ЮрФак: изучение права онлайн

Информационная безопасность и применение технологии блокчейн: зарубежный опыт и необходимость правового регулирования в Российской Федерации

Автор: Багоян Е.Г.

Основополагающее определение информационной безопасности дано в Указе Президента РФ от 5 декабря 2016 г. N 646 "Об утверждении Доктрины информационной безопасности Российской Федерации" и определяется как "состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государства"[1]. Основываясь на данном базовом определении, рассмотрим, каким образом информационные технологии, связанные с применением технологии "распределенного реестра цифровых транзакций"[2], могут повлиять на состояние информационной безопасности.

Являясь, по сути, информационной системой, блокчейн подпадает под определение, данное в Федеральном законе "Об информации, информационных технологиях и защите информации": "…совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств"[3].

Группа преступлений, связанных с использованием информационных технологий в сети Интернет, осуществляется путем кражи информации, которая обычно находится в закрытом доступе, путем хакерских атак на информационные сети, кражи паролей при помощи фальшивых фишинговых сайтов или программ, где потерпевшие, заблуждаясь, вводят свою личную информацию (обычно пароли или реквизиты банковских карт), и т.д.

Противодействие подобным киберпреступлениям было урегулировано на общеевропейском уровне.

Еще в 2002 г. была принята первая редакция Директивы 2002/58/EC, касающаяся обработки персональных данных и защиты неприкосновенности частной жизни в сфере электронных коммуникаций[4] (Директива о неприкосновенности частной жизни и электронных коммуникациях). Эта Директива в первую очередь ориентирована на защиту прав пользователей, под которыми понимаются любые физические лица, которые используют общедоступные средства электронной коммуникации в личных или коммерческих целях.

Еще одним важным нормативным правовым актом ЕС в сфере противодействия преступлениям, связанным с информационными возможностями сети Интернет, стала Директива 2013/40/EU об атаках на информационные системы[5]. Директива устанавливает минимальные определения и санкции для преступлений, связанных с атаками на информационные системы в государствах-членах, а также создает условия для сотрудничества судебных и полицейских органов в преследовании подобных преступных деяний.

И наконец, проблемы применения блокчейн-технологий связаны с вступлением в действие в мае 2018 г. GDPR (General Data Protection Regulation, Общий регламент по защите данных) — директивы Европейского союза, призванной устранить пробелы в законодательстве Европейского союза о персональных данных[6]. Теперь у пользователей появился ряд прав, закрепленных на законодательном уровне, нарушение которых грозит компаниям штрафом до 20 млн евро, или до 4% годового оборота. Но не всегда новые технологии или законы других стран "совместимы" с GDPR.

Модель централизованного управления, используемая для основных служб Интернета, таких, как Служба доменных имен (DNS) и инфраструктура открытого ключа (PKI), еще более обострила вопросы, связанные с совершением информационных преступлений. Эта проблема усугубилась с появлением Интернета вещей (IoT)[7].

Появление технологии блокчейн, однако, вводит новую модель, в которой сильные криптографические и верификационные алгоритмы используются для децентрализации транзакций, устраняя необходимость в доверенной третьей стороне и смягчая эти риски. Согласно отчету о расследованиях нарушений данных Verizon Data Breach Investigations Report за 2017 г., 96% нарушений в 2016 г. были связаны с внешними субъектами, и большинство этих атак были совершены организованными преступными группами в финансовой сфере[8].

За относительно короткое время существования технология распределенного доступа (что является отличительной чертой ее функциональности) блокчейн обычно используется для таких позиций, как криптовалюта, запись сделок с собственностью и стимулирование роста смарт-контрактов.

Несмотря на то что многие отрасли изучают использование технологии блокчейн, рост технологии за пределами ее использования в областях финансов, ценных бумагах и авторского права в значительной степени перешел в состояние стагнации. Относительно немногие организации изучают применение технологии блокчейн для защиты критически важной инфраструктуры и цифровых активов. Для того чтобы расширить тематику блокчейн-технологий в сфере информационной безопасности, важно определить, какие темы уже изучены и решены, а какие на данный момент являются актуальными, требующими дальнейших исследований. Изучение научной литературы по исследованию технологии блокчейн[9] показывает, что большая часть контента относится к выявлению использования данной технологии применительно к криптовалютам в целом и биткоину в частности. Интерес к данной технологии растет с 2008 г., когда концепция была впервые разработана. Помимо преимуществ таких приложений, как биткоин, основными причинами, по которым другие сектора могут использовать блокчейн, являются безопасность, анонимность и целостность данных без необходимости участия третьей стороны или централизованного органа управления транзакциями.

Наиболее распространенными пользователями технологии блокчейн являются в первую очередь финансовые учреждения и юридические лица, которые остро нуждаются в применении технологий информационной безопасности. По мере того как использование блокчейна расширяется в других отраслях и больше доверия оказывается этой технологии, в частности, для обеспечения контрактов, записи реестров собственности, обеспечения целостности данных и использования множества других функций, число сторон, заинтересованных в получении информации о преимуществах данной технологии, растет.

От повышения эффективности бизнеса, регистрации сделок с недвижимостью до стимулирования роста смарт-контрактов технология блокчейн начинает вызывать интерес все большего числа организаций и привлекает миллиарды долларов венчурного финансирования. В США Агентство передовых оборонных исследовательских проектов (DARPA) исследует технологию блокчейн для "создания неархивируемой системы обмена сообщениями"[10].

С технологической точки зрения блокчейн — это гораздо больше, чем криптовалюта и денежные приложения. Тот же распределенный криптографический подход может использоваться для проверки всех видов транзакций и может регулировать как финансовые, так и нефинансовые типы приложений.

Децентрализованная функциональность блокчейна работает, связывая всех участников рынка без посредников, таким образом, что каждая транзакция прозрачна для всех участников сети. Блокчейн можно охарактеризовать как сеть, позволяющую сторонам передавать право хранения ценных активов в контролируемом порядке, не полагаясь на посредников[11].

В случае если какие-либо данные подделаны, блокчейн обеспечивает аудиторский след, чтобы определить, кто манипулировал данными. Функция децентрализации или удаления централизованного органа власти использует ресурсы одноранговой сети для проверки и утверждения каждой транзакции. Каждый блокчейн, как и тот, который использует биткоин, распространяется и работает на компьютерах, предоставляемых добровольцами по всему миру; нет центральной базы данных. Природа блокчейна является публичной и означает, что любой может просматривать его в любое время, потому что он находится в сети, а не в пределах одного учреждения, отвечающего за аудит транзакций и ведение записей.

По словам Т. Кивиата, "в физическом мире безопасность требует замков, хранилищ и подписей; в цифровом мире она требует криптографии или методов защиты цифровой информации и транзакций"[12].

Отсутствие третьей стороны, или центрального органа, в структуре базы данных является одним из самых важных аспектов технологии блокчейн. Важной особенностью блокчейна является то, что транзакции, которые происходят на блокчейне, не требуют авторизации, верификации или валидации третьей стороной или посредником. Блокчейн предоставляет неоспоримое подтверждение того, что транзакции или данные в блоке существовали в определенное время. Поскольку каждый блок содержит хеш заголовка предыдущего блока, создается автоматическое подтверждение истории, положения и права собственности каждого блока в цепочке.

Источник данных на платформе блокчейна предоставляет полную картину того, как элемент данных был собран, где он хранился и как он использовался. Такая информация может быть полезна для аудита данных и понимания того, соблюдает ли организация определенную политику конфиденциальности данных. В контексте информационной безопасности происхождение данных относится к процессу аудита, используемому для сохранения записи всех действий, выполняемых над данными[13].

Для того чтобы прохождение данных было эффективным с технологической точки зрения, оно должно удовлетворять определенным требованиям и характеристикам. Эти элементы состоят из полноты (каждое действие, которое когда-либо выполнялось, собрано), целостности (данные не были обработаны или изменены), доступности (возможность проверить собранную информацию), конфиденциальности (доступ к информации зарезервирован только для уполномоченных лиц) и эффективности.

За последние несколько лет было много дискуссий о технологии блокчейн и возможностях ее использования в качестве средства для оптимизации и обеспечения безопасности широкого спектра бизнес-транзакций. Например, алмазная промышленность в США в настоящее время пилотирует использование технологии блокчейн, чтобы отличить законно приобретенные алмазы от тех, которые получены из конфликтных регионов[14].

Руководитель российской акционерной компании "АЛРОСА" С.С. Иванов в интервью компании РБК 26 ноября 2018 г. сообщил, что алмазная промышленность Российской Федерации также будет использовать технологию блокчейн в обеспечении аутентичности алмазов у нас в стране[15].

Тщательно изучив данные блокчейна, поставляемые с каждым бриллиантом, можно будет идентифицировать подозрительные алмазы и мошеннические транзакции.

Данная технология используется при проверке сделок по торговле углеродом или служит основой для защиты цифровых медицинских записей, отслеживает сделки, логистические цепочки и сбор выплат для прослушивания музыки онлайн.

Одной из широких областей инноваций вокруг технологии блокчейн являются децентрализованные смарт-контракты. В проекте Федерального закона N 419059-7 "О цифровых финансовых активах" (ред., принятая ГД ФС РФ в I чтении 22.05.2018)[16] смарт-контракт определен как "договор в электронной форме, исполнение прав и обязательств по которому осуществляется путем совершения в автоматическом порядке цифровых транзакций в распределенном реестре цифровых транзакций в строго определенной таким договором последовательности и при наступлении определенных им обстоятельств"[17].

Смарт-контракты — это способ исполнения обязательств посредством сценария, заложенного в программный код. Если исполняемая версия смарт-контракта не противоречит действующему законодательству, то каких-либо ограничений по его использованию нет.

При использовании блокчейна для управления контрактами такие проблемы, как неспособность какой-либо стороны уложиться в срок или выполнить задачу, могут быть более заметными. Со временем история поставщика, записанная на блокчейн, может быть использована для проверки его репутации и надежности. Концепция смарт-контрактов не нова и не уникальна.

Одним из примеров является технология управления цифровыми правами (DRM)[18], разработанная для борьбы с нарушением авторских прав. Технология DRM, по существу, была встроена по закону США об авторском праве в цифровые файлы, ограничивая возможность пользователя просматривать, копировать, воспроизводить, печатать или иным образом изменять произведения. Другими словами, цифровые файлы, зашифрованные с помощью технологии DRM, содержат базовый смарт-контракт, ссылающийся на централизованную сеть.

Авторские права на произведения (книги, фильмы, фотографии, компьютерные программы и др.) в российском законодательстве возникают с момента его создания и охраняются независимо от какой-либо регистрации или внесения в реестр (ст. 1259 ГК РФ "Объекты авторских прав")[19]. Фиксация факта создания произведения и авторства на него может быть полезна для различных целей, в том числе и для доказывания своего авторства.

Таким образом, внесение произведения в блокчейн-реестр может послужить доказательством при возникновении спорных случаев, так как ограничений на использование доказательств, полученных с использованием блокчейн-технологий, нет.

Технология блокчейн может аутентифицировать различные обещания в контракте, подтверждая, что каждая сторона имеет возможность выполнять задачи, за которые она несет ответственность.

Однако наиболее перспективной особенностью блокчейна является его способность позволить смарт-контракту самоисполняться. Это дает возможность значительно сэкономить на расходах, связанных с правоприменением, таких, как трудовые расходы, судебные издержки и др.[20]

Смарт-контракты можно использовать и другими способами. Коллективные договоры могут быть сведены к смарт-контрактам и загружены в блокчейн. Разнообразие средств, с помощью которых блокчейн может использоваться для обеспечения соблюдения контрактов, ограничено только данными на блокчейне и кодированием смарт-контракта.

Итак, блокчейн представляет собой структуру децентрализованного характера, вне единого центра управления. Причем децентрализованность присутствует на всех этапах совершения транзакции. На этапе совершения транзакций невозможно внутрисетевое принуждение к совершению транзакции, а также отмена транзакции другим участником сети. На этапе подтверждения и внесения транзакции в блокчейн майнеры на абсолютно равных условиях конкурируют друг с другом, что лишает их какой-либо власти в отношении пользователей; распределенного консенсуса, который[21] с философской точки зрения представляет собой реализованный принцип абсолютной демократии, который предполагает принятие ключевых вопросов относительно самой системы только при одобрении абсолютным большинством пользователей; криптографических алгоритмов как основы доверия между участниками системы. С помощью хеш-функций, proof-of-work, асимметричного шифрования уровень доверия между участниками системы достигает своего предела. Возможность взлома блокчейна сведена к минимуму, хотя такие разновидности хакерских угроз, как "Атака 51 процента"[22] или "Атака Сивиллы"[23], остаются потенциальной угрозой для блокчейна; автономности: основы функционирования блокчейна заложены в его программном коде, который представляет собой программное обеспечение с открытым кодом. Данное качество позволяет существенно повысить уровень доверия, так как каждый участник может ознакомиться со структурой блокчейна и быть уверенным, что она будет изменена только при достижении консенсуса между большинством участников этой системы[24]. Нельзя не заметить, что реализация подобных условий требует высокой профессиональной подготовки в области программирования и криптографии, однако само наличие этой возможности можно считать прорывом в сфере развития высоких технологий[25].

Однако необходимо отметить, что, как каждая информационная система, технология блокчейн имеет значительные ограничения, связанные с ее технологическими особенностями.

Учитывая приведенное ранее положение о том, что на технологию блокчейн распространяется правовой режим информационных систем, вопросы правоприменения базируются в данной сфере, что ограничивает возможности правоприменителей в отношении других важнейших функций системы, базирующихся в том числе и на технологических особенностях самой системы. Например, таких, как ограничения на хранение данных: отдельные записи блокчейн, как правило, не могут содержать много данных. Более того, структура платформы подразумевает, что все изменения состояния записываются в блокчейн. Все узлы, участвующие в сети, должны поддерживать полную копию блокчейна, ограничивая общий размер блокчейнов техническими возможностями оборудования[26]. Скорость обработки транзакций ограничена протоколом распространения записи и выбора лидера блокчейна, и она привязана к скорости, с которой новые блоки объявляются ведущими узлами. Новые транзакции могут занять от нескольких минут до нескольких часов. Ограниченная пропускная способность. Общее количество транзакций на блок ограничено размером блока любого блокчейна. Чтобы сохранить объективность и дать всем узлам шанс стать лидером в следующем раунде, узлы должны получить новый объявленный блок примерно в одно и то же время. Поэтому размер блока обычно ограничен пропускной способностью восходящего канала узлов. Бесконечная книга. Целостность блокчейна зависит от способности любого человека выполнить аудит исходного блока. Когда система продвигается вперед и генерирует новые блоки, аудит растет линейно со временем. Это делает загрузку новых узлов все более трудоемкой. Это явление называется "endless ledger problem"[27].

Все эти и другие важнейшие особенности данной технологии диктуют необходимость более детальной разработки нормативно-правового регулирования.

Блокчейн — это преобразующая технология, которая обеспечивает большой потенциал для применения информационных технологий в развитии цифровой экономики и решении социальных проблем. Блокчейн имеет потенциал влияния на сферу информационной безопасности и способен привнести в данную среду высокий уровень доверия и целостности.

Технология распределенного реестра, известная как блокчейн, впервые получила широкое распространение в качестве основы для осуществления финансовых услуг по реформированию традиционных методов ведения бизнеса. Однако использование технологии блокчейн для информационной безопасности — важнейшее направление дальнейшей деятельности в сфере защиты от киберугроз.

Литература

1. Рожкова М.А. Право в сфере Интернета: Сб. ст. / Рук. авт. кол. и отв. ред. М.А. Рожкова. М.: Статут, 2018. 528 с.

2. Савельев А.И. Договорное право 2.0: "Умные" контракты как начало конца классического договорного права / А.И. Савельев // Вестник гражданского права. 2016. N 3. С. 32 — 59.

3. Савельев А.И. Лицензирование программного обеспечения в России: законодательство и практика / А.И. Савельев. М.: Инфотропик Медиа, 2012. 416 с.

4. Ali M. Blockstack: A global naming and storage system secured by blockchains / M. Ali, J. Nelson, R. Shea, M.J. Freedman // Annual Technical Conference. 2016. P. 181 — 194.

5. Bartlett J. Imogen heap: Saviour of the music industry? / J. Bartlett. URL: https://www.theguardian.com.

6. Bridgers A. Fisher Phillips: Will workplaces be going off the rails on the blockchain? / A. Bridgers. URL: https://www.fisherphillips.com/resources-newsletters-article-will-workplaces-be-going-off-the-rails-on-the-blockchain.

7. Kiviat T.I. Beyond bitcoin: Issues in regulating blockchain transactions / T.I. Kiviat // Duke Law Journal. 2015. Vol. 65. Iss. 3. P. 569 — 608.

8. Koehler T. Use of blockchain technology in countering cyberattacks / T. Koehler. URL: https://steelkiwi.com/blog/using-blockchain-technology-to-boost-cybersecurity.

9. Meola A. How the Internet of Things will affect security & privacy / A. Meola. URL: http://www.businessinsider.com.

10. Nakamoto S. Bitcoin: A peer-to-peer electronic cash system / S. Nakamoto. URL: http://www.bitcoin.org/bitcoin.pdf.

11. Shackelford S. Block-by-block: leveraging the power of blockchain technology to build trust and promote cyber peace / S. Shackelford, S. Meyers // Yale Journal of Law and Technology. Vol. 19. Iss. 1. URL: https://papers.ssrn.com.

12. Shetty S. Data provenance assurance in the cloud using blockchain / S. Shetty, V. Red, C. Kamhoua, K. Kwiat et al. // SPIE Defense Security. 2017. N 11.

13. Umeh J. Blockchain double bubble or double trouble? / J. Umeh // ITNOW. 2016. Vol. 58. Iss. 1. P. 58 — 61.

 


[1] Официальный интернет-портал правовой информации. URL: http://www.pravo.gov.ru.

[2] Проект Федерального закона N 419059-7 "О цифровых финансовых активах" (ред., принятая ГД ФС РФ в I чтении 22.05.2018) // СПС "КонсультантПлюс". URL: http://www.consultant.ru/.

[3] Федеральный закон от 27 июля 2006 г. N 149-ФЗ (ред. от 19.07.2018) "Об информации, информационных технологиях и о защите информации" // Официальный интернет-портал правовой информации. URL: http://www.pravo.gov.ru.

[4] Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications). OJ L 201, 31.07.2002. P. 37 — 47.

[5] Directive 2013/40/EU of the European Parliament and of the Council of 12 August 2013 on attacks against information systems and replacing Council Framework Decision 2005/222/JHA. OJ L 218, 14.08.2013. P. 8 — 14.

[6] Регламент N 2016/679 Европейского парламента и Совета Европейского союза "О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий регламент о защите персональных данных)" (принят в г. Брюсселе 27.04.2016) // СПС "КонсультантПлюс". URL: http://www.consultant.ru.

[7] Одно из наиболее актуальных определений термина "Интернет вещей" было представлено в п. 3.2.2 Рекомендации Международного союза электросвязи Y.2060 (06/2012). Согласно ему Интернет вещей — это "глобальная инфраструктура для информационного общества, которая обеспечивает возможность предоставления более сложных услуг путем соединения друг с другом (физических и виртуальных) вещей на основе существующих и развивающихся функционально совместимых информационно-коммуникационных технологий" // Рекомендация МСЭ-Т Y.2060 (06/2012). Серия Y: Глобальная информационная инфраструктура, аспекты протокола Интернет и сети последующих поколений. Сети последующих поколений — Структура и функциональные модели архитектуры. Обзор Интернета вещей. URL: https://www.itu.int/rec/T-REC-Y.2060-201206-I (дата обращения: 26.05.2016). С. 1.

[8] URL: https://www.ictsecuritymagazine.com.

[9] См., например: Поппер Н. Цифровое Золото. Невероятная история биткоина, или О том, как идеалисты и бизнесмены изобретают деньги заново. М., 2016. 350 с.; Swan M. Blockchain: Blueprint for a New Economy. 2017. 240 с.; Tapscott D., Tapscott A. Blockchain Revolution: How the Technology Behind Bitcoin is Changing Money, Business, and the World // Hardcover. May 10. 2016; Wattenhofer R. The Science of the Blockchain. 2016. 123 с.; Duggal P. Blockchain Contracts and Cyberlaw. 2015. 39 с.; Vigna P., Casey M. The Age of Cryptocurrency: How Bitcoin and the Blockchain Are Challenging the Global Economic Order. New York: St. Martin's Press, 2015. 512 с.

[10] Shackelford S., Meyers S. Block-by-block: leveraging the power of blockchain technology to build trust and promote cyber peace // Yale Journal of Law and Technology. Volume 19. Issue 1. URL: https://papers.ssrn.com.

[11] Umeh J. Blockchain double bubble or double trouble? // ITNOW. N 58(1). P. 58 — 61.

[12] Kiviat T.I. Beyond bitcoin: Issues in regulating blockchain transactions // Duke Law Journal. 2015. 65(3). P. 569 — 608.

[13] Shetty S., Red V., Kamhoua C., Kwiat K. et al. Data provenance assurance in the cloud using blockchain // SPIE Defense Security. 2017. N 11.

[14] Koehler T. Use of blockchain technology in countering cyberattacks. URL: https://steelkiwi.com/blog/using-blockchain-technology-to-boost-cybersecurity.

[15] Официальный сайт компании РБК. URL: https://www.rbc.ru/.

[16] Документ опубликован не был // СПС "КонсультантПлюс".

[17] Там же.

[18] DRM (Digital Rights Managemen) — управление цифровыми правами.

[19] Гражданский кодекс Российской Федерации (часть четвертая) от 18 декабря 2006 г. N 230-ФЗ (ред. от 23.05.2018) // Официальный интернет-портал правовой информации. URL: http://www.pravo.gov.ru, 23.05.2018).

[20] Bridgers A. Fisher Phillips: Will workplaces be going off the rails on the blockchain? URL: https://www.fisherphillips.com/resources-newsletters-article-will-workplaces-be-going-off-the-rails-on-the-blockchain.

[21] Савельев А.И. Договорное право 2.0: "Умные" контракты как начало конца классического договорного права // Вестник гражданского права. 2016. N 3. С. 32 — 59.

[22] При контроле более половины вычислительной мощности одним злоумышленником нарушается принцип распределенного консенсуса.

[23] Создание большого количества личностей (identities) для искажения распределенного консенсуса.

[24] См.: Рожкова М.А. Право в сфере Интернета: Сб. ст. М.: Статут, 2018. 528 с.

[25] Савельев А.И. Лицензирование программного обеспечения в России. Законодательство и практика. М.: Инфотропик Медиа, 2012. С. 335.

[26] Nakamoto S. Bitcoin: A peer-to-peer electronic cash system. URL: http://www.bitcoin.org/bitcoin.pdf.

[27] Ali M., Nelson J., Shea R., Freedman M.J. Blockstack: A global naming and storage system secured by blockchains // Annual Technical Conference. 2016. P. 181 — 194.


Связанные статьи:

Рекомендуется Вам: