БЕЗОПАСНОСТЬ
В эпоху, наступившую после “холодной войны”, первостепенной угрозой безопасности стал терроризм, который (помимо прочего) поставил перед многими странами, в том числе перед США, задачу организации адекватного противодействия.
Как подчеркивается в современной “Стратегии национальной безопасности США”, самая опасная угроза стране возникла на перекрестке радикализма и новых технологий. За последние 50 лет научно-технический прогресс продвинулся настолько, что в начале XXI века впервые в истории возникла ситуация, когда небольшая группа людей оказалась способна реально угрожать благосостоянию и жизни значительной части населения и даже стране в целом. В этой связи, комментируя новую “Стратегию”, президент США Дж. Буш отметил, что стратегия ядерного сдерживания, существовавшая в период “холодной войны”, неприменима в современных условиях, когда главную угрозу представляют террористы: “В прошлом, чтобы угрожать Америке, враги должны были иметь большие армии и огромный промышленный потенциал. Сегодня и небольшие группы людей могут сеять хаос и страдания, не имея при этом средств даже на покупку одного-единственного танка”.
Администрация Буша-младшего констатировала возрастание зависимости всех критически важных элементов базисной инфраструктуры экономики от нормального функционирования информационных технологий. Экономика США оказалась “прискорбно незащищенной” и весьма уязвимой для террористических атак. Перед американским государством встали задачи обеспечения кибербезопасности страны, т. е. обеспечения уверенности в надежной и адекватной работе информационно-коммуникационных и компьютерных систем, а также в информационной безопасности (information security). Однако решить их американское государство оказалось во многом не готово.
Прошедшие в Конгрессе США слушания обнаружили, что:
- во-первых, в настоящее время в США сложился критический дефицит специалистов по сетевой безопасности, методам восстановления информационных систем после нападений и другим аспектам кибербезопасности, а также образовательных институтов, специализирующихся на соответствующих дисциплинах. Хотя по специальности “компьютерные науки” (computer sciences) университеты США ежегодно присваивают около 1000 ученых степеней, к тематике кибербезопасности из них относится менее 0,3% (еще меньше специалистов остаются на факультетах работать по этой специальности);
- во-вторых, характерное для университетских исследований преимущество открытого (в том числе международного) обсуждения исследовательских проектов породило у федерального правительства США беспокойство о распространении критически важной информации и возможности ее использования террористами. С другой стороны, по мнению ученых, ограничение свободного обмена идеями может замедлить прогресс или даже закрыть некоторые из плодотворных областей исследований. Такой трудноразрешимый конфликт между наукой и безопасностью является весьма типичным для военного времени (в том числе в эпоху “холодной войны”). Университеты и федеральное правительство США всегда стремились найти некий оптимальный баланс между интересами национальной безопасности и потребностью ученых вести свободный и открытый научный обмен.
Однако в настоящее время, пока такой баланс не найден, а в университетах не накоплены необходимые научные и образовательные заделы, в борьбе с кибертерроризмом университетская наука вряд ли сможет оказать правительству существенную помощь.
28 ноября 2002 г. Дж. Буш подписал закон об исследованиях и подготовке кадров в области кибербезопасности (Cybersecurity Research and Education Act).
Содержание киберугроз
Ускоренное развитие информационных технологий в США во второй половине 90-х годов открыло новый способ совершения преступлений - с помощью компьютера. За десять лет появилось более чем достаточное количество разнообразных возможностей совершения преступлений, которые ранее совершить было практически невозможно, а потому они и не находили отражения в законодательстве. Осознавая возникшую проблему, президент У. Клинтон, в своем обращении в январе 1999 г. к генеральному прокурору США отметил, что “результатом первой волны преднамеренной киберпреступности стали хакерские атаки на правительственные и корпоративные компьютеры, воровство и уничтожение информации, хищения с банковских счетов, завышение платы за кредитные карточки, вымогательство денег угрозами заражения компьютеров вирусами”.
Обрашение президента нашло отражение в выступлении генерального прокурора США Ж. Рено: “Важно обеспечить американским гражданам и их деловым партнерам безопасное и надежное использование национальных компьютерных сетей, важно, чтобы в достижении этой цели государство и бизнес были надежными партнерами. При этом Интернет необходимо рассматривать в качестве объекта для различных атак, договориться защищать его, уважая конституцию, частную собственность и другие предоставленные всем американцам права и никоим образом не подавляя происходящие в этой отрасли инновации. В этом контексте следует опереться на традиционный юридический опыт борьбы с криминалом. Поскольку укрепление законодательства само по себе не может обеспечить решение проблемы киберпреступности, надо искать комбинированные стратегии, применяемые в обычном мире”.
Учитывая такую позицию администрации президента У. Клинтона, следует отметить, что параллельно со стимулирующим законом о дерегулировании телекоммуникаций (Telecommunications Deregulation Act) в 1996 г. была усилена правовая ответственность за преступления, связанные с компьютерным мошенничеством (National Information Infrastructure Protection Act of 1996). Тем не менее быстрое развитие ИТ создало для пользователей большие возможности для нарушения имущественных прав, обнаружило разрыв с правовой базой и техническую отсталость правоохранительных органов по отношению к возможностям совершения преступлений.
Основное содержание проблемы компьютерной преступности
Более детально проблему компьютерных преступлений рассмотрел в своем выступлении перед Комитетом по ассигнованиям Сената США 16 февраля 2000 г. директор ФБР Луис Фри. Он выделил в ней десять угроз, которым должно противостоять американское государство (среди них: угрозы некорректного поведения сотрудников; хакеры; создатели и распространители вирусов; преступные группировки, использующие компьютеры для получения нелегальных доходов; провокации масштабных сбоев в работе Интернет-порталов; использование компьютеров для подготовки террористических актов и пр.).
Борьбой с компьютерными преступниками в США занимается Отдел по компьютерным преступлениям и интеллектуальной собственности (CCIPS). Он финансируется по программе Министерства юстиции США, в реализации которой занято около 30 специалистов и адвокатов. Они готовят предложения по разработке законодательства, консультируют сотрудников правоохранительных органов, участвуют в международной координации борьбы с компьютерными преступлениями. Кроме того, в ФБР в феврале 1998 г. был создан специальный Центр защиты национальной инфраструктуры (NIPC, www.nipc.gov), сотрудничающий с представителями правительственных агентств США, федеральных и местных властей и частного сектора. Однако всего этого явно недостаточно.
По сравнению с традиционными преступлениями компьютерные проще совершить и сложнее расследовать. При этом нападение может быть осуществлено из-за рубежа, а жертвами преступления в одинаковой степени могут оказаться любые компьютерные системы, а следовательно, как простые граждане и частные предприятия, так и государственные инфраструктуры. По мнению заместителя директора NIPC М. А. Ватиса, большинство американских частных и правительственных организаций используют стандартные готовые технологии. Это значит, что уязвимость компьютерных технологий затрагивает все компании, применяющие данное программное обеспечение. Как только появляется новое ПО для защиты компьютеров, хакеры быстро находят в нем “дыры”. Причем если хакеру для взлома системы защиты может потребоваться несколько недель, то соответствующим образом заинтересованный разработчик программы, зная ее слабые места, сделает это еще быстрее.
По оценкам американского Института компьютерной безопасности (Computer Crime and Security Institute), только заявленные потерпевшими потери от чисто компьютерных преступлений (без учета потерь от пиратского использования интеллектуальной собственности) в США за период с 1997-го по 2001 г. составили 1,5 млрд. долл. Однако эта оценка представляется многократно заниженной, поскольку владельцы предприятий, опасаясь потери репутации, далеко не всегда сообщают о том, что их компьютеры подвергались взломам.
По сообщениям американской прессы, в середине 2002 г. автомобильная промышленность США из-за участившихся случаев компьютерного мошенничества была вынуждена отказаться от онлайновой продажи автомобилей.
Важно отметить, что в настоящее время борьба с киберпреступностью фактически осуществляется только в рамках обмена информацией между частными предприятиями, пострадавшими от компьютерных преступлений, и государственными органами, и потому замалчивание компьютерных правонарушений, по мнению генерального прокурора Рено, является одной из основных проблем в расследовании таких преступлений.
Имея в виду эту проблему, заместитель генерального прокурора США Джеймс Робинсон в выступлении на международной конференции по компьютерной преступности в апреле 2000 г. признал, что правительства не в состоянии справиться с этой угрозой в одиночку. А потому в борьбу с компьютерной преступностью, в укрепление национальной информационной безопасности необходимо вовлекать широкие круги бизнеса, т. е. пользователей, надо содействовать развитию их сотрудничества с правительственными агентствами. Стремясь к достижению соответствия между реальными угрозами развитию ИТ-сектора (киберпреступностью), состоянием законодательства и правоохранительной системы, Министерство юстиции США намерено добиваться доверия представителей бизнеса и партнерского сотрудничества с ними, но при этом, по заявлению генерального прокурора, не претендует на роль главного государственного регулятора или контролера Интернета и хотело бы развивать партнерство только в пересекающихся сферах ответственности и выполнять обязательства государства по обеспечению общественной безопасности, не ущемляя чьих-либо личных прав и гражданских свобод. А в обеспечении безопасности собственных компьютерных систем частный сектор должен взять на себя роль лидера. В свою очередь Минюст будет защищать правительственные информационные системы.
Традиционным средством борьбы является разработка и продажа ПП, реализующих новые системы информационной безопасности. Но, как отмечалось выше, они тоже со временем могут быть взломаны, причем информация о взломе очередной системы стимулирует спрос на новые разработки. С этой точки зрения укрепление информационной безопасности должно опираться на оперативный обмен сведениями о том, какие программные средства уже взломаны или устарели и не могут выполнять охранные функции, а также на ускоренное обновление соответствующих видов электронного оборудования и ПП.
Как и всегда, в решении возникших проблем американское государство ориентируется на то, что в основе противодействия терроризму должны лежать достижения науки и техники. При этом правительство рассчитывает на то, что в этой войне научное сообщество США будет в состоянии обеспечить государству технологическое опережение (лидерство); поставлена задача сделать так, чтобы всегда быть на один шаг впереди хакеров (террористов). Но оказалось, что это очень непросто, а потому война против терроризма вообще и против кибертерроризма в частности воспринимается в США как глобальное мероприятие, продолжительность которого невозможно прогнозировать.
В правительственных документах отмечается, что противодействие киберпреступлениям в настоящее время осложняется рядом неблагоприятных условий, а именно:
- чрезмерно высокой скоростью морального старения технологий, что препятствует разработке и реализации стратегии технологического обеспечения кибербезопасности;
- выходом Интернета за рамки национальной и международной нормативно-правовой базы, что зачастую делает невозможным как предотвращение преступлений, так и идентификацию киберпреступников;
- ограниченность ресурсов, имеющихся в распоряжении американского государства, которое просто не в состоянии обеспечить адекватными системами компьютерной безопасности не только все частные банки, энергетические компании, предприятия транспорта и другие находящиеся в частной собственности уязвимые составляющие инфраструктуры, но даже правительственные учреждения;
- нежелание корпораций “выносить сор из избы”, сообщая правоохранительным органам о взломах их сайтов и коммерческих порталов.
Администрация обратила также внимание на то, что в этой области одна из центральных проблем - неэффективность американской правоохранительной системы (в том числе законодательства). Как оказалось, в этой сфере законодательство США не соответствует масштабу сформировавшихся в настоящее время угроз киберпреступности. Более того, дальнейшее продвижение в направлении рыночной либерализации сферы ИТ без адекватных средств защиты национального киберпространства, повышения технического уровня правоохранительной и судебной системы не только нерационально, но даже опасно. Для борьбы с преступностью, совершаемой с помощью ИТ, защиты критических элементов инфраструктуры от кибертеррористов и пользователей от мошенничества (онлайнового грабежа), защиты конфиденциальной информации, интеллектуальной собственности на элементы информационных технологий и прав копирайта и пр. потребовалось существенное развитие всей правоохранительной системы.
В сфере компьютерных преступлений в США сегодня сложилась ситуация, когда нападение (хакер) значительно превосходит правовую и программную защиту. В отличие от американского полицейского, для которого четко регламентированы законом все случаи, когда он может применять оружие первым, в сфере компьютерных преступлений и государство, и фирмы, и отдельные личности таких полномочий до недавнего времени практически не имели.
Первой организационной реакцией на сложившуюся ситуацию стал упомянутый закон, предусматривающий на предстоящие пять лет выделение более 900 млн. долл. на исследования и образовательные программы, связанные с защитой национальной киберинфраструктуры от хакеров и террористов. В соответствии с законом об исследованиях и разработках по кибербезопасности (Cyber Security Research and Development Act, 2002) будет учрежден Центр исследований по компьютерной безопасности, а также профинансированы программы специальных стипендий Национального научного фонда (NSF) и Национального института стандартов (NIST).
Cyber Security Enhancement Act, принятый в конце 2002 г., уточняет понятие компьютерного преступления, а также обязует комиссию по вынесению приговора не позднее 1 мая 2003 г. представить Конгрессу доклад с рекомендациями по борьбе с компьютерной преступностью.
Важным событием в развитии правового регулирования информационных технологий в США явилась публикация “Концепции национальной безопасности США в киберпространстве”. В обнародованном в сентябре 2002 г. проекте, а в феврале 2003-го г. окончательном варианте этого документа констатируется, что уязвимыми оказались все элементы инфраструктуры, повреждение или разрушение которых оказывает подрывающее влияние на безопасность в целом, национальную экономическую безопасность и безопасность людей.
Поскольку отдельные компоненты инфраструктуры оказались уязвимыми для компьютерных атак, постольку эти атаки могут оказывать существенное негативное влияние на состояние национальной безопасности в целом, иначе говоря, киберпреступления вышли за рамки борьбы с пиратским использованием интеллектуальной собственности, задачи предотвращения компьютерных преступлений были включены в круг задач национальной безопасности США, а борьба с преступностью в сфере ИТ стала одним из главных приоритетов политики администрации Дж. Буша-младшего.
Имея в виду критическую значимость безопасности ИТ-инфраструктуры, можно предположить, что для обеспечения эффективной деятельности нового мощного министерства внутренней безопасности (DHS) федеральное правительство США сделает ставку на укрепление “дружбы” DHS с Microsoft, а также с компаниями, работающими в области глобальной, в том числе космической информатики (подобно тому, как правительство Ф. Рузвельта благословило в начале 1930-х годов монополизацию телефонных сетей США под эгидой компании AT&T). Другими словами, следует ожидать, что Microsoft уже в 2003 г. получит от DHS крупные заказы и войдет в круг ведущих государственных оборонных подрядчиков.