В России, в отличие от давно приобщившегося к Интернету Запада, потери от спама пока не столь велики. По оценкам специалистов, доля спама в электронной почте у нас составляет от 30 до 40%. Но, как говорят знатоки Интернета, нам еще предстоит ощутить все прелести несанкционированных рассылок.
«Поток рекламных рассылок достигнет своего пика весной—летом 2004 г. и составит 60–70% всей входящей почты, а также распространится и на сети мобильной связи в виде SMS-спама, — считает Игорь Ашманов, генеральный директор компании «Ашманов и партнеры». — По уровню развития технологий мы отстаем от США по-прежнему на 2–3 года, а там ситуация стала критической». Корпоративных пользователей уже сейчас пугают громадными цифрами расходов на спам. По оценкам Дмитрия Фишелева, директора по развитию бизнеса компании «ДатаФорт», российская фирма с численностью персонала 1000 человек тратит в год около 10 тыс. долл. только на оплату трафика от получения спама. Не любят спамеров и крупные рекламные площадки. По наблюдению директора по развитию бизнеса «РБК Софт» Тимура Аитова, представители этого бизнеса часто мотивируют собственную борьбу также экономическими причинами: мелкие и средние компании, вместо того чтобы приносить свои рекламные бюджеты на крупную площадку, отдают их спамерам, выполняющим для них рассылку.
Компании, предлагающие решения по борьбе со спамом, призывают принимать меры уже сейчас — иначе будет «поздно». По их мнению, необходимо использовать не только законодательные и технические способы борьбы, но и объединить усилия для просвещения населения, воспитания его правосознания и пропаганды идеи борьбы со спамом.
В середине 2003 г. компании Internet Projects (Информационный канал Subscribe.Ru), «Ашманов и партнеры», «Лаборатория Касперского» московский офис Microsoft, «Голден Телеком», Рамблер и Mail.ru создали коалицию для борьбы со спамом. Главная ее задача — создать в России информационное поле и техническое обеспечение для противостояния спамерам. Первым этапом совместного проекта стало создание электронного журнала «Спамтест», в котором рассматриваются различные аспекты борьбы со спамом — виды нежелательной почты и их эволюция, различные технологии фильтрации, ПО, приемы спамеров и приемы самозащиты, новости в области фильтрации содержания. Совместными усилиями была проведена Первая национальная конференция «Проблема спама и ее решения».
В рамках сотрудничества ведется также совместная работа с Группой по безопасности Интернета при Министерстве РФ по связи и информатизации, распространение и внедрение клиентских и серверных технологий борьбы со спамом.
За полгода существования коалиции к ее организаторам присоединились и другие участники рынка. Причем, как отмечает Игорь Ашманов, из 14 действующих членов коалиции 5 — Интернет-провайдеры («Корбина-Телекомм», «Петерлинк», «Голден Телеком», E-style ISP, «РТКомм.РУ»). Этот факт сам по себе достаточно показателен, ведь до сих пор считается, что провайдеры не очень заинтересованы в борьбе со спамом.
Более того, некоторые из них полагают, что такая борьба несет на себе элемент экономической опасности.
Николай Федотов, руководитель группы защиты информации ОАО «РТКомм.РУ», уверен, что сейчас в России спрос на продукты для борьбы со спамом не настолько велик, чтобы порождать соответствующее предложение, и именно усилия разработчиков такого ПО превращают в глазах сообщества спам в серьезную проблему. «У проблемы спама есть три составляющие: техническая, экономическая и идеологическая, — поясняет он. — Поэтому решать ее надо комплексно. У нас сегодня делается акцент на техническое решение проблемы, хотя понятно: спамеры найдут новые способы обойти эти преграды, что потребует обновления ПО, и процесс этот станет бесконечным». По мнению Николая Федотова, внедрение все новых и новых средств технической борьбы со спамом (и соответствующих им контрмер со стороны спамеров) зачастую приводит к потерям «нужной» почты. В результате бизнес провайдера напрямую страдает именно от борьбы со спамом. По оценке РТКомм.РУ, доля спамерского трафика не превышает 3%, поэтому, как считают в компании, он не может приносить ни значительного экономического ущерба, ни выгоды. А вот борьба со спамом требует серьезных затрат, и большая их часть ложится именно на провайдеров. Все больше корпоративных клиентов начинают выдвигать жесткие требования к качеству услуг провайдера, в частности к минимизации несанкционированной входящей почты. В результате провайдерам, операторам связи и компаниям, берущим корпоративные системы на аутсорсинг, приходится внедрять у себя продукты для борьбы со спамом.
По оценке Radicati Group, в 2003 г. объем мирового рынка средств борьбы со спамом составил 2,5 млрд. долл., а к 2007 г. может достичь 8,5 млрд. долл., ежегодно увеличиваясь на 55–60%. Достоверных оценок российского рынка таких продуктов пока нет.
В то же время, по мнению Ольги Китовой, директора по продуктам компании «Лаборатория Касперского», сейчас только технических методов борьбы со спамом, скорее всего, недостаточно, но при отсутствии юридических способов, они, несомненно, могут считаться главными. «Системные администраторы в корпорациях начинают защищать свои ИТ-ресурсы, разными средствами, при этом даже разрабатывают собственные», — объясняет она.
В то же время сегодня в России существует достаточно широкий ассортимент ПО, ориентированного на борьбу с «непрошеной» почтой. На рынке представлены продукты как российских, так и зарубежных разработчиков, но специалисты считают, что для фильтрации русского «почтового мусора» лучше использовать отечественные разработки. Дело в том, что русский спам гораздо сложнее западного, поскольку у зарубежных спамеров нет возможности «играть», например, с кодировками текста или применять такие трюки, как замена всех русских букв на похожие в написании латинские.
Наиболее известный отечественный продукт — совместная разработка фирм «Лаборатории Касперского» и «Ашманов и партнеры» под названием «Антиспам Касперского». По словам разработчиков, данный продукт включает в себя не только формальные методы: «черные» и «белые» списки, письма, но и метод сигнатуры и метод лингвистического анализа. «У нас организована лингвистическая лаборатория, работающая 7 дней в неделю, — рассказывает Ольга Китова. — Там есть квалифицированные лингвисты, которые получают каждый день огромный поток спама, анализируют его и ежедневно каждые 2 часа выкладывают обновления». Фильтры на пути спама предлагает также компания «Информзащита», правда, в ее продуктах пользователь сам должен заполнить фильтрационную «рамку для правил». Еще одна разработка — SpamAssassin, что в переводе означает «убийца спама» — бесплатная программа, которая распространяется на условиях «открытого» ПО. По оценкам специалистов, эта разработка показывает очень хорошие результаты. Правда, наилучшим образом она подходит специалистам уровня «продвинутых пользователей» и выше, поскольку достаточно сложна в настройке, а после очередного обновления заново требует ручной установки всех параметров.
Сравнить по качеству эти продукты пока не представляется возможным. Независимых тестовых центров, анализирующих средства борьбы со спамом, не существует. Опыт компаний, тестировавших антивирусные программы, на антиспамовое ПО перенести не удалось. Существуют группы специалистов, оценивающих работу программ на имеющихся коллекциях несанкционированных рассылок. Но для фильтров важно не столько то, как он работает со старыми письмами, а то, как он может отловить опасность, зародившуюся только сейчас.
Борьба со спамом таит в себе еще одну опасность. Разработчики ПО понимают, что их продукты могут быть использованы не по назначению, а именно для контроля за электронной почтой сотрудников компаний. Не секрет, что сейчас во многих корпорациях приветствуется установка таких средств, а продукты, предназначенные для борьбы со спамом, подходят для этой цели как нельзя лучше. Говорят даже, что некоторые силовые структуры обращаются к разработчикам фильтров с просьбой о поставке данных продуктов, но с условием, что правила фильтрации будут внесены уже самим клиентом.
«У нас есть клиенты, которые хотят фильтровать почту по совершенно другим, отличным от наших критериям, — говорит Игорь Ашманов. — Конечно, за то, кто и как применяет наши продукты, мы ответственности не несем, но надо учитывать, что мы торгуем определенным видом «оружия»».
В то же время применение этого «оружия» ограничено законом. В соответствии с российским законодательством (как и с законодательствами многих других стран) право на тайну переписки не отчуждаемо. А значит (даже если сотрудник компании отказался от этого права самостоятельно), компания не может проверять его почту. Если компания все же контролирует использование корпоративной электронной почты и поймает сотрудника, например, на ее применении в личных целях, она может наложить на него дисциплинарное взыскание. Но «цензор», который такие нарушения выявляет, а значит, читает личную почту, совершает уже уголовное преступление со всеми вытекающими отсюда последствиями.
Оправдать применение систем контроля путем подписки сотрудников о том, что они осведомлены о недопустимости использования почты в личных целях, нельзя. Необходимо письменное разрешение сотрудника на ознакомление со всей его личной и служебной перепиской, что должно быть отражено соответствующей строкой трудового договора.
Решение проблемы сохранения права на личную переписку, а также борьбы с недобросовестными «антиспамерами» — сложные юридические задачи, многие связанные с этими проблемами вопросы вообще не регулируются законами. К тому же они не входят в число первоочередных задач российских законодателей. По мнению Михаила Якушева, представителя по связям с государственными организациями корпорации Microsoft, для вновь избранных депутатов Госдумы проблема спама не стала еще настолько серьезной, чтобы они были готовы для борьбы с ним принимать специальный закон, как это было сделано в США или Европе.
Обратить внимание российских чиновников на проблему спама непросто. Многие из них до сих пор не используют электронную почту, поэтому часто просто не могут понять сути проблемы. До сих пор, несмотря на то, что Минсвязи одобрило меморандум АДЭ (Ассоциация документальной электросвязи) по вредоносным компьютерным программам, в котором были упомянуты и вопросы борьбы со спамом, активных действий со стороны государства в этом направлении пока предпринято не было.
Сегодня в рамках Национальной коалиции по борьбе со спамом разрабатываются предложения о внесении изменений и дополнений в ряд уже существующих законодательных актов. Необходимо скорректировать законодательство об административных правонарушениях, закон о рекламе, возможно, внести изменения в Уголовный кодекс и закон о связи. В коалиции создана рабочая группа по законодательству, которая и занимается выработкой формулировок предлагаемых изменений. Подобная работа ведется и другими инициативными группами.
По мнению юристов, в законе, во-первых, необходимо четко определить, что такое спам.
Существуют разные виды как массовых, так и рекламных рассылок, поэтому необходимо законодательно установить, в каких случаях они могут считаться правонарушением. Во-вторых, необходимо наладить правоприменение законов. В принимаемых актах должен быть прописан механизм, при котором уполномоченные правоохранительные органы будут заинтересованы в задержании спамеров и привлечении их к ответственности. Для этого необходимо ввести состав данного правонарушения в Кодекс об административных правонарушениях. В этом случае, когда спам признают общественно опасным деянием, правоохранительные органы в соответствии с установленными процедурами будут обязаны вмешиваться, расследовать по заявлениям пострадавших и потерпевших и готовить материалы к суду. Таким образом, данная поправка позволит использовать процедурные механизмы розыска и привлечения к ответственности спамеров.
Юристы считают возможным с помощью поправок в законах часть обязанностей по борьбе со спамом возложить на операторов связи, например сформулировать требование к качеству услуг. А способы, которыми это качество будет обеспечено (например, фильтровать спам), каждый оператор будет выбирать самостоятельно.
Предложения об изменении законодательства планируется подготовить к началу весны и внести их на обсуждение в Государственную Думу РФ в течение весенней сессии. Есть вероятность, что они будут рассмотрены и приняты еще до конца текущего календарного года. Хорошим аргументом в пользу принятия данных изменений может служить опыт стран, уже принявших подобное законодательство.
При разработке своих предложений инициативная группа опиралась в первую очередь на зарубежный опыт. В США и странах Западной Европы приняты достаточно жесткие законы. Кроме того, американское законодательство, связанное с Интернетом, исходит из концепции расширенной юрисдикции, и независимо от того, где находится лицо, совершающее преступление, затрагивающее интересы американских граждан, оно может быть привлечено к ответственности в американском суде.
В рамках коалиции создаётся группа по международному сотрудничеству, которая в том числе будет решать вопросы о привлечении к ответственности зарубежных спамеров. Но эта часть работы пока еще только планируется, так как почти 99% недобросовестных рассылок, которые «бродят» в России, местного происхождения.
Мнение юриста
Михаил Якушев, представитель по связям с государственными организациями корпорации Microsoft:
«Необходимо признать, что спам — это общественно опасное явление, и бороться с ним надо всеми доступными способами, в том числе и юридическими. Но принятие законов само по себе проблемы не решит. Необходимо воспитывать правосознание граждан, которое в общем-то не зависит от того, какие законы приняты. Оно воспитывается в школе, в семье, в СМИ. И чем выше правосознание, тем меньше законов необходимо принимать.
До сих пор, по моим данным, в России не было ни одного обращения в суд от имени организаций, пострадавших от спама. Хотя уже сейчас в условиях отсутствия специального законодательства есть возможность привлечения спамеров к ответственности.
Спам зачастую связан либо с незаконным проникновением в базы данных электронных адресов, либо с распространением вирусов. И можно легко доказать наличие состава подобного «комплексного» правонарушения. Кроме того, можно выставить требования о возмещении материального ущерба, доказав, что истцу пришлось затратить дополнительные средства на приобретение телекоммуникационных ресурсов в связи с необходимостью обработки спама.
Отсутствие обращений в суд объясняется не только незнанием законов. Так называемая «континентальная» система права отличается от законодательной системы США и Великобритании. В этих странах при обращении в суд за защитой нет необходимости обязательно ссылаться на уже принятые законы. Достаточно указать, что было совершено противоправное действие, а определять его противоправность будет судья, исследуя представленные доказательства. В нашей стране суд в первую очередь смотрит на наличие специального закона. Поэтому для привлечения именно за спамерство необходимо внести соответствующие поправки в законодательство»
Статья подготовлена
по материалам «круглого стола»,
проведенного редакцией CRN/RE
в рамках осеннего ИТ-форума 2003 г.