание потенциала и повышение осведомленности (рассматривается в данном модуле и модуле 7 Серии модулей по киберпреступности); законодательство и регулирование (рассматривается в модулях 2, 3 и 10 Серии модулей по киберпреступности); и международное сотрудничество (рассматривается в модуле 7 Серии модулей по киберпреступности). Другие организации также предлагают руководства по разработке политики и нормативно-правовой базы в области кибербезопасности, принятию технических и организационных мер, созданию потенциала и сотрудничеству (например, модель управления киберпространством ( Commonwealth Cybergovernance Model), принятая в 2014 году Телекоммуникационной организацией Содружества).