Блог

На пути к безопасному Интернету

О безопасности немного шире

Создание информационной сети Интернет и всемирной паутины – World Wide Web постепенно, незаметно, но радикально изменило жизнь людей, имеющих доступ к глобальному, в большинстве случаев – анонимному и слабо структурированному хранилищу оцифрованной информации. Интернет и WWW не случайно разделены как два разных понятия. Интернет – это саморегулирующаяся система связанных между собой компьютерных сетей, осуществляющих взаимодействие между собой по определенным правилам и протоколам, т.е. объект сугубо технический. А вот веб (WWW, всемирная паутина) – это информационная система, где объекты хранения (документы, файлы, произведения, изображения – все, что угодно, содержащее информацию), размещенные на различных компьютерах, подключенных к сети Интернет, связаны между собой системой гиперссылок, позволяющих легко находить объект и получать к нему доступ, независимо от его местонахождения, географического или физического, юрисдикции обладателя или наличия у лица, разместившего этот объект в сети, права на его использование.

Люди, обсуждающие проблему информационной безопасности в среде профессионалов или на бытовом уровне, чаще всего говорят только об одной ее составляющей, которая обычно называется также компьютерной безопасностью, т.е. о защищенности информации на компьютере пользователя или в компьютерной сети от несанкционированных действий третьих лиц – неправомерного доступа к чужой информации, ее уничтожения или изменения, блокирования доступа к ней и прочих действий, определяемых классической триадой – конфиденциальностью, целостностью, доступностью.

Между тем проблема обеспечения безопасности информации во всемирной паутине гораздо сложнее и шире. Среди ее важнейших аспектов хотелось бы в данной статье выделить два – проблему доверия к тому, что люди получают через сеть Интернет, и проблему авторства объектов хранения и защиты авторских прав тех, кто их создает.

Достоверность и подлинность в цифровом мире

Новый цифровой мир, созданный во всемирной паутине, изначально предполагал право каждого на свободное размещение, поиск и доступ к любой информации. При этом также изначально это была анонимная структура, не требующая ни обязательного указания автора или источника сведений, ни представления владельцу ресурса того, кто хочет получить к этому ресурсу доступ. Предусмотренные на некоторых сайтах системы регистрации пользователей вовсе не предполагают возможности проверки достоверности указанных их посетителями сведений, поскольку выполнить ее нельзя без применения специальных механизмов, таких, например, как электронная подпись или цифровой сертификат. Да и эти два способа (на самом деле – производные одного и того же в силу особенностей технической реализации) обеспечивают идентификацию (установление личности пользователя) и авторизацию (подтверждение этого) лишь при выполнении целого ряда условий, для обычного общения в Интернете неприемлемых, – в первую очередь, получения средств электронной подписи и регистрации ее обладателя в специальном удостоверяющем центре путем физического, а не виртуального обращения к нему. При этом владелец ресурса должен доверять удостоверяющему центру или иметь возможность проверить подпись или подлинность цифрового сертификата, для чего обращаться в центр или к некоей третьей доверенной стороне. Все это очень сложно и к обычной жизни пользователей сети, заходящих в нее, чтобы получить искомое немедленно и в любом месте, имеет очень отдаленное отношение.

Стремительное с исторической точки зрения перемещение основных источников сведений об окружающем мире из книг и средств массовой информации во всемирную паутину породило целый ряд проблем, с которыми предыдущие поколения людей были абсолютно незнакомы и поэтому оказались не готовы им противостоять.

С точки зрения информационного пространства мы стали жить совсем в другом мире – без границ, без цензуры, без права на сохранение тайн и без сложившейся веками системы создания и распространения информации. Еще 25 лет назад живущие за «железным занавесом» сограждане могли узнать о том, что написала во вчерашнем номере нью-йоркская или лондонская газета, лишь получив ее в руки от только что пересекшего границу знакомого или послушав дайджест новостей на зарубежном радио. Сегодня нет ничего проще – наберите название газеты в поисковике, выйдите на ее официальный сайт (а он есть у всех уважающих себя изданий) и читайте на здоровье. Или подпишитесь на интернет-рассылку и получайте газету вместе с жителями города, находящегося в тысячах километрах и десятках границ от вас, да еще и в то же самое время.

Однако тогда вы четко знали, что является источником информации, какая конкретно книга, газета, журнал, радиостанция или телеканал, кто их издатель или владелец, кто автор того или иного материала. Знали и верили. Фразы «Вчера по телевизору сказали» или «Сегодня в газете напечатали» были критериями истины в последней инстанции и практически не подвергались сомнению.

Сегодня правила игры изменились радикально. Прочитав на информационном веб-сайте или в блоге неизвестного вас автора «Вашингтон пост сообщает» без линка (ссылки) на соответствующую статью на интернет-портале издания, каждый самостоятельно принимает решение, верить изложенному материалу или нет. Но такое цитирование может касаться не только СМИ, но и высказываний политических или общественных деятелей, любых других лиц, по мнению читателя, заслуживающих доверия. Но вот правда ли, то, что вы читаете в паутине, проверить очень сложно. Да и сам ставший обычным способ получения информации из Интернета – не более трех минут на прочтение, вовсе не предполагает поиск первоисточника и проверку подлинности публикации. Пробежал глазами, зафиксировал, если задело – прокомментировал, и пошел искать дальше, плавно переходя со ссылки на ссылку. Вот и гуляют по сети, активно обсуждая в социальных сетях и на сомнительных новостных сайтах высказывания чиновников, сделанные много лет назад и вырванные из контекста, зато привязанные авторами публикации к злобе дня, а иногда – и вовсе никем не произносимые, но приписываемые авторитетам слова. Появилась возможность модернизировать, компилировать, фактически создавать не только печатные слова, но и фотографии, видеоизображения и целые интервью.

Самое парадоксальное, что уставшие от официальных, тенденциозных публикаций печатных и мультимедийных СМИ, принадлежащих государствам, организациям или преследующим свои цели отдельным лицам, жители многих стран стали больше доверять именно всемирной сети, а не традиционным источникам. Причем роль СМИ все больше выполняют социальные сети, выступая одновременно в качестве агрегатора информации, новостной ленты и средства ее доставки. Но, обращаясь за новостями именно в сеть, каждый должен отдавать себе отчет в том, что оценка достоверности и подлинности полученных сведений становится его личной проблемой, переложить которую ни на кого не удастся.

Всемирная паутина породила неиерархическую систему создания и распространения информации, в которой традиционные способы ее хранения (в виде не подлежащего модификации печатного издания или записи радио- или телепередачи) не работают, методы защиты (в форме исключительных и неисключительных прав на результаты интеллектуальной деятельности) не применимы, а существовавшие способы контроля (обращение к источнику информации) не эффективны. Соответственно, автора анонимной публикации (а такой надо считать любую, автор которой не подлежит надежной идентификации и аутентификации) нельзя привлечь к гражданско-правовой, административной или уголовной ответственности за публикацию заведомо ложных сведений, клевету или умышленное введение в заблуждение. Особое место в этом ряду проблем занимают утечки информации и публикации похищенных сведений, плохо поддаются выявлению и анализу, а о достоверности того, что публикуется под видом утечек, и говорить не приходится. Можно как угодно относиться к сайтам Ассанжа или Навального, доверять им или считать орудием информационного терроризма, но это решение в любом случае принимается на основании самостоятельных выводов читающего, сделанных путем сопоставления различных источников, на основе внутренних убеждений или отношения к обсуждаемому вопросу. Единого, доверенного источника информации, как 25 лет назад, теперь нет.

Есть у этой проблемы еще одна сторона. В многочисленных обсуждениях публикаций всемирной сети все большее место занимают так называемые «тролли» - анонимные авторы, задача которых – дискредитировать публикацию, свести обсуждение к обмену грубостями, в котором вопрос «А ты кто такой?» - самое невинное выражение, или увести дискуссию далеко в сторону. Где-то на это можно не обращать внимание, отказаться от чтения комментариев или обсуждения заинтересовавшего читателей материала. Но это явление все больше проникает в дискуссии по публикациям сугубо профессиональным – бизнесменов, юристов, других специалистов в конкретных сферах деятельности, которым сеть предоставила отличную площадку для неограниченного обсуждения сложных вопросов, к сожалению, все больше засоряющуюся графоманами, провокаторами, скучающими бездельниками, ищущими применение своим неоцененным талантам. И на таких форумах очень хотелось бы знать изначально, что участник дискуссии, к примеру, – практикующий врач, известный своим коллегам, а не городской сумасшедший или шарлатан, присвоивший его имя и вводящий участников в заблуждение.

Авторское право в Интернете

В течение длительного времени право авторства признавалось одной из основ, обеспечивающих баланс интересов в обществе и закрепляющих приоритет в создании знаний или произведений искусств. Плагиат, если не фиксироваться на нюансах древнего мира или эпохи Возрождения, осуждался повсеместно и безоговорочно, с пиратством в интеллектуальной сфере люди моего поколения сталкивались лишь в виде продаваемых в ГУМе из-под полы записей джаза и рока «на костях» (грампластинках, кустарно сделанных на рентгеновских снимках), перепечатках литературных изданий под копирку или на АЦПУ «больших» ЭВМ, и даже самый невинный вид заимствований – эпигонство (подражание), воспринимался с легким презрением.

В отношении идей, научных работ, изобретений или результатов творчества авторство достаточно четко устанавливалось на основании времени создания (не обязательно публикации), а сама система тиражирования объектов интеллектуальной деятельности (официально зарегистрированные книгоиздательства и редакции СМИ, студии звукозаписи, киностудии и т.п.) ограничивала возможность их незаконного распространения, а защита прав была вполне урегулирована процессуально.

Интернет радикально изменил мир и в этой сфере.

Пиратское размещение контента стало нормой. Фильм, не успев выйти из проката, появляется на торренте. Диск популярной группы выкладывает на музыкальном портале в первый день, а иногда – еще и до появления в продаже, после мастеринга в записывающей студии. Книги оцифровываются и предоставляются для скачивания немедленно после поступления в магазины. Точно также воруются и присваиваются идеи и публикации, причем ушлые плагиаторы не только крадут чужое, но и меняют время на принадлежащих им сайтах, где украденное размещается с целью оспорить при необходимости авторство. Бороться с этим трудно. Кто-то считает – даже невозможно, кто-то – не нужно в принципе и даже вредно. Появились целые теории, оправдывающие неприменимость традиционного авторского права в цифровом мире, и даже парламентские партии, провозгласившие интеллектуальное пиратство своей целью, флагом и гербом.

Обсуждение этой проблемы выходит за формат данной короткой статьи. Но хотелось бы предложить каждому, создавшему что-то уникальное – придумавшему идею, написавшему песню или запустившему старт-ап, прикинуть для себя ситуацию с похищением идеи и ее реализацией другими. Особенно, если в результате таких «невинных», с точки зрения пиратов, шалостей, напрасно потерянными оказались годы работы, средства, затраченные на аренду студии, запись песни или создание фильма, усилия коллектива единомышленников, в поте лица трудившихся на перспективу практически бесплатно и оказавшихся свидетелями того, как их идея, в муках рожденная, реализована и запущена другими, располагающими для этого средствами и меньшим набором моральных принципов.

Можно на проблему авторства взглянуть и под другим углом. Интернет позволяет донести свое произведение – фотографию, звукозапись, короткий рассказ или огромный роман – до неограниченного ничем, кроме качества полученного результата, круга потенциальных почитателей, слушателей, читателей. Для этого иногда достаточно размещения созданного на сайте (своем собственном, специализированном, в фотогалерее, клубе любителей поэзии или блоге) и распространении ссылки на него теми, кому это понравилось. Но все равно, даже если целью публикации не является зарабатывание денег на полученном результате, обычно автор хочет, чтобы за ним признали приоритет ее создания, чтобы обратившиеся к публикации люди знали, кому она принадлежит. Если же изначально ставится задача монетизации результатов творчества в какой–либо сфере, проблема усложняется многократно. Пробиться в книжное издательство, известную студию грамзаписи или, тем более получить возможность снять фильм и продать его в прокат или телевидению – задача сверхсложная, особенно при нынешнем количестве пишущих-поющих-снимающих. Интернет и здесь дает практически неограниченные возможности: создавай, выкладывай, продавай. Но снова появляется проблема пиратства, не подконтрольного автору распространения и заимствования.

Такая ситуация с доступом к контенту создает серьезные проблемы и для его пользователей. Не секрет, что именно сайты, размещающие пиратскую продукцию, чаще всего содержат вредоносные ссылки, например, с предложением ввести номер сотового телефона для получения пароля доступа к серверу загрузки, после получения которого и подтверждения этого факта со счета пользователя в сотовой компании немедленно списывается весьма немалая сумма средств. Файлы, предлагаемые к скачиванию, особенно бесплатному, часто заражены вредоносным кодом, способным нанести серьезный, нередко – и непоправимый вред компьютеру пользователя. А иногда за скачивание контента, в том числе пиратского (кстати, установить, пиратский он или нет, пользователь чаще всего тоже не может), запрашиваются деньги. Сколько в конечном итоге будет списано со счета оплатившего покупку, получит ли он что-то взамен и какого качества – сказать заранее в большинстве случаев (во всяком случае, при первом обращении к ресурсу) нельзя. И снова все риски ложатся на пользователя сети, без каких-либо гарантий и обязательств.

Ждать ли изменений в будущем или заботиться об этом сегодня

В этих условиях можно, конечно, рисковать сегодня и ждать изменений в лучшую сторону когда-нибудь потом, и людей, смотрящих на проблемы именно так, похоже, не мало. Можно из соображений безопасности отказаться от возможностей всемирной паутины, но тех, кто готов на это, становится все меньше. Недаром вопрос о праве на доступ в Интернет, как одном из основополагающих прав человека, неоднократно поднимается в ООН.

А можно искать пути решения проблем, создавая свой защищенный сегмент в глобальной сети. Искать так, как это обычно делается с любой серьезной задачей – методом проб и ошибок, по частям, начиная с малого и наращивая возможности, создавая условия для безопасного общения между авторами и потребителями результатов их деятельности.

Именно таким путем пошла компания «Сигнал-КОМ», еще в 1992 году одна из первых в России занявшаяся невозможной в недавнем Советском Союзе деятельностью – гражданской криптографией. Гражданской, потому что знания, используемые ранее исключительно в интересах государства, обеспечения его безопасности и обороноспособности, первые энтузиасты попытались поставить на службу бизнесу и простым гражданам, обеспечивая приватность их электронного общения, возможность заключения сделок в цифровой форме и надежную идентификацию личности при обращении к сетевым ресурсам.

После опубликования в 1976 году взорвавшей научный мир статьи американских математиков Уитфилда Диффи и Мартина Хеллмана о возможности открытого обмена ключами шифрования, а затем и практической реализации этой гипотезы в алгоритме ученых Массачусетского университета Рональда Ривеста, Ади Шамира и Леонарда Адлемана, названного по их фамилиям Rivest, Shamir и Adleman алгоритмом RSA, вопрос доказательства авторства цифрового документа и обеспечения неотказуемости от него из теоретической стал сугубо практической задачей. Для этого используются электронные цифровые (электронные) подписи на основе так называемых односторонних функций, допускающих преобразование (шифрование) сообщения, исходный текст которого невозможно восстановить, зная результат преобразования и ключ расшифрования. Наличие таких преобразований позволяет подписать электронный документ в произвольной цифровой форме (текст, изображения, медиа-файл) только автору, знающему секретный ключ, а проверить результат (т.е. подлинность электронной подписи) – любому, кто знает ключ проверки (расшифрования), распространяемый, в том числе, и в открытом виде.

Применение электронной подписи сделало возможным заключение юридически значимых договоров в электронном виде, проведение торгов и аукционов через интернет-сайты, ведение бухгалтерского учета и предоставление отчетности в электронном виде, а также многое-многое другое, без чего цифровой мир всемирной паутины оставался бы хранилищем или свалкой данных, но не мог стать инструментом и средой бизнеса.

Одним из приложений, в котором применение электронной подписи позволяет обеспечить интересы обладателя информации, стала защита авторского права в сети Интернет. Четвертая часть Гражданского кодекса Российской Федерации признает в качестве информации об авторском праве любые цифры и коды, в которых содержится информация, идентифицирующая произведение, автора или иного правообладателя, либо информация об условиях использования произведения. Электронная подпись как раз и является набором таких цифр и кодов, подтверждающих принадлежность конкретного произведения конкретному лицу – его автору.

Дело оставалось за малым – практически реализовать задумку в виде, обеспечивающем возможность использования уже созданных инструментов, получивших название средств электронно-цифровой подписи, для подтверждения авторства размещаемого во всемирной паутине контента. Так родилась идея проекта, получившего название «Автограф Издательства», которая усилиями специалистов из «Сигнал-КОМа» очень быстро получила воплощение в виде социальной сети нового типа (www.i-autograph.com), обеспечивающей доказуемое подтверждение авторства размещаемых в ней объектов. Исходя из сложившейся практики общения в паутине и стандартного подхода к построению социальных сетей в виде облачного сервиса, разработчиками проекта было решено обеспечить возможность работы в новой сети только с применением стандартных браузеров, без установки на компьютерах пользователей дополнительного программного обеспечения. Это накладывало ряд ограничений в виде размещения контента только на сервере владельца и оператора социальной сети, зато снимало сложности проверки подписи и проблему неконтролируемого тиражирования контента.

Фактически создан интернет-ресурс, в котором любой автор, сгенерив ключи и получив в удостоверяющем центре e-Notary компании «Сигнал-КОМ» сертификат своей электронной подписи, может разместить подписанный им цифровой объект одним кликом мыши в своем персональном цифровом бутике, где с ним после этого может ознакомиться и заказать его любой пользователь сети Интернет. При получении заказа или по собственной инициативе автор может оформить получателю дарственную надпись с указанием имени приобретателя, сделав произведение именным подарком, причем автограф будет как цифровым, подлежащим проверке как и любая другая электронная подпись, так и воспроизводимым в виде факсимиле автора при просмотре контента.

Любой подарок только выигрывает, если завернут в красивую, а лучше уникальную, авторскую обертку, для чего разработчики проекта создали специальный редактор «Mbook Editor», позволяющий подготовить мультимедийный авторский контент для просмотра его вместе с подписью в HTML5-плейере, имитирующим листаемые страницы глянцевого журнала. Такой подход и современен, и эстетичен, и технически оптимален – HTML5-технология поддерживтся всеми современными браузерами.  И это не просто имитация бумажного журнала. На страницах могут быть размещены фотографии и ссылки на фотоальбомы, музыку, видеоклипы, на другие ресурсы в сети Интернет. HTML5-плейер позволяет создать уникальный, абсолютно ни на что не похожий мультимедийный объект, содержание и способ просмотра (прослушивания) которого ограничиваются только фантазией автора и имеющимися в его распоряжении материалами. Появляются возможности формирования принципиально новых по форме и содержанию авторских произведений, сочетающих самые разные формы представления информации, с проверяемыми авторскими подписями (автографами), дарственными надписями каждому покупателю или одариваемому, да еще и с надежной защитой от несанкционированного копирования и воспроизведения в силу невозможности скачивания файлов из облака проекта.! Даже обычный снимок экрана теряет всякий смысл из-за наличия в исходном тексте упакованных мультимедийных объектов, не воспроизводимых скриншотом.

Недаром такой возможностью заинтересовались издатели традиционных произведений – книг, коммерческих периодических изданий и компьютерных программ, ранее ограничивавшие свою активность в сети из-за существенных рисков пиратского распространения размещенных произведений. Теперь же кроме гарантий защиты исключительных и авторских прав добавились новые возможности, которых у «бумажных» изданий не может быть в принципе. Действительно, не новый же «Кругозор» с вложенными дисками издавать в  21-м цифровом веке…

При желании автор может выложить контент на своем разделе сайта и без его специальной подготовки, в виде обычных pdf или графических файлов.

Таким образом, в проекте "Автограф Издательства" любой желающий может создать интернет-издательство собственных книг или своего периодического издания, библиотеку статей в научных журналах, фотосалон или персональную картинную галерею, хранилище подписанных, т.е. гарантированно подлинных сертификатов, лицензий, дипломов и других подтверждающих квалификацию или разрешительных документов, архив юридически значимых электронных документов или собрание комментариев в различных форумах, чатах и т.п., где для проверки авторства и получения сведений о разместившем комментарий достаточно указать ссылку на свой личный кабинет в проекте «Автограф Издательства». Личный кабинет может, по желанию автора, быть средством доведения результатов творчества до друзей и знакомых, местом, откуда раздаются именные, заверенные автографом создателя подарки. А может, благодаря интеграции с электронными платежными системами, превратиться в полноценный интернет-магазин авторских произведений, которых в глобальной сети размещается все больше и в отношении которых обладатели справедливо строят планы коммерциализации результатов интеллектуальной и творческой деятельности. При этом ценовую политику в отношении распространения цифрового контента каждый автор волен определять по своему усмотрению, в зависимости от размаха предполагаемого проекта и самооценки его коммерческих возможностей.

Важно, что все эти произведения подписаны авторами, которые прошли процедуру регистрации в удостоверяющем центре, причем подпись содержит точное время подписания (штамп времени), проставленное не автором, а специальным сервером. Автор вправе открыть неограниченному или конкретному кругу лиц доступ к своим произведениям или документам или ограничить его, делать дарственные надписи и воспроизводить свое факсимиле, сделав подарок адресным и избавившись от неразрешимой иногда задачи проставить собственноручную подпись на экземпляры получателя, находящегося в тысячах километров от него. Размещенные объекты защищены от незаконного копирования, переноса на иные ресурсы или публикации от имени другого лица.

Проект, несомненно, будет развиваться, предоставляя авторам и пользователям социальной сети новые и новые возможности. Главное – не ждать решения накопившихся проблем интернета от кого-то, а решать их самостоятельно, создавая защищенный от негативных факторов сегмент сети здесь и сегодня. А инструменты для этого уже есть.

М.Ю.Емельянников, управляющий партнер Консалтингового агентства «Емельянников, Попова и партнеры»

28 Jul 2016