Що означає «Доктрина інформаційної безпеки України»?
Тетяна Попова
Минулий тиждень став дуже насиченим заходами, які прямо чи опосередковано стосуються проблематики інформаційної безпеки Української держави. З цього приводу знаковим стало введення президентом України Петром Порошенко в дію рішення Ради національної безпеки і оборони України, яким було схвалено Доктрину інформаційної безпеки України.
Позитив
Зазначений нормативний акт є помітним кроком вперед в діяльності держави щодо протидії російській інформаційній агресії. І якщо ми порівняємо його зміст із попередньою Доктриною інформаційної безпеки України від 2009 року, то різниця справді відчутна. На мою думку головним досягненням є спроба визначити та гармонізувати повноваження органів влади, силових структур щодо їхньої діяльності із захисту інтересів суспільства і держави в інформаційній сфері, національного інформаційного простору.
Заслуговує уваги нормативне визначення низки термінів. Зокрема, фактично розмежована проблематика урядових комунікацій та стратегічних комунікацій. Зазначене дозволить позбутися певного дублювання та сконцентрувати проблематику стратегічних комунікацій переважно в контексті діяльності сектору безпеки та оборони держави.
Нарешті на рівні нормативного акту закріплено термін «наратив», який є одним із ключових в діяльності суб’єктів забезпечення інформаційного безпеки. На жаль, до цього мені особисто доводилося часто чути заперечення від чиновників, які взагалі не розуміли та не бажали розглядати документи з таким терміном, мотивуючи це його відсутністю в українській «офіційній мові». Дивно, що в Доктрині вказано розробка Міністерством інформаційної політики (МІП) виключно одного «стратегічного наративу». Їх по факту може бути декілька, в залежності від ситуацій та наративів супротивника.
Деякі питання до логіки та процедур розроблення нормативного акту
Метою Доктрини задекларовано «уточнення засад формування та реалізації державної інформаційної політики, насамперед щодо протидії руйнівному інформаційному впливу Російської Федерації в умовах розв’язаної нею гібридної війни». Але, на мою думку, така мета більше підходить до іншого документа, який має визначати основні засади державної інформаційної політики, особливо її структуру та зміст. Поки що такого документа на державному рівні в Україні не існує.
Також в експертному середовищі залишаються відкритими питання щодо методології підходів до проблематики забезпечення інформаційної безпеки, які закріплені в Доктрині. На перше місце слід поставити співвідношення понять «інформаційна безпека» та «кібербезпека». Українська наука чітко обґрунтувала необхідність розгляду національного сегменту кіберпростору як складової частини інформаційного простору держави. З цього випливає і логічність розгляду питань кібербезпеки в контексті інформаційної безпеки. Але, враховуючи те, що в Україні державні діячі чомусь соромляться вітчизняної науки, то звернемося до підходів західних країн. Зокрема, в аналітичній доповіді «Information Warfare Boundaries for anArmy in a Wireless World» від корпорації «РЕНД» (сподіваюсь, її репутація загальновизнана та ця структура додаткової реклами не потребує) на замовлення сухопутних військ (армії) ЗС США (звіт 2013 року, код звіту по проекту – RAND10473) зазначено, що в практичній діяльності органів військового управління, суб’єктів забезпечення інформаційної безпеки інформаційне середовище необхідно розглядати як єдине середовище в двох вимірах: людському та технічному. Розгляд інформаційного середовища та кіберсередовища (та, відповідно інформаційної безпеки та кібербезпеки) як окремих паралельних інституцій (напрямів діяльності) визнано необґрунтованим та штучним (тобто визнано методологічною помилкою).
Нижче наведено схему з цього дослідження, яке наочно демонструє логіку підходів та підтверджує мою тезу:
На жаль, в діяльності українських державних структур відбулося штучне відокремлення інформаційної безпеки та кібербезпеки, що відображено в низці нормативно-правових актів. Розбалансованість та розпорошеність діяльності, інституційна невизначеність при таких підходах є чинником зменшення ефективності заходів інформаційного протиборства з боку України.
З інформованих джерел в державних структурах мені довелося кілька разів чути інформацію, що ціла низка пропозицій до змісту Доктрини, змін та доповнень з боку силових структур, незалежних експертів, наукових установ не були взяті до уваги. Тому навіть на засідання Ради нацбезпеки та оборони, на якому мав розглядатися проект Доктрини, деякі члени РНБОУ прибули з ґрунтовними тезами щодо необхідності відправити Доктрину на доопрацювання.
Що залишилося поза увагою
Існує кілька ризиків щодо успіху реалізації положень Доктрини. Перш за все, історичною рисою українських органів влади є невідповідність між рівнем нормативного регулювання того чи іншого напряму їх діяльності та реальними кроками щодо виконання ними положень правових актів. Щоб не допустити повторення цієї тенденції стосовно Доктрини, держструктурам доведеться все ж таки попрацювати над імплементацією визначених завдань у практичну площину.
В цьому контексті доведеться дуже ретельно попрацювати над новими нормативно-правовими актами. Слід бути відвертими – Доктрина не є нормативним актом прямої дії, яка регулює виключно всі аспекти діяльності щодо забезпечення інформаційної безпеки. Вона окреслює стратегічні питання, а центральні органи виконавчої влади, структури сектору безпеки та оборони мають деталізувати та конкретизувати її вимоги в інших нормативних документах.
Іншим ризиком є відсутність реально працюючих механізмів координації діяльності в сфері інформаційної безпеки. Деякі успішні приклади горизонтальної взаємодії органів влади, волонтерські проекти, проекти у форматі «ручного управління» – є виключенням із правил, які лише підтверджують необхідність офіційної координації з боку держави. Безумовно, необхідність централізації діяльності, дієвих алгоритмів координації та контролю в тексті Доктрини задекларовані. Але, з іншого боку, механізми зазначеного не прописані. Тому ми й говоримо про певні ризики, бо РНБОУ отримало завдання координації діяльності, не маючи при цьому необхідних повноважень та ресурсів, які притаманні центральним органам виконавчої влади. Мінінформполітики в існуючому вигляді також не зможе виконати певні завдання, не будучи до того ж офіційною складовою частиною сектору безпеки та оборони держави та суб’єктом боротьби з тероризмом.
І якщо Мінінформполітики серед інших міністерств та відомств виконавчої влади визнано фактично головним суб’єктом забезпечення інформаційної безпеки, то це накладає певні зобов’язання. Особливо щодо проблематики активних заходів інформаційного впливу, необхідності координації діяльності силових структур, які, між іншим, зобов’язані займатися такими чутливими заходами, як інформаційні та психологічні операції. Тобто на порядку денному – перезавантаження МІПу, але цього боятися непотрібно. Інша справа, чи вистачить політичної волі, професіоналізму та кадрового ресурсу на таке перезавантаження. Наприклад, реформа державних комунікацій гальмує вже майже рік через неузгодженість та зміну людей в секретаріаті Кабінету міністрів України.
Слабким місцем Доктрини також є недостатнє правове регулювання максимально можливого залучення громадянського суспільства до заходів забезпечення інформаційної безпеки. Такі громадські проекти, як «СтопФейк», «Інформнапалм» де-факто існують та ефективно діють. А в нормативному плані таких проектів ніби то й нема, їхня співпраця з державою практично не регламентована.
Ми поки що не будемо деталізовувати інші аспекти щодо ухвалення Доктрини інформаційної безпеки України. На мою думку, слід взяти невелику паузу та через певний час проаналізувати діяльність державних структур щодо її імплементації в практичну площину, що дасть набагато більше поле для роздумів.
Тетяна Попова – експерт зі стратегічних комунікацій ГО «Інформаційна безпека», колишній заступник міністра інформаційної політики України
