Хакерская атака на Sony показала реальное положение дел
в интернете

Если «Стражи галактики» от корпорации Walt Disney оказались самым неожиданным фильмом прошлого года, то группу «Стражи мира», обрушившуюся с кибератаками на компанию Sony, следует признать самыми масштабными хакерами 2014 года. Их успех прямо-таки киношный — эпические герои, звезды первой величины, таинственность, фарс, международная интрига, месть и компьютерные спецэффекты, созданные для привлечения интереса глобальной аудитории. Шоу-бизнес в чистом виде.

Связь этих хакеров с Северной Кореей все еще остается недоказанной. На корпорацию Sony посыпались угрозы (Если вы не в курсе, компания отменила выход фильма «Интервью» на экраны кинотеатров, а официальным лицам США приписывается утверждение, что источником атаки стала КНДР.) Но никто не сомневается в том, что киберзащиту Sony сломали самым унизительным для фирмы образом. Картинка, где «бездарная и избалованная» Анджелина Джоли испепеляет взглядом сопредседателя Sony Pictures Эми Паскаль, наверняка войдет в историю как классика жанра бульварной прессы.

Однако, отложив наше злорадство в сторону, мы можем с уверенностью сказать, что нападение на Sony важно не потому, что оно обнажило технические несовершенства и раскрыло чужие секреты. Прежде всего оно заставило задуматься о способах защиты информации в современном мире. Хотите лучше вникнуть в завтрашние риски глобального хакерства, компьютерной преступности и киберконфликтов? Тогда задайте себе вопрос, кому больше всего на руку эти неприятности с Sony:

• Владимиру Путину и опытным хакерам из России?
• Китайским «хакерам-патриотам»?
• Джулиану Ассанжу и его сайту WikiLeaks?
• Анонимным преступникам?
• Эдварду Сноудену?
• Кибербанде, которая устроила атаку на Target?

Ответ прост: им всем. Нет ничего в этой саге с Sony, чтобы хоть отдаленно намекало на устрашение разрушительных и антиобщественных элементов в интернете или препятствование их деятельности. Вообще ничего.

Читайте материал по теме: Как вырабатывались стандарты для интернета вещей

Наоборот, становится совершенно реальной ужасающая перспектива того, что кибератаки — от мелкого хулиганства до нарушения деятельности всей организации — становятся новой нормой на мировой арене. Чем больше людей во всем мире зависит от сетей и устройств, тем больше возможностей для компьютерного беспредела.

На наших глазах происходит стремительное размывание гражданского общества в интернете. То есть киберпространство в очередной раз доказывает «теорию разбитых окон», объясняющую феномен городской преступности и депрессивных кварталов. Эту концепцию блестяще описал недавно ушедший от нас политолог Джеймс Уилсон в соавторстве с Джорджем Келлингом.

«Если кто-то разобьет окно в здании и его не заменят, вскоре и все остальные стекла в этом доме будут разбиты», — писали профессора Келлинг и Уилсон в The Atlantic. Если эти стекла не будут вставлены, а вандалы не будут наказаны, весь квартал неизбежно придет в упадок. Сообщества и юридические системы — полиция и люди, проживающие в квартале, должны не только починить разрушенное, но также найти и наказать хулиганов и их преступные группировки. На просторах интернета такой решимости нет ни в теории, ни на практике.

Похоже, юристы и судьи по всему миру слишком любят цитировать предупреждение судьи Верховного суда США Оливера Уэнделла Холмса-младшего о том, что «нехорошо выводить законы из сложных случаев». Но ни юристы, ни законодатели не спешат признать истинность и противоположного утверждения: «Плохие законы порождают сложные случаи». Вот почему в киберпространстве верховенство права трещит под натиском вандалов. Вот почему так расплодились всевозможные взломы различных сетей и сайтов.

Читайте материал по теме: Во что обходятся патентные «тролли»

В свете событий со Сноуденом, Target, Украиной, JP Morgan и теперь вот с Sony каждая уважающая себя компания или государственное учреждение в мире понимает угрозы, исходящие как от собственных сотрудников, так и от внешних кибератак. Осознание наконец-то наступило.

Но что могут сделать эти серьезные организации для защиты себя и своих клиентов от жестоких взломов из любой точки земного шара? Законным ответом будет «почти ничего». Правовые механизмы не предлагают организациям множество вариантов предупреждения или отражения кибернападений. Американские законы, регулирующие цифровую сферу, плохи; международные нормы — и того хуже. Если и есть там какие-то четкие формулировки, то они бесполезны, поверхностны или все запрещают.

Например, в киберпространстве нет никаких не то что официальных, но даже неформальных прав на самозащиту. Можете, конечно, позвонить в полицию, но у стражей порядка нет никаких обязанностей по конкретным методам вашей защиты.

Теоретически большой американский банк может позвонить в ФБР, Агентство национальной безопасности или ЦРУ за советом и помощью в выявлении взломщиков, а также, возможно, за изменением их цифровых защит и настроек безопасности. Но на этих учреждениях не лежат никакие обязанности все это предоставить. А если деятельность этого американского банка подвергается нападению в Европе, Китае или Латинской Америке, законные власти этих территорий тоже никак не обязаны ему помогать.

Читайте материал по теме: Пусть наука станет бизнесом

Более того, во многих странах действуют законы, запрещающие компаниям устанавливать системы выявления взлома, идущие вразрез с охраной персональных данных преступников, вандалов и взломщиков. Если кто-либо вламывается к вам в офис и что-либо крадет, нет гарантий, что вам позволят за ними гнаться до самого дома. Так же и здесь — если кто-то залез в вашу сеть и что-то украл, вполне возможно, что у вас нет законного права высчитать, с какого компьютера они это сделали, особенно если такое выявление потребует от вас пересечения государственных границ.

Необходимая оборона? Забудьте об этом! Идея киберответа на киберудар — одна из самых неоднозначных и одиозных в информационном праве. Респектабельные правоведы и законодатели весьма горячо обсуждают, какой уровень самозащиты может считаться юридически допустимым.

Поборники идей защиты персональных данных будут против предоставления государственным органам доступа к частным сетям, даже если речь идет о ситуации серьезной кибератаки. В этом смысле бизнесам с особо ценными сведениями приходится выбирать из двух зол — или позволить иностранным хакерам воровать данные, или предоставить госучреждениям США широкий доступ к своим сетям.

С точки зрения возможных мер, уверен, что всем было бы лучше, если бы компаниям позволили нанимать для борьбы с хакерами собственных «стражей сетей». Это бы очень укрепило немногочисленные ряды государственных следственных работников, специализирующихся на киберпреступности. И тогда будет меньше необходимости в широком доступе государства к частным сетям. Когда с монополией госорганов на активную защиту от хакеров будет покончено, скорее всего, это приведет к более разнообразной, творческой и эффективной оборонительной деятельности.

Но все эти предложения по понятным причинам вызывают множество разногласий в различных лагерях.

Ранее я говорил, что кибератаки на местные и глобальные бизнесы будут неизбежно нарастать, потому что потенциальная выгода для хакеров, вне всякого сомнения, перевешивает возможные издержки. На информационных супермагистралях интернета все больше виртуальных «разбитых стекол». Если вы являетесь глобальной организацией, деятельность которой не всех устраивает, на вас и ваши сети могут спокойно напасть и вытащить все данные из ваших серверов. И это будет касаться как самых незначительных клиентов этих организаций, так и их гендиректоров.

Грустно, но факт: случай с Sony — лишь один из первых знаков того, что, если мы не позаботимся о радикальном укреплении законности в интернете, киберпространство станет местом войны вандалов с самоназначенными «охранниками» и наемниками (работающими на государство или на корпорации, желающие защитить свои глобальные интересы). Все это будет сплошным безобразием. Это будет и рискованно, и опасно.

Читайте по теме:

• Чей аршин лучше?
• О доверии: классовом и личном
• Коррупция или бизнес – время выбирать