Компьютерра - Журнал «Компьютерра» № 18 от 15 мая 2007 года
Борис Мирошников: «Мы смотрим в закон!»
Автор: Леонид Левкович-Маслюк
О технологии работы наших киберполицейских широкой публике не известно практически ничего. О результатах этой работы – очень немногое, эти сведения попадают в СМИ либо в виде обобщенных, обезличенных цифр, либо в виде кратких и тщательно отредактированных рассказов об успешных операциях, причем зачастую это случаи, получившие международный резонанс. Спешу успокоить (или расстроить) читателя – эта традиция не была нарушена и в беседе с главой нашей киберполиции, генерал-полковником Борисом Мирошниковым, начальником Бюро специальных технических мероприятий МВД России (в которое входит так называемая линия «К», занимающаяся борьбой с компьютерной преступностью). Зато удалось подробно поговорить о вещах, возможно, более важных – концепциях и подходах к принципиальным вопросам кибербезопасности.
Прав ли был Оруэлл?Борис Николаевич, какова главная трудность для работы правоохранителя в киберпространстве?
– Анонимность информационных сетей. «Традиционное» преступление происходит «на земле», в осязаемом физическом мире, где есть государственные и таможенные границы, устоявшиеся административные режимы и т. д.
В телекоммуникационном же пространстве границ нет, события там развиваются молниеносно и сразу в масштабе планеты. А мы позволили этому пространству еще и быть анонимным. В нем общаются коды, пароли, псевдонимы. Традиционные понятия, вроде адреса, имеют совершенно иное толкование. То есть с точки зрения преступника это очень удобная и благоприятная среда, где легко «спрятать концы». Специалисты уже говорят о многих миллиардах долларов убытков от киберпреступности во всем мире.
Но можно ли избавиться от анонимности в Сети, не применяя тотальную слежку за пользователями?
– Конечно, можно. Хотя это действительно большая проблема.
Вот и вы в своем вопросе употребляете «страшилку», намекая на провидца Джорджа Оруэлла. Тем не менее мы вынуждены думать о шагах в этом направлении. Вспомните – у вас ведь есть персональный код в пенсионной системе? В системе медицинского страхования? А с юридическим лицом будут разговаривать без предъявления «и-нэ-нэ»? Не страшно? Не тотально? Просто необходимо.
Вот то же самое должно быть и в Интернете. В некоторых небольших и дисциплинированных странах эта проблема уже решена. Условно говоря, младенец при рождении получает свой номер в Интернете.
А дальше человек, пользуясь Интернетом, авторизует свои действия в нем при помощи этого номера. И тогда мы оказываемся уже не в виртуальном, а в довольно понятном, прозрачном пространстве. Где нормальные законопослушные люди живут своей жизнью. Кстати, то же касается и мобильных телефонов. А между тем сегодня и угонщики автомобилей, и форточники – все имеют «мобилы» как необходимый рабочий инструмент. Спрашивается: те, кто сопротивляется введению строгой регистрации, на кого работают? К сожалению, они о последствиях не задумываются. А зря… Ведь однажды анонимность может сработать и против них. И тогда они кричат классическое «куда смотрит милиция!».
Аналогия такая – у меня есть автомобильные права, номер машины, номер двигателя…
– Да, и все эти данные имеются в соответствующих базах. Вот только проблема – базы эти надо хорошо охранять, да и не надо создавать их по любому поводу.
Вот именно! А в компьютерном мире все проблемы становятся гораздо сложнее.
– Конечно. Но это только подчеркивает, что с этим миром нельзя шутить. Общество пока этой новой угрозы до конца не осознало. Видимо, надо подождать – к сожалению, пока не сгорело пять домов, в деревне пожарного не наймут!
Пятна разумаКстати, о пожарах – в связи с недавними нашими катастрофами, когда горели больницы и разбивались самолеты, много говорилось о «страховом подходе» к вопросам безопасности: вместо того чтобы следить за каждым механиком, правильно ли он закручивает гайки, не лучше ли обязать компанию выплачивать по-настоящему крупную страховку в случае серьезных происшествий. Разработан ли такой, экономический подход в области ИБ?
– Пока нет. Но умные люди – экономисты, страховщики, финансисты, многие из тех, кто занимается научным осмыслением проблемы, – такие идеи уже формулируют. Думаю, мы обязательно к этому придем – а пока есть только «пятна разума». Опыта такой деятельности ни у нас, да и в мире еще не наработано. Как оценить информацию, как оценить ущерб от ее утраты?
Например, каковы потери от киберпреступности в нашей стране?
– Это действительно очень трудно оценить, даже очевидный материальный аспект, так как общепризнано, что киберпреступность – один из самых латентных видов преступности. Зачастую жертвы и не знают, что являются жертвами, – например, если с их счета небольшими порциями снимают деньги. Серьезные ведомства, как правило, скрывают слабость своей информационной защиты. Какой банк в здравом уме признает, что он не умеет беречь секреты своих клиентов? Они готовы нести убытки, только бы не нанести ущерб своей репутации. Могу сказать, что в какой-то степени мы сегодня снижаем уровень латентности. Путь у нас один – завоевать доверие общества. С одной стороны, мы показываем, что умеем разоблачать киберпреступников, с другой – от нас информация о жертвах не уходит.
А обычные пользователи к вам обращаются?
– Еще как! Поток обращений постоянно растет. Но главное, что в этом потоке много подсказок и советов. Это и есть процесс осознания угрозы, исходящей из киберпространства. В последнее время граждане особенно активно стали фиксировать появление так называемого «нежелательного контента». Конечно, у всех свои представления о таком контенте, и иногда эти представления разделяет пропасть.
Дайте нам линейкуВы недавно говорили, что сейчас самое опасное в Интернете – экстремистские сайты, экстремистский контент. Правильно?
– С одним уточнением – я сказал об этом на конференции, которая именно этим вопросам и была посвящена. Существует множество угроз. Но когда мы специально собираемся, чтобы поговорить об экстремизме, то в таком контексте я говорю: да, это очень опасно.
А что вы вкладываете в понятие «экстремизм»? Например, уже здесь, на нашем семинаре, в первый же день возникли разночтения в связи с термином «джихад». Как оперировать с такими неоднозначными концепциями?
– Это очень сложные вещи, уходящие далеко от работы, как вы изволили выразиться, киберполицейских. Спор об этом идет во всем мире. Поэтому мы можем только привлекать внимание к этой теме и просить: дайте нам в руки линейку, которой мы будем измерять – это уже экстремизм, а это – еще нет.
Философскую линейку?
– Философскую? В руках милиционеров? Боже упаси! Нам нужна линейка правовая. С очень четкими делениями, видными всем.
Такие линейки иногда срабатывают не так, как хотелось бы. Недавно прошли очередные сообщения о том, что ФБР провело аресты пользователей, заподозренных в скачивании за деньги «детского порно», – как выяснилось, номера их карт были просто использованы мошенниками. Классическая история из той же области, о ней писал Wired еще в 2002 году: заслуженный, немолодой полицейский из провинциального американского городка отправился добровольцем помогать пожарным во время «событий 9/11», а когда вернулся, был внезапно арестован спецагентами ФБР – какие-то порнолинки нашлись у него на компьютере, за который он впервые сел месяц назад и просто учился, как пользоваться браузером, поисковиками и т. п. Только чудом избежал тюрьмы, но лишился работы, чуть ли не год ходил с привязанным к ноге передатчиком… А у нас, как известно, юридическая тщательность не всегда на должной высоте, поэтому могут быть перегибы и покруче, правда?
– Что касается несчастного полицейского – так ведь разобрались же. Могли бы и побыстрее. Но в этой истории видно различие подходов к тому, что мы называем борьбой с детской порнографией в Интернете. Вообще, мы с американцами работаем вместе, помогаем друг другу. Но подходы разные. У них это больная проблема, статистика намного хуже, чем у нас. Для того чтобы показать результативность, они пошли – на наш взгляд – простым путем. Они ловят и наказывают пользователей. Под эту гребенку и попал полицейский. Наша концепция – искать тех, кто производит и кто торгует. Это гораздо труднее. И галочек меньше заработаешь – хотя у нас неплохие достижения по этой части. К примеру, если в 2005 году было 39 уголовных дел такого рода, то в 2006-м – 242.
Но вернемся к линейке – она необходима! Реклама наркотиков, продажа оружия, инструкция по изготовлению бомбы, та же порнография – все это легкодоступно. Не нравится? Мне тоже. Мы должны точно распределить, кто за что отвечает. Проще всего упрекнуть нас: «Куда вы смотрите?!» Отвечаю: мы смотрим в закон. Пока у нас нет соответствующей строчки в законе – нравится вам что-то или нет, мы не имеем права ничего предпринимать. Я бы очень не хотел, и общество не заинтересовано в том, чтобы наш сотрудник по своему усмотрению и на свой вкус решал судьбу того или иного сайта. Поэтому будьте любезны – решение суда: контент незаконный, закрыть.