ВИРТУАЛЬНЫЕ МУЗЕИ: АСПЕКТЫ БЕЗОПАСНОСТИ Текст научной статьи по специальности «Право»

УДК 34:004.946:069 ББК 67:79.1

DOI 10.24411/2414-3995-2020-10255 © Д.А. Митюшин, 2020

Научная специальность 12.00.12 - криминалистика; судебно-экспертная деятельность; оперативно-розыскная деятельность; 12.00.13 - информационное право

ВИРТУАЛЬНЫЕ МУЗЕИ: АСПЕКТЫ БЕЗОПАСНОСТИ

Дмитрий Алексеевич Митюшин,

и.о. заведующего кафедрой комплексной защиты информации,

кандидат технических наук

Институт информационных наук и технологий безопасности Российского государственного гуманитарного университета

(117534, Москва, ул. Кировоградская, д. 25, корп. 2) E-mail: dalexx@inbox.ru

Аннотация. Рассматривается новый феномен современной культуры - виртуальный музей. Особое внимание уделено информационной безопасности виртуальных музеев. Проанализированы атаки и угрозы виртуальным музеям. Предложены варианты защит от угроз. Рассмотрена судебная практика по преступлениям, связанным с атаками на виртуальные музеи.

Ключевые слова: виртуальный музей, угроза информационной безопасности, киберугроза, кибератака, нарушитель информационной безопасности.

VIRTUAL MUSEUMS: ASPECTS OF SECURITY

Dmitriy A. Mityushin,

Acting Head of the Complex Data Protection Department, Candidate of Technical Sciences Institute of Information Science and Safety Technologies Russian State University for the Humanities

(117534, Moscow, ul. Kirovogradskaya, d. 25, korp. 2)

Abstract. Considered a new phenomenon of modern culture - a virtual museum. Special attention is given to the information security of virtual museums. Attacks and threats on virtual museums are analyzed. Alternatives for protection against threats are offered. Case law on crimes related to attacks on virtual museums is considered.

Keywords: virtual museum, information security threat, cyberthreat, cyberattack, intruder.

Citation-индекс в электронной библиотеке НИИОН

Для цитирования: Митюшин Д.А. Виртуальные музеи: аспекты безопасности. Вестник экономической безопасности. 2020;(4):179-84.

Постановка проблемы. В постиндустриальном обществе изменяется не только принцип производства, но и уклад жизни в целом. Информационные технологии проникают во все сферы жизни. Не обошло стороной развитие информационных технологий и культурное пространство, в связи с чем все чаще встречается новый феномен современной культуры - виртуальный музей (далее - ВМ). Например, поисковая система Яндекс по запросу «виртуальный музей» выводит 13 млн результатов при 101 тыс. показов в месяц. Google-поиск на запрос «Virtual Museum» выдает 43 100 000 результатов. Таким образом, на сегодняшний день музей - динамичное культурное учреждение, которое стремительно осваивает виртуальное пространство Интернет.

ВМ представляет собой информационную систему (далее - ИС), и как всякая ИС, имеет уязвимости и подвержен угрозам безопасности информации. Отсюда появилась проблема обеспечения безопасности ВМ.

Цель статьи - сформулировать основные угрозы виртуальным музеям и предложить пути их нейтрализации.

Понятие и особенности виртуальных музеев.

Первый управляемый виртуальный мир был создан в 70-х годах прошлого века Дэвидом Имом в Калифорнии, и в большей степени его развитие и совершенствование связано с военными и космическими технологиями. В области искусства потенциал виртуальной реальности был впервые применен Джефри Шоу, в частности, в инсталляции «Виртуальный музей» в 1991 г. во Франкфурте. Следовательно, термин «виртуальный музей» был порожден не посредством теоретических построений, а благодаря арт-объекту [4, с. 413-415]. И с того же года пользователям Интернет стали доступны простые ВМ.

Первый полноценный ВМ появился в 1994 г. В том же году французским студентом Николя Пьо-шем был открыт «он-лайн-Лувр» и сразу же был от-

мечен CERN как «Сайт года» в номинации «За лучшее использование мультимедиа» [3, с. 142-147].

Однако понятие ВМ в русскоязычной среде до конца не определено, и оно отличается от термина, принятого в англоязычной среде. Например, Максимова Т.Е. [5, с. 79-84] под ВМ понимает «такой цифровой информационный ресурс, который находится в свободном доступе в сети интернет, позволяет изучать культурноисторический материал и обладает определенными средствами коммуникации».

Энциклопедия Британика [12] характеризует ВМ как коллекцию цифровых изображений, звуковых файлов, текстовых документов и других данных, представляющих исторический, научный или культурный интерес, доступ к которым осуществляется через электронные ресурсы (носители).

Российская музейная энциклопедия [7], дает два определения:

1) Созданная с помощью компьютерных технологий модель придуманного (выделено автором -Д.М.) музея, существующего исключительно в виртуальном пространстве. Воспроизводит некоторые составляющие реального музея: каталоги «коллекций», «экспозицию» и т.п. Как правило, отличается возможностью обратной связи с посетителями сайта, широко представленными воспроизведениями «музейных предметов», наличием трехмерных «виртуальных экспозиций», дающих возможность виртуального путешествия по «экспозиции» и даже ее самостоятельного моделирования.

2) Электронные публикации объединенных по тематическому, региональному, проблемному или иному принципу подборок артефактов, в действительности находящихся в разных местах и не составляющих коллекций. На бытовом уровне ВМ нередко называют сайт реального музея.

В то же время «Технические рекомендации по созданию виртуальных музеев» Минкультуры России определяют ВМ, как - интерактивный мультимедийный программный продукт, представляющий музейные коллекции в электронном виде [8]. В рекомендациях подчеркивается, что ВМ, доступ к которому осуществляется через официальный сайт реально существующего музея, портал «Культура. рф», не является частью ни официального сайта музея, ни портала, представляя собой самостоятельное приложение.

Таким образом, в данной статье ВМ будем рассматривать в двух аспектах. Под ВМ в широком смысле будем понимать ИС, принадлежащую конкретному упреждению культуры с одноименным названием. В узком смысле - веб-платформу, обеспечивающую доступ к контенту, включая мультимедиа-технологии и сопутствующие сервисы.

ВМ имеют огромное множество разновидностей. Их создателями являются представители реально существующих музеев. Есть ВМ, которых нет в реальности, например, Виртуальный музей вещей Thngs.co. Существуют музеи образовательных учреждений и административных единиц (например, вузов, театров, детских садов, деревень и т.д.). ВМ могут создавать и частные лица. Несмотря на то, что ВМ не существует в реальном мире, но в его основе лежат реальные экспонаты.

ВМ имеют целый ряд преимуществ перед реальными:

- это своего рода «персонализированный музей» для посетителя, согласно его предпочтениям и интересам, в отличие от реального, где «персонали-зация» экспозиции - крайне редкое явление [10];

- как правило, реальный музей не может одновременно выставить все свои экспонаты из-за нехватки комнат или площадей, в то время как «площадь» ВМ ограничена лишь объемом памяти серверов;

- повышение защиты реальных экспонатов от кражи, умышленной порчи;

- оцифровка бесценных раритетов позволяет показать их большому количеству посетителей, в то время как реальные экспонаты могут требовать серьезного отношения как к условиям хранения так и к условиям экспозиции;

- оцифровка экспонатов позволит более детально их «разглядеть» (например, клейма) или лучше изучить, если речь идет, например, о древнем многостраничном фолианте;

- пользователь может получить возможность посетить любой ВМ мира из любой точке земного шара лишь, имея доступ в Интернет;

- способствуют ограничению незаконной торговли культурными ценностями [6, с. 125-128];

- оцифровка экспонатов позволяет сохранить о них представление в случае их кражи, разрушения от времени или умышленного уничтожения (можно вспомнить уничтожение памятников архитектуры

ЮРИДИЧЕСКИЕ НАУКИ

и разграбление музеев боевиками ИГИЛ в Ираке и Сирии).

Разумеется, у ВМ есть недостатки. Можно выделить два основных:

- отсутствие музейной атмосферы, «ощущения старины», прикосновения к давно ушедшей эпохе;

- появление новых угроз, с которыми не приходилось сталкиваться реальным музеям.

Анализ исследований и публикаций по теме статьи показывает, что вопрос безопасности ВМ недостаточно изучен.

Например, научная электронная библиотека eLIBRARY по запросу «виртуальный музей» выдала 1040 публикаций (по состоянию на май 2020 г.). Из них лишь одна [1, с. 11-17] посвящена безопасности ВМ.

Поисковые запросы в сервисах Яндекс и Google на фразы «кибератаки на виртуальные музеи», «cyber security of virtual museums» и «cyber-attacks against (aimed at, on) virtual museums» выдали достаточно мало информации.

В русскоязычном сегменте Интернета информации не найдено. В англоязычном сегменте - две статьи. Представитель австралийского музея «Виктория» Венди Прайор (Wendy Pryor) [11] уделяет внимание ИС реального музея, связанной с обработкой данных о деловой активности реальных музеев. Еще одна статья посвящена атаке на сайт Музея азиатского искусства (Asian Art Museum) г. Сан-Франциско [9]. Злоумышленники атаковали музей после перевода туда денег от спонсоров и благотворителей. Музей отказался платить требуемый выкуп. Как сказал директор музея по коммуникациям и развитию бизнеса Тим Холлман (Tim Hallman) отказался сообщить подробности о характере атаки и о тактике, использованной для ее преодоления.

Информации об атаках на российские ВМ не найдено, однако в приватной беседе с представителем Музея русской иконы было озвучено, что атаки на данный музей и другие ВМ происходят постоянно. Но музеи об этом не распространяются.

В качестве нерешенных ранее проблем, можно выделить основные угрозы, возможные цели и мотивы злоумышленников.

Под угрозой безопасности информации (далее -УБИ, угроза) понимается1 совокупность условий и

1 п. 2.6.1. ГОСТ Р 50922-2006 Защита информации. Ос-

факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

Большинство ВМ, особенно крупных, представляют собой распределенную ИС. Для классификации угроз можно принять за основу Базовую модель угроз2 ФСТЭК России. При рассмотрении ВМ в широком смысле возможна реализация следующих угроз:

1) угрозы утечки информации по техническим каналам.

2) угрозы несанкционированного доступа (далее - НСД) к информации, обрабатываемой на автоматизированном рабочем месте, которые включают в себя:

- угрозы, реализуемые в ходе загрузки операционной системы (далее - ОС) и направленные на перехват паролей или идентификаторов, модификацию BIOS, перехват управления загрузкой;

- угрозы, реализуемые после загрузки ОС и направленные на выполнение НСД с применением стандартных функций ОС или какой-либо прикладной программы, с применением специально созданных для выполнения НСД программ;

- угрозы внедрения вредоносных программ.

3) угрозы, реализуемые с использованием протоколов межсетевого взаимодействия из внешних сетей, в том числе:

- угрозы «Анализа сетевого трафика» с перехватом передаваемой из ИС и принимаемой в ИС из внешних сетей информации;

- угрозы сканирования, направленные на выявление типа или типов используемых ОС, сетевых адресов рабочих станций ИС, топологии сети, открытых портов и служб, открытых соединений и др.;

- угрозы внедрения ложного объекта как в ИС, так и во внешних сетях;

- угрозы подмены доверенного объекта;

- угрозы навязывания ложного маршрута;

- угрозы выявления паролей;

- угрозы типа «Отказ в обслуживании»;

- угрозы удаленного запуска приложений;

новные термины и определения.

2 Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г. // URL:// https://fstec.ru/ component/attachments/download/289

- угрозы внедрения по сети вредоносных программ.

Рассматривая ВМ как web-платформу, можно выделить основные угрозы и уязвимости характерные для web-платформ. К ним относятся [2, с. 267-268]:

1) Всякого рода инъекции, в том числе SQL, LDAP и т.д. (англ. Injection).

2) Межсайтовый скриптинг, XSS (англ. - Cross Site Scripting).

3) Ошибки в архитектуре аутентификации и управления сессиями (англ. Broken Authentication and Session Management).

4) Незащищенные ресурсы и объекты (англ. Insecure Direct Object References).

5) Подделка межсайтовых запросов, CSRF (англ. Cross Site Request Forgery).

6) Небезопасная конфигурация окружения, различных фреймворков, платформы (англ. Security Misconfiguration).

7) НСД к функционалу, требующему особых привилегий (англ. Failure to Restrict URL Access).

8) Открытые редиректы, которые ведут к фи-шингу (англ. Unvalidated Redirects and Forwards).

9) Небезопасное хранение важных данных (англ. Insecure Cryptographic Storage).

10) Недостаточная защита данных при их передаче на транспортном уровне, например по HTTP вместо HTTPS (англ. Insufficient Transport Layer Protection).

Наиболее часто используемая атака - SQL-инъекция. Например, по данным web-монитора атак реального времени Akamai1, только за сутки 13 мая 2020 г. выявлено 200 521 182 атак на web-ресурсы, из которых на SQL-инъекции пришлось 194 059 850 атак (96,78%).

Определим потенциальные цели и мотивы злоумышленников, или иначе нарушителей безопасности информации (далее - нарушителей). Для этого не имеет значения их вид, т.е. вешний или внутренний. Имеет значение лишь их потенциал т.е. возможности для реализации угроз. Заметим лишь, что к внешним нарушителем Базовая модель угроз2 отно-

1 https://www.akamai.com

2 Базовая модель угроз безопасности персональных дан-

ных при их обработке в информационных системах персональных данных (выписка). Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г. // URL:// https://fstec.ru/ component/attachments/download/289

сит: разведывательные службы государств; криминальные структуры; конкуренты; недобросовестные партнеры; внешние субъекты (физические лица).

К потенциальным целям и мотивам нарушителей, наряду с «классическими» - месть, нажива, хулиганство - можно отнести следующие.

1. Кража имеющихся на серверах ВМ мастер-копий цифровых музейных предметов с целью реализации физических подделок на их основе;

2. Изучение реального музея для реализации криминальных намерений. Многие ВМ представляют собой 3D-панораму физического музея. Используя такую панораму, злоумышленник, планирующий совершить реальное преступление (например, похищение оригинала экспоната), сможет подробно изучить схему-карту залов музея, определить местоположение камер, датчиков движения и т.п. Это позволит ему тщательно проработать план действий, вероятность успеха осуществления которого возрастет.

3. Похищение и иные манипуляции персональными данными посетителей, спонсоров, учредителей, благотворителей и сотрудников музея. Поскольку одним из направлений обеспечения информационной безопасности (далее - ИБ), определенных Доктриной ИБ РФ3, является обеспечение защищенности граждан от информационных угроз за счет формирования культуры личной ИБ, автор считает необходимым обратить внимание и на такой вид угроз.

4. Размещение на участках контента, которые могут недостаточно серьезно контролироваться сотрудниками ИБ или 1Т-специалистами (например, участки 3D-панорамы, где нет экспонатов), фишин-говых ссылок, ссылок на нелегальный контент.

5. Использование с первого взгляда «безобидного» и «доступного» сайта ВМ для тренировок начинающими хакерами с целью приобретения опыта.

6. Искажение или подмена документов и других экспонатов с целью «переписывания» истории как Российского государства, так и мира в целом, изменения отношения к внешнеполитической деятельности нашей страны. Например, если бы представленные впервые на состоявшейся 20.09.2018 выставке «Мюнхен-38». На пороге катастрофы» документы были бы частью экспозиции ВМ, то при

3 пп. «д», п. 27 Доктрины информационной безопасности Российской Федерации, утв. Указом Президента РФ от

05.12.2016 № 646. Вестник экономической безопасности

ЮРИДИЧЕСКИЕ НАУКИ

возможной удавшейся атаке, исказив факты участия СССР в тех исторических событиях, можно было бы сформировать неверное негативное представление широких масс о реальных причинах начала Второй мировой войны и реальных жертвах, а также пособниках нацисткой Германии [1, с. 11-17]. Об этом также говорится в Доктрине ИБ России1, показывая тем самым, что руководство страны уделяет этой угрозе серьезное внимание.

7. Деструктивное психологическое воздействие на общество частных ВМ, действующих вне государственных доктрин в области защиты культурного и духовного наследия.

Музеи, как виртуальные так и реальные, вряд ли можно отнести к объектам КИИ2. Однако несанкционированное воздействие на информацию, циркулирующую в ИС музея, в первую очередь ее искажение, может иметь хоть и отдаленные, но весьма серьезные последствия.

Исходя из перечисленных целей и мотивов, авторы [1, с. 11-17] классифицировали угрозы ВМ как угрозы трех уровней, каждый из кторых основывается на перечисленных выше пунктах целей и мотивов нарушителя. Первый уровень угроз - реализация киберпреступлений - основывается первых пяти пунктах, второй уровень - реализация внутриполитического и геополитического конфликтного потенциала - на шестом пункте, и третий уровень - асоциальное психологическое воздействие - на седьмом.

Уголовным законодательством России введена ответственность за преступления в сфере компьютерной информации. Это статьи 272, 273, 274, 2741 УК РФ. При изучении судебной практики на ресурсе sudact.ru автором выявлено незначительное количество уголовных дел по данным статьям.

Например, гражданин Б. в декабре 2017 г. получил доступ и заблокировал электронные почтовые ящики на сайте ГМЗ «Ростовский кремль». В ходе проведение оперативно-розыскных мероприятий и следственных действий Б. был обвинен по ч. 1 ст. 272 УК РФ, под стражей не содержался. Приговорен к судебному штрафу3.

1 пп. «а» и «г», п. 8 Доктрины информационной безопасности Российской Федерации, утв. Указом Президента РФ от 05.12.2016 № 646.

2 КИИ - Критическая информационная инфраструктура.

3 Постановление Ростовского районного суда Ярослав-

ской области № 1-164/2019 от 22.08.2019 г. по делу № 1-164/2019.

Другой пример. В феврале 2018 г. гр. Я. с целью проверки уровня своих компьютерных знаний по взлому web-ресурсов с помощью программы «SQLi Dumper» методом SQL-инъекций совершил атаку на web-ресурс принадлежащий ГБУК «Государственный историко-архитектурный художественный и ландшафтный музей-заповедник «Царицыно». Суд признал гр. Я. виновным в совершении преступления, предусмотренного ч. 1 ст. 273 УК РФ и назначил ему наказание в виде ограничения свободы сроком 8 месяцев4.

Обеспечение защиты от угроз ВМ.

Для защиты ВМ от угроз необходимо принимать комплексные меры.

Поскольку в узком смысле ВМ представляет собой web-приложение, необходимо понимать, каким образом на него могут быть осуществлены перечисленные атаки. Прежде всего, нарушитель будет вынужден обратиться к серверу, на котором хранится программный код веб-сайта, чтобы нанести деструктивное воздействие. В качестве объекта атаки можно указать и хранилище графических образов, в том числе мастер-копий, экспонатов. Реализоваться угрозы могут посредство известных технологий, применимых к любой ИС, например DNS-tunneling, Port Scanning, TOR, I2P, использованием VPN, прокси и пр. [1, c. 11-17]. В качестве решения для защиты от перечисленных угроз можно предложить более тщательный подход разработчиков к организации виртуальных локальных сетей, демилитаризованных зон, к созданию списков контроля доступа. Необходимо уделять особое внимание процессу авторизации при написании, модификации и внедрении программных кодов, непосредственно реализующих веб-приложение в виде ВМ. Этот подход позволит значительно снизить риск реализации киберугроз уровня 1 (позиции 1, 3, 4, 5 целей и мотивов нарушителей). Для нейтрализации второй позиции целей и мотивов нарушителей авторы [1, c. 11-17] полагают целесообразным «стирать» с панорам ВМ изображения средств охраны (видеокамер, датчиков движения, постов охраны и т.п.), при создании панорамной 3D-экспозиции изменять геометрию отображаемых залов.

Для защиты от угрозы второго уровня необходимо детально и подробно изучать публикуемую на ВМ

4 Приговор Кирсановского районного суда Тамбовской области № 1-140/2019 от 28.08.2019 по делу № 1-140/2019.

информацию. Данный вопрос носит дискуссионный характер, однако имеет под собой серьезную основу, которая в случае противоправных действий может поставить под угрозу национальную безопасность государства в сфере духовного и культурного наследия.

В целях нейтрализации угрозы третьего уровня предлагается регулярный мониторинг регистрируемых в сети веб-ресурсов, даже отдаленно напоминающих ВМ, и анализ их контента.

При рассмотрении ВМ в широком смысле слова необходимо использовать должным образом настроенные DLP- и SIEM-системы, системы обнаружения и предотвращения атак. Не стоит забывать и возможном применении нарушителями методов социальной инженерии.

В качестве организационных и правовых мер защиты необходимо отметить достаточно четкое оформление политики ИБ в локальных нормативных правовых актах организации, в чьем ведении находится ВМ.

Выводы.

Образовавшийся в конце прошлого века феномен виртуального музея все больше и больше входит в культурную жизнь как России, так и всего мира. Ки-беругрозы для ВМ относятся к угрозам, еще не вполне и не до конца проявившимся и не получившим широкого научно-исследовательского понимания.

В данной работе рассмотрена классификация киберугроз и кибератак для ВМ, проанализированы цели и мотивы нарушителя, способы реализации им угроз в отношении ВМ. Рассмотрены прецеденты атак на сайты музеев, рассмотрена российская судебная практика по уголовным делам, связанным с атаками на ВМ. Это позволит двигаться дальше в направлении комплексного решения задач обеспечения ИБ отечественных музеев, в том числе, в их виртуальном исполнении.

Литература

1. Алакина-Каминская, А.И., Казарин О.В. Безопасность виртуальных музеев // В сборнике: Международный гуманитарный научный форум «Гуманитарные чтения РГГУ - 2019 «Непрерывность и разрывы: социально-гуманитарные измерения» круглые столы: Тема - «Информационная безопасность культурного и духовного пространства России. Противодействие деструктивному влиянию на молодежь в социальных сетях». Тема - «Матема-

тические модели гуманитарных естественнонаучных процессов: проблемы, решения, перспективы». 2019.

2. Будников Е.А., Борисова С.Н. Уязвимость web-приложений // Международный студенческий научный вестник. 2015, № 3-2.

3. Ветеранова Д.С. Виртуальный музей: понятие, функции и возможности // Информационно-компьютерные технологии в экономике, образовании и социальной сфере. 2018. № 4 (22).

4. Гук Д.Ю., Определенов В.В. Виртуальные музеи: терминология, методология, восприятие. // Институт истории естествознания и техники им. С.И. Вавилова. Годичная научная конференция, 2014. М.: ЛЕНАНД, 2014.

5. Максимова Т.Е. Виртуальные музеи: аналитический обзор зарубежных публикаций // Вестник Московского государственного университета культуры и искусств. 2015. № 4 (66).

6. Максимова Т.Е. Виртуальные музеи: противодействие незаконному обороту культурных ценностей // Исторические, философские, политические и юридические науки, культурология и искусствоведение. Вопросы теории и практики. 2013. № 5-1 (31).

7. Российская музейная энциклопедия. Словарь музейных терминов. // URL:// http://museum.ru/ rme/dictionary.asp

8. Технические рекомендации по созданию виртуальных музеев. Версия 1.0. // Министерство культуры Российской Федерации // URL:// https://www.mkrf. ru/documents/po-sozdaniyu-virtualnykh-muzeev-250714/

9. Hackers Saw the Asian Art Museum of San Francisco as Ripe for a Ransom Attack. Are Other Cultural Institutions Next? Sarah Cascone, July 22, 2019 // URL:// https://news.artnet.com/market/hackers-attack-asian-art-museum-san-francisco-1604188

10. Ivarsson Elin, Definition and prospects of the virtual museum. Uppsala Universitet. Department of ALM. Museum and Heritage Studies, 63 p, 2009.

11. Staying safe: cybersecurity in modern museums. Wendy Pryor, Museums Victoria, Australia // URL:// https://mw17.mwconf.org/paper/staying-safe-cybersecurity-in-modern-museums-internal-external-and-hidden-threats-with-a-focus-on-cryptography-to-maintain-data-security/

12. Virtual museum. Written By: The Editors of Encyclopaedia Britannica // URL:// https://www. britannica.com/topic/virtual-museum