Охотники за привидениями
22.05.2017
Горячая весна украинского бизнеса: сначала обыски в офисах YouControl, потом в Dragon Capital. Под прицелом еще сотни компаний, использующих то же программное обеспечение, что и у Dragon Capital. Дальше – больше. В сферу интересов СБУ попадает программное обеспечение «1С».
Основанием для проведения следственных действий и обысков стало использование программного обеспечения, осуществляющего, по мнению силовиков, несанкционированный сбор данных.
СБУ квалифицировало такое ПО как специальное техническое средство («СТЗ») для негласного сбора информации. А за его незаконное приобретение, сбыт или использование предусмотрена уголовная ответственность. Так гласит статья 359 Уголовного кодекса Украины. Ранее она была уделом «делков», промышляющих разнообразными гаджетами для скрытого видеонаблюдения, прослушивания телефонных разговоров, GPS-трекинга.
Таким инструментом шпионажа может быть любое устройство, способное негласно (тайно, неочевидно) получать, собирать информацию. От брелка до куклы. Стоит вспомнить недавно нашумевшее дело о запрете в Германии кукол Cayla. Они собирали и передавали записи разговоров компании США, использующей технологии для распознавания речи. А среди ее клиентов числятся и спецслужбы.
Фактически речь шла о предметах материального мира. О том, что можно пощупать. Но уже поздней осенью 2016-го стали наблюдаться первые признаки того, что в качестве СТЗ СБУ рассматривает не только технику, но и программное обеспечение.
На каких же основаниях СБУ совершила такой «технологический скачок» и применила статью 359 Уголовного кодекса Украины в отношении программного обеспечения? Ведь сбор информации осуществляется повсеместно всеми возможными устройствами и программами. Попробуем разобраться ниже.
Информация — топливо для экономики
Таргетированное продвижение товара, интернет вещей, целевой политический маркетинг, продукты на базе AI, алгоритмы которых предусматривают работу с огромным массивом данных (big data). Информация, как товар в информационном обществе, приобретает все большую экономическую ценность.
Общество все больше погружается в цифровую среду. Мы оставляем все больше «информационной руды» — цифровых отпечатков. Алгоритмы их обработки становятся все умнее. Появляется все больше и больше решений для Интернета вещей. Они предусматривает функционирование сети объектов, которые обмениваются между собой информацией об их физическом окружении. Накапливают и обрабатывают ее, чтобы повысить ценность сервисов для конечных пользователей.
В современном мире при постоянном обмене информацией сохранять приватность становится все сложнее. Понятие «персональных данных» теряет свои четкие границы. Оно больше не вписывается в классическое определение «сведений или совокупности сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано». Теперь оно включает множество данных, на основании которых работаю рекомендательные системы (виртуозно внедренные Spotify, Netflix, Facebook, Google).
Перечень таких данных является неисключительным, а международные тенденции свидетельствуют, что потребитель наделяется все большими правами в распоряжении и управлении своими персональными данными. В частности Европа уже сейчас готовиться ко вступлению летом 2018 года в силу “Генерального регламента о защите данных (General Data Protection Regulation – GDPR)”. Он направлен на усиление мер по защите персональных данных, имеет трансграничный эффект, а также закрепляет права пользователей на стирание/забвение, выступать против обработки своих личных данных, включая профайлинг.
Безусловно, защите подлежат не только персональные данные. Коммерческая тайна, конфиденциальная информация, ноу-хау, адвокатская тайна, врачебная тайна, государственная тайна. Это далеко неполный перечень закрытой информации, охраняемой от неразглашения, информацией с ограниченным доступом.
И на рынке существует множество продуктов для защиты подобных данных(Information Protection and Control) от внутренних угроз, предотвращения различных видов утечек, корпоративного шпионажа, предотвращение передачи вовне не только конфиденциальной, но и другой нежелательной информации (обидных выражений, спама, эротики, излишних объёмов данных и т.п.).
На базе таких технологий развились и более специализированные продукты. Некоторые, например, позволяют контролировать и оценивать эффективность работы сотрудника, вести учет рабочего времени, осуществлять контроль над посещаемостью сайтов сотрудниками, предотвращение использования работниками Интернет-ресурсов и ресурсов сети в личных целях, и пр.
Это просто галочка? Это просто птичка?
В каком же случае такое использование данных и их сбор будет считаться законным?
Пользователи программ и сервисов должны быть осведомлены о сборе данных и дать разрешение на такую обработку. Сбор каких данных о пользователе осуществляется? Каким способом? Где и каким образом эти данные хранятся? В этом заключается принцип информированности. Он нашел отражение во множестве регуляторных актов (на государственном уровне), правил и условий пользования (на уровне регламентации пользования ресурсами), корпоративных политик (на уровне корпораций).
Кабмин принял Постановления №669 22 сентября 2016 года, установив лицензионные условия производства специальных технических средств. Данным постановлением к СТЗ отнесли и компьютерные программы, установив в качестве основного квалифицирующего признака «скрытность» установления программ.
С технической точки зрения, это предполагает, что если:
- программа не содержится в меню, списке установленных программ,
- автозапуск программы скрытый,
- программа требует специальных знаний, умений и навыков для ее выявления,
- нет оповещения об установлении программы и не получено согласия (хотя бы галочкой под длинным текстом, который никто не читает) на сбор, обработку и передачу данных пользователя,
— в таком случае есть высокий риск того, что такое программное обеспечение будет признано шпионским.
Если же такая программа имеет функцию удаленного мониторинга, да и еще передает собранную информацию на другие сервера, т.е. передает данные вне сети, то считайте, что СБУ уже идет к вам.
Вроде бы как пока все понятно. Информируй пользователя, соблюдай все критерии и спи спокойно. Но это лишь на первый взгляд. На практике все намного интересней.
А судьи — кто?
Возвращаясь к Украине и недавним обыскам, основанием для квалификации того или иного ПО как СТЗ выступало заключение Украинского научно-исследовательского института специальной техники и судебных экспертиз («УНИИСТСЭ»). Есть некоторые аспекты, которые стоит знать об УНИИСТСЭ.
Де-факто УНИИСТСЭ является монополистом в формировании выводов о принадлежности или же непринадлежности конкретного ПО к СТЗ. Никакое иное экспертное учреждение, никакой независимые эксперт не правомочно формировать выводы о принадлежности ПО к СТЗ;
Экспертное исследование УНИИСТСЭ проводит на основании методики отнесение объектов к специальным техническим средствам негласного получения информации. Данная методика защищена грифом «Для служебного пользования». А это значит, что в публичном доступе этой методики нет. То есть, если Вы с Вашими ИТ-специалистами заходите проверить, не рискует ли Ваше ПО быть квалифицированным как СТЗ, вряд ли Вы сможете учесть все подводные камни;
И вишенка на торте — Украинский научно-исследовательский институт специальной техники и судебных экспертиз функционирует при… СБУ! Этот как бы «сам себе делаю выводы, сам и расследую»?
Дальше – больше. Поскольку статья 359 Уголовного кодекса Украины предусматривает уголовную ответственность и за использование, и за сбыт, и за приобретение, то круг ответственных не ограничивается производителями СТЗ и включает:
- компании-дистрибьюторы программного обеспечения,
- заказчиков и пользователей программного обеспечения.
Теперь вспомните заявления СБУ о 300 компаниях, которые используют СТЗ («шпионское» программное обеспечение), сделанное при обыске в Dragon Capital. Подумайте, кто подпадает под сферу внимания СБУ.
To be continued?
Вот так у СБУ раскрылся широкий плацдарм для «охоты на ведьм». И такое впечатление, что она только входит во вкус.
Значит ли это, что в зоне риска любое ПО, которое собирает, обрабатывает и передает информацию?
Тут стоит вернуться к истокам. Даже студенты юрфакультетов при решении задачек по курсу «Уголовное право» знают: если есть сомнения в применении той или иной статьи Уголовного кодекса Украины, стоит посмотреть на название соответствующего раздела – и ты получишь ответ на вопрос о предназначении той или иной нормы.
Например, рассматриваемая статья 359 Уголовного кодекса Украины содержится в разделе XIV «Преступления в сфере охраны государственной тайны, неприкасаемости государственных границ, обеспечения призыва и мобилизации».
Если работодатель отслеживает, не сидят ли сотрудники в рабочее время во всяких фейсбуках, то будет ли это угрозой национальной безопасности? Наверное, нет. А если Ваш браузер отслеживает Ваши вкусы и потребительские предпочтения? Скорее всего, тоже нет.
Но если добавить заветные буквы РФ, ДНР, ЛНР, то это уже совсем другая история…
Екатерина Гупало, Екатерина Олейник