Не секрет, что сегодня практически каждый гражданин в той или иной степени вовлечён в цифровое пространство. Это использование «Госуслуг», образовательный процесс, коммуникации в корпорациях и многое другое. Вопросы охраны персональных данных, защиты детей и подростков от деструктивного контента, «приземления» ИТ-гигантов, создания собственных интернет-площадок, применения новых технологий, обеспечивающих безопасность в Сети, остаются по-прежнему актуальными. На площадке Общественной палаты РФ состоялся традиционный февральский форум «День безопасного Интернета» (Cybersecurity Day).
Как отметил председатель Комитета Государственной Думы по информационной политике, информационным технологиям и связи Александр ХИНШТЕЙН, тема безопасного Интернета с точки зрения законодательства является одной из ключевых.
— Мы понимаем, что безопасность в Сети — гарантия для всех пользователей не стать жертвами противоправных действий, кибербуллинга, хейтерства, мошенничества. В связи с этим необходимо рассмотреть два подхода. Первый: Интернет — это территория безграничной свободы, где не должны действовать никакие законы. Второй, которого придерживаемся мы: Сеть точно такая же сфера жизнедеятельности, как и мир офлайна. По данным исследований, среднестатистический россиянин проводит в Сети не менее шести-семи часов в сутки. Расширение опций и сервисов, которыми мы пользуемся, не может не ставить задачи трансформации законодательства.
Эксперт уверен: законодательство может и должно влиять на безопасность, при этом не ограничивая пользователей. Это касается, в частности, темы киберпреступности. В прошлом году более 26% всех зарегистрированных в России преступлений были совершены с использованием ИТ. После того как государство начало активно противостоять этому злу, взрывной рост пошёл на спад: по статистике МВД России, рост киберпреступности в 2022 г. по отношению к 2021-му зафиксирован на уровне 2%, в то время как в 2021 г. по отношению к 2020-му он составлял 91%. Этому, в частности, способствовали законодательные инициативы по внедрению антифрода и противодействию использования телефонии для совершения преступлений, по наведению порядка в сфере связи.
— Мы ввели запрет на использование так называемых подменных номеров, установили штрафы для тех операторов связи, которые нарушают установленные ограничения, и постарались ввести максимально жёсткие санкции. Уверен, что с такого рода преступностью нужно бороться не убеждением, а рублём. Сегодня размер штрафа составляет 1 млн рублей за каждый выявленный факт незаконного пропуска номера. Очевидно, что экономическая целесообразность заставит операторов серьёзно изменить свой подход к этому явлению.
Появилась норма о блокировке средств связи в местах лишения свободы. Это актуальная тема, учитывая, что учреждения системы исполнения наказаний были ещё недавно колл-центрами, откуда осуществлялась большая часть мошеннических действий. Бесспорно, это не исчерпывающий перечень: предстоит сделать ещё немало. В Государственной Думе создана межфракционная рабочая группа по совершенствованию законодательства в части борьбы с киберпреступностью.
Безусловно, опасность для пользователя в Интернете представляют не только уголовно наказуемые деяния, — подчеркнул депутат.
— Сегодня цифровое пространство наполнено угрозами: это фейки, деструктивный контент, кибербуллинг и т.п. Мы констатируем, что длительное время основные ИТ-площадки, прежде всего иностранные, отказывались от какого-либо конструктивного диалога с нашим государством и не исполняли требования, установленные законодательством. Наиболее яркий пример — это не удаление негативного контента, притом что в требованиях Роскомнадзора не содержалось неоднозначных положений, там не было политики и дело касалось того, что во всём мире является абсолютным злом: педофилии, пропаганды наркотиков, подросткового суицида. Для того чтобы этот диалог наконец начался, Государственная Дума рассмотрела целый ряд законодательных инициатив, которые уже вступили в силу. Это административная ответственность за неудаление деструктивного контента. В декабре прошлого года судом были назначены первые оборотные штрафы для двух крупнейших ИТ-гигантов, хотя размер этих штрафов (2 и 7 млрд рублей) в десятки и даже в сотни раз меньше аналогичных взысканий, накладываемых на те же площадки странами Евросоюза. Принят закон о «приземлении», согласно которому ИТ-компании с аудиторией от 0,5 млн пользователей обязаны выполнить три требования: создать филиал или юридическое лицо в России, иметь абонентский ящик на сайте Роскомнадзора и механизм обратной связи с российскими пользователями, установленный на ресурсе. Закон вступил в силу 1 января, и компания Apple первой заявила о том, что все три пункта ею выполнены. В целом из 13 лиц, включённых Роскомнадзором в перечень ИТ-гигантов, обязанных «приземлиться», более половины начали выполнять соответствующие требования.
Россия, совершенствуя своё законодательство, является одним из лидеров с точки зрения демократичности регулирования сети Интернет, — отметил эксперт.
— Примеры законодательных инициатив, воплощённых нами в реальность, для многих стран являются определённым ориентиром. Проблемы, с которыми сталкивается Россия при защите своего цифрового суверенитета, не уникальны. Такие же трудности испытывает каждое государство, пытающееся защитить свою субъектность и обеспечить безопасность собственного цифрового контура. Основной тренд — это создание правовых механизмов для регулирования деятельности ИТ-гигантов. Основная угроза свободе слова и мысли исходит не от правительств, а от таких компаний, злоупотребляющих своим монопольным положением. Только законодательное регулирование способно оказать этому злоупотреблению должное сопротивление. Предпринимаемые государством действия по обеспечению безопасности Рунета полностью себя оправдывают.
Тему продолжил генеральный директор Российской ассоциации электронных коммуникаций (РАЭК) Сергей ПЛУГОТАРЕНКО.
— РАЭК регулярно проводит исследования и публикует визионерские хот-листы. Практика показывает, что прогнозы начинают сбываться. В 2020 г. все поняли, что от киберугроз не защищён никто, и усилия были перенаправлены с того, как от них спастись, на то, как минимизировать риск от их последствий. При этом прогресс не стоит на месте. Приходят метавселенные, мы все понимаем, что нам в них придётся жить. Непонятно, как оградить пользователей от мошенничества с невзаимозаменяемыми токенами. Технология блокчейна позволяет злоумышленникам скрывать следы своей деятельности. Каждая из экосистем пытается замкнуть пользователя в своих рамках, и это тоже определённый риск для безопасности. Гибридный формат работы, когда пользователь из корпоративной среды переместился в домашнюю и у него не стало привычных настроек безопасности, тоже вызывает опасения.
Основной целью кибермошенников сегодня являются данные: персональные, конфиденциальные, составляющие коммерческую тайну, сведения, на основании которых можно сделать вывод о поведении пользователя и что-то ему продать. По оценкам исследователей, российский бизнес теряет миллиарды рублей от утечки данных, при этом 80% нарушений приходится на сотрудников компаний, а 2/3 из них умышленные. Это говорит о том, что нужно повышать не только цифровую грамотность, но и безопасность в корпоративной среде.
Никуда не делся фишинг, социальная инженерия набирает обороты, а пользователь остаётся самым слабым звеном. Важно законодательное регулирование и не менее значимо создание позитивного контента, — подчеркнул эксперт.
Как отметил генеральный директор Института развития Интернета Алексей ГОРЕСЛАВСКИЙ, в прошлом году Институт поддержал девять проектов на тему безопасности в Сети на общую сумму в 200 млн рублей. Темы самые разные, тем не менее жизнь каждый день подбрасывает новые интересные сюжеты, которые ещё вчера сложно было представить.
— Например, жительница США заявила о том, что её аватар в метавселенной подвергся сексуальному насилию. Интерес к приключениям в виртуальной реальности продолжит умножаться. Чем больше мы будем рассказывать о том, как устроена жизнь в онлайн-мире, тем эффективнее станет «прививка» от киберглупости.
Думал ли российский юрист лет 10 назад, что он будет участвовать в повестке регулирования научной фантастики? А ведь понятие «метавселенная» представлялось именно таким. К дискуссии подключился заместитель председателя Комитета Государственной Думы по экономической политике Артём КИРЬЯНОВ.
— Сегодня мы понимаем, что метавселенная — это не просто объединение ресурсов компании «Мета»*, но реально существующая альтернатива человеческому миру. Неплохо бы дать правовое определение тому, что такое аватар и т.п. Те рубежи, к которым мы сегодня приближаемся с точки зрения права, были непредставимы ещё несколько лет назад.
* Здесь и далее упоминаются сервисы компании Meta Platforms Inc., признанной в России экстремистской организацией.
Евросоюз в вопросах регулирования пошёл по пути Российской Федерации и обязывает хранить на европейских серверах данные пользователей, в частности той самой метавселенной. Социальная сеть Facebook, которая является в Европе монополистом, запускает процесс, напоминающий шантаж: настаивает на хранении персональных данных в США и готова оставить без соцмедиа всю Европу. Наш опыт регулирования показывает, что принцип почвенного хранения данных вполне оправдан. Если «Мета» уйдёт с европейского рынка, то в России останутся свои социальные сети, которые могут претендовать на расширение сферы собственного влияния.
Какие тренды видятся в экономическом развитии, связанном с «цифрой»? Представляется, что сегодня законодательная и исполнительная власти должны рассмотреть вопрос создания экспериментальных режимов, направленных на развитие технологий. Уже существуют так называемые электронные песочницы, но нужно изучать, какие отрасли экономики нуждаются в них и готовы для цифровизации в первых рядах. Важный вопрос, который уже обсуждается, — это регулирование и оборот цифровых активов. Нам необходимо выработать и уточнить позицию по криптовалюте.
Цифровизация экономики в сфере государственночастного партнёрства, например в области ЖКХ, требует совершенствования информационных систем. Цифровой профиль человека невозможен в отрыве от того, где и как тот живёт, какие услуги потребляет. Возможность получить прямые и чёткие ответы на вопросы, оперативно устранить проблему — всё это задача цифровизации.
Тема развития цифровой экономики тесно переплетается с самой жизнью человека, с тем, что он делает в каждый момент. Грань между онлайном и реальной жизнью стирается. В рамках Комитета по экономической политике мы создали экспертный совет по цифровой экономике. Цифровая безопасность станет одним из центральных вопросов его повестки, — отметил эксперт.
Цифровизация пришла в банковскую сферу, и пользователи ежедневно сталкиваются с рисками и угрозами. Пользователям постоянно звонят и просят сообщить персональные данные, а вирусы-шифровальщики нацелены не только на крупные промышленные предприятия, но и на частных лиц. К разговору присоединился заместитель начальника Главного управления безопасности и защиты информации Банка России Артём СЫЧЁВ.
— Финансовое мошенничество — не уникальная российская история, оно характерно практически для всех стран, включая Китай и Европу. Но особенность отечественного рынка заключается в том, что используют неосведомлённость о самых обычных финансовых продуктах. Если в Китае одна из главных проблем — это подмена сим-карт, а в Европе — условное инвестирование в какие-то сомнительные продукты, то для нас продолжает быть актуальной тема со звонками от разных «служб безопасности», из «полиции». В основе лежит отсутствие понимания, как на самом деле работают технологии и финансовые продукты. Кроме того, подключается психология: можно давить на желание быстро получить выигрыш, на страх перед правоохранительными органами, на боязнь потерять свои деньги — и спровоцировать человека на принятие решения в пользу мошенников.
В чём корень проблемы, почему Россия так задействована в подобных схемах? Всё просто: у нас активно развивается система быстрого перевода денег и это приводит к тому, что злоумышленники оперативно могут обналичить похищенные суммы. Рецепт борьбы с этим явлением есть, и он даже заложен в текущем законодательстве: антифрод-системы, работающие на сторонах банка-отправителя и банка-получателя, должны «видеть» друг друга и принимать адекватные решения. Но для этого финансовым организациям не хватает определённых знаний о клиентах, которые отправляют деньги и получают их. Это пересекается с темой цифрового профиля и согласия человека на обработку персональных данных, с законодательными инициативами по обогащению информации со стороны телеком-операторов. Требуется взаимодействие телекома и банков на более серьёзной основе, взаимное обогащение данных для стабильной работы антифрода. Также важно не забывать о позитивной повестке для широкого круга населения: это позволит отобрать у злоумышленников основной инструмент, т.е. неосведомлённость о продуктах и технологиях.
Отдельно эксперт отметил беспрецедентное доверие молодого поколения к социальным сетям: это пока недооценённая площадка с точки зрения давления на пользователей.
— Воровство аккаунтов, создание фальшивых, распространение непроверенной информации приводят в том числе и к финансовым последствиям. Это одна из проблем, которой сегодня по большому счёту никто серьёзно не занимается. Наверное, что-то есть в той идее, что в своё время продвигало МВД России: Интернет по паспорту. Во всяком случае, идентификация граждан при использовании соцсетей — тема, которая ждёт нас в ближайшее время.
Безусловно, определённые технические вопросы должны быть решены, чтобы снизить уровень мошенничества. Это прежде всего массовое внедрение многофакторной аутентификации, взаимодействие цифрового профиля с разными легальными участниками рынка и участие в этих процессах телеком-операторов. Время торговли данными пользователей прошло. Нужно объединять усилия, чтобы общим фронтом противостоять злоумышленникам, — подчеркнул в завершение А. Сычёв.
Вызовы, стоящие перед Министерством цифрового развития, связи и массовых коммуникаций РФ, обозначил директор Департамента обеспечения кибербезопасности ведомства Владимир БЕНГИН.
— Если раньше «Госуслуги» позволяли разве что записаться на приём к врачу, то сегодня это уже значимый сервис, агрегирующий большое количество персональных данных и ставший серьёзной целью для мошенников. Поэтому необходимо защищать аккаунты пользователей, так же как и счета банковских клиентов.
В сфере внимания министерства находятся все вопросы, связанные с персональными данными. Необходимо внедрять правило так называемой нулевой толерантности к утечкам. Мошеннические вызовы начинаются не с того, что вам звонят, а с того, что информацию о вас можно купить в Интернете или получить её бесплатно. Постоянно повышается уровень административной ответственности, вводятся новые статьи в КоАП РФ, существуют государственные проекты, связанные с новыми технологиями, например обезличенные данные. Развивается искусственный интеллект (ИИ), и мы понимаем, что он требует большого объёма данных. Как защитить эти дата-сеты, содержащие якобы обезличенные данные граждан, чтобы их невозможно было восстановить? На сегодняшний день проблема с персональными данными связана ещё и с тем, что гражданин дал сотни, если не тысячи согласий на их обработку. Мы предоставляем их каждую неделю, каждый месяц. Необходима возможность управлять согласиями, и здесь на помощь должны прийти технологии. Речь не только о законодательных инициативах: нужно подумать о том, как с точки зрения безопасности пользоваться инновациями и прекратить раздачу персональных данных. В частности, речь идёт о копиях паспортов. Мы приезжаем в гостиницу и обязаны снять с документа копию, потому что таково требование закона. Но что сама гостиница делает с этими данными? Паспорт просят на каждой проходной. Мы везде раздаём документы, и без внедрения новых технологий проблему решить сложно.
Также не стоит забывать о защищённости самих систем, прежде всего государственных. Только федеральных информационных систем более 500, и нужен общий подход по постоянному повышению уровня защищённости. Часть мер действует уже сейчас: это мероприятия по контролю безопасности, запущен центр проверки мобильных приложений. Внедрение единых метрик цифровой зрелости позволит планомерно повышать уровень безопасности.
Никуда не делась проблема с телефонным мошенничеством и фишингом. Это две «эпидемии» в нашем обществе, и необходимо купировать их распространение. Есть много предложений по решению этого вопроса. Тем не менее мы понимаем: как только решится проблема подмены номеров, мошенники начнут прибегать к другим способам — более дорогим, сложным, и этим нужно заниматься системно.
Безусловно, мы не справимся без регулярного повышения киберграмотности населения. Здесь недостаточно одного-двух мероприятий, этим вопросом надо заниматься более масштабно. Минцифры России запускает ряд инициатив, и радует, что есть встречное движение со стороны социально ответственного бизнеса. Мы призываем всех думать о том, как доносить до пользователя основы киберграмотности.
По исследованиям Регионального общественного центра интернет-технологий (РОЦИТ), каждый второй пользователь сталкивался либо с мошенничеством, либо с травлей в Интернете на регулярной основе. Директор РОЦИТ Рустам САГДАТУЛИН отметил ещё две проблемы, которые не столь очевидны, но имеют большое значение.
— Первая — широкое распространение ИИ, который сегодня определяет, получим ли мы ту или иную услугу, и может заблокировать ваш контент в соцсети или банковскую карту. По факту робот принимает юридически значимые решения, но не несёт никакой ответственности за них. Мы с коллегами из МГУ имени М.В. Ломоносова, НИУ ВШЭ, Санкт-Петербургского университета пришли к выводу: пользователь должен понимать, что получает услугу с помощью ИИ, для этого необходимо промаркировать все сервисы, использующие эту технологическую основу. Второй момент: все сервисы, предоставляемые роботом, должны иметь механизмы апелляции по принятым решениям, чтобы пользователь мог защитить свои права.
Достаточно значимая проблема: наряду с нормами локального и международного права неотъемлемой частью жизни стали пользовательские соглашения, которые чаще ущемляют права, чем дают их. Так, мы не можем отказаться от обязательной передачи данных третьим лицам. Саморегулирование здесь не очень эффективно, потому что есть большой коммерческий интерес у площадок. Без участия государства нам сложно будет обеспечить защиту интересов пользователей перед лицом ИТ-гигантов.
Колыбелью российского сегмента Интернета является академическая среда. Когда учёные разрабатывали первые системы интернет-адресации, никто не предполагал, что впоследствии теми пробелами, что существуют в системе безопасности DNS (система, связывающая доменные имена с соответствующими IP-адресами. — Примеч. ред.), будут пользоваться злоумышленники. Сегодня всё техническое сообщество сталкивается с этими проблемами, отметил директор Координационного центра доменов .RU/.РФ Андрей ВОРОБЬЁВ.
— Мы знаем, что DNS используется для спама, фишинга, распространения вредоносного ПО, генерации доменов в автоматическом режиме для распространения незаконного контента. Всему этому приходится противостоять, и раньше это обеспечивалось преимущественно техническими способами и саморегулированием. В России появились такие проекты, как «Нетоскоп», позволяющий предвосхитить использование доменов в противоправных целях, «Доменный патруль», посвящённый защите от мошенников и хакеров. Сейчас мы переходим к новому этапу — регулированию со стороны государства. В Государственную Думу внесён законопроект, предусматривающий, что правила регистрации в национальных доменных зонах будут утверждаться в порядке, принятом Правительством РФ. Появится специальный регистратор для защиты инфраструктурных элементов, сайтов государственных органов, на которые направлено множество атак. Прорывной вопрос — обязательная регистрация доменов с использованием «Госуслуг». Это позволит повысить качество базы данных владельцев доменных имён. Государство будет чётко знать, кто стоит за тем или иным ресурсом в российских национальных доменах. Если несколько лет назад это обсуждали как опцию, как один из способов регистрации доменов, то сейчас в рамках проработки законопроекта все понимают, что нужно делать это обязательным, что подсказывает также зарубежная практика. Отсутствие анонимности позволит побороть мошенников в интернет-среде.
В такой сфере деятельности, как Интернет, бывает трудно добиться эффективного регулирования: среда сложная, многомерная, слишком много разных игроков, и здесь важна ответственность и инициатива самих компаний. Организации, которые входят в Альянс по защите детей в цифровой среде, понимают, что отвечают за происходящее в Сети и должны сделать для детей более безопасную и комфортную среду. Как отметил председатель Альянса Антон ШИНГАРЁВ, в рамках объединения у каждого участника есть ряд направлений, которые он продвигает.
— Например, VK активно взялся за тему кибербуллинга. Это самая большая проблема для детей: более четверти несовершеннолетних пользователей проводят свободное время в гаджетах и они там недостаточно защищены. Коллеги представляют различные программы по борьбе с кибербуллингом. Эту проблему вряд ли можно решить только позитивным контентом. Образование, цифровая грамотность — вот приоритет VK.
«Яндекс», VK и «Лаборатория Касперского» совместно создают базу данных, в которой обмениваются цифровыми отпечатками, так называемыми хешами противоправного контента, и таким образом улучшают системы фильтрации. Это хороший пример того, как без участия регулятора можно и нужно создавать работающие инициативы.
Альянс — яркий пример того, как мировые тенденции саморегулирования и ответственности компаний «приземляются» в России. У нас уникальный ландшафт: западные, восточные, отечественные игроки, и все вместе они стараются идти в направлении саморегулирования.
В ноябре прошлого года мы запустили хартию «Цифровая этика детства», это собрание фундаментальных принципов, правил и подходов к организации безопасной цифровой среды. Здесь очень важен голос учителей, университетов, гражданского общества, поэтому приглашаем присоединяться к хартии, расширяя круг участников.
Видеовыступления экспертов на сайте: https://runet-id.com/event/csd22/.
Фото с этого же сайта.
Рубрика: Выставки и конференции
Год: 2022
Месяц: Март
Теги: Сергей Плуготаренко Андрей Воробьев Александр Хинштейн Алексей Гореславский Артем Кирьянов Артем Сычев Владимир Бенгин Рустам Сагдатулин Антон Шингарев