{381} книги Ральфа Нейдера «Опасно на любой скорости» (Unsafe at Any Speed) подтолкнул правительство США к действиям, вылившимся в принятие множества законов о безопасности в отношении автомобильного транспорта. Речь, например, идет о привычных в наше время ремнях безопасности, подголовниках и других подобных вещах. Множество смертельных случаев, связанных с интернетом+, способно вызвать аналогичный шквал регуляций.
С другой стороны, на протяжении десятилетий люди умирали от выбросов загрязняющих веществ в результате функционирования ряда предприятий. В 1962 г. Рэйчел Карсон издала книгу под названием «Молчаливая весна» (Silent Spring), и только после этого, в 1970 г., в США наконец появилось Агентство по охране окружающей среды (Environmental Protection Agency – EPA). Однако с тех пор прошло полвека, а правил, разработанных этим агентством, по-прежнему недостаточно для борьбы с экологическими угрозами. Никогда не следует недооценивать способность отраслевых лоббистских групп продвигать собственные интересы за счет благосостояния и здоровья людей.
Скорость реакции на то или иное событие часто зависит от способности общества и отдельных лиц связать конкретный смертельный случай с лежащей в его основе глобальной проблемой безопасности. Так, в гибели от загрязнения окружающей среды гораздо труднее усмотреть общую причину, чем в смертельных авариях на дорогах. То же относится и к интернету. Когда вы становитесь жертвой кражи личных данных, очень сложно указать на конкретный взлом, спровоцировавший это. Даже в более очевидных случаях, например, когда взломано управление электростанцией и целый город погрузился во тьму, бывает трудно определить, какой именно уязвимостью воспользовались преступники.
Я не строю иллюзий относительно ближайших перспектив. На уровне сообщества мы до сих пор не пришли к соглашению ни по одной крупной проблеме. Мы сильнее переживаем чувство опасности, нежели осознаем существование реальных проблем; это очень затрудняет как обсуждение, так и принятие решений. Мы не можем понять, какой должна быть политика, потому что не знаем, куда мы хотим двигаться и к чему прийти. Хуже того, ни один серьезный разговор еще не начат. Сколько-нибудь заметное решение в отношении безопасности интернета+ ограничивается требованием со стороны правоохранительных органов к технологическим компаниям взламывать шифрование. Эти вопросы не обсуждаются даже в СМИ. Ни в одной известной мне стране ни одна компания не считает безопасность интернета своей сферой ответственности. У нас даже нет понятийного аппарата для обсуждения подобных вопросов.
Сравните эту ситуацию с такими общеизвестными вызовами, как взяточничество, отмывание денег или детская порнография. Каждая из этих проблем приобрела международные масштабы, имеет сложные геополитические последствия и сопровождается принятием тонких политических решений. Но в этих вопросах, по крайней мере, у нас есть единство мнений относительно того, в каком направлении двигаться. Чего не скажешь о безопасности интернета+.
Кроме того, угрозы в интернете – это сложная комбинация разных видов опасности. Приставка «кибер» носит общий характер и обозначает принадлежность какого-либо явления, будь то «киберзапугивание» или «кибертерроризм», к миру цифровых технологий. С технологической точки зрения интернет+ является средой, трудно поддающейся регулированию. Киберзапугивание, киберпреступность, кибертерроризм и кибервойна – не то же самое, что кибершпионаж и торговля персональными данными. Некоторым из перечисленных угроз должным образом противостоит полиция, а некоторым – армия. Противодействие ряду угроз вообще не является делом правительства, так как у частных компаний и лиц есть свои способы защиты от них. Некоторым угрозам необходимо противодействовать на законодательном уровне. Мы ведь не применяем один и тот же подход к людям, агрессивно ведущим себя на дорогах и угрожающим минированием автомобилей, хотя и в том и в другом случае речь идет об автомобилях. Точно так же нет универсального ответа на все киберугрозы. Скорее всего, американские политики пока это не осознали, но это вопрос времени.
Я практически убежден, что в ближайшее время в отношении безопасности интернета+ власти США не станут принимать никаких серьезных законов. Конечно, регулирующие органы, особенно FTC, будут проводить расследования и штрафовать самых злостных нарушителей. Но при этом не будет никаких шагов ни в сторону осуществления государственного надзора, ни в сторону прекращения торговли персональными данными. Во всех возникающих проблемах будут винить отдельных людей и определенные виды программ и оборудования, но не систему, которая не придает значения безопасности. Я думаю, что, несмотря на совершенно очевидные для многих угрозы, реальные изменения начнутся в США с приходом во властные структуры представителей прогрессивного молодого поколения.
Большие надежды в плане безопасности интернета+ возлагаются на Европу. Евросоюз – крупнейший рынок в мире, постепенно превращающийся в регулирующую сверхдержаву, которая действительно контролирует обращение данных, компьютеры и интернет. Принятие Общего регламента ЕС по защите данных{382} (General Data Protection Regulation – GDPR) внесло кардинальные изменения в закон о конфиденциальности. Это всеобъемлющее правило, работающее во всем ЕС и затрагивающее любую компанию в мире, которая обрабатывает личные данные граждан Евросоюза. Закон в первую очередь касается персональных данных и их конфиденциальности, но также содержит определенные требования к компьютерной и сетевой безопасности. Более того, он обещает быть началом вполне разумного плана ЕС в отношении безопасности и защиты интернета+.
Например, GDPR требует{383}, чтобы персональные данные могли собираться и сохраняться только для «конкретных, явных и законных целей» и только с явного согласия пользователя. Согласие не может быть скрыто в условиях и положениях, а принято может быть только самим пользователем после полного ознакомления с ним. Пользователи имеют право на доступ к своим личным данным, исправление ложных сведений, а также на возражение против любых конкретных случаев использования их персональной информации. Наконец, пользователи имеют право загружать свои данные, хранить их в любом другом месте и требовать их удаления. С течением времени появляются все новые и новые регулирующие меры.
В настоящий момент правила GDPR касаются только{384} европейских пользователей и клиентов, но их появление, несомненно, затронет весь мир. Ведь практически у каждой интернет-компании есть европейские пользователи, и если произойдет утечка данных, компании придется в обязательном порядке (и притом быстро) обнародовать эту информацию. Поскольку компаниям придется{385} посвящать европейцев в свои методы сбора и использования данных, мы узнаем, что каждая из них собой представляет. Вполне естественно, что законодательные органы по всему миру{386} – от Аргентины до Колумбии и Южной Кореи – стали пересматривать свои законы о конфиденциальности, чтобы убедиться, что они соответствуют новым стандартам ЕС, поскольку ЕС начал связывать соглашения о свободной торговле с правилами конфиденциальности стран-партнеров.
Регламент GDPR был принят в 2016 г. и вступил в силу в мае 2018 г. Организации уже предпринимают шаги{387} для соблюдения закона, но им не до конца понятно, как он будет реализовываться и как будет обеспечиваться его соблюдение.
Я полагаю, что правоприменение со стороны ЕС будет весьма жестким. Штрафы могут достигать 4 % от глобального дохода компании. Уже в 2017 г. мы имели возможность удостовериться в том, что ЕС не боится преследовать даже крупнейшие интернет-компании. Так, Евросоюз оштрафовал Google{388} на €2,4 млрд (и пригрозил дополнительными штрафами в размере 5 % от ежедневной выручки) за то, как компания отображала результаты поиска для торговых служб. Одновременно ЕС оштрафовал Facebook[80]{389} на €110 млн за введение в заблуждение регулирующих органов относительно наличия в его сети механизмов, связывающих учетные записи Facebook[81] и WhatsApp.
Сравните аналогичные штрафы за несоблюдение цифровой безопасности в США. В 2017 г. штат Нью-Йорк оштрафовал сеть Hilton Hotels на $700 000 за два случая нарушения конфиденциальности личной информации (включая номера кредитных карт) в 2015 г. по отношению к 350 000 клиентов. Это просто смехотворно: штраф составил $2 на каждого обманутого человека, причем для компании с ежегодным доходом в $410 млрд размер штрафа не превышает ошибки округления прибылей за год. В Европе, соответственно требованиям GDPR, штраф{390} за те же нарушения составил бы $420 млн.
ЕС регулирует компьютерную безопасность и другими способами. Если вы посмотрите на упаковку любого продукта в Европе (а нередко и в других странах), вы заметите на этикетке значок «ce», написанный крупными строчными буквами. Он означает, что данный продукт соответствует всем применяемым к нему европейским стандартам, в том числе и стандарту «ответственного раскрытия уязвимостей». Как и GDPR, маркировка «CE» распространяет действие только на товары, продаваемые в Европе. Ожидается, однако, что вскоре эти стандарты будут включены и в международные торговые соглашения, такие как Генеральное соглашение по таможенным тарифам и торговле стран Атлантического союза (General Agreement on Tariffs and Trade – GATT), и, следовательно, будут распространяться на товары, продаваемые буквально повсюду.