Журнал Компьютерра - Журнал «Компьютерра» N 6 от 13 февраля 2007 года (674)
Не стоит винить вопрошавших в наивности: настоящих хакеров тогда никто и не видел. Да и сейчас в милицейских пресс-релизах за них выдают любителей «халявного интернета», натаскавших чужих паролей и причинивших хозяевам оных бааальшущий материальный ущерб. (Забавный, кстати, возникает эффект, когда о пользовании интернетом по стянутому паролю пресса рассуждает сплошь в страшных официальных терминах вида «компьютерный взломщик осуществлял неправомерный доступ», и так далее…)
И это происходит вовсе не потому, что никто не крадет деньги с чужих кредиток, не использует ботнеты и троянцев. Все это есть, но львиная доля таких преступлений остается нерасследованной: в результате поиска нашей милицией легких путей возбуждаются по преимуществу те самые «дела о халявном интернете». Плюс к этому - типовые дела о «несанкционированном доступе к информации» и «вредоносных программах». Да и расследуются они с неимоверным количеством нарушений закона: в документах, которые "отделами "К" обнародованы в качестве демонстрации своих успехов, очень мало таких, к которым нельзя было бы придраться.
Но почему же уголовные дела, «слепленные» с нарушениями закона, тем не менее, проходят суд и не заканчиваются оправдательными приговорами? По очень простой причине: судьи просто не знают половины ответов на те вопросы, которые им нужно выяснять при рассмотрении дела. Наша задача - научиться объяснять им то, чего они не знают. Я говорю «наша задача», потому что при существующей практике возбуждения уголовных дел их «фигурантом» может оказаться чуть ли не каждый пользователь компьютера.
«Собственность на информацию»
Одним из поводов к написанию этой статьи стало очередное дело о «несанкционированном доступе к информации». Однажды со мной связался человек, которого сотрудники "отдела "К" поймали на «оперативном эксперименте», заключавшемся в том, что он по просьбе милиционеров изготовил копию SIM-карт, им принадлежащих.
Технология изготовления проста, для этого требуется SIM-ридер и мульти-SIM-карта, специальное устройство, имитирующее карту обычную, но с возможностью записи в него данных с нескольких симок. То есть мульти-SIM можно использовать вместо нескольких обычных карт. У многих читателей наверняка имеется несколько контрактов с разными операторами, и если вам по каким-то причинам захочется пользоваться их услугами попеременно, то симки придется перетыкать туда-сюда, перезагружая телефон. Мульти-SIM успешно решает эту проблему, а также много других.
Для того чтобы прочитать информацию с SIM-карты, нужно, во-первых, воткнуть ее в ридер, а во-вторых, знать пин-код. Для копирования также нужно некоторое время, так что в тайне от хозяина сделать это вряд ли получится. Как результат, в общем случае это может сделать только сам владелец карты. Тем не менее, таких «народных умельцев» милиция ловит, приравнивая к хакерам.
В свое время я писал в «Компьютерре» о том, что такое «право собственности на информацию» [12], и почему это вредное словосочетание употреблять ни в коем случае не нужно. Именно из-за него стали возможны ситуации, подобные описанной выше - когда человека обвиняют в «несанкционированном доступе» к собственному телефону, или аппарату, переданному ему владельцем. По логике милиционеров, «информация» в телефоне объявлялась «собственностью» его производителя, а ее изменение - соответственно, «несанкционированным доступом». Однако, это - не более чем плод воображения оперативников из "отделов "К". Какой-то умник первым придумал, «раскрыл преступление» и распространил передовой опыт. Другие сделали так же - благодаря интернету обмениваться опытом стало гораздо легче. Заманчиво было бы установить первооткрывателя «собственности», да отрубить какой-нибудь из парных органов, но это, к сожалению, недостижимо…
«Информация» сейчас действительно есть в списке «объектов гражданских прав», который закреплен в статье 128 Гражданского кодекса. Но, во-первых, право собственности - вещное, и нематериальные субстанции к ней быть отнесены никак не могут. Во-вторых, с 1 января 2008 года в силу вступит новая редакция этой статьи, в которой никакой «информации» уже не будет [см. 5, ст. 17, п. 8]. А из действующего в настоящий момент закона «Об информации, информационных технологиях и защите информации» [ …так же ласково прозванного «треглавым». Чтобы соблюсти традицию, я так и буду, для краткости, их именовать: «старый» и «новый треглавые законы». Или «Закон», с большой буквы - это про «новый»] [4] «собственность на информацию» пропала.
В новом «треглавом» законе введено понятие «обладателя информации», то есть лица, которое либо создает ее самостоятельно, либо имеет право ограничивать доступ к ней. Кроме этого, есть там понятие «оператора информационной системы» - лица, осуществляющего деятельность по ее эксплуатации, в том числе по обработке информации, содержащейся в базах данных. Также в законе четко прослеживается общий принцип: любые ограничения на доступ к информации должны устанавливаться на уровне федерального закона. На этом же уровне должны устанавливаться преимущества применения технологий обработки и защиты информации [Это к вопросу о применении «решений Microsoft» в учебном процессе, кривых «программ по сдаче информации» куда-либо и прочих софтовых кадаврах] .
Принципиально ничего нового этот «треглавый закон» по сравнению со старым не внес. Правомерность работы с данными ставится в зависимость не от абстрактного «права собственности» на них, а от режима использования «информационной системы», в которую входят, кроме «информации», еще «информационные технологии и технические средства», а проще говоря, программы и компьютеры, информацию обрабатывающие. То есть, собственность на средства, которыми обрабатывается информация, все же влияет на правомерность такой обработки, и, как следствие, на разграничение доступа к информации.
А как на самом деле?
Попробуем теперь уложить нашу ситуацию с телефоном в прокрустово ложе нового «треглавого закона». Телефон будет «информационной системой». В себя эта «система» включает собственно «информацию», то есть данные, которые в телефоне содержатся. Кроме того, там есть «технические средства» - это сам телефон. А все это заставляют работать «информационные технологии» - под ними закон понимает «процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов». Если не умничать, то можно выразиться проще: это «прошивка» телефона. Именно она все эти «процессы и методы» обеспечивает.
Кстати, здесь мы подошли к важному моменту: разнице между «обыденным» и «законным» пониманием «информации». С точки зрения банальной эрудиции она делится на программы и данные («сведения» в терминологии закона). Так вот «треглавыми» законами как «информация» рассматриваются только данные. Программы же являются частью средств, обеспечивающих их обработку («технологий»). То есть пока программа рассматривается просто как набор битов, она является «информацией», а как заработает - все, «технология»…
Владелец же нашего подзаконного телефона, как и программа, попав под «треглавый» закон, может выступать в двух ипостасях. Он может сам создавать информацию, или, например, записывать в телефонную книгу чужие персональные данные - это относится к полномочиям «обладателя». Кроме этого, он может пользоваться телефонной прошивкой по прямому назначению, и поскольку он эксплуатирует нашу «информационную систему», в этом случае он получает статус «оператора».
Говоря иными словами, «оператор» - это человек, имеющий доступ к информационной системе. Понятие доступа расшифровывается в самом законе как «возможность получения информации и ее использования», однако есть еще один подзаконный акт: один из руководящих документов ГТК [7], содержащий в себе определения многих ключевых понятий. Под «доступом» в нем понимается «ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение».
В соответствии со статьей 6 Закона, «обладатель» имеет право ограничивать «доступ» к информации. Насколько мне известно, во многих инструкциях по эксплуатации телефонов такие ограничения прописаны, а за их нарушение производитель грозится лишить гарантии. И это - единственная санкция, которая может быть применена в случае «перепрошивок» или каких-либо «апгрейдов» ПО в телефоне.
Продавая пользователю телефон, «обладатель информации» доступ к ней разрешает: в общем случае никаких ограничений на подобные действия с информацией в законодательстве не содержится. Так вот, дальше следует самое главное: как только доступ разрешен, наш «оператор» телефона сразу же пропадает из поля зрения Закона, в сферу действия которого входят только право на «поиск, получение, передачу, производство и распространение информации». Про доступ, то есть ознакомление и обработку, там ничего нет. И до тех пор, пока не начался «поиск, получение…» и так далее, законодательство об информации нарушено быть не может в принципе: все, что охватывается понятием «доступа», им не регулируется, для этого есть другие законы (например, «О персональных данных», «О коммерческой тайне» и т.д.)