Николай Николаевич Федотов,
главный аналитик компании InfoWatch;
fnn@fnn.ru

Расследование инцидентов ИБ:
незаконный, неэтичный или сомнительный контент на вашем сервере

Есть давняя традиция – искать не где потерял, а где светлее. В уголовном и особенно в гражданском праве эта традиция жива. Поэтому виноватого часто назначают из тех, кто ближе, доступнее, с кого есть что взять. Данная статья про то, как не схлопотать ответственность за чужие грехи. У кого они не чужие – тем более полезно.

Враги

После того, как Советский Союз проиграл холодную войну и ликвидировался, перед Западом встала нешуточная проблема – нужен новый враг. В условиях мультикультурности, толерантности, гражданского общества, утраты идентичности и прочих гримас современного неолиберализма общенародный враг – это один из трёх элементов, скрепляющих государство. Начались лихорадочные поиски нового врага номер один. Конечно, никто из претендентов не мог конкурировать на равных с СССР и коммунистической идеологией. В итоге вместо одного большого врага назначили трёх поменьше.

Главный внешний враг у «цивилизованного человечества» – международный терроризм. Главный внутренний враг – педофилы. Главный супервнутренний враг (враг, который живёт в каждом) – нарушитель авторских прав.

Оказаться в числе главных врагов (или их пособников) – это вам не шутки. Ведь каким-нибудь заурядным расхитителем капиталистической собственности интересуется только сам собственник, иногда ещё территориальный орган внутренних дел. Не смогли изобличить – ну и чёрт с ним. Изобличили – получит наказание по закону с учётом принципа гуманности. Но если тебя занесли во всенародные враги, то попадаешь под каток. Не только заложат моментально, но ещё и по закону Линча кое-что добавят. Не хватит доказательств – осудят «по внутреннему убеждению». И ни о какой гуманности и снисхождении, конечно, не может быть речи.

Закон приходит в Сеть

Ну и к чему, спросит читатель, такое политизированное введение? К тому, что инциденты безопасности описываемого типа – отнюдь не технические. Они имеют юридическую природу с сильным уклоном в политику. А разрешать их приходится типичным технарям. В итоге имеем диалектическое противоречие (о котором автор неоднократно писал ранее) и необходимость просвещать технарей в сугубо гуманитарных областях, а гуманитариев – в сугубо технических. В противном случае «юрист в Интернете» и «сисадмин в праве» оттеснят классического «слона в посудной лавке» на почётное третье место.

Итак, суть инцидента в том, что

появился контент, который является противозаконным, аморальным или политически некорректным. Может, и не является, но кажется таковым. Особую опасность представляют:

  1. ) контрафактные произведения (фильмы, музыка, тексты),
  2. ) изображения детей или подростков хоть с малейшим намёком на эротику,
  3. ) экстремистские материалы.

Что интересно: признать тот или иной контент контрафактным, порнографическим либо экстремистским может лишь суд, как правило, на основании экспертизы. Но когда он его таковым признает, будет уже поздно искать виновного или говорить «не знал». Потому что факт экстремизма, нарушения авторских прав и прочей порнографии устанавливается приговором (в уголовном процессе) или решением (в гражданском процессе) суда, а наказание назначается в том же самом приговоре.



Рис.2. Количество возбужденных уголовных дел за нарушение авторских и смежных прав (ст.146 УК) за первое полугодие. Источник - МВД (официальная статистика)

Поэтому надо как-то исхитриться и предсказать, что напишет в своём заключении эксперт, и в каком направлении потекут мысли судьи, когда он будет искать в своих архивах похожее дело, откуда можно переписать приговор.

Три модели

Первым обычно возникает вопрос о степени ответственности владельца или администратора сайта/сервера/домена/канала за контент, который размещён в/на/под/через указанный ресурс. Упрощённо говоря, отвечает ли провайдер (в широком понимании этого термина) за нарушения своих пользователей.

Моделей распределения ответственности (со-ответственности) в Интернете сейчас три – так называемые «американская», «европейская» и «китайская».

Американская модель – наиболее либеральная. Провайдер пользуется правовым иммунитетом по отношению к действиям своего пользователя. То есть, за любые нарушения со стороны пользователя тот отвечает сам. Отвечает перед тем, чьи права нарушены или перед государством – в случае общественно опасных деяний. Провайдер остаётся не при чём. Конечно, за полный иммунитет провайдер вынужден чем-то пожертвовать. Расплачивается он обязанностью предоставить (в оговоренных случаях и на оговоренных условиях) информацию о своём пользователе – не только по решению суда или по запросу правоохранительных органов, но и по требованию иных лиц, чьи права могли быть нарушены. А далее, опираясь на полученную информацию, истец уже волен сам разбираться с ответчиком, не вмешивая в дело провайдера.

Китайская модель – напротив, наиболее левая. Провайдер там полностью ответственен за действия своих пользователей. Все их нарушения рассматриваются как нарушения провайдера. Естественно, вместе с ответственностью провайдеру даются довольно широкие полномочия по контролю за пользователями.

Европейская модель является промежуточной и гармонично сочетает худшие черты двух предыдущих. Провайдер не отвечает за действия пользователей и не обязан их контролировать. Но лишь до тех пор, пока не получит извещения (в обусловленной форме) о нарушении чьих-либо прав. После факта информирования о предполагаемом нарушении провайдер приобретает ответственность и одновременно – некоторые полномочия по разрешению ситуации. Он обязан разобраться и пресечь нарушение. Если, разрешая конфликт, провайдер не угадает, кто прав и отключит невиновного пользователя, он освобождается от ответственности за такое ошибочное решение.

В России пока никакой модели нет. Если следовать действующим офлайновым законам, «натягивая» их на виртуальный мир, то мы ближе всего к американской модели. Российская же практика тяготеет скорее к китайской.

В отсутствии чётко указанной модели провайдеры, а за ними – и простые владельцы ресурсов начинают кидаться в крайности.

Надо дуть на воду

Некоторые доводят самоцензуру до абсолюта. И с высоты последнего вершат суд да расправу над своими пользователями и клиентами с чистой совестью и средневековой жестокостью. И, как правило, без смысла.

Например, один владелец и модератор веб-форума, посвящённого военным вопросам, не позволял своим пользователям публиковать фотографии военной техники моложе 1945 года, если не закрыты стыдливыми чёрными прямоугольниками все опознавательные знаки, включая бортовые номера. Ибо военная тайна! Другой знакомый автору админ отчего-то решил, что любое упоминание на сайте или в переписке любых слов-товарных знаков непременно должно сопровождаться значками ® и «TM». Иначе Император пришлёт своих сардукаров и сделает всем кирдык-зиндан. Специально написанные им скрипты добавляли священные значки после всех упоминаний «Майкрософт» (да благословит его Аллах и приветствует) и «Виндоуз» (мир с ними обоими). Причём, не только на веб-форуме, но и в исходящей корпоративной почте.

Впрочем, это – крайности, описанные скорее для развлечения почтеннейшей публики. Более типичный и распространённый случай, когда оператор связи закрывает сайт или отключает клиента по первому подозрению в нарушении... даже не закона, а провайдерского симулякра, представляющего закон. С одной стороны, справедливо считается, что лучше перебдеть, чем недобдеть. Лучше несправедливо отключить десять сайтов (Бог на небе разберёт), чем пропустить один сайт с порнографией и поплатиться всем своим бизнесом. Но с другой стороны...

С другой стороны, дело не только в репутации такого перестраховщика среди потенциальных клиентов, которые навсегда останутся потенциальными. За произвол можно и поплатиться. Расскажу притчу. К московскому хостинг-провайдеру поступила «телега». Не от какого-нибудь пользователя Пупкина, а из нью-йоркской адвокатской конторы, работающей по заказу международной еврейской организации. Как нетрудно догадаться, жалоба касалась антисемитского сайта, приютившегося у данного провайдера. Требовали закрыть и отключить, убедительно цитировали законодательство, многозначительно намекали на возможность обращения по дипломатическим каналам, если провайдер не закроет сайт по-хорошему. По несчастью, жалобы рассматривал простой сисадмин, юриста у них по бедности не было. Руководствуясь революционным... то есть, сетевым правосознанием, админ сайт погасил. Даже не удосужившись изобразить «отсутствие технической возможности оказывать услуги связи». И не наведя справок о клиенте. А клиент оказался не простым антисемитом. А имел регистрацию в качестве СМИ. И написал заявление в прокуратуру, которой не оставалось иного выхода, кроме как возбудить уголовное дело за «воспрепятствование законной профессиональной деятельности журналистов» (ст. 144 УК).

Хотя надо признать, что позиция «запретить всё на всякий случай, как бы чего не вышло» редко оборачивается против запрещающего. Так уж сложилось, что в российском менталитете запрет воспринимается как обыденное явление, а покушение на свободу слова не возбуждает никого кроме отъявленных правозащитников.

Впрочем, встречается и противоположная крайность.

Надо беречь свою карму. И репутацию

Противоположная крайность состоит в том, что владелец ресурса (провайдер) начинает действовать строго по букве закона, игнорируя сложившиеся в Сети правила и обычаи. (Да, эти обычаи часто противоречат офлайновому законодательству. Ну и что!)

Такая крайность тоже вредна. Есть практика. Начнёшь поступать строго по закону, защищать своих клиентов от всяких наездов – молва очень быстро распространится. И слетятся к такому «доброму» провайдеру все пираты, спамеры и фишеры (не говоря уже об экстремистах), чтоб за три копейки получить полный гарнитур прав человека и мешок презумпции добросовестности. А прайс-то у провайдера на это не рассчитан!

Защищать ли данного клиента или напротив, защищать общество от этого клиента – это вообще не вопрос права. Это вопрос бизнеса. Директор определяет отношение к клиенту – юрист ищет возможности.

Обуза (abuse)2

Первым шагом на пути противодействия инцидентам обсуждаемого типа должно стать их выявление. Ибо когда на пороге офиса появится следователь с постановлением на обыск, будет уже поздно «противодействовать инциденту».

Система получения и рассмотрения жалоб, также известная как «abuse service» или «abuse team», является звеном не только выявления, но и предотвращения. Ибо неправильно или несвоевременно рассмотренная жалоба приводит к обострению кляузных порывов. Радуйтесь, если жалуются вам. Ибо дальше будут жаловаться уже на вас. А вдруг не удовлетворённый жалобщик напишет не в «Спортлото», как это обычно бывает? Вдруг он знает правильную инстанцию? Оно вам надо?

Часто инцидентом безопасности является не сам по себе экстремистский материал (контрафакт и прочая порнография), а привлечённое к нему внимание. Незамеченный и никем не востребованный «экстремизм» может невозбранно висеть на сайте годами, пока не умрёт естественной смертью.

Итак, следует учредить Службу разбора жалоб (abuse service), опубликовать её электронный адрес3, почтовый адрес, телефон и принимать все поступающие обращения. Всем обратившимся отвечать. Хотя бы простейшим автореплаем: «ваше сообщение принято, зарегистрировано за номером N и будет рассмотрено в соответствии с процедурой M в течение K дней». Рассмотреть жалобу действительно полезно. Однако не полезно направлять негативный ответ жалобщику, который вполне может оказаться сутяжником. Про таких врачи говорят: «Не спорьте с ним! Ему станет хуже!»

Подняться над схваткой

Большинство инцидентов, о которых идёт речь, являются предметом как гражданской, так и уголовной ответственности. В обоих случаях провайдер (владелец ресурса) не может выступать арбитром в споре.

Например, к оператору связи поступает жалоба, в которой утверждается, что размещённый на публичном сайте материал нарушает авторские права. Немедленно отключать или стирать – это распространённый, дешёвый, но не самый правильный способ. Более корректным является запросить то лицо, которое материал разместило. Если оно согласится с претензиями, материал будет удалён добровольно. Если же не согласится, то оператор должен констатировать наличие спора. Такой спор полагается решать в установленном законом порядке, задействуя указанные государственные органы. Оператор связи к числу таких органов не относится. Если он возьмётся «судить и рядить, казнить и миловать», то, во-первых, нарушит закон. Но это полбеды. Во-вторых, он навлечёт на себя различные неприятности с той стороны, которая останется недовольна решением (недовольны могут остаться обе стороны). Неприятности эти – жалобы, заявления, иски, кляузы, доносы, чёрный пиар, поношения, оскорбления, внесение в чёрные списки, DoS-атаки, подставы и тому подобное.

Владелец ресурса или оператор связи, не вмешиваясь в разрешение спора, могут, однако содействовать его законному разрешению. А именно – собрать и сохранить доказательства, которые впоследствии выдать по запросу правоохранительных органов.

Проделать указанный финт – отстраниться от спора – удаётся не всегда. Иногда по гражданским делам (в гражданском праве, в отличие от уголовного, у нас отсутствует презумпция невиновности и принцип вины) истец норовит привлечь к ответственности не того, кто виноват, а того, кого проще достать. Или с кого есть, чего получить.

Например, установить лицо, разместившее информацию на веб-сайте или лицо, администрирующее этот сайт в гражданском порядке проблематично. Тем более, не просто установить, а получить о том официальную бумагу с подписью и печатью. Поэтому хитрые адвокаты идут по пути наименьшего сопротивления – привлекают ответчиком владельца доменного имени, под которым виден веб-сайт. Справку о принадлежности доменного имени получить несложно. Судья же разницу между доменом, сайтом и контентом не видит.

Выхода два. Анонимизировать владение доменами или деанонимизировать лиц, размещающих информацию в Сети. Лучше применять оба сразу.

«ЭкстремизЬм»

Экстремизм – вопрос политический. Это не новость для вас? Да шо вы говорите?

Тем не менее, автор наблюдает из раза в раз аналогичную картину. При обсуждениях политических процессов последних лет оппоненты подходят к ним с позиций правовых, экономических, технических и даже смешно сказать – с позиций справедливости. Политические мерки к делам об экстремизме почему-то применяют редко.



Рис.1. Контент сайта за определённый период был признан экстремистским. Поэтому были удалены все копии этого сайта.

Как уже говорилось, для реагирования на инцидент полезно уметь предсказать будущее решение суда по тому или иному делу. Сисадмин таковым даром проницательности не обладает вообще. Юрист – да, но не по политическим делам. Имея дело с возможным экстремизмом, потребуется консультация «более другого» специалиста.

Причём подход «на всякий случай» тоже может не сработать. Вот ещё одна история, при которой автор лично свечку держал. Поступил донос к маленькому интернет-провайдеру, что на сайте его клиента размещена статья, превозносящая бандита и террориста Бараева. «Экстремизьм»! Убрать немедленно. Сисадмин, получивший жалобу, так и сделал. И весь сайт закрыл, ибо экстремистский он от хёдера до футера, от меню до примечания. После чего генеральному директору этого маленького интернет-провайдера прилетела шишка с самого верха. Оказалось, что данный экстремистский (без кавычек) веб-сайт давно пасла ФСБ. Они только ждали яркого и наглядного предлога, чтобы сайт официально закрыть и провести показательный процесс над пособником чеченского терроризма, не имеющего, как известно, национальности. И дождались. Пособник разместил статью, содержащую «экстремистские материалы», «разжигание» и «призывы к». Но пока гебешники писали постановление, проводили экспертизу, приглашали прессу и подготавливали торжественную церемонию закрытия и изъятия, рядовой сисадмин погасил сервер, сорвал всю операцию, лишив участников заслуженных наград, а народа – показательного процесса. Сами понимаете, восстановить всё взад и снова отключить уже официально не представлялось возможным, ибо кривозащитники к тому времени уже прокукарекали в надлежащих инстанциях.

В заключении

К сожалению, универсального решения типа «если контент незаконный, надо действовать по закону» дать нельзя. Можно описать ряд типичных инцидентов, решения для которых уже прошли проверку на практике. Оставшиеся инциденты придётся рассматривать с учётом

А также обращаться к специальным людям, сетевым правоведам и правовым сетеведам за советами. Автор регулярно общается на таком форуме, делится своим опытом и даёт советы. Любопытно, что любой нетипичный инцидент, с которым обращаются желающие получить консультацию, вызывает у специалистов не менее трёх взаимно противоречащих мнений и соответствующее количество противоречащих советов.



Рис.3. Борьба с мировым терроризмом направлена на решением внутренних проблем США


Примечания

 


 

Услуги по составлению жалоб и ответов на жалобы