Брэд Смит (Brad Smith) - президент и главный юрист Microsoft - только что выпустил книгу «Орудия и Оружие. Обещания и опасности цифровой эпохи» (Tools and Weapons: The Promise and the Peril of the Digital Age). Брэд Смит не просто главный юрист Microsoft последних двух десятилетий, он - главный мыслитель и идеолог мира американских гигантов IT-индустрии. Он общается с политическими лидерами: Обамой, Трампом, Си Цзэньпином, Макроном и пишет законы для мирового Интернета. Думаю, что в скором будущем Смит может уйти в политику, если для него найдется в США достойная его выдающихся способностей поддержка.
Название книги - магнит для всех, кто занимается развитием технологий, и для тех, кто пытается законодательно их урегулировать. Тема использования Интернета как оружия (weaponization) - на сегодня самая «горячая», и выбрана, конечно, для привлечения внимания к книге. Тема раскрыта ровно наполовину – она изложена с позиций американского юриста, с соответствующими юридическими и политическими ограничениями. Но и это уже что-то, ведь позицию других сторон (в частности, точку зрения российских или китайских технологических компаний) можно собирать только по крупицам.
Повествование начинается с истории об Эдварде Сноудене - сотруднике американских спецслужб, сбежавшем из США в 2013 году и получившем убежище в России. Сразу после побега Сноуден предал гласности доказательства тотальной слежки американских спецслужб с использованием самых современных интернет-технологий, включая камеры и микрофоны на ноутбуках и телефонах.
Интернет-гиганты в тот момент особенно остро осознали, что интернет-пользователи во всем мире ждут от них заботы и защиты. Многие ведь верили лозунгам «доверия к компьютерным технологиям» («trustworthy computing») от Microsoft и «не делай зла» («don’t be evil») от Google. Разоблачения Сноудена серьёзно подорвали доверие пользователей к интернет-гигантам.
[su_pullquote align="right"]Вице-президент Еврокомиссии: убытки компаний США из-за разоблачений Эдварда Сноудена могут составить $35 млрд[/su_pullquote]
Интересно пишет Смит о том, как тяжело было интернет-гигантам общаться с собственным же правительством. Политики, включая Обаму, демонстрировали полное безразличие к концепциям доверия к интернет-гигантам. Смит не пишет негативно об Обаме, хотя тогдашний президент США, по моим воспоминаниям, был воплощением этого безразличия - в его речах подчеркнуто звучала тогда забота только об американских гражданах и о соблюдении американской конституции применительно к частной жизни исключительно американских граждан.
[su_pullquote]Apple, Google, Microsoft, Facebook и другие IT-компании просят Конгресс США ограничить полномочия спецслужб[/su_pullquote]
Microsoft и Google объединились для того, чтобы добиться какого-то сохранения собственного лица, подали иск к собственному правительству, требуя большей гласности в отношении секретного суда по вопросам слежки за иностранными разведками. Этот процесс завершился мировым соглашением: компаниям было позволено публиковать ранее засекреченную информацию о количестве запросов госорганов (по решению суда) на доступ к личным данным. Полумера, чтобы как-то успокоить общественность.
Неприкосновенность частной жизни подробно рассматривается во второй и третьей главах книги. Наученный ситуацией со Сноуденом, Microsoft стал занимать в последние годы гораздо более активную позицию в отношении чрезмерных требований собственного правительства. Определенно, Смит раньше других в индустрии понял необходимость дистанцироваться от государства и предпринял несколько попыток сделать это.
В одном из случаев - подал в суд на правительство (ФБР), которое предписало выдать интернет-переписку пользователя, находящуюся в дата-центре Microsoft в Ирландии. Позиция Microsoft состояла в том, что ФБР должна использовать механизмы Конвенции о взаимной правовой помощи по уголовным делам, т.е. ФБР должно было обратиться напрямую к правительству Ирландии для получения необходимых данных. ФБР же настаивало на том, что конвенционные процедуры слишком затратны по времени.
Дело дошло до Верховного Суда США, и Microsoft приложил большие усилия для того, чтобы процесс максимально широко освещался в мировой прессе. И что в результате?
[su_pullquote align="right"]Вправе ли государство претендовать на доступ к е-данным, если они находятся в другой стране – политика ЕС и США[/su_pullquote]
Суд закончился подписанием мирового соглашения и принятием нового американского закона - CLOUD Act. Теперь закон таков, что американские компании обязаны выдать информацию по ордеру ФБР, даже если эта информация находится за границей. При этом, правда, прописана возможность установления новых межправительственных процедур по обмену информацией и возможность интернет-компаний обжаловать ордеры в суде со ссылкой на нарушения прав на защиту частной жизни. Но в целом - это результат в пользу ФБР.
В четвертой главе книги Смит пишет о кибербезопасности, в частности, об инцидентах 2017 года, когда уязвимость операционной системы Windows была использована для широкомасштабных хакерских атак. Кибербезопасность - тема крайне спекулятивная. У американцев есть выражение «clear as mud», то есть «ясно, как грязь». Так вот в кибербезопасности это всегда именно так - и любой комментатор может найти и подчеркнуть в любой ситуации только выигрышные именно для него аспекты.
Вот и в этой главе, вскользь упомянув, что уязвимость была создана как кибероружие Агентством национальной безопасности США, Смит сразу же переходит к описанию последствий кибератак, которые уже и так были широко описаны в прессе. Смит заканчивает тем, что Microsoft совместно с Facebook в декабре 2017 года публично заявили о демонтаже части инфраструктуры, которая использовалась хакерами для атак. Он подробно пишет о том, как это публичное выступление было скоординировано с правительством США.
Интересно, что в мае 2017 года в своем общедоступном блоге Смит делал гораздо более смелые заявления, нежели то, что позволяет себе в книге. Он писал тогда: «Эта атака - ещё один пример, почему накопление уязвимостей правительствами является такой проблемой. Это новая тенденция 2017 года. Мы уже ранее видели, как уязвимости, которые хранились в ЦРУ, оказались у WikiLeaks, а теперь видим, как сейчас эта новая уязвимость украдена у АНБ и влияет на потребителей во всем мире. Не в первый раз уязвимости из рук государств попали в общий доступ и нанесли большой вред. Эквивалентом в мире обычных вооружений наверное была бы кража ракеты «Томагавк» у военных США».
Правда, Смит объясняет: «Некоторые в Белом доме и АНБ совсем без энтузиазма отозвались на нашу отсылку к ракете «Томагавк», … это отражало степень неготовности чиновников от кибербезопасности говорить с прессой о проблемах прямо или защищать свою позицию перед обществом».
Похоже, что за два с половиной года со времени той записи в блоге ничего не изменилось - кибероружие продолжают создавать и использовать.
[su_pullquote]Генассамблея ООН проголосовала за российский проект резолюции по глобальной кибербезопасности[/su_pullquote]
Косвенным подтверждением этого является отказ США участвовать в инициативе Смита по подписанию Цифровой Женевской Конвенции, которой посвящена глава 7 книги «Цифровая дипломатия: геополитика технологий». По аналогии с Женевской Конвенцией 1949 года «О защите гражданского населения в военное время» юристы Microsoft во главе со Смитом пришли к идее Цифровой Женевской Конвенции. По замыслу авторов, такая конвенция должна защитить население в Интернете в мирное время. Инициатива получила поддержку стран Евросоюза. В ноябре 2018 года в Париже под председательством президента Франции Макрона был подписан Парижский призыв к доверию и безопасности в киберпространстве. Подписантами стали 67 государств, 139 международных организаций и 358 частных компаний.
Парижский призыв, однако, не был подписан США, Россией и Китаем, что означает провал Цифровой Женевской Конвенции.
Смит так описывает свои дискуссии с государственными чиновниками США:
«В Вашингтоне идея Цифровой Женевской Конвенции более всего раздражала официальных лиц, игравших ключевую роль в разработке наступательных кибервооружений. Они указывали, что ограничения на использование кибероружия сдерживали бы правительство США. Мы доказывали, что правительство США уже выступает против использования кибератак на гражданское население в мирное время, и это именно то, что мы и пытаемся ограничить. И если смотреть шире, история развития военных технологий показывает, что даже если США сейчас находятся на лидирующих позициях, другие страны скоро нас догонят.
Военные и спецслужбы утверждали, что, если мы создадим строгие правила и США будут им следовать, то страны-противники США этим правилам следовать не будут. Но мы были убеждены, что международные правила могли бы, тем не менее, помочь оказать давление на все страны, создавая моральные и интеллектуальные основания для более скоординированного международного ответа на кибератаки. Ну и, наконец, трудно ограничить какое-то поведение, если оно не нарушает никаких правил».
Очевидно, аргументы не подействовали на чиновников, Парижский призыв остался без подписи США, и, если верить недавней публикации в «Нью Йорк Таймс» - США занимаются кибератаками, в частности, кибератаками на энергетическую инфраструктуру России.
Глава 5 книги, озаглавленная «Защита демократии», полностью посвящена предполагаемому вмешательству России в американские выборы. Смит прямо обвиняет Главное разведывательное управление российского Генштаба в этом вмешательстве. В качестве подтверждения обвинений Смит ссылается на работу отдела Microsoft по цифровой преступности. Из книги следует, что доказательства российского вмешательства получены в результате перехвата электронной переписки, проходящей через серверы Microsoft.
Насколько можно судить по тексту, такой перехват осуществлялся на основании судебных решений, позволивших Microsoft в течение двух лет управлять доменами, в которых незаконно используется товарный знак Microsoft (очевидно, речь о перенаправлении почты на чужие почтовые серверы, такой приём описывался в СМИ – ред.). Управляя доменами, Microsoft отслеживал деятельность хакеров – разумеется, российских, да ещё и связанных со своим правительством. Из текста, правда, неясно, как удалось установить российское происхождение хакеров и их связь с российским правительством.
«У нас происходила внутренняя борьба по поводу того что нам делать с «российской проблемой». В случае, если бы мы публично высказались о связи российского правительства с хакерскими атаками, нас беспокоила вероятность того, что правительство примет ответные меры в отношении нашего бизнеса и наших сотрудников в России. Мы пытались заверить наших клиентов – из коммерческого сектора и из госсектора в России, - что наша озабоченность в отношении их правительства не означает, что мы отвернемся от них или их страны. Ведь мы же судились с нашим собственным правительством пять раз, при Обаме и Трампе».
20 августа 2018 года Microsoft выступил с публичными обвинениями в адрес России: «Отдел Microsoft по цифровой преступности успешно реализовал судебный приказ, касающийся передачи контроля над шестью интернет-доменами, созданными группой, ассоциированной с российским правительством, и известной как «Стронций», а также «Фэнси Бэр» и «АПТ28». Мы использовали этот подход 12 раз в течение двух лет, для того чтобы закрыть 84 ложных веб-сайта, ассоциированных с этой группой».
Смит далее приводит любопытный эпизод:
«Наверное, нет ничего удивительного в том, что российское правительство без энтузиазма отнеслось к активной позиции технического сектора. В ноябре 2018 года сотрудник Microsoft в Редмонде подал заявление на российскую визу для посещения конференции по искусственному интеллекту в Москве. Его вызвали за две тысячи миль в российское посольство в Вашингтоне для «визового интервью». Когда он вошел в комнату, консульский сотрудник передал ему конверт и вежливо попросил его прочитать два документа, находившиеся внутри. Сотрудник консульства затем попросил его взять документы с собой в Редмонд и передать их руководству Microsoft. Интервью закончилось менее чем через пять минут после начала, и сотрудник получил визу.
Я вскоре получил электронное сообщение с приложением двух документов. Это были отпечатанные копии англоязычных версий официальных российских новостных репортажей. Оба репортажа содержали детали моих заявлений, сделанных в августе, и отмечали несогласие российских властей с моими заключениями. Один из репортажей завершался следующей фразой: «Российские власти неоднократно отвергали любые обвинения во вмешательстве в выборы за рубежом, включая вмешательство путём хакерских атак».
Российское сообщение, адресованное Microsoft, отражало тот переплёт, в который попали многие американские технологические компании. С одной стороны, американские политики давят на нас с тем, чтобы мы занимали твёрдую позицию против иностранных хакеров. Но с другой - эти шаги ведут к тому, что на компании оказывается давление извне».
Книга Смита посвящена многим вопросам развития современных технологий и регулирования, таких, как защита частной жизни, трансграничная передача данных, развитие личности, искусственный интеллект, возрастающая роль Китая, использование открытых данных, и т.п. России в книге уделено довольно большое место, но исключительно в главах с 4 по 6, где речь идет о кибербезопасности, вмешательстве в выборы и дезинформации в социальных сетях.
Ещё несколько общих соображений после прочтения книги.
[su_pullquote align="right"]Датские капITулянты[/su_pullquote]
Microsoft, как и другие американские гиганты сферы информационных технологий, по многим параметрам сравнимы или превосходят целые государства. И роль компаний будет только возрастать. Дания уже назначила специального госчиновника по связям с технологическими гигантами. Это, наверное, самый перспективный подход. Цифровая дипломатия представляется мне более перспективной государственной политикой, нежели «суверенный Интернет».
Как заявил глава Microsoft Сатья Наделла в недавнем интервью журналу «Тайм»: «Наша бизнес-модель зависит только от одной вещи, а именно от доверия к технологиям в мире». Эта же мысль читается между строк у Смита – «доверяйте нам, мы заботимся и думаем о вас». Но можно ли доверять, когда так многое зависит от секретных американских судов и политической борьбы внутри США.
В вопросе доверия наиболее интересным является опыт Павла Дурова с Telegram - его попытка построить действительно суверенную, независимую от государств компанию. Но это тема для отдельного разговора.
Об авторе: Александр Страх - эксперт в области защиты прав интеллектуальной собственности и регулирования сферы информационных технологий. В прошлом возглавлял направление по охране интеллектуальной собственности и борьбе с киберпреступностью корпорации Microsoft в России, Украине, Белоруссии, странах Закавказья и Центральной Азии.
Сообщение Суверенный Microsoft появились сначала на Экспертный центр электронного государства.