Стрелкова Ирина Анатольевна Факторы формирования теневого
информационных услуг
В статье рассматриваются вопросы современного состояния теневого рынка информационных услуг, выделяется его структура особенности, этапы развития. Дается анализ проблем обеспечения информационной безопасности отдельного человека, бизнеса и государства, определяются направления регулирования теневого рынка информационных услуг.
Информационные услуги, теневой рынок, конфиденциальность, коммерческая тайна, информационная безопасность.
Теневой рынок информационных услуг представляет собой совокупность коммерческих отношений, связанных с противозаконными действиями по поиску, извлечению, копированию и распространению информации личного (персональные данные) и делового (коммерческая информация) характера.
Предметом сделок на теневом рынке информационных услуг выступает информация. По оценкам экспертов, его оборот составляет ежегодно более 1 трлн дол.
К факторам формирования теневого рынка информационных услуг можно отнести:
- невозможность получения данных, информации законными способами;
- недостатки в системах защиты информации (по данным статистики, утрата лишь 20% от сведений, составляющих коммерческую тайну, приводит к разорению 65% компаний, которые не смогли обеспечить надлежащий режим защиты информации) [5; 4];
- возрастание спроса на информацию со стороны коммерческих структур, СМИ и др.;
- относительно низкая стоимость теневых информационных услуг по сравнению с официальными;
- недостатки правового обеспечения рынка информационных услуг.
Наиболее распространенным видом информационной услуги на теневом рынке является распространение информации, добытой незаконным путем. Причем актуальность проблемы несанкционированного доступа и воровства информации становится с каждым годом все выше. Так, в 2009 г. по сравнению с 2008 г. количество хищений информации выросло на 39%.
Одной из наиболее острых проблем стала необходимость защиты граждан от вторжения в их частную жизнь: несанкционированного сбора данных о человеке и внесения их в некие электронные каталоги как коммерческих, так и некоммерческих организаций, а также различного рода административных и иных государственных органов.
Широко известны факты о периодической несанкционированной утечке электронных баз данных как в России, так и в других странах. Например, компания United Parcel Service, занимающаяся доставкой грузов, потеряла компьютерные носители с личными данными 3,9 млн клиентов розничного подразделения Citigroup - CitiFinancial. В документах содержатся их имена, номера социального страхования и счетов, а также платежные истории.
В структуре теневых информационных услуг персональные данные составляют подавляющее большинство: на них приходится около 90%, далее следует информация, составляющая коммерческую тайну - 3,5%, на гостайну приходится 1,8%, на другую информацию - 4,4% [7].
Известно также, что многие линии связи анализируются различными коммерческими организациями по соображениям маркетинга: скрытые программы отслеживают привычки потре-
О tr¡ О S
S
>
tri
>
E=i О
S
¡=l
TS
>■
bd О
\
о pq
Plh
К
К О
н
^¡ч
К S о и о и
£Т5
бителей во всех сегментах рынка товаров и услуг, а данные, создаваемые на этой основе, перепродаются. Практика доказывает, что уязвимы и базы данных, содержащие конфиденциальную информацию - медицинские, школьные, налоговые, банковские и т.д.
В связи с тем, что в России принято принципиальное решение о составлении единого банка электронных данных на каждого из граждан страны по основным биометрическим параметрам личности и фактам ее жизнедеятельности, вопросы законодательного сопровождения этого процесса и полноценной защиты личной тайны становятся одними из самых актуальных.
Одной из актуальных проблем развития теневого рынка информационных услуг является предотвращение незаконного копирования информации и изготовления на этой основе контрафактной продукции («пиратство»). Резкий скачок в развитии носителей информации и в скорости ее копирования сделали одним из самых выгодных видов теневого бизнеса пиратское изготовление контрафактной аудио-, видео-, DVD- и иной электронной продукции.
Пиратское изготовление DVD-дисков приносит в России до 1300% прибыли. Проблема «пиратства» является актуальной и для стран с развитыми правовыми и экономическими институтами. Уже в первые годы существования мировой лидер программного обеспечения (ПО) компания Microsoft столкнулась с острой проблемой незаконного копирования своих продуктов. В связи с этим ею были разработаны новые принципы распространения ПО - лицензирование программ. При таком подходе имущественные права на программу после ее продажи оставались у Microsoft. Однако указанная проблема и по сей день остается не до конца решенной.
Четыре крупнейших изготовителя бытовой электроники - Sony, Samsung, Philips и Matsushita (более известного под брендом Panasonic) - объявили о новой объединенной инициативе, направленной на создание единого стандарта для защиты цифрового контента от копирования. Создан единый комплект спецификаций DRM - «управления цифровыми правами».
Организация Business Software Alliance (BSA), созданная крупнейшими компьютерными компаниями для борьбы с софтверным «пиратством», опубликовала результаты исследования, проведенного по ее заказу компанией IDC. Исследование, охватившее 57 стран мира (в том числе и Россию), было посвящено выявлению возможной взаимосвязи между уровнем «пиратства» в каждой конкретной стране и степенью развития ее информационного сектора. Как следует из комментариев BSA, результаты исследования однозначно свидетельствуют о существовании такой зависимости.
В среднем страны, где доля используемого контрафактного программного обеспечения меньше, обладают более развитым информационным сектором (учитывался вклад хайтек-индустрии в валовый национальный продукт) и демонстрируют более высокие темпы его развития. Удачный пример - Великобритания, в которой при самом низком из всех стран Западной Европы уровне пиратства (25%) рост ИТ-сектора наибольший. В странах же с высоким уровнем «пиратства» - таких как Россия, Китай и др. ситуация обратная.
Согласно прогнозам экспертов BSA, если средний уровень «пиратства» в исследованных странах, равный 40%, удастся снизить различными мерами законодательного характера и методами административного воздействия правоохранительных органов до 30%, это автоматически приведет к созданию 1,5 млн рабочих мест и принесет в государственные бюджеты 64 млрд дол. налогов [4; 6].
Об актуальности проблемы информационной безопасности бизнеса и государства свидетельствуют многочисленные факты.
Согласно данным исследования, проведенного консалтинговой компанией Ernst & Young на предприятиях нефтегазовой отрасли в России и странах СНГ, более 65% компаний нефтегазовой промышленности сталкиваются с нарушениями информационной безопасности. В половине случаев эти нарушения связаны с хакерскими атаками, в том числе с проникновением в информационную систему извне; с атаками, имеющими цель вызвать отказ в обслуживании; с саботированием сетей; с финансовым мошенничеством и хищением коммерческой информации.
В связи с использованием электронной системы на выборах всех уровней представительной власти: федеральной, субъектов федерации, городов и муниципальных образований -при голосовании и при подсчете сводных результатов приходится отражать множественные
попытки несанкционированного доступа к информации.
Чтобы противостоять угрозам незаконного доступа к данным, необходимо правильно определить угрозы и опасности, приводящие к искажению, хищению или потере ценной информации, оценить риски реализации возможностей новых информационных технологий, выработать и реализовать эффективные меры по их устранению или минимизации.
На современном этапе для завоевания рынков могут использоваться различные средства: поглощение конкурентов, переманивание клиентов, использование агрессивных стратегий, дезинформация. В этих условиях общество становится чрезвычайно уязвимым на всех уровнях, начиная с государственных структур и кончая отдельным человеком.
С другой стороны, с развитием сетевых информационных технологий предприниматели вынуждены открывать доступ клиентам, партнерам, поставщикам и собственным сотрудникам к своим внутренним ресурсам. Это делает их бизнес уязвимым для деловой разведки, которая сегодня обладает необходимым инструментарием для нахождения своевременной и ценной для принятия решений информации.
В настоящее время на рынке присутствует множество фирм, которые специализируются на оказании информационных услуг в этой сфере. Они выполняют заказы клиентов по отслеживанию, выборке и анализу информации о конкурентах, содержащейся:
- в финансовых отчетах компаний,
- в Сети;
- в рекламных объявлениях;
- в сведениях о патентах;
- в электронных базах данных государственных, коммерческих и некоммерческих организаций и других источниках.
Б. Спен, независимый эксперт в области деловой разведки, отмечает, что сегодня нет непреодолимых преград для получения конфиденциальной информации фактически о любой компании и человеке [6].
Практическое использование данных деловой разведки (о ценовой политике, проектах слияний и поглощений, а также рекламные объявления и анонсы) позволяет постоянно отслеживать и анализировать информацию, имеющую отношение к коммерческой деятельности хозяйственных субъектов и их конкурентов, позволяет раскрывать планы до их реализации, проводить изучение потенциального спроса на продукцию и услуги. Например, достаточно отслеживать на сайтах конкурентов резюме, объявления о вакансиях, чтобы сделать вывод о слабостях и трудностях компаний или о возможных изменениях в их тактике и стратегии, о том, в каком направлении они движутся.
Эксперты в этой области отмечают, что 90% информации, обрабатываемые деловой разведкой, добывается из доступных открытых источников информации. В качестве примера, подтверждающего правоту этого утверждения, можно привести действия японской фирмы JVC против ее конкурента фирмы Sony. Спустя всего два месяца после выпуска фирмой Sony цифровой видеокамеры, фирма JVC, воспользовавшись результатами НИОКР, проведенных конкурентами, и оценив рыночные возможности нового продукта (на основе имеющегося опыта продаж), предложила собственную новую модель, в которой были учтены все недостатки модели конкурента.
Особым случаем правового законодательства должны быть также вопросы несанкционированного доступа к базам данных как государственных, так и коммерческих организаций (на современном электронном «черном» рынке систематически появляются базы данных ГИБДД, Центробанка, налоговых служб, МВД и т.д.). В этой связи правительство определило правила оказания услуг связи силовым структурам, утвердив поправку к закону «О связи», гарантирующую безопасное и бесперебойное обслуживание силовиков.
Юридической основой для создания защищенных информационных систем бизнеса являются действующие государственные стандарты и рекомендации по защите информации. Правами сертификации электронной продукции у нас наделяются коммерческие организации (после прохождения процедуры лицензирования).
Данные о международном опыте работы над объектами стандартизации в области информационной безопасности также свидетельствуют о том, что этой проблеме развития тене-
О
pq о
К >
и >
£=1 О
К
¡=1
•па
>■
bd О
\
о pq
Plh
К S
U-i О
H <
M
s s
о и
о
и m
вого рынка информационных услуг уделяется недостаточное внимание. Некоторые исследователи утверждают, что американский бизнес не любит дискуссии на тему информационной безопасности, чтобы не провоцировать охоту за коммерческими секретами. Между тем, по оценке Института компьютерной безопасности, один украденный у сотрудника рабочий компьютер в среднем приносит организации около 20 тыс. дол. убытка.
В Европе первые шаги в решении проблемы информационной безопасности были предприняты в ФРГ, где была подготовлена «Зеленая книга», в которой комплексно рассмотрены требования к доступности, целостности и конфиденциальности информации, как в государственном, так и частном секторе. В 1990 г. «Зеленая книга» была одобрена во Франции и Голландии и направлена в Европейский союз (ЕС), где на ее основе была подготовлена 1ТЭЕС - Критерии оценки защищенности информационных технологий, или «Белая книга», как европейский стандарт, определяющий критерии, требования и процедуры для создания безопасных информационных систем.
Актуальными становятся требования по вопросам официального раскрытия корпоративной информации. Закон Сарбейнса - Оксли (2002 г.), принятый в США после крупнейших скандалов, связанных с предоставлением недостоверной финансовой отчетности и последующим банкротством гиганта энергетики «ЭНРОН» (капитализация на момент банкротства составляла более 90 млрд дол.) и телекоммуникационной компании Worldcom (капитализация более 60 млрд дол.), обязывает регулярно, не менее одного раза в три года, проверять информацию, включая финансовую отчетность, раскрываемую компаниями, чьи ценные бумаги котируются на биржах или продаются через НАСДАК (National Association of Securities Dealers Automated Quotations - NASDAQ) - Систему автоматизированных компьютерных котировок Национальной ассоциации биржевых дилеров, торговля которыми происходит на внебиржевом рынке. Позже этот закон был дополнен уголовной ответственностью за недостоверную финансовую информацию на срок до 25 лет тюремного заключения.
Если в США проблема защиты информации практически решена посредством законодательства против продажи инсайдерской информации и хищений информации персонального характера, то в других странах она остается актуальной. Например, порядок в отношении персональной информации действует в Великобритании только с 2009 г. [7].
Вопросам раскрытия информации уделяется много внимания и в «Принципах корпоративного управления ОЭСР», опубликованных в 1999 г. Участниками ОЭСР - Организации экономического сотрудничества и развития на сегодняшний день являются 30 наиболее развитых стран мира.
В 2010 г. вступили в силу нормативные акты, обязывающие различных операторов персональных данных сообщать об утечках и хищениях информации. Более того, эта проблема обострилась во многих странах, что потребовало создания и внедрения международных стандартов. В РФ проблема инсайдерской информации и сохранности персональных данных также остается важной как для бизнеса, так и государства.
В РФ в действующих в настоящее время законодательных актах учтены требования Международной организации комиссий по ценным бумагам ИОСКО, членом которой с 1995 г. она является.
Во многих странах, в том числе в большинстве стран Западной Европы, в последние годы были приняты законы, запрещающие использование информационных ресурсов в ущерб национальным интересам. Здесь чрезвычайно актуальна проблема сохранения конфиденциальной информации, связанной с коммерческой деятельностью фирм или частной жизнью. Например, банки могут использовать хранимые в компьютере ретроспективные данные (Закон о кредитных историях), но многие считают, что компьютеризация кредитной информации нарушает коммерческую тайну.
Общим случаем сокращения объемов теневого рынка информационных услуг является решение проблемы защиты информационных сетей от проникновения в них различных вирусов и программ-шпионов. Это действительно важный фактор пополнения государственных бюджетов: ущерб от вируса гриппа составляет в мире до 13,4 млрд дол. в год, а ущерб от компьютерных вирусов - 55 млрд дол.
В Сети существуют бесплатные программы, которые пользователь может беспрепят-
ственно загрузить в свой компьютер, устанавливая таким образом программу-шпиона, которая не только начинает добавлять новые непонятные функции, но и собирает информацию, переправляет ее неизвестно куда и сопротивляется удалению стандартными средствами. Такая программа получила название «шпионское ПО» (врушаге). В ответ на это в Сети все чаще стали появляться программы - «антишпионы», которые часто не столько вычищают врушаге, сколько сами устанавливают в машину шпионские модули.
Американский Институт компьютерной безопасности и подразделение ФБР, занимающееся проблемой вторжений в компьютерные системы, опубликовали результаты опроса, посвященного изучению динамики развития электронного криминала. Согласно этому опросу, охватившему почти 600 компаний, за исследуемый год число компьютерных преступлений в них увеличилось на 10%. Около 70% респондентов заявили о том, что за последние 12 месяцев столкнулись со случаями нелегального использования своих компьютерных систем. При этом очень часто компании страдают не от хакеров, а от своих сотрудников. Имея доступ к важной корпоративной информации, они могут стать серьезной проблемой, причиняя ущерб, несопоставимый с тем, что наносит большинство внешних вторжений.
Указанная проблема актуальна и для российских компаний. Есть виды деятельности, в которых получение и сохранение информации и знаний играют решающую роль, а замена ключевых сотрудников сопряжена с существенными издержками. На сайте журнала «Персонал-Микс» опубликованы результаты опросов, посвященных проблеме потерь, связанных с уходом сотрудников компании и утечкой коммерческой информации. На вопрос, какой ущерб фирме, в которой вы работаете, может нанести ваш уход - ответы сотрудников распределились следующим образом [3].
1 Никакого ущерба 27%
2 Я заберу с собой знание особенностей с клиентской базы 25%
3 Я унесу ноу-хау, без которых работа не сможет выполняться эффективно 17%
4 Работа просто встанет, так как я ключевой работник проекта 28%
5 Я разглашу коммерческую тайну 3%
Результаты опроса показывают, что российские работники лояльны своим компаниям: только 3% респондентов готовы разгласить ее коммерческие тайны. Однако для невосполнимых потерь может быть достаточно нелояльности одного ключевого сотрудника. Притом, что 70% респондентов считают, что они унесут с собой знания и навыки, весьма необходимые для успеха бизнеса.
Большое значение в международной правовой практике имеет распространение на Интернет «принципа универсальной услуги» (ПУУ). Этот принцип - ПУУ был закреплен американским законодательством еще в 1934 г. Принцип универсальной услуги основан на том, что все услуги, а, следовательно, также информационные и компьютерные услуги являются фундаментальным благом, а потому государство должно обеспечить всем гражданам свободный доступ к ним.
В российском законе «О связи» также заложено понятие универсальной услуги. Это предполагает, что каждый житель страны может позвонить из таксофона или войти в Интернет из пункта коллективного доступа. Для обеспечения такой возможности создан специальный резерв (фонд) для покрытия затрат на телефонизацию удаленных регионов, которая не окупается. Операторы связи выплачивают в фонд 1,2% своей выручки.
Но информация, представляющая государственную тайну, имеет иную специфику. Ее цена не определяется балансом спроса и предложения, поскольку в рыночной продаже эти объекты собственности отсутствуют. Поэтому правовой аспект юридической ответственности рассматривается не с позиций понесенного денежного ущерба, а исходя из высших государственных интересов по сохранению государственной тайны. Вместе с тем не все решения, направленные на обеспечение информационной безопасности государственных структур, выполняются.
Распространение информации в различного рода печатных и электронных средствах (СМИ) - газетах, журналах, радио, телевидении, Интернете может служить средством манипулирования общественным мнением как в политических, идеологических, религиозных, так и коммерческих целях. Поэтому правовые нормы должны регулировать данные аспекты рынка
Ы О К О
г
к
м
>
и >
£=1 О
К
¡=1
•по
>■
ьа о
информационных услуг [1, 2].
Сегодня это проявляется в применении различных мер административной и уголовной ответственности (вплоть до закрытия периодических изданий после трех предупреждений о тех или иных нарушениях по политическим, религиозным, нравственным, национальным и иным мотивам).
Сети содержат в себе и другие риски: скрытые подключения к линиям, подслушивание в крупных масштабах. Эксперты Агентства национальной безопасности США доказали, что группа киберпреступников может одновременно прекратить подачу электроэнергии, блокировать центры срочной помощи, службы морского и воздушного контроля, вторгнуться в систему Пентагона и на биржу. Развитие всех видов злоупотреблений, связанных с теневым рынком информационных услуг, сопровождается их криминализацией. В этом процессе можно выделить несколько этапов:
- 70-е гг. прошлого века (период освоения информационных технологий): воровство программ, подделка кредитных карт;
- 80-е гг. (появление локальных и связанных между собой сетей): хищения фондов и деятельность хакеров;
- 90-е гг. (появление Интернета): несанкционированный доступ или подключение к информационной системе, «скачивание» программ, данных, нарушение функционирования системы, уничтожение или изменение данных, внедрение в систему вирусов, логических бомб и т.д. Промышленный шпионаж и не только промышленный;
- первое десятилетие 2000-го года - (с сохранением и развитием предыдущих достижений в этой области, возможностей мобильной связи и новых информационных услуг) информационные войны, деловая разведка с использованием всех возможных приемов получения информации, применение высокочастотного радиоизлучения, электромагнитных импульсов, способных вывести из строя все электронное оборудование в радиусе действия и др.
Таким образом, регулирование деятельности в области предоставления информационных услуг напрямую связано с институциональной потребностью государства в обеспечении национальной безопасности. Однако при этом необходимо учитывать интересы всех участников информационной деятельности.
Современное состояние проблемы развития теневого рынка информационных услуг свидетельствует о том, что необходима взаимная корректировка принципов информационной безопасности бизнеса и национальной безопасности при выработке и реализации информационной политики государства.
Литература
[1] Федеральный закон Российской Федерации «О коммерческой тайне» от 29.07.2004 г. №98-ФЗ.
[2] Дашян М.С. Право информационных магистралей (Law of information highways): Вопросы правового регулирования в сфере Интернет. - М: Волтерс Клувер, 2007.
[3] Кобаладзе Ю. Существуют правила игры // Персонал-Микс. - 2005. - №3.
[4] Компьютерра. - 2009. - №13.
[5] РБК, 23.11.2010 г.
[6] http://www.ris.ru
[7] http://www.securelist.com/ru/analysis/208050624/Globalnoe_issledovanie_utechek_za_2009_god
О pq
PLH
К
S U-i
О
1=2
H <
M s
s
о ш
о
и m