Власти США, по-видимому, готовятся отпраздновать крупную победу над спамерами. Российский гражданин Олег Николаенко, которого включили в число тех, кого принято называть "королями спама", задержан в Лас-Вегасе и арестован судом штата Висконсин. В освобождении под залог отказано: американцы опасаются того, что он может покинуть их страну.
Следствие считает, что Николаенко причастен к созданию спам-сети Mega-D. Были инфицированы более 500 тыс. компьютеров, с которых, как предполагается, осуществлялась рассылка иногда до одной трети общемирового объема нежелательной электронной почты. Николаенко свою вину не признает.
Этот случай свидетельствует о том, что власти США все чаще рассматривают спам в ряду других серьезных угроз, которые несет обществу киберпреступность со всеми ее вирусами, червями, троянами и финансовым мошенничеством. Спамерам удается обманывать даже самых предусмотрительных пользователей, поэтому нежелательные письма стали проблемой, затрагивающей практически каждого пользователя онлайн-клиентов, электронной почты, социальных сервисов и даже мобильных телефонов.
Ущерб от спама — как его считать?
Многие исследования сигнализируют о многомиллиардных убытках, которые несут национальные экономики из-за невероятного количества спама. Но тут стоит обратить внимание на методику рассчетов. Как правило, за единицу финансовых потерь берется упущенная выгода одной отдельно взятой компании от количества рабочего времени, которое сотрудник затрачивает на удаление писем со спамом. Так принято в США, так, например, работает калькулятор от Google. Очевидно, что, если исповедовать такой подход, то социальные сети или, скажем, личные звонки в рабочее время представляют для процветания бизнеса намного большую угрозу. К тому же, в расчет не берется куда более объективный показатель — стоимость электроэнергии, потраченной серверами на рассылку спама (в США, например, — 40% почтового трафика, а в некторых станах — до 90%). При этом статистику спама, в том числе и его стоимости для экономики, ведут, как правило, производители систем информационной безопасности, то есть лица, заинтересованные в нагнетании страстей. Но, тем не менее, представление о том, что спам приносит реальные убытки, а не только раздражает пользователей коммуникационных систем, стало общепризнанным.
США
С января 2004 года в США, где убытки от спама принято оценивать десятками миллиардов долларов, действует федеральный закон CAN-SPAM Act, который регламентирует правила рассылки рекламных писем, а также устанавливает ответственность для спамеров. Закон касается мэйлов, рекламирующих продукты, услуги или веб-сайты, на которые пользователь не подписывался.
CAN-SPAM Act содержит несколько базовых положений, например, запрет на использование адреса электронной почты, который может ввести адресата в заблуждение относительно происхождения электронного письма. То есть все данные адресов, с которых отправляется рассылка, должны быть легитимными, включая данные серверов, через которые идет трафик. Иногда закон выступает в роли своебразного школьного преподавателя, объясняя: тема должна четко отражать содержимое письма. Также в обязательном порядке необходимо сообщать официальный и реальный почтовый адрес компании-отправителя, а пользователь должен четко знать, как отказаться от рассылки. Количество отправленных сообщений не является признаком спама, а ответственность за спам несут не те, кто рассылает почту, а заказчики.
В США с каждым годом все больше случаев привлечения спамеров к ответственности. Роберт Солоуэй, например, проиграл процесс против небольшого провайдера интернет-услуг, оператор которого обвинил его в рассылке спама. Сумма возмещения убытков по решению суда составила $10 075 000. А в 2009 году социальная сеть Facebook отсудила у Сэнфорда Уоллеса, $711 млн. Для Уоллеса, тоже титулованного "короля спама", это был не первый суд: в 2006 году он был оштрафован на $4 млн за незаконную в США рекламу с помощью всплывающих окон, а в 2008 году — на $234 млн за спам в социальной сети MySpace.
ЕС
В Европе убытки от спама, по различным данным, составляют от 100 до 300 млн евро ежегодно. Причем компании, рассылающие спам на территории ЕС, преимущественно находятся в Восточной Европе.
С целью борьбы со спамерами 12 июля 2002 года вышла, а 31 октября 2003 года вступила в силу Директива 2002/58/EC Европейского парламента и Совета ЕС, касающаяся обработки персональных данных и охраны тайны частной жизни в секторе электронных коммуникаций.
К настоящему моменты не все члены ЕС интегрировали директиву в свое национальное законодательство, однако она все равно считается вступившей в силу, и ее нарушение может быть предметом разбирательства в Суде ЕС: директива имеет верховенство над национальным правом. Кроме того, "опаздывающим" странам грозят санкциями со стороны Совета ЕС, если они будут задерживать модернизацию своего законодательства в духе директивы.
Статья 13 Директивы запрещает использование адреса электронной почты в маркетинговых целях и устанавливает принцип OPT-IN, согласно которому, рассылка не должна приходить пользователю, если он на нее не подписывался. Помимо этого, рассылка не запрошенных текстовых сообщений как в форме sms, так и в любом другом формате на мобильные устройства связи тоже подпадает под запрет.
Директива не сразу стала применяться. Первый штраф был выписан только в декабре 2005 года, когда бизнесмен Найджел Робертс с острова Олдерни (Нормандские острова, Великобритания) выиграл суд против Media Logistics UK, занимавшейся рассылкой спама. Правда, в качестве компенсации он получил только 270 фунтов.
Россия
По оценке аудиторской и консалтинговой компании ФБК, ежегодные потери российской экономики от спама составляют $1,3-1,9 млрд. Расчеты ФБК основаны на денежном выражении снижения производительности участников хозяйственной деятельности, то есть на американском методе. При проведении исследования использовались последние статистические данные о занятости населения в разных сферах экономики, занимаемых должностях и средней номинальной зарплате. Также было оценено время, которое тратит пользователь на чтение и удаление спама.
В России существуют два основных закона, защищающих пользователей от спама: федеральный закон №38 "О рекламе" от 13.03.2006 (статья 18) и федеральный закон № 152 "О персональных данных" от 27.07.2006 (статья 15). В этих законах четко указано, что рассылка должна производиться только с согласия получателя. К сожалению, в этих законах есть пробелы, и их применение довольно неэффективно на практике. Например, нет определения понятия "спам", и непонятно, как именно оператор или распространитель рекламы должны доказывать согласие адресата.
Тем не менее, правоприменительная практика уже начинает складываться. В конце октября в Москве было возбуждено уголовное дело в отношении гендиректора ООО "Деспмедия" Игоря Гусева. По данным правоохранительных органов, "Деспмедия" с помощью спама распространяла контрафактные фармацевтические препараты, а оборот компании за последние 3,5 года составил $120 миллионов. Следствие по делу продолжается.
Эффективность антиспамерского законодательства
Эффективность антиспаммерского законодательства нужно оценивать не только и не столько с точки зрения санкций, накладываемых на спамеров, но и с точки зрения снижения убытков экономик. В США позитивные изменения уже есть. По оценке исследователей из компании Ferris, потери от спама в США составили в 2009 г. $42 млрд. Двумя годами ранее эта сумма была на 30% ниже — $32 млрд, а в 2005 г. оценивалась и вовсе $16 млрд. Таким образом, темпы роста потерь экономики от спама снижаются, и во многом это происходит благодаря модернизации американского законодательства, ставшего чрезвычайно детализированным, качественным актом прямого действия. Если статистика не врет, правовые новеллы, вдохновленные технологическим прогрессом, останавливают спам не хуже дорогостоящих систем информационной безопасности.
Этот опыт, как и в целом основательность подхода к борьбе с преступлениями в киберпространстве стоит учесть и законодателям в России. Впрочем, первые шаги уже можно наблюдать. Члены комитета Госдумы по информационной политике и Российская ассоциация электронных коммуникаций готовят проект поправок в Федеральный закон "О защите информации". Предложено включить в этот документ несколько понятий — таких, как "спам", "доменное имя", "электронная почта" и "пользовательский контент". Также Комитет предлагает прописать в законе ответственность за рассылку спама.