Интернет-операторы, которые будут нарушать связность Сети, могут попасть в черный список и лишиться поддержки организаций, отвечающих за развитие и безопасности сети Интернет. В разговоре с корреспондентом Digital Report вице-президент корпорации ICANN по России, Восточной Европе и Центральной Азии Михаил Якушев ответил на вопросы о последствиях государственной цензуры и возможном крахе мировой паутины.

Как вы смотрите на процессы, которые связаны с введением государственного контроля в интернете и блокировок определенных сайтов. Тот же Роскомнадзор разве не действует вопреки созидательной линии ICANN?

До тех пор, пока меры государственного регулирования не нарушают требования к стабильности и технической безопасности интернета, ICANN не может вмешиваться в эти вопросы, так как они касаются законодательства каждого суверенного государства. Если работает в стране интернет, то ICANN со своими обязанностями де-факто справляется. Но здесь есть серьезная проблема. Как определить момент, когда меры государственного регулирования начнут угрожать стабильности и безопасности интернета. Возможно, это произойдет в случае попыток блокирования целых доменных зон. Вот здесь вопрос о потенциальных неприятностях открыт. В том числе, с попытками перетянуть на себя «одеяло» в части выдачи IP-адресов. Встречается мнение, что было бы правильным, чтобы распределение IP-адресов осуществлялось на национальном уровне. По аналогии с распределением массива телефонных номеров. Но телефонных кодов первого уровня столько же, сколько и стран — чуть больше 200. А вот IP-адресов – 10 в 28 степени (в версии протокола IPv6). То есть говорить о каком-то ограниченном ресурсе, который должен распределяться государствами, не приходится. Это триллионы, квадриллионы адресов. Но при попытках захвата части адресного пространства могут быть серьезны конфликты. Появятся коллизии, когда за одним и тем же адресом, но в разных местах будут указаны разные владельцы. В этом случае возможна жесткая реакция со стороны региональных регистратур. Кроме этого есть система DNS Sec, которая позволяет минимизировать попытки обнулить (или «подставить») доменные имена. Организация, которая будет постоянно производить и искажать данные о запрашиваемом домене, в конечном счете попадет в черный список. С ней прекратят коннективность, так как она будет считаться источником недобросовестного поведения при сетевых соединениях.

Учитывая, что ответственность за техническую блокировку ресурсов лежит на провайдерах, именно они рискуют оказаться в черных списках ICANN и других организаций, отвечающих за стабильное состояние и развитие интернета?

Говорить о санкциях со стороны ICANN в отношении «провайдеров» нельзя. Мою организацию нельзя абсолютизировать. Есть целый набор организаций, которые не сильно представлены в странах Восточной Европы, но которые более активно занимаются разработкой интернет-стандартов и следят за их соблюдением, такие как IETF, ISOC и региональная регистратура – RIPE NCC, которая отвечает за распределение IP-адресов в Европе базируется в Амстердаме. Вот, кстати, хороший пример. Три четверти территории Голландии – это земли, отвоеванные у моря. Жители строили дамбы и осваивали новые территории. Только владелец ближайшего к морю участка отвечает за целостность своей дамбы, защищающей от моря всю территорию за ним. Если будет прорыв – именно владелец этого участка будет нести полную ответственность за это. Но раз он стал владельцем этого участка, он принимает всю меру ответственности и владельцы других участков ему доверяют. И если произойдет какое-то неприятное событие и будет прорыв, все соседи придут к нему на помощь. Это ситуация абсолютного доверия, когда от безопасности одного зависит безопасность всех. Когда интернет развивался и замышлялся таким, каким мы его знаем сейчас, то он базировался на этом принципе абсолютного доверия. И если убрать это взаимное доверие, то интернет рухнет. Тот интернет, который мы знаем и который мы хотим, может исчезнуть. Свобода в интернете основана на доверии друг к другу. Чем больше будет действий, которые будут подрывать это доверие, тем больше нужно будет механизмов для наказаний и сдерживания. Но с этим будет совсем другой «интернет».

Мы уже на грани краха интернета?

Нет, об этом говорить рано. Всё динамично развивается, даже понятие, что можно подвергать цензуре в интернете, а что нельзя. Лет 25 назад нельзя было представить, что в России будет принят закон о запрете гей-пропаганды, это было очевидным девиантным поведением, осуждавшимся и уголовным законом, и общественной моралью. Однако в Европе это сегодня считается стандартным сексуальным поведением, хотя в других странах такое поведение запрещено. То есть на международном уровне по вопросам распространения информации о сексуальных меньшинствах сложно прийти к консенсусу. Так что главный приоритет – не в достижении консенсуса «что цензурировать в интернете, а что нет», а в поиске ответа на вопрос: «Что делать, чтобы система, которая есть, была безопасной и продолжала развиваться?». Вот на эту тему консенсус существует, и я думаю, что опасения о каком-то крахе интернета – беспочвенные. Количество подключений к сети увеличивается, число доменов первого уровня достигло тысячи, а общее количество всех доменов измеряется сотнями миллионов, если не миллиардами. Да, на локальном уровне, на уровне каких-то отдельных стран возможны разного рода эксцессы. Но интернет достаточно гибкий и способен эти проблемы решить.

Можно ли считать, что процесс по решению проблем обеспечения кибербезопасности является неким инструментом политического влияния? Говоря о кибербезопасности, некоторые государства стараются одновременно реализовать какие-то другие возможности, усилить контроль за контентом в Сети? Об этом, кстати, говорит и профессор Анатолий Стрельцов.

Анатолий Стрельцов – известный теоретик информационного права. В то же время то, что он говорит, отражает подход к вопросу кибербезопасности российских государственных чиновников. С их точки зрения информационная безопасность строится из «триады» безопасности личности, безопасности общества (бизнеса) и безопасности международных отношений. При этом государственная безопасность «подводится» к обществу, а кибербезопасность становится маленькой частью того, что относится к киберпреступлениям. Такая точка зрения не разделяется большинством специалистов во всем мире. Со Стрельцовым вступают в полемику очень многие видные эксперты в Европе и Америке, которые аргументированно доказывают, что его представление о том, что мы называем безопасностью – некорректны. Вот и все, что можно здесь кратко сказать. Хотя я лично, как и все мы в России, Анатолия Александровича очень уважаю. Безусловно, безопасность всегда нужна. Мы ведь живем не при коммунизме, где возможны разного рода эксцессы. Но безопасность – это вторая ипостась стабильности, которая базируется на доверии. Я не случайно об этом все время говорю. Потому что чем больше доверия – тем больше безопасность. Чем меньше доверия друг к другу – тем и безопасности меньше, и нужно принимать множество механизмов, которые будут эту безопасность обеспечивать.

Поэтому подход западных стран к вопросу кибербезопасности – утилитарный и зависит от набора мер, которые обеспечивают технологическую безопасность Сети, минимальную вероятность хакерских атак, проникновения на территорию объекта и так далее. Российские официальные лица предпочитают говорить больше в категориях «информационной», психологической войны, что западные коллеги плохо воспринимают. Поэтому они и говорят на разных языках. Но технические эксперты, компьютерные специалисты под кибербезопасностью понимают более однозначные вещи. Возможно, из-за этого возникает недопонимание и обиды, что, например, мы хотим «двинуть» что-то свое, а зарубежные оппоненты говорят о чем-то своем и мы считаем это инструментом какого-то влияния. Очень важно говорить на одном языке и договариваться.

Реализует ли ICANN в России и СНГ программы по укреплению кибербезопасности?

Конечно. На территории России, конечно, в меньшей степени. Наша активность направлена на страны в которых уровень проникновения интернет достаточно низок. В России с этим все нормально, равно как и с кибербезопасностью. Работают опытные кадры с доменными зонами и регистраторами. Поэтому в плане безопасности доменной проблематики, сетевой проблематики – все хорошо. А вот в плане, как образовывать страны менее развитые, допустим, страны Восточной Азии и Африки, то у нас работает два отдельных департамента. Один из них занимается вопросами безопасности, второй – онлайовым обучением всех заинтересованных лиц, в том числе правоохранительных органов и организаций-регистраторов. Если есть потребность таких обучающих кампаний в Беларуси, мы бы с удовольствием их бы инициировали. Но, похоже, что уровень подготовки белорусских коллег вполне адекватен.

Имеет ли смысл работать с населением? Проблема кибербезопасности ведь многогранна. Она зависит и от образованности правоохранителей и от уровня знаний членов гражданского общества?

Это абсолютно правильный подход. Действительно, нужно. Но у ICANN «клиенты» – это регистратуры и регистраторы. Не конечные пользователи…. Вот, скажем, мы своих детей учим, как переходить дорогу, что такое светофор, то с учетом, что у каждого ребенка есть планшет, — нужно учить, что можно делать в интернете, чего делать нельзя. Такое образование обязательно должно быть, и оно не должно быть обращено только на детей. Оно должно быть обращено на преподавателей, чтобы они знали, чему учить, и сами разбирались в вопросах лучше, чем дети, которые, как правило, зачастую могут им самим подсказать, как обойти защиту в интернете. И нужно обучать взрослых, чтобы они могли пользоваться государственными услугами, чувствовать себя безопасно при покупках, финансовых транзакциях. Но это обязанность каждого государства, чтобы защищать своих граждан. И проблема образованности населения, по сути, общая. И в Европе в этом направлении делается недостаточно, и в России, и в Беларуси.

Но ведь в обеспечение кибербезопасности инвестируются значительные средства. Почему эти инвестиции в виде знаний не доходят до населения?

Да, деньги инвестируются фактически в только сертификационные лаборатории. Еще Клаузевиц говорил, что «невозможно доверять ведение войн военным». Военные должны побеждать в сражениях на уровне тактики, но стратегические сражения выигрываются политиками и дипломатами. То есть доверять военным принимать решение о войне и мире – нельзя. Они этого не умеют. Точно так же решение об обеспечении безопасности не должны принимать органы, у которых специальный и узковедомственный подход к этому вопросу. В России, например, определенные ведомства отвечают за защиту персональных данных. Но если у вас эти данные украли, например, в сотовой компании, то она предоставит вам 15 000 сертификатов о том, что все их системы благополучно сертифицированы и ответственности они не несут. И все. А данные ваши украли.

Какое решение? Должно появиться новое ведомство по практической охране личных данных?

Должно появиться понимание, что первичными являются права и интересы гражданина. Думать в первую очередь нужно не о сертификации оборудования, а о защите интересов пользователей.

Возрастут ли в будущем опасности связанные с киберпреступностью в целом? Имеет ли смысл сегодня предпринимать оперативные шаги для предотвращения будущих проблем? Какие проблемы с безопасностью представляются вам наиболее серьезными?

Да, чем дальше, тем выше вероятность. Главная проблема в том, что растет поколение детей, которые будут очень хорошо ориентироваться в том, как использовать компьютерные устройства и подключаться к интернету. Они изобретательнее нашего поколения, и при недостаточном понимании этих процессов мы получим на порядок больше попыток взлома и фишинга. Уже сейчас в России SMS-фишингом занимаются во многом люди, отбывающие уголовные наказания в местах лишения свободы. Прямо из тюрьмы они пытаются украсть деньги с наших телефонов. Даже два года назад Лаборатория Касперского публиковала исследование, что ограничительные меры по доступу к сайтам снизили до 13 лет возраст вхождения молодежи в преступность. Условно говоря, «Анну Каренину» в России запретили (из-за запрещенного для детей описания самоубийства). Ребёнок в попытках найти эту книгу в интернете рано или поздно получает предложение заработать денег на преступных махинациях. Он этим начинает заниматься — и вот резкое повышение киберпреступности. Мы можем потерять целое поколение, а преступность станет молодой и изобретательной. Работает закон больших чисел.