Новые юридические проблемы онлайн-гемблинга в эпоху кибернеопределенности

Это гостевая статья Мартина Оуэнса – адвоката из Калифорнии, специализирующегося на законах об Интернете и интерактивном гейминге с 1998 года, соавтора книги Internet Gaming Law, написанной вместе с профессором Нельсоном Роузом.

Часть I: Введение. Проблемы для операторов

Можно без сомнения сказать, что вирусы попали в рай.

Едва заметная ранее темная сторона Интернета сейчас становится видимой. Действительно, доступ в Интернет позволяет нам общаться практически с любым человеком в любом месте, если у него также имеется доступ в сеть. Но в то же время это позволяет ЕМУ добраться до ВАС, нравится вам это или нет, готовы ли вы к этому или нет.

Конфиденциальность в том виде, в котором она существовала до интернет-эры, едва ли существует в наши дни. Если вы не предприняли чрезвычайные меры, чтобы «исчезнуть с радаров», более чем вероятно, что ваше имя, адрес и любая личная информация о вас размещена в разных базах данных. Некоторые из них государственные, некоторые – приватные, но все они в разной степени подвержены риску похищения и манипуляции извне.

Проблема кибербезопасности стала более острой в силу того, что частота кибердоступа выросла в разы по всему миру. Сегодня нет ничего необычного в том, что киберпреступники, действуя из Сибири, ограбили американскую корпорацию. Интернет-мошенники из Западной Африки стали настолько обычным явлением, что превратились в объект шуток. Едва ли проходит месяц без новостей о том, что онлайн-операции какого-либо государственного торгового оператора или интернет-сервиса подверглись взлому. Таким образом, хищение личных данных, мошенничество и даже шантаж влекут за собой убытки неопределенных масштабов. Совсем недавно произошла хакерская атака на бюро кредитных историй Experian, и кредитная информация о 143 миллионах жителей США была обнародована и скомпрометирована. Это в десять раз больше, чем после взлома Experian в 2015 году, когда пострадало 15 миллионов жителей.

Но все становится только хуже. После того как правительство Северной Кореи посчитало некий фильм оскорбительным, ей приписали хакерскую атаку на американские киностудии, которая привела к преждевременной утечке нескольких фильмов. Среди них – последний «Спайдермен» и «Джеймс Бонд» (и вправду жестокое и необычное наказание). Тем временем разведывательную службу России обвиняют в кибервмешательстве в президентские выборы 2016 года в США. Одна только вероятность того, что это правда, в высшей степени потрясла политическую систему США, поставив под сомнение саму легитимность американского правительства.

Есть опасения, что кибератаки по национальной инфраструктуре могут быть столь же внезапными, как нападение на Перл-Харбор. И вам не поможет даже нахождение на «светлой стороне». Собственные проделки правительства США с несанкционированным сбором данных со счетов и переписок частных лиц за многолетний период поставили под сомнение конституционную легитимность многих действий исполнительной власти, российской или не российской. И как результат большого количества сомнений многие ранее уважаемые учреждения, среди которых Wells Fargo Bank, были уличены в создании несанкционированных счетов и снятии денежных средств со счетов своих клиентов. Сейчас уже старомодно беспокоиться о том, что кто-то использует Интернет для ограбления банка; сегодня банки сами используют Интернет, чтобы ограбить нас.

И, наконец, самым серьезным коммерческим взломом системы безопасности на сегодняшний день считается использование вредоносного программного обеспечения под названием WannaCry, утечка которого произошла из самого Агентства национальной безопасности США.

Усиливается тревога по поводу того, что самые крупные вторжения и потери данных еще впереди, и пока что мы видим только верхушку айсберга. Средство, которое должно было привести к большей свободе и креативности, внезапно оказалось оружием в руках неизвестных и безответственных личностей, нацеленным на наши права на неприкосновенность, свободу слова и даже личную свободу. В то время когда количество технологических усовершенствований, предоставляемое Интернетом вещей, увеличилось и с помощью клика можно исполнить мечту о любом товаре или услуге, мы с ужасом понимаем, что все, начиная с настольных компьютеров и заканчивая широкоэкранными телевизорами, холодильниками и даже электронными сигаретами, может следить за нами в сети.

Очевидно, что кибероснование пошатнулось под всеми, включая операторов, игроков, поставщиков услуг, а также регуляторов онлайн-гемблинга. В этом исследовании, которое состоит из трех частей, мы рассмотрим некоторые новые проблемы и обязательства, возникающие в отрасли онлайн-гемблинга в этом «дивном новом мире».

Часть 1: Для операторов

Защита денег

С одной стороны, это обычный бизнес для операторов онлайн-гемблинга. Игорный бизнес всегда нес ответственность за принятие, хранение и выплату крупных сумм денег. Конкретные методы изменяются в зависимости от формата, но структуры онлайн-гемблинга в целом должны иметь защиту от прямого проникновения (т.е. от хакерской атаки с целью получения доступа и перевода денег со счетов компании и/или игрока). Так происходит нечасто; на самом деле с ростом надежности программного обеспечения для защиты от вторжения, казалось бы, единственной стороной, способной на кражу, являются сами операторы (затевают аферы, после которых с игроков снимаются деньги в подстроенной игре, не проводят выплату денег либо вообще исчезают). Также бывшие рассерженные сотрудники могут пытаться отомстить своему прежнему работодателю, обнародовав конфиденциальные личные и финансовые данные клиентов.

Помимо непосредственного вторжения, существует также мошенничество. Онлайн-формы этого далеко не нового преступления включают внешний сговор, использование «ботов» (программное обеспечение, действующее против пользователей в онлайн-режиме), «посредников» (beards –игроки, замаскированные под частных) и любые другие формы, которые только могут придумать мошенники. Однако онлайн-гемблинг столкнулся с новой опасностью – вымогательством, – которая весьма редко беспокоила наземный бизнес. Самая давняя форма онлайн-вымогательства – это распределенная атака на отказ в обслуживании (DDoS). С начала этого столетия операции по онлайн-гемблингу стали объектом неоднократного использования этого метода. Злоумышленники распространяют хакерскую программу на ничего не подозревающие хост-компьютеры, используя вирусы (червей), которые, как правило, скрываются под фальшивым запросом или предложениями из, казалось бы, легальных источников (фишинг). Таким образом возникает ботнет с множеством зараженных компьютеров, которые по заданному сигналу от тех самых злоумышленников атакуют целевое предприятие со всех сторон. В зависимости от конкретной структуры и формата, в опасности могут оказаться сервера, маршрутизатор, брандмауэры и интернет-трафик жертвы.

В результате пострадавшие утопают в немыслимом количестве запросов системы. Не в состоянии ответить, целевая структура больше не способна обслуживать своих клиентов или удовлетворять их потребности. Стандартный схема поведения мошенников заключается в DDoS-атаке, а затем в ее прекращении. После этого пострадавшим будет предъявлено требование: заплатить по полной или же ожидать повторной атаки. Однако большинство игорных онлайн-сайтов решает защищаться с помощью усовершенствованного программного обеспечения от DDoS-атак, что в целом является эффективным методом.

Одной из последних разработок хакеров является так называемый вирус-вымогатель. Переход к зараженному элементу или странице запускает программную ловушку, которая захватывает и шифрует файлы жертвы с помощью кода, доступного только для злоумышленника. На экранах пострадавшего появляется сообщение о том, что ключ с кодом станет доступным только после уплаты назначенному получателю (в последнее время платежи требовали проводить в биткоине). В противном случае жертва теряет данные. Отрасль кибербезопасности быстро и эффективно отреагировала на эту последнюю угрозу, и на данный момент сектору онлайн-гемблинга уделяется особое внимание. Тем не менее, совершенно ясно, что это не последний случай такого рода явления.

Защита клиентов

Помимо защиты денег, онлайн-сектор должен справиться с дополнительной проблемой сбора и защиты конфиденциальных личных и финансовых данных своих клиентов. Фактически, несанкционированный доступ к этим данным может представлять больший риск для клиента, чем любые прямые потери через депозитные игровые счета.

В то время как сумма, сохраняемая на определенном депозитном игровом счету, будет варьироваться в зависимости от предпочтений и дохода каждого игрока, а также индивидуальных правил сервиса, можно получить неплохие деньги из букмекерской конторы Premier Turf Club в штате Орегон: минимальный депозит здесь составляет 500 долларов, максимальная сумма одной ставки – 2500 долларов; максимальная сумма депозита в любой 30-дневный период – 10 тысяч долларов. Это может привести к серьезным потерям при взломе и краже. Однако, по данным Министерства юстиции США, средняя сумма кражи личных данных – около 1400 долларов, что составляет примерно 15 миллиардов долларов в национальных масштабах. Для сравнения, это больше, чем общая сумма всех спортивных ставок в штате Невада, которая составляет около 1 миллиарда долларов в год.

Также проблема не сводится исключительно к гемблингу и играм наподобие ежедневного фэнтези-спорта. Многие игры, не связанные с гемблингом, усовершенствовали свои механизмы, чтобы разлучить клиента с его деньгами, при этом не переходя границу собственно ставок или отыгрыша. В наиболее распространенной версии так называемого альтернативного финансирования данная игра позволит игрокам бесплатно заходить на сайт, регистрироваться и играть. Вначале игрок снабжается валютой или расходными материалами в игре (очки, фишки, золотые монеты и т.д.). И вполне возможно, что такой игрок сможет заходить, играть, выигрывать конкурсы и даже призы, не заплатив ни копейки. Таким образом, многие из этих явлений избегают клейма «гемблинг»: если деньги или что-то ценное не предлагается в обмен на участие, это не соответствует юридическому описанию «вознаграждения». Нет вознаграждения – нет гемблинга.

На онлайн-гейминг, не связанный с гемблингом, было наложено еще одно требование по безопасности – защита собственности. В настоящее время четко установлено, что «волшебные предметы», «супероружие» и другие стимуляторы игры, приобретенные впоследствии участия в играх, в частности, в фэнтези-мирах массовых многопользовательских онлайн-игр (ММО), являются подлинной собственностью, при условии соблюдения закона как такового, даже если это противоречит условиям лицензионных соглашений с конечным пользователем (EULA) операторов.

Причиной более широких рамок ответственности может быть так называемый фарминг. Поскольку игроки могут бесплатно входить и играть, а с помощью приложения и удачи приобретать валюту и «волшебные предметы» в игре, а также потому что этими предметами можно обмениваться вне обычного игрового процесса, легально или нелегально, некоторые участники создали кустарную индустрию так называемых игровых полулегальных производств (MMO sweatshops). Они нанимают игроков и платят им небольшие деньги за онлайн-игры MMO у наемщика, который сохраняет и продает свои незаконные приобретения онлайн. Поступали даже сообщения, что в некоторых странах участников таких «трудовых лагерей» заставляют этим заниматься. На практике, вышеупомянутые лицензионные соглашения с конечным пользователем являются плохой профилактикой. Во-первых, фактический контроль чрезвычайно слабый. Большинство операторов полагается на представителей службы поддержки клиентов для проведения каких-либо наблюдений или проверки на наличие нарушений. При этом соотношение представителей службы поддержки к клиентам может быть таким низким, как пятьдесят на миллион. Во-вторых, все, что может быть связано с взысканием в судебном порядке, помимо блокировки аккаунта виновного в нарушении, может стать очень проблематичным, даже если такой вопрос предусмотрен в тексте договора соответствующего EULA. Расширение юрисдикции за национальные или даже государственные границы может быть сложным, особенно когда сумма, о которой идет речь, будет меньше соответствующего порога для судебных дел, по сравнению с небольшими претензиями.

Тем не менее, пока фарминг-синдикаты взламывают личные счета для прикрытия своей деятельности, это может привести к компрометации конфиденциальной информации игрока. И хотя сайты по онлайн-геймингу или даже гемблингу, как правило, не имеют клиентской базы таких крупных мультинациональных корпораций, как онлайн-банк, предприятие розничной торговли или кредитная компании, такие случаи действительно имеют риск гражданских исков, в особенности коллективных исков в случае массовых потерь данных. Возможно также административное вмешательство генеральных прокуроров, бюро по защите прав потребителей или даже Федеральной торговой комиссии.