Оборотная сторона открытости информационной безопасности
Экспертный комментарий Дениса Суховея, директора департамента развития технологий компании "Аладдин Р.Д."
В последнее время наметился очевидный тренд — регуляторы многих стран заставляют ИТ компании открывать им защищающие информацию пользователей технологии — шифрование сообщений, персональных данных и файлов.
Мы решили задать российским экспертам два вопроса, которые возникли у нас в связи с этим трендом:
— Не создаст ли это чёрный рынок для торговли конфиденциальной информацией?
— Будет усилена защита граждан и общества или станет более уязвимым рядовой пользователь ИТ технологий перед лицом киберпреступности?
Иван Мершков, технический директор компании SearchInform:
Любая информация – тем более конфиденциальная – имеет свою стоимость и уже давно образовался чёрный рынок её продажи. Возьмём тот же joker.buzz, ресурс, который пошёл дальше всех и использует принцип аукциона и расчёты ведёт через bitcoin.
Я считаю, что тенденция, о которой идёт речь, приведёт к ослаблению защиты рядовых пользователей ИТ-услуг. Разработчики, использующие в своих продуктах технологии P2P защиты (на данный момент – это самая безопасная модель связи) вынуждены будут отказаться от них и искать альтернативы. Суть такой модели защиты в том, что никакая третья сторона не сможет расшифровать передаваемое содержание, даже сам разработчик алгоритма не имеет достаточных данных. Соответственно, чтобы выполнить требования регулятора придётся в принципе отказаться от подобных методов защиты, что существенно снизит безопасность конечного пользователя.
Обратим внимание на ещё один интересный момент: операторы связи и "организаторы распространения информации в интернете" обязаны полгода хранить голосовую информацию, переписку, изображения и другие сообщения пользователей. Тут получаем две потенциальные угрозы:
-
информацию будут обслуживать, хранить и обрабатывать сотрудники оператора, а значит увеличивается риск слива данных изнутри компании-оператора.
- таргет киберпреступнников, очевидно, сместится в сторону операторов связи, так как получение доступа к данной информации, заботливо сложенной в одном месте, – довольно лакомый кусок.
Итого: мы получаем дополнительные угрозы и новые возможности для киберпреступников, так как видим понижение общего уровня безопасности сервисов.
Денис Суховей, руководитель департамента развития технологий, компания "Аладдин Р.Д.":
Раскрытие персональной информации для нужд регуляторов, вернее, для нужд специальных ведомств — древняя проблема, не имеющая односложного решения.
Безусловно, само государство находится в состоянии дилеммы:
- получить (в глобальном смысле) информацию о действиях своих граждан и предотвратить попытки дестабилизации социального равновесия общества;
- в полной мере учесть право граждан на тайну переписки и конфиденциальность персональных данных.
На внешнеполитической арене информационного противостояния ведущих стран мира используются социальные технологии дестабилизации, к которым современное общество имеет очень слабый иммунитет. События последних лет в братских странах-соседях наглядно свидетельствуют об исключительной эффективности подобных технологий. Самое страшное, что эти социальные технологии дестабилизации используют так полюбившиеся нам "смертным" людям инструменты — соц.сети, мессенджеры, эл.почту, youtube. Без регулирования и контроля государства, в этих областях (по факту масс-медиа) гарантировать безопасность нас, наших родных и близких государство будет не в состоянии.
С другой стороны, проблема передачи персональной информации спец.службам явно "перегрета". Современные поколения наших граждан активно демонстрируют норму открытости и безразличия к раскрытию своей персональной информации – социальные сети переполнены открытыми данными пользователей, использование которых может существенно навредить. На 99% смартфонах и планшетах не установлены средства безопасности. Крайне приватные данные складируются на домашних компьютерах в открытом виде, забываются в метро на флешках, теряются в поездках и т.п. Налицо очевидность явного двойного социального стандарта – судьба нашей персональной информации "нам" безразлична, но официальная и вполне формальная передача нашей персональной информации специальным ведомствам для "нас" неприемлема. Таких противоречий в современном обществе немало.
Мой прогноз – определённый контроль государства в области масс-медиа будет-таки установлен. Общество постепенно примет эту норму и "успокоится". Взять к примеру Китай – суровое государственное регулирование в ИТ-сфере не особо влияет на качество жизни и не накладывает дополнительных угроз гражданам со стороны государства. Миллионов несчастных пользователей Интернет и сервисов не наблюдается.
Владимир Княжицкий, генеральный директор ГК "Фаст Лейн" в России:
- Не создаст ли это чёрный рынок для торговли конфиденциальной информацией?
Не создаст. Потому что, во-первых, государственные органы не будут массово получать личную информацию. Такой объем просто не обработать. Они заинтересованы в "точечном" получении данных. Во-вторых, продавать персональные данные массово никто не будет — спроса нет. В целом, существует рынок покупки личной переписки, но он касается только определённых личностей. Я не думаю, что значительная утечка возможна в связи с новыми правилами игры. Хотя, конечно, новый источник доступа к информации всегда порождает уязвимости. - Это усилит защиту граждан и общества или сделает более уязвимым рядового пользователя ИТ технологий перед лицом киберпреступности?
Вопрос является следствием первого. Полагаю, что никаких значительных изменений в степени своей защиты рядовой пользователь просто не почувствует. Дело в том, что у рядового пользователя и так очень много информационных уязвимостей. И то, что регуляторы заставляют открывать ИТ-компании ту или иную информацию, для обычного пользователя ничего не значит.
Я понимаю беспокойство о том, что специальные службы могут получать доступ к личной переписке или к другой информации. Но шансы, что именно ваша переписка для них представляет интерес, ничтожна. Такой доступ необходим в большинстве случаев для анализа ситуации уже в случае выявления тех или иных нарушений.
Павел Луцик, руководитель проектов по информационной безопасности компании КРОК:
До принятия последних законодательных инициатив спецслужбы не являлись источником утечки конфиденциальной информации на чёрный рынок, хотя наверняка у них и до этого было достаточно много чувствительной информации. Поэтому не думаю, что предоставление информации регуляторам как-то существенно изменит сложившуюся на сегодня ситуацию с точки зрения её утечки через спецслужбы. Другой вопрос – хранение огромных объёмов данных пользователей в руках тех же операторов сотовой связи или интернет-провайдеров – тут, конечно, есть над чем задуматься и начать переживать. Базы данных мобильных номеров сотовых операторов, наверно, ещё несколько лет назад можно было встретить на любом радиорынке. С новыми требованиями регуляторов появляется доступ и к переписке и записям звонков – то есть безграничные возможности для чёрного рынка. Поэтому важно, чтобы на техническом и особенно на законодательном уровне были продуманы и прописаны механизмы защиты, как при передаче, так и при хранении данных, а также строго определённые последствия в случае их невыполнения или в случае реальных утечек данных.
Безусловно, любое открытие важных сведений вовне может повлиять на уязвимость граждан перед лицом киберпреступности. Но, надеюсь, наши законодатели смогут урегулировать этот вопрос таким образом, чтобы "и овцы были целы и волки сыты". При этом рядовым гражданам я бы дал совет беспокоиться больше не о потенциально-возможной уязвимости, а о личной информационной гигиене, с нарушением которой мы все сталкиваемся каждый день, например, скачивая в интернете заражённые файлы, открывая подозрительные электронные письма, либо просто поддаваясь на уловки социальной инженерии, например, звонки подставных банковских служащих или т.п. Поэтому при правильном подходе к защите данных со стороны регуляторов потенциальная польза для общества, включая противодействие терроризму, должна быть выше, чем риски в области кибербезопасности.
Игорь Калайда, генеральный директор НИИ СОКБ:
Защита персональных данных по сей день остаётся наиболее популярной проблемой информационной безопасности. Однако основными "поставщиками" персональных данных сегодня являются банки, интернет-сервисы и медицинские учреждения. Именно поэтому утечка информации от регуляторов хотя и возможна, но не в "рыночных" объёмах.
Это палка о двух концах. С одной стороны, регуляторы, таким образом, способны повысить защиту граждан от террористической угрозы, но с другой стороны, повышают их личную уязвимость. Я считаю, что одно компенсирует другое.
Мнение редакции:
Вопросы, которые мы задали экспертам, непростые и смотреть на них можно с разных позиций. Возможно, человеку, находящемуся на службе государства, покажется, что тенденция будет иметь положительные последствия, поскольку приведёт к защите общества от террористических угроз.
Многие специалисты, работающие в области информационной безопасности, полагают, что раскрытие технологий защиты информации ухудшит защищённость человека от кражи конфиденциальной информации.
Нам кажется, что любой гражданин любой страны имеет право на конфиденциальность личной переписки. Раскрытие алгоритмов и ключей шифрования является чрезмерной мерой, которая вряд ли станет важным фактором в борьбе с террористическими угрозами. Почему-то не очень верится в тупость организаторов терактов, которые через электронную почту и мессенджеры сообщают важную информацию, позволяющую оперативно предотвратить их действия. Отслеживание активности террористов в соцсетях не требует раскрытия технологий защиты информации – там и так все на виду.
Хранение переписки и разговоров однозначно создаст базы данных, в которые будут регулярно запускать свои щупальца киберпреступники.
Помниться в 90-е годы на светофорах подбегали к машинам шустрые ребята и предлагали купить базы абонентов сотовых операторов, содержащие все данные о владельцах телефонных номеров. Возможно, что скоро будут предлагать послушать разговоры и почитать письма. Скорее всего не на светофорах, но это уже делали организации сбыта в наши дни …