Недавно в России был опубликован приказ ФСБ, с которого началась практическая реализация пакета «законов Яровой». Приказ описывает порядок предоставления держателями интернет-мессенджеров ключей шифрования, для доступа к переписке пользователей. Пока непонятно, как будет исполняться распоряжение федерального ведомства России и повлияет ли оно на Google, Facebook и другие крупные площадки. О возможных последствиях реализации приказа и необходимости контроля в интернетеDigital.Report рассказал руководитель проектов по информационной безопасности компании «КРОК» Павел Луцик.

Можно ли считать приказ ФСБ по сбору ключей шифрования реализуемым? Не является ли этот документ попыткой решить законодательную задачу лишь условно?

Действительно, далеко не все наши приказы и федеральные законы в области информационной безопасности выполняются в полной мере. Особенно в первое время, когда рынок пытается понять последствия их невыполнения. Каковы последствия в случае приказа ФСБ — пока не очень понятно. Если ФЗ-152, например, вводит конкретные штрафы и меры наказания вплоть до уголовной ответственности, то тут их пока нет. Кроме того, согласно приказу, информацию будут требовать с организаций по запросу, причем весь обмен данными с ФСБ — обычно конфиденциальный. Это значит, что о прецедентах и о том, насколько хорошо работает приказ, можно будет узнать, скорее всего, только в кулуарных беседах. На данный момент приказ сформирован в довольно общей форме, и многие ждут его детализации.

Как вы считаете, почему в приказе ФСБ фигурируют только российские компании, а действительно серьезные держатели платформ по передаче сообщений — Facebook, Telegram не указаны? Получается, что российские компании дискриминированы?

На самом деле ни в приказе ФСБ, ни в ФЗ-149, нет классификации на российские и иностранные компании. Приказ должен действовать на всех, кто попадает под российскую юрисдикцию. В данном случае он распространяется на всех «организаторов распространения информации в интернете», которые оказывают услуги на территории России, включая Facebook и Telegram. Так что не думаю, что российские компании дискриминированы. Скорее всего, приказ будет лишь дополнительным формальным рычагом воздействия на отдельные наиболее интересные спецслужбам компании. И станет еще одним шагом в сторону глобальной тенденции повышения контроля в интернет-пространстве внутри страны.

Российские законодатели время от времени пытаются навязать свои правила игры Facebook и Google. Однако западные компании успешно игнорируют новые законодательные требования без последствий. Могут ли в российском правительстве найти реальные рычаги влияния на крупные ИТ-конгломераты?

Скорее всего, еще активнее будут развиваться технологии децентрализации (peer-to-peer) использования криптографических ключей.

Скорее всего, реальные рычаги влияния выявляются путем обсуждения условий сотрудничества. Но в целом не думаю, что это связано с целенаправленным навязыванием правил иностранным ИТ-конгломератам. Если ФЗ-242 требовал, довольно проблематичного для иностранных гигантов, переноса всей (или хотя бы части) ИТ-инфраструктуры на территорию России, то, если говорить конкретно о последнем приказе ФСБ, с технической точки зрения тут все проще. Ключи — это всего лишь файлы, а значит их предоставление не потребует тех затрат, как в случае с переносом персональных данных.

Если представить, что приказ ФСБ будет работать эффективно, к чему это приведет?

Фактически мы можем вернуться к интернету на http, то есть все то, что уходит на сервера, фактически будет уходить в открытом для спецслужб виде. Однако, если это действительно будет использовано на защиту общества, то не вижу в этом ничего плохого.

Известно, что любые попытки контролировать какие-то интернет-технологии приводили к разработке более совершенных технологий, неподконтрольных властям. Может ли «пакет законов Яровой» ускорить развитие новых технологий шифрования и секретной передачи данных?

Да, не исключаю такой возможности. Скорее всего, еще активнее будут развиваться технологии децентрализации (peer-to-peer) использования криптографических ключей. При таком подходе перехват ключа дает возможность читать переписку только двух людей, но не более. Как следствие — возможен уход от SSL шифрования с серверной аутентификацией по сертификатам, когда единый набор ключей и сертификат сервера используется для организации связи всех клиентов с сервером. Наличие такого набора ключей потенциально дает возможность получения доступа к данным всех подключающихся к серверу пользователей.

В целом интернет уже давно стал некой параллельной реальностью, которая в отличие от нашей обыденной жизни, практически не контролируется.

Ваше мнение — нужно ли контролировать переписку пользователей в интернете? Действительно ли этот шаг сделает жизнь людей безопаснее?

Насколько я знаю, для контроля за действиями пользователей даже выдвигались идеи для входа в интернет по паспорту — таким образом появлялась бы возможность привязки трафика к конкретному человеку. Например, схожим образом это реализуется в московском метро, где активации аккаунта для доступа к в wi-fi происходит по номеру сотового телефона. Подобные инициативы последнее время появляются и в других странах, например, в США, Китае и Испании. В целом интернет уже давно стал некой параллельной реальностью, которая в отличие от нашей обыденной жизни, практически не контролируется. Причем информации там, гораздо больше, нежели в обычной жизни. Поэтому некие рычаги контроля у спецслужб, как я считаю, должны быть. Тем более, если это сможет защитить от террористов и пр. Единственное — важно обеспечить защиту частной информации, чтобы она не попала в третьи руки. Этот вопрос довольно тонкий и его, безусловно, нужно прорабатывать на уровне законодательства.

Почему все государства понимая, что у интернета нет границ, продолжают попытки локального регулирования? Неужели невозможно выработать международный свод законов, который будут вынуждены принять все ИТ-компании в мире?

Люди хотят обезопасить в первую очередь свою личную жизнь от знакомых, либо сохранить корпоративную тайну, чтобы она не ушла к конкуренту.

Каждая страна живет по своим правилам, в том числе и работы в интернете, и достигает с их помощью каких-то своих интересов. Поэтому выработать единые законы довольно сложно, разве что очень общего характера. Например, не так давно у нас в стране проходили киберучения по действиям в случае отключения глобального интернета и небезосновательно. Еще в 2010 году США пытались создать «красную кнопку» по отключению конкретных государств от интернета, передаваемую в чрезвычайной ситуации в руки американского президента. И хотя законопроект «о красной кнопке» так и не был принят, но все-таки такая возможность открыто американцами прорабатывалась. Главная задача наших властей в данном случае — обеспечить сохранение автономного режима работы локального интернета несмотря ни на что. В том числе на эти же цели сейчас направлено и местное законодательное регулирование.

Почему программные продукты, гарантирующие приватность переписки, сегодня очень популярные? Неужели миллионы загрузок приложений — это террористы и преступники, которым есть что скрывать?

Люди хотят обезопасить в первую очередь свою личную жизнь от знакомых, либо сохранить корпоративную тайну, чтобы она не ушла к конкуренту. Именно для этого по большей мере используются программные продукты, гарантирующие приватность переписки.

Возможно ли появление в будущем законов и инициатив, которые прямо лишат людей права на приватность личной информации? Например, под предлогом активной борьбы с терроризмом? К чему это приведет?

Вряд ли это произойдет, процент зашифрованного контента в интернете ежегодно растет и сейчас по разным данным составляет от 20% до 50%. Поэтому шифрование с использованием SSL вряд ли запретят. Другое дело, что прослушивание трафика спецслужбами может быть воспринято обществом как нарушение права на приватность. Однако, как я сказал выше, если в результате удастся избежать теракта, либо иного противоправного вторжения, подобные меры могут быть оправданы.

О компании

КРОК работает на ИТ-рынке c 1992 года и сегодня входит в топ-10 крупнейших ИТ-компаний и топ-3 консалтинговых компаний России. Компания лидирует на рынке ИТ-аутсорсинга, управления приложениями, в сегментах BI- и ERP-решений, на рынке систем электронного документооборота (СЭД), в области телекоммуникаций и видеоконференцсвязи, а также комплексных проектов построения инфраструктуры ЦОДов, зданий и сооружений.

Источник: https://digital.report/ekspert-po-informatsionnoy-bezopasnosti-protsent-zashifrovannogo-kontenta-v-internete-ezhegodno-rastet/