Вторник,
14-е декабря 2004 года
Вопросы
безопасности в век сетевых систем:
киберпреступность и безопасность
информации
Как
почти все вопросы, которыми мы будем
заниматься на этой неделе, вопрос о
кибернетических преступлениях и
безопасности информации имеет две
стороны, вступающих между собой в
противоречие, и порождает ряд
непрекращающихся проблем для всех, кто
занимается вопросами общественного
регулирования. Необходимость заботиться
о национальной безопасности оказывается
в противоречии с необходимостью соблюдать
установленные гражданские права. С
появлением ИКТ возрос риск для
информационных инфраструктур не только
на национальном, но и на глобальном
уровне. Кроме того эти технологии
повсеместно используются для достижения
как законных, так и незаконных целей.
Полиция должна иметь возможность
отслеживать незаконные действия с
помощью Интернета, но тот же Интернет
может быть использован для значительного
ущемления гражданских свобод (традиционными
и новыми способами), в частности, свободы
слова и невмешательства в личную жизнь.
Задача примирения этих противоречащих
друг другу интересов представляет собой
невероятно сложную проблему в смысле
государственного регулирования. В
процессе последующих занятий мы
рассмотрим вопросы информации и
киберпреступности, кибербезопасности,
законного и незаконного перехвата
информации, поступающей через Интернет,
так называемое «профилирование»
и право на тайну информации личного
свойства.
1. Безопасность информации.
Распространение
информации через Интернет, основанное
на принципах открытых межоперационных
систем, предоставляет возможность как
для инноваций и творческой деятельности,
так и для масштабных злоупотреблений.
Открытый доступ к Интернету стимулирует
инновации и творческие возможности,
но вместе с тем делает компьютеры
уязвимыми для любого рода кибернетических
атак, проникновения извне и других
злонамеренных действий. Наиболее важные
системы, например, система управления
воздушным сообщением, предприятия
энергетической отрасли и электросети,
пользующися компьютерными сетями,
представляют собой объекты, уязвимые
для вторжения или манипуляций извне.
Угрозы такого рода децентрализованы
по своей природе и потому их трудно
моментально опознать и предотвратить
ex ante.
Спектр
угроз безопасности информации достаточно
широк: от политического активизма до
терроризма. Понятие «сетевых войн»
выражает сущность конфликтов в обществе,
связанном информационной сетью.
Координированные группы активистов,
распространяющие информацию в сетях
Интернета и получающие несанкционированный
доступ к пользователям через потенциально
вредные программы для манифестации
своих политических взглядов, часто
называют «хактивистами».
Их деятельность порой превозносят, а
порой осыпают бранью. Все же, наибольшее
беспокойство вызывают действия по
использованию программного обеспечения,
технологии и инфраструктуры Интернета
для совершения незаконных поступков.
Они и получили название «кибернетических
преступлений».
1.
1 Кибернетические преступления.
Под кибернетическими преступлениями
понимаются уголовные действия, совершенные
целиком в кибернетическом пространстве
(например, различные виды присвоения
чужой личности и банковское мошенничество),
а также действия, в которых присутствует
физический компонент и которые совершаются
с помощью средств, находящихся в
Интернете. Подобные действия обычно
включают в себя незаконное проникновение
в компьютерные файлы и/или кражу частной
информации, дезорганизацию информации,
находящейся в других компьютерах
посредством вирусов, «троянских
коней», «червей», «логических
бомб», осуществление атак, вызывающих
нарушение компьютерных услуг,
распространение детской порнографии
на Интернете, продажу через Интернет
незаконных материалов и веществ, а также
присвоение и подделка чужой личности.
Другие, менее распространенные
преступления, направлены скорее на
различные институты, как, например,
организованные поражения национальной
сетевой инфраструктуры; проникновение
в сети правительственных учереждений,
коммерческих или некоммерческих сайтов,
а также атаки на наиболее важные объекты
инфраструктуры.
Средства,
необходимые для совершения кибернетических
преступлений, крайне дешевы, так как
все, что нужно потенциальному преступнику,
чтобы заняться своим нелегальным
ремеслом, это доступ к Интернету и
бесплатные программы, находящиеся в
Интернет-сетях, в то время как цена таких
преступлений необычайно высока. К тому
же результаты кибернетических преступлений
могут быть ощутимы вдали отсамого места
преступления. В деле США против Иванова
компьютерное мошенничество с кредитными
карточками двух жителей Челябинска
привело к потере 25 миллионов долларов.
Ущерб, причиненнный одним только вирусом
«Мелисса», согласно отчету ФБР
«Компьютерные преступления и обзор
компьютерной безопасности» (CSI/FBI
Computer Crime
and Computer
Security Survey),
составил 55 миллионов долларов в
Соединенных Штатах и более 800 миллионов
долларов во всем остальном мире.
1.2
Кибернетическая безопасность. В
ответ на кибернетическую угрозу
правительства отдельных, корпорации и
другие заинтересованные лица разработали
стратегию по защите Интернет-сетей (или
«кибернетическую защиту»). На
уровне технологии эта стратегия включает
в себя установку программного обеспечения,
контролирующего доступ в Интернет
(межсетевые экраны, контент-контроль),
установление подлинности пользователя
(использование биометрики и «интеллектуальных
жетонов»); допуск на вход (ограничение
прав и привилегий пользователя);
обеспечение целостности системы
(антивирусные программы и программы,
проверяющие целостность системы);
криптографию (цифровые подписи),
постоянную проверку и контролирование
(системы обнаружения вторжения и
превентивных мер, компьютерная
криминология), средства конфигурация
и помощи (управление сетями, охранные
заплаты и т. д.).
На
уровне официальной политики правительства
приняли ряд законов и постановлений,
способствующих кибернетической
безопасности. Подобный курс действий
как правило начинается с мер, прежде
всего направленных на охрану «критических
инфраструктур», таких как оборона,
энергетика, снабжение продуктами
питания, финансовые и медицинские
учереждения. Другие меры включают в
себя исследование реальной и потенциальной
угрозы и разработку адекватных контрмер,
обмен информацией, правоприменительные
действия, отслеживание и удержание
информации, а также ее охрану. Часто эти
ответные меры включают в себя наделение
правоохранительных органов большей
полицейской властью в области информации
и деятельности в Интернете. В частности,
правоохранительные органы стремятся
получить возможность коммуникационного
перехвата в сети, будь то в виде информации
или голоса.
НИОКР.
Научные работа в области информационной
безопасности заключается в изучении
уязвимых мест в инфраструктуре
Интернет-сетей, предоставлении
квалифицированных рекомендаций,
разработки действенного способа
применение результатов НИОКР в системах
безопасности, создаваемых правительством,
а также улучшении стандартов мер
безопасности, которые применялись бы
в правительственных учереждениях.
Результаты этих исследований нередко
приводят к изменению государственного
регулирования, распространяющегося на
тех, кто создает техническое и программное
обеспечение, обеспечивает доступ граждан
к Интернету или контролирует доступ к
к Интернет-сетям в других частях мира.
Обмен
информацией. Как правительства, так
и некоммерческие структуры и деловые
круги нередко инициируют
информационно-технологический обмен
по вопросам уязвимости систем на данном
этапе и угроз безопасности, а также
делятся рекомендациями на предмет
оптимальных практических решений
существующих проблем. Так, например, в
США, Японии, Австралии, Корее, Малазии,
Германии и других странах были созданы
Компьютерные группы быстрого реагирования
(CERT), проводящие исследования
в области новейших методов вторжения
в кибернетическое пространство и защиты
сетей, подачи сигналов тревоги и
пропаганды защиты сетевой инфраструктуры
в мире. Недавно Европейская комиссия
создала Европейское агентство охраны
сети и информации
для координирования усилий стран-участниц
в области кибернетической безопасности
и предоставления консультаций самой
Комиссии и ее департаментам. Правительства
отдельных государств поддерживают идею
создания частных агентств по обмену
информацией как общего характера, так
и по конкретным проблемам. Так, в Англии
деятельность Агентства по предупреждению,
советам и сводкам (WARP)
используется для создания междисциплинарной
сети для обмена наиболее важной
информацией, касающейся безопасности.
Другие страны (США, Канада, Япония,
Германия и Нидерланды) создали центры
для обмена специальной промышленной
информацией (ISAC), преследующие
сходные задачи.
Юридические
меры. Борьба с киберпреступностью
ведется также путем принятия законов
и мер на национальном, региональном и
международном уровнях. Международные
организации часто рекомендуют отдельным
странам вводить в криминальное
законодательство специальные статьи
о кибернетических преступлениях, а
также менять процессуальный ход дознаний,
связанный с поисками и изъятием
необходимых доказательств этих
преступлений. Генеральная Ассамблея
Организации Объединенных Наций приняла
несколько резолюций, которые рекомендуют
странам принять соответствующие меры
по борьбе со злоупотреблениями технологией
в преступных целях, обмениваясь при
этом важными технологическими уликами
и информацией.
В
2003 году Европейский Совет принял
Конвенцию о кибернетических преступлениях,
вступившую в силу 1-го июля 2004 года. Эта
конвенция направлена на разработку
общих установок по защите сетевой
интфраструктуры от преступных действий
и определяет процедуру судебного
преследования правонарушений в сфере
Интернета для стран-участниц. Она также
включает в себя пункт, касающийся
доказательств в электронной форме.
Конвенция создает возможности для
сотрудничества между странами-участницами
с целью предотвращения и наказания
кибернетических преступлений.
В
зависимости от степени и характера
использования компьютерных технологий
Раздел 1 этого договора квалифицирует
определенные действия как уголовные
преступления, нарушающие законы
стран-участниц. В контексте кибернетического
пространства к преступлениям подобного
рода относятся: перехват информации
(намеренный и недозволенный перехват
информации необщего пользования,
например, перехват чьей-либо электронной
почты), вмешательство в информацию
(умышленное повреждение чужого компьютера,
например, путем внедрения вирусов),
вмешательство в систему (умышленный и
недозволенный доступ, приводящий к
неисправной работе компьютеров,
выражающейся в потере, порче, утечке
или подавлении компьютерной информации,
то есть, множественные поражения системы
ДОС), незаконный доступ (умышленный и
недозволенный доступ к чьей-либо
компьютерной системе, то есть, недозволенный
доступ к личным файлам, отчетам и т. д.),
а также злоупотребление компьютерными
средствами (использование хакерских
программ). Уголовные преступления,
совершенные с помощью компьютера, как
то: подделки и мошенничество с помощью
компьютера, распространение детской
порнографии в компьютерной сети,
нарушение прав интеллектуальной
собственности, а также попытки, содействие
и подстрекательство к таковым преступлениям
выделены в отдельные категории, дающие
определения этим преступлениям.
Рассмотрим
первую часть параграфа 550 (б) бельгийского
уголовного законодательства, который
вступил в силу в 2001 году и дал возможность
считать уголовно наказуемым компьютерное
хакерство и вредительство, включая
умышленное вторжение в компьютерную
систему. Вторая часть этого параграфа
предусматривает наказание сроком до
двух лет за так называемый незаконный
доступ к чужой компьютерной системе с
мошенническими целями. Немецкое
законодательство сходным образом
считает уголовно наказуемым незаконное
получение цифровой информации, любое
изменение цифровой информации, создание
вирусов, а также атаки на систему
именования доменов.
Многие
страны СНГ идут по тому же пути, признавая
определенные нарушения в сфере
Интернет-сетей и компьютеров уголовными
преступлениями. Законы этих стран также
включают в себя меры, облегчающие
противодействие этим нарушениям со
стороны правоохранительных органов.
Например, Российский уголовный кодекс
считает уголовно наказуемым незаконный
доступ к компьютерной информации,
производство, использование и
распространение причиняющих ущерб
электронных компьютерных программ, а
также проникновение в чужие компьютеры,
системы и операционные схемы интернета.
Украинское уголовное право тоже
предусматривает наказание за нелегальное
вмешательство в компьютерную сеть,
кражу компьютерной информации
мошенническим путем и нарушение
операционных правил компьютерной сети.
Отслеживание
и сохранение информации. Реформы,
направленные на борбу с компьютерными
преступлениями, неизбежно включают в
себя меры, облегчающие правоохранительным
органам слежку за деятельностью в
компьютерных сетях и устанавливающие
более строгие правила, касающиеся
сохранения информации. Обычно эти меры
включают в себя законодательную законного
перехвата информации путем эффективного
прослушивания коммуникаций, основанных
ИКТ. Так, после событий 9-го сентября,
Соединенные Штаты ввели в действие
широко обсуждавшийся Закон о Партиотизме,
усиливший полномочия правоохранительных
органов в сфере перехвата информации
в Интернет-сети и расширивший спектр
существующих законов о допустимости
слежки, обязав провайдеров действовать
согласно новым положениям. Немецкое и
английское правительства сходным
образом приняли собственные версии
закона о легальном перехвате информации,
что дало государсвтенным органам этих
стран право осуществлять слежку на
законных основаниях и обязать коммерческих
провайдеров действовать согласно
соответствующим стандартам. Директива
Европейского Совета предписывает
странам-участницам принять законы,
обязывающие местных провайдеров в
случае необходимости осузествлять
перехват информации, проходящей через
их каналы, и предоставлять эту информацию
друшим странам-участницам. Подобного
рода контроль осуществляется и над
теми, кто работает с коммутационным
оборудованием, приобретенном у таких
кампниях, как, скажем, Cisco,
и традиционно не ассоциируемых с
провайдерской деятельностью. Кроме
того, многие правительства используют
специальную технологию и программное
обеспечение для осуществления различных
методов перехвата информации; о некоторых
из этих методов мы поговорим попозже.
2.
Защита данных, неприкосновенность
частной жизни, провайдеры Интернет-услуг
и вопрос доверия.
Широкое
применение законов (зачастую принятых
слишком поспешно) об отслеживании,
перехвате и сохранении провайдерами
информации заставляет задуматься: не
скажутся ли подобные меры на праве
неприкосновенности частной жизнь и
свободе слова? Эта озабоченность касается
возможного вторжения в частную жизнь
как со стороны правительства, так и
частных организаций (слежка и сбор
данных). Борцы за гражданские права
опасаются, что в самом худшем случае
правительственные и частные организации
вступят между собой в тайный сговор и
объединят всю имеющуюся у них информацию
о частных лицах с целью облегчения
задачи контроля и слежения (что было
немыслимо до появления Интернета).
Право
граждан и потребителей на защиту своей
частной жизни от вторжения правительственных
и коммерческих организаций подразумевает
право контроля собираемой о них
информации и ее последующего использования.
Существуют и другие юридические
определения этого права, но смысл у них
общий. В Европе защита частной жизни
потребителя подразумевает осведомленность
и согласие потребителя (за несколькими
исключениями), ограничения на сбор,
удержание и разглашение сведений,
требования надежности, доступности и
безопасности.
В 1995 году Европейский Союз
принял эпохальную Директиву о защите
данных и призвал государства-члены
согласовать свои национальные законы
о неприкосновенности частной жизни со
стандартами этого документа. Директива
рассматривает неприкосновенность
частной жизни как основополагающее
право человека и в соответствии с этим
ограничивает сбор информации со стороны
коммерческих организаций: он проводится
только в тех случаях, когда этого требуют
закон или некие экстренные обстоятельства.
Директива подразумевает режим «opt-in»
(т.е. добровольное согласие потребителя
), предписывает защиту информации и ее
надежное хранение и обязывает частный
сектор обеспечить пользователю доступ
к информации с тем, чтобы тот мог
удостовериться в ее аккуратности.
Директива ЕС о защите данных включает
в себя положения о международном
распространении данных (что особенно
важно в эпоху интернета). Частные стороны
обязаны получить согласие индивидуального
пользователя на передачу сведений о
нем за пределы Европейского Союза.
Последовавшая за этим Директива ЕС о
защите неприкосновенности частной
жизни (Директива ЕС «О защите
неприкосновенности частной жизни в
сфере электронных коммуникаций»)
продолжает разработку правил, изложенных
в Директиве ЕС 1995 года, разъясняет
политику ЕС в отношении спама, сбора и
удержания электронных данных и обязывает
страны-участницы разработать законы,
обеспечивающие конфиденциальность
информации, вводящие ограничения на
хранение данных и предусматривающие
исключения для нужд национальной
безопасности.
В свете дискуссий о
кибербезопасности, киберпреступности
и неприкосновенности частной жизни в
сети трудно переоценить роль провайдеров
Интернет-услуг (ISPs). В
качестве одной из весьма немногочисленных
сетевых «точек контроля», к которым
могут обратиться правоохранительные
органы и другие лица, чтобы контролировать
сетевую деятельность, ISPs
функционируют как своего рода «ось»,
ключевой пункт практически любой системы
слежки и сбора данных. Отношения между
ISPs и их пользователями,
с одной стороны, и ISPs и
правительством – с другой, весьма
существенны для понимания того, как
устроен сложный баланс между безопасностью
и правом на частную жизнь (а также на
свободу слова).
Мы также займемся вопросом
доверия между различными участниками
сети. Доверие – в том смысле, в каком
Microsoft и HP
употребляют термин «trusted
computing» или же доверие
между отдельными людьми и группами лиц
– зачастую оказывает огромное влияние
на баланс между безопасностью и правом
на частную жизнь. Это влияние принимает
формы, недоступные для традиционного
законодательства и недооцениваемые
при анализе актуальных вопросов политики
регулирования.
Отдельные примеры.
Защита информации в России.
Конституция
Российской Федерации предусматривает
юридическую защиту личной жизни граждан,
их телефонных разговоров, писем, и прочих
видов общения. Эти юридические положения
запрещают использование, сбор, и хранение
личных данных граждан без их согласия.
Уголовный
и административный кодексы также
содержат санкции против незаконного
сбора, хранения, и распространения
данных имеющих отношение к личной жизни
граждан и персональной информации.
Однако закон не дает точной формулировки
того, что относится к категории
«персональная информация».
Закон
об информации, информатизации и защите
информации дает нечеткое определение
понятию личной информации: «Это
информация о фактах, событиях и
обстоятельствах в жизни гражданина
(гражданки), которые являются составляющими
элементами его или ее личности».
Кроме того, Закон об информации определяет
частную информацию как «конфиденциальные
данные.» Такое определение еще больше
затрудняет доступ к подобной информации.
Ни
закон о защите информации, ни примеры
из истории юриспруденции не формулируют
с точностью, что именно подлежит защите
в качестве «персональной информации.»
Суды решают подобные дела по собсвенному
усмотрению. Интернет еще больше запутывает
дело. Например, как рассматривать
информацию о пользователе, полученную
в результате использования сетевых
программ, например, «маркёров»?
Следует ли считать маркёры частной
информацией, подлежащей защите? Иногда
эти вопросы обсуждаются на сайтах
отдельных компаний, которые гарантируют
своим по