Xakep #305. Многошаговые SQL-инъекции
Двадцать стран мира, включая Россию и США, впервые согласились принять правила об ограничении кибератак друг против друга. «Пакт о ненападении» запрещает обвинять друг друга огульно в кибератаках, нападать на критически важную инфраструктуру, использовать любую хакерскую атаку как повод к ответному применению силы, вставлять «закладки» в IT-продукцию (последний пункт внесен по инициативе России).
Группа подтвердила суверенное право государств распоряжаться информационно-коммуникационной инфраструктурой на своей территории и определять свою политику в сфере международной информационной безопасности. В документ включены основные рекомендации по наращиванию международного сотрудничества в области международной информационной безопасности. Предусматриваются возможности по реагированию на инциденты, связанные с использованием ИКТ.
Правда, пока что проект договора предусматривает добровольный характер соблюдения прописанных норм.
Договор о намерениях составлен группой правительственных экспертов ООН по международной информационной безопасности. Доклад экспертов оказался в распоряжении газеты «Коммерсантъ».
Группа правительственных экспертов ООН представлена двадцатью странами, среди них Россия, США, Китай, Великобритания, Франция, Бразилия, Япония, Южная Корея и Израиль. Но самое главное, что пакт готовы подписать главные страны, которые проявляют наибольшую хакерскую активность: это Россия, США и Китай.
Прийти к компромиссу страны заставило растущее количество киберугроз, пишет «Коммерсантъ». Как сказано в докладе, «в глобальной среде информационно-коммуникационных технологий (ИКТ) прослеживаются тенденции, вызывающие озабоченность, включая резкое увеличение количества инцидентов, связанных со злонамеренным использованием подобных технологий государствами и негосударственными игроками».
В докладе экспертов упоминается «рост вероятности использования ИКТ в террористических целях».
«Государства должны принимать целесообразные меры для обеспечения целостности сети поставок с тем, чтобы конечные пользователи могли быть уверенными в безопасности ИКТ-продукции. Также они должны стремиться предотвращать распространение сложных вредоносных ИКТ-инструментов и методов и использование скрытых вредоносных функций»,— сказано в докладе.
По мнению экспертов, документ носит скорее декларативный характер, не подразумевая оперативных мер. Посол по особым поручениям МИД РФ Андрей Крутских в интервью «Коммерсанту» сказал: «В идеале Россия предпочла бы юридически обязывающую международную конвенцию под эгидой ООН». Тем не менее, эксперт высоко оценивает важность нового договора: «Это уже третий по счету доклад группы правительственных экспертов (ГПЭ), и, хотя первые два документа были крайне важными, этот по своей значимости просто революционен. Впервые удалось согласовать позиции 20 государств (среди которых помимо России были США, Китай, развивающиеся страны) по очень деликатному и важному вопросу о применимости международного права в информационной сфере».
Доклад передан генеральному секретарю ООН для представления на 70-й сессии Генеральной ассамблеи ООН, которая состоится в конце сентября 2015 года.
«В докладе несколько раз подчеркивается, что ИКТ должны использоваться исключительно в мирных целях. Это означает, что такие действия, как вывод из строя при помощи компьютерного червя Stuxnet объектов иранской атомной промышленности, становятся вне закона. По крайней мере вне морального закона», — подчеркнул Андрей Крутских.