IT как оружие. Копирование, воспроизведение и иное использование электронной книги, ее частей
 Скачать 2.83 Mb.
|
|
Разве можно было ответить на такое отказом? Три месяца спустя ирландское правительство заключило контракт на прокладку именно такого кабеля, который нам требовался. И мы приступили к строительству дата-центра в южной части Дублина. Для начала было заложено небольшое здание, потом к нему добавили еще одно, потом еще… В 2010 г. Microsoft стала хранить в Ирландии данные всех европейских клиентов. Сегодня у насесть дата-центры ив ряде других стран Европы, однако ни один из них не может сравниться по размерам с центром обработки данных в Ирландии, который нив чем не уступает нашим крупнейшим объектам на территории Соединенных Штатов. По площади он занимает пять квадратных километров. В сочетании с крупными дата-центрами Amazon, Google ион превращает Ирландию из небольшого островного государства в информационную сверхдержаву. Ирландия сегодня — одно из лучших мест в мире для размещения дата-центров. Хотя кто-то может подумать, что все дело здесь в налоговых льготах, в действительности это результат других, намного более важных факторов. Один из них — погодные условия. Дело в том, что дата-центры являются крупнейшими потребителями электроэнергии, а мягкий климат Ирландии сточки зрения температуры идеален для работы компьютеров. Здания не нуждаются в искусственном охлаждении, а тепла, выделяемого серверами, нередко хватает для их обогрева зимой. Однако еще важнее — политический климат в Ирландии. Эта страна является частью Европейского союза, для нее характерен устойчивый политический консенсус и, наконец, она уважает и защищает права человека. Она идентифицирует себя как твердого, но прагматичного сторонника защиты данных, который с пониманием относится к технологиями, одновременно, заботится о том, чтобы технологические компании защищали персональную информацию своих пользователей. Как я однажды заметил на встрече с официальными представителями вовремя поездки по странам Ближнего Востока, «Ирландия для данных — это тоже самое, что Швейцария для денег. Другими словами, именно там людям следует хранить свою самую ценную информацию. Намой взгляд, это место, в котором наименее вероятно появление чего-то похожего на современный аналог тюрьмы Штази, где мы побывали вовремя посещения Берлина. К сожалению, глобальное использование дата-центров намного сложнее, чем простое накопление данных в местах вроде Ирландии. Одна из причин заключается в том, что все больше стран хотят хранить свои данные на собственной территории. Хотя такая перспектива никогда не радовала технологический сектор, в некотором смысле подобное стремление понятно. В определенной мере это вопрос национального престижа. Это также дает правительству гарантию того, что оно может действовать в соответствии со своими законами и получать ордера на обыск, дающие доступ ко всем принадлежащим стране данным Расширение круга стран, в которых размещены дата-центры, выливается в одну из самых серьезных мировых проблем, связанных с соблюдением прав человека. Когда персональная информация всех людей хранится в облаке, авторитарный режим, склонный к тотальному надзору, может замахнуться не только на жесткий контроль того, что люди пишут, но итого, что они читают и смотрят в сети. Имея такую информацию, правительства могут преследовать, подвергать гонениями даже казнить тех, кого сочтут подозрительными. Это фундаментальный факт жизни, о котором каждый работающий в технологическом секторе должен помнить постоянно. Нам посчастливилось работать водном из самых финансово привлекательных секторов экономики нашего времени. Однако деньги, стоящие на кону, бледнеют на фоне ответственности за свободу и жизнь людей, которую мы несем. По этой причине каждое решение о размещении дата-центра Microsoft в новой стране требует тщательной оценки сточки зрения соблюдения прав человека. Я занимаюсь анализом собранных фактов и лично участвую в решении всех вопросов в случае появления опасений, особенно когда мы собираемся дать отрицательный ответ. Есть такие страны, где мы не размещаем и не будем размещать дата-центры из-за слишком высоких рисков, связанных с соблюдением прав человека. Даже в странах с более низкими рисками мы храним данные компаний, а не индивидуальных пользователей, вводим дополнительные меры обеспечения безопасности и постоянно находимся начеку. Новые требования могут неожиданно создавать скрытые, но очень масштабные кризисы. Случаются такие дни, когда сила духа тех, кто несет ответственность за облако, подвергается серьезнейшим испытаниям. Даже когда все идет хорошо, процессы второго порядка могут свести на нет защиту, которую обеспечивает хранение данных в таких местах, как Ирландия. Например, когда правительство одной страны добивается от технологической компании предоставления данных, находящихся в другой стране. Если бы не было цивилизованного процесса защиты прав человека, страны по всему миру могли бы требовать информацию другу друга, включая такие островки безопасности, как Ирландия. В каком-то смысле эта проблема не нова. Веками правительства по всему миру мирились стем, что их власть, включая действие ордеров на обыск, заканчивалась на границе страны. Они имели право арестовывать людей и обыскивать дома, офисы издания на своей собственной территории, ноне могли по своему усмотрению задерживать людей или изымать документы в другой стране. На это требовалось согласие правительства соответствующей суверенной территории. Бывали, конечно, случаи, когда правительства игнорировали эту систему и действовали самостоятельно. Такое неуважение к государственным границам усиливало международную напряженность и провоцировало события, которые приводили к конфликтам вроде войны 1812 г. между Великобританией и Соединенными Штатами. Враждебность отношений между двумя странами резко усилилась, когда британский военный флот, господствовавший на море, стал испытывать нехватку матросов в результате морской войны с Наполеоном. Для пополнения экипажей англичане стали посылать отряды вербовщиков в иностранные порты, где они похищали людей с иностранных кораблей и заставляли их поступать на службу. Хотя теоретически королевский флот должен был набирать на службу британских граждан, отряды вербовщиков не смотрели на паспорта. Когда выяснилось, что они хватают людей без разбору и заставляют даже американцев служить в королевских ВМС, Соединенные Штаты потребовали положить конец безобразию. Молодое государство полностью запретило британским военным судам заходить в американские порты. Посыл был предельно ясным: уважайте наши законы или убирайтесь из страны Это привело к развязыванию войны 1812 г, которая продолжалась до тех пор, пока правительства не одумались и не согласились уважать суверенитет друг друга. Появилось новое поле для заключения международных соглашений, предусматривавших экстрадицию преступников и доступ к информации в других странах. Эти соглашения получили название договоров о взаимной юридической помощи, или от англ. mutual legal assistance treaties) 6 . В последнее десятилетие, однако, стало очевидно, что такие соглашения плохо подходят для эпохи облачных вычислений. Правоохранительные органы по понятным причинам крайне недовольны медлительностью процедуры MLAT, но, хотя правительства и обсуждают пути обновления соглашений и ускорения процесса, ситуация меняется мало 7 После перемещения данных в облако правоохранительные органы стали пытаться получить доступ к ним в обход процедуры. Они обычно предъявляют ордер технологической компании, находящейся в их юрисдикции, с требованием предоставить им электронную переписку и файлы, которые хранятся в дата-центре на территории другой страны. Сих точки зрения, процедура MLAT в этом случае просто ненужна. Ник чему и уведомлять другое правительство о том, что они делают. Большинству правительств, однако, не слишком нравится, когда технологическая компания извлекает информацию их граждан и передает ее иностранцам в обход действующей в стране системы правовой защиты. Принятый конгрессом США еще в 1986 г. закон о защите информации, передаваемой с помощью электронных систем связи (ECPA), содержал положение, не допускающее подобных действий со стороны других государств. Конгресс не хотел, чтобы иностранцы действовали в отношении цифровых данных подобно отрядам вербовщиков. В соответствии с ECPA передача американской технологической компанией определенных видов цифровых данных вроде электронной почты считается преступлением, даже если такая передача происходит в ответ на законный запрос иностранного правительства. Аналогичным образом закон 1968 го прослушивании возводит в ранг преступления перехват сообщений на территории Соединенных Штатов в интересах иностранного правительства. От нас требуют вместо этого действовать в соответствии с установленной международной процедурой Европейское законодательство не содержит в явном виде таких запретов, однако мы знаем, что там этот вопрос заботит людей не меньше, чем в нашей стране. Они не хотят, чтобы иностранные правительства бесконтрольно действовали на их территории, особенно с учетом существующих в странах Европейского союза жестких законов по защите права граждан на неприкосновенность частной жизни. Мы знаем, что, как и британские корабли в американских портах вначале х гг., наши дата-центры будут желанными гостями на европейской земле только в том случае, если мы согласимся уважать местное законодательство. По мере того, как облачные вычисления превращаются в повсеместно распространенный сервиса данные становятся все более доступными, у правительств растет соблазн получить доступ к данным в других странах в одностороннем порядке. В отдельно взятых случаях с учетом специфики, это понятно. Следователю правоохранительных органов постоянно требуется информация, причем как можно быстрее. Зачем тратить время на процедуру MLAT и связываться с другим правительством, если технологическую компанию, офис которой находится неподалеку, можно заставить сделать все намного быстрее В случае возражений со стороны другого правительства технологической компании грозит всего лишь скандала не претензии местного прокурора Microsoft очень быстро оказалась в самой гуще этих новых баталий, и ей пришлось уворачиваться от ударов с обеих сторон. Прецеденты в двух странах стали типичными проявлениями этой проблемы. Одной из этих стран была Бразилия. Январским утром 2015 г. руководитель нашего бразильского филиала присутствовал в Редмонде на совещании по вопросам сбыта, когда ему позвонила жена. Она находилась дома в Сан-Паулу и была на грани истерики. К ним приходили полицейские, чтобы арестовать его, и требовали сказать, когда он появится. Они ворвались в дом и заблокировали квартиру. Что такого он мог натворить Ведь его работа связана с Бразильская полиция требовала, чтобы мы передали ей личную переписку, имеющую отношение к одному из уголовных дел, которые расследовались в соответствии с законодательством страны. В то время у нас не было дата-центров в Бразилии, и физически переписку нужно было взять на территории Соединенных Штатов. Мы объяснили, что по американским законам это будет считаться преступлением, и предложили затребовать информацию в соответствии с действующей процедурой MLAT. Бразильские власти имели смутное представление, о чем идет речь. Один разв похожей ситуации они уже возбуждали уголовное дело против нашего местного руководителя в Сан-Паулу, и налагаемые на Microsoft штрафы увеличивались ежемесячно. Мы попросили Нейта Джонса переговорить с бразильскими властями. Мы оказались между молотом и наковальней, и бразильский молот не хотел идти нам навстречу, впоследствии сказал он. Если Нейт мог спокойно обсуждать сложившуюся ситуацию, находясь в безопасности в Редмонде, то о наших местных руководителях в Бразилии этого сказать было нельзя. Власти в Сан-Паулу упекли на какое-то время в тюрьму одного из наших руководителей и долгие годы отказывались снять с него уголовные обвинения. Мы немедленно взяли на себя расходы, связанные сего защитой в суде, и заявили, что вывезем его вместе с семьей из Бразилии, если преследование не прекратится. Мы также опротестовали наложенный на компанию штраф размером более $20 млн. Второй прецедент произошел в самих Соединенных Штатах. В конце 2013 г. мы получили ордер с запросом на передачу электронной переписки в связи c расследованием дела о торговле наркотиками. Хотя это было совершенно рядовое явление, анализ учетной записи быстро выявил кое-что необычное. Переписка, по всей видимости, принадлежала человеку, который не был гражданином США. По этой причине она хранилась не на территории Америки, а в Ирландии. Мы надеялись, что ФБР и Министерство юстиции обратятся к ирландскому правительству за помощью. В конце концов, Соединенные Штаты и Ирландия — тесно сотрудничающие союзники, имеющие актуализированный договор о взаимной юридической помощи. Мы переговорили с официальными лицами в Дублине и заручились их поддержкой. Однако в Министерстве юстиции решили, что этот прецедент приведет к установлению нежелательной для него практики. Там заявили, что мы обязаны подчиниться предписанию. Для нас этот прецедент был не менее важен. Если правительство США сможет получить что-то на территории Ирландии в обход местных законов или хотя бы без ведома ирландского правительства, значит тоже самое смогут сделать и другие правительства. И такая практика воцарится везде. Мы приняли решение судиться, а не подчиняться. В декабре 2013 г. мы подали иск в федеральный суд в Нью- Йорке. Наш поход в здание суда на Фоли-сквер в Южном Манхэттене заставил меня вспомнить о том, как я начинал профессиональную деятельность. В течение первого года после окончания Школы права Колумбийского университета в 1985 г. я работал в штате окружного судьи на 22 этаже того же здания рядом с Уолл-стрит. Эта практика помогла мне изнутри разобраться с механикой законодательства. Нью-Йорк совершенно не походил на Аплтон, город на северо- востоке штата Висконсин, где я вырос. Образ жизни в крупном городе резко отличался от привычного жителю Среднего Запада, однако я и не подозревал при первом появлении на работе, что тоже несу с собой кое-что новое. Помимо амбиций выпускника школы права у меня было нечто необычное для легендарного здания суда — тяжелый, но мощный персональный компьютер 8 Свой первый компьютер я купил осенью предшествующего года. В те времена это устройство было еще в новинку для большинства людей. Если говорить честно, то этот IBM выпуск которого вскоре прекратили, нельзя было считать серьезным компьютером. Однако я установил на него программу, преобразившую мой последний год учебы в школе права. Это был текстовый редактор Microsoft Word 1.0. Он мне настолько понравился, что я до сих пор храню в своем кабинете дома диски, руководство и пластиковую коробку от него. По сравнению с ручкой и бумагой или пишущей машинкой, которыми я пользовался в колледже, работа с текстом на компьютере казалась чудом. Поэтому я, перед тем как отправиться на свою первую работу, убедил жену Кэти, тоже новоиспеченного юриста, потратить 10% от моей годовой зарплаты размером $27 000 на покупку более мощного персонального компьютера для офиса. Она, слава богу, не возражала. Судье, на которого я работал, было в то время 72 года, а офисное помещение с моим столом заполняли стеллажи с аккуратно расставленными ящиками, где хранились сделанные им подробные описания разбирательств и дел более чем за два десятилетия. Также там находилась привычная и испытанная временем система хранения отпечатанных карточек с информацией по каждому пункту, которые требовалось подбирать для инструктирования жюри. Мое появление с персональным компьютером очень удивило некоторых. Именно тогда я впервые осознал, насколько важно использовать компьютер в своей работе — составление циркуляров и подготовка проектов решений суда — так, чтобы не нарушать старую практику, которая все еще прекрасно действовала. Этот ценный опыт я держу в голове до сегодня используй технологию для улучшения того, что поддается усовершенствованию, и уважай то, что все еще хорошо работает. В 2014 г. мы вновь пришли с новой вычислительной технологией в тоже самое здание суда. С самого начала было ясно, что нам предстоит долгая баталия. Эта точка зрения быстро нашла подтверждение, когда местный мировой судья вынес постановление против нас, дающее старт длительному восхождению на вершину апелляционной иерархии. Наше дело моментально вызвало общественный резонанс, особенно в Европе. Через месяц после нашего поражения я провел ряд встреч с представителями правительства, членами парламента, клиентами и журналистами, которые начались в Берлине. Я знал, что наш ордер с запросом на передачу информации из Ирландии должен привлечь внимание, ноне ожидал такого накала страстей и интереса к делу. По правде говоря, вовремя первой встречи с журналистом рано утром я никак не мог вспомнить имя того мирового судьи, который вынес первоначальное постановление против нас. Наша команда, участвовавшая в судебном разбирательстве, уже оправилась от удара, собралась и разогревалась перед вторым раундом у окружного судьи. Мы ушли вперед, но немцы, как быстро выяснилось, никак не могли сдвинуться с места. К концу второго дня пребывания в Берлине малозначительные детали решения и имя мирового судьи, который его вынес, намертво врезались в мою память. Куда бы я ни приходил, на меня почти сразу обрушивались вопросы о судье Фрэнсисе. Практически никто за пределами узкого круга юристов в Нью- Йорке о нем и не слышал, нов Берлине в 2014 г. имя Джеймса Фрэнсиса IV, мирового судьи, вынесшего решение против нас, стало притчей во языцех. Вопросам, казалось, не будет конца. Что он хотел показать этим Почему он сказал Что было потом Немцы добывали копии решения судьи Фрэнсиса и тщательно аннотировали его. Несколько раз мне даже зачитывали выдержки оттуда. Многие тщательно штудировали каждую страницу. К тому моменту первого дня, когда дошел черед до моей встречи с начальником информационного управления одной из самых крупных земель Германии, я был вымотан до предела. Чиновник положил решение судьи Фрэнсиса на стол передо мной, постучал указательным пальцем по нему и заявил В моей земле размещение наших данных в дата-центре любой американской компании будет запрещено до тех пор, пока вы не добьетесь отмены этого». Этот вопрос преследовал нас во всех зарубежных поездках на протяжении целого года. В Токио я не ожидал такой же реакции, как в Берлине. Однако на приеме меня осадила толпа корпоративных клиентов, которые хотели лично сказать, насколько важен для их бизнеса исход дела с нашим ирландским дата-центром. «Microsoft просто обязана выиграть это дело, твердили они. В Японии также очень внимательно следили за движением нашего дела через судебные инстанции. При появлении на публике в разных концах света я не уставал повторять, что мы не оставим это дело и дойдем, если потребуется, до Верховного суда. На фоне медленного развития событий мы все яснее сознавали, что даже в случае победы судебное разбирательство не принесет нам нужных результатов. Оно может ответить на вопрос о пределах действия ордеров на обыск по существующему законодательству, однако не приведет к появлению нового закона или нового поколения международных соглашений, заменяющих устаревшие договоры Мы начали выдвигать новые предложения и обивать пороги государственных ведомств по всему миру в поисках союзников, которые могли бы возглавить более широкие инициативы. Законодательством занимался конгресс, однако нам нужно было подкрепить обращение туда международной поддержкой. В марте 2015 г. нам повезло. Одна из встреч в Белом домена которой я присутствовал, позволила поднять назревшие вопросы неприкосновенности частной жизни и надзора. Когда я стал рассказывать об уголовном деле против нашего руководителя в Бразилии и штрафах, наложенных на Microsoft, президент Обама прервал меня и заметил Это действительно неприятная история. Группа обсудила, а президент дал отмашку на разработку нового подхода к международным соглашениям предпочтительно вместе с кем-нибудь из ключевых союзников вроде Великобритании и Германии. Спустя 11 месяцев, в феврале 2016 г, без особой помпы Великобритания и США предложили проект более современного двухстороннего соглашения об обмене данными. Наконец-то начали вырисовываться контуры одного из наших фундаментальных блоков. Однако соглашение не могло вступить в силу без принятия нового закона конгрессом, а Министерство юстиции, несмотря на широкую поддержку идеи на Капитолийском холме, продолжало сопротивляться принятию законов, которые могли положить конец его практике выдачи ордеров на получение информации из любого уголка мира. Мы попали в законодательный тупики без более широкого согласия наши перспективы выглядели не слишком оптимистично. В конечном итоге Верховный суд сам нашел выход из ситуации, и совершенно неожиданным образом Дело тянулось вплоть до конца февраля 2018 г, когда одним не по сезону теплым утром мы отправились пой улице в Вашингтоне в направлении Верховного суда Соединенных Штатов 10 . Чуть задержавшись перед великолепным фасадом, мы вошли в здание, где должны были представить девяти судьям картину глобальных изменений, связанных с облачными вычислениями. Величественное четырехэтажное здание Верховного суда расположено прямо напротив Капитолия, словно подчеркивая неразрывную связь американской судебной и законодательной власти. Посмотришь в одну сторону — и увидишь блестящий купол Капитолия. Повернешься в другую — и взору откроются мраморные ступени между высоких колонн, ведущие к входу в суд с монументальными резными дверями. К моменту нашего прибытия 27 февраля у здания собралась длинная очередь людей, желавших поглядеть, как мы будем бороться с собственным правительством. Это судебное представление должно было стать последним в череде сражений, которая началась четыре года назад, когда мы отказались предоставить электронные письма из хранилища на другом конце Атлантики, в Ирландии. В четвертый раз Microsoft отстаивала свою правоту в Верховном суде. Это действо всегда производило на меня сильное впечатление. Мы приходили с проблемами, связанными с самыми современными технологиями, в зал суда, который выглядел практически также, как и столетие назад. Пользоваться телефонами и ноутбуками не разрешалось. Каждый раз, оставив гаджеты за дверью, я занимал место в огромном красном зале, который напоминал театр с опущенным занавесом на сцене, а потом смотрел на единственный имеющий отношение к технологиям предмет — висящие на стене часы. Меня всегда волновал вопрос, сможет ли Верховный суд понять технологические аспекты в обстановке, где невидно никаких следов современных технологий. Наше первое судебное дело в 2007 г. касалось проблем с патентами, которые возникли при производстве CD в Ирландии. Через неделю после изложения аргументов я повстречался с одним из руководителей суда, который сказал Ты выглядел немного обескураженным, когда выступали некоторые из судей». Тогда мне не удалось сдержать эмоций. Я хорошо помню тот случай. Один из судей обсуждал с адвокатом противной стороны последствия того, что Microsoft будет отправлять фотоны из Нью-Йорка на компьютеры в Европе. Причем здесь фотоны недоумевал я. — И почему они твердят о Нью-Йорке?» Это был ценный урок для меня. Я понял не только то, что вовремя слушаний нужно сидеть с каменным лицом, но и то, что судьи, хотя и не всегда понимают детали новейших технологий, имеют разбирающихся молодых помощников. А еще у судей помимо реального понимания вещей есть мудрость и проницательность, которые, бывает, заставляют выходить за пределы самого закона. Несмотря на недовольство публики назначениями и ряд нашумевших дел, Верховный суд остается одним из подлинно выдающихся институтов мира. В большинстве случаев девять судей стараются решать сложные проблемы сообща. Я бывал в залах суда в разных концах света и на практике убедился в том, что Верховный суд США — это действительно высшая инстанция. Тем утром после часовых судебных прений девять судей оставили обеим сторонам меньше уверенности, чем им хотелось бы. Можно было сколько угодно строить догадки о том, кто победит, но реальная возможность предсказать исход сражения отсутствовала. Случайно или нет, судьи создали идеальную атмосферу для поиска согласия сторонами. Существовало, однако, одно очень серьезное препятствие. Только принятие нового закона могло примирить стороны и сделать решение Верховного суда ненужным. Другими словами для урегулирования требовалось новое законодательство, которое находилось введении Капитолия на другой стороне й улицы. В то время просить о чем-либо конгресс было все равно что просить о Божьей милости. Согласие там не наблюдалось практически ни по одному вопросу, и протолкнуть что-то через него было немыслимо. Однако небольшая возможность все же существовала. Я детально проработал варианты с Фредом Хамфрисом, нашим давним представителем в Вашингтоне, который возглавлял команду Microsoft по связям с государственными органами. И мы вместе с Белым домом решили рискнуть. Такая возможность вряд ли появилась бы без инициатив со стороны обеих партий в сенате и палате представителей, которые стали выдвигаться вскоре после подачи нашего иска четыре года назад. И вот, после двух слушаний по вопросам законодательства и череды взаимных шагов навстречу мыс представителями Министерства юстиции уселись за одним столом для заключительного раунда переговоров при посредничестве сенатора Линдси Грэма, председателя подкомитета по борьбе с преступностью и терроризмом. Грэм всегда старался помочь людям найти общий язык. Без малого год назад, в мае 2017 гон организовал вызвавшее большой интерес слушание, на котором я давал свидетельские показания. Для участия в нем британское правительство прислало заместителя советника по национальной безопасности Пэдди Макгиннеса. Это был человек с приятным шотландским темпераментом и прагматичными твердым пониманием того, что требовалось для борьбы с терроризмом на территории Великобритании. Советник Белого дома по национальной безопасности Том Боссерт регулярно общался с Макгиннесом и делал всевозможное, чтобы найти общий язык в конгрессе. После прений в Верховном суде на свет появилась новая редакция документа, которая устроила обе стороны. Ей присвоили новое название Закон о правомерном использовании данных, хранящихся за рубежом (Clarifying Lawful Overseas Use of Data — Этот проект содержал положения, к принятию которых мы стремились. Он уравновешивал распространение действия ордеров на обыск на зарубежные данные, которого добивалось Министерство юстиции, признанием права технологических компаний обращаться в суди оспаривать ордера, противоречащие закону. Иначе говоря, если Ирландия, Германия или Европейский союз в целом, желавшие заблокировать односторонние иностранные ордера на обыск через свое законодательство, решат избрать более прозрачный или нацеленный на сотрудничество подход, они вполне могут сделать это, а мы сможем опереться на их решение в американском суде. Еще важнее, что законопроект CLOUD создавал новую базу для современных международных соглашений, которые могли устранить односторонние действия. Такие соглашения позволяли бы правоохранительным органам получать доступ к данным в другой стране быстрее, нос соблюдением правил, защищающих неприкосновенность частной жизни и другие права человека. Как все другие законы, особенно те, что строятся на основе компромисса, этот законопроект был далек от совершенства, однако он включал в себя подавляющую часть того, чего мы добивались более четырех лет. Так или иначе, найти проводника, который обеспечил бы принятие законопроекта CLOUD, было крайне сложно. Вряд ли стоило рассчитывать на то, что и сенат, и палата представителей найдут время в своих плотных графиках для рассмотрения проблемы по существу, да еще до того, как Верховный суд примет решение. Нужно было включить наш законопроект в виде дополнения в какой-нибудь другой законодательный акт. Мы понимали, что единственной реальной возможностью протолкнуть наше предложение было его включение в бюджетный законопроект. Подобная задача была не из простых по двум причинам. Во-первых, бюджетные законопроекты проходили через конгресс с большим трудом. А во-вторых, с учетом первого пункта, лидеры конгресса крайне неохотно шли на включение небюджетных предложений в бюджетные законопроекты. Все понимали, что при поддержке сенатора Грэма республиканская часть сената могла принять идею. Это, однако, ничего не даст, если демократы упрутся. Впрочем, мы знали одного человека, способного изменить ситуацию. Лидер сенатского меньшинства Чак Шумер был в наших глазах не только автором многих законодательных инициативно и обладателем пробивной силы. Несмотря на очень поверхностное представление о вопросе, он быстро вошел в тему и включил ее в свою повестку дня. Боссерт, Грэм и Шумер развернули лихорадочную деятельность по привлечению на свою сторону лидеров в палате представителей. Вскоре оба спикера, Пол Райан и лидер меньшинства Нэнси Пелоси, активно обсуждали вопрос включения CLOUD в бюджетный законопроект. Переговоры привели к еще одному раунду внесения поправок. Каждые два дня инициатива практически заходила в тупик, однако мы привлекали Боссерта и общими усилиями не давали ей умереть. Как это ни удивительно, но ее удалось удержать на плаву. В конце концов, 23 марта 2018 г. президент Дональд Трамп подписал объемистый бюджетный законопроект вместе с нашим приложением. CLOUD стал законом, и дело в Верховном суде вскоре было закрыто. С того момента, как мы впервые обратились в федеральный суд в Нью-Йорке, прошло более четырех лета после посещения Верховного суда на решение проблемы ушло меньше месяца. Последние этапы противостояния пролетели так быстро, что решение стало неожиданностью даже для тех, кто находился в самой гуще дел. Хотя мы были довольны результатом, он все же вызывал смешанные чувства. На наш взгляд, закон CLOUD создавал хорошую правовую базу. Однако, как и все другие законодательные акты и судебные решения, он не был лишен компромиссов. Давно известно, что участие в сражении щекочет нервы, а заключение мира приносит выгоду. Как правило, заключение мира — это единственный путь к прогрессу. А мир всегда требует взаимных уступок. Он также предполагает неустанное разъяснение результата, особенно когда результат не вполне однозначен. По этой причине мы обычно заранее готовимся к разным исходами держим под рукой необходимые информационные материалы. Нов случае с события развивались так быстро и требовали такого объема переговоров в Вашингтоне, что мы оказались не так хорошо подготовленными, как следовало бы. На нас обрушился поток запросов от клиентов, групп правозащитников и представителей правительств со всего мира. Все хотели получить разъяснение, о чем именно говорится в законе CLOUD и как это будет реально работать. Клиенты задавали вопросы, а группы правозащитников выражали опасения. Мы приняли экстренные меры и довольно быстро начали проводить брифинги по всему свету и публиковать разъяснительные материалы. К этому процессу были подключены торговые представители Microsoft практически во всех странах — это стало ясно, когда месяц спустя во Франции меня остановил на улице один из наших местных сотрудников. Он заметил меня, когда я проходил мимо ресторана вовремя обеденного перерыва. Выскочив из-за стола, он догнал меня и засыпал вопросами о новом законе. Результат показывал, как далеко мы ушли и как далеко нужно уйти миру в целом. Теперь у нас была основа для выстраивания другого будущего, основанного на новых соглашениях между странами. Как выразился заместитель генерального прокурора США Ричард Даунинг в первую годовщину действия CLOUD, этот закон предлагает непросто решение текущей проблемы, а перспективную концепцию. По его словам, это решение нацелено на формирование сообщества идейно близких, уважающих права человека стран, которые чтут принцип верховенства закона. Такие страны могут свести к минимуму противоречия своих законодательств и действовать в обоюдных интересах на основе общих ценностей и взаимного уважения» 15 Закон CLOUD создает своего рода фундамент для возведения новых зданий. Мы живем в мире, где правоохранительные органы должны действовать быстро, неприкосновенность частной жизни нуждается в защите, а границы государств заслуживают уважения. Новые международные соглашения могут сделать все это возможным, если их как следует продумать и последовательно применять. Другими словами, нам предстоит еще долго работать над этим Глава 4 КИБЕРБЕЗОПАСНОСТЬ: тревожный звонок для всего мира Патрика Уорда привезли 12 мая 2017 г. в предоперационный блок больницы Святого Варфоломея в центральной части Лондона. Этот обширный медицинский комплекс, который местные жители называют между собой просто «Бартс», находящийся в нескольких кварталах от собора Святого Павла, был заложен в г. вовремя правления короля Генриха I. Больница не прекращала работу вовремя фашистских бомбежек и успешно пережила Вторую мировую войну под градом бомб, некоторые из которых попадали и на ее территорию. Однако за всю 900- летнюю историю больницы ни одна бомба не привела к такому коллапсу, как та, что взорвалась тем утром в пятницу. Уорд добирался до места три часа из своей маленькой деревни в графстве Дорсетшир неподалеку от городка Пул на юге Англии. Его семья с концах гг. обрабатывала прибрежный участок земли, который выглядел так, словно сошел со страниц сборника сказок. Работа Уорда вполне соответствовала этому идиллическому месту. Он долгое время был коммерческим директором Purbeck Ice Cream, производителя деликатесного мороженого. Ему нравилось такое занятие. Мне платят зато, что я разговариваю и ем мороженое, — сказал он нам. — А я умею делать и то и другое довольно хорошо». Уорд ждал два года, пока подойдет его очередь в Бартсе на операцию в связи с серьезной патологией сердца кардиомиопатией, генетическим отклонением, приводящим к утолщению сердечной мышцы. Из-за него крепкий англичанин среднего возраста, который любил побродить по окрестностями поиграть в футбол, лишился возможности выполнять большинство ежедневных дел. В то утро грудь Уорда побрили и облепили кучей датчиков. Он лежал на передвижной кровати в ожидании давно запланированной операции, когда в помещение буквально влетел хирург. Мне нужно отлучиться на несколько минут. Я скоро вернусь. Однако Уорда таки не отвезли в операционную. Он томился в ожидании. Врач появился лишь через час с лишним. Наши компьютеры взломали. Система полностью вышла из строя. Яне могу сделать операцию. Больница, которая исправно работала на протяжении всей Второй мировой войны, неожиданно перестала функционировать из-за крупномасштабной кибератаки. Все ее компьютерные системы рухнули. Прием автомобилей скорой помощи прекратился, запланированные посещения врачей были аннулированы, а хирургию закрыли на целые сутки. Кибератака парализовала третью часть Государственной службы здравоохранения, которая предоставляет большинство медицинских услуг в Англии 2 Тем утром в Редмонде группа руководителей высшего звена собралась на обычное совещание, проводимое по пятницам. Такие еженедельные встречи Сатьи Наделлы и его прямых подчиненных давно стали рутиной. Они начинаются в и проводятся в зале заседаний совета директоров компании на этаже, где у некоторых из нас находятся кабинеты. Мы обычно рассматриваем различные моменты, связанные с продуктом и деловыми предложениями, и завершаем заседание ближе к полудню. Однако совещание 12 мая 2017 г. к разряду обычных не относилось. Мы еще обсуждали второй вопрос, когда Сатья прервал наш разговор Ко мне валом идут копии писем о какой-то масштабной кибератаке на наших клиентов. Что происходит?» Очень скоро выяснилось, что наши инженеры по информационной безопасности уже предпринимают меры в ответ на запросы клиентов и пытаются выяснить причину и оценить последствия быстро распространяющейся атаки. К обеду стало ясно, что это необычный взлом. Инженеры Центра Microsoft по обнаружению киберугроз (Microsoft Threat Intelligence Center — MSTIC) быстро связали вредоносную программу стем кодом, который так называемая группа Zinc использовала в своих экспериментах два месяца назад. MSTIC присваивает хакерским группам из разных стран кодовые наименования по названию элементов периодической системы Менделеева. В ФБР считали, что Zinc имеет отношение к правительству Северной Кореи. Это была та же самая группа, что взломала компьютерную сеть компании Sony Pictures полтора года назад 3 Ее последняя атака была необычно сложна с технической точки зрения — к исходной программе Zinc добавили новый вредоносный код, который позволял вирусу автоматически передаваться от одного компьютера к другому. После проникновения в систему код зашифровывал данные и запирал жесткий диск. На экране появлялось сообщение с требованием заплатить $300 за электронный ключ для восстановления данных. Без ключа пользовательские данные должны были навсегда остаться заблокированными и недоступными. Кибератака началась с Великобритании и Испании и за несколько часов охватила весь мир, затронув в конечном итоге 000 компьютеров более чем в 150 странах. Ее запомнили как, по названию вредоносной программы, которая не только заставила плакать системных администраторов, но и послужила тревожным звонком для всего мира. Вскоре газета The New York Times сообщила, что самую сложную часть WannaCry разработали в Агентстве национальной безопасности США для использования уязвимости операционной системы Windows 5 . АНБ, скорее всего, создавало код для внедрения в компьютеры противника и получения доступа к ним. Код был украден и попал на черный рынок через хакерскую группировку Shadow Brokers, которая выложила его в сеть Brokers сделала это оружие АНБ доступным для любого, кто знал, где искать его. Хотя эта группировка не связана напрямую с конкретным человеком или организацией, эксперты по киберугрозам подозревают, что она является прикрытием для одного из государств, нацеленных на дестабилизацию ситуации 6 В этот раз Zinc добавила действенную вредоносную программу к коду АНБ, создав опасное кибероружие, которое взорвало интернет. Как выразился один из наших руководителей в сфере информационной безопасности, «АНБ разрабатывало ракету, а северокорейцы превратили ее в реактивный снаряд, разница заключается лишь в характере головной части. По сути, Соединенные Штаты создали хитроумное кибероружие и потеряли контроль над ним, а Северная Корея использовала его для атаки против всего мира. Еще несколько месяцев назад такой сценарий казался немыслимым. Теперь он стал темой дня. Однако времени на насмешки у нас не было. Нам нужно было помочь клиентам идентифицировать пораженные системы, остановить распространение вредоносного кода и возвратить к жизни заблокированные компьютеры. К полудню наша команда по информационной безопасности пришла к выводу, что машины с новой версией операционной системы Windows устойчивы к атаке в результате выпущенной два месяца назад заплатки, или патча, а вот о более старых машинах на Windows XP этого сказать было нельзя. Вырисовывалась очень серьезная проблема. В мире более сотни миллионов компьютеров все еще работали на Windows Мы не один год пытались убедить клиентов обновить операционную систему и установить более свежую версию. Windows XP была выпущена в 2001 г, за шесть лет до появления первого iPhone компании Apple и за полгода до поступления в продажу первого iPod. Хотя мы и выпускали патчи для устранения конкретных уязвимостей, устаревшая технология не могла угнаться за все новыми информационными угрозами. Надеяться на то, что программное обеспечение летней давности сможет защитить от сегодняшних атак, сродни надежде отыскать защиту от ракет в окопах. Несмотря на наши предупреждения, скидки и бесплатные обновления, некоторые клиенты упорно держались за старую операционную систему. Не оставляя попыток сдвинуть их с места, мы в конечном итоге решили продолжить выпуск патчей для устранения уязвимостей старых систем, нов отличие от новых версий, делать это на основе платной подписки. Цель заключалась в создании финансового стимула для перехода на более безопасную версию В большинстве случаев такой подход давал результат, ноне вовремя атаки 12 мая. Вирусный характер WannaCry позволял вредоносному коду распространяться невероятно быстро. Нужно было поставить ему заслон. Это вызвало горячие дебаты в. Следует ли нам сделать патч для Windows XP доступным всем без исключения, в том числе и тем, кто пользуется пиратскими копиями наших программ Конец разногласиям положил Сатья, который решил, что мы должны выложить патч в свободный доступ. Когда ему сказали, что это сведет на нет попытки заставить людей отказаться от XP, он отмел возражения, разослав письмо, где говорилось Сейчас не время для дебатов. Ситуация слишком серьезна». Хотя мы и добились прогресса в сдерживании эпидемии, политическая ситуация продолжала накаляться. Когда в ту пятницу в Сиэтле подошло обеденное время, в Пекине уже наступило утро субботы. Представители китайского правительства связались с нашей командой в Пекине и направили Терри Майерсону, возглавлявшему отделение электронное письмо с вопросом о статусе патчей для Windows Такой запрос был неудивительным с учетом того, что в Китае машин на Windows XP насчитывалось больше, чем в любой другой стране. Китай почти не пострадал от первоначальной атаки лишь потому, что в пятницу, когда начал распространяться вирус, там уже был вечери большинство офисных компьютеров отключили до понедельника. Однако местные машины с устаревшей операционной системой Windows XP оставались уязвимыми. Впрочем, патчи для XP былине единственным моментом, который волновал Китай. Чиновник, направивший Терри письмо, задавал вопросы о заявлении, которое газета The New York Times сделала в тот же день. В ее статье утверждалось, что государственные ведомства США активно ведут поиск уязвимостей программного обеспечения, однако хранят свои находки в секрете, а не уведомляют о них технологические компании, и, таким образом, не позволяют их устранить 7 Чиновник хотел получить наши комментарии. Мы ответили, что этот вопрос нужно обсуждать с правительством США, а нес нами. Вместе стем такая практика по понятным причинам не вызывает восторга ни у нас, ни у других технологических компаний. Мы уже давно призываем правительства раскрывать информацию об обнаруженных уязвимостях и давать возможность своевременно устранять их. Конечно, все понимали, что это лишь первая ласточка и надо готовиться к шквалу вопросов со всех концов света. Утром в субботу стало ясно, что нам нельзя ограничиваться одной лишь поддержкой пострадавших клиентов — мы должны занять более открытую позицию по новым геополитическим проблемам. В то утро я обсудил с Сатьей по телефону наш следующий шаг. Было решено публично отвечать на вопросы о WannaCry. Мы отказались от препарирования деталей нынешней атаки и стали говорить о более широкой теме кибербезопасности. Прежде всего, было заявлено, что Microsoft и другие компании в технологическом секторе несут прямую ответственность за защиту клиентов от кибератак. Это было само собой разумеющимся. При этом мы подчеркивали, что клиенты тоже отвечают за кибербезопасность. В нашу обязанность входило предоставление клиентам обновлений и новых версий программного обеспечения, однако, как показало случившееся, толку от этого было мало, если обновления не использовались. Мы также отмечали еще один момент, который высветила атака WannaCry. Правительства, разрабатывающие высокотехнологичные наступательные средства, должны держать под контролем свое кибероружие. Произошедшее эквивалентно похищению у американских военных крылатой ракеты. Тот факт, что кибероружие можно записать — или унести — на флеш-накопителе, делает задачу его охраны более сложной и более важной. Некоторым представителям Белого дома и АНБ очень не понравилось наше упоминание ракеты Tomahawk. Их поддерживали коллеги в британском правительстве, по словам которых, правильнее было бы сравнивать WannaCry с винтовкой, а нес крылатой ракетой. Однако мыслимо ли выстрелом из винтовки поразить цели сразу в 150 странах Это были пустые разговоры. Если уж на то пошло, то они лишь показывали, что чиновники, отвечавшие за кибербезопасность, не привыкли открыто говорить на эту тему в прессе или публично отстаивать свою практику. Что удивляло больше всего, так это отсутствие широкого обсуждения вопроса о том, почему Северная Корея устроила кибератаку. Ясного ответа у нас нет до сегодняшнего дня, но одна теория представляет особый интерес Всего за месяц до атаки Северная Корея потерпела позорный провал при запуске своей новейшей ракеты. Дэвид Сангер вместе с двумя другими репортерами написал тогда в The New York что правительство США предпринимает попытки затормозить реализацию северокорейской ракетной программы, в том числе с помощью методов электронной войны» 9 По их словам, невозможно узнать, что на самом деле стало причиной неудачи, однако министр обороны Джеймс Мэттис очень странно прокомментировал ее. Он сказал Президент и команда его военных советников знают о последней неудаче Северной Кореи с запуском ракеты. Президенту нечего к этому добавить. И это президенту, который, как известно, редко отказывается от комментариев. А что, если Северная Корея ответила на кибератаку против ее ракеты своей собственной кибератакой? Конечно, WannaCry действовал нецеленаправленно, но что, если таки было задумано Что, если северокорейцы хотели показать Вы поразили нас водном месте, а мы достанем вас везде»? Некоторые особенности WannaCry соответствуют этой теории. Во-первых, атака против целей в Европе началась именно в то время, когда все на востоке Азии выключали свои компьютеры и отправлялись по домам на выходные. Если северокорейцы хотели добиться максимального воздействия на Западную Европу и Северную Америку и как можно меньше затрагивать Китай, то они выбрали идеальный момент. Вирус распространялся вслед за движением солнца на запад, где у работников в частном и государственном секторах продолжался рабочий день. А в распоряжении китайцев были целых два выходных дня, чтобы принять меры до начала рабочей недели в понедельник. Помимо прочего северокорейцы добавили то, что специалисты по информационной безопасности называют механизмами самоуничтожения, дающими возможность остановить распространение вредоносной программы. Один из таких механизмов заставлял вирус искать пока что несуществующий веб-адрес. До тех пор, пока этого адреса не было, WannaCry продолжал распространяться. Но стоило кому-то зарегистрировать и активировать такой веб-адрес, что технически не представляло сложности, и код прекращал тиражироваться. Немного позднее 12 мая один из аналитиков по информационной безопасности в Великобритании исследовал вредоносный код и обнаружил этот механизм самоуничтожения. За небольшую плату, всего $10,69, он зарегистрировали активировал нужный URL и, таким образом, положил конец распространению WannaCry 10 . Некоторые говорили, что это свидетельствует о недостатке опыта и знаний у создателей. Но что, если это говорит о прямо противоположном? Что, если разработчики WannaCry оставляли себе возможность деактивировать вредоносную программу до наступления понедельника во избежание проблем в Китае или в самой |