Просто поставили телефон на зарядку? Поздравляем, он мог быть взломан

Глобальный рынок шпионских программ одновременно подрывает права человека и наращивает риски для национальной безопасности — и судебные попытки остановить злоупотребления почти не работают. Доклад Атлантического Совета показывает, что иски жертв годами буксуют, компенсация практически недостижима, а в редких успешных делах чаще преуспевают технокомпании, защищающие свои сервисы и пользователей, как это сделала WhatsApp в споре с NSO Group. На этом фоне предлагается иная логика ответственности — узконаправленный «безопасный порт» для компаний, которые реально снижает вред от шпионского ПО.

Главные преграды для ответственности описаны чётко. Во-первых, потерпевшие часто не знают о взломе — мобильные «нулевые клики» незаметны без сложной криминалистики. Во-вторых, участники рынка намеренно прячутся: меняют названия, дробят структуры, уезжают в другие юрисдикции, что усложняет атрибуцию и подачу иска. В-третьих, почти всегда спорно, какой суд вообще компетентен — устройства, серверы, гражданство, продавец и покупатель рассредоточены по странам. В-четвёртых, открытые процессы рискуют выдать методики обнаружения и ценные индикаторы, из-за чего атакующие быстро меняют тактику, а оборона теряет преимущество.

При этом у «большой тройки» есть уникальные рычаги, которые уже доказали эффективность. Apple, Google и Meta* видят техсигналы на своей инфраструктуре, умеют избирательно предупреждать пользователей, могут закрывать уязвимости и предлагать усиленные режимы защиты — от Lockdown Mode на устройствах Apple до Advanced Protection в экосистеме Google. Эти меры помогают гражданскому обществу и расследователям, не раскрывая лишнего в открытую и не обнуляя детект.

Предлагаемая конструкция «безопасного порта» делает ставку именно на такие практики и выстраивает стимулы вокруг профилактики. Компания получает защиту от исков о «небезопасном софте» — включая потенциальные претензии по товарной ответственности — если выполняет набор обязанностей: запускает программу выявления и уведомления о шпионских атаках, делится данными с профильными исследовательскими и правозащитными центрами с соблюдением приватности, поддерживает опциональные усиленные режимы безопасности для групп риска и оперативно устраняет уязвимости и цепочки эксплуатации. Сертификацию соответствия стандартам проводит независимый регулятор вне судебной ветви, чтобы стандарты можно было гибко обновлять без переписывания законов.

Рамка заведомо «международная» по духу: рынок и клиенты шпионских решений не знают границ, а плохо продуманные требования к отчётности способны невольно подсказать государственным заказчикам, кого и как раскрыли. Поэтому авторы увязывают инициативу с многосторонними процессами вроде Pall Mall и подчёркивают разницу подходов США и Великобритании к иммунитетам государств и их подрядчиков — фокус предлагается держать на вендорах шпионских инструментов, а не на иностранных правительствах.

Смысл в том, чтобы вознаграждать действия, которые реально снижают ущерб, а не наказывать за невозможность абсолютной защиты от хорошо финансируемых игроков. «Идеальной безопасности» против государственно спонсируемых атак не существует — но можно системно повышать планку: быстрее латать уязвимости, чаще и точнее предупреждать жертв, точечно делиться атрибуцией и давать уязвимым пользователям инструменты «жёсткого режима». Такой «порт» не заменяет суды и санкции, а дополняет их, переводя отрасль из режима постфактум-разбирательств в режим превентивной защиты.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.