Сервер за решеткой: ФСБ разработала правила криптозащиты данных

21
ПОДЕЛИТЬСЯ
Сервер за решеткой: ФСБ разработала правила криптозащиты данных
Фото: ИТАР-ТАСС
ФСБ России объяснила, что необходимо делать для защиты персональных данных: компаниям и их клиентам нужно использовать сертифицированные службой средства, которых не существует для многих популярных устройств, например, для iPhone. При этом серверы с криптозащитой необходимо на ночь опечатывать в зданиях с решетками на окнах. Все эти условия невыполнимы для большинства интернет-компаний.

Финальный проект приказа ФСБ опубликован на сайте regulation.gov.ru. Использование средств шифрования зависит от уровня угрозы безопасности данных, прописанных в законе №152-ФЗ «О персональных данных»: этот уровень каждая организация, которая работает с персональными данными, оценивает для себя сама.

Если компания все-таки захочет использовать средства шифрования, ей, согласно проекту приказа ФСБ, придется использовать только сертифицированные этой службой средства криптографии.

Сертификат получают только те технические средства, которые реализуют отечественные криптоалгоритмы, содержащие закладку для доступа спецслужб — их не поддерживают ни Android, ни iOS (операционная система от Apple). К тому же эти средства криптографии платные — например, «КриптоПРо CSP» стоит около 1,8 тыс руб. за один компьютер.

Приказ также прописывает требования к защите от вторжений в помещения, в которых находится сервер криптозащиты: придется «оборудовать окна и двери… металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения».

Специалисты по инфобезопасности считают, что новые правила почти невыполнимы. По словам эксперта по безопасности крупной международной корпорации Алексея Лукацкого, не существует сертифицированных ФСБ средств криптографии для интернет-магазинов и систем кабельного телевидения. Для большинства операторов персональных данных таких средств действительно нет, соглашается ведущий эксперт по инфобезопасности компании Infowatch Андрей Прозоров.

Сама процедура сертификации ФСБ так устроена, что сертификат получают конкретные версии систем шифрования, а потому их пользователи «почти никогда не получают адекватных и быстрых обновлений», сетует директор по маркетингу компании по инфобезопасности Zecurion Александр Ковалев.

Лукацкий говорит, что в результате крупные госпроекты уже сейчас приуменьшают уровень угроз и просто предупреждают пользователей о пересылке данных в незашифрованном виде, чтобы не было необходимости использовать сертифицированные ФСБ средства шифрования. Именно так сейчас работает сайт Gosuslugi.ru и сервис продажи билетов на поезд на сайте РЖД, заявил он.

Проект приказа ФСБ предписывает, что съемный носитель с персональными данными пользователей нужно хранить в нерабочее время в специальном сейфе, но только если эти данные незашифрованы. Если же их шифруют, то сервер с системой криптографии должен работать в здании, защищенном от вторжения — с решетками, ставнями или системами сигнализации на окнах верхних и нижних этажей, а также на пожарных лестницах.

По словам Лукацкого, для интернет-магазинов это просто неосуществимо — они работают круглосуточно. «Никто в здравом уме, если это не какая-то реальная гостайна, не будет доставать из компьютера жесткий диск и класть его в сейф», — уверен Ковалев.

Эксперты считают, что проблема в самом подходе ФСБ к проблеме инфобезопасности. Лукацкий ожидает, что после того как приказ ФСБ вступит в силу, организации попробуют работать как раньше.

После прохождения независимой антикоррупционной экспертизы, которая закончится 5 июня, приказ должен подписать директор ФСБ Александр Бортников. Он вступит в силу через пару месяцев после того как его утвердит Минюст.

Источник: РБК

21 КОММЕНТАРИИ

  1. 8.6.2014

    Роскомнадзор и ФСБ подготовили проекты подзаконных актов, разъясняющие, какую информацию должны будут хранить интернет-компании о своих пользователях и какие сайты будут обязаны регистрироваться в Роскомнадзоре, а какие — нет. Об этом vedomosti.ru рассказали несколько участников рабочей группы при Минкомсвязи, на заседании которой обсуждались эти документы.
    Через два месяца, 1 августа, в России начнет действовать так называемый антитеррористический пакет поправок в законодательство. Сейчас по закону компании обязаны предоставлять данные о личности пользователя и его активности в сети только по решению суда. Но прокуратура довольно часто напрямую обращается с подобными запросами к сервисам — и часть компаний на них отвечает. Новые нормы обязывают интернет-компании в течение полугода хранить данные о своих пользователях и по первому требованию передавать их уполномоченным органам, которые ведут оперативно-разыскную деятельность.
    Какую именно информацию хочет получать государство от интернет-компаний, впервые расписано в регламенте ФСБ. Из документа следует, что правоохранительным органам нужна практически вся информация о действиях пользователя в сети. Это идентификатор пользователя (логин), все адреса электронной почты (как основной, так и той, что используется для переадресации), список всех его контактов, категории контактов (друзья, подписчики), количество и объем полученных и переданных пользователем сообщений, все изменения в аккаунте и попытки его удаления.

    Делиться со спецслужбами надо будет и данными о том, когда и какие именно страницы соцсетей, интернет-форумов, блогхостингов посещают пользователи. Государство интересуют даже названия устройств, с которых выходит в интернет пользователь, и какие программы и DNS-серверы при этом использует. Спецслужбы решили, что также им необходим доступ к данным о платных услугах, которые пользователи приобретают у интернет-компаний, включая сумму и название платежной системы.

    http://www.vedomosti.ru/companies/news/27285971/runet-pod-lupoj

  2. Основатели шотландской компании MaidSafe создали аналог Интернет — cеть SAFE, защищённую от слежки правительств и хакеров, пишут Новости ИТ

    Новый мировой интернет на принципах Bitcoin показывает ошеломительный успехИдея этой сети заключается в использовании существующей сети Интернет, однако хранение информации в ней осуществляется децентрализовано: не на сторонних серверах провайдеров, а на компьютерах пользователей. Каждый, кто использует эту сеть, предоставляет свой жёсткий диск, чтобы хранить зашифрованные пользовательские данные.

    Система SAFE по своей организации напоминает работу криптовалюты Bitcoin. Когда один из пользователей размещает файл в сети SAFE, он произвольным образом нарезается на небольшие фрагменты, данные в которых шифруются и отправляются на несколько случайных компьютеров по всему миру.

    Поскольку компьютеры пользователей могут отключаться и не быть в сети, система поддерживает 4 одновременных копии фрагмента в разных местах. Где именно располагаются данные, решает сама сеть, и даже создатели MaidSafe не могут узнать конечного хранителя файлов.

    Более того, использование децентрализованной структуры SAFE предполагает, что чем больше пользователей подключится к сети, тем быстрее будут открываться сайты с популярной информацией.

    Популярный контент, который запрашивают чаще, будет доступен ещё быстрее, проводя своеобразное ранжирование сайтов, в отличие от обычного Интернета, где увеличение нагрузки замедляет открытие страниц и приложений.

    Сеть SAFE не может быть подвергнута цензуре со стороны правительств: в отличие от WWW, она не использует DNS-систему, которая управляет адресами сайтов. Кроме того, SAFE может использоваться в качестве механизма для проведения электронных выборов, где невозможно подтасовать количество голосов на центральном сервере.

    Поскольку в системе нет серверов сторонних организаций, SAFE экономит существенные средства на аренде. Сторонние лица не смогут получить доступ к данным, так как ключи для их расшифровки будут находиться только у самих пользователей, а отсутствие центрального сервера будет означать невозможность организации DDoS-атаки.

    Чтобы профинансировать создание SAFE, основатели MaidSafe выпустили собственную криптовалюту Safecoin. Проект оказался настолько успешным, что 10 процентов всего оборота сейфкоинов было продано в течение первых же пяти часов, позволив компании выручить около 6 миллионов долларов.

    Остальные 90 процентов криптовалюты станут доступными для обращения в режиме бета-тестирования, начать которое в MaidSafe планируют к сентябрю 2014 года.

  3. 1. ГОСТовое шифрование поддерживает голый openssl начиная с 1.0.0.
    2. Есть сертифицированный вариант openssl, название приводить не буду, народ скор вешать ярлыки по поводу рекламы. Кому надо — сам найдёт, компания российская.
    3. Насчёт закладки для доступа спецслужб — занятно, но в документах я что-то такого не видел… если у кого есть детали — поделитесь, пожалуйста, интерес чисто профессиональный.
    4. Работа с персональными данными в первую очередь актуальна для гос. структур и банковского сектора, так что первые проблемы начнутся именно там.

    В общем, кто хочет найти выход — всегда его найдёт.

    Я лично буду только рад если с меня меньше начнут требовать мои данные для заполнения всяких дебильных анкет и пр. фигни, без которой по мнению многих невозможно оказывать сервис того или иного рода. Не можете хранить — не храните, работайте без них %).

  4. Одно непонятно в этой картине: зачем бизнесу и крупному капиталу оставаться в России, если с ними ведется открытая война? С 2011 года сколько уже народа грамотного свалило, сколько миллиардов долларов утекло — это все безусловные победы и заслуги чиновников. Сопротивление бесполезно, идет похоже реконструкция СССР под контролем госкорпораций и системной бюрократии. Стало быть никакого успешного рынка здесь не разовьется, и разумные бизнесмены давно это уже поняли.

    • Да, происходит активная, и я бы даже сказал целенаправленная селекция для создания полностью зависимого от властей и контролируемого общества. В котором государство (картель чиновников) — настоящий владелец всего и источник всей благодати, а никаких хоть сколько-нибудь независимых от него экономических или политических сил вообще не существует. Еще 10 лет назад я бы рассмеялся в лицо тому, кто бы мне сказал, что возможна реставрация позднесоветского общества (возможно, с небольшими послаблениями). Последние годы, уже совсем не до смеха.

      • «Да, происходит активная, и я бы даже сказал целенаправленная селекция»> Я бы уточнил, не происходит, а уже произощла и кажется окончатльно и без поворотно.
        Не (картель чиновников), а класс паразитов.

  5. А причём здесь зона ru? Предположим у кого то есть компьютер с зашифрованной информацией, которую не может прочитать ФСБ. Значит он нарушитель закона?

    • будет примерно так, пока начали с юр.лиц, потом и до граждан доберутся ибо «Честному человеку неху… скрывать»

  6. >> Эксперты считают, что проблема в самом подходе ФСБ к проблеме инфобезопасности. Лукацкий ожидает, что после того, как приказ ФСБ вступит в силу, организации попробуют работать как раньше.
    Вот главная цель и смысл этого закона — еще одна возможность стричь любого, ведь в законе быть совсем нереально или не оправдано дорого.

  7. Да, с головой у них явно не в порядке.. Будет массовый уход бизнеса из «зоны» ru и очередной виток в развитии VPN

  8. ГБ пытается оправдать своё бессмысленное существование в интернете. Как результат — российский хостинг умрет даже быстрее, чем мы думаем.

    • В ru «зоне» — останутся только гос сайты, мыло, яндекс, и спутник, — их новый соглядатай поисковичок ))

      • Зоны ru не было раньше, если ее не будет какая разница. Многи просто и не заметят. Вот вопрос — кто сейчас пользуется зоной su? Она по прежнему существут…

    • Ииииигорь, размещайте просто голую уoutube-ссылку на отдельной строке, тогда она будет правильно вставляться в коммент.

      • Ну как же ж, голую… ну если вы не возражаете, и дети особенно на этот ресурс не заходят, ну добро, голую так голую. Спасибо

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here