Неделе безопасного Рунета 10 лет

В честь юбилейной даты представители РОЦИТ, РАЭК и Координационного центра доменов .RU и .РФ рассказали, как в стране обстоит дело с кибербезопасностью.

Сергей Гребенников (РОЦИТ): В середине 2000-х была совершенно другая ситуация не только в плане инфобезопасности. Тогда и само Интернет-пространство было другим. Во-первых, совершенно другой была Интернет-аудитория, и даже методика ее подсчета отличалась – по самым оптимистичным оценкам, в России она составляла 35 миллионов человек против 80 с лишним сейчас, причем среди тех 35 миллионов львиную долю составляли те, кто выходил в Интернет раз в месяц, в два месяца, а то и раз в полгода. Значительно меньше была несовершеннолетняя аудитория. Мобильного Интернета не было в принципе, он тогда только начинался. Доменная зона .ru по объему была примерно в четыре раза меньше нынешней, других российских доменных зон не было (за исключением еще советской зоны .su с несколькими десятками тысяч регистраций). В плане контента середина 2000-х была временем популярности блогов и форумов, социальные сети только начинали завоевывать популярность и развивали свой функционал. Очень слабо был развит электронный банкинг, об электронных госуслугах и говорить не приходится.

Исходя из этого, была совершенно другая картина Интернет-угроз. Некоторые угрозы с тех времен сохранились, но резко набрали в количестве, некоторые сильно модифицировались, а что-то появилось с нуля. Разумеется, какие-то опасности в своем тогдашнем виде сейчас вообще перестали встречаться. Скажем, простеньким фишингом с простым тайпсквоттингом нынешнего пользователя не обманешь, да и на письма от «администрации сервиса» люди стали меньше «клевать».

Сергей Плуготаренко (РАЭК): На тот момент (2005-2010 гг) для индустрии было характерно понимание кибербезопасности как программно-технической безопасности, а также до определенной степени как экономической безопасности. К понятию контентной безопасности индустрию нужно было грамотно подвести, чтобы она осознала важность этого пласта в контексте роста аудитории. Эту задачу взяли на себя ведущие объединения интернет-индустрии и пользователей, в первую очередь РОЦИТ и созданный в 2006 году РАЭК. В рамках специально созданных рабочих групп (позднее – кластеров) РАЭК в области инфобезопасности, законодательства, электронной коммерции и других , прорабатывались формы саморегулирования Интернет-индустрии в плане повышения пользовательской безопасности, организовывались формы повышения осведомленности специалистов отрасли, устанавливался диалог отрасли и государства. Сегодня можно с уверенностью сказать, что этот вектор на этот диалог был успешен, и государство в том числе активно прислушивалось к мнению индустрии в плане сохранения баланса между развитием отрасли, правами граждан и обеспечением безопасности. Тогда же, примерно десять лет назад, впервые темы контентной безопасности стали появляться в программах ведущих мероприятий индустрии и с тех пор занимают там постоянное место.

Сергей Гребенников (РОЦИТ): Первую профильную секцию по контентной безопасности РОЦИТ провел в ходе Российского Интернет-Форума (РИФа) еще в 2007 году. Поскольку мы говорили про контент, который напрямую влияет на пользователей, большое внимание этой проблеме уделялось на конференциях i-СМИ, про онлайн-журналистику, и i-COMMUNITY (про Web 2.0), появилась новая конференция i-SAFETY, которую мы теперь знаем как CyberSecurityForum. Где-то уже в 2010-2011 годах без обсуждения вопросов безопасности стало нельзя представить ни одну тематическую конференцию в отрасли – потому что к тому времени эти вопросы стали неотъемлемой частью индустриальной повестки дня. Во всех мероприятиях активно принимали и принимают участие представители ведущих брендов Интернет-индустрии, причем они не только слушают редких экспертов, как это было вначале, а активно представляют собственные кейсы и наработки. Очень много таких примеров можно будет увидеть на юбилейном CyberSecurityForum через неделю, 7 февраля.

Урван Парфентьев (РОЦИТ): Стало ясно, что должно быть что-то системное, вокруг чего будет центрироваться постоянная работа среди пользователей в плане повышения их защищенности в Интернете. На тот момент особое внимание уделялось детской онлайн-безопасности, поскольку уже тогда было понятно, что именно тогдашние дети вскоре будут формировать общественные и технические тренды. Было принято решение присоединиться к общемировой кампании Международного Дня безопасного Интернета (Safer Internet Day) – тогда еще тоже довольно молодого мероприятия, стартовавшего в Европе в 2004 году. С учетом огромной территории России и необходимости проводить мероприятия на различные темы инфобезопасности для различных аудиторий, мы решили найти несколько иной формат – и вместо европейского Дня ввели приуроченную к нему Неделю. К слову, потом этот формат позаимствовал и ряд других стран. Первую Неделю безопасного Рунета из трех мероприятий мы провели с 29 января по 6 февраля 2008 года, совместно с Microsoft, очень активно занимавшимся информационно-просветительской работой в плане безопасности. В 2009 году в Неделе уже появляется региональная составляющая – к кампании присоединились первые четыре региона, в 2010 году их уже стало 31 (сейчас – около 60). Тогда же стартовала кампания «Год безопасного Интернета», которую мы провели с нашими партнерами в сфере инфобезопасности. Где-то с 2011 года формат Недели стал классическим, охватывая различные аудитории и различные, но наиболее актуальные темы – как центральными мероприятиями в Москве, так и в регионах. Сейчас Неделю отмечают даже в сельских школах.

Урван Парфентьев (РОЦИТ): Десять лет назад на первое место в рейтинге контентных угроз ставилась детская порнография. Это была, скажем так, «общепризнанная угроза» в мировом масштабе, и объемы ее были способны шокировать любого наблюдателя. Где-то к концу 2000-х годов постепенно выстроилась глобальная система выявления и противодействия распространению такого контента, и сейчас встретить подобные фото или видео в открытом доступе можно неизмеримо реже, чем, скажем, в 2008-2009. Немало было сделано в плане борьбы с детской порнографией и в России, которая на тот момент считалась одним из основных мест ее хостинга. Дальше развитие социальных сетей и рост аудитории вывели на первое место целый комплекс угроз, которые мы объединяем единым термином «киберунижение» — от типичного троллинга до весьма продуманной клеветы. По своим последствиям эта угроза вполне сопоставима с детской порнографией (собственно, она — лишь частный вид киберунижения), но ее объемы в разы выше и касаются также взрослой аудитории. Качественные механизмы саморегулирования и регулирования по борьбе с киберунижением в «интернетизированных» странах только выстраиваются, одним из таких элементов является «право на забвение». Начало 2010-х в России отметилось взрывным ростом предложений наркотиков в Интернете – пришлось иметь дело еще и с этой угрозой. Гораздо раньше, чем Европа, Россия столкнулась с массовым проявлением онлайн-экстремизма (я не говорю про политическую критику, а именно про расовую, национальную и религиозную рознь) – европейцы, к сожалению, стали обращать на такой контент внимание лишь с появлением ИГИЛ (запрещена в России) и их активизацией в Евросоюзе, только в 2015 году, и Россия в этой теме обладала гораздо большим опытом и знаниями, чем наши западные коллеги по контентной безопасности.

Марк Твердынин (РОЦИТ): Развитие технологий привело к большей «конвергенции» наших цифровых и «нецифровых» повседневных активностей. Это серьезно переформулировало концепцию информационной безопасности – если мы раньше говорили о безопасности в Интернете, то где-то с 2011 года стали говорить о безопасности в мире цифровых технологий, то есть о влиянии цифровых средств на нашу повседневную безопасность. Цифровые технологии стали применяться для, казалось бы, чисто оффлайновых вещей, включая предупреждение инцидентов, их прекращение и реабилитацию. Одной из первых таких тем стала возможность использования цифровых технологий в деле поиска пропавших детей. Дело даже не в том, что дети убегают под влиянием Интернета – хотя такие флешмобы в социальных сетях имеют место. Цифровые технологии, особенно мобильные, позволяют оперативно распространить информацию о пропавшем ребенке – даже прислать информацию людям, находящимся в районе пропажи, позволяют быстро сообщить о найденном ребенке и сверить его фото с цифровой базой данных – он или не он, создавать программно-технические инструменты для обмена информацией между волонтерами и правоохранителями в поисковых операциях, а также организовать первичную онлайн-реабилитацию.

Подобная деятельность в России стала реализовываться примерно начиная с 2012 года, в рамках «НеДопусти!» нам удалось реализовать целый ряд значимых онлайн-механизмов содействия поиску пропавших детей. За рубежом подобные проекты развиты на североамериканском континенте, в Нидерландах, в ряде стран Латинской Америки. Апробированность данного механизма позволяет говорить о его применимости к ряду других категорий людей, попавших в проблемную ситуацию – например, к жертвам торговли людьми. Через Интернет можно легко проверить сайт на признаки участия в траффикинге, получить просветительскую информацию, ну и, конечно, организовать спасение и реабилитацию жертв современного рабства.

Сергей Плуготаренко (РАЭК): Десять лет назад интернет еще только начинал играть приобретать признаки явления, которое – как мы это видим сейчас – полностью проникло во все сферы нашей жизни. Сегодня мы имеем совершенно другой уровень проникновения интернета и в экономику, и в общественные процессы, и другой уровень значимости критической инфраструктуры, потому что цифровизация критических отраслей хозяйства также повысилась.

Поэтому в какой-то момент законодатель не мог не обратить внимание на эту сторону нашей реальности. С одной стороны, определенный уровень регулирования тех вещей, которые раньше были слабо описаны в законах, действительно потребовался. С другой, некоторые вещи при этом регулировании были сделаны явно не совсем корректно с точки зрения «физики и экономики» интернет-процессов. Например, норма известного «пакета Яровой» о хранении трехлетнего трафика каждого пользователя грозила какими-то совершенно физически непредставимыми мощностями, которые должны были бы иметь операторы, и столь же непредставимыми затратами. С тех пор наблюдаются тенденции к корректировке – срок уменьшился до полугода, сейчас хотят изъять из массы хранения потоковый видеоконтент, но тем не менее затраты на хранение остаются космическими. При этом прямой необходимости в хранении этого контента на практике нет – история интернет-соединений записывается в рамках существующего законодательства (тот самый СОРМ) и позволяет легко установить, кто куда и когда ходил.

В некоторых случаях бывает так, что «подкачивает» исполнение законов – либо из-за исполнителей, либо из-за чересчур расширительно написанной нормы. Во многих случаях нам со стороны индустрии удается не просто донести позицию отрасли до законодателей, но и совместно поработать над исправлением проблемных моментов. Так, например, было при подготовке «закона о праве на забвение» — в результате взаимодействия с экспертами ко второму чтению закон приобрел совершенно другие черты, чем при внесении в Думу, и стал больше похож на своего европейского прототипа.

Сергей Гребенников (РОЦИТ): Регулирование обычно появляется там, где саморегулирование почему-то не работает или невозможно. Хотя, в общем, действительно делается много и в плане саморегулирования. Это и курсы повышения Интернет-грамотности, которые проводят разные организации и компании (например, Ростелеком для пенсионеров), и собственный информационно-просветительский контент (пионером этого дела в СНГ был Microsoft), и даже специальные приложения для программно-технической защиты (например, Лаборатория Касперского бесплатно предлагает комплексную защиту компьютеров для детей). Само собой, это и собственные процедуры закрытия противоправного контента – кстати, ВКонтакте делает в этом плане весьма много, а «на слуху» эта социальная сеть именно из-за обилия выявляемого контента.

Если говорить о каких-либо документах саморегулирования, то первые декларации саморегулирования принимались еще в 2010 году. Недавно, на встрече с новым детским омбудсменом Анной Юрьевной Кузнецовой, мы обсуждали вопрос специальной хартии, в рамках которой будут оговорены специальные принципы и меры, которых будут придерживаться контентные игроки для обеспечения контентной безопасности детей. В специально созданную Рабочую группу по детской инфобезопасности входит довольно много представителей индустрии и общественных организаций, представляющих интересы пользователей (причем не замеченных в инициативах, которые в соцсетях называют «репрессивными»), так что надеюсь, что если такая хартия будет разрабатываться, она совместит интересы и безопасности, и пользователей, и индустрии.

Андрей Воробьев (КЦ): Вот тут как раз инициативы саморегулирования сыграли большую роль. Стимулировать создание сайтов просветительской и образовательной тематики позволяют различные конкурсы. Сейчас, пожалуй, наиболее известным из них является «Позитивный контент», который проводит КЦ , РОЦИТ, ФРИ и домен .ДЕТИ. Сайты, принимающие участие в конкурсе, оставляют так называемый «белый список» рекомендуемых ресурсов. Большое количество различной просветительской информации накопило библиотечное сообщество в рамках проекта «ВебЛандия», причем его количество постоянно увеличивается за счет оцифровки печатных книг. Подобной работой занимается еще ряд организаций и даже активистов. К сожалению, резко увеличить количество такого контента и сохранить тот же уровень качества не просто, это требует серьезных финансовых вложений.

Если говорить о детской безопасности, то в России в 2014 году был создан домен верхнего уровня .ДЕТИ – первая доменная зона, в которой возможна регистрация только проверенных ресурсов, чье содержание соответствует миссии домена. Он предназначен именно для детского контента, качество которого регулярно проверяется.

Марк Твердынин (РОЦИТ): Нужно понимать, что Интернет-угрозы развиваются по мере технологического прогресса и развития защитных мер. Проще говоря, преступники реагируют на защитные процессы и придумывают что-то новое. Поэтому какие-то угрозы в цифровом пространстве, наверное, будут присутствовать всегда. Главный заслон от них – это уровень осведомленности Интернет-пользователей, их знание о том, как к ним пытаются залезть в компьютер или карман, и что нужно по этому поводу делать, как реагировать. Если человек знает, что вот эти признаки скорее всего соответствуют мошеннику, то он вряд ли попадется на их удочку. Соблюдение базовых правил безопасности поможет реально упростить жизнь в Интернете. Задача индустрии, наверное, в том, чтобы делать механизмы безопасности доступными и удобными – ведь уже сейчас пользователь идет туда, где безопасно, особенно если речь идет о какой-нибудь транзакции. Ну, а поголовье преступников, наверное, должны сокращать правоохранительные органы. При эффективном выявлении преступников и серьезном подходе к наказаниям за киберпреступления цифровая среда вряд ли будет более опасной, чем, скажем, улица.

Подпишитесь на нашу рассылку

Полезные материалы об интернет-безопасности и опросы с призами - в нашей ежемесячной рассылке. Подпишитесь и будьте в курсе!