Украина: закон от кибертеррора не защитит

Личные данные пользователей интернета все чаще становятся маркетинговым продуктом и основой для довольно прибыльного бизнеса. При этом украинские граждане не имеют полной информации о том, в каких базах накапливаются их данные, и практически не имеют возможности по первому требованию получить эту информацию, изменить ее или исключить из свободного доступа.

 Накануне саммита «Восточного партнерства», проведение которого запланировано на 28–29 ноября с. г. в Вильнюсе, в украинском информационном пространстве разгорелась дискуссия о том, в какой степени интеграция нашей страны в мировое, в частности европейское сообщество будет способствовать ее защищенности от угроз кибертерроризма.

Тон ее был задан внесенным недавно в парламент проектом постановления Верховной Рады (р. №3020) о создании временной следственной комиссии, призванной выяснить степень угрозы, которую представляют для национальной безопасности Украины программы по сбору и поиску данных, используемые специальными службами США.

Поводом для появления этого законопроекта стали разоблачения бывшего сотрудника спецслужб США Эдварда Сноудена, который рассекретил карту местонахождения 700 серверов системы тотальной слежки за пользователями интернета. Система носит название Xkeyscоre («Основные ключи») и позволяет получать информацию об электронной переписке, загруженных файлах и практически любой интернет-активности. Эти серверы расположены в 150 странах мира, в т. ч. в Москве, Киеве и даже Пекине.

В связи с этим возникает логичный вопрос, не является ли угроза кибертерроризма удобным оправданием и прикрытием для создания системы электронного шпионажа, которую некоторые страны на самом деле используют для ослабления своих экономических конкурентов по всему миру? Косвенным подтверждением тому, что подобные подозрения имеют основания, является тот факт, что Германия в августе 2013 г. расторгла соглашение об обмене данными с США, Францией и Великобританией, которое было заключено еще в далеком 1968 г.

Этому предшествовало обращение всех представленных в Бундестаге партий к правительству ФРГ с требованием предпринять правовые меры в отношении США и Великобритании в связи с тем, что этими странами практикуется электронный шпионаж за иностранными гражданами. В этой же связи некоторые европейские страны отказались от рожденной в 2010 г. идеи делегировать полномочия по борьбе с кибертерроризмом Международному телекоммуникационному союзу.

Ущерб подлинный или мнимый?

Если верить официальным сообщениям стран Запада, масштабы кибертерроризма впечатляют. Так, согласно докладу комитета по внутренней безопасности британской Палаты общин, сделанному в июле 2013 г., ущерб Соединенного Королевства от совершения преступлений в интернете выше, чем от контрабанды наркотиков. В частности, ежегодный доход от преступной деятельности в Сети в мире оценивается в $388 млрд, тогда как доход от наркобизнеса – только в $288 млрд.

Согласно данным Центра стратегических и международных исследований США, в среднем ежегодный ущерб от кибератак по всему миру оценивается в сумму от $300 млрд до $1 трлн. В частности, США оценили свои убытки от действий киберпреступников за все годы существования интернета в $400 млрд, а официальные представители Великобритании заявили, что ежегодные затраты в сфере информационной безопасности в стране (включая прямые потери, восстановление данных, поддержание безопасности) составляют около 32 млрд фунтов.

Однако не стоит спешить принимать эти подсчеты за чистую монету, поскольку в них могут быть включены фантастические суммы морального ущерба и утраченной выгоды. Чтобы упредить субъективные спекуляции, следует отличать кибернетический терроризм от терроризма обычного, использующего для планирования и подготовки преступлений электронные средства связи.

Если террористы через интернет вербуют исполнителей и соучастников, закупают оружие, боеприпасы, взрывчатые вещества, транспортные средства и пр., бороться этим следует непременно, но относить все это к кибертерроризму не следует. В привычном понимании кибертеррор – это чисто управление потоком электронов, способным нарушить нормальную работу предприятий, организаций и учреждений. И самым распространенным его видом являются DDOS-атаки.

Что такое DDOS-атаки

Тут следует констатировать очевидный, но мало кем афишируемый факт: главным источником разрушительных электронных атак на работу компьютеров являются производители используемого на них компьютерного обеспечения, причем иногда руководители этих корпораций, а иногда отдельные их сотрудники, действующие без санкции руководства, на свой страх, риск и карман.

Первоначальная цель была, с точки зрения коммерческой, благая – наказать покупателей краденого. Если человек, например, покупает пиратскую пластинку, кассету или компакт-диск, он может ее слушать, пока не надоест. Но если фирма купит у пиратов компьютерную программу, она рано или поздно начнет «сыпаться».

Это, естественно, вынудит покупателя раскошеливаться вновь и вновь, пока он не придет к выводу, что покупать лицензионный продукт выгоднее, чем краденый. Когда миром стал править интернет, магнаты кибернетической индустрии вместо «мин замедленного действия» стали использовать «управляемые мины». Они могли «взрываться» по специальному сигналу, именуемому в простонародье вирусом, могли тихо работать шпионами, а могли и вообще заставить чужой компьютер плясать под дудку своего хозяина.

Началось с милого дурачества. В конце минувшего века в одном из английских графств проводился конкурс красоты, результаты которого определяло интернет-голосование. И один программист всемирно известной компании решил удружить своей девушке, дав команду нескольким находившимся на таком крючке компьютерам проголосовать за нее. Согласитесь, очень мило: человек сидит дома, а в это время его компьютер без ведома хозяина заходит на сайт конкурса и отдает свой голос за какую-то красавицу.

Хотя эта диверсия была произведена втайне от руководства фирмы, ноу-хау стало быстро известно в мире программистов, немедленно взявших его на вооружение. Самое примитивное использование этой технологии во враждебных целях заключалось в том, чтобы заставить тысячи компьютеров одновременно посетить определенный сайт, после чего тот был обречен «лечь».

Это как в жизни: никому не возбраняется прийти в любое учреждение и подать заявление, но если таких заявителей одновременно придет миллион, они заблокируют не то что министерство, но и весь центр города. На языке специалистов это и называется DDOS-атака – от английского Distributed Denial of Service, что в буквальном переводе означает распределенный отказ в обслуживании.

На наших просторах самая известная акция подобного рода произошла 1 февраля 2012 г. Напомним, что накануне МВД Украины провело операцию по изъятию серверов работающего в Украине файлообменника EX.UA (одного из крупнейших в мире), закрытия которого неоднократно требовало от украинских властей министерство торговли США. В ответ была совершена массовая DDOS-атака на правительственные электронные ресурсы. Больше всего пострадали сайт Президента Украины, Кабинета министров и Министерства внутренних дел.

В организации этого мероприятия подозревали большой «коллектив» пользователей нелицензионного продукта, получавших его посредством этого ресурса. Однако на самом деле тут не обошлось без участия известной международной хакерской группировки под условным названием Anonimous (Анонимы), участников которой называют хакивистами. Она не имеет постоянного членства и состава, но причастна ко многим кибератакам политического характера, направленным, в частности, против сайтов ФБР, Европарламента, правительств разных стран. И это далеко не полный перечень ее «подвигов».

Робин Гуды от кибертеррора

Нет сомнения, что сообщество «Анонимов» объединяет весьма квалифицированных программистов, которые не за славу, не за плату, на свой необычный манер помогают униженным и оскорбленным всей планеты, атакуя сайты неугодных компаний и организаций.

Известность хакивисты получили в 2010 г., после так называемой операции «Расплата» (акции по защите сайта «Викиликс») – серии атак на сайты коммерческих организаций и частных лиц, которые продвигали законы об авторском праве и ограничении свободы в интернете. В результате этих диверсий пострадали платежные системы «Пей-Пел», «Мастеркард», «Виза», банк «Пост-Финанс», портал магазина электронной торговли «Амазон» и многие другие сайты.

Летом 2012 г. «Анонимы» выложили в общей сложности более 1000 адресов электронной почты и паролей с сайтов компаний «Эксон Мобил», «Шелл», «БиПи», «Газпром» и «Роснефть». Эта операция была проведена с целью защиты арктического шельфа от нефтяных разработок, которые, по мнению хакивистов, вредят окружающей среде. В конце 2012 г. в ответ на бомбардировки Израилем палестинских поселений в секторе Газа эти же террористы атаковали сайты премьер-министра Израиля, его армии, а также целого ряда израильских банков, авиакомпаний и холдингов.

Последние акции восточноевропейского крыла «Анонимов» в Украине пришлись на начало февраля и август 2013 г. В феврале 3-дневным атакам подверглись сайты Киевского и Тернопольского управлений Министерства юстиции Украины – это был ответ хакеров на судебное решение о запрете Интернет партии Украины, принятое по иску названного выше ведомства. В августе украинские хакивисты атаковали сайт музыкальной группы «Блудхаунд Ганг», участники которой обвиняются в безобразном обращении с национальной символикой во время концерта в Киеве.

Несмотря на то, что отдельные акции кибертеррористов могут встретить понимание и даже сочувствие со стороны широких кругов общественности, тенденция усиления противоправных проявлений обязывает общество должным образом реагировать на сопровождающие их угрозы. В данном случае это означает активизацию принимаемых государством мер по усилению защищенности конфиденциальной информации граждан от преступных посягательств. И здесь, увы, нам нечем особо похвастаться.

Нужно совершенствовать законодательство

В июле 2010 г. Украина ратифицировала конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и дополнительный протокол к ней относительно органов надзора и трансграничных потоков данных. Были также приняты законы «О защите персональных данных», «О доступе к публичной информации», новая редакция закона «Об информации». Но несмотря на наличие достаточно обширной правовой базы, эффективная защита персональных данных в нашей стране не обеспечивается.

А 3 июля с. г. в Закон Украины «О защите персональных данных» были внесены изменения (вступят в силу с 1.01.2014), которые негативно оценили большинство отечественных экспертов по защите информации с ограниченным доступом. В соответствии с этими изменениями, государство снимает с себя какую-либо ответственность за обеспечение защиты персональных данных своих граждан. Так, из ст. 24 было исключено положение о том, что «государство гарантирует защиту персональных данных».

Теперь контроль за соблюдением законодательства в данной сфере осуществляют только уполномоченный Верховной Рады по правам человека вместе с ограниченным штатом сотрудников своего секретариата и суды.

Убрали из Закона даже норму, согласно которой контроль в этой области осуществляет Государственная служба Украины по вопросам защиты персональных данных, которая, следует признать, все равно не обладала необходимыми полномочиями и материальной базой для эффективного выполнения функций в сфере обеспечения безопасности конфиденциальной информации. В связи с большой нагрузкой сотрудниками этого ведомства сегодня рассматриваются заявления о регистрации баз персональных данных, поступившие в 2012 г. К рассмотрению заявлений, поступивших в этом году, еще даже не приступали.

Личные данные пользователей интернета все чаще становятся маркетинговым продуктом и основой для довольно прибыльного бизнеса. У большинства крупных сайтов работают современные маркетинговые программы по сбору персональных данных посетителей. При этом украинские граждане не имеют полной информации о том, в каких базах накапливаются их данные, и практически не имеют возможности по первому требованию получить эту информацию, изменить ее или исключить из свободного доступа.

Проблема защиты персональных данных связана со степенью развитости институтов гражданского общества. К сожалению, в Украине уровень развития подобных институтов невысок, как низка и правовая культура граждан, недостаточен уровень их активности, зато степень закрытости власти довольно значительна.

Именно поэтому вопросы защиты персональных данных, как, впрочем, и многие другие, обсуждаются и прорабатываются сравнительно небольшой группой специалистов и правозащитных организаций. Поэтому, к сожалению, закрепленные в Конституции Украины права граждан на неприкосновенность частной жизни пока что не имеют достаточного правового, организационного и технического обеспечения.

По данным Государственной судебной администрации, в 2008–2012 гг. за совершение преступлений в сфере использования компьютеров и компьютерных сетей, предусмотренных ст. 361–3631 УК

2012
2011
2010
2009
2008
Всего лиц, привлеченных к уголовной ответственности
107
92
92
86
92
из них:
  • освобождено от уголовной ответственности в связи с действенным раскаянием, передачей на поруки или амнистией
27
36
23
35
35
  • осуждено к различным видам наказания:
80
56
69
51
57
из них
== освобождено от наказания в виде лишения свободы с испытательным сроком
52
35
53
31
38
== приговорено к реальному лишению свободы
2
0
1
3
1

Данные об ущербе, нанесенном киберпреступниками разным странам в 2012 г. (по подсчетам международных антивирусных ассоциаций)

$млрд
США
21
Мексика
2
Бразилия
8
Россия
2
Европейский Союз
16
Индия
8
Китай
46
Япония
0,5
Австралия
2

 Автор: Алина Прокопенко, «Судебно-юридическая газета» № 38 (206)

Читайте также: