НовостиСобытияКонференцииФорумыIT@Work
Безопасность:

Блог

Как обстоят дела с защитой данных пользователей от "правительственного отслеживания" в России?

Андрей Колесов
11.08.2014 14:34:23

Тема защиты информации пользователей (в том числе в процессе передачи ее по коммуникационным сетям) от правительственного шпионажа (government snoopin)присутствует в наших СМИ постоянно, но, кажется, почти на 100% она рассматривается исключительно применительно к зарубежной действительности, но никак не нашей, местной. И это при том, что всем понятно, что главные угрозы (что информационные, что силовые) представляют именно те, кто находится рядом, а не за тридевять земель. Кого волнует то, что ваши деловые планы станут известны кому-то в далекой Австралии, а вот, если о них узнает конкурент в вашем городке…

В целом понятно, что полностью защитить частную информацию от правительства невозможно: для того люди и придумали такую структуру как "государство", чтобы иметь обеспечить возможность в случае необходимости общественные интересы могли становиться в какой-то момент выше частных. Другое дело, что общество всегда было весьма озабочено тем, чтобы общественные и частные интересы согласовывались на некотором оптимальном уровне и при обеспечивалась законность в этих вопросах.

Позицию мировой отрасли в этом деле достаточно хорошо сформулировала еще в конце прошлого года Microsoft: "правительства имеют право использовать только законные методы доступа к пользовательским данных, но не вправе применять «хакерские» способы". Соответственно, ИТ-поставщики оставляют за собой полное право защиты от хакерских методов, в том числе в исполнении правительства.

Если же говорить о взаимодействии частных компаний и правительства в деле обеспечения национальной безопасности, то тут, наверное, стоит выделить два основных аспекта

1. Как именно выглядят законные способы такого взаимодействия?
2. В какой степени реальное взаимодействие происходит именно в рамках закона?

Про то, как оба эти вопроса выглядят "у них" нам известно, на самом деле, не так уж много. Но тем не менее, о случаях физического захвата серверов и баз данных в стиле "маски-шоу" информация применительно к компаниям практически неизвестно. Но известно о том, что Microsoft уже почти полгода судится с некой правительственной спецслужбой по поводу предоставления персональных данных своего клиента. Да, в СМИ периодически публикуются статьи с обвинениями ведущих ИТ-игроков (Microsoft, Google) в незаконном сотрудничестве со спецслужбами, но все это рассказывается на уровне слухов. Разумеется, такие сценарии нельзя исключать, но при этом нужно понимать, что для глобальных компаний такие варианты взаимодействия являются крайне рискованными: в случае подтверждения таких фактов, они могут быстро превратиться из лидеров в банкротов…

А что известно о российской практике? Об этом у нас почему не принято говорить даже в кулуарных разговорах. Знающие же люди обычно лишь с усмешкой комментируют законодательные инициативы наших депутатов по обеспечению защиты частной информации, открыто намекая, что "те кому надо" знают все и без того: при наличии законов или при их отсутствии.

Тем не менее в качестве отклика на одну из своих публикаций я получил такое сообщение (не анонимное, но автор не хотел бы публично раскрывать себя):

Цитата
РФ все гораздо проще. У операторов есть СОРМ (вернее он на деньги операторов но для ФСБ). Теперь не получается избегать установки СОРМ - затягивая орг мероприятия по его установки и перенося сроки в согласованном плане с ФСБ. А наличие СОРМа подразумевает зеркалирование трафика с опорных коммутаторов. А что с ним дальше происходит - уже оператор не знает. Плюс есть еще одна особенность работы в РФ - данные(логи) правоохранителям предоставляются просто по запросу (кто-бы что не рассказывал, но иногда довольно формально), иногда по телефонному звонку, если опера очень-очень просят...


Впрочем информация о СОРМе – это вовсе не новость и не секрет. Можно набрать с Google поисковый запрос "СОРМ ФСБ" и выполучите много ссылок. Вот что написано по этому поводу в Вики:



Вот еще оттуда же:

Цитата
Всем операторам связи в России предъявляются требования согласования плана мероприятий по внедрению «СОРМ», в противном случае их лицензия может быть аннулирована.
В соответствии со статьёй 23 Конституции России ограничение тайны связи допускается только по решению суда. В то же время в законе упоминается возможность использования СОРМ до решения суда, «в случаях, установленных федеральными законами».

Есть еще такое забавное положение:

Цитата
Кроме того, сотрудник ФСБ или МВД должен только получить ордер, но не предъявлять его оператору связи, которому запрещается требовать этот документ при отсутствии со своей стороны допуска к государственной тайне.


В пятницу слышал выступление какого эксперта по радио, где ему задали вопрос как раз про СОРМ. Он сказал, что СОРМ-1 (прослушка телефонных разговоров) работает хорошо, технология отрабатывается с конка 70-х, а вот с СОРМ-2 (контроль именно Интернета) - "так себе"...

В общем, было интересно узнать: а как отношения операторов связи со спецслужбами строятся "у них"? Какая у них законодательная база?
И – все же происходит в рамках именно закона – и у них, и у нас?

Комментариев: 6

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

11.08.2014 17:28:56

Хочу добавить, что у сотрудников МВД практически нет шансов получить доступ к данным СОРМ. ФСБ и только ФСБ.

12.08.2014 09:48:37

Говорить о законности в отношении СОРМ-2 можно только с улыбкой.

Конечно, при использовании СОРМ-2 требуется формальное разрешение на доступ к содержимому сообщения. Но не требуется для доступа к служебной информации, содержащейся в любом электронном почтовом сообщении. Таким образом, не требуется формального разрешения для доступа к таким параметрам, как время, отправитель сообщения, цепочка почтовых серверов (по которой прошло сообщение).

12.08.2014 09:53:18

С какой улыбкой можно говорить? С такое smile:) или такой smile:( ?

12.08.2014 09:58:59

В рамках СОРМ-2 провайдер предоставляет доступ даже к финансовой информации по абоненту - состояние счета, движение по счету.

Разумеется, без процедуры получения формального разрешения.

12.08.2014 10:21:56

М-да... smile:(

13.08.2014 17:55:18

НБПТ-БНДШ!

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии