Виктимологическое обеспечение информационной безопасности личности

G

Ни один представитель современного общества не может обходиться без цифровых и информационных технологий, с помощью которых передает и получает информацию, создает и хранит персональные данные, регистрирует права, участвует в общественных отношениях и т. д. Информационное пространство расширяется за счет цифровых технологий, в нем протекают как позитивные (цифровизация), так и негативные (криминализация) процессы.

Информация, выступая объектом публичных, гражданских и иных правовых отношений, является предметом защиты, подлежит охране со стороны государства, а также ее собственника — обладателя информации.

В процессе развития информационного общества одной из приоритетных задач для государства является обеспечение информационной безопасности граждан. Основным юридическим документом, регулирующим сферу информационной безопасности Российской Федерации, является Доктрина информационной безопасности, которая определяет информационную безопасность как «состояние защищённости личности, общества и государства от внутренних и внешних угроз, при котором обеспечивается реализация конституционных прав и свобод человека и гражданина, достойное качество и уровень жизни граждан, суверенитет, территориальная целостность, устойчивое социально-экономическое развитие, оборона и безопасность государства»1.

Федеральный закон «Об информации, информационных технологиях и о защите информации» наделяет владельца информации правом на ее защиту: «обладателю информации предоставляется право самостоятельно в пределах своей компетенции устанавливать режим защиты информации» (ч. 4 ст. 6, ч. 1 ст. 16)2. При этом Конституция РФ, являясь основным источником права в сфере защиты информации, закрепляет права на неприкосновенность частной жизни, личную и семейную тайну; на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений (ст. 23); свободно искать, получать, передавать, производить и распространять информацию любым законным способом (ст. 29); запрещает без согласия лица сбор, хранение, использование и распространение информации о его частной жизни (ст. 24)3.

Уголовное законодательство РФ предусматривает ответственность за нарушение информационных прав личности, тем самым реализует охрану прав граждан (ст. 137, 138 УК РФ) и гарантирует обеспечение информационной безопасности личности (ст. 272, 274 УК РФ)4.

Несмотря на существующую обязанность государства по защите информационной безопасности личности [2], при противоправных деяниях, посягающих на информационную безопасность, высокий уровень виктимности граждан сохраняется. Использование цифровых технологий в преступных целях привело к повышению уязвимости всех представителей общества. К наиболее уязвимой группе риска относятся лица, чьи персональные данные нуждаются в защите: государственные служащие, владельцы недвижимости, юридические лица, вкладчики банков, граждане, пользующиеся банковскими картами и др.

Согласно данным компании Statista5, в 2023 году зарегистрировано более 3 тысяч утечек данных, которые затронули 353 миллиона человек. При этом крупные утечки, произошедшие в период с 2016 по 2019 год, содержали от 1,5 до 2,5 миллиарда личных данных. Украденные базы содержат личную информацию о владельцах учетных записей: электронную почту, пароли, адреса и данные банковских карт6. Именно их используют злоумышленники для кражи «цифровой личности»7 разными способами. Несмотря на осведомленность большинства потенциальных жертв, а главное известность и распространенность мер пассивной виктимологиче-ской защиты, уровень цифровой виктимности остается высоким в силу пренебрежения цифровой гигиеной (кибергигиеной). Цифровая гигиена — это формирование полезных привычек в отношении кибербезопасности, позволяющих не стать жертвой киберугроз и избегать проблем сетевой безопасности8.

Материалы и методы

В качестве материалов для проведения данного исследования использованы: научные труды по проблематике и нормативные правовые акты, регулирующие сферу обеспечения информационной безопасности личности; сведения, опубликованные в открытых источниках о способах совершения и защиты от преступлений, совершаемых с использованием информационно-телекоммуникационных технологий, компьютерной информации и средств связи, посягающие на информационную безопасность личности.

Основу исследования составили общенаучные и частнонаучные методы познания, такие как анализ и синтез, индукции и дедукции, метод контент-анализа и др.

Описание исследования

В современном мире информация для человека представляет собой определенную ценность. Как и любую другую ценность, информацию стоит защищать от ее неправомерного искажения или несанкционированного доступа к ней с последующим похищением и использованием.

Для защиты данных от утечки, хищения или, например, взлома программы или компьютерной системы в современной реалии есть отрасль, которая называется информационная безопасность. Информационная безопасность — есть сфера деятельности, которая постоянно растет и развивается, которая включает обширный спектр отраслей, от безопасности сети и инфраструктуры вплоть до тестирования, а также аудита [3, с. 45].

Информационная безопасность включает в себя инструменты и процессы, которые применяют для защиты информации. Защита информации — это «организационные, правовые, программно-технические и иные меры по предотвращению угроз информационной безопасности и устранению их последствий» [1, с. 34]. Средствами защиты информации называют устройства, приборы, приспособления, программное обеспечение, организационные меры, которые предотвращают утечку информации и обеспечивают ее сохранение в условиях воздействия всего спектра актуальных угроз.

Так, например, под информационной безопасностью личности с учетом статических и динамических характеристик предложено понимать «состояние защищенности личности, характеризуемое, с одной стороны, ее способностью противостоять внутренним и внешним информационным воздействиям, а с другой стороны — способностью информационного государства и информационного общества эффективно решать задачи по обеспечению информационной безопасности личности» [8, с. 32].

Таким образом, личность выступает в качестве объекта правового обеспечения информационной безопасности и одновременно — субъекта, участвующего в обеспечении информационной безопасности.

На криминолого-виктимологический подход в обеспечении информационной безопасности личности указывает и упомянутая выше Доктрина информационной безопасности Российской Федерации, которая среди основных направлений обеспечения информационной безопасности закрепляет такие, как «повышение эффективности профилактики правонарушений, совершаемых с использованием информационных технологий, и противодействия таким правонарушениям; обеспечение защищенности граждан от информационных угроз, в том числе за счет формирования культуры личной информационной безопасности»1. Полагаем, что одним из ключевых направлений в обеспечении информационной безопасности личности должна стать виктимо-логическая защита потенциальных жертв в пассивной и активной форме.

Для подтверждения высказанной гипотезы рассмотрим одно из вводимых в доктрину понятий, которое в будущем возможно и будет использоваться в уголовном законодательстве — «цифровой профиль личности».

Цифровая личность

Если обратится к анализу статистики преступлений, совершаемых с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации, то можно говорить о высоком уровне виктимизации цифрового общества. В 2020 г. МВД России зафиксировало взрывной рост числа преступлений, совершенных с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации 510 396 (+73,4 %), в 2021 г. число таких преступлений увеличилось незначительно — на 1,4 % — и составило 517 722 преступления, в 2022 г. — 522 065 (+0,8 %), в 2023 г. — 676 951 (+29,7 %)2. При этом значительную часть преступлений, совершенных с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации, составляют кражи и мошенничества. Но стоит отметить, что в первую очередь для совершения указанных преступлений злоумышленникам необходима какая-либо информация о потенциальной жертве, сбор и получение которой, как правило, происходит не законными способами, с нарушением информационной безопасности личности.

С развитием информационных и цифровых технологий, появлением новых гаджетов и онлайн-сервисов растет число пользователей сети Интернет, мобильных приложений и социальных сетей. Стать пользователем не сложно, но для этого необходима регистрация на сайте. Оцифрованный набор данных о человеке — имя и фамилия, фотографии и подписи к ним, интересы и увлечения — позволяет создать цифровой профиль личности. «Цифровой профиль — наиболее важная часть цифровой личности, представляющая собой совокупность персональных и иных связанных с ними данных индивида в виртуальном пространстве, содержащихся в информационных базах уполномоченных на их обработку субъектов. С учетом этого инфраструктуру цифровой личности предлагается отнести к критической информационной инфраструктуре, которая должна соответствовать всем требованиям информационной безопасности» [12, с. 6; 13, с. 20]. Данные цифрового профиля, полученные из открытых источников, используют для социальной инженерии. Социальная инженерия — это метод манипуляции людьми с целью получения их конфиденциальной информации, доступа к ресурсам или других представляющих ценность объектов1. Социальная инженерия является противоправным методом, если используется злоумышленниками для сбора информации в преступных целях.

Рассмотрим, в чем же негативные последствия такого метода сбора информации.

Социальная инженерия

Исследованию негативных методов социальной инженерии в последнее время уделяется особое внимание со стороны представителей наук криминального цикла. В одной из таких работ автор утверждает, что «социальная инженерия в настоящее время относится к самым распространенным методам совершения противоправных деяний с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации» [15, с. 475]. Другой исследователь — Е. В. Никитин — говорит о том, что «социальная инженерия позволяет преступникам повышать „эф-фективность“ своей вредоносной деятельности, делая потерпевших невольными помощниками своих преступлений. Находясь под воздействием технологий „социальной инженерии“, жертва внешне „добровольно“ сообщает нужную преступникам информацию, передает имущество, переводит денежные средства, участвует в выгодной преступной организации противоправной и антиобщественной деятельности и т. д.» [9, с. 486]. Для кражи цифрового профиля личности злоумышленнику не нужно быть хакером, достаточно войти к жертве в доверие, заставить ее выполнить определенное действие: отправить свои фотографии, назвать дату рождения, перейти по вредоносной ссылке. Это происходит как при живом общении, так и в переписке, например, при рассылке фишинговых писем, которые ведут на сайт-подделку или содержат вредоносную программу2.

Одним из самых распространенных способов социальной инженерии является дистанционное — телефонное мошенничество [15, с. 478]. Согласно докладу в рамках деловой сессии «Телефонное мошенничество в России», с января по март 2024 года только телефонным мошенникам удалось похитить со счетов онлайн-банков 4 миллиона рублей3.

Механизм совершения дистанционного мошенничества с использованием мобильной связи и меры противодействия такому преступлению становится предметом для исследования не только ученых, но и практиков. Мобильные средства связи выступает элементом системы взаимодействия во взаимосвязи «преступник — жертва».

При этом, как правило, преступник обладает определенной информацией о личности потенциальной жертвы (фамилия, имя, место работы и т. п.). Целью преступника при звонке потенциальной жертве является психологическое воздействие. Так, например, И. И. Евтушенко выделяет три этапа виктимизации телефонного мошенничества: «испуг» (злоумышленник ставит потерпевшего в тупик), «снятие денег» (потерпевшему предлагается перевести деньги на безопасные счета или заблокировать доступ к личному кабинету путем сообщения индивидуального одноразового кода, приходящего на телефон), «вывод денег» [6, с. 48].

Многие сотрудники государственных и образовательных организаций столкнулись с таким видом мошенничества, когда от имени руководителя организации или его заместителя поступают адресные сообщения на различные мессенджеры с просьбой оказать срочную финансовую помощь или поддержку с последующей компенсацией. Новых технологии позволяют моделировать цифровой профиль пользователя и использовать его для преступных целей. Для подмены личности мошенниками используются: программная имитация голоса при голосовой идентификации, Deepfake — методика синтеза изображения, реализуемая с помощью искусственного интеллекта (ИИ) при идентификации клиента по изображению или видео [4, с. 95; 10; 11].

Обеспечению информационной безопасности уделяется особое внимание кредитными организациями и органами власти. За счет разработки программных средств распознания противоправных деяний расширяются технические средства виктимологической защиты от дистанционных мошенничеств. В частности, СберБанк совместно с компанией АктивБизнесКонсалт разработал специальную функцию собственного оператора сотовой связи «СберМобайл», который с помощью искусственного интеллекта анализирует текст разговора и предупреждает пользователя о подозрении на мошенничество в процессе разговора. Данная система получила название «Аура» и является самообучающейся языковой нейросетевой моделью глубокого обучения, способной распознавать меняющуюся методику мошеннического обмана потерпевшего на основании тысяч разговоров настоящих мошенников. Банк «Тинькофф» предлагает своим клиентам установить приложение, которое аналогичным образом будет отслеживать содержание разговоров с клиентом, сравнивать источник звонка и номер телефона с уже имеющейся в базе банка картотекой мошеннических номеров. «Яндекс» предлагает устанавливать на свои смартфоны онлайн определитель номера, который анализирует источник звонка, сравнивает с имеющейся базой данных телефонных номеров и сообщает владельцу, что это возможно мошенники, реклама или иной нежелательный звонок [5, с. 82].

Преступные манипуляторы тонко чувствуют человека, подбирая легенду взаимодействия под психологические особенности потенциальной жертвы и вводя ее в нужное для совершения преступления эмоциональное состояние [9, с. 489].

Анализируя опубликованные в открытом доступе данные и результаты проводимых исследований, можно выделить три основных метода социальной инженерии:

• 1)    угрозы, сопряженные с использованием средств телефонии (мобильных, стационарных телефонов);

• 2)    угрозы с использованием информационной телекоммуникационной сети Интернет (электронная почта, мессенджеры, социальные сети);

• 3)    угрозы, сопряженные с непосредственным контактом с носителем информации (сбор информации из открытых источников, плечевой серфинг, обратная социальная инженерия).

Пользователи постоянно становятся мишенями злоумышленников, и им требуется обладать достаточными знаниями, чтобы выявлять такие атаки и избегать их. Средства связи и коммуникации, а также все точки доступа, которые мы используем (например, социальные сети, интернет-магазины, онлайн-банки, мессенджеры), потенциально очень уязвимы [14].

Основными причинами утечки информации специалисты в области ее защиты, как правило, называют:

• —    простые пароли, выбранные пользователями, или пароли совместно используемые;

• —    использование методов социальной инженерии, в первую очередь фишинга, когда злоумышленники рассылают сообщения, выдавая себя за представителя другого лица, часто с целью кражи учетных данных пользователя;

• —    взломанные учетные записи — часто используют для получения доступа к другим, более защищенным системам;

• —    инсайдерские угрозы — злоумышленник может использовать свое положение для получения несанкционированного доступа к системам компании;

• —    вредоносное ПО — использует ботнеты для получения несанкционированного доступа к финансовым системам путем кражи учетных данных, банковской информации и финансовых данных.

По мнению специалистов и исследователей, типичное нарушение безопасности происходит в три этапа: 1) исследование — злоумышленник ищет слабые места или уязвимости в организационных системах, людях или процессах; 2) сетевая / социальная атака — злоумышленник пытается проникнуть за периметр сети либо обходя сетевые защитные системы, либо используя социальную инженерию, чтобы обманом заставить людей предоставить доступ, данные или учетные данные; 3) эксфильтрация — как только злоумышленнику удается получить доступ, он может украсть ценные активы или нанести ущерб в точке проникновения, а также осуществить боковое перемещение для получения доступа к другим, более ценным системам [7, с. 326–327].

Для предупреждения утечки информации и ее сохранности пользователю достаточно прибегнуть к пассивным методам защиты информации, что позволит избежать несанкционированного доступа к ней. Активные методы защиты необходимы уже тогда, когда происходит непосредственное посягательство или существуют реальные риски завладения информацией. К пассивным методам защиты информации можно отнести обязанность правообладателя соблюдать определенные правила и цифровую гигиену. Совокупность существующих способов и рекомендаций по защите информации от преступных посягательств можно отнести к викти-мологической профилактике.

Заключение

Несмотря на предпринимаемые государством меры в сфере обеспечения информационной безопасности личности, безопасность цифрового профиля личности остается одним из проблемных аспектов.

Жертвы сами помогают преступникам, пренебрегая правилами цифровой гигиены. Пока со стороны государства не будет выработан механизм эффективной защиты цифрового профиля личности, ответственность за информационную безопасность лежит на плечах самих пользователей. Ведь большинство виктимологи-ческих ситуаций связаны с наличием у преступника доступа к базам данных различных организаций, к персональным данным о потерпевшем, его фотографиям, служебной и личной информации, переписке в рабочих «чатах» различных мессенджеров.

Одним из способов предотвращения негативных последствий в информационной среде является цифровая гигиена, которая входит в систему виктимологиче-ской профилактики как пассивный метод обеспечения безопасности цифрового профиля личности. Развитие критического мышления и осознанности помогают личности не поддаваться на манипуляции и принимать взвешенные решения, противодействуя методам социальной инженерии и дистанционным мошенничествам.

Некоторые способы обеспечения информационной безопасности личности представлены в Приложении А.