Вторник,
14-е декабря 2004 года
Вопросы
безопасности в век сетевых систем:
киберпреступность и безопасность
информации
Как
почти все вопросы, которыми мы будем
заниматься на этой неделе, вопрос о
кибернетических преступлениях и
безопасности информации имеет две
стороны, вступающих между собой в
противоречие, и порождает ряд
непрекращающихся проблем для всех, кто
занимается вопросами общественного
регулирования. Необходимость заботиться
о национальной безопасности оказывается
в противоречии с необходимостью соблюдать
установленные гражданские права. С
появлением ИКТ возрос риск для
информационных инфраструктур не только
на национальном, но и на глобальном
уровне. Кроме того эти технологии
повсеместно используются для достижения
как законных, так и незаконных целей.
Полиция должна иметь возможность
отслеживать незаконные действия с
помощью Интернета, но тот же Интернет
может быть использован для значительного
ущемления гражданских свобод (традиционными
и новыми способами), в частности, свободы
слова и невмешательства в личную жизнь.
Задача примирения этих противоречащих
друг другу интересов представляет собой
невероятно сложную проблему в смысле
государственного регулирования. В
процессе последующих занятий мы
рассмотрим вопросы информации и
киберпреступности, кибербезопасности,
законного и незаконного перехвата
информации, поступающей через Интернет,
так называемое «профилирование»
и право на тайну информации личного
свойства.
1. Безопасность информации.
Распространение
информации через Интернет, основанное
на принципах открытых межоперационных
систем, предоставляет возможность как
для инноваций и творческой деятельности,
так и для масштабных злоупотреблений.
Открытый доступ к Интернету стимулирует
инновации и творческие возможности,
но вместе с тем делает компьютеры
уязвимыми для любого рода кибернетических
атак, проникновения извне и других
злонамеренных действий. Наиболее важные
системы, например, система управления
воздушным сообщением, предприятия
энергетической отрасли и электросети,
пользующися компьютерными сетями,
представляют собой объекты, уязвимые
для вторжения или манипуляций извне.
Угрозы такого рода децентрализованы
по своей природе и потому их трудно
моментально опознать и предотвратить
ex ante.
Спектр
угроз безопасности информации достаточно
широк: от политического активизма до
терроризма. Понятие «сетевых войн»
выражает сущность конфликтов в обществе,
связанном информационной сетью.
Координированные группы активистов,
распространяющие информацию в сетях
Интернета и получающие несанкционированный
доступ к пользователям через потенциально
вредные программы для манифестации
своих политических взглядов, часто
называют «хактивистами».
Их деятельность порой превозносят, а
порой осыпают бранью. Все же, наибольшее
беспокойство вызывают действия по
использованию программного обеспечения,
технологии и инфраструктуры Интернета
для совершения незаконных поступков.
Они и получили название «кибернетических
преступлений».
1.
1 Кибернетические преступления.
Под кибернетическими преступлениями
понимаются уголовные действия, совершенные
целиком в кибернетическом пространстве
(например, различные виды присвоения
чужой личности и банковское мошенничество),
а также действия, в которых присутствует
физический компонент и которые совершаются
с помощью средств, находящихся в
Интернете. Подобные действия обычно
включают в себя незаконное проникновение
в компьютерные файлы и/или кражу частной
информации, дезорганизацию информации,
находящейся в других компьютерах
посредством вирусов, «троянских
коней», «червей», «логических
бомб», осуществление атак, вызывающих
нарушение компьютерных услуг,
распространение детской порнографии
на Интернете, продажу через Интернет
незаконных материалов и веществ, а также
присвоение и подделка чужой личности.
Другие, менее распространенные
преступления, направлены скорее на
различные институты, как, например,
организованные поражения национальной
сетевой инфраструктуры; проникновение
в сети правительственных учереждений,
коммерческих или некоммерческих сайтов,
а также атаки на наиболее важные объекты
инфраструктуры.
Средства,
необходимые для совершения кибернетических
преступлений, крайне дешевы, так как
все, что нужно потенциальному преступнику,
чтобы заняться своим нелегальным
ремеслом, это доступ к Интернету и
бесплатные программы, находящиеся в
Интернет-сетях, в то время как цена таких
преступлений необычайно высока. К тому
же результаты кибернетических преступлений
могут быть ощутимы вдали отсамого места
преступления. В деле США против Иванова
компьютерное мошенничество с кредитными
карточками двух жителей Челябинска
привело к потере 25 миллионов долларов.
Ущерб, причиненнный одним только вирусом
«Мелисса», согласно отчету ФБР
«Компьютерные преступления и обзор
компьютерной безопасности» (CSI/FBI
Computer Crime
and Computer
Security Survey),
составил 55 миллионов долларов в
Соединенных Штатах и более 800 миллионов
долларов во всем остальном мире.
1.2
Кибернетическая безопасность. В
ответ на кибернетическую угрозу
правительства отдельных, корпорации и
другие заинтересованные лица разработали
стратегию по защите Интернет-сетей (или
«кибернетическую защиту»). На
уровне технологии эта стратегия включает
в себя установку программного обеспечения,
контролирующего доступ в Интернет
(межсетевые экраны, контент-контроль),
установление подлинности пользователя
(использование биометрики и «интеллектуальных
жетонов»); допуск на вход (ограничение
прав и привилегий пользователя);
обеспечение целостности системы
(антивирусные программы и программы,
проверяющие целостность системы);
криптографию (цифровые подписи),
постоянную проверку и контролирование
(системы обнаружения вторжения и
превентивных мер, компьютерная
криминология), средства конфигурация
и помощи (управление сетями, охранные
заплаты и т. д.).
На
уровне официальной политики правительства
приняли ряд законов и постановлений,
способствующих кибернетической
безопасности. Подобный курс действий
как правило начинается с мер, прежде
всего направленных на охрану «критических
инфраструктур», таких как оборона,
энергетика, снабжение продуктами
питания, финансовые и медицинские
учереждения. Другие меры включают в
себя исследование реальной и потенциальной
угрозы и разработку адекватных контрмер,
обмен информацией, правоприменительные
действия, отслеживание и удержание
информации, а также ее охрану. Часто эти
ответные меры включают в себя наделение
правоохранительных органов большей
полицейской властью в области информации
и деятельности в Интернете. В частности,
правоохранительные органы стремятся
получить возможность коммуникационного
перехвата в сети, будь то в виде информации
или голоса.
НИОКР.
Научные работа в области информационной
безопасности заключается в изучении
уязвимых мест в инфраструктуре
Интернет-сетей, предоставлении
квалифицированных рекомендаций,
разработки действенного способа
применение результатов НИОКР в системах
безопасности, создаваемых правительством,
а также улучшении стандартов мер
безопасности, которые применялись бы
в правительственных учереждениях.
Результаты этих исследований нередко
приводят к изменению государственного
регулирования, распространяющегося на
тех, кто создает техническое и программное
обеспечение, обеспечивает доступ граждан
к Интернету или контролирует доступ к
к Интернет-сетям в других частях мира.
Обмен
информацией. Как правительства, так
и некоммерческие структуры и деловые
круги нередко инициируют
информационно-технологический обмен
по вопросам уязвимости систем на данном
этапе и угроз безопасности, а также
делятся рекомендациями на предмет
оптимальных практических решений
существующих проблем. Так, например, в
США, Японии, Австралии, Корее, Малазии,
Германии и других странах были созданы
Компьютерные группы быстрого реагирования
(CERT), проводящие исследования
в области новейших методов вторжения
в кибернетическое пространство и защиты
сетей, подачи сигналов тревоги и
пропаганды защиты сетевой инфраструктуры
в мире. Недавно Европейская комиссия
создала Европейское агентство охраны
сети и информации
для координирования усилий стран-участниц
в области кибернетической безопасности
и предоставления консультаций самой
Комиссии и ее департаментам. Правительства
отдельных государств поддерживают идею
создания частных агентств по обмену
информацией как общего характера, так
и по конкретным проблемам. Так, в Англии
деятельность Агентства по предупреждению,
советам и сводкам (WARP)
используется для создания междисциплинарной
сети для обмена наиболее важной
информацией, касающейся безопасности.
Другие страны (США, Канада, Япония,
Германия и Нидерланды) создали центры
для обмена специальной промышленной
информацией (ISAC), преследующие
сходные задачи.
Юридические
меры. Борьба с киберпреступностью
ведется также путем принятия законов
и мер на национальном, региональном и
международном уровнях. Международные
организации часто рекомендуют отдельным
странам вводить в криминальное
законодательство специальные статьи
о кибернетических преступлениях, а
также менять процессуальный ход дознаний,
связанный с поисками и изъятием
необходимых доказательств этих
преступлений. Генеральная Ассамблея
Организации Объединенных Наций приняла
несколько резолюций, которые рекомендуют
странам принять соответствующие меры
по борьбе со злоупотреблениями технологией
в преступных целях, обмениваясь при
этом важными технологическими уликами
и информацией.
В
2003 году Европейский Совет принял
Конвенцию о кибернетических преступлениях,
вступившую в силу 1-го июля 2004 года. Эта
конвенция направлена на разработку
общих установок по защите сетевой
интфраструктуры от преступных действий
и определяет процедуру судебного
преследования правонарушений в сфере
Интернета для стран-участниц. Она также
включает в себя пункт, касающийся
доказательств в электронной форме.
Конвенция создает возможности для
сотрудничества между странами-участницами
с целью предотвращения и наказания
кибернетических преступлений.
В
зависимости от степени и характера
использования компьютерных технологий
Раздел 1 этого договора квалифицирует
определенные действия как уголовные
преступления, нарушающие законы
стран-участниц. В контексте кибернетического
пространства к преступлениям подобного
рода относятся: перехват информации
(намеренный и недозволенный перехват
информации необщего пользования,
например, перехват чьей-либо электронной
почты), вмешательство в информацию
(умышленное повреждение чужого компьютера,
например, путем внедрения вирусов),
вмешательство в систему (умышленный и
недозволенный доступ, приводящий к
неисправной работе компьютеров,
выражающейся в потере, порче, утечке
или подавлении компьютерной информации,
то есть, множественные поражения системы
ДОС), незаконный доступ (умышленный и
недозволенный доступ к чьей-либо
компьютерной системе, то есть, недозволенный
доступ к личным файлам, отчетам и т. д.),
а также злоупотребление компьютерными
средствами (использование хакерских
программ). Уголовные преступления,
совершенные с помощью компьютера, как
то: подделки и мошенничество с помощью
компьютера, распространение детской
порнографии в компьютерной сети,
нарушение прав интеллектуальной
собственности, а также попытки, содействие
и подстрекательство к таковым преступлениям
выделены в отдельные категории, дающие
определения этим преступлениям.
Рассмотрим
первую часть параграфа 550 (б) бельгийского
уголовного законодательства, который
вступил в силу в 2001 году и дал возможность
считать уголовно наказуемым компьютерное
хакерство и вредительство, включая
умышленное вторжение в компьютерную
систему. Вторая часть этого параграфа
предусматривает наказание сроком до
двух лет за так называемый незаконный
доступ к чужой компьютерной системе с
мошенническими целями. Немецкое
законодательство сходным образом
считает уголовно наказуемым незаконное
получение цифровой информации, любое
изменение цифровой информации, создание
вирусов, а также атаки на систему
именования доменов.
Многие
страны СНГ идут по тому же пути, признавая
определенные нарушения в сфере
Интернет-сетей и компьютеров уголовными
преступлениями. Законы этих стран также
включают в себя меры, облегчающие
противодействие этим нарушениям со
стороны правоохранительных органов.
Например, Российский уголовный кодекс
считает уголовно наказуемым незаконный
доступ к компьютерной информации,
производство, использование и
распространение причиняющих ущерб
электронных компьютерных программ, а
также проникновение в чужие компьютеры,
системы и операционные схемы интернета.
Украинское уголовное право тоже
предусматривает наказание за нелегальное
вмешательство в компьютерную сеть,
кражу компьютерной информации
мошенническим путем и нарушение
операционных правил компьютерной сети.
Отслеживание
и сохранение информации. Реформы,
направленные на борбу с компьютерными
преступлениями, неизбежно включают в
себя меры, облегчающие правоохранительным
органам слежку за деятельностью в
компьютерных сетях и устанавливающие
более строгие правила, касающиеся
сохранения информации. Обычно эти меры
включают в себя законодательную законного
перехвата информации путем эффективного
прослушивания коммуникаций, основанных
ИКТ. Так, после событий 9-го сентября,
Соединенные Штаты ввели в действие
широко обсуждавшийся Закон о Партиотизме,
усиливший полномочия правоохранительных
органов в сфере перехвата информации
в Интернет-сети и расширивший спектр
существующих законов о допустимости
слежки, обязав провайдеров действовать
согласно новым положениям. Немецкое и
английское правительства сходным
образом приняли собственные версии
закона о легальном перехвате информации,
что дало государсвтенным органам этих
стран право осуществлять слежку на
законных основаниях и обязать коммерческих
провайдеров действовать согласно
соответствующим стандартам. Директива
Европейского Совета предписывает
странам-участницам принять законы,
обязывающие местных провайдеров в
случае необходимости осузествлять
перехват информации, проходящей через
их каналы, и предоставлять эту информацию
друшим странам-участницам. Подобного
рода контроль осуществляется и над
теми, кто работает с коммутационным
оборудованием, приобретенном у таких
кампниях, как, скажем, Cisco,
и традиционно не ассоциируемых с
провайдерской деятельностью. Кроме
того, многие правительства используют
специальную технологию и программное
обеспечение для осуществления различных
методов перехвата информации; о некоторых
из этих методов мы поговорим попозже.
2.
Защита данных, неприкосновенность
частной жизни, провайдеры Интернет-услуг
и вопрос доверия.
Широкое
применение законов (зачастую принятых
слишком поспешно) об отслеживании,
перехвате и сохранении провайдерами
информации заставляет задуматься: не
скажутся ли подобные меры на праве
неприкосновенности частной жизнь и
свободе слова? Эта озабоченность касается
возможного вторжения в частную жизнь
как со стороны правительства, так и
частных организаций (слежка и сбор
данных). Борцы за гражданские права
опасаются, что в самом худшем случае
правительственные и частные организации
вступят между собой в тайный сговор и
объединят всю имеющуюся у них информацию
о частных лицах с целью облегчения
задачи контроля и слежения (что было
немыслимо до появления Интернета).
Право
граждан и потребителей на защиту своей
частной жизни от вторжения правительственных
и коммерческих организаций подразумевает
право контроля собираемой о них
информации и ее последующего использования.
Существуют и другие юридические
определения этого права, но смысл у них
общий. В Европе защита частной жизни
потребителя подразумевает осведомленность
и согласие потребителя (за несколькими
исключениями), ограничения на сбор,
удержание и разглашение сведений,
требования надежности, доступности и
безопасности.
В 1995 году Европейский Союз
принял эпохальную Директиву о защите
данных и призвал государства-члены
согласовать свои национальные законы
о неприкосновенности частной жизни со
стандартами этого документа. Директива
рассматривает неприкосновенность
частной жизни как основополагающее
право человека и в соответствии с этим
ограничивает сбор информации со стороны
коммерческих организаций: он проводится
только в тех случаях, когда этого требуют
закон или некие экстренные обстоятельства.
Директива подразумевает режим «opt-in»
(т.е. добровольное согласие потребителя
), предписывает защиту информации и ее
надежное хранение и обязывает частный
сектор обеспечить пользователю доступ
к информации с тем, чтобы тот мог
удостовериться в ее аккуратности.
Директива ЕС о защите данных включает
в себя положения о международном
распространении данных (что особенно
важно в эпоху интернета). Частные стороны
обязаны получить согласие индивидуального
пользователя на передачу сведений о
нем за пределы Европейского Союза.
Последовавшая за этим Директива ЕС о
защите неприкосновенности частной
жизни (Директива ЕС «О защите
неприкосновенности частной жизни в
сфере электронных коммуникаций»)
продолжает разработку правил, изложенных
в Директиве ЕС 1995 года, разъясняет
политику ЕС в отношении спама, сбора и
удержания электронных данных и обязывает
страны-участницы разработать законы,
обеспечивающие конфиденциальность
информации, вводящие ограничения на
хранение данных и предусматривающие
исключения для нужд национальной
безопасности.
В свете дискуссий о
кибербезопасности, киберпреступности
и неприкосновенности частной жизни в
сети трудно переоценить роль провайдеров
Интернет-услуг (ISPs). В
качестве одной из весьма немногочисленных
сетевых «точек контроля», к которым
могут обратиться правоохранительные
органы и другие лица, чтобы контролировать
сетевую деятельность, ISPs
функционируют как своего рода «ось»,
ключевой пункт практически любой системы
слежки и сбора данных. Отношения между
ISPs и их пользователями,
с одной стороны, и ISPs и
правительством – с другой, весьма
существенны для понимания того, как
устроен сложный баланс между безопасностью
и правом на частную жизнь (а также на
свободу слова).
Мы также займемся вопросом
доверия между различными участниками
сети. Доверие – в том смысле, в каком
Microsoft и HP
употребляют термин «trusted
computing» или же доверие
между отдельными людьми и группами лиц
– зачастую оказывает огромное влияние
на баланс между безопасностью и правом
на частную жизнь. Это влияние принимает
формы, недоступные для традиционного
законодательства и недооцениваемые
при анализе актуальных вопросов политики
регулирования.
Отдельные примеры.
Защита информации в России.
Конституция
Российской Федерации предусматривает
юридическую защиту личной жизни граждан,
их телефонных разговоров, писем, и прочих
видов общения. Эти юридические положения
запрещают использование, сбор, и хранение
личных данных граждан без их согласия.
Уголовный
и административный кодексы также
содержат санкции против незаконного
сбора, хранения, и распространения
данных имеющих отношение к личной жизни
граждан и персональной информации.
Однако закон не дает точной формулировки
того, что относится к категории
«персональная информация».
Закон
об информации, информатизации и защите
информации дает нечеткое определение
понятию личной информации: «Это
информация о фактах, событиях и
обстоятельствах в жизни гражданина
(гражданки), которые являются составляющими
элементами его или ее личности».
Кроме того, Закон об информации определяет
частную информацию как «конфиденциальные
данные.» Такое определение еще больше
затрудняет доступ к подобной информации.
Ни
закон о защите информации, ни примеры
из истории юриспруденции не формулируют
с точностью, что именно подлежит защите
в качестве «персональной информации.»
Суды решают подобные дела по собсвенному
усмотрению. Интернет еще больше запутывает
дело. Например, как рассматривать
информацию о пользователе, полученную
в результате использования сетевых
программ, например, «маркёров»?
Следует ли считать маркёры частной
информацией, подлежащей защите? Иногда
эти вопросы обсуждаются на сайтах
отдельных компаний, которые гарантируют
своим пользователям защищённость их
данных от распространения и неавроризованного
доступа. Закон не дает исчерпывающего
ответа.
Ряд
положений в российском кодексе определяет
границы «персональной информации.»
Например, понятие идентификационного
номер налогоплательщика, определяемое
статьей 84 Российского Налогового
Кодекса, оперирует данными, которые
могут считаться «персональными»:
имя, пол, адрес. Трудовой кодекс также
использует определение «персональные
данные сотрудника»: это информация
о сотруднике, которой располагает
работодатель и которые являются частью
его трудового досье. Тем не менее, хотя
статья 86 Кодекса ограничивает
распространение и использование данных
полученных от работника, следующий
параграф той же статьи содержит
расплывчатую ссылку на положение в
Конституции, где обсуждается количество
данных, которые могут быть использованы.
Таким образом возникают юридические
неточности.
Положения,
дополняющие Закон о связи, до некоторой
степени защищает данные абонента,
который пользуется услугами доступа к
телекоммуникационной сети через
провайдера—данные, которые провайдер
получил случайно. Однако, закон разрешает
операторам связи использовать внутренние
базы данных абонентов для справочных
услуг. Данные абонента включают в себя
адрес, пароль, имя пользователя и прочую
конфиденциальную информацию. С другой
стороны, закон не регулирует явным
образом данные уже вынесенные на
Интернет. До какой степени личные имена
и адреса электронной почты, вынесенные
на открытые сайты-форумы доступны для
использования посторонними лицами?
С
точки зрения властей, все очень просто.
Благодаря единой системе оперативно-розыскных
мероприятий на сетях документальной
электросвязи (СОРМ и СОРМ-2), государственные
органы безопасности имеют право прямого
доступа и перехвата любых сообщений и
информации проходящей через Интернет.
Провайдеров обязывают за собственный
счет устанавливать оборудование для
наблюдения в своих сетях и сотрудничать
с правоохранительными органами по сбору
данных о гражданах России и иностранцах.
Таким
образом, возникает сложная ситуация: с
одной стороны ясно определены права
государсвенных органов и совсем неясны
права потребителей. Следует ли давать
более широкое определение пиратству,
которое позволило бы государственным
ведомствам усилить свои полномочия по
охране безопасности в демократическом
государстве? Или же, с учетом непрерывно
увеличивающейся роли Интернета, следует
пересмотреть трактовку пиратства и
процесс привлечения к судебной
ответственности – с тем чтобы четко
определить права граждан и ограничить
полномочия правоохранительных органов?
4. Дополнительные материалы.
Mark
G. Milone, HACKTIVISM : Securing the National Infrastructure, 58
Bus. Law. 383 (2002):
http://www.abanet.org/buslaw/newsletter/0007/materials/hack.pdf
Информационная
война:
http://swissnet.ai.mit.edu/6805/articles/iwdmain.htm
Секретная
система электронного слежения "Эшелон":
http://archive.aclu.org/echelonwatch/highlights.html
Европейская конвенция по киберпиратству:
http://conventions.coe.int/Treaty/en/Treaties/Html/185.htm
Пояснения к конечному варианту
Европейской конвенции по киберпиратству:
http://www.privacyinternational.org/issues/cybercrime/coe/cybercrimememo-final.html
Департамент
юстиции США, Уголовное подразделение
по компьютерным преступлениям и
интеллектуальной собственности:
http://www.cybercrime.gov/
CERT
Coordination Center Report on Trends in DOS Attack Technology:
http://www.cert.org/archive/pdf/DoS_trends.pdf
Центр по расследованию преступлений
(Россия):
http://www.crime-research.ru/
Директивы Европейского Союза по защите
информации и другие полезные документы:
http://europa.eu.int/comm/internal_market/privacy/law_en.htm