Урван Парфентьев: тренды цифровой безопасности

Урван Парфентьев, координатор направления Интернет-безопасности и ведущий аналитик РОЦИТ.

Цифровая безопасность – понятие постоянно развивающееся по мере того, как развиваются сами цифровые технологии и ширится сфера их применения.

Если говорить о пользовательской цифровой безопасности, то можно вычленить множество влияющих факторов технологического, «бизнесового», законодательного и правоприменительного, социального («житейского»), возрастного характеров. Все эти факторы постоянно держат в голове как киберпреступники, так и те, кто с ними борется.

Львиную долю киберпреступлений по-прежнему обеспечивают Интернет-мошенники, создающие Управлению российского МВД более 80% загрузки. По их данным 2015 года, число экономических преступлений с применением «высоких технологий» серьезно выросло, и в 2016 году киберполицейские ожидают худшего. Активизация экономических преступлений подобного рода понятна – пресловутый кризис заставляет искать новые способы «отъема и увода денег», и именно поэтому ждать спада экономической киберпреступности не приходится. Правда, по мнению полиции, кибермошенники больше интересуются не кошельками отдельных граждан, а теми местами, где денег совсем много – даже не столько банками (там обычно кибербезопасность на высоте), а организациями. Расчет прост – лучше рискнуть один раз по-крупному, меньше шансов попасться, да и обидно будет из-за трех тысяч рублей, украденных из студенческого Яндекс-кошелька, на зону «заехать» - лучше уж из-за трех миллионов... Впрочем, гражданам при этом все же есть чего бояться – фишинговые страницы для отъема денег на странице какого-нибудь ЖКО остаются по-прежнему популярными из-за низкой кибербезопасности многих контор.

Что же касается мошенничества в отношении частных лиц, то способы облегчить их виртуальные кошельки все больше и больше «гибридизируются». Не секрет, что экономические Интернет-угрозы были гибридными практически изначально, сочетая контентные и программно-технические методы. Сейчас же наблюдается эволюция именно контентной части экономических угроз. Задача преступников – побудить пользователя самого совершить выгодное им действие, а не «грубо проломиться» через его программно-техническую защиту. И именно это наблюдается все последние годы.  К сожалению, преступники все чаще и чаще пытаются добраться до чужих денег через несовершеннолетних – и для этого используют все доступные им схемы: от обещания заманчивого «пряника» до  беззастенчивой эксплуатации доверчивости ребенка, воспитанного помогать попавшим в беду. Нужно отметить, что в данном случае речь идет даже не столько о сумме на Интернет- и мобильных счетах самих детей, сколько о попытках добраться до денег их родителей. Поэтому сбор персональной информации о родителях через несовершеннолетних становится у киберпреступников все популярнее и популярнее…

Впрочем, взрослые также совершенно бессознательно оставляют великолепные «подарки» жуликам. Несмотря на общий рост цифровой грамотности Интернет-аудитории, некоторые базовые рекомендации по Интернет-безопасности пользователями, похоже, все же игнорируются. К примеру, поиск популярности в социальных сетях по-прежнему очень часто перевешивает соображения безопасности – пользователь зачастую не может понять, каким образом фотография в его аккаунте может открыть дорогу к его кошельку. Поэтому люди по-прежнему публикуют в соцсетях очень многое о своей жизни, фактически «раскрываясь» перед незнакомыми людьми так, как они бы никогда не сделали в оффлайне. Допустим, некий кибержулик поставил своей целью очистить банковский счет некоего Иванова И.И., и на некоторой стадии этого процесса ему потребовалось кодовое слово – стандартная часть защиты банковской информации, которой уже как минимум несколько десятилетий. Интернет-банк дает подсказку для кодового слова – допустим, нужно назвать кличку собаки. В оффлайне, если жулик и жертва не соприкасались – хотя бы через общих знакомых – получить такую информацию довольно проблематично. В онлайне же злоумышленник зайдет на открытый аккаунт жертвы в соцсети и первым делом пересмотрит его фотографии. Если жертва любит выкладывать там даже самые прозаические моменты повседневной жизни, то весьма вероятно, что среди фотографий найдется и фото владельца с собакой – с обязательной подписью типа «С Жучкой на прогулке». С этого момента можно считать, что ключ от виртуального кошелька жертвы у злоумышленника уже в кармане – он тут же попробует пароль «Жучка» и с высокой вероятностью окажется, что пароль правильный…

Что касается «чисто контентных» угроз, то в этом направлении наблюдается в основном «перераспределение долей» между уже установившимися типами опасностей. Большинство контентных угроз – репутационного характера, то есть направлены на публичное причинение вреда чести, достоинству и репутации жертвы. Опасность такого вреда в том, что он по своей сути некомпенсируем – если материальный вред можно так же материально возместить, то репутационный вред простым опровержением не загладишь, тем более в Интернете с его особенностями распространения информации. Мало кто задумывается над тем, что былая «контентная угроза номер один» - распространение сцен сексуальной эксплуатации несовершеннолетних (она же «детская порнография») – тоже репутационного характера.

Впрочем, детская порнография уже несколько лет назад уступила первую позицию в рейтинге контентных угроз киберунижению. Киберунижение многогранно и может носить характер от системного форумного хамства до целых кампаний и проектов с политизированным или псевдонаучным подтекстом. К киберунижению относится и такая набирающая популярность подростковая забава, как выкладывание в Сеть видео издевательств над сверстниками и даже над взрослыми. Появляются целые «франшизы» - отдельные проекты, объединенные общим названием, наподобие теперь уже печально знаменитых «Куриц».

Основным средством оборота киберунижающего контента является так называемый Web2.0, а точнее – социальные сети, вобравшие в себя функционал предыдущих вебдванольных проектов.

Ключевая проблема оборота такого контента заключается в том, что предусмотренные на сайтах механизмы саморегулирования по сути не работают, и зачастую пользователи не получают должной реакции от модераторов, администраторов, владельцев сервисов – хотя туда и обращаются. Обычно такая реакция тех, кто должен «саморегулировать» свои ресурсы, связана с двумя аспектами: прямой поиск популярности за счет подобного контента и слабое знание законодательства, то есть боязнь избежать претензий в «нарушении свободы слова». О том, что любая свобода не может нарушать права и свободы других лиц, модераторы и админы в подобные моменты почему-то забывают.

Серьезным законодательным заслоном на пути киберунижения стало так называемое «право на забвение» - право пользователя удалить из поисковой выдачи ссылки на контент, причиняющий вред его чести, достоинству и репутации. Подобная норма существовала и ранее, но предусматривала исключительно судебный порядок решения вопроса и касалась именно репутационного вреда – потому на практике работала редко. «Право на забвение» в его нынешнем варианте вводит досудебный порядок разрешения проблемы, ускоряя таким образом реакцию на контентную угрозу, и расширяет перечень информации, которую можно будет убрать из поисковика. Правовой основой нового механизма стала концепция принадлежности персональных данных – или, в более правильном переводе, «информации о личности» (понятие «персональные данные» многие по инерции путают с анкетными данными, несмотря на четкую и гармонизированную с Европой дефиницию в соответствующем законе). Европейский законодатель исходит из того, что хозяином информации о человеке является сам человек – следовательно, только он имеет право определять, какой информации о нем распространяться публично. Из такой трактовки возникает и вполне логичное право требовать прекращения оборота той информации, оборот которой для субъекта персональных данных нежелателен. Именно этот подход был использован при введении «права на забвение» в европейские правовые акты – сначала на национальном, а теперь уже на общеевропейском уровне, в рамках принимаемых General Data Protection Regulation Евросоюза. По сравнению с широко известным «Делом Костеха», впервые широко открывшим «право на забвение» на пространстве ЕС, данный правовой механизм переходит с уровня судебного прецедента на уровень долговременного нормативного акта, а также в нем расширяются и уточняются некоторые понятия.

Что касается «права на забвение» в России, то отечественный законодатель в общем и целом повторил канву европейского прецедента.

Несмотря на то, что ко второму чтению законопроекта в Госдуме его очертания существенно изменились (и не всегда в лучшую для пользователей сторону), законодатель сумел создать довольно эффективный механизм защиты от киберунижения. При этом было де-факто учтено понятие общественного интереса, причем в его правильном толковании – как обеспечение прозрачности деятельности госслужащих в качестве таковых. Надо понимать, именно этим обуславливалось присутствие в законе таких норм, как невозможность удалить информацию о потенциальном совершении гражданином преступления или о факте его осуждения – как известно, критики законопроекта больше всего боялись, что он сделает невозможной публикацию всяческих «антикоррупционных расследований».  В интересах граждан в законопроекте присутствует норма о судебном обжаловании возможных отказов поисковиков в удалении информации по месту жительства, что также повышает доступ граждан к правосудию и повышает эффективность вновь введенного механизма.

Программно-технические угрозы – самый ранний тип киберугроз – давным-давно перестал быть видом шутки программистов.  По сути, они эволюционировали до «кибероружия» - специализированного вредоносного ПО, рассчитанного вместе со «средствами доставки» на вывод из строя критической оффлайновой инфраструктуры. В которую, между прочим, входят нефтегазовые предприятия и атомные электростанции, что делает выход из строя их систем управления совсем не шуточным делом. Тем более если учесть, что за такими атаками будут стоять отнюдь не студенты-хакеры с бутылкой пива в холодильнике, а прекрасно подготовленные специалисты (почти стопроцентно в погонах) с прекрасной инфраструктурой. Специалисты по кибербезопасности весьма обеспокоены перспективами кибероружия, а вслед за ними – и госорганы. В результате их усилий предпринимаются законодательные попытки урегулировать – а точнее, запретить – оборот кибероружия примерно так же, как в свое время оружие химическое или атомное.

Еще одно направление развития программно-технических угроз – «прикладное» экономическое, то есть использование вредоносного ПО с целью обогащения. Здесь, как уже говорилось, основным трендом является гибридизация экономических угроз, и «перевес» контентной или программной части зависит от конкретного атакуемого объекта и качества атаки. В классических атаках банков, скажем, роль программно-технических специалистов по-прежнему является решающей, так как именно на них возлагается задача внедрить «что надо» и пройти через соответствующую защиту, а потом «замести следы». И программно-технические методы для таких атак по-прежнему совершенствуются. Схожие задачи решаются, если нужно получить доступ не к нескольким индивидуальным аккаунтам (тут преступникам зачастую бывает проще обойтись контентными и психологическими методами),  а к большому массиву данных. Кражи информации стали настоящим бичом интернетизированных стран – например, в тех же США «утекают» данные из госведомств по десяткам и сотням миллионов граждан. Излишне говорить, что подобные практики подрывают доверие граждан к информатизации данных о себе и перевешивают практическую пользу от перевода данных в электронный формат, не говоря уже об организации межведомственного обмена такими данными. А ведь именно это планируется доделать в России в ближайшие годы…

Без сомнения, борьба между киберзлоумышленниками и кибербезопасниками будет продолжаться все то время, пока Интернет будет использоваться для вредоносных целей – то есть, наверное, пока существует сама Сеть. Другое дело, что  готовность совершать опасные действия часто зависит от менталитета. И именно поэтому все больше и чаще на международном уровне ведутся разговоры о привитии «киберэтики» с самого раннего возраста, обучению безопасности в Сети по такому же принципу, как учат безопасности на улице, и – конечно же -  о формировании позитивного онлайн-пространства. В первую очередь речь идет о пространстве позитивного контента, где исключено негативное контентное влияние, побуждающее к противоправным оффлайновым действиям. Пока специалисты видят два главных пути создания такого пространства: качественная экспертиза информационной продукции и быстрое реагирование на инциденты силами саморегулирования. То есть – все то же обучение модераторов и администраторов гражданской ответственности и привитие им норм киберэтики. У экспертизы инфопродукции есть и программно-технические перспективы – ее результаты могут быть «машиночитаемы», то есть метка может восприниматься средствами программно-технической защиты (теми же фильтрами). По крайней мере в части экспертизы инфопродукции для детей у России есть перед многими другими странами очень серьезное преимущество – наличие огромной сети профессиональных экспертов по детскому контенту, оставшейся с советских времен, и тут в первую очередь речь идет о детских библиотекарях. Осталось немного – сделать позитивный контент действительно завлекательным для целевых аудиторий, помочь специалистам по контенту и по дизайну сайтов найти друг друга и сделать много некоммерческих качественных продуктов. И тут, скорее всего, потребуется уже финансовая поддержка государства.

Практически все эти проблемы специально и профессионально обсуждались в 120 странах мира 9 февраля – в Международный День безопасного Интернета, российской частью которого стала Неделя безопасного Рунета и ее кульминация – CyberSecurityForum\i-SAFETY 2016. Надо сказать, что тренды во многих странах весьма схожи – необходимо вовремя и адекватно отвечать на новые вызовы, сохраняя «зону комфорта» для пользователей без ненужной «всеобъемлющей» ужесточительной политики (которая как раз эту «зону комфорта» и нарушает больше, чем любые злоумышленники). Уже сейчас международное взаимодействие позволяет выстраивать довольно эффективное противодействие киберугрозам, до определенной степени убирая одно из главных преимуществ киберпреступников – трансграничность. Касается это и контентных, и экономических, и программно-технических преступлений. Будет ли более четкое очертание трансграничных механизмов, и куда пойдет дальнейшее развитие трендов безопасности – будет зависеть от общей ситуации, ведь Интернет – лишь зеркало нашей оффлайновой жизни.