IT как оружие. Какие опасности таит в себе развитие высоких технологий

Было видно, как Байден в этот момент вздрогнул. «Вот этого я точно не собираюсь делать», – сказал президент. Он пояснил, что, с его точки зрения, Сноуден действовал безответственно, когда покинул страну, прихватив с собой кучу документов.

Затем наступил черед генерального директора Yahoo Мариссы Майер. Она открыла папку с заранее подготовленными тезисами и произнесла: «Я согласна со всем, что говорилось до сих пор, – остановилась и посмотрела куда-то вверх. Потом она кивнула на Пинкуса и добавила: – Кроме него. С ним я не согласна». Все засмеялись.

В обмене репликами ясно звучала мысль, которую мы хотели донести. Почти все мы надеялись побудить президента внести изменения в проводимую правительством политику. Однако у представителей хайтека к тому времени уже сложились теплые отношения с Обамой. К тому же известно, что всегда сложнее бросить вызов кому-то, если вы находитесь у него в гостях, особенно в Белом доме.

Стараясь выражаться предельно аккуратно, мы тем не менее не отступали от своей повестки дня и настаивали на необходимости реформирования надзора за массированным сбором данных государственными ведомствами. Было очевидно, что Обама серьезно разобрался в этой теме, поскольку он без труда перечислял проблемы, которые, по его мнению, нужно решить правительству. Иногда он возражал, подчеркивая, что люди действительно обеспокоены доступом АНБ к личным данным, но в сумме участвующие во встрече компании имеют доступ к гораздо большему объему личных данных, чем правительство. «У меня есть подозрение, что общественные настроения вполне могут измениться», – сказал он.

В конце встречи президент дал понять, что он заинтересован во внесении некоторых важных, хотя и ограниченных, изменений в политику США. Он зачитал перечень вопросов, по которым ему необходимо получить дополнительные разъяснения перед тем, как «перевести разговор на следующий уровень детализации».

Спустя месяц, 17 января 2014 г., президент сделал первые важные шаги по реформированию системы надзора за сбором данных[39 - "Transcript of President Obama's Jan. 17 Speech on NSA Reform," Washington Post, January 17, 2014, https://www.washingtonpost.com/politics/full-text-of-president-obamas-jan-17-speech-on-nsa-reforms/2014/01/17/fa33590a-7f8c-11e3–9556–4a4bf7bcbd84_story.html?utm_term=.c8d2871c4f72 (https://www.washingtonpost.com/politics/full-text-of-president-obamas-jan-17-speech-on-nsa-reforms/2014/01/17/fa33590a-7f8c-11e3%E2%80%939556%E2%80%934a4bf7bcbd84_story.html?utm_term=.c8d2871c4f72).]. В ночь перед тем, как план реформ был обнародован, нам позвонили адвокаты Министерства юстиции. Они предложили урегулировать иски, поданные Microsoft и Google к правительству, на еще более благоприятных для нас условиях, чем те, которые мы предлагали в ходе переговоров в августе прошлого года. После того, как все проблемы были таким образом урегулированы, мы решили пойти еще дальше и начать публиковать прозрачные отчеты о полученных нами судебных постановлениях на раскрытие информации в целях обеспечения национальной безопасности. Компании Google, к ее чести, удалось несколько опередить нас – она первой предложила впечатляющую модель раскрытия такой информации, которую приняли все остальные.

С точки зрения многих клиентов и защитников права на неприкосновенность частной жизни, принятые Обамой решения были первым шагом в верном направлении, хотя и недостаточным. Мы, как представители хайтека, разделяли этот взгляд. Нам было ясно, что окончательно решить все оставшиеся проблемы будет непросто. Как гарантировать иностранным правительствам и клиентам, что правительство США не сможет ненадлежащим образом получать доступ к данным дата-центров, находящихся под управлением американских компаний? Какие законные шаги мы в состоянии предпринять, чтобы способствовать обеспечению общественной безопасности? На решение всех этих проблем потребуются годы.

Поразительно, как много изменилось за семь месяцев, прошедшие с тех пор, как Сноуден передал журналистам The Guardian похищенные им документы. У людей открылись глаза на масштабы слежки, осуществляемой их собственным правительством. Более сложное шифрование стало нормой. Компании отрасли подали в суд на государственные ведомства. Конкуренты смогли объединиться в новых условиях.

Сейчас, годы спустя, люди все еще спорят, является ли Эдвард Сноуден героем или предателем. По мнению некоторых, он одновременно и тот и другой. Однако к началу 2014 г. стало невозможно отрицать две вещи: Сноуден изменил мир; он также изменил подходы, которых отныне придерживаются технологические компании.

Глава 2

Технологии и общественная безопасность:

«По мне лучше проиграть, чем стать обманщиком»

Безопасность общества зависит от эффективности работы правоохранительных органов. Однако чтобы поймать преступников и террористов, нужно сначала найти их, а это сделать невозможно без активного сбора информации. В XXI в. необходимая информация чаще всего накапливается в дата-центрах крупнейших глобальных технологических компаний.

Как сектор, который пытается вносить свой вклад в обеспечение общественной безопасности и защищать неприкосновенность личных данных, мы балансируем на лезвии бритвы. Нам необходимо сохранять это неустойчивое равновесие и одновременно поспевать за изменениями нынешнего чрезвычайно подвижного мира.

События, требующие от нас немедленного реагирования, происходят совершенно неожиданно, без всякого предупреждения. Впервые я столкнулся с этим в 2002 г., когда 23 января в Карачи, Пакистан, был похищен журналист газеты The Wall Street Journal Дэниел Перл[40 - "Reporter Daniel Pearl Is Dead, Killed by His Captors in Pakistan," Wall Street Journal, February 24, 2002, http://online.wsj.com/public/resources/documents/pearl-022102.htm (http://online.wsj.com/public/resources/documents/pearl-022102.htm).]. Его похитители выходили на связь то из одного интернет-кафе, то из другого и использовали наш почтовый сервис Hotmail для передачи требований, ловко ускользая от пакистанской полиции. В обмен на жизнь Перла они требовали освободить всех подозреваемых в терроризме в Пакистане и остановить запланированную поставку истребителей F-16 из Соединенных Штатов. Было ясно, что правительство Пакистана ни за что не согласится с такими требованиями. Оставался единственный способ спасти Перла – найти его.

Пакистанские власти быстро и без лишнего шума связались с ФБР, которое обратилось к нам. Соответствующее исключение из закона о надзоре за иностранной разведывательной деятельностью позволяло правительству действовать без промедления, а технологическим компаниям оперативно отвечать на запросы в «чрезвычайных ситуациях, связанных с угрозой гибели людей или причинения вреда их здоровью»[41 - Electronic Communications Privacy Act of 1986, Public Law 99–508, 99th Cong., 2d sess. (October 21, 1986), 18 U.S.C. § 2702.b.]. Жизнь Перла, несомненно, была в опасности.

Джон Франк пришел ко мне и объяснил положение. Я дал зеленый свет на сотрудничество с местной полицией и ФБР. Нам нужно было взять под контроль учетную запись Hotmail, которую использовали похитители, и по IP-адресу их очередных сообщений идентифицировать интернет-кафе на другом конце света, откуда они выходили на связь. Наши команды тесно сотрудничали с ФБР и местными властями в Пакистане на протяжении недели, отслеживая похитителей, которые перемещались от одной точки доступа в интернет к другой.

Мы подобрались очень близко, но все же не успели. Похитители убили Перла прежде, чем их удалось поймать. Это потрясло нас до глубины души. Его ужасная смерть подчеркнула ту колоссальную ответственность, которая лежит на нас, нечто такое, о чем редко говорят на публике.

Этот случай был лишь предвестником того, что нас ожидало. Сегодня киберпространство уже нельзя считать чем-то второстепенным. Оно все больше становится местом, где люди организуют свою деятельность и определяют, что и как будет происходить в реальном мире.

Трагедия, связанная с Дэниелом Перлом, также подчеркнула важность субъективного суждения в вопросах защиты неприкосновенности частной жизни. В определенном смысле можно утверждать, что между неприкосновенностью частной жизни и безопасностью существует равновесие, которое является результатом действий сторонников неприкосновенности, тянущих в одну сторону, и правоохранительных органов, тянущих в другую сторону. Подобно судам, которые занимаются решением их споров, технологические компании становятся ареной, где тоже занимаются этими вопросами. Нам необходимо понимать и учитывать интересы обеих сторон этого уравнения.

Одна из серьезных проблем заключается в том, как выполнить эту задачу на должном уровне. Наш подход к реагированию на судебное постановление об обыске оттачивался путем проб и ошибок с момента появления электронной почты и электронных документов в 1980-х гг.

В 1986 г. президент Рональд Рейган подписал закон о защите информации, передаваемой с помощью электронных систем связи (Electronic Communications Privacy Act), который известен современным юристам по аббревиатуре ECPA. В то время никто не знал, должна ли четвертая поправка защищать что-либо вроде электронной почты, однако и республиканцы, и демократы в равной мере хотели добиться такой законодательной защиты.

Как это иногда случается в Вашингтоне, в 1986 г. конгресс действовал с самыми лучшими намерениями, но шел очень непростым путем. Составной частью ECPA был закон о сохраненных сообщениях, который фактически вводил новую форму ордера на обыск. При наличии обоснованного подозрения правительство могло обратиться в суд, получить ордер на обыск, дающий право доступа к вашей электронной переписке, и распространить его действие помимо вас на технологическую компанию, где хранятся ваша электронная почта и документы[42 - Electronic Communications Privacy Act of 1986, Public Law 99–508, 99th Cong., 2d sess. (October 21, 1986), 18 U.S.C. Chapter 121 § § 2701 et seq.]. Компания в этом случае обязана извлечь электронную переписку и передать ее запрашивающему органу. В определенных обстоятельствах закон фактически превращал технологические компании в агентов правительства.

Это также привело к появлению новой модели взаимодействия. Когда правительство получает классический ордер на обыск вашего дома или офиса, там, скорее всего, кто-нибудь присутствует и знает о происходящем. Он не может прекратить обыск, но, по крайней мере, знает о нем. Если он сочтет, что его права нарушаются, то может пойти по стопам Джона Уилкса и обратиться в суд.

Конгресс избрал более сложный подход к вопросу уведомления людей и организаций о том, что правительство получило доступ к их электронной почте и документам через технологические компании, – он принял положение, дававшее правительству право затребовать наложение судебного запрета на разглашение сведений об обыске. Это положение предлагало правительству пять оснований для требования засекретить его действия. На первый взгляд, эти основания казались вполне разумными. Например, если разглашение сведений влекло за собой уничтожение доказательств, запугивание свидетеля или иным образом вредило расследованию, то судья мог выдать ордер на обыск вместе с предписанием о неразглашении[43 - Electronic Communications Privacy Act of 1986, Public Law 99–508, 99th Cong., 2d sess. (October 21, 1986), 18 U.S.C. § 2705.b.]. Технологическая компания могла получить и то и другое одновременно – первое требовало передать электронные данные, а второе – хранить факт передачи в секрете.

Пока электронная почта не получила распространения, эти новые ордера на обыск с предписаниями о неразглашении были редкостью. Однако в условиях взрывного развития интернета и появления дата-центров с сотнями тысяч компьютеров все значительно усложнилось. Сегодня в состав нашей команды по вопросам обеспечения законности и национальной безопасности входят 25 штатных работников – специалисты по надзору за соблюдением норм и правил, юристы, инженеры и профессионалы в сфере информационной безопасности. В своей работе они опираются на поддержку многочисленных юридических фирм со всего мира. В компании Microsoft эту службу называют командой LENS. Ее миссия довольно очевидна: глобальный анализ и реагирование на запросы правоохранительных органов в соответствии с законодательством разных стран и нашими контрактными обязательствами перед клиентами. Такую задачу легкой не назовешь. У команды LENS семь мест базирования в шести странах на трех континентах. В течение года она обычно рассматривает более 50 000 ордеров на обыск и судебных запросов из 75 стран[44 - "Law Enforcement Requests Report," Corporate Social Responsibility, Microsoft, last modified June 2018, https://www.microsoft.com/en-us/about/corporate-responsibility/lerr/ (https://www.microsoft.com/en-us/about/corporate-responsibility/lerr/).]. Всего лишь 3 % этих предписаний касаются контента. В большинстве случаев власти запрашивают IP-адреса, списки контактов и данные о регистрации пользователей.

Ордера на обыск чаще всего поступают в Microsoft по электронной почте. Менеджер по надзору за соблюдением норм и правил удостоверяется в том, что они действительны и подписаны судьей, что у властей имеется обоснованное подозрение и что агентство имеет полномочия на получение информации. Если все подтверждается, менеджер запрашивает необходимые данные в дата-центре. Эти данные проверяются еще раз, с тем чтобы не предоставить ничего лишнего, и только тогда отправляются в адрес запросившего их органа. Как один из работников LENS объяснил мне, «это выглядит просто, однако требует немало времени, чтобы сделать все как надо. Нужно изучить сам ордер, проанализировать запрашиваемую в нем информацию по учетной записи, выгрузить эту информацию и еще раз проанализировать, чтобы убедиться в ее адекватности».