НовостиСобытияКонференцииФорумыIT@Work
Безопасность:

Блог

Можно ли укрыть свои данные от "тех, кому надо"?

Андрей Колесов
28.04.2014 10:05:30

Вчера информационные агентства распространили сообщение, суть которого сводится к следующему:

======================================
Некоторое время назад спецслужбы США (какие именно на называется0 потребовали от Microsoft выдать им информацию об электронной переписке некоего иностранного (не гражданина США) гражданина. Microsoft отказалась сделать выполнить требование, мотивируя это тем, что эти данные хранятся на серверах вне США (в Дублине в данном случае). Спецслужба обратилась в суд и вот сейчас стал известно о его решении:
Федеральный судья Джеймс Френсис в Нью-Йорке решил встать на сторону властей страны.

Таким образом, создан судебный прецедент, который автоматически будет применяться для всех решений в подобных случаях. Это означает, что американские интернет-компании обязаны по запросу спецслужб передавать им информацию о своих пользователях, хранящуюся не только внутри страны, но и за её пределами.

Правда, Microsoft уже сообщила, что намерена добиваться пересмотра дела, в борьбе за безопасность личных данных своих клиентов.
===========================================


Давайте, теперь попробуем подвести некоторые итоги из публикации этой новости, вызвавшей вчера довольно активные обсуждение в сообществе продавцов облаков, которые вполне резонно обеспокоены, что она вызовет спад продаж облачных сервисов заграничного размещения.

1. Лично я не увидел в этом новости ничего удивительного. Все вполне логичного и ожидаемо. Я думаю, что MS изначально знала, что проиграет дело, но ей оно нужно было, чтобы показать себя "борцом за безопасность данных персональных данных.

2. И, кстати, она действительно показала себя таким борцом, поскольку действительно боролась: не просто передала данные по телефонному звонку от "специального агента", а делает это по решению суда. А решение суда – это высшая инстанция. Т.е. компания боролась до конца.

3. Я думаю, что всем нам нужно четко понять, что такое безопасность наших данных (и не только данных). Эта безопасность абсолютно точно не распространяется на случаи законно оформленные требований или действий властей (тех органов, кого государство наделило такими правами) получить нужные от организации или человека сведения или вещи.

Но тут нужно подчеркнуть, чем в данном случае обеспечивается безопасность:
А) такие действие выполняются только на законных основаниях (или уже принятые законы, или решение суда)
б) такие сведение не становятся публичными и используются только в рамках того дело, по которому было принято решение.

4. Обратим внимание еще на один важный момент: каким именно образом органы могут получить инфо от провайдера. Есть два основных варианта

- потребовать от провайдера предоставление нужно инфо (послать запрос и получить ответ)
- получить инфо собственными методами, например, приехав в ЦОД и физически забрать нужное оборудование, или опечатав весь ЦОД, или получить доступ в инфо некоторые хакерскими методами (но, повторю, на законных основаниях).

5. Далее возникают непростые вопросы национальной юрисдикции в условиях глобализации. А именно: какие власти какой именно страны в каким данным получат данные.

Представляется вполне очевидным, сервис-провайдер находится под юрисдикцией (проще говоря – зарегистрирована) данной страны, то все данные этого провайдера находятся по контролем данной страны. В данном случае, все данные Microsoft контролируются властями США.
Вполне очевидно, что это не зависит от того, данные граждан каких стран там хранятся и в какой точки мира.

Но тут нужно обратить внимание на такой момент: ФБР (к примеру) может потребовать сведения от MS (вариант "а"), но не может физически забрать сервера из Дублина (вариант "б").

А вот полиция Ирландии, как раз наоборот: не может потребовать от MS сведение (потребовать может, но не получит), а вот забрать физически сервера – вполне ей по силам.

То есть тут возникает довольно любопытная коллизия, когда логические данные доступы по месту "регистрации" компании, а физические данные – под месту размещения оборудования.

6. Вообще-то, ситуация не нова. Все это уже проходилось на примерах банковской системе, обеспечение безопасности данных о счетах клиентов.
Насколько я знаю, дольше всех тут держалась Швейцария, в которой на законодательном уровне банкам было ЗАПРЕЩЕНО выдавать инфо кому бы то ни было. Но обратите внимание – это положение было закреплено на государственном законодательном уровне (чуть ли не в Конституции).

И, кстати, именно поэтому во многих странах (в том числе в России) на территории страны могут действовать только исключительно банки, находящиеся в юрисдикции данной страны.

Сделаем выводы
1. Любые сведения, хранимые, где бы то ни было, могут быть на законных основаниях получены властями той или иной страны
2. Но не любой страны, а той, которая именно на это законные основания.
3. Какой именно стране вы больше доверяете, и какой вы меньше опасаетесь – решайте сами.
4. Нужно еще учитывать, что уровень законности в разных странах различен. Кроме законные методов доступа можно использовать и не очень законные…

Комментариев: 0

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии