Олег Демидов - Глобальное управление Интернетом и безопасность в сфере использования ИКТ: Ключевые вызовы для мирового сообщества
• уже отмеченная представителями технического сообщества необходимость усиления защиты трафика на уровне наиболее часто используемых интернет-протоколов. Одна из решаемых задач в этой сфере – добиться шифрования по умолчанию максимальной доли интернет-трафика, передаваемого в Сети, за счет обновления параметров одного из наиболее распространенных протоколов уровня приложений (HTTP/2). Систематическая работа в этом направлении ведется с 2013 г. рабочей группой HTTP-bis в рамках IETF, а 17 февраля 2015 г. проект предлагаемого стандарта второй версии протокола был опубликован руководящей группой по проектированию Интернета (IESG);
• устранение фундаментальных уязвимостей в наиболее распространенных алгоритмах и стандартах криптографии (SSL, RSA), которые были «скомпрометированы» спецслужбами. На региональном уровне речь может идти и о продвижении полностью «нетрадиционных» СЗИ, таких как система российских стандартов шифрования ГОСТ, уже получившая импульс к наращиванию экспортного потенциала (в частности, в страны арабского мира);
• стимулирование развития сетевых коммуникаций на основе новых технологических решений, в том числе сетей, способных работать как в рамках Интернета, так и в обход него (сети Mesh, P2P и т. д.). Также могут рассматриваться варианты развития инструментов анонимизации наподобие TOR, однако исключительно при условии нивелирования их криминогенного потенциала (вопрос, выходящий за рамки компетенции технических экспертов).
Одна из требующих поддержки мер на уровне взаимодействия государства и бизнеса – развитие формата корпоративных «отчетов о прозрачности» (англ. Transparency Reporting). Одной из компаний, задавших сам формат отчета о прозрачности, стал Google, впервые опубликовавший такую отчетность в 2009 г. Одноименный и почти идентичный по формату продукт в 2011 г. выпустил Twitter, а в марте 2013 г. компания Microsoft опубликовала собственный Law Enforcement Report. Однако действительно широкое распространение практика Transparency Reporting получила именно после первой волны разоблачений Сноудена в 3–4 кв. 2013 г. В августе 2013 г. Глобальный отчет по государственным запросам (Global Government Requests) впервые выпустила сеть Fаcebook, в сентябре того же года свой отчет о прозрачности опубликовала Yahoo!. Стремление крупнейших игроков сектора нивелировать репутационные риски, возникшие в результате разоблачений Сноудена, привело к тому, что отчет о прозрачности, по сути, превратился в новый стандарт отчетности в интернет-отрасли.
Кроме того, с конца 2013 г. к практике публикации отчетов о прозрачности стали подключаться и компании телекоммуникационного сектора, сперва американские (AT&T, Verizon), чуть позднее – британские (Vodafone). Причины по большей части были теми же самыми – новые разоблачения масштабных программ сотрудничества со спецслужбами США и Великобритании нанесли серьезный ущерб репутации западных телекоммуникационных гигантов.
Добровольное раскрытие корпорациями информации, отражающей статистику запросов государственных структур различных стран на предоставление данных интернет-пользователей, а также статистику реагирования на такие запросы со стороны компаний, само по себе не обеспечивает пользователям защиту от действий спецслужб. Но тем не менее такая деятельность повышает осведомленность пользователей о защите и обработке их данных, и стимулирует более активную позицию гражданского общества по данному вопросу. В течение 2013–2014 гг. предметом юридических споров между компаниями и государством стала частичная деклассификация и право первых на публикацию в отчетах точных цифр, отражающих статистику запросов секретных служб и судов (ранее публикация таких данных была запрещена). В настоящее время некоторые компании также публикуют данные о запросах на блокирование и удаление контента на основании претензий правообладателей на определенной территории, а также статистику интернет-трафика (Google, Twitter, Yahoo!).
Сегодня практика Transparency Reporting наглядно высвечивает устойчивый рост интереса государств к данным пользователей. Согласно отчету Google за январь – июнь 2014 г. число правительственных запросов выросло на 15 % в первой половине 2014 г. и на 150 % в течение последних пяти лет. Однако тот факт, что задокументированные в них данные об официально оформленных запросах – лишь верхушка айсберга в глобальном масштабе доступа спецслужб к данным пользователей этих и прочих сервисов, несколько обесценивает их значение.
Наконец, на международно-политическом уровне перед государствами и другими заинтересованными сторонами стоит несколько задач:
• Сокращение потенциала глобальной слежки в Сети на технологическом уровне. Требуется проработать возможности ограничения оборота и криминализации ПО, посредством которого осуществляется электронный сбор данных. Такие меры в принципе могут охватить далеко не весь спектр возможностей АНБ. Однако вместе с тем «шпионское» ПО (ПО для прослушивания голосовых коммуникаций, кейлоггеры, оборудование программ PRISM и Optic Nerve), не всегда причисляемое к вредоносному, составляет отдельную рыночную нишу. Однако эффективное регулирование и сокращение этой ниши возможно лишь при условии, что для этого будут задействованы механизмы международного сотрудничества, опирающиеся на международно-правовые механизмы.
• Однако до конца 2014 г. ни одна из попыток должным образом закрепить недопустимость массового шпионажа и нарушения права на тайну частной жизни в Сети не дала убедительного результата. На форуме NETmundial в апреле 2014 г. вопрос не получил должного внимания в финальной резолюции, хотя был основным стимулом к самой организации форума. Ни параграф в итоговом документе NETmundial, ни Резолюция ГА ООН A/RES/68/167 от 18.12.2013, во-первых, не обладают обязательной юридической силой, а во-вторых, не предлагают конкретных мер ответственности государств за осуществляемые ими действия в части массовой слежки в Сети.
В этой связи одним из перспективных вариантов видится распространение на программно-аппаратное обеспечение слежки и технологии его разработки механизмов Вассенаарских договоренностей по экспортному контролю за обычными вооружениями и товарами и технологиями двойного применения (ВД). На сегодняшний день участниками Вассенаарской договоренности, подписанной в 1996 г., являются 40 государств, включая США, Россию и большинство стран ЕС – т. е. весьма значительная часть ведущих разработчиков и распространителей информационных технологий «двойного назначения». Конкретным шагом в этом русле могло бы стать формирование реестра или банка данных программного и аппаратного обеспечения (в том числе образцов исходного кода ПО), которое может быть использовано для тайного сбора данных пользователей в Сети или иных форм электронной слежки.
Также в рамках механизмов международно-правового института ответственности в случае повторения эпизодов, аналогичных тем, что были раскрыты Сноуденом в 2013 г., могла бы быть проработана возможность использования механизмов международных санкций. В случае достаточной консолидации международного сообщества, в новой резолюции ГА ООН можно сформулировать рекомендательные критерии и условия применения коммерческих, процессуальных и (или) иных санкций против государства, уличенного в массовом электронном шпионаже.
В числе потенциальных критериев, которые, как видится, могли бы обусловливать применение санкций, можно упомянуть:
• Несомненное нарушение права на тайну частной жизни, выраженное в характере собираемых данных (персональные данные, частная переписка и т. д.), за исключением метаданных; в отношении государств и организаций – сбор сведений, имеющих конфиденциальный характер, коммерческую, служебную либо государственную тайну.
• Массовый, неизбирательный характер слежки в Сети (собираются данные не отдельных лиц, а больших групп, либо сбор данных ведется вообще неизбирательно (тотальный шпионаж)).
• Глобальная угроза безопасности – т. е. государство в своей деятельности выходит за рамки своих национальных границ, собирает данные граждан, компаний и иных субъектов в нескольких или многих государствах сразу.
• Систематический характер деятельности – речь не идет о разовой акции, которая может быть продиктована случайным либо ошибочным мотивом; шпионаж и сбор персональных данных ведутся на постоянной либо долгосрочной основе; для сбора данных создается специальная инфраструктура.
• Отсутствие чрезвычайных обстоятельств, оправдывающих массовую электронную слежку с правовой точки зрения. Определение таких обстоятельств в терминах права – непростая задача; показателен как раз пример США, ведь программы АНБ, вызвавшие бурю негодования даже у ближайших союзников Вашингтона, с точки зрения самого американского законодательства по большей части вполне легитимны.
