Олег Демидов - Глобальное управление Интернетом и безопасность в сфере использования ИКТ: Ключевые вызовы для мирового сообщества

• «Является ли феномен масштабного государственного шпионажа в Сети случайным сбоем или с истемным пороком нынешней модели управления Интернетом?»

• И если речь идет о системном пороке архитектуры Интернета и управления им, «Какие технические и институциональные шаги помогут исправлению ситуации?».

Несмотря на то что на данный момент окончательный ответ на эти вопросы так и не представлен международному сообществу и интернет-пользователям, спустя два года с начала разоблачений Сноудена версия, согласно которой глобальные программы электронной слежки являются случайной аберрацией и не зависят от существующих пороков архитектуры безопасности Сети, выглядит все более сомнительной.

Многие эксперты как в техническом сообществе, так в частном секторе склонны рассматривать глобальную электронную слежку именно как системный порок, возникший в результате стремительного технического прогресса и глобализации Интернета, которыми не могли не воспользоваться спецслужбы различных государств. С учетом постоянного возникновения новых очагов нестабильности по всему миру, которые так или иначе позволяют спецслужбам технологически развитых государств обосновать пристальную массовую слежку за пользователями, компаниями и правительственными органами, возникает вопрос – какие технические, правовые и институциональные шаги могут сбалансировать интересы обеспечения национальной/глобальной безопасности с правом граждан на тайну частной жизни?

Признание системной проблемы в механизме управления Сетью может повлечь далеко идущие последствия на архитектурном и техническом уровне, включая уровень технической инфраструктуры Сети и интернет-протоколы. Речь в том числе идет об изменении параметров и средств защиты от перехвата пакетов данных за счет обновления наиболее распространенных протоколов уровня приложений и транспортного уровня (HTTP, TCP/IP и проч.), а также стандартов шифрования трафика в Интернете. Подобные предложения звучали в рамках заседания рабочей группы по проектированию Интернета (IETF) в ноябре 2013 г. в г. Ванкувер, Канада.

Несмотря на то что с начала разоблачающей кампании Сноудена прошло более двух лет, поставленные вопросы до сих пор не получили исчерпывающего ответа. Представляется, что для его решения необходимо провести экспертную работу с привлечением членов технического сообщества, рассмотренных в разделе VI (IAB, IETF, IANA, ISOC, W3C и проч.). Площадка для такой работы может быть создана в рамках форума по вопросам управления Интернетом и инициативы его усиления и реформирования, а деятельность вестись в рамках процесса подготовки Договора о принципах управления Интернетом. При постоянном исполнительном секретариате IGF может быть создана экспертная комиссия по исследованию фундаментальных уязвимостей архитектуры Сети и модели управления ей.

Важно обеспечить участие в работе подобного механизма наряду с техническими экспертами представителей государств, – в частности, стран, пострадавших от деятельности АНБ и британского Центра правительственной связи (что совсем не исключает возможности участия в работе такой комиссии представителей США и Великобритании).

Если рассматриваемый формат взаимодействия технических экспертов окажется плодотворным, на выходе могут быть востребованы рекомендации практического характера, связанные со снижением уязвимости Сети и сужением технического окна возможностей по осуществлению массового сбора персональных данных в Сети.

На сегодняшний день, вне зависимости от возможных выводов технических экспертов, можно выделить ряд направлений, работа по которым может помочь уменьшению объема массовой слежки в Интернете:

• уже отмеченная представителями технического сообщества необходимость усиления защиты трафика на уровне наиболее часто используемых интернет-протоколов. Одна из решаемых задач в этой сфере – добиться шифрования по умолчанию максимальной доли интернет-трафика, передаваемого в Сети, за счет обновления параметров одного из наиболее распространенных протоколов уровня приложений (HTTP/2). Систематическая работа в этом направлении ведется с 2013 г. рабочей группой HTTP-bis в рамках IETF, а 17 февраля 2015 г. проект предлагаемого стандарта второй версии протокола был опубликован руководящей группой по проектированию Интернета (IESG);

• устранение фундаментальных уязвимостей в наиболее распространенных алгоритмах и стандартах криптографии (SSL, RSA), которые были «скомпрометированы» спецслужбами. На региональном уровне речь может идти и о продвижении полностью «нетрадиционных» СЗИ, таких как система российских стандартов шифрования ГОСТ, уже получившая импульс к наращиванию экспортного потенциала (в частности, в страны арабского мира);

• стимулирование развития сетевых коммуникаций на основе новых технологических решений, в том числе сетей, способных работать как в рамках Интернета, так и в обход него (сети Mesh, P2P и т. д.). Также могут рассматриваться варианты развития инструментов анонимизации наподобие TOR, однако исключительно при условии нивелирования их криминогенного потенциала (вопрос, выходящий за рамки компетенции технических экспертов).

Одна из требующих поддержки мер на уровне взаимодействия государства и бизнеса – развитие формата корпоративных «отчетов о прозрачности» (англ. Transparency Reporting ). Одной из компаний, задавших сам формат отчета о прозрачности, стал Google, впервые опубликовавший такую отчетность в 2009 г. Одноименный и почти идентичный по формату продукт в 2011 г. выпустил Twitter, а в марте 2013 г. компания Microsoft опубликовала собственный Law Enforcement Report. Однако действительно широкое распространение практика Transparency Reporting получила именно после первой волны разоблачений Сноудена в 3–4 кв. 2013 г. В августе 2013 г. Глобальный отчет по государственным запросам (Global Government Requests) впервые выпустила сеть Fаcebook, в сентябре того же года свой отчет о прозрачности опубликовала Yahoo!. Стремление крупнейших игроков сектора нивелировать репутационные риски, возникшие в результате разоблачений Сноудена, привело к тому, что отчет о прозрачности, по сути, превратился в новый стандарт отчетности в интернет-отрасли.

Кроме того, с конца 2013 г. к практике публикации отчетов о прозрачности стали подключаться и компании телекоммуникационного сектора, сперва американские (AT&T, Verizon), чуть позднее – британские (Vodafone). Причины по большей части были теми же самыми – новые разоблачения масштабных программ сотрудничества со спецслужбами США и Великобритании нанесли серьезный ущерб репутации западных телекоммуникационных гигантов.

Добровольное раскрытие корпорациями информации, отражающей статистику запросов государственных структур различных стран на предоставление данных интернет-пользователей, а также статистику реагирования на такие запросы со стороны компаний, само по себе не обеспечивает пользователям защиту от действий спецслужб. Но тем не менее такая деятельность повышает осведомленность пользователей о защите и обработке их данных, и стимулирует более активную позицию гражданского общества по данному вопросу. В течение 2013–2014 гг. предметом юридических споров между компаниями и государством стала частичная деклассификация и право первых на публикацию в отчетах точных цифр, отражающих статистику запросов секретных служб и судов (ранее публикация таких данных была запрещена). В настоящее время некоторые компании также публикуют данные о запросах на блокирование и удаление контента на основании претензий правообладателей на определенной территории, а также статистику интернет-трафика (Google, Twitter, Yahoo!).