Как кибергруппы и библиотеки входят в новую криминологию происхождения цифрового действия

Современная криминология столкнулась с проблемой, к которой она долго шла, но которую до конца не называла своим именем. Речь идёт уже не только о преступнике, не только о жертве и не только о цифровом следе. Речь идёт о происхождении действия.

Кто совершил действие? Человек, группа, алгоритм, платформа, машина, издатель, анонимный оператор, или гибридная система, где человек только задаёт направление, а машина автоматически генерирует основную часть результата по его запросу?

В XX веке криминология изучала личность преступника, среду, мотив, механизм преступного поведения и способ сокрытия следов. В XXI веке к этим вопросам добавляется новый: как установить происхождение цифрового действия, если само действие распределено между людьми, машинами, платформами, аккаунтами, инфраструктурой, юрисдикциями и метаданными?

На первый взгляд несвязанные события объединяются общей проблемой.

Первое событие уголовно-правовое. Министерство юстиции США сообщило об экстрадиции из Финляндии 19-летнего Питера Стоукса, гражданина США и Эстонии, которого обвиняют в связи с кибергруппой Scattered Spider. Согласно сообщению Минюста США, ему предъявлены обвинения в сговоре, компьютерном вторжении и мошенничестве. Он был арестован финскими властями в апреле на основании Interpol Red Notice, при попытке вылететь из Хельсинки, и после экстрадиции предстал перед федеральным судом в Чикаго. Reuters указывает, что Scattered Spider связывают более чем со 100 сетевыми вторжениями, более чем 100 миллионами долларов выкупных платежей и атаками на крупные компании, включая громкие эпизоды против Caesars Entertainment и MGM Resorts в 2023 году. Обвинения предъявлены, но не доказаны: подсудимый считается невиновным до решения суда.

Второе событие культурно-библиотечное. Libby, приложение цифрового библиотечного доступа от OverDrive, готовит пользовательские фильтры для контента, созданного или существенно обработанного ИИ: сгенерированных книг, синтетической озвучки, машинного перевода и изображений от генеративных систем. При этом OverDrive делает ставку не на автоматические детекторы ИИ, а на издательские метаданные и раскрытие происхождения контента поставщиками.

Один кейс о киберпреступности, второй о библиотеке и культуре чтения. На первый взгляд библиотека не имеет отношения к киберпреступности. Однако оба случая объединяет одна и та же проблема: необходимость установить происхождение цифрового действия. В уголовном процессе этот вопрос решается ради установления виновного, в культурной сфере ради сохранения доверия к цифровому объекту. Цифровая эпоха требует одной и той же системы маркировки происхождения действия в обоих случаях.

От преступника к происхождению действия

Классическая криминология привыкла начинать с фигуры преступника: кто он, каков его возраст и социальная среда, как формировалась его мотивация, действовал ли он один или в составе группы. Эти вопросы не исчезают, но в цифровой среде их уже недостаточно.

Киберпреступление редко выглядит как старое преступление с понятным местом, временем и телесным присутствием преступника. Взлом может начинаться в одной стране, проходить через инфраструктуру другой, затрагивать компанию в третьей, использовать серверы в четвёртой, а вымогательские переговоры вести через каналы, где настоящая личность оператора скрыта за цепочкой псевдонимов и анонимных профилей. На месте преступления больше нет следа обуви, зато есть лог доступа. Нет отпечатка пальца на сейфе, зато есть токен, сессия, SIM-swap, фишинговая переписка, след в криптокошельке.

Так возникает новая криминологическая категория: происхождение действия. Под происхождением цифрового действия следует понимать совокупность сведений, позволяющих установить инициатора действия, использованные инструменты, последовательность его формирования, участников процесса и субъектов ответственности. Это не просто вопрос, кто нажал кнопку. Это вопрос о том, как действие было собрано, через какие инструменты прошло, кем инициировано, усилено, замаскировано, монетизировано и кто получил результат.

Дальше в статье встретится несколько смежных понятий, и стоит развести их сразу, чтобы они не звучали как синонимы. Происхождение это научная категория, объект анализа. У метаданных более узкая роль: это технический инструмент, конкретные поля данных, которые фиксируют происхождение. Маркировка переводит эти данные на язык интерфейса, то есть просто сообщает их пользователю. Цифровой паспорт идёт дальше и документирует происхождение объекта целиком. А цифровая подпись эпохи, давшая название статье, стоит на уровень выше всех перечисленных понятий: это авторская концепция, система, в которой происхождение, метаданные, маркировка и паспорт работают вместе как новый механизм доверия.

В традиционной криминологии субъект преступления мыслится как человек, который совершил деяние. В киберкриминологии субъект часто выглядит как узел сети: он может выполнять только часть операции, заниматься социальной инженерией, ни строчки не написав вредоносного кода, или обеспечивать доступ, ни разу не притронувшись к деньгам напрямую. Поэтому современное расследование должно отвечать на вопрос не только о личности, но и о роли в цифровой архитектуре преступления: кто был оператором, кто организатором, кто поставщиком доступа, кто вёл переговоры, кто превращал техническое вторжение в экономическое вымогательство. Именно эта логика делает кейс Scattered Spider материалом для новой криминологической школы, а не просто очередным эпизодом киберпреступности.

Scattered Spider: не банда, а цифровой рой

Scattered Spider интересна тем, что плохо помещается в старое представление об организованной преступности. Это не мафиозная семья, не уличная банда и не иерархическая структура военного типа, а скорее цифровой рой: метафора для рыхлой, подвижной, сетевой среды без единого центра, где участники связаны навыками, субкультурой, взаимным признанием и экономической выгодой, а не приказом сверху. Показательно, что группа фигурирует сразу под несколькими именами: следователи и исследователи безопасности отслеживают её также как Octo Tempest и UNC3944, а сам Стоукс, по данным следствия, использовал в переписке псевдонимы вроде Bouquet. Даже на уровне имени эта преступность не хочет иметь одно происхождение.

Reuters характеризует Scattered Spider как рыхлое сообщество, связанное с более широкой англоязычной онлайн-средой, известной под названием Com, где смешиваются вымогательство, техническая грамотность и агрессивная интернет-субкультура. Для криминолога здесь важны несколько обстоятельств.

Возраст участников. Когда в центре международного кибердела оказывается 19-летний подозреваемый, это не экзотика: цифровая преступность резко снижает возраст входа в серьёзное преступное действие. Там, где в традиционной организованной преступности молодой участник годами проходил школу улицы, в киберсреде подросток может быстро получить доступ к инструментам, каналам и сообществам.

Транснациональность. Стоукс был арестован в Финляндии, является гражданином США и Эстонии, а обвинения рассматриваются в США. Цифровое преступление имеет не территорию, а маршрут: оно перемещается через правовые режимы, границы, серверы и международные механизмы розыска.

Смешение технического и психологического. Scattered Spider связывают не только с техническими вторжениями, но и с социальной инженерией, давлением на людей и угрозами специалистам по кибербезопасности. Преступление здесь бьёт по системе и одновременно по доверию, по серверу и одновременно по человеческой процедуре принятия решений.

Превращение атаки в бизнес-модель. Более 100 миллионов долларов выкупных платежей показывают, что речь идёт не о романтическом хакерстве, а об индустрии, которая производит страх, простой в работе компаний, репутационный ущерб и принуждение к платежу. Поэтому Scattered Spider это не «группа хакеров» в бытовом смысле, а модель организации преступного давления, где цифровой след соединён с психологической атакой и транснациональной мобильностью.

Экстрадиция как новая карта преступления

Экстрадиция из Финляндии в США показывает, что современное киберпреступление нельзя расследовать по старой карте, где есть место преступления, местный следователь и местный суд. В новой логике место преступления распределено: один фрагмент действия находится в устройстве жертвы, второй в корпоративной сети, третий в аккаунте сотрудника, четвёртый в криптовалютной транзакции, пятый в юрисдикции, где задержали подозреваемого.

Поэтому киберкриминология должна работать как навигационная дисциплина, которая не только фиксирует факт преступления, но и восстанавливает маршрут события:

  • техническую трассу: серверы, устройства, точки входа
  • социальную трассу: переписку, психологическое давление, вербовку
  • финансовую трассу: криптовалютные транзакции, отмывание
  • коммуникационную трассу: каналы связи и переговоров
  • юрисдикционную трассу: границы, аресты, экстрадицию
  • следы сокрытия: псевдонимы, прокси, переадресацию

Если классический следователь работал с местом происшествия, то современный киберследователь работает с картой распределённого действия. В этом смысле Interpol Red Notice и экстрадиция становятся не внешними процессуальными деталями, а частью новой криминологической реальности: преступление собирается из разных пространств, и право должно уметь собрать его обратно в доказуемую конструкцию.

Библиотека как институт происхождения

На первый взгляд Libby и OverDrive находятся совсем в другой плоскости: здесь нет взлома, выкупа или экстрадиции, есть книги, аудиокниги, машинный перевод и изображения, созданные ИИ. Но именно этот кейс показывает, что проблема происхождения цифрового действия выходит далеко за пределы уголовного права.

Библиотека исторически была институтом доверия. Читатель приходил туда не просто за текстом, а в пространство, где текст прошёл культурный отбор: книга имеет автора, издателя, редактора, переводчика, дату и место в каталоге. Цифровая библиотека наследует эту функцию, но сталкивается с новым вопросом: что делать с текстом, который мог быть сгенерирован машиной, с аудиокнигой, где голос не принадлежит человеку, с переводом, который сделал алгоритм?

По сообщениям о новых функциях Libby, компания готовит фильтры, которые позволят пользователю ограничивать видимость ИИ-контента, синтетической озвучки, машинного перевода и ИИ-иллюстраций. Принципиально важно, что ставка сделана на метаданные от издателей, а не на автоматические детекторы: детектор пытается поймать машину после факта, а метаданные требуют раскрыть происхождение до момента потребления. Детектор подозревает, метаданные маркируют. Именно поэтому библиотечный кейс имеет криминологическое значение: вопрос происхождения становится универсальным, и его должны решать не только следователи, но и издатели, библиотеки, платформы, университеты и суды.

У библиотеки нет судебных полномочий, но она выступает институтом общественного доверия. У неё нет следственных функций, но она вправе требовать происхождения объекта. Она не издательство, но именно она показывает читателю, какой продукт прошёл в публичный доступ. Решение Libby и OverDrive важно как симптом: цифровая культура начинает вырабатывать маркировку вместо запрета и право пользователя знать вместо паники перед ИИ. Это зрелая позиция, потому что проблема не в самом существовании ИИ, а в том, что его участие может быть скрыто. Именно поэтому библиотечный подход к происхождению цифрового объекта может оказаться полезным и для криминалистики: там, где библиотека требует раскрытия метаданных для сохранения доверия читателя, следствие требует того же самого раскрытия для доказуемости вины.

Метаданные: новая улика и новый паспорт

Метаданные долго воспринимались как техническая второстепенность: название, автор, дата, формат, издатель. Для читателя это была справочная оболочка, для библиотекаря инструмент каталогизации. Теперь метаданные становятся правовой и культурной категорией. Если книга создана ИИ, аудиокнига озвучена синтетическим голосом или перевод сделан машиной, это должно быть указано, иначе читатель сталкивается с нарушением доверия: он думает, что получает человеческую работу, а на деле получает автоматизированный продукт, происхождение которого скрыто.

Здесь возникает новая культурная криминология: не преступление в строгом уголовном смысле, а нарушение режима доверия. Для научной статьи важно, кто автор. Для перевода важно, кто переводчик. Для аудиокниги важно, чей голос несёт смысл. Метаданные становятся одновременно новым паспортом цифрового объекта и новой уликой: в уголовном деле они могут показать время создания файла, маршрут передачи и связь между аккаунтами, а в культурном обороте, происхождение книги, голосовой дорожки или изображения. Метаданные это граница между доверием и подменой.

Преступник и автор: неожиданное сближение понятий

На первый взгляд преступник и автор находятся в противоположных мирах: преступник скрывает происхождение действия, а автор заявляет своё происхождение через подпись. Но цифровая эпоха сближает эти фигуры в одном вопросе: как доказать, кто стоит за действием? В уголовном деле нужно доказать, кто совершил вторжение. В библиотеке нужно обозначить, кто создал текст. В издательстве нужно указать, был ли ИИ автором, инструментом или техническим помощником.

Преступник стремится стереть подпись; недобросовестный производитель контента может размыть подпись; платформа может спрятаться за автоматизацией. Поэтому цифровая подпись эпохи это не только криптографическая подпись, а более широкая система происхождения, ответственности и доверия. Она должна отвечать на четыре вопроса: кто инициировал действие, каким инструментом оно произведено, кто несёт ответственность за результат и было ли происхождение честно раскрыто. Эти вопросы одинаково важны и для киберрасследования, и для библиотеки будущего.

Право при этом вынуждено различать роли гораздо тщательнее, чем раньше. В производстве контента это автор, оператор, заказчик, разработчик, издатель, платформа и выгодоприобретатель. В киберпреступности это организатор, исполнитель, технический специалист, социальный инженер, поставщик доступа, переговорщик и отмыватель средств. Цифровая эпоха разрушает простую модель «один человек, одно действие, одна ответственность» и заменяет её моделью распределённого действия и распределённой ответственности. Но распределённая ответственность не должна превращаться в её отсутствие: именно поэтому нужны цифровые паспорта объектов, надёжные метаданные, журналирование действий и правовые обязанности платформ.

Новая криминология маркировки

Можно говорить о формировании нового направления исследований, которое условно можно назвать криминологией маркировки. Его предмет не только преступление, но и нарушение происхождения, ситуации, где цифровой объект утрачивает понятного автора, оператора или ответственного субъекта. Оно складывается на пересечении нескольких дисциплин:

  • уголовное право и цифровая криминалистика
  • кибербезопасность и теория платформ
  • авторское право и издательская этика
  • библиотечное дело и культурология
  • психология доверия и теория доказательств

Его главный принцип прост: в цифровой среде отсутствие происхождения является фактором риска, не всегда преступным, но всегда значимым. Разница с обычным техническим упущением в том, что этот риск ложится на конкретного человека, читателя, инвестора, пострадавшую компанию, а не на систему в целом. Именно поэтому маркировка становится не технической опцией, а новой социальной нормой.

От цифрового следа к цифровой подписи

В криминалистике давно говорят о цифровом следе. Но след это то, что осталось после действия, а подпись то, что связывает действие с субъектом. Цифровая эпоха требует перехода от культуры следа к культуре подписи, и разницу между ними стоит показать не одной фразой, а по пунктам:

Цифровой следЦифровая подпись
Возникает после действияСопровождает действие
Может быть случайнымДолжна быть осознанной
Ищет следовательПредъявляет субъект
Отражает фактОтражает происхождение

След ищут, подпись предъявляют. В этой формуле заключён главный тезис статьи: пока право, культура и технологии учились читать следы, они не заметили, что настало время требовать подписи.

В кибербезопасности это означает, что системы должны проектироваться так, чтобы действие было трассируемым: кто вошёл, откуда, по какому праву, какая процедура дала доступ. В издательском деле это означает, что цифровой объект должен иметь паспорт происхождения: был ли ИИ автором, в какой части, кто редактировал и переводил. В библиотечном деле это означает, что пользователь должен иметь возможность выбрать режим доверия: он может читать книги, созданные ИИ, но должен понимать, что это ИИ-книги.

Заключение. Цифровая подпись как новый закон доверия

Scattered Spider показывает криминальный край проблемы: цифровой преступник стремится раствориться в сети, псевдонимах и транснациональном хаосе. Libby и OverDrive показывают культурный край той же проблемы: цифровая библиотека должна научиться показывать происхождение книги, голоса, перевода и изображения, чтобы не разрушить доверие читателя. Между этими полюсами возникает новая научная задача: криминология происхождения цифрового действия.

Её главный закон можно сформулировать так: цифровое действие, происхождение которого сознательно скрыто или не может быть установлено при значимых для общества последствиях, становится зоной риска. Это не значит, что любая анонимность противоправна: подавляющее большинство анонимных цифровых действий совершенно законны. Речь о случаях, где скрытое происхождение позволяет уйти от ответственности или подменить доверие. Если происхождение скрыто в преступлении, это способ ухода от ответственности. Если оно скрыто в культуре, это способ подмены доверия. Если оно скрыто в праве, это кризис доказательства.

Поэтому цифровая подпись эпохи это не только технический механизм, а новая форма дисциплины: она требует, чтобы преступник был установлен, автор назван, машина обозначена, а платформа ответственна. Если XX век научил криминологию искать преступника, то XXI век заставляет искать происхождение действия. Именно происхождение становится новой точкой пересечения уголовного права, цифровой криминалистики, платформенного управления и культуры доверия. Именно с этого начинается новая криминология XXI века, криминология цифровой подписи, где главный вопрос звучит уже не просто «что произошло», а кто или что произвело действие, каким способом, в чьих интересах и под чьей ответственностью.

Официальный e-mail профессора Олега Мальцева: Phd@oleg-maltsev.com