Противление закона киберзлу

Киберпреступники атакуют

Масштабы вреда от киберзлодеяний часто имеют впечатляющую результативность и плачевные последствия. По словам одного из ведущих отечественных специалистов по вопросам информационной и кибернетической безопасности, руководителя Центра информационной безопасности Университета Иннополис, доктора технических наук, профессора Сергея Петренко («Киберпреступников по-прежнему интересуют интеллектуальная собственность и ноу-хау»), ежегодный ущерб от кибернападений составляет примерно 8–12 трлн долларов в мире в целом и 2–4 трлн рублей – в России. Согласитесь, это – колоссальные цифры! Если сравнить их с федеральным бюджетом, то очевидно, что киберпреступники наносят мощнейшие удары по финансовой безопасности Российской Федерации.

В такой ситуации киберзлу необходимо активно и бескомпромиссно противостоять, используя все имеющиеся возможности и средства. В частности, в последние годы методам киберборьбы, развитию ее тактики и стратегии посвящаются многочисленные острые диспуты и жаркие дискуссии на отраслевых и специализированных мероприятиях самого разного масштаба: от региональных до национальных и международных.

В начале октября ряды выступивших единым фронтом против киберпреступности пополнила и Международная онлайн-конференция Distant & Digital, на полях которой профильные эксперты в рамках сессии «Большие данные & киберпреступления»* детально рассмотрели использование больших данных для слежки за конкурентами и выявления технологических трендов на примере компании Apple, обсудили цифровые атаки на людей через бренды с точки зрения технологий и психологии, а также выделили способы защиты бренда от онлайн-мошенничества.

Живой интерес у онлайн-аудитории форума вызвал рассказ управляющего партнера юридической компании «Рафиков и партнеры» Рустама Рафикова о юридических аспектах, которые связаны с большими данными (Big Data), и чем реально могут помочь юристы в борьбе с киберпреступностью.

По его словам, сегодня основная проблема регулирования данных заключается, по сути, в том, что есть множество юрисдикций, поэтому бизнесменам необязательно иметь определенный юридический адрес:

– Вы с такой же легкостью можете находиться на каких-нибудь островах и вести оттуда свой бизнес по всему миру. Это обстоятельство мошенники активно используют. Прежде всего они пускают в ход те выгоды, которые предоставляют разные юрисдикции, а затем с их помощью защищаются и от преследования, заметая таким образом уже собственные следы.

Эксперт отметил, что существует несколько мировых подходов к регулированию персональных данных. Например, европейский – он самый жесткий. И большие данные частично попадают под его регулирование со всеми правилами General Data Protection Regulation (GDPR) – общего регламента по защите данных, значительно повысившего степень защиты персональных данных в Евросоюзе и за его пределами, потому что в ЕС уважают волеизъявление физического лица, там необходимо его согласие на обработку данных.

– Российский подход несколько схож с GDPR. Мы также ратифицировали конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и, соответственно, более или менее придерживаемся такой же линии по защите данных, – подчеркивает юрист. – Но следует сказать, что на сегодняшний день в отечественном законодательстве пока что нет такого понятия, как «большие данные». В связи с этим непонятно, каким образом регулировать их? Соответственно, идут споры. Есть также иные подходы – американский, китайский: там более мягкое отношение к регулированию больших данных и, собственно, персональной информации.

По мнению эксперта, их «национальная» особенность объясняется тем, что крупные державы, которые имеют внушительный экономический потенциал, стараются не считаться с другими странами и юрисдикциями, поэтому и устанавливают свои правила «игры» на уровне собственного государства.

Уважать себя заставим

Думаю, не ошибусь, если скажу, что сегодня практически каждый россиянин хотя бы раз сталкивался с термином «большие данные», вошедшим в обиход где-то в 2011 году. Уже из самого названия становится ясно, что они, во-первых, содержат в себе много информации. Далее, эти данные набираются из разных источников и обрабатываются с высокой скоростью. И еще немаловажный критерий: информация, содержащаяся в них, может относиться к различным типам. В частности, на основе Big Data часто формируют базы данных, регулируемые гражданским правом. В этой связи видится важным изучить, как большие данные взаимодействуют с интеллектуальной собственностью (IP), учитывая, что в Big Data могут содержаться многочисленные объекты IP, и при обработке больших данных есть риск нарушить чьи-то исключительные права.

В последнее время, и это примечательно, отечественные государственные структуры и бизнес активно используют анализ больших данных. Хотя в целом, как свидетельствуют реалии, технологии Big Data пока еще не получили такого широкого распространения в России, если сравнивать с их поистине триумфальной экспансией за рубежом.

Основная проблема заключается в том, что, хотя практики и признают большие данные обезличенными, в нашей стране их рассматривают все же как часть персональных данных. А поскольку считается, что регулирование такой информации у нас достаточно жесткое: согласно поправкам в Федеральный закон от 27.07.2006 года № 152-ФЗ «О персональных данных», которые вступили в силу 1 сентября 2015 года, информация об отечественных пользователях должна храниться исключительно в России, – то компании по-прежнему весьма осторожно относятся ко всему, что связано с передачей Big Data. И, откровенно говоря, этому есть веские причины, убедительные объяснения и показательные примеры.

Напомним, что в декабре 2019 года были приняты очередные поправки в Кодекс РФ об административных правонарушениях (КоАП), которые усилили ответственность за нарушение требований по хранению персональных данных. В частности, увеличились штрафы за несоблюдение ФЗ «О персональных данных». Это было связано с нарушениями требований о локализации персональных данных россиян: закон предписывает локализацию такой информации на серверах, расположенных в российской юрисдикции. И, соответственно, нарушение этого требования влечет за собой наложение крупных штрафов: первичный для юридических лиц составляет от 1 до 6 млн рублей, повторный – от 6 до 18 млн рублей – и даже запрет на деятельность в России.

С чем, собственно, и столкнулась в свое время Linkedin – социальная сеть для поиска персонала и развития бизнеса, которая не выполнила требования 152-ФЗ, и по решению суда ее деятельность была запрещена в стране. К слову, это первый и пока единственный в России случай, когда функционирование крупного международного ресурса с сотнями миллионов пользователей было заблокировано из-за нарушения им ФЗ «О персональных данных». А точнее – из-за отказа соцсети разместить серверы для хранения персональной информации соотечественников на территории РФ, а также изменить пользовательское соглашение, по которому данные российских абонентов могли передаваться без их ведома третьим лицам: только в мае 2016 года в интернете выставляли на продажу информацию об аккаунтах 117 млн юзеров Linkedin. Были и другие сообщения о крупных утечках с ресурса личных данных пользователей деловой соцсети. В итоге Linkedin потеряла весь российский рынок и сегодня практически неизвестна у нас в стране.

Казалось бы, ее неприглядная «история» должна послужить предметным уроком другим, ан нет!

Еще в прошлом году Роскомнадзор начал судебные разбирательства в отношении Twitter и Facebook, заявив, что эти компании не предоставили сведения о том, что данные наших пользователей соцсетей расположены на серверах, которые физически находятся в России. Социальные сети признали виновными по части 8 статьи 13.11 КоАП «Нарушение законодательства Российской Федерации в области персональных данных», и в феврале 2020 года Мировой суд Таганского района столицы оштрафовал каждую из них на 4 млн рублей – за отказ локализовать данные россиян.

В конце ноября компания Facebook полностью выплатила присужденный ей штраф, а вот Twitter… пока нет. На момент подготовки материала было известно, что согласно действующему законодательству Российской Федерации в отношении второй компании судебные приставы добиваются принудительного взыскания.

«Кукисы» и парсинг – сетевые «отмычки»?

Но не только крупные соцсети могут манипулировать гигабайтами наших данных, сливать их налево, воруя информацию, в том числе относящуюся к интеллектуальной собственности. Киберпреступники помельче тоже стремятся поживиться на ней.

– К сожалению, на законодательном уровне у нас мало оперируют таким понятием, как «большие данные». В программе «Цифровая экономика Российской Федерации» прописано, что как бы они есть и их необходимо развивать, однако сегодня персональные данные пересекаются с большими пользовательскими данными, – рассказывает Рустам Рафиков. – А, соответственно, уже пользовательской информацией – теми же «кукисами» – умело пользуются мошенники.

Кто не знает, cookies – небольшой фрагмент текстовой информации, отправленный сервером браузеру и хранимый на компьютере пользователя. Не погружаясь глубоко в предмет, поясним в общих чертах, что благодаря этой технологии веб-сайт «запоминает» юзера, сохранив его настройки. В принципе это весьма практично: когда пользователь вновь обратится к серверу (наберет его адрес в строке браузера), то сервер считает информацию, которая содержится в cookies, и после ее анализа сможет совершить какие-то действия. Например, при авторизованном доступе к чему-либо через веб в cookies в течение сессии сохраняются логин и пароль, что позволяет юзеру не вводить их снова при запросе каждого документа, защищенного паролем. Но, как оказалось, у пользователей в интернете нет однозначного мнения в отношении cookies. Кто-то считает, что ничего плохого с помощью этой технологии сделать нельзя. Однако многие ее не любят, оппонируя, что если кто-то может читать информацию из файлов cookies, то это уже небезопасно.

По словам Рафикова, в ходу у не чистых на руку «сетевиков» и такая операция, как парсинг – автоматизированный сбор определенной информации в интернете в целом либо же с конкретного ресурса – базы данных, веб-сайта, файла. Инструменты для парсинга называются парсерами – это боты, запрограммированные на отсеивание баз данных и автоматическое извлечение большого массива данных. Как говорят специалисты, каждый владелец сайта, планирующий серьезно развиваться в бизнесе, просто обязан знать, что такое «парсинг данных».

– В ситуации с парсингом очень тяжело доказать кражу информации, – резюмирует управляющий партнер юридической компании «Рафиков и партнеры» Рустам Рафиков.

Необходимо сказать, что и в целом с правовой точки зрения относительно парсинга не все так однозначно и безоблачно. У него, безусловно, много сторонников, которые утверждают, что он – один из наилучших способов сбора информации в интернете, однако и противников предостаточно: как понимаем, последних особенно напрягает дальнейшее использование информации, в том числе защищаемой законодательством об авторских и смежных правах, полученной в результате парсинга.

Дабы не прослыть голословными и показать, что у него на «рыльце» какой-никакой пушок да имеется, приведем несколько примеров.

Первый – с уже упомянутой Facebook. В 2009 году компания предъявила иск о нарушении авторских прав сайту Power.com, который парсил ее контент: якобы по ходу извлечения информации о пользователях он копировал веб-сайт Facebook, что, по утверждению компании, является прямым и косвенным нарушением авторских прав. Суд принял сторону Facebook.

Другой случай датирован 2013 годом. Meltwater, компания-разработчик софта, в том числе Global Media Monitoring, использовала парсинг для сбора новостей. Неожиданно Associated Press, одно из крупнейших международных агентств информации и новостей, подало в суд на Meltwater за парсинг статей, которые находились под защитой авторского права. И суд признал незаконными копирование статей и авторского изложения фактов.

Так что, вне всякого сомнения, парсинг – весьма любопытное явление, заслуживает самого пристального внимания и детального анализа. И мы обязательно, возможно, еще и не раз, вернемся к его обсуждению с участием юристов и экспертов, специализирующихся на кибербезопасности.

В любом случае, интернет – это многосторонняя сфера человеческой деятельности с практически неограниченными возможностями. И в зависимости от того, какими устремлениями движим всяк в нее входящий, такими будут и результаты, и последствия. Поэтому киберсфера обязана находиться в регулируемом правовом поле, подчиняться международным соглашениям и национальным законодательствам – самым актуальным, соразмерным сегодняшним кибервызовам, способным эффективно противоборствовать кибернетическому злу во имя безопасности и благополучия людей, защиты их личной жизни, бизнеса, иной профессиональной активности, интеллектуальной собственности.

* В ТЕМУ:

• «Эксперты Distant & Digital: сезон киберохоты на большие данные в полном разгаре»;
• «Онлайн-бренд-битва».