Виктор Игоревич Попов — начальник Управления информационной безопасности ассоциации «Конфидент» (Санкт-Петербург). Он же автор статьи о борьбе с компьютерными преступлениями «Офицеры безопасности».
«Ох эти современные удобства! Уберите их — и мы как без рук. Дайте нам слишком много — и мы ограблены. Наша жизнь проходит на фронте борьбы с компьютерной преступностью, которая становится все более наглой и свирепой. Вдобавок ко всему разрыв между технологией и законодательством постоянно увеличивается, что не вселяет оптимизма.
В России ситуация еще более удручающая. Законы хоть и пишутся, но применить их практически невозможно. Уголовных дел, связанных с компьютерными преступлениями, за последние пять лет заведено уже несколько десятков, но до судебных процессов они не доходят. Понимая наши сложности и не полагаясь на силу Уголовного кодекса РФ, ФБР терпеливо дожидалось прилета хакера Владимира Левина в лондонский аэропорт, чтобы организовать ему встречу с британской Фемидой. Впрочем, эта благовоспитанная дама может оказаться столь же бессильной, сколь и бесстрастной. Суду придется решать головоломку, в которой противоправное деяние совершено на территории США, совершалось с территории России, а разбирается на территории Англии.
Можно предположить, что подобных проблем, связанных с отсутствием границ в глобальных сетях, в ближайшее время возникнет множество. Попытки регулировать их на основе законодательства отдельно взятой (сколь угодно промышленно развитой) страны — занятие малоэффективное. Акт о телекоммуникациях, подписанный президентом Клинтоном, можно оценивать по-разному. Однако, как бы мы к нему ни относились, действовать он может только на территории, подвластной американским законам, и никак не будет мешать гражданам иных стран в распространении непристойностей.
Единственный эффективный (не скажу, что правильный) способ законодательным образом снизить вероятность компьютерных преступлений — ограничение доступа к Сети. Китайские и сингапурские власти требуют обязательной регистрации владельцев IP-адресов в полиции. Понимаю, что большинство читателей испытывает по этому поводу праведный гнев и выражает свою солидарность с китайскими и сингапурскими юзерами, борющимися за свои права. Однако хочу напомнить, что Сингапур считается самым чистым городом в мире (в частности штраф за брошенный на тротуар окурок составляет 40 сингапурских долларов). Опыт работы в индустрии информационной безопасности утвердил меня во мнении, что способы достижения общественной и компьютерной безопасности во итогом похожи и аналогии здесь вполне уместны. Поэтому, не оправдывая власти вышеперечисленных азиатских стран, постараюсь объяснить их действия.
Деструктивные мотивы в поведении подрастающего поколения существовали и будут существовать всегда. И главная опасность таится не в том, что эти мотивы время от времени дают о себе знать. Проблема чаще всего заключается в отсутствии сдерживающих факторов. За рокерами на дороге хотя бы издалека присматривает Госавтоинспекция; расхитители колхозной собственности рискуют нарваться на сторожа с берданкой; телефонные хулиганы периодически отлавливаются работниками милиции; расшалившихся на дискотеке подростков выводят под руки широкоплечие секьюрити. Но кто должен предотвращать нападения в Сети? Идеология ее построения дает простой и ясный ответ — никто. На информационной супермагистрали отсутствует „дорожная полиция“. Отсюда и возникает желание сделать процедуру получения личного адреса похожей на выдачу водительского удостоверения.
Рано или поздно все правительства осознают необходимость принятия подобных мер. Возможно, в недалеком будущем доступ к глобальным сетям будет разрешаться только лицам не моложе определенного возраста; пойманным за руку хакерам будет запрещено в течение нескольких лет работать за компьютером, а за не пойманными с санкции прокурора прямо в Сети будет устанавливаться слежка с полицейских (милицейских) терминалов.
Прошу понять меня правильно. Я вовсе не жажду ущемления чьих-то личных свобод, в том числе и своих собственных. Но логика общественного развития неумолима — контроль за коммуникациями со стороны правоохранительных органов и спецслужб был, есть и будет. Современному Штирлицу вовсе не обязательно прятать на чердаке чемодан с рацией и тем более не обязательно нагружать своими проблемами находящихся в положении радисток. Достаточно вечерком за чашкой кофе заглянуть на страницу http://www.fsb.ru/ustas и получить необходимые инструкции. И вы думаете, что папам-Мюллерам на это наплевать?! Кстати, на самом деле все не так фантастично. Закон РФ „О связи“ уже предусматривает оснащение пунктами контроля узлов сотовой связи и электронной почты.
Оставим в стороне блюстителей закона, поскольку эпоха их активного участия в деле обеспечения компьютерной безопасности начнется не скоро. Сегодня некому противостоять нарождающейся лавине. Безусловно, порядок в Интернете поддерживается усилиями своего рода электронных пожарных, бригады из добровольцев, сети системных администраторов, энтузиастов средств безопасности и „хороших“ хакеров, нацеленных не на эксплуатацию системы, а на выявление ее недостатков. В значительной мере все эти слабо организованные стражи порядка являются порождением духа свободы, пронизывающего Интернет, где многие пользователи по-прежнему с недоверием относятся к попыткам государственного вмешательства.
В качестве примера такой бригады в первую очередь следует упомянуть созданную в 1988 году группу реагирования на компьютерные происшествия CERT (Computer Emergency Response Team), существующую на средства Министерства обороны США. В настоящее время CERT является одной их нескольких десятков организаций, стоящих на страже Сети. Группа собирает информацию о взломах систем безопасности и предлагает рекомендации по предотвращению их в будущем. Если нападение хакеров происходит с нарушением законов (например, при хищении данных), то исследователи экстренных ситуаций передают полученную ими информацию в Национальное подразделение по борьбе с компьютерной преступностью под эгидой Федерального бюро расследований или в Группу борьбы с компьютерной преступностью Интерпола. Изучение и обобщение бюллетеней CERT, которых к настоящему времени выпущено более двухсот, является основой деятельности специалистов по компьютерной безопасности.
Но нет сомнений в том, что такого рода реагирование окажется недостаточным в будущем — в основном потому, что Интернет привлекает стремительно возрастающие объемы финансов и информации. В умах предпринимателей, криптографов, программистов вызревает стержневая идея новой информационной эпохи — „электронные деньги“. Что такое Сеть для „новых русских“ и старых Рокфеллеров и Морганов, если на ее обочинах нельзя пасти золотого теленка? — Игрушка для прожигателей жизни, не умеющих делать капиталы. Другое дело — электронные деньги, не знающие границ и налогов, которые можно втайне хранить на магнитооптических дисках. Пятицентовик из 64 бит (как предлагает фирма DigiCash) может стать единицей благосостояния. (Как здорово, не правда ли? „Вася, отдай назад мои сто баксов“ — „Скачай 16 мегабайт с диска Е“.)
Держатели информационных ресурсов тоже не теряют времени даром. О каждом из нас где-нибудь и что-нибудь записано. Мы одновременно налогоплательщики, выборщики президента, владельцы движимости и недвижимости, обладатели телефонных аппаратов, пациенты и, на худой конец, просто покупатели. Все эти ресурсы ежедневно систематизируются, классифицируются и, в конечном итоге, превращаются в гигантских размеров базы данных. Затем; возникает потребность этими данными обмениваться с вышестоящими и нижестоящими организациями, а также с заинтересованными в этой информации потребителями.
Можно только радоваться быстрому внедрению новых информационных технологий, но только после ответа на вопрос: „Кто и как будет противостоять набегам „неразумных хазаров“?“ Вопрос, заданный самому себе, как правило, влечет за собой заранее подготовленный ответ, произносимый с пафосом и достоинством. Поэтому мне хочется гордо поднять голову, стукнуть себя кулаком в грудь и громко сказать: „Мы! Специалисты по компьютерной безопасности!“ К сожалению, в России их количество (а где-то и качество) невелико. Под словом „мы“ следует понимать несколько сотен специалистов, трудящихся на ниве информационной безопасности в различных уголках необъятной Российской Федерации. Это „мы“ при полной самоотдаче делу, которому мы служим, никак не может коренным образом повлиять на ситуацию. Отсутствуют необходимые условия создания безопасных сетей.
Вместе с тем по ту сторону барьера растет и крепнет хакерское движение со своей этикой и психологией. По роду деятельности мне часто приходится общаться с многими представителями этого движения, поэтому рискну дать им свое определение: „Хакеры — это величайшая и неизбежная опасность, вызванная технологическими сдвигами. Это очень умные, по-своему талантливые молодые люди в возрасте 16–25 лет с ярко выраженными деструктивными задатками“. Относиться к хакерам (без всякой иронии) следует с уважением. Во-первых, потому, что они тратят отрицательный заряд энергии чаще всего на безобидные вещи. Во-вторых, потому, что они являются движущей силой развития компьютерной безопасности. И в-третьих, потому, что существует вероятность участия повзрослевшего хакера в общественно-полезной деятельности.
Чем раньше хакер осознает необходимость зарабатывать своим трудом средства к существованию, тем меньший вред он успеет нанести. К сожалению, бывшие хакеры тяжело адаптируются к реалиям современной экономической жизни. Имея очень глубокие познания в системном программировании, они совершенно не умеют создавать программные продукты. (Один из хакеров, отвечая на вопрос, что он сделал полезного в жизни, с трудом вспомнил, как когда-то он запрограммировал ПЗУ для какого-то бытового прибора.)
Однако хакеров следует не только уважать — их следует серьезно опасаться. Особенно — хакеров российского происхождения. На первый взгляд они не лучше и не хуже западных. Те же мотивы поведения, те же цветастые псевдонимы (вроде „Едкий Фрейк“, „Фибер Оптик“ или „Сумасшедший Эдди“). Суммарный ущерб от действий хакеров, обитающих в Европе или Штатах, значительно выше. Но. Практически все компьютерные преступления в России (ограбление „Сити-банка“ не в счет) совершены в оффлайновых системах (!). Это означает, что с внедрением онлайновых банковских и других информационных систем начнется вообще что-то ужасное. Кроме того, у нас компьютерные преступники не несут заслуженного наказания и поэтому ничего не боятся. И что особенно печально — экспансия западного коробочного софта и ориентация компьютерного бизнеса на операции „купи — продай“ не дает раскрыться многим талантам и заставляет их искать своим творческим способностям хоть какое-то применение.
Пока назревает опасность, надо строить оборонительные сооружения, формировать регулярные войска, проводить учения и политиковоспитательную работу. Под этим углом зрения общепринятый термин „офицер безопасности“ приобретает иной смысл. В будущей информационной войне нам действительно нужны офицеры, защищающие мирных пользователей от посягательств агрессоров и командующие средствами обнаружения, оповещения и противодействия. Только тогда, когда за защиту каждой корпоративной сети будет отвечать грамотный офицер безопасности, имеющий в своем распоряжении необходимые инструменты защиты, можно будет говорить об адекватных мерах по отношению к надвигающейся угрозе».