15 апреля 2014 г. Министерство промышленности и информатизации КНР, Министерство общественной безопасности КНР и Главное государственное управление торгово-промышленной администрации КНР (ГГУТПА КНР) опубликовали совместное уведомление о плане борьбы с вредоносными программами в интернете и мобильных сетях. Кампания будет проведена с апреля по сентябрь 2014 г.
Речь идет прежде всего о электронных приложениях для мобильных телефонов «с дополнительными функциями», например, приложения, которые без ведома пользователя телефона отправляют SMS на платные номера (SMS-трояны). Кроме того, вредоносные программы могут использоваться для похищения ценных данных (в том числе базы контактов), перехвата sms-сообщений для входа в мобильный банк, кражи паролей для аккаунтов платежных систем, электронной почты и другой незаконной деятельности. Большинство вредоносных программ для мобильных устройств распространяется через Интернет под видом полезных программ либо в общественных местах при помощи bluetooth. Иногда они заранее устанавливаются на мобильные телефоны продавцом перед продажей.
По существующим оценкам более трети пользователей мобильных телефонов в КНР страдают от вредоносного или шпионского программного обеспечения. Причинами этого являются широкое распространение мошеннических схем, игнорирование пользователями угрозы вредоносного программного обеспечения и недостаточный контроль со стороны государства.
По существующим оценкам более трети пользователей мобильных телефонов в КНР страдают от вредоносного или шпионского программного обеспечения. Причинами этого являются широкое распространение мошеннических схем, игнорирование пользователями угроз от вредоносного программного обеспечения и недостаточный контроль государственных органов.
Основной целью кампании является выявление вредоносных программ высокой опасности и больших масштабов распространения, содействие магазинам приложений в создании и совершенствовании механизмов проверки безопасности мобильных приложений, проведение расследований по фактам использования вредоносных программ для ведения противоправной деятельности (для совершения преступлений), борьба с использованием вредоносных программ в целях незаконного получения дохода, повышение информированности пользователей, создание эффективного механизма для противодействия вредоносным программам в долгосрочной перспективе.
Для борьбы с вредоносными программами будет создана специальная группа с участием служащих Министерства промышленности и информатизации КНР, Министерства общественной безопасности КНР и ГГУТПА КНР под руководством заместителя министра промышленности и информатизации. Министерство промышленности и информатизации КНР возглавит борьбу с вредоносными программами; Министерство общественной безопасности КНР будет в соответствии с законодательством вести борьбу с правонарушениями и преступлениями с использованием вредоносных программ; ГГУТПА КНР будет проводить разбирательства по фактам реализации реализации товаров ненадлежащего качества (электронных приложений, содержащих вредоносный код).
Кампания разделена на три этапа. На первом этапе (апрель-май 2014 г.) государственные органы займутся подготовкой и составят планы проведения работы. Второй этап – активная работа по борьбе с вредоносным программным обеспечением – продлится с 1 июня по 31 августа. На третьем этапе (сентябрь 2014 г.) будут подведены итоги кампании и разработаны предложения по созданию долгосрочных эффективных механизмов по борьбе с вредоносным программным обеспечением.
В совместном уведомлении выделены шесть основных направлений работы. Во-первых, будет усилен контроль над установкой программного обеспечения производителями смартфонов для обеспечения соответствия мобильных телефонов требованиям к безопасности. Все мобильные телефоны должны соответствовать требованиям, изложенным в Уведомлении Министерства промышленности и информатизации КНР «Об усилении контроля за предоставлением в сети приложений для конечных пользователей мобильных смарт-устройств» (№ 120-2013).
В соответствии с этим уведомлением производители смарт-устройств не вправе устанавливать программное обеспечение, которое:
- без оповещения и согласия пользователя собирает и (или) вносит изменения в данные пользователя;
- без оповещения и согласия пользователя вносит изменения в набор функций устройства, которые приводят к увеличению траффика, повышенному расходованию средств, раскрытию информации о пользователе или другим негативным последствиям;
- оказывает воздействие на нормальную работу или безопасность смарт-устройства;
- содержит информацию, публикация и распространение которой запрещено Положением «О телекоммуникациях»;
- причиняет другой вред безопасности персональных данных пользователя, его правам и законным интересам, угрожает информационной безопасности или безопасности сетей.
Государственные органы в рамках кампании усилят контроль за проверкой безопасности и тестированием приложений для мобильных устройств, устанавливаемых производителями, а также организуют проверки после сертификации приложений на соответствие отраслевым стандартам в сфере телекоммуникаций. В случае несоответствия государственные органы будут привлекать виновных к ответственности.
Во-вторых, государственные органы проведут проверку магазинов приложений, которые должны нести ответственность за безопасность распространяемых приложений. Магазины приложений обязаны создать системы идентификации разработчиков приложений, тестирования работы и проверки безопасности приложений, сбора сообщений от пользователей о работе приложений и удаления вредоносного программного обеспечения.
В рамках кампании будет создана группа специалистов, которая проведет выборочную проверку программного обеспечения, которое распространяется в магазинах приложений, и проинформирует магазины приложений о выявлении вредоносных программ. Недобросовестные магазины приложений будут привлечены к ответственности и включены в черный список. Кроме того, государственные органы окажут содействие отраслевой ассоциации в создании механизма оценки добросовестности магазинов приложений, который позволит пользователям сделать правильный выбор при установке мобильных приложений.
В-третьих, будет создана система независимой сертификации приложений. Государственные органы будут содействовать разработчикам программного обеспечения, магазинам приложений, сертификационным организациям, производителям смарт-устройств в проведении технической экспертизы, создании независимой сертификации приложений, препятствовании внесению изменений в программное обеспечение (внедрению вредоносного кода) и отслеживании изменений, а также создании белого списка разработчиков программного обеспечения.
Кроме того, будет усилена работа по борьбе с получением прибыли от использования вредоносных приложений. Телекоммуникационные компании обязаны усовершенствовать работу по отслеживанию и борьбе с получением прибыли от использования вредоносных программ, отслеживать и блокировать интернет-сайты и IP-адреса, используемые вредоносными программами. Государственные органы на основе сообщений пользователей, выборочной проверки безопасности и мониторинга сетей будут выявлять изготовителей вредоносных программ и привлекать к ответственности разработчиков программ, производителей и дистрибьюторов смарт-устройств, а также поставщиков добавочных услуг.
В целях борьбы с вредоносными программами будет усилен обмен информацией между государственными органами и координация их действий. Органы торгово-промышленной администрации усилят контроль за рынком мобильных устройств и приложений и будут по жалобам потребителей проводить разбирательства по фактам реализации товаров ненадлежащего качества; если будут выявлены признаки преступления, органы торгово-промышленной администрации обязаны своевременно передавать материалы разбирательства в полицию (органы общественной безопасности). В свою очередь, органы общественной безопасности на основании предоставленной органами торгово-промышленной администрации и органами государственного регулирования в сфере телекоммуникаций информации будут проводить расследования преступлений, связанных с использованием вредоносного программного обеспечения.
Наконец, государственные органы планируют развернуть работу по информированию и обучению пользователей в целях повышения их сознательности. Кампания по борьбе с вредоносными приложениями для мобильных устройств по замыслу должна привести к разработке изменений в законодательстве, которые затронут телекоммуникационные компании и поставщиков услуг в сфере интернет. Скорее всего, конкретные предложения будут озвучены в конце этого года и будут включать усиление юридической ответственности за распространение вредоносных программ.
