Хакерское предпринимательство?

Одна из сложностей в борьбе с киберпреступностью состоит в том, что она меняется вместе с технологиями. Эту проблему можно описать через дилемму Коллингриджа. Когда компания готовит инновацию, она имеет полноценный контроль над технологией. Однако в лабораторных условиях тяжело понять, какие риски она может породить в открытом мире, — это знание обычного приобретается лишь за счет нежелательных событий. Даже законное, но свободное и широкое использование технологии может вызывать неожиданные проблемы — если же кто-то специально ищет уязвимости для эксплуатации, то риски многократно увеличиваются. Организациям, имеющим сложную цифровую инфраструктуру, нужны способы решать дилемму Коллингриджа эмпирически.

А что если бы компания добровольно соглашалась на взлом своих систем, а хакер бы обязывался предоставить компании подробный отчет о ходе атаки и рекомендации по защите? Примерно так можно описать работу тех, кого называют «пентестерами» (от англ. penetration testing — тестирование на проникновение): по согласованию с заказчиком они должны обнаружить уязвимые места в организации, которые будут использовать злоумышленники.

Пентест появился почти одновременно с киберпреступностью: в 50-е годы корпорация RAND занималась интеграцией технологических решений для ВВС США и внедрила пентест для выявления уязвимостей в информационных системах. Постепенно, вместе с компьютеризацией бизнеса, пентест стал частью процедур соблюдения требований к информационной безопасности и способом доказательно повышать защищённость компьютерных систем.

Ключевое отличие действий пентестеров от действий преступников — договорные отношения с заказчиком. В этом смысле пентест можно рассматривать как особую форму силового предпринимательства в сфере информационной безопасности, «хакерское предпринимательство». При всех отличиях классическая силовая протекция и пентест имеют важное сходство: в обоих случаях капитализируется демонстрация собственной силы и уязвимости контрагента. Как говорится, тема ждет своего исследователя.

Исследователи государственного регулирования, традиционно обращаем ваше внимание на онлайн-семинар по регуляторной политике, который организуют коллеги. Программа и спикеры — в посте ниже:

Мы (почти) ничего не знаем о киберпреступлениях против организаций

В первую очередь из-за высокой латентности. Исследования показывают, что бизнес редко сообщает о киберпреступлениях в правоохранительные органы, предпочитая обращаться к частным специалистам по кибербезопасности. Это создает методологические сложности для исследования проблемы. (Одновременно это указывает на отдельный интересный предмет изучения: получается, что защита бизнеса от киберпреступлений в заметной степени приватизирована, — что означает такое положение дел и какие у него могут быть последствия?)

Что мы все же знаем? Из разрозненного потока работ в области криминологии, компьютерной безопасности, организационных и финансовых исследований можно извлечь следующие выводы:

🎣 Доля компаний, которые стали жертвой киберпреступлений, разнится в зависимости от дизайна опроса и страны, но во всех случаях существенная: например, 20% в Канаде, 36% в Великобритании. Наиболее распространенной формой атаки является фишинг, за которым следует «кража личности» организации и заражение вирусами.

🧑🏼‍💻 Исследователи часто концентрируют внимание на внешнем контуре защиты от киберпреступлений. Проблема в том, что возможности организаций повлиять на него существенно ограничены. В то же самое время заметную роль в кибервиктимизации организаций играют инсайдерские риски, более подконтрольные компании. К таким рискам относятся не только, а то и не столько, злонамеренные действия, сколько небрежность или даже излишняя забота работников.

💸 Можно было бы ожидать, что диджитализация бизнеса в целом и усиление его кибербезопасности негативно связаны с риском того, что фирма станет жертвой киберпреступления или обычного беловоротничкового нарушения. Тем не менее эмпирические свидетельства противоречивы и демонстрируют как негативную, так и положительную или нелинейную связь.

Приглашаем на секцию «Вычислительные методы в изучении права» на конференции по вычислительным социальным наукам 14–16 мая в Петербурге.

Наша правовая система велика и обильна данными, а исследователя в ней — не то чтобы нет, но он совсем редок.

Мы приглашаем ученых и прикладных исследователей, изучающих любые эмпирические аспекты российской правовой системы, например:
• как судьи и правоприменители принимают решения,
• влияние технологий на юридическую профессию и судебную систему,
• классификация судебных решений,
• текстовый анализ законов и приговоров,
• сбор и обработка данных о российском праве,
• влияние судебных решений на участников судебного процесса,
• причины и последствия преступлений, особенно киберпреступлений.

Доклады принимаем через Яндекс.Формы по этой ссылке. Требования — тут.

Дедлайн для подачи — 31 марта.

Мы также будем рады участникам без докладов, зрителям. Про порядок посещения/подключения напишем позже.

Уголовная хроника «женского вопроса» на ВДНХ ЕУ

19–21 марта в Европейском пройдет традиционная Выставка достижений научного хозяйства. Приглашаем вас ознакомиться с программой и обращаем внимание на секцию с правоприменительным кругом тем — «Уголовная хроника "женского вопроса" в 20–21 вв.: междисциплинарный анализ законодательства и правоприменения». Далее цитируем анонс организаторов:

«Женский вопрос» не раз объявлялся решенным — от заявления Сталина в 1930 году до современных тезисов о достигнутом равенстве. Но что стояло за этой риторикой на практике? Данная секция предлагает взглянуть на проблему через призму уголовных дел — документов, в которых частная жизнь сталкивалась с мощью государственной машины. Мы предлагаем обсудить две ключевые темы. Во-первых: как закон и суд на деле регулировали положение женщин? Как государство через уголовное право пыталось конструировать новые модели поведения, будь то в сфере репродукции, семьи или общественной жизни? Во-вторых: какова была роль самих женщин в этой системе? Кем они предстают в уголовных процессах — только жертвами или также активными субъектами, не чуждыми насилия? В основе дискуссии — конкретные исторические и современные кейсы. Участники секции, историки, социологи и юристы, на материалах дел о половых преступлениях, абортах, убийствах и бытовом насилии из разных регионов и эпох (от 1920-х годов до наших дней) проследят, как менялся, и менялся ли, «женский» судебный опыт в России и СССР.

Пожилые жертвы киберпреступлений: случай The Villages

В центральной части Флориды, на полдороги между Гейнсвиллем и Орландо, есть любопытное местечко, уже больше десяти лет привлекающее вниманием криминологов: The Villages (Деревни). Это место — так называемое age-restricted community (место где могут жить люди только определнного возраста) и интересно тем, что там компактно проживает больше 70 тысяч пожилых людей. Пожилые люди приезжают туда и в подобные места во Флориде для того, чтобы провести последние 15-20, а то и 30 лет своей жизни (с успехами современной медицины и 100 лет уже не кажутся пределом) в хорошем климате и среди сверстников. Люди в Деревнях установили правила, которые оградили их от подростков и детей: если вам нет 19, то постоянно проживать в Villages не получится, и вообще 80% проживающих в любом домохозяйстве должны быть старше 55 лет.

Все в Villages устроено так, как это нравится людям за 60: развлечения, магазины и рестораны ориентируются строго на вкусы своей пожилой публики. Не зря это место часто называют «Раем для Бумеров». Здесь очень спокойно, кажется, почти ничего не происходит и совсем нет уличной преступности. Но что же интересного в таком месте может быть для криминолога? Дело в том, что такая концентрация пожилых людей в одном месте делает его лабораторией по изучению их виктимизации. Хотя в Villages очень безопасно: можно не запирать двери, оставлять в машине ключи, гулять по улице ночью, — это вовсе не значит, что его жителям этого благословенного места ничего не угрожает.

Многие пожилые люди в США чаще всего неплохо обеспечены, он или, чаще, она, как правило, уже не имеет никаких долгов и, напротив, обладает солидными накоплениями. И это делает пенсионера идеальной целью для финансовой эксплуатации: как мошенниками, так и родственниками. Еще сравнительно недавно все было вполне традиционно: старикам продавали ненужные или бракованные вещи втридорога, уговаривали приобрести бесполезную страховку или гарантию, обманывали со строительно-ремонтными сметами, вовлекали в сомнительные MLM-схемы, просто выманивали наличность. Средний бюджет такой потери: больше 6 тысяч долларов. Со все более глубоким проникновением интернета в повседневную жизнь всех людей добавились новые напасти, пожилые люди вроде жителей Villages оказались уникально уязвимы для таких схем. Увы, по сравнению с традиционными сравнительно честными способами отъема денег, штуки вроде печально знаменитого «забоя свиней» оказываются гораздо более разрушительными.

Причины уязвимости пожилых людей к киберпреступности (см. 1, 2) сходны с тем, что делает их подходящими жертвами для обычных мошенничеств. С возрастом часто снижаются самоконтроль, когнитивные способности и усиливается внушаемость, повышая восприимчивость к мошенническим стратегиям. Это, в свою очередь, усугубляется ограниченной цифровой грамотностью и специфическим восприятием онлайн-рисков (пожилые люди просто не воспринимают киберпространство всерьез, считая его чем-то не вполне настоящим). С другой стороны, неплохо обеспеченные люди всю свою жизнь неплохо справлялись с традиционными финансовыми инструментами и решениями (иначе бы они не стали обеспеченными), это обстоятельство вселяет в них избыточную уверенность в собственной финансовой компетентности.

Несмотря на то, что Villages, кажется, должен быть идеальным местом для борьбы с одиночеством пожилых людей, на практике это не всегда так. Это обстоятельство хорошо иллюстрируется мрачновато-грустным анекдотом, ходящим среди криминологов-исследователей «пенсионных поселений»:

На автобусной остановке в Villages сидят старик со старушкой. Старушка спрашивает:
— Кажется, мы с вами незнакомы, вы не из Villages?
— Нет, только сегодня приехал в гости к своему старому другу. Думаю осмотреться и осесть здесь, если понравится.
— О! Значит, будем соседями, мы все здесь соседи. Скажите, а где вы жили до этого?
— Признаться, я только что вышел из тюрьмы, где отсидел больше 15 лет за убийство...
— Как интересно! И кого же вы убили?
— Мою жену...
— Вот как! Так вы еще и холостяк!

Социальная изоляция, проживание в одиночестве (часто в силу смерти партнера), выход на пенсию и разрушение привычных рутин, а также ускоренная цифровизация во время пандемии — делают пожилых жителей Villages все более уязвимыми для киберпреступлений. Их медиа-диета, ориентированная на традиционные источники, лишь отчасти может помочь с информированием о существующих угрозах.

Скорее всего, мы систематически недоучитываем жертв мошенничеств среди пожилых. Это связано с забывчивостью, низкой осведомленностью о виктимизации и страхом утраты самостоятельности в глазах семьи — ведь потеря самостоятельности почти гарантированно приведет к изгнанию из «Рая для Бумеров».

Исследователи регулирования, особенно уральские коллеги, обратите внимание: в УрГЭУ в мае пройдет круглый стол, посвященный проблемам регуляторной политики с фокусом на эмпирической обоснованности. Еще есть время подать заявку на выступление — дедлайн 25 апреля.

«Луркинг» и другие виды цифровой этнографии киберпреступлений

Не только преступники, но и исследователи-криминологи давно облюбовали цифровую среду как пространство для работы. Может показаться, что интернет это идеальное место для количественных исследований, а проводимые там качественные исследования совсем не могут соответствовать идеалам чикагской школы социологии или принципам включённого наблюдения, которыми гордятся антропологи. Однако это не так. Наука уже знает множество примеров этнографических исследований частично или полностью проведённых «в цифре».

Все методы качественных исследований киберпреступности можно разделить на две группы, различающиеся по степени вовлечённости исследователя.

Первую группу составляют неучаствующие методы исследования. В них исследователь остается невидимым для информантов, не вступает с ними в контакт и не обозначает своё присутствие, изучая контент, который они производят. В сетевом слэнге для такого поведения существует термин «луркинг» — пассивное пребывание в цифровой среде.

Подобный подход, который ещё называют нереактивным (non-reactive), позволяет избежать влияния исследователя на объект изучения и часто является единственно возможным способом получить доступ к данным. Подобным образом изучали эмоциональную инфраструктуру известного англоязычного хакерского форума Dark0de. Исследователи проанализировали 2000 скриншотов переписок участников этого закрытого форма, которые утекли в сеть. Выяснив, как именно хакеры общаются между собой, они пришли к выводу, что их сообщество, как и их способность совершать какое-либо «коллективное действие» без личного знакомства, держится на гордости и стыде. Гордость производится через похвалу особенно умелого участника форума, что символизирует повышение его статуса. Стыд же выступает в качестве инструмента (само)контроля — страх исключения из сообщества или осуждения заставляет участника соблюдать внутренние нормы.

Только лишь луркингом качественные исследования киберпреступности не ограничиваются. Существует также большой пласт «участвующих» методов. Некоторые исследователи могут брать целые интервью по почте или в комментариях. Другие полноценно «включаются» в исследуемое сообщество, поддерживая обсуждения и самостоятельно производя цифровой контент. Так, Николас Гиббс проводил своё исследование продавцов нелегальных анаболических препаратов и их клиентов-спортсменов. Для этого он начал активно вести свою страничку в небезызвестной соцсети, общался там с информантами, ставил им лайки и постил фотографии своих спортивных достижений.

При этом более активный подход к исследованию связан и с большим количеством рисков. Исследователь может быть подвергнут доксингу, онлайн-харрасменту, кибер-буллингу. Лиза Сигиура, изучавшая сообщества инцелов-женоненавистников, рассказывала, что её подготовка к цифровому полю состояла во многом в зачистке своих соцсетей от персональных данных, провокационных постов и резких феминистских высказываний (хотя при этом более спокойные она решила всё-таки оставить, чтобы совсем не «стирать» собственную личность). Кроме того, информанты могут посягнуть и на кибер-безопасность исследователя. Томас Хольт описывает, как один его респондент из числа интернет-пиратов, остался недоволен вопросами интервью и попытался прислать исследователям файл с вредоносным ПО.

Занимаясь качественными цифровыми исследованиями киберпреступлений, антропологи и социологи вынуждены постоянно искать компромиссы. Во-первых, они выбирают, насколько «включённой» будет их полевая работа, будут ли они «загрязнять» данные своим участием или останутся безмолвными наблюдателями без возможности задавать вопросы своим информантам. Во-вторых, если все же будет выбран «включённый» метод, исследователям придётся решить, насколько открыты они будут к информантам. Какое количество информации о себе они могут им рассказать для установления взаимного доверия, на какие риски в связи с этим они готовы пойти.