Процесс Pall Mall: борьба с распространением и безответственным использованием коммерческих возможностей для кибератак

Новая инициатива против рынка шпионских программ

Во вторник в Лондоне был запущен Pall Mall Process — это объединение для борьбы с неправильным использованием шпионских программ. А более формально — для борьбы с распространением и безответственным использованием коммерческих средств кибервзлома (Tackling the Proliferation and Irresponsible Use of Commercial Cyber Intrusion Capabilities).

Встречу организовали Великобритания и Франция, участие приняли многие (но не все) западные страны, включая США, Германию, Швейцарию, но также и Малайзия, Республика Корея, Африканский союз, Совет сотрудничества арабских государств Персидского залива. Израиля, который в последние годы стал главным козлом отпущения для критиков spyware (из-за скандалов вокруг NSO Group и других израильских компаний), среди участников не было. Помимо стран участвовали компании, прежде всего Google, Meta и Microsoft, а также ESET, HackerOne и другие и НКО, исследовательские организации.

По итогам участники приняли декларацию (https://www.diplomatie.gouv.fr/en/french-foreign-policy/digital-diplomacy/news/article/the-pall-mall-process-tackling-the-proliferation-and-irresponsible-use-of), в которой обещают, что под эгидой Pall Mall Process «будут разработаны руководящие принципы и предложены варианты политики для государств, бизнеса и гражданского общества в отношении разработки, содействия, приобретения и использования коммерчески доступных средств кибервзлома». В декларации есть параграф про международно-нормативную сторону вопроса, в котором, в частности, упоминаются доклады нормы 13(e), (i) и (j) из докладов ГПЭ 2015 и 2021 года. Ещё есть словарик с рабочими определениями таких терминов, как коммерчески доступное средство кибервзлома (cyber intrusion), рынок уязвимостей и эксплойтов, разрушительные киберсредства.

Из компаний лучше всех подготовился Google, опубликовав доклад об индустрии шпионских программ.

Buying_Spying_-_Insights_into_Commercial_Surveillance_Vendors_-_TAG_report Скачать

В нём описаны основные spyware-вендоры, эксплуатируемые ими уязвимости, приведены истории нескольких жертв слежки (в т.ч. Галины Тимченко). Завершается доклад призывом вместе противодействовать неправильному использованию шпионских программ.

Кстати, Google в докладе использует термин CSV — Commercial Surveillance Vendors. Если приживётся, то будет наряду с APT использоваться.

Ланкастер Хаус, Лондон, 6 февраля 2024 г.

Мы, как участники, представители государств, международных организаций, частного сектора, научных кругов и гражданского общества, встретились для участия в международной конференции, организованной Соединенным Королевством и Францией. На конференции обсуждались проблемы, связанные с распространением и безответственным использованием коммерческих возможностей для кибератак, и был инициирован процесс Pall Mall.

1. Признавая необходимость более активных международных действий и консультаций с участием многих заинтересованных сторон по этому вопросу, признавая при этом необходимость законной и ответственной разработки и использования возможностей для кибератак, мы решаем инициировать всеобъемлющий глобальный процесс – процесс Pall Mall. Процесс Pall Mall установит руководящие принципы и выделит варианты политики для государств, промышленности и гражданского общества в отношении разработки, упрощения процедур, приобретения и использования коммерчески доступных средств для кибервзломов. Этот процесс основан на общесоциальном подходе к киберпространству и признает важность государственно-частного партнерства и сотрудничества с участием многих заинтересованных сторон в стремлении к созданию более безопасного киберпространства.

2. Растущий коммерческий рынок, позволяющий разрабатывать, облегчать, приобретать и использовать коммерчески доступные средства кибервзломбирования, вызывает вопросы и опасения по поводу его воздействия на национальную безопасность, права человека и основные свободы, международный мир и безопас-ность, а также свободное, открытое, мирное, стабильное и безопасное киберпространство.

3. Оказывая трансформирующее влияние на киберпространство, этот растущий рынок значительно расширяет потенциальный пул государственных и негосударственных субъектов, имеющих доступ к коммерчески доступным возможностям для кибервзломов, и увеличивает возможности для злонамеренного и безответственного использования, затрудняя смягчение и защиту от угроз, которые они представляют. Ожидается, что в ближайшие годы эти угрозы, в том числе киберстабильности, правам человека, национальной безопасности и цифровой безопасности в целом, возрастут.

4. Без международных и значимых действий с участием многих заинтересованных сторон рост, диверсификация и недостаточный надзор за этим рынком повышают вероятность увеличения числа нападений с целью получения прибыли или компрометации более широкого круга целей, включая журналистов, активистов, правозащитников и правительственных чиновников. Это также может способствовать распространению потенциально разрушительных киберпотенциалов среди более широкого круга участников, включая киберпреступников. Неконтролируемое распространение может увеличить широту доступа к сложным возможностям и, как следствие, сложность инцидентов, которые киберзащита должна обнаруживать и смягчать. Эта тенденция может способствовать непреднамеренной эскалации в киберпространстве.

5. Рынок включает в себя широкий спектр продуктов и услуг, которые постоянно развиваются и диверсифицируются. Рынок включает взаимосвязанную экосистему исследователей, разработчиков, брокеров, реселлеров, инвесторов, юридических лиц, операторов и клиентов. Чтобы облегчить обсуждение возникающих угроз и потенциальных рисков, мы предлагаем некоторые рабочие определения в приложении А.

6. Мы признаем, что на всем пространстве этого рынка многие из этих инструментов и услуг могут использоваться в законных целях, но их не следует разрабатывать или использовать способами, угрожающими стабильности киберпространства или правам человека и основным свободам, или способом, несовместимым с применимым международным правом, включая международное гуманитарное право и международное право прав человека. Они также не должны использоваться без соответствующих мер предосторожности и надзора. Мы решаем изучить параметры как законного, так и ответственного использования государством, гражданским обществом, законной кибербезопасностью и участниками отрасли на протяжении всего процесса Pall Mall.

7. Мы напоминаем, что существующее международное право применяется к поведению государств в киберпространстве и что все государства-члены ООН обязались действовать в соответствии с рамками ответственного поведения государств в киберпространстве. Мы подтверждаем, что государства должны стремиться предотвращать распространение вредоносных инструментов и технологий ИКТ и использование вредоносных скрытых функций, должны уважать права человека и поощрять ответственное сообщение об уязвимостях ИКТ в соответствии с нормами 13 (e), (i) и, (j) из Докладов ГПЭ ООН за 2015 и 2021 годы о продвижении ответственного поведения государств в киберпространстве в контексте международной безопасности, впоследствии одобренных консенсусом Генеральной Ассамблеей ООН.

8. Кроме того, мы призываем частный сектор уважать и поддерживать права человека, в том числе изложенные в Руководящих принципах Организации Объединенных Наций в области бизнеса и прав человека. Все участники, включая как государства, так и частный сектор, должны стремиться к тому, чтобы разработка, содействие, закупка, экспорт и использование коммерчески доступных средств для кибервзломов не подрывали стабильность и не угрожали правам человека и основным свободам, в том числе в киберпространстве. Мы призываем многостороннее сообщество продолжать повышать свою осведомленность и прилагать усилия по предотвращению безответственного использования коммерчески доступных возможностей для кибервзломов.

9. Признавая важность наращивания киберпотенциала и необходимость киберустойчивости при подготовке, смягчении последствий, реагировании, восстановлении и извлечении уроков из разрушительных кибератак, мы настоятельно призываем государства, промышленность, гражданское общество, научные круги, членов технического сообщества и отдельных лиц продолжать наращивать глобальный киберпотенциал в оборонительных целях для обеспечения надежного, инклюзивного и заслуживающего доверия доступа к возможностям, предоставляемым цифровыми технологиями. Мы признаем пользу, которую добросовестные исследования в области безопасности, раскрытие уязвимостей, вознаграждение за ошибки в целях киберзащиты и тестирование на проникновение могут оказать на средства защиты от кибербезопасности. Мы признаем жизненно важную роль, которую промышленность играет в укреплении кибербезопасности и поддержке жертв в реагировании на вредоносную киберактивность.

10. Мы приветствуем существующие усилия государств по принятию мер для решения проблемы, включая усилия, предпринимаемые с помощью существующих международных систем экспортного контроля и продолжающуюся разработку внутренних мер национальными юрисдикциями. Мы признаем усилия гражданского общества и промышленности, которые повысили осведомленность всего мира по этому вопросу, включая критические расследования, отчетность и поддержку жертв.

11. В контексте будущего сотрудничества с участием многих заинтересованных сторон и для информирования Процесса Pall Mall мы считаем следующие основные положения полезными для формирования нашего будущего взаимодействия с участием государств, промышленности, гражданского общества и представителей научных кругов:

11.1. Подотчетность – Деятельность должна осуществляться законным и ответственным образом, в соответствии с принципами ответственного поведения государств в киберпространстве и существующим международным правом, а также внутренними рамками. При необходимости следует принять меры для привлечения к ответственности государств, деятельность которых противоречит международному праву прав человека, и для привлечения негосударственных субъектов к ответственности во внутренних системах, при необходимости.

11.2. Точность – разработка и использование возможностей должны проводиться с точностью, таким образом, чтобы гарантировать, что они позволят избежать или смягчить непреднамеренные, незаконные или безответственные последствия.

11.3. Надзор – Механизмы оценки и должной осмотрительности (как со стороны пользователей, так и поставщиков, включая государства и участников отрасли) должны быть созданы для обеспечения того, чтобы деятельность осуществлялась законно, ответственно и может включать такие принципы, как законность, необходимость, соразмерность и разумность, основанные на существующем международном праве и нормах.

11.4. Прозрачность – Деловые взаимодействия должны осуществляться таким образом, чтобы отрасль и пользователи понимали свои цепочки поставок; укрепление доверия к ответственной деловой практике поставщиков, с которыми они взаимодействуют.

12. После нашего участия в сегодняшних дискуссиях мы преисполнены решимости участвовать в постоянном и глобально инклюзивном диалоге, дополняющем другие многосторонние инициативы, и с нетерпением ожидаем продвижения этого процесса в ближайшие месяцы. Последующая конференция будет организована во Франции в 2025 году для подведения итогов прогресса, достигнутого в рамках этой повестки дня, и продвижения дальнейших обсуждений.

Государства и международные организации, представленные:

Африканский Союз,
Австралия
Бельгия
Канада
Чехия
Дания
Эстония
Финляндия
Франция
Германия
Греция
Совета сотрудничества стран Залива
Италия
Япония
Малайзия
Новая Зеландия
Норвегия
Польша
Республика Кипр
Республика Ирландия
Республика Корея
Румыния
Сингапур
Швеция
Швейцария
Соединенное Королевство Великобритании и Северной Ирландии
Соединенные Штаты Америки

Представители отрасли:

BAE Systems Digital Intelligence,
ESET
Европейский инкубатор исследований киберконфликтов, CIC,
Google
HackerOne,
Luta Security,
Margin Research,
MDSec,
Meta,
Microsoft,
NCC Group,
NextJenSecurity,
Sekoia.io ,
YesWeHack

Гражданское общество и научные круги представлены:

Алехандро Пизанти
Эллисон Питлак, Центр Стимсона,
Атлантический совет,
Институт киберполиции,
Цифровой фонд Gefona,
GEODE (Французский институт геополитики, Парижский университет 8),
ICT4Peace,
профессор Нненна Ифиани-Аджуфо, Лидский университет Беккета,
Парижский форум мира,
Royal Holloway, Лондонский университет,
Королевский институт объединенных служб,
Фонд Shadowserver

ПРИЛОЖЕНИЕ А: Рабочие определения, помогающие обсуждать коммерчески доступные возможности для кибервзломов

Для общего обсуждения мы предлагаем нижеприведенные рабочие определения, которые охватывают ключевые аспекты рынка коммерческих кибервзломов. Мы отмечаем, что эти определения не являются исчерпывающими или окончательными и будут формироваться на протяжении всего процесса Pall Mall. Используемые здесь рабочие определения приведены исключительно в иллюстративных целях и не претендуют на то, чтобы быть всеобъемлющими или обязательными.

I. Коммерчески доступные возможности для кибервзломов описывают инструменты и услуги, предоставляемые компаниями, занимающимися кибервзломами, и аналогичные высококачественные возможности, разработанные другими компаниями. Поставщики возможностей также могут работать на основе моделей “как услуга”. “Как услуга” описывает модель, посредством которой организация разрабатывает, предоставляет и поддерживает возможности для клиента. К ним относятся, но не ограничиваются ими:

i. Доступ как услуга, при котором одна организация предоставляет вектор доступа, с помощью которого конечные пользователи могут получить несанкционированный доступ к компьютерным системам, и;
ii. Вредоносное ПО [1]как услуга, с помощью которой поставщики разрабатывают, поддерживают и предоставляют вредоносное ПО для использования против целей от имени клиента.

II. Компании, занимающиеся кибервзломами, относятся к коммерческим организациям, которые предлагают “готовые’ продукты или услуги для проникновения в компьютерные системы или вмешательства в них в обмен на коммерческую выгоду. К таким организациям могут относиться разработчики или продавцы уязвимостей и эксплойтов, компании, разрабатывающие и продающие продукты для кибервзломов или компании, предлагающие услуги хакеров по найму. К ним относятся, но не ограничиваются ими::

i. Компании, занимающиеся взломом как услугой, которые представляют собой компании, предоставляющие возможности и часто поддерживающую инфраструктуру для проникновения в компьютерные системы в качестве услуги. Клиенты обычно определяют требования, такие как выбор цели, и потребляют полученную информацию. Сюда не входит доступ по обоюдному согласию, такой как тестирование безопасности; и
ii. Хакеры по найму, которые представляют собой неаффилированных лиц или группы действующих лиц, нанятых государствами, организациями или даже отдельными лицами для проникновения в компьютерные системы в соответствии с требованиями клиентов. Они используют свои собственные инструменты и методы и знают, а в некоторых случаях могут выбирать, на кого они нацелены.

III. Рынок уязвимостей и эксплойтов описывает коммерческую торговлю уязвимостями и эксплойтами нулевого дня [2], которые позволяют осуществлять кибервзломы. Это не относится к коммерческой оплате исследований уязвимостей для обеспечения киберзащиты, таких как тестирование безопасности или программы вознаграждения за ошибки в целях киберзащиты.

IV. Коммерческое программное обеспечение для интрузивного наблюдения, иногда называемое “шпионским ПО”, описывает коммерчески доступное программное обеспечение и инструменты, которые предоставляют пользователю возможность получать удаленный доступ к компьютерной системе без согласия пользователя, администратора или владельца компьютерной системы с целью доступа, сбора, использования, извлечения, перехвата, извлечения, изменения или удаления или передачи контента, включая информацию, хранящуюся на устройстве, подключенном к Интернету, или передаваемую через него. Это может включать возможность записывать видео, аудио или звонки или отслеживать местоположение компьютера.

V. Разрушительные кибернетические возможности относятся к возможностям, разработанным для обеспечения разрушительного воздействия кибернетических средств на компьютерную систему. Сюда могут входить инструменты, предназначенные для обеспечения вторжения и вмешательства в операционные технологии, такие как программы-вымогатели или “дворники”.

Вредоносное ПО[1] является производным от “вредоносного программного обеспечения” и включает вирусы, троянские программы, червей или любой код или контент, используемые в незаконных целях против компьютерных систем, сетей или устройств.

[2] Уязвимость – это слабость или изъян в системе или процессе. Злоумышленник может попытаться воспользоваться уязвимостью, чтобы получить доступ к системе. Разработанный для этого код известен как эксплойт. Эксплойт нулевого дня использует уязвимость, при которой еще не доступны исправления безопасности. Уязвимость нулевого дня становится уязвимостью n-day после выпуска поставщиком исправления безопасности. Использование уязвимости n-day основано на поиске систем, которые не обновлялись.