Закон Яровой не требует сертифицировать шифрование в мессенджерах
ФСБ объяснила, что сертифицированное шифрование нужно лишь при защите гостайныСредства шифрования сообщений в интернете можно будет не сертифицировать - если, конечно, сообщения не содержат государственной тайны. Об этом говорится в разъяснении Федеральной службы безопасности (ФСБ) к одной из антитеррористических поправок депутата Ирины Яровой и сенатора Виктора Озерова.
Поправка предусматривает административный штраф за использование несертифицированных средств шифрования при передаче сообщений в интернете, если закон предусматривает их сертификацию. Для граждан штраф составлял от 3000 до 5000 руб., для должностных лиц - от 15 000 до 30 000 руб., а для юридических лиц - от 60 000 до 300 000 руб.; не исключал закон и конфискацию средств связи.
В проекте антитеррористических поправок Яровой и Озерова, поданном в Думу в апреле этого года, требования сертификации не было. Оно появилось в тексте документа ко второму чтению 22 мая и прошло в итоговый вариант закона, одобренный Думой двумя днями позже, следует из думской базы нормативных документов. Совет Федерации утвердил его 29 июня. А 7 июля президент Владимир Путин подписал пакет антитеррористических поправок, внесенных в Госдуму. Президент поручил правительству и ФСБ подготовить нормативные документы, связанные с законодательными нововведениями, среди прочего обратив внимание и на передачу сообщений с помощью несертифицированных средств шифрования.
Шифрование защищает информацию путем сложных математических преобразований, делая ее доступной лишь обладателям нужных ключей. Сейчас то или иное шифрование защищает большинство передаваемой информации, будь то сообщение в мессенджере, веб-страница или трафик между двумя сетевыми устройствами. Таким образом, шифрованием пользуются не только корпорации или государственные структуры, но и обычные пользователи, например смартфонов и интернета, часто сами о том не подозревая.
Разъяснение ФСБ не касается массовых интернет-cервисов, и в этом его смысл - оно подчеркивает обязательность сертификации шифрования лишь в случае работы с гостайной или в других установленных законом случаях, объясняет профильный федеральный чиновник. Таких сценариев около 40, вспоминает эксперт по безопасности компании Cisco Алексей Лукацкий. Например, по закону обязательно должны быть сертифицированы средства шифрования, защищающие государственные информационные системы и системы коммерческих компаний, обменивающиеся информацией с госорганам, перечисляет он самые популярные сценарии. Кроме того, сертифицированными средствами шифрования должны пользоваться разработчики игровых автоматов, добавляет он.
По словам Коростелева, до выхода разъяснения ФСБ законодательные инициативы нечетко обрисовывали круг организаций, обязанных пользоваться сертифицированными средствами шифрования. С ним соглашается гендиректор интегратора в области информационной безопасности «Ангара» Сергей Шерстобитов, по мнению которого пункт закона Яровой о сертификации средств шифрования сообщений в интернете мог касаться любых систем, использующих функции кодирования и шифрования.
Сертификация средства шифрования означает, что оно удовлетворяет специальным требованиям ФСБ, объясняет менеджер по маркетингу продуктов компании «Код безопасности» (выпускает средства защиты информации) Павел Коростелев. В структуре ФСБ есть специальный центр по лицензированию, сертификации и защите государственной тайны, который занимается аккредитацией испытательных лабораторий. Согласно информации на сайте ФСБ в России 48 таких лабораторий. Как правило, сертификация - это длительная и дорогостоящая процедура, самая дешевая из которых стоит 200 000 руб., объясняет Шерстобитов. Сертифицироваться может конкретный экземпляр, партия либо производство, если оно расположено в России, продолжает он.
По оценке Шерстобитова, если объединить все средства шифрования, которые используются в России, то сертифицированных среди них будет подавляющее меньшинство. Впрочем, если бы лаборатории получили заказ на сертификацию всех использующихся в России средств шифрования, они могли бы его выполнить, считает сотрудник одной из них. Ведь это означает контракты, под которые можно нанять дополнительных работников, рассуждает он. А уход компаний из России из-за необходимости сертифицирвоать все свои средства шифрования он считает маловероятным, поскольку есть способы пройти сертификацию, не раскрывая собственных коммерческих секретов.
Появление такого извещения технический директор компании «Актив» Кирилл Мещеряков считает признаком того, что ФСБ получила массу запросов с просьбой разъяснить новую норму закона Яровой. Он полагает, что вскоре могут последовать и другие разъяснения от регулятора по прочим пунктам закона.