11 Июня 2002 12:06 | 11 Июн 2002 12:06 | |

Поделиться

Сеть и Безопасность: "Privacy под ударом"

Конец весны, начало лета. Казалось бы, сетевые процессы должны на некоторое время утихнуть или, наконец, затихнуть. Но все говорит об обратном: напротив, в течение последних двух недель в западных странах, или, другими словами, на огромном участке "сетевого" фронта, были приняты решения, которые, вероятно, очень сильно повлияют на приватность электронных коммуникаций и сетевых в частности. Последнее решение Европарламента, которое выразилось в принятии закона о защите данных, обязывающего интернет-провайдеров и операторов телекоммуникационных услуг хранить данные о клиентах и другую информацию в течение срока, превышающего время, необходимое для осуществления биллинга, а также действий, связанных с исполнением требований законодательства.

Такое "политическое" обязательство для телекоммуникационного сектора имеет под собой невыгодную экономическую подоплеку: компании будут нести на себе издержки хранения всей информации "обо всех" и речь уже иногда заходит о 4-летнем сроке. По их мнению, данных, которыми они обеспечивают юрисдикционные органы, уже предостаточно, при этом гражданские права клиентов будут непременно нарушаться, а издержки будут непомерно высоки. Это мнение было выражено Ассоциацией Европейских Интернет-провайдеров еще весной. Конечно, техническая составляющая вопроса - это ресурсы: как их используют и за чей счет. Вопрос же privacy - не менее животрепещущий, чем чисто "экономическое" негодование телекоммуникационных корпораций, ведь вкупе с законом о защите данных законодательство, непосредственно связанное с борьбой с терроризмом, позволит органам слежения отслеживать деятельность любого лица, имеющую хотя бы один цифровой след. Группа правозащитных организаций уже подала протест Европарламенту, сравнивая такие огромные полномочия со смехотворной властью Штази ГДР.

Следует заметить, что даже в США пока отказались от такого радикального подхода, хотя бы формально. Не секрет, что системы электронного слежения используются там уже не первый год, но это никак не повлияло на ход событий под общим знаком 9/11: появилась даже информация, что системы слежения имеют технические изъяны, да и в целом неэффективны, потому что не хватает аналитических возможностей для адекватной обработки почти беспредельного ряда массивов данных. Само по себе применение таких систем не защищает ни от дезинформации, ни от шумов, ни от информационного противодействия в виде того же инфотерроризма. Однако тенденцию всеобщей слежки будет трудно повернуть вспять, ибо статистика показывает, что в 2001 году в США количество судебных решений, разрешающих подслушивание и просмотр переписки, выросло на 40%. Это производилось в соответствии со старой процедурой, которая в скором времени будет существенна "облегчена": теперь ФБР и ЦРУ уже формально получают широкие полномочия по онлайновому слежению, которые были даны Минюстом США.

Это (в том числе имеется в виду веб-серфинг специальных сетевых агентов) якобы даст возможность органам нанести терроризму "ответный удар". Таким образом, слежка уже будет "очеловечена" и, видимо, претенциозна и субъективна; она будет направлена против свободы слова пользователей, по мнению правозащитников. Они также опасаются, что данные могут использоваться не по назначению и что таким образом интересы государства и корпораций будут находиться в конфликте с правами человека. Тем более, что сами корпорации не прочь на этом подзаработать: например, VeriSign достаточно реактивно предложила телекоммуникационному рынку инструмент для осуществления сложного слежения в связи с новой практикой. Продукт хоть и недешев, однако уже готов к эксплуатации. Впрочем, упрекать VeriSign в чем либо несерьезно, ибо, как отмечают обозреватели, в конце концов, "они делают бизнес". Однако корпорации идут дальше, устанавливая в качестве нормы слежение за перепиской и интерактивностью своих работников. Несмотря на то, что это делается в целях безопасности, экономии и на принадлежащем компании оборудовании, удар по privacy очевиден: недаром многие характеризуют настоящую ситуацию как смесь предсказаний Оруэлла и Кафки.

Проблема в том, что privacy не определена однозначно, поэтому ей "играются" все - эксперты, государство, корпорации, правозащитники. Очевидно, что некоторая часть информации должна попадать под мониторинг, но какая именно? И при каких обстоятельствах? Видимо, это - ключевая информация, которая, будучи открытой, наносит вред тому, о ком она, а не просто частная информация. При этом идея обязать компании выдавать информацию о том, о ком она собрана, самим же пользователям принимается в штыки, и за эти запросы компании хотят получать определенные деньги, сдерживая любопытство пользователей. Как видно, вопрос privacy касается не только содержания самих данных, но и их хранения, доступа, транспортировки и т.д. Хотя само содержание не менее важно - наибольшую озабоченность у пользователей вызывает псевдозакрытость финансовых данных, а именно они являются источниками ценной информации о терроризме, по мнению экспертов-аналитиков в США. Электронные слежение и перехват данных зашли в США так далеко, что речь уже идет о создании специального единого стандарта.

Тем временем, в свете этих дел на privacy появляются все новые и новые "отклики": Европейская комиссия начала расследование, соответствует ли закону использование Microsoft системы Passport. Единственное, что опасно, - что само расследование может трансформироваться в сведение счетов между ЕС и США в их необъявленной скрытой "торговой" войне. Так, следует отметить факт первой реакции на европейские нововведения: в связи с тем, что в Соединенном Королевстве уже близки к принятию самых жестоких обязательств в виде возможности истребовать любой текст или ключ к нему, если он зашифрован, энтузиастами был запущен проект m-o-o-t. Это проект подразумевает удаленное и распределенное хранение и управление зашифрованными данными, а сама идеология проекта заключается в стойком либеральном убеждении авторов, что "люди не обязаны искать privacy у какого-либо правительства". Сама новость попала в ленты сетевых изданий зоны .ru. В нашей зоне за делами такого толка был замечен только один проект, балансирующий между сравнительной неизвестностью и определенной стойкостью защиты переписки. Поживем - увидим, как все сложится и там, и здесь.

И хотя к privacy, похоже, уже нигде не испытывают должного пиетета, в глазах активных пользователей она остается тем, что более всего нуждается в защите, согласно исследованиям Jupiter Media Metrix Inc. Хотя пользователи и сами не склонны защищать себя: только 40% читают Privacy Statements, а 53% используют одинаковые логины/пароли при авторизации на разных сайтах. Первое исследователи связывают с тем, что пользователи, получив некий сетевой опыт, считают, что их privacy все равно будет нарушаться, что бы ни декларировалось. Продажу privacy или эту возможность также связывают с шатким положением электронной коммерции. Другое мини-исследование показывает, что размеры рынка информационной безопасности и предсказания его роста (в среднем 25% в год), возможно, завышены. Сложная ситуация, связанная с непониманием, для чего нужны те или иные инструменты защиты, переполненность рынка предложениями и продавцами, осторожность и скептицизм покупателей "сужают" масштабы рынка. На многих сегментах, например, рынке обеспечения управления сервисами в области безопасности (MSSP), следует ожидать консолидации, так как покупатель не хочет связываться с продавцом таких услуг, если конкуренция слишком высока, равно как вероятность банкротства.

В принципе, именно вопросы privacy и безопасности сдерживают дальнейшее развитие сетей, широкополосного доступа, приложений и новых подключенных инструментов. Например, отсутствие защиты передачи беспроводных данных явно сдерживает возможность интернет-доступа в автомобилях. Развитие широкополосного доступа в США, которое должно "подхлестнуть уставшую" экономику к новому витку инновационности при помощи государственных инвестиций и иной непрямой помощи, упирается в вопросы безопасности, которые важны и о которых много говорится, но пока явных и существенных результатов не видно.

Другой отправной точкой "разговоров" о privacy и безопасности явилась за последние две недели проблема спама. Вышеупомянутый общеевропейский закон о защите данных запрещает спам, разрешая рассылку только с согласия пользователя. Война против спама идет по обе стороны Атлантики. Уже очевидны первые результаты - спамеры заявили о нарушении своих прав. Ситуация крайне запутана: фирма указывает, что рассылки велись законно и с разрешения пользователей, а ISP отключил фирму от линии по причине занесения своих адресов в список SPEWS. Убытки и жалобы против нарушений обязательств клиента, privacy против promotion - налицо столкновение интересов, которое уже инициировало судебную тяжбу. В настоящее время в США рассматривается законопроект с длинным и немного двусмысленным названием Controlling the Assault of Non-Solicited Pornography and Marketing Act of 2001, или коротко CAN SPAM Act of 2001, который предусматривает штраф в 10 долларов США, превращающийся в 30 долларов США, если суд решит, что рассылка была умышленно незаконной. Общий штраф может достигнуть суммы в 500 тысяч долларов США. Запрещается рассылка фальшивых адресов и злоупотребление адресами пользователя в любом виде, например, даже если они станут доступны любому пользователю случайно.

В завершение историй минувших недель можно подвести итог триумфального шествия по Сети вируса Klez, который порядком всем поднадоел. Сам Klez в варианте H, да и во всех вариантах, был признан худшим или, другими словами, лучшим вирусов из существовавших когда-либо. Об этом заметили представители производителя антивирусного программного обеспечения MessageLabs, указав, что эпидемия вируса до сих пор не закончилась. Тот факт, что он рассылает себя с поддельных адресов, достаточно сильно затрудняет борьбу с ним, в чем может лично признаться ваш покорный слуга - до 10 уведомлений приходит на один мой адрес, с которого якобы идет рассылка "клеща". Сам по себе "клещ" отличается слишком высокой степенью эволюции - каждая его новая версия была все более и более опасной с точки зрения масштаба распространения и скорости заражения.

Поделиться

Короткая ссылка