Этот вопрос, пожалуй, смело можно назвать одним из главных в череде международных событий, взорвавших медиа за последние пару месяцев.

Надо сказать, ответы, которые пытались дать самые влиятельные представители бизнеса и сетевого сообщества, разнились в подходах и мнениях, что, собственно, не удивляет – тема относительно новая, и особую остроту приобрела буквально за последний год, чему, несомненно, способствовал резкий рост киберпреступности, в том числе, появление новых угроз, направленных против важных инфраструктурных объектов других государств.

Все недавние форумы, где я принимала участие – российский RIGF, давосский E-G8, лондонский CyberSecurity Forum, питерский ПМЭФ – так или иначе ставили вопросы о регулировании интернета государствами и правительствами.

Почему о киберпреступности вдруг заговорили на самых верхах?

Ситуация с раскрываемостью компьютерных преступлений сегодня крайне тяжелая, а размер хищений через интернет по разным оценкам достиг миллиардов долларов и продолжает расти. Например, в прошлом году в мире было поймано лишь с десяток злохакерских групп. Причем, похитителей и расхитителей «традиционной ориентации» ловят сотнями тысяч и не ставят на саммитах вопросов об усилении государственного регулирования банковской деятельности, транспорта, денежной эмиссии или производства запирающих устройств. Почему?

Раскрываемости кибер-преступлений препятствует не только анонимность сети, но и «роевая» система этой индустрии. Это не то, что организованная по мафиозному принципу система, где есть «big boss», и все ему подчиняются. Судя по всему, кибер-преступники организованы «по классическим канонам» Web 2.0 (так и хочется сказать Crime 2.0 System): они редко знакомы друг с другом лично, знают напарников лишь по псевдонимам, не поддерживают связей кроме необходимых, не вступают в личные отношения, пользуются шифрованной связью, не имеют априори доверяемых подельников или членов банды «вне подозрений». Но при этом, в системе есть все необходимое: люди которые пишут вирусы, те, которые их распространяют, те, кто рекламирует, пропагандирует или же обналичивает деньги.

Именно так пытались организовать подполье все революционеры 20 века. Но идеальная конспиративная сеть ни у кого из них не получилась. Человеческий фактор вечно давал сбой, личные симпатии или антипатии портили задуманное, а наиболее доверяемыми членами внезапно оказывались вражеские агенты. Только виртуальность воплотила мечты дедушки Ленина. Причём, конспирации киберпреступников никто не учил: как-то само вышло, структура интернета диктует структуру организации.

Как находят друг друга эти разные «специалисты» и как перетекают деньги, экспертам известно. Но пока не очень понятно, как в эту структуру врезаться, как её «размотать», потянув за одну ниточку. Традиционная криминалистика тут даёт сбой. «Роевая» система существенно осложняет противодействие и предотвращение компьютерных преступлений. Да и технические средства, что греха таить, не всегда поспевают за изобретательностью компьютерных преступников.

По всем вышеперечисленным причинам, количество и масштаб преступлений через интернет растет гигантскими темпами. Например, число вредоносных программ, специально созданных для социальных сетей (в штуках!) выросло на 100 тысяч за 2010 год. А это уже совершенно очевидная новая угроза. За все предыдущие годы общее число вирусов для соцсетей не превысило 100 тысяч, т.е. налицо удвоение. Новая, нетрадиционная угроза – прекрасный повод запугать избирателя и убедить его согласиться на «регулирование» виртуального мира. Которое требуется для совсем иных целей. Хотя с киберкриминалом, конечно, тоже поможет.

В то же время, защитники свободы слова и демократии опасаются, что введение регулирования позволит правительствам контролировать личную жизнь граждан. В принципе это верно, не считая того факта, что личная жизнь граждан государству не очень нужна. Его больше интересуют выборы, расклад сил и роль страны в этом раскладе. А в них-то интернет уже продемонстрировал свой потенциал. Вот отслеживать определенные подозрительные виды активности или слова – это можно и нужно делать. Кроме того, не надо забывать, что внедрение любых систематических мер безопасности, как правило, означает ограничение свободы. Например, правила дорожного движения, безусловно, ограничивают свободу передвижения и поведения на дороге автомобилистов, только без них движение в городах было бы немыслимо – слишком много автомобилей, слишком высоки скорости и велики риски.

Мне кажется, что тяга властей к контролю сетевого пространства – хороший показатель демократичности режима. Там, где государственная власть действительно зависит от народа, этот народ активнее пытаются контролировать, больше тратят на технологии манипулирования, пропаганды, информации и дезинформации. Народ массово потянулся в сеть – технологии воздействия двинулись вслед за ним. А для недемократичных диктаторских режимов мнение народа не столь важно. Для них вполне достаточно одной сетевой технологии – рубильника на случай бунта.

Интернет уже дорос до той стадии, когда в нем скопилось слишком много людей. Настолько много, что они уже могут, не выходя из него, решить вопрос о власти или иной политический вопрос. Не удивительно, что власть не хочет стоять за дверью и пассивно ждать, что там о ней решат. И на цыпочках заходить внутрь. Или распахивает дверь ударом сапога. У разных народов разные традиции.

Преимущество интернациональности интернета превратилось в проблему. И этот факт стоит учитывать при введении регулирования в одной стране. Причем «на стыках» необходимо договариваться, чтобы наши правила соответствовали правилам в других странах. Как-то мир осилил это сделать с ПДД, которые более-менее похожи во всех странах, так что даже водительские права одной страны признаются в другой. Мне кажется, введение правил, подобных дорожным, позволило бы сильно улучшить ситуацию.

Читатель может заметить, что я говорю слишком абстрактно. Верно. Абстрактность поневоле возникает, когда мы пытаемся говорить о безопасности вообще. Потому что безопасность вообще – это большая абстракция. В реальности существуют разные уровни, как с точки зрения объекта защиты: частные лица, предприятия и государства, так и с точки зрения модели угроз, от которых эти объекты следует защищать. И план защиты может появиться только на стыке этих вопросов.

Начну с самого сложного – защиты граждан. Рисков много. Перечислю лишь некоторые для примера: риск кражи данных кредитной карты, риск быть вовлеченным в bot-net сеть, риск потери важных данных, риск знакомства с преступником через социальную сеть, риск того, что данные соцсети будут использованы в негативных целях, риск быть использованным преступником в своих целях и прочее, и прочее. А понимание безопасности у среднестатистического интернет-пользователя крайне низкое, если присутствует вообще. Нужно обучение, причем на разных уровнях для детского сада и ВУЗа. Вот и получается, что защитой граждан должно заниматься государство.

Если мы посмотрим на следующий уровень – защиту предприятий и коммерческих организаций, то защитой предприятий сейчас занимаются пока сами предприятия, что тоже неправильно. ИТ-безопасность – дело сложное, требует высокой квалификации и качественных специалистов, на что у маленьких компаний просто нет денег. Даже когда деньги есть, иметь постоянный штат специалистов по информационной безопасности – опасно. Кибернападения происходят далеко не каждый день. Без настоящей работы профессионал по ИБ станет скучать и терять квалификацию. Или начнет напрягать сотрудников на тему «если завтра война». Такая гонка вооружений в отсутствие реальной опасности, как мы знаем, разорительна и губительна. Нужны какие-то простые и доступные по цене решения. Плюс обучение.

И, наконец, третий уровень – уровень государственной безопасности, который пока далек от совершенства. А с учетом появления вирусов подобных Stuxnet, который был разработан с целью разрушения критически важных инфраструктурных объектов Ирана, проблеме защиты государства становится первоочередной.

Кибервойна – это уже не абстракция из фантастических фильмов, а реальность. Администрация Обамы на днях снова взорвала общественность громким заявлением – США приравняли по опасности нападение из интернета к физической агрессии противника. И правильно сделали. Пора и России подумать в этом направлении.