Александр Курбацкий об информационной безопасности личности

Личная информационная безопасность и правила поведения в виртуальном пространстве

Похоже, мир слишком увлекся глобализацией и быстрым построением гражданского общества с использованием новых информационно-коммуникационных технологий (ИКТ). Мы поступаем как неразумный авангард в боевых действиях, который, пытаясь максимально быстро достичь победы, забывает про тылы. Мы забываем про наши тылы — национальные государства, особенности менталитета, культуры, образования. Но мы должны помнить, чем обычно заканчиваются такие неподготовленные наступления. Конечно, гражданское общество нужно строить, но ИКТ — лишь необходимые условия для этого и нельзя скорость развития ИКТ жестко увязывать со скоростью развития общества. В частности, мы быстро погружаемся в виртуальный мир, но оказались совершенно не готовы к такому погружению и не заботимся о личной информационной безопасности. Традиционно мы привыкли, что нужно обеспечивать информационную безопасность государства, информационную безопасность крупного, в первую очередь транснационального, бизнеса (корпораций, холдингов и т.д.), личная же информационная безопасность остается в тени.

Как в реальном мире, так и виртуальном должны действовать некоторые социальные регуляторы поведения. Попытки принять такие нормы предпринимаются по сути с самого зарождения Интернета. К сожалению, их эффективность пока не высока.

Хотя уже положительно то, что проблемы правил поведения стали очень активно обсуждаться. Есть ряд предложений по правилам поведения со стороны бизнеса (например, компании Microsoft), со стороны государств и групп государств (России, ШОС, НАТО (Таллиннский проект)), рабочей группы экспертов при генеральном секретаре ООН.

Многие эксперты выступая против национальных рамок Интернета, предостерегают о потенциальной опасности введения правил и норм поведения в Интернете. Но если бы это была простая среда общения, а так в этой среде функционирует бизнес, образовательные процессы, услуги электронного правительства и т.д. Мы все чаще осуществляем в Интернете целый ряд государственных функций (функций регулирования), которые, как правило, носят и национальные черты. С оценкой значения Интернета, и созданного на его основе виртуального пространства, для общества и личности государства, можно сказать, сильно опоздали, а бизнес, особенно транснациональный оказался на переднем крае, но, к сожалению, только с точки зрения получения прибыли.

Кто же должен активно формировать правила? В первую очередь, эксперты, как со стороны государства, так и общества, и бизнеса. Вспомним историю. Интернет создавался, формировался и развивался на начальной стадии в сравнительно узком научно-экспертном сообществе со своими достаточно устоявшимися нормами, правилами, которые по сути автоматически функционировали и в зарождающемся виртуальном пространстве. Базовая технологическая архитектура Интернета изначально основывалась на саморегулировании, не предполагающем особой иерархии управления и идентификации лиц, получающих и передающих информацию. Но затем быстрый рост аудитории Интернета привел к тому, что Интернет превратился в глобальную инфраструктуру трансграничного информационного обмена, появилось глобальное виртуальное пространство, но базовые технологические особенности принципиально не изменились, а лишь модифицировались для удобства использования миллионами пользователями (уже, конечно, не экспертами).

Если вспомнить, то и в традиционном обществе правила поведения формировались по сути в экспертной среде — будь то религиозная или университетская среда, среда городских ремесленников, объединенных в гильдии и т.д.

То, что годится для экспертного сообщества, обычно напрямую не подходит для всего общества.

Экспертная среда, редко бывает независимой (даже если мы говорим об экспертной среде весьма условно независимого гражданского общества), она в существенной степени зависит либо от государства, либо от бизнеса. Учитывая значительную трансграничность виртуального пространства, соответствующую экспертную среду целесообразно было бы формировать как международную среду, при авторитетных международных структурах (ООН), вовлекая в процесс экспертов от всех заинтересованный сторон. Можно полностью согласиться с формулировкой, разработанной Рабочей группой по управлению Интернетом при Генеральном секретаре ООН: «Управление Интернетом» означает «разработку и применение правительствами, частным сектором и гражданским обществом, при выполнении ими своей роли, общих принципов, норм, правил, процедур принятия решений и программ, регулирующих эволюцию и применение Интернета». Важно стремиться сделать так, чтобы мнение экспертного сообщества оказывало большое воздействие на формирование мнения, как правительственных структур, так и влиятельных бизнес-структур.

Пока мы обсуждаем нужны или не нужны правила в виртуальном пространстве — мы теряем время. В реальном мире государство в существенной степени брало на себя внедрение и поддержание правил. Молодое поколение остается в виртуальном мире практически без всяких правил, и, соответственно, не обеспечивается личная информационная безопасность. А время проходит очень быстро, молодость проходит быстро, и поколения быстро сменяются. К сожалению, многие изменения происходят настолько стремительно, что мы не успеваем их даже фиксировать, и живем в плену иллюзий. Например, в традиционном понимании сегодня массово нет даже студенческой группы. Часто в молодежной среде отношения в социальных сетях виртуального пространства гораздо более значимые (в существенной степени из-за виртуальной комфортности), чем в рамках той же студенческой группы. Вспоминая процесс формирования национальных (страновых) элит (и как следствие, экспертного сообщества), именно студенческие группы университетов были существенным механизмом этого процесса.

Понятно, что нормы и правила можно рассматривать в контексте информационной безопасности глобальной сети. Информационная безопасность становится уникальным средством по сути силового воздействия на неугодных граждан, групп граждан, общественные организации, неугодные бизнес-структуры. Но это же распространяется и на неугодные государства, группы государств. При этом, опять не имея четких правил и норм, высока степень анонимности такого воздействия.

Сейчас много говорят о социальной ответственности бизнеса. Конечно, было бы идеальным, если бы бизнес был более социально ответственен за свою ИКТ-продукцию, включая и развитие виртуального пространства. Но, к сожалению, слишком раскрученная (иногда заведомо искусственно) конкуренция в сфере ИКТ за прибыль не даст решения этой проблемы за приемлемый срок.

Новые ИКТ порождают новые глобальные инициативы в виде комплексных глобальных проектов, которые включают целый ряд интегрируемых ИКТ. Мы часто не можем гарантировать безопасность в рамках одной ИКТ, что уж говорить, если они еще интегрируются. И если на прогнозирование функциональности таких проектов затрачиваются большие ресурсы и средства, то безопасность исследуется по остаточному принципу.

Для примера можно вспомнить, например, об Интернете вещей. Еще в середине 2009 года корпорация Ericsson огласила прогноз, согласно которому к 2020 году около 50 млрд различных электронных устройств в мире будут взаимодействовать с Интернетом. Естественно, подавляющая часть из них будет взаимодействовать без вмешательства человека (в М2М — интерфейсе). То есть в существенной степени Интернет станет «Интернетом вещей». Интересна инициатива США — Национальная стратегия по глобальной безопасности цепи поставок, которая была принята в январе 2012 года. С технологической точки зрения можно сказать, что данная стратегия укладывается в Интернет вещей. Одной из основных целей в этой стратегии является интегрированная всемирная сеть транспортных, почтовых путей, средств и инфраструктуры, посредством которых товары перемещаются от точки производства до конечного потребителя. Технологически, это сочетание навигационных технологий, RFID, Интернета и т.п.

Конечно, с точки зрения функциональной полезности все эти тенденции более-менее понятны. А вот как решить проблемы обеспечения информационной безопасности, в частности личной информационной безопасности, совсем не ясно. Пока не понятно, как будет в таких масштабах обеспечиваться надежность работы приборов и устройств, связанных Интернетом. Что будет происходить с накапливаемым от приборов в Интернете огромным количеством информации. Ведь эта информация будет и прямо, и косвенно связываться с конкретными людьми. Опять проблема личной информационной безопасности. И здесь не только дело в очевидной возможности использования такой информации спецслужбами (как пример, заявление главы ЦРУ Дэвида Петреуса, что новые онлайн-устройства — это сокровищница данных для его ведомства). Такие глобальные инициативы, как Интернет вещей (а вместе с ним «умные дома», «умный транспорт», «умные города») приведут к еще более массовому производству программного обеспечения. В этот процесс будут вовлечены новые миллионы программистов, как правило, с достаточно низким уровнем подготовки. Ясно, что для обеспечения безопасности таких глобальных инициатив для человека, общества нужен надежный безопасный программный продукт. А вот этого массово мы пока гарантировать не можем. Нет пока таких технологий и методологий, которые позволяют быстро, и главное для бизнеса — дешево, производить надежный и безопасный программный продукт. В мире работают гигантские конвейеры производства программного продукта без должного обеспечения его безопасности и надежности. Ошибки в программных средствах способны нанести ущерб, который значительно превысит эффект от их использования. Несколько утрируя, можно сказать, что безопасность и человека, и общества, и государства все больше зависит от программного продукта.

Достаточно очевидно, что сегодня, в динамичное время, чтобы стать лидером бизнеса, приходится действовать вне правил, их нарушать — и мало вероятно, что бизнес будет активно внедрять правила и нормы в виртуальном пространстве. Мало придумать нормы — их еще надо внедрить, а это процесс достаточно длительный и дорогостоящий. И эти затраты могут уменьшить конкурентоспособность бизнеса, практически всегда ориентированного на получение максимальной прибыли.

В этом плане больше можно рассчитывать на государство, которое сохраняет национальные границы и «хоть какие-то правила поведения в реальном мире».

С правилами поведения в виртуальном пространстве тесно связана личная информационная безопасность. Быстрое развитие ИКТ и глобализация ускоряют прозрачность человека в виртуальном пространстве. Готовы ли мы к такой прозрачности? Практически нет, по сути нет разумного обеспечения личной информационной безопасности. Изменения глобального масштаба могут произойти гораздо быстрее, чем кажется. Уже сейчас явно заметны тенденции, когда все больше и больше личной информации заносится в онлайн-профайлы. Личная жизнь перестает быть личной. Этому активно способствуют и ИКТ, и политика компаний, продвигающих ИКТ. Посмотрите, можем ли мы использовать планшет в полностью автономном режиме, как лет десять назад ноутбук. Нет гарантий, что планшет обеспечивает личную информационную безопасность. Его практически невозможно использовать длительное время вне сети — его стандартная операционная среда постоянно требует каких-либо изменений. Приложения, установленные на нем, также постоянно нуждаются в изменениях, в апгрейте и т.д. Если не изменишь — нет гарантий, что в один прекрасный момент приложение или операционная среда вообще не заблокируются. Все это заставляет хотя бы иногда подключаться к глобальной сети. А любое подключение — это возможность нарушения личной информационной безопасности. Людей нельзя «подставлять», не обеспечив их личной информационной безопасности. Как заявил Эрик Шмидт в интервью The Wall Street Journal, по достижении совершеннолетия многие сегодняшние подростки будут вынуждены менять имена и фамилии, поскольку сегодняшняя молодежь описывает каждый свой шаг в социальных сетях, практически не осознавая последствий своих действий. Взрослое поколение (которое ответственно за развитие виртуального пространства) и подставляет этих подростков. В существенной степени это вопрос образования и воспитания, которые все больше уходят в виртуальное пространство. Поэтому и нужны правила и нормы поведения.

Хотя в мире сейчас быстро ломаются и традиционные нормы поведения. Нормы хоть как-то «цементируют» общество, иначе идет распад на индивидуумов, которые в итоге могут перестать быть и личностью. По сути мы можем разрушить само понимание общества, если «переборщим» с индивидуализацией. Пока виртуальное пространство больше способствует индивидуализации, но не через раскрытие способностей, а наоборот. В Интернете мы в любой момент можем уйти от общения — в обычном обществе так не получается. В результате все ускоряющегося дробления на мало связные между собой сообщества нормы поведения тяжело распространять. Скорее всего, добровольных норм поведения сегодня не хватит. Требуется сочетание организационно-правовых, технико-технологических, социально-нравственных методов.

Еще один аспект личной информационной безопасности. Нам дали бесконтрольный доступ к огромному потоку информации, казалось бы, появляются и огромные потенциальные возможности развития. Но мы плохо учимся и учим, как с этой информацией работать, чему можно верить, чему нет. Раньше, когда информация попадала в СМИ, она хоть как-то проходила экспертизу (цензура тоже своего рода экспертиза). А сейчас мы не знаем об истинных мотивах автора той или иной информации, но в силу традиций часто ей верим. А как в таком случае доверять информации о здоровье, лечении и т.д. Только эксперты, и то в своей сфере, способны хоть как-то определить достоверность информации. Можно еще привести массовую неэффективность прямолинейного использования в образовании информационных материалов из Википедии.

Говоря о похожести норм поведения в обычной жизни и виртуальном пространстве, нужно не забывать, что в обычном общении анонимность занимает доли процента, а в виртуальном — может доходить до 90%. И пропадает серьезный фактор необходимости отвечать за свои поступки.

Материал подготовлен на основе доклада, представленного на Девятой научной конференции Международного исследовательского консорциума информационной безопасности в рамках международного форума «Партнерство государства, бизнеса и гражданского общества при обеспечении международной информационной безопасности», 21-24 апреля 2014 года г.Гармиш-Партенкирхен, Германия.