Максим Костышин

Размещение данных с использованием услуг, предоставляемых хостинг-провайдерами – весьма распространенная и востребованная сегодня возможность. В статье рассматриваются вопросы собственной безопасности для тех, кто воспользовался данной услугой, и то, насколько это безопасно для других членов сообщества Интернет.

Возможности сети Интернет для рекламы, публикации необходимой информации или создания собственного интернет-магазина активно используются частными лицами, коммерческими компаниями, государственными организациями. В ряде случаев для организации собственного сайта или отдельной веб-странички в Интернете юридическим и физическим лицам приходится обращаться за помощью в компании, предоставляющие услуги так называемого веб-хостинга. Основная причина – финансовая выгодность решения (не надо держать специально обученный персонал и беспокоиться о поддержании круглосуточного канала в Интернете, обладающего, кроме всего прочего, достаточной пропускной способностью).

Вопросы безопасности в договорных документах на услуги хостинга

Анализ значительного количества договоров (было изучено более двадцати типовых договоров) хостинг-провайдеров (далее по тексту «Провайдеров») как Российской Федерации, так и стран СНГ, по вопросам, связанным с обеспечением безопасности при оказании хостинг-услуг, показал, что в настоящее время эти нюансы практически не оговариваются. Требования по безопасности в основном предъявляются к пользователю услуг хостинга (далее по тексту «Абоненту»).

Абоненту предписывается:

n  ограничивать содержание информации и перечень программного обеспечения, размещаемых на собственном сайте, для того, чтобы не нарушать действующее законодательство;

n  не предпринимать действий, которые могут повлечь за собой нанесение ущерба Провайдеру или иным сетевым ресурсам при использовании доступа в Интернет, включая попытки несанкционированного доступа.

Требования к Провайдеру обычно ограничиваются необходимостью обеспечить конфиденциальность учетных записей Абонента (но даже это не всегда).

В некоторых договорах Провайдер откровенно снимает с себя любую ответственность за риски Абонента, которому он организует все технические составляющие работы с Интернетом. Если попытаться перечислить возможные риски, то основные из них следующие:

n  недополученная прибыль и упущенная выгода, а также любые косвенные убытки, понесенные Абонентом в период использования или не использования услуг Провайдера;

n  задержки, перебои в работе и невозможность полноценного использования собственных ресурсов Абонента, происходящие прямо или косвенно по причине действия или бездействия третьих лиц и/или неработоспособностью транспортно-информационных каналов, находящихся за пределами собственных ресурсов Провайдера;

n  ошибки в программном обеспечении, наличие вредоносных компонентов в используемом на серверах Провайдера и других серверах сети Интернет, если таковое не разработано самим Провайдером.

Ни в одном из проанализированных договоров не предполагается какая-либо материальная или моральная компенсация в случаях нанесения ущерба Абоненту при использовании услуг хостинга, предоставляемого Провайдером. Упоминания об этом, вообще говоря, в договорах встречаются, однако такие моменты не более чем декларация прав Абонента, которые доказать и, естественно, использовать будет весьма проблематично. В некоторых случаях обещания Провайдеров обеспечить необходимые условия безопасности клиентов носят чисто рекламный характер и ни на чем не основываются.

Попытаемся перечислить те вопросы, которые касаются обеспечения определенного уровня безопасности услуг и должны быть подкреплены конкретной, в том числе финансовой, ответственностью, при соглашениях между Провайдером и Абонентом.

1. Доступность канала для обновления сайта (гарантированная возможность выполнения действий по обновлению Абонентом данных своего сайта).

2. Конфиденциальность информации учетных записей Абонента (наличие необходимых условий конфиденциальности при выполнении действий по идентификации и авторизации Абонента для случаев обновления данных сайта).

3. Целостность данных сайта Абонента, а также выполнение Провайдером работ по восстановлению сайта при авариях.

4. Доступность сайта Абонента из Интернета.

5. Надежность функционирования сайта Абонента, в том числе с использованием возможностей Провайдера по круглосуточному мониторингу системы.

Кроме того, обеспечение безопасности клиентов подразумевает для Провайдера проработку своих внутренних вопросов, связанных с обеспечением собственной безопасности. В перечень можно включить следующие задачи:

n  Установка и использование средств антивирусной защиты.

n  Проработка решений по обеспечению средствами защиты от сканирования.

n  Возможность выполнения предварительной фильтрации трафика от спама в случае оказания услуги по размещению почтового сервера Абонента.

n  Пресечение возможностей несанкционированного доступа к программному обеспечению и данным, которые в совокупности обеспечивают работу веб-сайтов и/или почтовых серверов клиентов.

При заключении договора услуг хостинга необходимо обращать внимание на дополнительные моменты, такие как:

n  Максимальный срок восстановления работоспособности сайта Абонента в случаях аварий.

n  Возможность проведения Абонентом процедур по тестированию надежности своего сайта.

n  Получение Абонентом (для возможности контроля) достоверной информации о функционировании собственного сайта, а также данных, которые связаны с выполнением сторонами договорных обязательств.

В случаях заключения договоров по хостингу дополнительными гарантиями для обеих сторон могут стать моменты, связанные с дополнительной защитой своего бизнеса при использовании услуг страхования.

Обзор нормативной базы

В настоящее время наличие у Провайдеров разрешения на оказание услуг хостинга не требует выполнения каких-либо мероприятий по обеспечению безопасности своих клиентов. В связи с этим, при жесткой конкуренции на рынке хостинг-услуг, Провайдерам экономически не выгодно брать на себя дополнительные риски и в полной мере решать вопросы защищенности. Тем более что мало кто из Абонентов при заключении договора поднимает тему об обеспечении необходимого уровня безопасности, а если такие вопросы и возникают, то речь идет больше о качественной и надежной работе технологического оборудования Провайдера.

7 июля 2003 г. в Российской Федерации был принят закон «О связи», который вступает в силу с 1 января 2004 года и устанавливает правовые аспекты деятельности в области связи. Если в законе «О связи» 1995 года не оговаривались вопросы, связанные с обеспечением безопасности при предоставлении услуг связи, то с 2004 года государством за оператором связи закреплена обязанность обеспечивать защиту средств и сооружений связи. Перечислим только те основные моменты нового закона, которые имеют отношение к тематике публикации.

Статьи 7, 63, 70 обязывают владельцев предусматривать необходимость обеспечивать защиту средств связи и сооружений от несанкционированного доступа к ним. Согласно новому закону операторы связи должны обеспечить соблюдение тайны связи. Кроме того, для услуг связи в пределах мировых информационно-телекоммуникационных сетей на территории Российской Федерации является обязательным «обеспечение экономической, общественной, оборонной, экологической, информационной и иных видов безопасности».

В статьях 25 и 64 закона предусматривается ряд мер по обеспечению оперативно-розыскной деятельности уполномоченных государственных органов, которые накладывают определенные обязательства на операторов связи.

По вопросам оценки уровня безопасности информационных объектов широко применяется практика использования известного международного стандарта ИСО/МЭК 15408:1999 («Общие критерии»). В Российской Федерации этот стандарт (аутентичный перевод) с 2002 года принят в качестве государственного. Вопросы расширения сотрудничества между странами СНГ, в том числе на рынке продуктов защиты информации, тесно связаны с унификацией законодательства стран СНГ. Отметим, к примеру, что в Республике Беларусь документ, аналогичный российскому, действует в качестве предстандарта с 2001 года. Однако отсутствие аутентичности белорусского стандарта подразумевает серьезные сложности для возможности применения механизмов автоматического «доверия» в Беларуси заключениям по безопасности других стран для систем, которые уже прошли проверку (в том числе в России) на соответствие мировому стандарту. Соответственно и производители сертифицированных белорусских продуктов столкнутся с трудностями распространения своих систем безопасности на российском рынке.

Не лишним будет упомянуть в данной статье про Уголовный кодекс Российской Федерации 1996 года. Описанию преступлений в сфере компьютерных технологий в этом документе выделен отдельный раздел. Статьи, касающиеся компьютерных преступлений, могут в различной степени затронуть проблемы недостаточной защищенности сайта клиента хостинг-провайдера при рассмотрении объективной стороны преступления, совершенного при работе в сети Интернет.

На настоящее время имеется много вариантов действий злоумышленников в Интернете, которые могут быть квалифицированы как уголовные преступления против собственности. Множество публикаций сообщают читателям информацию о случаях нарушений систем защиты или нормальной работы ресурсов в Интернете. Сайты и корпоративные сети организаций подвергаются DDoS-атакам с прекращением работы владельца ресурса с Интернетом на значительные сроки; изменяется содержимое сайтов; производится переадресация обращений к сайтам, осуществляющих платежные операции, на контролируемые злоумышленниками ресурсы; имеются факты откровенного вымогательства, когда шантажисты требуют выплату значительных сумм у владельцев интернет-ресурсов за отказ от компьютерной атаки.

При этом при расследовании конкретных компьютерных преступлений, которые произошли с использованием сети Интернет, может устанавливаться лицо, допустившее преступную небрежность или легкомыслие. Если будет доказано, что объективной стороной преступления стали деструктивные действия, исходившие с сайта Абонента, то лицом, которое устанавливает правосудие, может оказаться Провайдер либо Абонент (а возможно, и обеих договаривавшихся сторон), что повлечет за собой определенные серьезные последствия.

Заключение

Обеспечение безопасной работы с Интернетом является серьезной задачей, однако внимание к этому вопросу на уровне услуг, предоставляемых операторами связи, пока недостаточное. Необходимые задачи по обеспечению защиты информации при хостинг-услугах могут быть решены только усилиями и желанием Провайдеров.

Принятие нового закона «О связи» Российской Федерации в 2004 году должно подтолкнуть российских интернет-провайдеров, а затем и провайдеров других стран СНГ к цивилизованному решению вопросов защиты информации и ресурсов своих клиентов, а также предусматривает контроль за исполнением необходимых требований со стороны государства.

Серьезное влияние на положительные сдвиги в области защиты информации при работе с Интернетом могут оказать также те, кто пользуется услугами хостинга, так как наличие на рынке спроса на безопасный хостинг может заставить провайдеров предпринять более активные шаги в вопросах обеспечения безопасности своих клиентов.