НовостиОбзорыСобытияIT@WorkРеклама
Безопасность:

Блог

Как обстоят дела с защитой данных пользователей от "правительственного отслеживания" в России?

Тема защиты информации пользователей (в том числе в процессе передачи ее по коммуникационным сетям) от правительственного шпионажа (government snoopin)присутствует в наших СМИ постоянно, но, кажется, почти на 100% она рассматривается исключительно применительно к зарубежной действительности, но никак не нашей, местной. И это при том, что всем понятно, что главные угрозы (что информационные, что силовые) представляют именно те, кто находится рядом, а не за тридевять земель. Кого волнует то, что ваши деловые планы станут известны кому-то в далекой Австралии, а вот, если о них узнает конкурент в вашем городке…

В целом понятно, что полностью защитить частную информацию от правительства невозможно: для того люди и придумали такую структуру как "государство", чтобы иметь обеспечить возможность в случае необходимости общественные интересы могли становиться в какой-то момент выше частных. Другое дело, что общество всегда было весьма озабочено тем, чтобы общественные и частные интересы согласовывались на некотором оптимальном уровне и при обеспечивалась законность в этих вопросах.

Позицию мировой отрасли в этом деле достаточно хорошо сформулировала еще в конце прошлого года Microsoft: "правительства имеют право использовать только законные методы доступа к пользовательским данных, но не вправе применять «хакерские» способы". Соответственно, ИТ-поставщики оставляют за собой полное право защиты от хакерских методов, в том числе в исполнении правительства.

Если же говорить о взаимодействии частных компаний и правительства в деле обеспечения национальной безопасности, то тут, наверное, стоит выделить два основных аспекта

1. Как именно выглядят законные способы такого взаимодействия?
2. В какой степени реальное взаимодействие происходит именно в рамках закона?

Про то, как оба эти вопроса выглядят "у них" нам известно, на самом деле, не так уж много. Но тем не менее, о случаях физического захвата серверов и баз данных в стиле "маски-шоу" информация применительно к компаниям практически неизвестно. Но известно о том, что Microsoft уже почти полгода судится с некой правительственной спецслужбой по поводу предоставления персональных данных своего клиента. Да, в СМИ периодически публикуются статьи с обвинениями ведущих ИТ-игроков (Microsoft, Google) в незаконном сотрудничестве со спецслужбами, но все это рассказывается на уровне слухов. Разумеется, такие сценарии нельзя исключать, но при этом нужно понимать, что для глобальных компаний такие варианты взаимодействия являются крайне рискованными: в случае подтверждения таких фактов, они могут быстро превратиться из лидеров в банкротов…

А что известно о российской практике? Об этом у нас почему не принято говорить даже в кулуарных разговорах. Знающие же люди обычно лишь с усмешкой комментируют законодательные инициативы наших депутатов по обеспечению защиты частной информации, открыто намекая, что "те кому надо" знают все и без того: при наличии законов или при их отсутствии.

Тем не менее в качестве отклика на одну из своих публикаций я получил такое сообщение (не анонимное, но автор не хотел бы публично раскрывать себя):

РФ все гораздо проще. У операторов есть СОРМ (вернее он на деньги операторов но для ФСБ). Теперь не получается избегать установки СОРМ - затягивая орг мероприятия по его установки и перенося сроки в согласованном плане с ФСБ. А наличие СОРМа подразумевает зеркалирование трафика с опорных коммутаторов. А что с ним дальше происходит - уже оператор не знает. Плюс есть еще одна особенность работы в РФ - данные(логи) правоохранителям предоставляются просто по запросу (кто-бы что не рассказывал, но иногда довольно формально), иногда по телефонному звонку, если опера очень-очень просят...

Впрочем информация о СОРМе – это вовсе не новость и не секрет. Можно набрать с Google поисковый запрос "СОРМ ФСБ" и выполучите много ссылок. Вот что написано по этому  поводу в Вики:



Вот еще оттуда же:

Всем операторам связи в России предъявляются требования согласования плана мероприятий по внедрению «СОРМ», в противном случае их лицензия может быть аннулирована.
В соответствии со статьёй 23 Конституции России ограничение тайны связи допускается только по решению суда. В то же время в законе упоминается возможность использования СОРМ до решения суда, «в случаях, установленных федеральными законами».
Есть еще такое забавное положение:

Кроме того, сотрудник ФСБ или МВД должен только получить ордер, но не предъявлять его оператору связи, которому запрещается требовать этот документ при отсутствии со своей стороны допуска к государственной тайне.

В пятницу слышал выступление какого эксперта по радио, где ему задали вопрос как раз про СОРМ. Он сказал, что СОРМ-1 (прослушка телефонных разговоров) работает хорошо, технология отрабатывается с конка 70-х, а вот с СОРМ-2 (контроль именно Интернета) - "так себе"...

В общем, было интересно узнать: а как отношения операторов связи со спецслужбами строятся "у них"? Какая у них законодательная база?
И – все же происходит в рамках именно закона – и у них, и у нас?
Артюков Владислав
В рамках СОРМ-2 провайдер предоставляет доступ даже к финансовой информации по абоненту - состояние счета, движение по счету.

Разумеется, без процедуры получения формального разрешения.
Колесов Андрей
М-да... :(  
Полионов Вячеслав
НБПТ-БНДШ!