Возможен ли в России цифровой суверенитет

Возможен ли в России цифровой суверенитет
В последнее время в определенных кругах очень часто  звучит такой термин как "цифровой суверенитет России", т.е. самостоятельность и независимость в сфере информационно-коммуникационных технологий (ИКТ). Быть суверенным государством - это право решать контролировать свои внутренние дела и оно ни у кого не вызывает вопросов (исключая отдельные случаи международного вмешательства). Наряду с государственным суверенитетом существует еще и национальный, т.е. право нации на самоопределение. Но имеет ли право на жизнь термин "цифровой суверенитет"? Считаю, что нет. Тому есть несколько причин.

Начнем с того, что даже государственный суверенитет - не такое уж незыблемое право. Достаточно вспомнить про Евросоюз, в котором государства Европы отказались от части своих прав в пользу наднациональных органов - Европарламент, Европейский суд, Евробанк, Европол и т.д. Постоянно упоминаемая глобализация размывает суверенитет многих государств и эта тенденция только нарастает. Но если понятие суверенитет пошатнулось в области государственного управления, то может и  в области ИКТ не все так очевидно, как говорят многие государственные чиновники и сотрудники спецслужб.

Что же включает в себя понятие "цифровой суверенитет"? Четкого определения нет, но судя по последним тенденциям к нему можно отнести:
  • собственная поисковая система
  • собственные социальные сети
  • собственная операционная система (программная платформа) и ПО под нее
  • собственная микроэлектроника
  • собственное сетевое оборудование
  • собственный национальный сегмент Интернет
  • собственная платежная система
  • собственные средства защиты
  • собственные криптографические алгоритмы и протоколы
  • собственная навигационная система.
"Собственная" - это не разработанная в России и не располагаемая в России. Это управляемая по приказу российских властей и так как хотят российские власти. Например, сервисы Google явно не относятся к собственным российским. Но к ним не относятся и ресурсы Яндекса, чьи акции котируются на NASDAQ, а управляющая компания официально зарегистрирована в Голландии. Или та же Лаборатория Касперского. Ее штаб-квартира в Москве, а управляющая компания зарегистрирована в Лондоне. Плохо ли это? Нет. Плохо ли что эти компании не подчиняются властям РФ? На мой взгляд хорошо. Но вернемся к составляющим цифрового суверенитета.

Есть ли у нас своя собственная поисковая система? Нет. Яндекс не меняет результаты поисковой выдачи по первому приказу из Кремля. Разумеется, результат работы поискового алгоритма не всегда нас устраивает (да и SEO-специалисты не дремлют), но и цензуры в поисковой системе, разработанная в России, пока нет. Тоже можно сказать и про Mail.ru и Рамблер. Можно ли как-то заставить частную компанию танцевать под дудку властей? В теории да. На практике тоже. Только вот результат будет предсказуемым - от Яндекса отвернутся пользователи и перейдут на тот же Google или Bing (если их не прикроют в России, желая получить цифровой суверенитет). О создании государственной поисковой системы заявлялось уже не раз, но вот результатов что-то не видно. Да и не верю я в то, что из под палки можно сделать что-то действительно популярное.

Собственные социальные сети. Их тоже нет. Одноклассники малоприменимы для координации усилий больших сообществ (да и не используются для этого). А вот руководство "ВКонтакте" всегда отметало любые попытки государства вмешаться в его политику. Они даже ушли на домен .com с .ru (собственно как и на зарубежный хостинг), чтобы не быть подвластными российским властям. Создавать социальные сети наши власти тоже пытались, заявляя о соцсети для чиновников. Но это еще смешнее, чем запрещать госслужащим пользоваться Twitter'ом ;-)

Собственная операционная система - разговоров много. Толку нет. Все, что пытаются создавать, делают на базе какого-либо из ядер Linux (а то и вовсе меняют заголовки и копирайты, оставляя все остальное "как было"). Чтобы заставить всех перейти на собственную ОС нужно выполнить два условия:
  • Создать такой же набор ПО, что и у той же Windows или MacOS (а с этим у нас большие проблемы). Именно такой же, а не текстовый редактор с редактором таблиц.
  • Переучить (мотивировать на переобучение) пользователей. А это еще более трудная задача, чем разработать свое ПО.
Но главный вопрос, зачем? Как собственная ОС влияет на суверенитет? Никак. Несколько лет назад в ИНСОР представители ФСБ заявили, что им все равно - имеют они дело с исходными кодами или с их отсутствием при анализе защищенности ПО. На сложность и трудоемкость анализа наличие исходников никак не влияет. Я уже не говорю про то, что, чтобы говорить о действительно защищенном ПО, надо иметь возможность не только разрабатывать, но и собирать (компилировать) его под контролем. А много ли у нас сертифицированных трансляторов/компиляторов? А многие ли разработчики их используют?

Но допустим у нас создадут все-таки свою ОС или национальную программную платформу и десятки и сотни тысяч программ для нее. А на аппаратуре-то чьей они будут работать? У нас почти вся  микроэлектроника иностранного происхождения. Т.е. и тут суверенитетом у нас не пахнет. Можно конечно все иностранное запретить или ввести запреты на их ввоз, но своего-то у нас пока нет, чтобы обеспечить адекватную замену.

Что у нас там дальше? Сетевое оборудование? Тоже отсутствует в достаточном количестве. Как-то меня по работе попросили сравнить маршрутизаторы Cisco с какой-то отечественной поделкой. Сравнил. Дело даже не в функциональных характеристиках. И не в том, что отечественная продукция собиралась на Тайване. Отечественный производитель хвастался тем, что его мощности позволяют выпускать до 3-х тысяч устройств в год. Это даже не смешно - достаточно просто вспомнить, что у нас даже государственные заказчики обладают сетями, состоящими из деесятков тысяч узлов и подсетей. Какие там 3 тысяч устройств в год?.. Это хорошо если 1-2% от реальной потребности.

Своя платежная система? Пытались уже как-то это сделать, когда инициировали законопроект по национальной системе платежных карт (НСПК). Ничем затея не закончилась. Даже УЭК сдулся, а у нас остался ФЗ-161 "О национальной платежной системе", который не запрещает работать в России Visa и MasterCard, а просто устанавливает определенные правила игры.

Собственный Интернет?.. Популярная тема. После арабских весен об этом говорят постоянно. Правда, по проведенным недавно исследованиям влияние Интернет на развитие политического кризиса в стране сильно преувеличено. Согласно исследованиям почти во всех арабских странах, сменивших режим, социальные сети и электронные коммуникации не были причиной выхода людей на улицы и проведения забастовок и массовых манифестаций. Но власти все равно считают  Интернет - угрозой для их существования и пытаются всеми правдами и неправдами сделать Рунет подконтрольным. Можно ли это? Опыт Китая подсказывает, что это вполне разрешимая задача. Правда, опыт реализации ФЗ-139 в России показывает, что у нас такой опыт дает сбои. От запрещенного контента наши чиновники защитить кого бы то ни было не могут, а вот помешать нормально пользоваться Интернет-ресурсами вполне. Попытка же создания подконтрольного Интернет может привести к тому, что люди, не имеющие возможность пользоваться Yuotube, Skype, Facebook, VK и т.д. выйдут на улицы...

Что у нас остается? Свои средства защиты и своя криптография? Ну про средства защиты можно говорить долго, но пока разработчики не будут учитывать потребности потребителя, а не государства, ни о какой конкуренции с западными игроками рынка ИБ и речи идти не может. не случайно не менее 70% (а то и выше) всех средств защиты в России имеет иностранное происхождение. А оставшиеся российские разработчики либо собирают свою продукцию на Тайване, либо используют китайские и непроверенные комплектующие, либо работают на недоверенной аппаратной платформе (что опять ставит под сомнение идею цифрового суверенитета).

Вот криптография у нас действительно своя. Никому за пределами России ненужная. И никак нестыкуемая с западными решениями в области электронной коммерции, электронного документооборота, Интернет-коммуникаций. Установленные законодательством требования по криптографическому суверенитету в России так ведь ни к чему не привели. Потребитель все равно использует западную криптографию, потому что она дешевле удобнее и функциональнее. Контролировать использование несуверенной криптографии у регулятора нет ресурсов. А в чем тогда смысл запретов? Иметь Дамоклов меч?

За что не возьми, не получается у нас цифровой суверенитет ;-( Может он нам и не нужен? Конечно же нужен. Но не совсем такой, каким его рисуют себе чиновники и силовики. Во-первых, нужно четко провести грань между областями, где можно применять все, что угодно, и областями, где требуется суверенитет. Например, в США, в Западной Европе, во многих других странах грань проведена четкая. На одной стороне находится государство с его ресурсами и системами, а на другой - граждане и бизнес, которые могут применять то, что им хочется. Это их риски и они сами пусть их оценивают. На стыке находится тема критически важных объектов, находящихся в частных руках (во многих странах, включая Россию их немало). Тут требуется влияние государства, а не просто желание владельцев бизнеса. Такой подход позволит не есть слона целиком, а сфокусироваться на наиболее важных для национальной безопасности вопросах.

Но что делать, если даже для такой небольшой части как государственные информационные ресурсы в России не хватает собственных решений? Опять же не надо рубить с плеча - нужен поэтапный подход, принятый, например, в Китае, где идет постепенное замещение зарубежных технологий национальными. Именно постепенное. Сначала создай свое (правда, у китайцев "создай" часто меняется на "укради", но это мы оставим за пределами данного поста) - потом убирай чужое. Можно пойти и как в США - чужое можно, но под пристальным контролем и после всесторонней проверки.

И, наконец, последнее. Попытаться реализовать последние два пункта (ограничение области применения суверенитета и постепенное замещение зарубехных технологий собственными разработками) возможно только в условиях перехода от голословных утверждений к четкой, поэтапной стратегии, за которой стоят конкретные задачи, сроки и ресурсы. Без этого все заявления о цифровом суверенитете останутся не более чем демагогией. А местами такие заявления будут только вредить. Например, когда власти будут запрещать применение каких-либо технологий, не предложив альтернативы или переходного периода по постепенному замещению.


ЗЫ. Кстати, во многих международных документах по ИКТ упоминается не термин "цифровой суверенитет", а термин "сетевая нейтральность".
кибербезопасность Разное
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!