Спам: понятие, виды, последствия и методы противодействия
(Ляпидов К. В.) («Информационное право», 2013, N 5)
СПАМ: ПОНЯТИЕ, ВИДЫ, ПОСЛЕДСТВИЯ И МЕТОДЫ ПРОТИВОДЕЙСТВИЯ
К. В. ЛЯПИДОВ
Ляпидов Константин Валерьевич, юрист ООО «Куйбышевская дорожная передвижная механизированная колонна».
Рецензент: Северин Виталий Андреевич, профессор МГУ им. М. В. Ломоносова, доктор юридических наук.
В статье охарактеризована проблематика спама, дается его понятие, рассмотрены каналы распространения. Проанализированы характерные особенности технических и юридических методов противодействия спаму. Выявлена и обоснована необходимость совместного использования методов юридического и технического противодействия спаму. На основе проведенного исследования автором предлагается: разработать кроссплатформенное программное обеспечение с открытым исходным кодом, комбинирующее различные виды спам-фильтров и иные технические методы противодействия спаму; создать в рамках электронного правительства единый сервис, позволяющий решить проблему рекламных и мошеннических SMS-сообщений; законодательно приравнять программное обеспечение для рассылки спама к вредоносному; обязать рекламораспространителя включать в текст письма физический адрес отправителя, а в теме письма указывать возрастные ограничения.
Ключевые слова: спам, методы противодействия, каналы распространения, юридический метод, технический метод.
Spam: concept, types, consequences and methods of counteraction K. V. Lyapidov
This article described the problems of spam, it is given a concept discussed distribution channels. Analyzed the characteristics of the technical and legal methods of combating spam. Identified and justified the need for the sharing of legal and technical methods to counter spam. Based on the research the author suggests: to develop a cross-platform software with open source software, combining different types of spam filters and other anti-spam techniques, to create a framework of e-government, one-stop service allows you to solve the problem of fraudulent advertising and SMS-messages; legally equate software to send spam to malware; oblige of advertisements included in the text of the letter physical address of the sender and the subject line indicate the age limit.
Key words: spam, methods of counteraction, channels of distribution, legal method, technical method.
Стремительное развитие информационных технологий в области средств коммуникаций обусловили появление такого вида рекламных сообщений как спам (spam). Под спамом следует понимать телематическое электронное сообщение, предназначенное неопределенному кругу лиц, доставленное абоненту и (или) пользователю без их предварительного согласия и не позволяющее определить отправителя этого сообщения, в том числе ввиду указания в нем несуществующего или фальсифицированного адреса отправителя <1>. ——————————— <1> Постановление Правительства Российской Федерации от 10 сентября 2007 г. N 575 «Об утверждении Правил оказания телематических услуг связи» (в ред. от 16 февраля 2008 г. N 93) // СПС «КонсультантПлюс». URL: http://base. consultant. ru/cons/ cgi/online. cgi? req=doc;base=LAW;n=75041.
Основным каналом распространения спама является электронная почта, это обусловлено простотой сбора e-mail адресов пользователей или их генерацией случайным образом при помощи специального программного обеспечения (ПО). Самым эффективным и, как следствие, самым популярным способом рассылки спама в сети Интернет является т. н. ботнет (botnet) — компьютерная система, управляемая злоумышленником для совершения различного рода противоправных действий. Под компьютерной системой следует понимать любое устройство или группу взаимосвязанных или смежных устройств, одно или более из которых, действуя в соответствии с программой, осуществляет автоматизированную обработку данных <2>. ——————————— <2> Конвенция о преступности в сфере компьютерной информации ETS N 185 от 23 ноября 2001 г. Будапешт // СПС «КонсультантПлюс». URL: http://base. consultant. ru/cons/ cgi/online. cgi? req=doc;base=INT;n=34699.
Спам трансграничен и интернационален, рассылка может вестись из любой точки мира, что значительно осложняет поиски злоумышленника и привлечения его к ответственности, в силу различий (или отсутствия) законодательства стран в этой области. Исключительно технических методов противодействия недостаточно, т. к. программное обеспечение спамеров постоянно совершенствуется и позволяет преодолевать технические методы защиты без каких-либо последствий, поэтому для успешного противодействия такому специфичному явлению, как спам, необходимо применение комплексного подхода как на техническом, так и на юридическом уровне. К техническим мерам противодействия относятся: — автоматическая фильтрация, которая осуществляется посредством использования специального программного обеспечения (спам-фильтров). Основным недостатком такого вида фильтрации является ложное определение важной для пользователя информации как спам и, как следствие, ее удаление. Также в настоящее время в свободном доступе существует большое количество программ, позволяющих преодолевать защиту спам-фильтров; — полуавтоматическая фильтрация, позволяющая пользователю задавать различные фильтры (например, фильтрация сообщений, содержащих определенные слова, фразы или URL). Данный вид фильтрации в большинстве случаев является трудоемким для пользователя, т. к. требует предварительной настройки и определенных знаний в области работы с компьютером; — фильтрация IP-адресов, позволяющая блокировать сообщения, отправленные с определенных компьютеров. Такой способ фильтрации является эффективным, когда рассылка осуществляется с компьютера, имеющего статический (постоянный) IP-адрес, если рассылка осуществляется с компьютера, имеющего динамический (изменяемый) IP-адрес, то данный вид фильтрации становится абсолютно неэффективен; — использование «черных списков» позволяет блокировать сообщения, отправленные с определенных e-mail адресов. Эффективность данного метода напрямую зависит от качественной и количественной частоты обновления данных списков, т. к. количество e-mail адресов, с которых рассылаются спам сообщения, ежедневно растет; — CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart — полностью автоматизированный публичный тест Тьюринга) — компьютерный тест, используемый для того, чтобы определить, кем является пользователь системы: человеком или компьютером. В наиболее распространенном варианте CAPTCHA пользователь вводит символы, изображенные на рисунке (зачастую с добавлением помех или полупрозрачности). По общепринятым нормам доступности Интернета для людей со слабым зрением такая CAPTCHA должна дополняться вариантом, основанным на распознавании речи <3>. Существенными недостатками данного метода являются: уязвимость к автоматизированному распознаванию (при помощи специального ПО), а также большое количество людей, предоставляющих свои услуги по распознаванию CAPTCHA за небольшое денежное вознаграждение (1 USD за 1000 распознаваний). ——————————— <3> Свободная энциклопедия «Википедия». URL: http://ru. wikipedia. org/wiki/CAPTCHA.
Юридической основой противодействия спаму является прежде всего создание законодательной базы. В целом антиспам-законодательство в различных странах имеет общие черты, и для многих законов против спама характерны следующие ключевые моменты: — принцип opt-in: рассылка не должна приходить пользователю, если он на нее не подписывался; — принцип opt-out: пользователь должен всегда иметь возможность отписаться от рассылки; — в письме должен быть четко указан отправитель, корректно заполнено поле «From», не должна быть подделана информация об источнике сообщения и о прохождении его через почтовые сервера; — заголовок сообщения должен отражать содержание письма, в рекламных письмах должна стоять соответствующая пометка; — в письме должны быть контакты отправителя, в частности, действительный обратный адрес; — запрет на использование программного обеспечения для сбора адресов <4>. ——————————— <4> Лаборатория Касперского. URL: http://www. securelist. com/ru/ analysis/208050636/ Spam_i_zakon? desc=1.
В Российской Федерации основными законами, регулирующими рассылку сообщений, являются: 1. Федеральный закон «О рекламе» от 13.03.2006 N 38-ФЗ, ст. 18 «Реклама, распространяемая по сетям электросвязи»: «1. Распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. При этом реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено. Рекламораспространитель обязан немедленно прекратить распространение рекламы в адрес лица, обратившегося к нему с таким требованием. 2. Не допускается использование сетей электросвязи для распространения рекламы с применением средств выбора и (или) набора абонентского номера без участия человека (автоматического дозванивания, автоматической рассылки)…» <5>. ——————————— <5> Федеральный закон от 13 марта 2006 г. N 38-ФЗ «О рекламе» (в ред. от 7 июня 2013 г.) // СПС «КонсультантПлюс». URL: http://www. consultant. ru/ popular/advert/.
Основными недостатками данного Закона являются: — Закон не распространяется на политическую и предвыборную агитацию и спам-сообщения религиозного содержания; — несмотря на то что Закон предусматривает запрет на автоматическую рассылку для распространения рекламы, доказать факт применения автоматической рассылки практически невозможно; — государственный контроль над соблюдением Закона «О рекламе» возложен на Федеральную антимонопольную службу, которая не имеет ряда полномочий (работа с персональными данными, ограничение тайны переписки и др.) для решения возложенных на нее задач. II. Федеральный закон «О персональных данных» (в ред. от 25.07.2011 N 261-ФЗ), ст. 15 «Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации», которая определяет: «1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено. 2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи» <6>. ——————————— <6> Федеральный закон «О персональных данных» (в ред. от 25 июля 2011 г. N 261-ФЗ, от 5 апреля 2013 г.) // СПС «КонсультантПлюс». URL: http://base. consultant. ru/cons/ cgi/online. cgi? req=doc;base=LAW;n=144649.
Основными недостатками данного Закона являются: — обязанность доказывания наличия согласия абонента (адресата) лежит на рекламораспространителе, что по отношению к последнему является презумпцией виновности, а доказывание факта подписки абонента (адресата) на рассылку в настоящее время крайне затруднено; — современная практика такова, что факт прекращения обработки персональных данных оператором в большинстве случаев невозможно проверить, более того, многие операторы указывают в пользовательском соглашении пункт о невозможности (например, технической) удаления персональных данных абонента, что напрямую нарушает Федеральный закон «О персональных данных» (в ред. от 25.07.2011 N 261-ФЗ) (ст. 15, п. 2). III. Постановление от 10.09.2007 N 575 «Об утверждении Правил оказания телематических услуг связи» (в ред. Постановления Правительства Российской Федерации от 16.02.2008 N 93). Данное Постановление закрепляет понятие «спам», а также в соответствии с п. 14, подп. «л» устанавливает требования к оператору связи о раскрытии информации и мерах, предпринимаемых им для воспрепятствования распространению спама: «14. Оператор связи обязан предоставить абоненту и (или) пользователю необходимую для заключения и исполнения договора информацию, включающую в себя: л) перечень принимаемых на добровольной основе дополнительных обязательств оператора связи перед абонентом и (или) пользователем, в том числе: описание мер, препятствующих распространению спама, вредоносного программного обеспечения и другой информации, запрещенной к распространению законодательством Российской Федерации; ответственность оператора телематических услуг связи перед абонентом и (или) пользователем за действие или бездействие, способствующее распространению спама, вредоносного программного обеспечения и другой информации, запрещенной к распространению законодательством Российской Федерации» <7>. ——————————— <7> Постановление Правительства Российской Федерации от 10 сентября 2007 г. N 575 «Об утверждении Правил оказания телематических услуг связи» (в ред. от 16 февраля 2008 г. N 93) // СПС «КонсультантПлюс». URL: http://base. consultant. ru/cons/ cgi/online. cgi? req=doc;base=LAW;n=75041.
Основными недостатками данного Постановления являются: — наличие признака «направление сообщения неопределенному кругу лиц», тогда как спам может быть адресован и конкретным лицам. В остальном из этого определения следует, что разработчики нормативного правового акта закрепляют применительно к рассылкам механизм «opt-in» и устанавливают запрет фальсификации сообщений. — дополнительные обязательства оператора связи перед абонентом (пользователем) принимаются на добровольной основе, в силу данного обстоятельства крайне маловероятно, что оператор связи возьмет на себя дополнительную ответственность перед абонентом (пользователем) т. к. это связано с дополнительными финансовыми и временными затратами. Наиболее известными и эффективными на сегодняшний день законами в области противодействия спаму в мировой практике являются: I. В США — «CAN-SPAM Act» (Controlling the Assault of Non-Solicited Pornography and Marketing) N 108 — 187 от 16 декабря 2003 г. Закон устанавливает требования к коммерческой корреспонденции, права получателей, а также ответственность за спам. В сферу действия Закона попадают сообщения, основная цель которых — продвижение товаров, услуг или веб-сайтов. Он не распространяется на личную переписку, новости, технические сообщения, а также на рассылки, на получение которых выражено явное согласие. Основные требования к рассылаемым электронным сообщениям заключаются в следующем: — запрет ложной или недостоверной информации, в частности об отправителе и технической информации, формируемой при передаче сообщения; — запрет на введение в заблуждение получателя с помощью поля «Subject»; — обязательное обеспечение отписки (принцип «opt-out»); — сообщения коммерческого характера должны быть обозначены как реклама; — если сообщение носит сексуальный характер, в поле «Subject» должно содержаться соответствующее предупреждение. За нарушение данного Закона устанавливаются различные виды ответственности, в частности штраф до 11000 USD и тюремное заключение до 5 лет. Закон также определяет субъектный состав участников отношений — третьих лиц, которые не несут ответственности за рассылку спама <8>. ——————————— <8> Наумов В. Б. Противодействие спаму: российское законодательство через призму опыта США // Информационное право. 2007. N 3. С. 2. СПС «КонсультантПлюс». URL: http://base. consultant. ru/cons/ cgi/online. cgi? req=doc;base=CJI;n=23830.
Важной особенностью Закона является то, что истцами по данным спорам могут выступить и интернет-провайдеры, которые имеют максимум технической информации о рассылке и могут быть заинтересованы в борьбе со спамом. II. Австралийский закон «Spam Act 2003» от 12 декабря 2013 г. в отличие от «CAN-SPAM Act» не предусматривает тюремного заключения, однако данное обстоятельство компенсируется путем наложения высоких штрафов на правонарушителей (до 1,1 млн. AUD). III. Аналогичный американскому «CAN-SPAM Act», 30.03.2006 в КНР был принят «Regulations on Internet e-mail Services». Китайский аналог помимо основных положений, описанных выше, предусматривает ограничения на объем e-mail сообщений. В настоящее время появилась устойчивая динамика роста новых видов спама, таких как: — персонализированный спам, когда в тексте и (или) заголовке сообщения фигурирует имя адресата; — спам в социальных сетях, где настройка анти-спам фильтров практически невозможна; — спам в виде графических сообщений и анимации, что позволяет преодолевать защиту спам-фильтров; — мобильный спам (SMS-спам) — рассылка SMS-сообщений на мобильные телефоны пользователей. Особенностью данного вида спама является практически полное отсутствие методов его блокировки. — Bluetooth-спам — рассылка сообщений на мобильные телефоны пользователей посредством беспроводной персональной сети Bluetooth. В настоящее время единственным способом избежать Bluetooth-спама является отключение обнаружения Bluetooth-устройства; — таргетированный спам — метод рассылки, основанный на предпочтениях потенциального покупателя товара или потребителя услуг. В настоящее время метод таргетированной рассылки, в отличие от «традиционного» спама, является наиболее перспективным и быстро развивающимся направлением в области рекламы. К наиболее существенным последствиям спам-рассылок относятся: — увеличение нагрузки на каналы связи в частности и всю IT-инфраструктуру в целом, что ведет к дополнительным финансовым затратам; — временные затраты на удаление спам-сообщений; — риск заражения ПК пользователя вредоносной программой; — фишинг (вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей); — формирование ложного общественного мнения и дискредитация отдельных лиц или политических движений (политический спам); — компьютерная спам-сеть, как правило, является ботнетом и может быть использована для DDoS-атак. Учитывая вышеперечисленные недостатки технических и юридических методов борьбы со спамом, предлагается: 1. Создание кроссплатформенного программного обеспечения с открытым исходным кодом, позволяющего использовать и комбинировать различные виды фильтрации сообщений (например, полуавтоматическая фильтрация с поддержкой обновляемого «черного списка» адресов). Такой подход позволит практически полностью изолировать e-mail пользователя от незапрошенных рекламных сообщений и расходов на оплату дополнительного интернет-траффика, а также уменьшить нагрузку на каналы связи. 2. По аналогии с «CAN-SPAM Act» обязать распространителей рекламных сообщений помечать электронные письма словом «реклама» (или аналогичной аббревиатурой). Введение таких меток позволило бы спам-фильтрам со 100-процентной точностью распознавать рекламное сообщение и производить над ними действия, заданные пользователем, а в условиях, когда спам-фильтры отсутствуют или не имеется возможности их использования, пользователь смог бы сразу определить, является ли полученное сообщение рекламным или нет. 3. Помимо создания рекламных меток, необходимо введение меток, обозначающих возрастные ограничения (например: «14+», «16+», «18+»), что позволит контролировать общую тематику поступающих сообщений и уберечь детей от нежелательного контента. 4. Обязать включать в текст рекламного сообщения физический адрес отправителя, что позволит всегда идентифицировать рекламораспространителя. 5. Законодательно закрепить возможность получателю (прямо в тексте письма) отказаться от рассылки таких сообщений на его адрес в будущем (принцип opt-out). 6. Законодательно приравнять ПО (собирающее или генерирующее адреса пользователей) для распространения спама к вредоносному ПО, т. к. функционал подобных программ рассчитан исключительно для ведения противозаконной деятельности. 7. Создание в рамках электронного правительства единого сервиса, позволяющего: отписаться от рекламных SMS-сообщений, блокировать отправку SMS-сообщений на короткие платные номера, а также составлять и подавать жалобы в ФАС в режиме online. Подводя итоги, следует отметить, что только проведение унификации законодательства большинства стран в области противодействия спаму, а также принятие законодательных мер, носящих международный характер, в комбинации с вышеприведенными техническими методами противодействия могут привести к исчезновению спама как явления.
Литература
1. Постановление Правительства Российской Федерации от 10 сентября 2007 г. N 575 «Об утверждении Правил оказания телематических услуг связи» (в ред. от 16 февраля 2008 г. N 93) // СПС «КонсультантПлюс». URL: http://base. consultant. ru/ cons/cgi/online. cgi? req=doc;base=LAW;n=75041. 2. Федеральный закон от 13 марта 2006 г. N 38-ФЗ «О рекламе» (в ред. от 7 июня 2013 г.) // СПС «КонсультантПлюс». URL: http://www. consultant. ru/ popular/advert/. 3. Федеральный закон «О персональных данных» (в ред. от 25 июля 2011 г. N 261-ФЗ, от 5 апреля 2013 г.) // СПС «КонсультантПлюс». URL: http://base. consultant. ru/ cons/cgi/online. cgi? req=doc;base=LAW;n=144649. 4. Конвенция о преступности в сфере компьютерной информации ETS N 185 от 23 ноября 2001 г. Будапешт // СПС «КонсультантПлюс». URL: http://base. consultant. ru/cons/cgi/online. cgi? req=doc;base=INT;n=34699. 5. Свободная энциклопедия «Википедия». URL: http://ru. wikipedia. org/wiki/CAPTCHA. 6. Лаборатория Касперского. URL: http://www. securelist. com/ ru/analysis/208050636/Spam_i_zakon? desc=1. 7. Наумов В. Б. Противодействие спаму: российское законодательство через призму опыта США // Информационное право. 2007. N 3. С. 2; СПС «КонсультантПлюс». URL: http://base. consultant. ru/cons/ cgi/online. cgi? req=doc;base=CJI;n=23830.
——————————————————————