Барьеры для безопасности
От редакции
Перед выходом в свет выпуска «Форум. Телеком» верхняя палата российского парламента приняла так называемые поправки Яровой – пакет антитеррористических законов, его только осталось подписать президенту. Часть, касающаяся операторов связи и провайдеров, вызвала серьезную критику, но на полемику времени не было – законопроект прошел стремительно. Операторы связи будут хранить информацию о фактах соединений три года, а содержание переговоров и переписки – до шести месяцев. Интернет-провайдеры обязаны хранить информацию о фактах соединений один год, содержание переговоров, включая видео, – до шести месяцев. (Требования вступят в силу через два года)
Участники рынка лоббировали хотя бы смягчения жестких предложений депутата и сенатора – председателя думского комитета по безопасности и противодействию коррупции Ирины Яровой и главы комитета Совета Федерации по обороне и безопасности Виктора Озерова.
Для бизнеса эти законодательные новеллы разорительны. А учитывая, что в России хранение данных никак не назовешь идеальным с точки зрения безопасности, такой способ защиты от угроз сам по себе может стать угрозой. Президент МТС Андрей Дубовсков сказал в недавнем интервью «Ведомостям»: «Что касается сроков хранения – полгода или одни сутки, – это не избавит операторов от необходимости единовременных вложений на триллионы рублей <...> Сколько бы мы ни держали информацию в дата-центрах, чтобы отправить ее на хранение, трафик нужно сначала снять, проанализировать и рассортировать. А это технически сложная и дорогостоящая задача».
Мы уверены, что, если бы закон был принят до нашей конференции, акцент обсуждения на сессии «Защита от угроз» сместился бы в сторону этого события. Сейчас мы можем лишь поставить свой акцент: мы публикуем актуальную статью из «Ведомостей» (из № 4106 от 30.06.2016 : «Тариф «Парламентский»)
Мнения
Алексей Басов, вице-президент «Ростелекома»
Понятно, что существует огромное количество квалификаций безопасности. Давайте определим основные уровни, источники, гнезда угроз, с которыми вынуждены иметь дело операторы и их абоненты. Первое – это криминальные группировки. Существуют многолетние сложно структурированные группы людей, которые ставят целью изымание разнообразными способами денег из граждан или из корпораций. Я говорю о мошенниках, разнообразных формах фишинга, спама, вирусах и прочих организованных видах преступлений в интернете. Второй важный слой – это неэтичные бизнесы, которые работают в серой зоне. Их действия еще не квалифицируются прямо как уголовные деяния, но и потребители, и поставщики услуг понимают, что их действия привносят дискомфорт. Например, это торговля персональными данными или некорректное получение персональных данных. Это может быть избыточное рекламное давление или грубая нетаргетированная реклама, которая не должна попасть к каким-то категориям пользователей (например, детям), но попадает. Третье важное направление – я не знаю, как их назвать, пусть будут «девианты». Это люди, которые в интернете или в иных каналах коммуникации реализуют свои странные предпочтения и идеи. Все мы видели историю про суицидальные группы, когда большое количество детишек было доведено до самоубийства. Четвертый класс угроз, который необходимо выделить, – экстремизм. Все больше в мире структур, которые целенаправленно вещают на целевые аудитории свои экстремистские деструктивные идеи. Я думаю, это те классы угроз – я перечислил четыре основных, – с которыми нам приходится иметь дело.
Алексей Козлюк, член правления Ассоциации пользователей интернета
Мне кажется, одна из главных угроз происходит от наших законодателей и регуляторов. Внедрены уже десятки законов, которые носят какие-то ограничения, обременения в сфере IT, интернета, телекома. Например, когда правоприменяется закон по ограничению доступа к той или иной запрещенной информации. Ограничивается доступ не только к конкретным ресурсам, которые несут признаки, запрещенные тем или иным госорганом. Страдают не столько какие-то преступные элементы, которые распространяют наркотики в сети, призывают к суициду. Мне кажется, эта проблема слишком надуманна. Мы знаем, что сам интернет построен по таким принципам, чтобы избегать излишних блокировок: пользователи как имели доступ к запрещенным материалам, так и продолжают. А вот те сайты, которые ограничиваются «заодно», – их 1,2 млн, по нашей статистике. Следующий пример. Сейчас, скажем, обсуждается новый законопроект Яровой – Озерова об обязательном хранении данных пользователей операторами связи, интернет-провайдерами и интернет-сервисами – переписки, звонков, сообщений в течение трех лет. Если договорится отрасль на меньший срок, будет храниться полгода. Все равно будут большие риски утечек данных на черном рынке. Почему государство позволяет хранить у себя такие огромные массивы информации – это сотни эксабайт. Даже Роскомнадзор говорит об этом. Мы не будем знать, как контролировать исполнение этого закона. Физически невозможно проверить правильное хранение, правильный сбор такого рода информации. Гарантирую, что будут утечки данных в связи с правоприменением этого закона. Вот угроза обществу.
Наталья Иващенко, руководитель межотраслевой группы, «Пепеляев групп»
У нас с сентября 2015 г. вступили в силу поправки – для себя мы условно называем этот закон «о локализации персональных данных». Нам сказали: все данные, которые хранятся за рубежом, собираются в базы, будьте добры, уважаемые компании, собирать, хранить, обрабатывать в России. Как его исполнять? По тем проектам, в которых мы участвовали и помогали компаниям, мы увидели такую ситуацию. Крупные компании, холдинговые – например, у них за рубежом материнская компания или дочерняя, сестринская и др., либо компания может быть российской, но у нее разделен функционал – внутри: одна занимается продажами, другая – производством и т. д. Мы увидели, что компании внутри себя вообще не имеют полного перечня баз данных, которым они пользуются. Поэтому первое, к чему подтолкнул закон, – определить их наличие, выделить перечень и провести сортировку. Все ли данные, которые компания собирает, используются <...>
Мы знаем, что, допустим, зарубежный провайдер часто предлагает очень интересные продукты, когда позволяют через облако войти, подсоединиться к их системе. Визировать договоры в общей системе, заниматься управлением продаж. Но при этом они говорят: мы вашему российскому законодательству не подчиняемся. Что это значит? Это значит, что российская компания, по сути, незаконно передает данные. Потому что она не знает, как они будут использоваться и под какой вид использования вообще нужно спрашивать согласие. Это то, над чем нужно задумываться и регулировать эти зоны ответственности.
Дмитрий Мариничев, интернет-омбудсмен при Президенте РФ
Нигде – ни в Америке, ни в Европе, ни в России – на уровне правительства никто ничего не делает и не слышит.
В этом году мы подготовили доклад президенту в рамках уполномоченного аппарата омбудсмена, в котором самый главный пункт – написание цифрового кодекса Российской Федерации, или, даже можно сказать, цифровой конституции. Это документ, который должен описать реалии сегодняшнего дня и сформировать понимание, как цифровые технологии пронизывают нашу жизнь.
Если мы не достучимся, мы не сможем узаконить тот мир, в котором сегодня живем, а это мир цифровой, виртуальный, дополненный реальностью. Это то, что окружает нас в повседневной нашей жизни, нашей геолокации. Мы контактируем с огромным количеством объектов, субъектов, людей, законов, находящихся в другой юрисдикции. На всех континентах достаточно людей, которые прекрасно понимают технологии и прекрасно понимают реалии и вызовы сегодняшнего дня.
Пока мы не изменим ситуацию структурно, конечно же, угрозы можно будет перечислять не в рамках четырех основных групп. Можно будет загибать пальцы до бесконечности. Люди придумывают такое, что сами не используют, и бросают под ноги тем, кто это в состоянии использовать.
Хочу сказать, что не все так пессимистично. И мы уже какую-то работу ведем и есть какое-то движение в этом направлении. Мироустройство будет очень быстро изменяться. Я думаю, что это будет происходить с колоссальной скоростью, но когда это произойдет, я ответить не берусь. Может, на следующий год или через год.