«Информационная экономика» не успела родиться, а уже начинает тонуть
Если молодежь в нашей стране сегодня бредит криптовалютами, то некоторые из власть предержащих неожиданно заболели «цифровой экономикой». Летом этого года премьер-министр Д. Медведев утвердил программу развития цифровой экономики страны с временным горизонтом до 2024 года.
Ряд наших чиновников заявил, что цифровая экономика - чуть ли не «национальная идея» страны. А «цифра» со временем потеснит в структуре нашей экономики доминирующие позиции нефти и газа. Мол, будем наращивать наш валовой внутренний продукт (ВВП) за счет развития цифровой инфраструктуры, технологий «больших данных», квантовых компьютеров, производства роботов и замещения людей роботами в сфере производства товаров и услуг, повсеместного внедрения искусственного интеллекта, создания «умных городов», выпуска «умных вещей» и т. п. Обо всем этом говорил Медведев на совещании правительства 31 июля нынешнего года, посвященном указанной программе.
Россия хочет быть в «мировом тренде». Но, как мне представляется, далеко не все энтузиасты идеи «цифровой экономики» до конца понимают, куда эта идея может завести. Я о своих опасениях говорю потому, что 13 мая нынешнего года президент РФ Владимир Путин подписал указ об утверждении «Стратегии экономической безопасности Российской Федерации на период 2030 года». Я внимательно изучил документ и пришел к выводу, что в нем обойдены все главные угрозы России и ее экономике. В том числе угрозы, которые возникают в связи с развитием «цифровой экономики». Свои критические замечания по документу я изложил в статье через несколько дней после указа.
Что касается программы развития цифровой экономики, утвержденной правительством, то в этом 100-страничном документе рискам и угрозам, связанным с переходом общества на цифру, отведено всего несколько абзацев (на стр. 12-13). Вставлена дежурная фраза насчет информационной безопасности: «Целью направления, касающегося информационной безопасности, является достижение состояния защищенности личности, общества и государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет и устойчивое социально-экономическое развитие Российской Федерации в условиях цифровой экономики».
Через запятую перечислены некоторые относящиеся к сфере информационной безопасности проблемы: «обеспечения прав человека в цифровом мире», «сохранности цифровых данных пользователя», «обеспечения доверия граждан к цифровой среде», «внешнего информационно-технического воздействия на информационную инфраструктуру, в том числе на критическую информационную инфраструктуру», «рост масштабов компьютерной преступности, в том числе международной» и т. п. Все это следует рассматривать как ритуальный экивок в сторону тех «отсталых» граждан, кто все еще сомневается в светлом цифровом будущем человечества.По большому счету скептики и откровенные оппоненты идее цифрового общества видят в ней одну и самую главную угрозу - создание электронного концлагеря, в котором человек полностью утратит остатки своей свободы. Будет установлен новый мировой порядок с тоталитарной властью «избранных» и безусловным подчинением всех остальных этой элите. Остатки национального суверенитета в таком глобальном электронном концлагере исчезнут. Минимальное отклонение от установленных норм поведения и любое инакомыслие будут наказываться нажатием кнопки, которое будет означать полное отключение человека от всех систем жизнеобеспечения.
Эта сторона вопроса выражена в программе одной фразой, но очень витиеватой: «угрозы личности, бизнесу и государству, связанные с тенденциями к построению сложных иерархических информационно-телекоммуникационных систем». Без перевода этой «эзотерики» на русский язык обычный читатель не в состоянии понять, что «сложные иерархические информационно-телекоммуникационные системы» - это и есть электронный концлагерь.
Не знаю, подозревают ли авторы программы и его ретивые сторонники об этой стороне «цифровой экономики»? В один прекрасный момент «цифровой рай» может превратиться в «цифровой ад». Все мы знаем, куда мостится дорога «благими намерениями».
Но в данном случае я буду говорить не о проблеме электронного концлагеря, а о более конкретном вопросе, который в документе называется проблемой «сохранности цифровых данных пользователя». А именно об угрозах краж цифровой информации, касающейся юридических и физических лиц.
Применительно к физическим лицам (гражданам) речь идет, в первую очередь, о персональных данных (имя, отчество, фамилия, дата рождения, адрес, семейное положение, прочие паспортные данные, реквизиты счета, налоговый номер, данные о доходах, образовании, месте работы, занимаемой должности и т. п.). Во многих странах сегодня уже принято законодательство, которое определяет состав персональных данных, а, главное, гарантирует гражданам сохранность (в том числе конфиденциальность) этих данных, которые они могут (или обязаны) представлять в те или иные органы государственной власти. Сверх этого речь идет о сведениях, касающихся личной жизни человека: привычках, вкусах, убеждениях, хобби, знакомствах, регулярно посещаемых местах и т. п. Такие сведения человек никуда не представляет, это информация, которую на законной, полузаконной или даже совсем незаконной основе собирают разные компании, организации и ведомства (ее можно назвать информацией, добываемой в результате слежения за человеком; раньше это называлось понятным словом «шпионаж»).
Получение несанкционированного судом или прокуратурой доступа к таким сведениям и нарушение прав человека на личную жизнь происходит уже сегодня. Кражи персональных данных и другой информации личного характера стали не только возможными, но уже превратились в неотъемлемую часть жизни современного человека. Кто-то еще не подозревает, что его обокрали или регулярно обкрадывают. А для кого-то такие кражи стали уже ощутимыми и даже превратили жизнь в сущий ад. По той причине, что эта информация оказалась у бандитов или, скажем, у коллекторов.
Дам наиболее обобщающую статистику краж. Специализирующаяся на вопросах информационной безопасности американская организация Risk Based Security (RBS) публикует обзоры ситуации с информационной безопасностью в мире, начиная с 2013 года. Приведу данные, взятые из этих обзоров, которые демонстрируют динамику хищений в последние годы (табл. 1).
Табл.1. Масштабы хищений информации в мире
Источник здесь.
Как видно из приведенных данных, в 2013-2017 гг. наблюдалось увеличение количества хищений информации в мире, но рост был умеренным (в 1,6 раза за период 2013-2017 гг.). А вот общие объемы украденной информации росли гораздо более высокими темпами: в 2017 году этот показатель был почти в 16 раз выше, чем в 2013 году. Особенно резким (взрывообразным) был рост объемов похищенной информации в 2016 и 2017 гг. За весь прошлый год было украдено 4,2 млрд. единиц информации. В этом году только за первые шесть месяцев показатель превысил 6 млрд. единиц. В среднем по 1 млрд. ед. в расчете на месяц.
Если исходить из того, что второе полугодие будет таким же, тогда 2017 год даст общий объем краж, равный 12 млрд. единиц. Астрономическая величина! Более 3 единиц информации в расчете на одного взрослого жителя нашей планеты. И это всего за один год! О какой информационной экономике можно говорить, если она полностью «дырявая»!
Приведенные цифры свидетельствуют о том, что масштаб средней кражи информации сегодня несоизмеримо больше, чем в 2013-2015 гг. Если, например, в 2015 году среднее количество похищенных единиц информации в расчете на одну кражу составляло всего 200, то в 2017 году - уже 2700. Общее количество краж в 2016 году составило 4.149. 94 кражи относились к категории крупных, хищение более 1 млн. единиц информации. Основной объем хищений пришелся на 10 краж - 3 млрд. единиц, или более 70% всего объема похищенной информации. Примерно половину всех случаев краж можно вообще отнести к «мелочевке» (19,7% отнесены к категории умеренных - от 1000 до 10.000 единиц информации. А 30,7% краж - мелкие - от 1 до 1000 единиц информации).
Если экстраполировать первое полугодие 2017 года на весь нынешний год, то мы получим количество краж, равное примерно 4.400 - 4.500. Может быть некоторое увеличение показателя, но незначительное. Следовательно, можно сказать, что за этот год, вероятно, резко вырастет «калибр» отдельной крупной кражи. И очень значительно - в 2,5 -3 раза.
За первые шесть месяцев текущего года количество крупных краж составило 50. Получается, что на крупные кражи пришлось 2,2% всех зафиксированных случаев. В обзоре показатель крупных краж за первую половину 2017 года сравнивается с данными за первую половину 2013-2016 гг. В 2013-2015 гг. показатель находился на уровне примерно полутора десятка случаев. В 2016 году он уже увеличился до 28. Таким образом, первая половина 2017 года характеризовалась резким всплеском количества крупных краж данных по сравнению с предыдущими годами.
На какие базы данных приходится основная часть всех хищений? Отчеты RBS дают примерно следующую раскладку по основным сферам общественной жизни (табл. 2).
Табл. 2. Доля общественных секторов в общем количестве случаев краж информации и объемах похищенной информации в 2016 году (% к итогу)
Источник здесь.
Не всегда возможно точно идентифицировать сферу общественной жизни (иногда базы данных носят смешанный характер). Поэтому количество случаев краж, которые сложно привязать к определенному сектору, составляет почти ¼. Подавляющее количество идентифицированных случаев посягательств приходится на базы данных, относящихся к бизнесу. Далее следуют посягательства на базы данных правительственных учреждений. Среди новых тенденций в сфере хищений информации было отмечено резкое увеличение краж данных из налоговых служб и рекрутинговых агентств.
Когда речь идет о хищениях информации из баз данных бизнеса, значительная часть такой информации представляет собой персональные данные. Например, такая информация хранится в бюро кредитных историй (БКИ). В этом году (в сентябре) произошла громадная утечка информации из базы данных компании Equifax - одного из крупнейших в США и в мире БКИ. Всего были похищены данные на 143 млн. американцев, о чем вынуждена была заявить сама компания.
Интересными данными располагает российская компания InfoWatch (специализируется на информационной безопасности в корпоративном секторе: защите корпораций от утечек информации и целевых атак извне). По ее оценкам, на персональные данные приходится 96% всей похищаемой в мире информации. Такие данные - самые ликвидные, поэтому злоумышленники, как правило, посягают именно на них. Их интересуют атрибуты банковских карт, номера соцстрахования и их аналоги. При этом секреты производства и гостайна интересны в единичных случаях, хотя, возможно, стоить могут в разы больше, чем «персоналка».
По данным RBS, причиной 41% случаев краж в этом году были хакерские атаки на базы данных (hacking). А по объемам похищенной информации на этот метод пришлось более 80%. Это примерно столько же, сколько и в предыдущие годы. На втором месте называются хищения через веб-сайты (Web-breach). Аналитики RBS попытались оценить, как выглядит картина хищений в разрезе «внутренние» и «внешние» хищения. Этот вопрос является очень туманным и сложным. Ведь во многих случаях внешние участники операции (те же хакеры) действуют по наводкам людей, которые находятся внутри организации, против которой планируется операция и которые выполняю роль «наводчиков». Таких «наводчиков» или «кротов» крайне сложно выявлять. Тем не менее, RBS попыталась оценить пропорцию. По данным доклада, за первое полугодие 2017 года 16% случаев краж приходится на операции, которые можно назвать «внутренними» хищениями.Интересна география краж. Безусловным лидером являются США, где произошло 1367 случаев. Это более 61% общемирового показателя. На втором месте с большим отставанием идет Великобритания (104). Далее следуют: Канада (59), Австралия (34), Китай (22). Хотя доля Китая в общем количестве случае хищений весьма скромная (около 1%), его доля в общем количестве похищенных единиц информации составляет примерно половину. «Калибр» некоторых хищений из баз данных в Китае измеряется сотнями миллионов единиц.
В медицине есть хорошее правило: «Не навреди». Я привел некоторые данные по хищениям информации из различных баз данных в мире для того, чтобы задуматься над простыми вопросами:
- Действительно ли нынешняя глобальная кампания под лозунгом «информационной экономики» делает мир более безопасным, комфортным, экономически эффективным и устойчивым?
- Являются ли нарастающие масштабы хищений информации из баз данных «случайным совпадением», проявлением чьей-то «халатности» и «непрофессионализма» или же это сознательный заговор против человечества, прикрываемый как всегда «благими намерениями»?
- Ограничивается ли картина хищений информации из баз данных только теми случаями, когда об этом заявляют потерпевшие? Или же таких случаев гораздо больше по той причине, что потерпевшие не желают обнародовать такие новости или же даже не подозревают, что их кто-то обворовывает?
- Стоит ли России, которая спешит не отстать от мировых трендов, наступать на те грабли, на которые наступили и наступают другие страны, которые раньше нас встали на путь построения цифрового общества?
Особенно меня беспокоит последний вопрос. И особенно потому, что в только что принятой правительственной программе развития информационной экономики вопросы безопасности (в том числе защиты данных от хищений) практически отсутствуют. Боюсь, что нынешняя программа может для нас стать кратчайшим путем в мировой электронно-банковский концлагерь.
.jpg)