29 декабря 2013 г.

Вместо новогоднего поздравления

Друзья, коллеги, партнеры, клиенты, читатели!
С наступающим Вас Новым 2014 годом!
Традиционного нового счастья (каждому – свое), новых впечатлений (обязательно – приятных), новых успехов (а как успехи могут быть старыми?). Будьте все здоровы, обязательно находите в гонке жизни время для себя и своих близких, для путешествий и хороших книг, новых фильмов и хобби.
Все мы еще поработаем! И еще как!
Накануне нового года все подводят итоги и рисуют прогнозы. Мы тоже не удержались, и, с подачи ассоциации BISA, высказали свою точку зрения. Интервью также в значительной части опубликовано вв журнале БДИ!
Для тех, кто не читал, - текст ниже.
Какие события этого года в сфере информационной безопасности (ИБ) вы считаете важными и почему?
Главное событие – бегство Эдварда Сноудена и его откровения. Между тем, что мы знаем, и тем, что произнесено вслух, существует очень большая разница. После откровений перебежчика (а Сноуден – именно он) последние иллюзии должны были исчезнуть даже у самых закоренелых скептиков и сторонников государственности. Все жители планеты Земля – под колпаком спецслужб, и степень вмешательства в нашу жизнь ограничивается только их, спецслужб, бюджетом.
Из российских событий я бы выделил очередное резкое обострение внимания законодателей и органов власти к теме персональных данных. Активность на этом направлении сенатора Руслана Гаттарова, парламентские слушания под председательством В.И. Матвиенко, создание межведомственного экспертного Совета Минкомсвязи, приказы ФСТЭК №№ 21 и 17, два новых приказа Роскомнадзора – по странам, обеспечивающим адекватную защиту прав субъектов персональных данных, и способам обезличивания, а также проект приказа ФСБ говорят о том, что тема персональных данных пока остается главным драйвером рынка в России. Это не очень хорошо для рынка, но это надо учитывать.
Какие тренды в сфере ИБ в этом году вы бы отметили?
Я не вижу сегодня принципиально новых трендов. Пожалуй, можно выделить активность провайдеров услуг в вопросе обеспечения безопасности облачных вычислений и поиски решений в проблематике использования больших данных и связанных с этой темой проблемами информационной безопасности. Причем не в контексте их конфиденциальности, она здесь – отнюдь не главное, а с точки зрения их доступности и возможности использования в реальном масштабе времени. Тема очень большая и очень новая, но явно не имеющая очевидных решений.
Каковы ваши прогнозы на будущее отрасли ИБ?
Отрасли придется решать очень много совсем непростых задач. Главная, на мой взгляд, - организация противодействия таргетированным атакам, для которых традиционные сигнатурные методы, используемые разработчиками антивирусного программного обеспечения и систем IDS/IPS, уже не работают и работать не будут. Несмотря на все уверения вендоров, эвристические методы выявления злонамеренной активности не работают или работают очень плохо. И это очень большая проблема, в первую очередь – для кредитно-финансовых учреждений, кражи денег из которых через системы ДБО (клиент-банк, мобильный банкинг, интернет-банкинг – название значения не имеет) стали такой же обыденностью, как ограбления банков в Америке в 30-е годы.
Вторая проблема, требующая решения – безопасность при реализации концепции BYOD, на которую накладывается наша российская специфика, связанная с обязательностью использования сертифицированных средств шифрования. Возвращение зоопарка технических средств, совсем по другим причинам бывшего головной болью служб ИБ в 90-е годы, сулит новые проблемы, поэтому и возникает необходимость принятия нетрадиционных решений, к которым готовы далеко не все специалисты, привыкшие сверять свою деятельность с лекалами ФСБ и ФСТЭК. Для решения этих проблем готовых лекал нет.
Третья проблема, которую придется решать – безопасность в среде виртуализации и облачной инфраструктуре. Здесь тоже нет готовых и очевидных решений, однако их отсутствие не может остановить технический прогресс. Концепция «один сервер – одно приложение» умерла окончательно, и попытка ей следовать ухудшает конкурентоспособность ее приверженцев, явные экономические преимущества передачи информационных систем на аутсорсинг, в том числе – в облака крупнейших провайдеров, которые могут сделать их использование значительно более дешевым, чем развертывание собственных мощностей, заставит искать и адекватные решения по защите данных и обеспечению безопасности их использования. Это вызов, на который неминуемо придется искать ответ всем без исключения игрокам рынка – и вендорам, и поставщикам услуг, и их покупателям.
Каковы ваши прогнозы на будущее рынка ИБ?
Они связаны с трендами, описанными в ответе на предыдущий вопрос. Но, самое, на мой взгляд, очевидное - неминуемое окончание эпохи способов борьбы с вредоносным программным обеспечением, к которым мы привыкли сегодня. Stuxnet, Duqu, Flame, Gauss говорят о том, что прежние методы противодействия безнадежно устарели. Рассказывать, как тушить пожар, после того, как все сгорело – бесполезно. Нужны принципиально новые, прорывные решения.
Каких вершин достигла Ваша компания в этом году?
Мы не альпинисты, и покорение вершин – не наш бизнес. Нашими заказчиками в этом году стали крупнейшие мировые и российские компании. Объем продаж существенно вырос. Авторитет компании укрепился. Все идет по нашему плану, и мы довольны.
Ваши рекомендации ИБ-специалистам в следующем году
Они не отличаются о тех, которые могли быть даны и в прошлом, и в позапрошлом году, и ранее. ИБ – сфера деятельности, задачей которой является защита бизнеса. Не решение своих локальных проблем, не укрепление положения внутри компании, а создание условий, позволяющих бизнесу увеличить прибыль. Если мы говорим о государственных структурах - обеспечить выполнение ими функций и полномочий, возложенных на эти структуры законами и нормативно-правовыми актами, не допуская сбоев и не нарушая права граждан, ради реализации прав и законных интересов которых государственные органы и функционируют. Определение своего места в строю – не всегда легкая и почти всегда не очень комфортная задача, но, не решив ее, успешно выполнить свои задачи нельзя.
Как вы оцениваете деятельность регуляторов в сфере ИБ за этот год? Что было сделано полезного. Что может помешать развитию отрасли? Какие вопросы были упущены и требуют рассмотрения в будущем?
Очень по-разному. Кто-то, как например, ФСТЭК, активно обратился к помощи профессионального и экспертного сообщества, и результаты не замедлили сказаться. Документы Службы, созданные в этом году – приказы №№ 17 и 21, к доработке которых на открытой платформе были приглашены все желающие специалисты, вызвали в целом весьма положительную реакцию, а планы подготовить к ним еще и методические рекомендации при активном и гласном подключении к работе представителей вендоров, интеграторов и заказчиков, ничего, кроме уважения и одобрения, вызывать не могут. Движутся в этом же направлении Минкомсвязь и Роскомнадзор, подключающие к созданию новых законодательных и нормативных актов специалистов-практиков в рамках деятельности экспертных сообществ при этих ведомствах. А кто-то по-прежнему полагается на свою компетенцию и предпочитает решать задачи регулирования самостоятельно, результатом чего являются жесткая критика принимаемых документов, в том числе – со стороны других государственных институтов.

5 ноября 2013 г.

Новые технологии – новые возможности для нарушения приватности

В продолжение темы приватности в цифровом мире, которую мы подробно рассматривали на круглом столе с участием Фила Циммерманна, я ответил на вопросы корреспондента азербайджанского аналитического журнала «Регион Плюс»Джейхуна Наджафова. Ниже – публикация из этого издания.
Автор: Джейхун НАДЖАФОВ, Баку
30.10.2013 19:31
В век стре­ми­тель­но­го раз­ви­тия ин­фор­ма­ци­он­ных тех­но­ло­гий все бо­лее ак­ту­а­ли­зи­ру­ет­ся во­прос обес­пе­че­ния без­опас­но­с­ти лич­ной ин­фор­ма­ции. Быв­ший со­труд­ник Агент­ства на­ци­о­наль­ной безопас­но­с­ти США Эд­вард Сно­у­ден рас­крыл по­ис­ти­не ко­лос­саль­ные мас­шта­бы "про­слуш­ки" по все­му ми­ру, при­чем речь ка­са­лась не толь­ко ря­до­вых граж­дан, но да­же вы­со­ко­по­став­лен­ных чинов­ни­ков, в чис­ле ко­то­рых гла­вы го­су­дарств. На­шу­мев­шая ис­то­рия с про­слуш­кой спец­служ­ба­ми США мо­биль­но­го те­ле­фо­на не толь­ко канц­ле­ра Гер­ма­нии Ан­ге­лы Мер­кель, но и глав дру­гих стран ста­ла на­столь­ко се­рь­ез­ной, что не­мец­кий ли­дер сде­ла­ла ее цен­т­раль­ной те­мой сам­ми­та Евросоюза в Брюс­се­ле.
Канц­лер ФРГ А.Мер­кель и пре­зи­дент Фран­ции Фран­суа Ол­ланд пе­ред сам­ми­том ЕС встре­ти­лись от­дель­но и вы­сту­пи­ли с ини­ци­а­ти­вой всту­пить в дву­сто­рон­ние пе­ре­го­во­ры с США с це­лью проясне­ния и ре­ше­ния проб­ле­мы про­слу­ши­ва­ния те­ле­фон­ных пе­ре­го­во­ров.
Так, АНБ про­слу­ши­ва­ло те­ле­фон­ные раз­го­во­ры 35 глав го­су­дарств, пи­шет га­зе­та TheGuardian со ссыл­кой на до­ку­мент, пе­ре­дан­ный экс-со­труд­ни­ком ЦРУ Эд­вар­дом Сно­у­де­ном.
Кро­ме то­го, АНБ пе­ре­хва­ты­ва­ет в ФРГ до 500 млн. те­ле­фон­ных и ин­тер­нет-со­об­ще­ний ря­до­вых граж­дан еже­ме­сяч­но, во Фран­ции эта ци­ф­ра до­хо­дит до 70 млн.
На­сколь­ко воз­мож­но ог­ра­дить свою лич­ную ин­фор­ма­цию, все ли из то­го, что мы вы­кла­ды­ва­ем во Все­мир­ную па­у­ти­ну, мо­жет быть ис­поль­зо­ва­но ха­ке­ра­ми, как во­об­ще ог­ра­дить свое про­стран­ство от вме­ша­тель­ст­ва из­вне ря­до­вым граж­да­нам, ес­ли да­же гла­вы го­су­дарств ока­зы­ва­ют­ся "под колпа­ком"?  Об этих во­про­сах с R+ по­де­лил­ся из­ве­ст­ный рос­сий­ский экс­перт в об­ла­с­ти информаци­он­ной без­опас­но­с­ти Ми­ха­ил ЕМЕЛЬЯННИКОВ.
- Не­уже­ли ци­ф­ро­вые тех­но­ло­гии, ком­му­ни­ка­ции на­столь­ко уяз­ви­мы, что да­же гла­вы европей­ских го­су­дарств ока­за­лись "под кол­па­ком" у Агент­ства на­ци­о­наль­ной без­опас­но­с­ти США?
- Проб­ле­ма не в том, что при­ват­ная ин­фор­ма­ция ча­ст­ных лиц, го­су­дар­ствен­ных ор­га­нов, ком­па­ний по­па­да­ет в ру­ки боль­шо­го ко­ли­че­с­т­ва дру­гих лиц, а в том, что этой ин­фор­ма­ци­ей де­лят­ся с другими. Вторая проб­ле­ма в том, что вне­дре­ние су­ще­с­т­ву­ю­щих вы­со­ко­на­деж­ных си­с­тем за­щи­ты тре­бу­ет очень глу­бо­ко­го зна­ния ком­пью­тер­ных тех­но­ло­гий. На­до пра­виль­но ус­та­но­вить ан­ти­ви­рус, по­ста­вить сред­ства ши­ф­ро­ва­ния, пра­виль­но про­ве­с­ти об­мен "клю­ча­ми" и пр. Все это не соответству­ет  ха­рак­те­ру ис­поль­зо­ва­ния Ин­тер­не­та, ко­то­рый сей­час су­ще­с­т­ву­ет. К при­ме­ру, на соци­аль­ную сеть Facebook ши­ф­ра­тор не по­ста­вишь, а в Facebook че­ло­век вы­кла­ды­ва­ет о се­бе боль­ше ин­фор­ма­ции, чем со­об­щил бы в лю­бом дру­гом слу­чае.
- Еще не­дав­но в де­тек­тив­ных филь­мах и ро­ма­нах для то­го, что­бы до­быть се­к­рет­ную инфор­ма­цию, шпи­о­ны вскры­ва­ли сей­фы, фо­то­гра­фи­ро­ва­ли до­ку­мен­ты. Не от­кры­ва­ют ли со­вре­мен­ные ци­ф­ро­вые тех­но­ло­гии ши­ро­кие воз­мож­но­с­ти для шпи­о­на­жа?
- Что ка­са­ет­ся про­слу­ши­ва­ния ру­ко­во­ди­те­лей Гер­ма­нии и Бра­зи­лии, без­ус­лов­но, для этого бу­дут ис­поль­зо­ва­ны лю­бые тех­ни­че­с­кие воз­мож­но­с­ти, ка­кие су­ще­с­т­ву­ют. Дру­гое де­ло, что не сле­до­ва­ло ли­де­рам этих стран ве­с­ти пе­ре­го­во­ры по ка­ким-то ак­ту­аль­ным во­про­сам, по от­кры­той те­ле­фон­ной свя­зи. Ши­ф­ро­ван­ные ка­на­лы со­то­вой  свя­зи 3G и 4G не сле­ду­ет счи­тать по-на­сто­я­ще­му шифрован­ны­ми. Их лег­ко про­слу­ши­ва­ют спец­служ­бы. Для пра­ви­тель­ст­вен­ных те­ле­фон­ных перего­во­ров су­ще­с­т­ву­ют раз­ра­бо­тан­ные на­деж­ны­ми из­го­то­ви­те­ля­ми си­с­те­мы инфор­ма­ци­он­ной за­щи­ты, ко­то­рые не мо­гут быть про­слу­ша­ны за­ру­беж­ны­ми раз­вед­ка­ми.
Как бы то ни бы­ло, на­де­ять­ся на тай­ну свя­зи по умол­ча­нию мы уже не мо­жем. По­то­му что техничес­кие воз­мож­но­с­ти по­зво­ля­ют кон­т­ро­ли­ро­вать аб­со­лют­но весь тра­фик.
- Есть ли та­кие сред­ства ин­фор­ма­ци­он­ной за­щи­ты, ко­то­рые бы мог­ли обес­пе­чить абсолютную за­щи­ту? Или же к лю­бо­му элек­трон­но­му "зам­ку" най­дет­ся ха­кер­ская "отмычка"?  
- Те­о­ре­ти­че­с­ки есть не­де­ши­ф­ру­е­мые ши­ф­ры, но при­ме­нить их про­стым поль­зо­ва­те­лям вряд ли удаст­ся. Так как эти си­с­те­мы ши­ф­ро­ва­ния име­ют боль­шие ог­ра­ни­че­ния сфер при­ме­не­ния.
В  1990-е го­ды зна­ме­ни­тый крип­то­граф Фи­липп Цим­мер­манн раз­ра­бо­тал ле­ген­дар­ную си­с­те­му защи­ты, что вы­зва­ло страш­ное не­до­воль­ст­во аме­ри­кан­ских спец­служб. Она называлась Pretty Good Privacy. К со­жа­ле­нию, она слож­на в ис­поль­зо­ва­нии, по­это­му про­сто­му пользо­ва­те­лю не всегда удаст­ся ее ус­та­но­вить.
- Есть ли у США пре­иму­ще­с­т­во в борь­бе за кон­т­ро­лем ин­фор­ма­ции, по­сколь­ку там находятся ос­нов­ные про­из­во­ди­те­ли и ре­гу­ля­то­ры ком­пью­тер­ных тех­но­ло­гий?    
 - Да, та­кое пре­иму­ще­с­т­во есть. Во-пер­вых, аме­ри­кан­цы вы­де­ля­ют ог­ром­ные фи­нан­сы на усиление кон­т­ро­ля за ци­ф­ро­вы­ми ком­му­ни­ка­ци­он­ны­ми си­с­те­ма­ми. Этим за­ни­ма­ют­ся око­ло 10 спец­служб. С дру­гой сто­ро­ны, вы­со­ко­тех­но­ло­ги­че­с­кие ком­па­нии, ко­то­рые предоставляют GoogleMicrosoft ус­лу­ги ин­тер­нет-сер­виса, и дру­гие на­хо­дят­ся в юрис­дик­ции США, и аме­ри­кан­ские гос­ор­га­ны име­ют воз­мож­ность ока­зы­вать на них вли­я­ние. Как при­знал­ся известный спе­ци­а­лист по ин­фор­ма­ци­он­ной без­опас­но­с­ти, аме­ри­кан­ский крип­то­граф Брюс Шнайер, "на­чи­ная от мяг­ких мер воз­дей­ствия до так на­зы­ва­е­мых по­пра­вок к за­ко­ну о безопас­но­с­ти аме­ри­кан­ские спец­служ­бы вы­нуж­да­ют ком­па­нии по сред­ствам ком­му­ни­ка­ций с ни­ми сотрудничать".
- По не­ко­то­рым слу­хам, лю­бые дей­ствия в Ин­тер­не­те кон­т­ро­ли­ру­ют­ся. Все за­про­сы в поиско­ви­ках, уда­лен­ные до­ку­мен­ты и изо­бра­же­ния по­па­да­ют в рас­по­ло­жен­ное за оке­а­ном спе­ци­аль­ное хра­ни­ли­ще. Ска­жем, бу­маж­ное пись­мо мож­но по­рвать и вы­бро­сить, а ку­да дева­ют­ся уда­лен­ные элек­трон­ные пись­ма и со­об­ще­ния?        
- Аб­со­лют­но вер­но. Все, что вы по­ста­ви­ли в Ин­тер­не­те на пуб­лич­ном сер­ви­се, бу­дет там храниться веч­но и мо­жет быть ис­поль­зо­ва­но про­тив вас. Под­твер­жде­ни­ем это­му яв­ля­ет­ся обраще­ние од­но­го сту­ден­та в ком­па­нию Facebook c прось­бой дать ему име­ю­щи­е­ся в со­ци­аль­ной се­ти дан­ные о нем. Так вот, ему да­ли ог­ром­ное ко­ли­че­с­т­во све­де­ний, на мно­гих из ко­то­рых бы­ла по­мет­ка "уда­ле­но". Он счи­тал, что эти до­ку­мен­ты уда­лил, а ком­па­ния их со­хра­ни­ла и, ви­ди­мо, будет хра­нить не­ог­ра­ни­чен­ное вре­мя. Та­кое про­ис­хо­дит по­все­ме­ст­но. Ес­ли вы уда­ли­ли с сай­та какую-то ин­фор­ма­цию, но она ус­пе­ла быть про­ин­дек­си­ро­ва­на по­ис­ко­вы­ми си­с­те­ма­ми типа Google и пр., то эту ин­фор­ма­цию все­г­да мож­но бу­дет най­ти в Ин­тер­не­те. Хо­тя вы считаете, что ее фи­зи­че­с­ки не су­ще­с­т­ву­ет. По­это­му лю­ди и компа­нии са­ми долж­ны ог­ра­ни­чи­вать выкладыва­е­мую в Ин­тер­нет ин­фор­ма­цию. То­го по­ня­тия при­ват­но­с­ти, к ко­то­ро­му мы при­вык­ли, вклю­чая весь XX век, уже не су­ще­с­т­ву­ет.
-  В прес­се про­шла ин­фор­ма­ция, что спец­служ­бы США про­слу­ши­ва­ли раз­го­во­ры миллионов поль­зо­ва­те­лей мо­биль­ной свя­зи GSM во Фран­ции, Гер­ма­нии и ря­де дру­гих стран. Воз­мо­жен ли тех­ни­че­с­ки та­кой то­таль­ный шпи­о­наж?
 - Есть спе­ци­аль­ная про­грам­ма для кон­т­ро­ля пе­ре­го­во­ров в мо­биль­ных се­тях. Каж­дый год США вкла­ды­ва­ют по­ряд­ка $250 млн в со­зда­ние программных за­кла­док, ко­то­рые рас­ши­ф­ро­вы­ва­ют перего­во­ры по мо­биль­ной свя­зи 3G и 4G. Кста­ти, то, что аме­ри­кан­ские спец­служ­бы мог­ли заполучить ог­ром­ную ин­фор­ма­цию о ев­ро­пей­ских ру­ко­во­ди­те­лях, в ча­ст­но­с­ти Гер­ма­нии, Фран­ции, не обош­лось без по­мо­щи ме­ст­ных спец­служб. Для про­слу­ши­ва­ния те­ле­фон­ных раз­го­во­ров бы­ла ис­поль­зо­ва­на аме­ри­кан­ская си­с­те­ма ши­ро­ко­го мо­ни­то­рин­га Ин­тер­не­та и элек­трон­ных коммуникаций PRISM, о ко­то­ром го­во­рил Эд­вард Сно­у­ден. Эта си­с­те­ма по­зво­ля­ет про­слу­ши­вать те­ле­фо­ны по все­му ми­ру.
- Та­кая си­с­те­ма хо­ро­ша, ко­г­да ис­поль­зу­ет­ся для борь­бы с меж­ду­на­род­ным тер­ро­риз­мом. Но как за­щи­тить при­ват­ную по­ли­ти­че­с­кую или эко­но­ми­че­с­кую ин­фор­ма­цию?     
- Во-пер­вых, жест­ко до­зи­ро­вать ин­фор­ма­цию, раз­ме­ща­е­мую в Ин­тер­не­те, в пер­вую оче­редь, отправ­ля­е­мую че­рез пуб­лич­ные сер­ви­сы по элек­трон­ной по­чте. Во-вто­рых, ши­ро­ко ис­поль­зо­вать си­с­те­мы за­щи­ты пер­со­наль­ных ком­пью­те­ров. При­чем не толь­ко в бан­ках, ком­па­ни­ях, но и рядовыми поль­зо­ва­те­лями. В-тре­ть­их, че­рез граж­дан­ское об­ще­ство не­об­хо­ди­мо до­би­вать­ся, чтобы ин­тер­нет-ком­па­нии, го­су­дар­ство со­блю­да­ли кон­сти­ту­ци­он­ные пра­ва при­ват­но­с­ти. Все эти три пу­ти бу­дут очень не­лег­кие.
- Не­ко­то­рые го­су­дар­ства, к при­ме­ру, Иран, от­де­ля­ют свою стра­ну от ми­ро­во­го киберпростран­ства и со­зда­ют ог­ра­ни­чен­ный вну­т­рен­ний Ин­т­ра­нет.
- Та­кие ме­ры пред­при­ни­ма­ют­ся и в КНДР, Ки­тае и дру­гих стра­нах. Это од­но­знач­ное на­ру­ше­ние прав че­ло­ве­ка на до­ступ к ин­фор­ма­ции. Бо­лее то­го, сей­час Ев­ро­па идет к то­му, что­бы конституцион­но за­кре­пить пра­во до­сту­па че­ло­ве­ка к Ин­тер­не­ту. То есть это право при­рав­нивает­ся к таким фун­да­мен­таль­ным пра­вам, как пра­во на ча­ст­ную жизнь, тай­ну пе­ре­пи­с­ки и т.д. Го­су­дар­ство не име­ет пра­ва ог­ра­ни­чи­вать до­ступ че­ло­ве­ка к ин­фор­ма­ции, че­ло­век сам впра­ве ре­шать, к че­му по­лу­чать или не по­лу­чать до­ступ.     
- Уй­дет ли окон­ча­тель­но в про­шлое бу­маж­ная пе­ре­пи­с­ка и при­дет ли ей на сме­ну повсемест­но элек­трон­ная?
- Уже се­год­ня 75% ми­ро­во­го про­дук­та на­хо­дит­ся в ин­фор­ма­ци­он­ных си­с­те­мах. И эта тен­ден­ция движения в сто­ро­ну без­бу­маж­ных, ци­ф­ро­вых ком­му­ни­ка­ций бу­дет толь­ко на­рас­тать. 

31 октября 2013 г.

Интернет 21–го века от естественного монополиста

Самая замечательная в мире компания-перевозчик по железным дорогам «Российские железные дороги», в простонародье – РЖД,  предоставляет самую современную услугу широкополосного доступа к интернету прямо из вагона. Об этом написано на окне каждого купе каждого вагона, в рекламном буклете на столике и даже в тамбурах. Вы не поверите – доступ раньше был, и я им пользовался. И даже из поезда. И даже смотрел футбол, что совсем невероятно.
В этот раз было не до футбола. Заказчику срочно надо было отправить изменения в документы, поэтому первое после входа в вагон, что я сделал, даже до переодевания в форму российского путешественника по железным дорогам – футболку и спортивные брюки - включил ноутбук, увидел сигнал на 65 мб/с и успокоился. Счастье есть.
Проводница сообщила, что доступ появится после того, как мы тронемся, она принесет мне талончик с логином и паролем, но как-то странно на меня посмотрела. Я этому значения не придал, подготовил документы к отправке и стал ждать торжественного момента отправления.
…Проводница пришла минут через пятнадцать после покидания перрона. С башкирским медом, чипсами, фисташками, мельхиоровыми подстаканниками по полторы и три штуки и лотерейными билетами. Не обнаружив встречного энтузиазма, она расстроилась, а про интернет стала отвечать уклончиво – мол, этим она не торгует, а так, посредничает, поэтому счастья от моего приобретения Wi-Fi радости ей не будет никогда, и присно, и во веки веков. Но пообещала дать гостевой доступ на 7 минут просто-таки даром, и если мне понравится,- платный, либо за 100 деревянных в час, либо за 400 – безлимитный (т.е. на 36 поездок в поезде, маршрут которого занимает менее 12 часов) 
Гостевой доступ мне не понравился, но он все-таки был. Правда, минуты три, но я списал это на трудности роста новой услуги и ошибся катастрофически и фатально.
Придя за талончиком на безлимитный доступ, безысходную тоску в глазах проводницы я снова проигнорировал, тем самым сделав очередную ошибку. Вагон-дама честно предупредила, что интернет у них, как мобильная связь по дороге от Самары до Москвы и типа башкирского меда: то есть, то совсем нет. Слово «есть» обрадовало, и несчастная женщина пошла в штабной вагон за логином и паролем. Принесла.
С тех пор и до Москвы интернет так и не появился. Через пару часов безуспешного стука в сетевые сервера я нашел на чеке телефон технической поддержки провайдера – компании «РуСат». И дозвонился с первого раза, причем трубку взяли на том конце почти сразу.
Юноша, представившийся «технической поддержкой» (а что вы хотели?) грустно согласился, что проблемы с доступом бывают, и попросил подождать светлого будущего, когда он (доступ) появится. Наверное.
Как всегда в начале разговора с техническим службами, я вежливо поинтересовался, что я купил у компании «РуСат». «Доступ в интернет», - также вежливо ответил мне юноша. Я попытался возразить, что доступа таки и нет. Хелп-деск-юноша на удивление легко согласился и с этим и сообщил, что деньги, если что не так, мне вернут, а уж с этим согласился я, правда, поинтересовавшись, как конкретно.
Дальше началось, как поет классик, средне-русское веселье. «Напишите по адресу sales@rusat.com, укажите что-то там, и деньги у вас в кармане». На пока еще очень вежливый вопрос, как быстро и каким образом мне сообщили, что компания «РуСат» ответит на все мои вопросы, а возврат денег – не проблема, поскольку у меня есть банковский счет, на который мне все и вернут. Потом. Тезис о наличии счета и безусловном доступе к нему неизвестного мне интернет-спутник-провайдера показался мне спорным. «А вы где работаете?», - также вежливо продолжил я. «В Русат, но в техподдержке», не менее деликатно. Далее, видимо, я был корректен и убедителен. Помощник на доске поинтересовался моим логином и номером поезда, и после короткой паузы грустно сообщил, что «наш поезд забыли подцепить к интернету». То есть спутники с антеннами летят мимо и нас не видят, но персоналу поезда сказать об этом не посчитали нужным, и он воздухом уверенно торгует, рассказывая про схожесть интернета и сотовой связи в плане непредсказуемости получения услуги. Судя по натренированности проводниц, далеко не в первый раз.
Кстати, интернет махнул птичьим крытом пару раз – около полуночи и утром. Но приаттачить текстовый файл и отправить письмо так и не удалось. Для такого интернета 500 килобайт – неподъемная ноша.
В действительности имело место нарушение лицензионных условий предоставления услуг связи, обман потребителя и мошенничество в одном флаконе. Убедившись, что поддерживающий меня юноша номер моего телефона видит, я ему об этом и сказал, предложив передать мое мнение руководству и сообщив как про появление этого поста, так и про последующие жалобы в Роскомнадзор, Роспотребнадзор, ФАС и прокуратуру при отсутствии реакции на мой звонок.
Для информации: в посте описано оказание услуг в поезде № 9, отправившегося  29.10.2013 из Самары в Москву.
Пост опубликован. Ждем развития событий. 

24 октября 2013 г.

Слушания в Совете Федерации по изменениям в 152-ФЗ

Сегодня под председательством спикера Совета Федерации В.И. Матвиенко, с участием сенатора Р. Гаттарова, депутата Д. Вяткина, министра Н. Никифорова, представителей ФСБ, операторов связи и экспертного сообщества (кого признал в зале) прошли парламентские слушания «Законодательное обеспечение прав субъектов персональных данных при их автоматизированной обработке». Слушания – заключительный этап стараний рабочий группы, созданной по инициативе Р. Гаттарова, которая готовила предложения по изменению закона.
Редкий случай, когда участием в работе госоргана и, главное, результатом, я удовлетворен полностью.
Итак, Совфед обещал не позднее 1 декабря этого года инициировать законопроект о внесении изменений в Федеральный закон 152-ФЗ «О персональных данных».
Отметив неоднозначность формулировок действующего закона и избыточность некоторых требований к операторам, стремясь к достижению баланса между техническими требованиями и ответственностью оператора за утечки данных граждан, предлагается перекосы устранить и внести правки, которые можно разбить на шесть групп. Положения нового законопроекта кратко излагаю с моими комментариями, которые я высказал на слушаниях.
1.   Ввести понятие субоператора (сейчас это лицо, осуществляющее обработку персданных по поручению оператора) и, главное, отказаться от требования обязательного согласия субъекта на поручение обработки персональных данных субоператору, сохранив ответственность оператора перед субъектом и ограничив возможность обработки субоператором целями и условиями, установленными оператором. Здорово.
2.   Наконец-то прямо написать, что конфиденциальность не требуется в отношении персональных данных, сделанных общедоступными субъектом, обезличенных, подлежащих опубликованию или обязательному раскрытию. Общедоступность персональных данных лица, ответственного за их обработку у оператора, ликвидировать как класс.
3.   Прямо предусмотреть возможность получения согласия субъекта на обработку персональных данных дистанционно, путем использования электронных средств (т.е., например, через веб-форму на интернет-сайте), которые позволяют оператору в согласии (например, путем простановки галочки). Учитывая практику правоприменения и постоянные попытки смешать требования 152-ФЗ и ст.159 Уголовного кодекса, я предложил дополнить часть 1 ст.9 словами «Ответственность за правомерность и достоверность дистанционно предоставляемых персональных данных лежит на субъекте, их предоставивших» (или чем-то аналогичным).
4.   Наконец-то связать биометрию с возможностью автоматической идентификации и считать биометрическими только те персональные данные, которые оператором для автоматической идентификации используются. Я ранее предлагал более радикальную формулировку, но подойдет и эта. Единственное, предложил убрать из определения «поведенческие характеристики», опять-таки исходя из практики правоприменения – мы до этого еще не доросли, а лишние слова в законе порождают лишние проблемы.
5.   В законе предлагается описать порядок обработки персональных данных иностранных граждан, собранных за пределами России, и регулировать эти вопросы законодательством государств, где такие данные собираются. Все правильно, но мало. Надо прямо указать, что при трансграничной передаче персональных данных на территорию иностранных государств требования по их защите определяются законодательством соответствующего государства. Это могло бы решить две основные проблемы, существующие сегодня: хостинг ИСПДн в зарубежных дата-центрах и передачу персданных в головные (или специально определенные) офисы иностранных и транснациональных компаний, работающих на территории России, в том числе от «дочек» зарубежных банков, страховых компаний, промышленных предприятий и т.д.
6.   Самое радикальное, на мой взгляд. Просто процитирую законопроект. «Состав и содержание установленных Правительством Российской Федерации требований по обеспечению безопасности персональных данных при их обработке операторами для целей предоставления государственных и муниципальных услуг или исполнения иных государственных и муниципальных функций устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий». Соответственно, контроль и надзор за соблюдением этих мер со стороны ФСБ и ФСТЭК возможен только в отношении указанных операторов. И никаких наделений полномочиями в отношении частных компаний. Все остальные (не-госы) защищают данные по международным, российским или собственным стандартам. Естественно, ФСБ и примкнувший к ней Роскомнадзор не согласны, поэтому шансов на прохождение таких формулировок мало. Но можно пожить с надеждой, подержать кулачки и скрестить пальцы.
Есть еще ряд предложений, на мой взгляд, закон только улучшающих. Я предложил добавить в закон определения утечки персональных данных и их неправомерного использования.
Проект поддержан практически всеми участниками процесса его создания и обсуждения, за исключением указанных выше. Есть воля вносить изменения в комплексе: с ужесточением ответственности за нарушения операторами требований закона и расширением состава административных правонарушений, передачей полномочий по возбуждению административных дел от прокуратуры Роскомнадзору, увеличением сроков привлечения к ответственности, полной отменой плановых проверок и наделением Роскомнадзора полномочиями по проведению внеплановых по обращениям и жалобам субъектов.
В.И. Матвиенко пообещала, что такие слушания станут не разовой акцией, а системой. Тем временем Межведомственный экспертный совет Минсвязи готовит свои предложения, а Н. Никифоров по просьбе Матвиенко будет готовить почву в Правительстве для правильного восприятия инициативы. 

22 октября 2013 г.

Безопасность и приватность в цифровом мире обсудили, впереди – использование электронной подписи

Сегодняшняя дискуссия о приватности в цифровом мире с Ф. Циммерманном, С. Рябко и В. Смирновым на «Информационной безопасности России 2013» (о ней я писал) мне понравилась. И не потому, что я ее вел (как говаривал незабвенный Константин Аркадьевич, «не поймите меня правильно»). Обсудить с тремя умнейшими и интеллигентными людьми то, что кажется тебе важным – бесценно. Началась она со справедливого замечания Филиппа о том, что компромисс в английском языке наряду с положительным имеет и негативный смысл – соглашательство, частичное, неполное исполнение требований. И разговор пошел о добровольном отказе людей от неотъемлемого права на частную жизнь, обмене свободы на безопасность и отсутствие того и другого в результате (В. Смирнов очень к месту привел высказывание Беджамина Франклина). 
Самым большим пессимистом неожиданно (для меня, во всяком случае) оказался С. Рябко. В разумность и осмотрительность homo sapiens он не верит категорически и заразил этим неверием остальных. Вывод печальный: человеку, желающему отстоять право на частную жизнь, но не готовому отказаться от благ и соблазнов глобальной сети, никто, кроме него, не поможет. Минимизировать размещаемую в сети информацию и свое присутствие на публичных ресурсах, тщательно оценивать свое доверие к посещаемым сайтам и предлагаемым сервисам, поднимать и настраивать средства защиты на персональном компьютере, шифровать решениями от независимых вендоров все, что шифрованию поддается – путь самурая в эпоху интернет. И обязательно при размещении информации о себе в сети помнить правило Миранды цифрового мира, которое я сформулировал еще в июне 2011 года: «Все, что вы указали о себе в сети, будет храниться там вечно и всегда может быть использовано против вас».
Завтра на блогер-панели «Электронная подпись - простая, усиленная, квалифицированная: что, где, когда» ждем следующих выступлений:
Первое - В. Смирнов: «Электронная подпись: регулирование и обратная связь», самые общие вопросы применения электронного аналога собственноручной. Углубляет С. Муругов, акцентируясь на областях применения: «Проблематика PKI, электронных документов, юридической силы, электронных подписей и трансграничного обмена». Затем Н. Храмцовская определяет ниши для конкретных реализаций: «Простая и усиленная квалифицированная подписи: своя ниша есть у каждой из них». Ю. Маслов расскажет о подробностях: «Технология реализации электронной подписи – истина в деталях». Разгружаю я, очень быстро пытаясь решить вопрос из практики: «Хочу нанять дауншифтера с Бали» (это про удаленный найм и работу в свете новой главы 49.1 Трудового кодекса «Особенности регулирования труда дистанционных работников»).
Так что заглядывайте. Надеюсь, будет не менее интересно.

19 октября 2013 г.

22-23 октября: дискуссия Фила Циммерманна и российских криптографов. И не только их, и не только об этом

В Москве пройдет еще одна конференция по информационной безопасности с простым названием «Информационная безопасность России 2013». Поскольку предложение поучаствовать я принял, расскажу о том, что мне кажется на предстоящей конференции наиболее интересным.
Самое главное, наверное, приезд в Россию Филиппа Циммерманна, одного из гуру безопасности и фактически «отца» гражданской криптографии, основателя и разработчика легендарного Pretty Good Privacy (PGP). Фил обещал поучаствовать в полуторачасовой генеральной сессии «Безопасность и приватность в цифровом мире: в поисках компромисса». Помимо Ф.Циммерманна в обсуждении примут участие 3 специалиста в области криптографии из России:
·         Владимир Смирнов, Генеральный директор Сигнал-КОМ     
·         Дмитрий Рябко, Президент Группы компаний С-Терра          
·         Михаил Емельянников, Управляющий партнер Консалтингового агентства "Емельянников, Попова и партнеры" (модератор сессии).  
Тема утраты приватности лично меня волнует давно и серьезно (и здесь еще), вот и разберемся, насколько такие опасения оправданы, растет ли опасность проникновения в частную жизнь со стороны государства, насколько серьезны кражи «электронной личности» и почему люди, довольно замкнутые в обычной жизни, готовы рассказать о себе в интернете все. Обсудим, к чему это ведет и можно ли гражданину, не готовому жить «с окнами без штор», самостоятельно противостоять атакам на приватность.
Кроме генеральной сессии, планируется, что Ф. Циммерманн утром второго дня на часовой сессии в формате живого общения ответит на вопросы участников конференции, а после обеда проведет мастер-класс «Как защитить себя и свой бизнес в условиях глобального контроля?».
Предметом дискуссии на первой панели первого дня, участниками которой станут Максим Степченков из «IT Task», Дмитрий Головин из ФГУП МГРС и Евгений Веселов из НПО «Эшелон», будет тема технической защиты персональных данных после Постановления № 1119 и приказа ФСТЭК № 21. Мы будем обсуждать:
·         что поменялось и поменялось ли в подходе регуляторов,
·         стало ли проще или сложнее,
·         почему ФСБ в своих документах пишет об обязательной сертификации, а ФСТЭК – об оценке соответствия,
·         когда оператор должен считать актуальными угрозы персональным данным первого и второго типа,
·         что делать, если он признал их актуальными.
Во второй день пройдет организуемая мною блоггер-панель, название которой говорит само за себя – «Электронная подпись - простая, усиленная, квалифицированная: что, где, когда». Формат с короткими постами известных специалистов, пишущих об ИБ, впервые опробованный мною на «Инфобез-Экспо» в прошлом году, слушателям понравился, дискуссии получаются нешуточными, поэтому именно в этом формате мы и поговорим с людьми, не просто знающими об электронной подписи все, но и делящимися своими знаниями и раздумьями в сети - Юрием Масловым («Крипто-Про»), Сергеем Муруговым  («Топ Кросс»), Владимиром Смирновым («Сигнал-КОМ») и Натальей Храмцовской («Электронные офисные системы»). Где можно и где категорически нельзя использовать конкретные виды электронных подписей, когда подписанные ими документы становятся юридически значимыми, кто и как регулирует применение аналогов собственноручных подписей – в коротких выступлениях участников панели.
Программа конференции обещает еще ряд интересных мероприятий. Как новые информационные технологии, появляющиеся практически каждый день, вписываются в прокрустово ложе требований Банка России обсудят участники дискуссионной панели «Новые технологии информационной безопасности в платежных системах и их соответствие требованиям Центрального Банка России». А на второй день тема безопасности банковских систем продолжится на панельной дискуссии «Методики аудита безопасности и мониторинга событий в системах ДБО».
Участники технологических дебатов в первый день будут оппонировать, обсуждая полюсы и минусы аутсорсинга информационной безопасности, а во второй - технологии обнаружения и предотвращения утечек информации, причем участник дискуссии будет представлять три разные продвигаемые их компаниями DLP-решения. А почтенная публика в зале будет иметь возможность высказать, что она обо всем этом думает.
Илья Медведовский организует круглый стол, посвященный теме, все чаще выходящей на первый план – анализу исходного кода. Кстати, тем, кто признает актуальными угрозы, связанные с наличием недекларированных возможностей системного и прикладного программного обеспечения информационных систем персональных данных, весьма полезно узнать, с чем они столкнутся, пытаясь эти угрозы нейтрализовать.
Обо всем в одном коротком посте не рассказать. Будет еще много чего – интересного и разного.
И в заключение - несколько слов на тему, будоражащую моих друзей в Фейсбуке, об избытке мероприятий по информационной безопасности. Я лично в этом проблемы не вижу. Большой выбор – для специалиста всегда хорошо. Никто никого не заставляет посещать все. Возможность выбрать из многого интересное именно тебе – это гораздо лучше, чем информационный вакуум или ограниченный выбор. А законы конкуренции пока никто не отменял. В конечном итоге должны остаться лучшие. Если верить старику Дарвину.

25 сентября 2013 г.

Блогеры, львы, гладиаторы и интересующиеся коммерческой тайной

8-10 октября в павильоне № 7 Экспоцентра на Красной Пресне – традиционная осенняя выставка- конференция  «Инфобез-Экспо».
Наше агентство примет участие в трех мероприятиях. Во второй день конференции, 9 октября, с  12.30 до 14.00 пройдет блогер-панель на этот раз на тему «Стандартизация в информационной безопасности. Какие стандарты нужны и зачем». Тема животрепещущая, и обсудить ее приглашены коллеги, ведущие свои личные блоги, которые много и с удовольствием читают специалисты по информационной безопасности, и не только они.
Алексей Комаров (Злонов) расскажет про близкие каждому отечественному специалисту «Колбасу, дороги и стандарты ИБ», Александр Бондаренко (Security Insight) – про пришедший с Запада PCI DSS, его плюсы и минусы. Михаил Хромов (Ригельз Дыбр) поделится мыслями о том, почему нам нужны стандарты внутренние и для взаимодействия, а ваш покорный слуга (Рецепты безопасности от Емельянникова) – выпишет рецепт для лечения после прочтения стандартов на примере ГОСТ Р 53647.6-2012 и объяснит, почему принимать их вредно. Наталья Храмцовская (Кто не идёт вперед, тот идёт назад) раскроет секреты Международной организации по стандартизации ISO. А Андрей Прозоров (Жизнь 80 на 20) приготовит сюрприз, который преподнесет нам  непосредственно на месте.
Придуманный нами в прошлом году формат блогер-панели оказался вполне удачным и меняться не будет: каждое выступление длится 4-6 минут, а затем обсуждается блогерами и присутствующими в зале. Итого на каждый озвученный пост - 10-15 минут. Скучать будет некогда.
На третий день, 10 октября, я с 12.30 до 14.00 проведу в конференц-зале № 2 мастер-класс, на котором подготовлю ответы на шесть вопросов о коммерческой тайне, которые вы всегда хотели узнать, но стеснялись спросить:
  1. Кому и зачем надо устанавливать режим коммерческой тайны?
  2. Как можно защитить результаты интеллектуальной деятельности, в чем достоинства и недостатки различных режимов защиты (патентное и авторское право, институт коммерческой тайны)?
  3. Можно ли защищать секреты производства и иные сведения, ограничив доступ к информации и не устанавливая режим коммерческой тайны?
  4. Какие режимные меры необходимо принять и как регулировать, отношения с работниками и контрагентами?
  5. Правомерен ли контроль за использованием работниками средств хранения, обработки и передачи информации при реализации режимных мер?
  6. Можно ли защитить свои интересы в суде?
Времени на этот раз для обстоятельного погружения в тему достаточно, поэтому я с удовольствием отвечу на другие волнующие слушателей вопросы. Готовьте.
А закончится конференция традиционным конкурсом продуктов и услуг «Львы и гладиаторы» (10 октября, 14.30-16.00, конференц-зал № 1). Трепать бойцов, выступающих за гладиаторские школы российских и зарубежных вендоров, будут ветераны информационных битв, компетентность и объективность которых никто не рискнет поставить под сомнение. Среди них Дмитрий Устюжанин из «Вымпелкома», Олег Маслов из «Фосагро», Алексей Волков из «Северстали», Артем Кроликов из «АльфаСтрахования», Алексей Овчинников из «X5 Retail Group».
В прошлом году некоторые гладиаторы пожаловались, что львы были недостаточно агрессивны, и им было не страшно на арене. На этот раз мы договорились со львами, что обедать они в день конкурса не будут, так что гладиаторам понадобятся дополнительные доспехи. Пусть готовятся к не самым приятным вопросам.
Будет на конференции и много другого интересного.
Дмитрий Костров, в этом году ушедший из бизнеса в непростую по нынешним временам  жизнь госслужащего и ставший заместителем директора департамента Минкомсвязи, проведет в первый день планарное заседание «Текущая ситуация в мировом киберпространстве. Реальное положение дел. Мнения», на котором обещает разобраться с модными словами «кибер» и «электронный» (-е), которые подставляют сейчас к чему угодно, и проанализировать, как с ними сочетается слово «безопасность». Андрей Москвитин приоткроет тайны Microsoft и расскажет, как обеспечивается безопасность облачной инфраструктуры гиганта и как разместить там информационные системы персональных данных.
Не только интересным, но и непредсказуемым обещает быть обсуждение во второй день темы безопасности АСУ ТП на круглом столе, модерируемом лидерами двух компаний, конкурирующих в одном и том же сегменте рынка – Сергеем Гордейчиком из Positive Technologies и Ильей Медведовским из Digital Security.
Алексей Волков проведет круглый стол «Блеск и нищета DLP-систем», а Рустем Хайретдинов расскажет, как бороться с утечками, сбалансированно используя технические, методические, юридические и кадровые средства.
Дмитрий Устюжанин во второй раз будет ставить опыты в Лаборатории мобильной безопасности. Посетители получат возможность скачать и протестировать понравившееся решение на своем устройстве. Выступающие предоставят несколько тестовых смартфонов, на которых заинтересовавшиеся смогут протестировать предлагаемые продукты. Предложивший лучшее по мнению зрителей решение будет награжден призом. Обещают, что эксклюзивным.
На конференции не будут обойдены стороной проблемы обеспечения безопасности банков, борьбы с мошенничеством и другие.
Надеюсь, что, как и раньше, интересное для себя найдет каждый пришедший на выставку-конференцию. Пригласительные билеты можно оформить здесь.

18 сентября 2013 г.

Мониторинг персонала, DLP, и ментальность

Оценка допустимости контроля со стороны работодателя за действиями своих работников –одна из сложных и наиболее часто обсуждаемых проблем. Евгений Бартов сделал подборку из переводов трех статей, касающихся подходу к организации такого контроля в трех странах – США, Франции и Германии.
Материал интересный, а в преддверии DLP Russia-2013 - весьма актуальный. Учитывая тематику и направленность мероприятия вопросы мониторинга персонала и использования DLP-систем всплывут обязательно. Я, во всяком случае, в своем выступлении «О разрешительной системе доступа к информации, допустимых границах контроля и доверии работнику» об этом обязательно  выскажусь.
В статьях, упомянутых выше, приводятся очень яркие примеры влияния ментальности наций как на сами законы, так и на практику их правоприменения.
Ближе всех к нашему отношению к вопросам мониторинга за персоналом из рассмотренных стран, безусловно, США. Все просто – работодатель может практически все, и это все будет законно. Более того, если действия работников не контролировать, можно влететь в правило «принципал отвечает» и понести конкретные убытки. Ну, а рассмотрение нюансов различных подходов к полноте и содержанию мониторинга, условно названных «нравственность», «прагматичность», «справедливость» и «всеобщее благо», - это от нас еще очень далеко. Мы люди простые и суровые.
С Францией сложнее. Там право на приватность есть, но личную переписку с рабочего места или личные файлы на рабочем компе надо фактически маркировать так, чтобы контролер работодателя мог это однозначно понять. Опять-таки, читать про разумные пределы использования средств работодателя для личных целей в судебных решениях занятно.
А в Германии опять все просто. В целом нельзя. Никогда. Никому. Частная жизнь и приватность священны и неприкосновенны. Но, если очень надо, то все-таки можно. Критерии того, когда допустимо, например, видеонаблюдение в общедоступных местах, впечатляют:
1) отсутствуют признаки нарушения законных интересов людей;
2) наблюдение необходимо для выполнения следующих задач:
·       предоставление возможности государственным службам выполнять свои обязанности;
·       препятствование попаданию нарушителей на территорию;
·       достижение правомерных целей в определенных ситуациях (например, при подозрении в совершении преступления).
Как вам правомерные цели в определенных ситуациях?
При скрытом наблюдении (в общественных местах недопустимо) надо заранее предупредить работников и дать им возможность самостоятельно решать, что можно делать с полученными результатами. Фантастика. А вот еще: «При возникновении конфликта между общими правами работника на приватность и интересами работодателя эти интересы и права подлежат сравнению, чтобы по ситуации определить, что приоритетнее». Или: «Согласно решениям Федерального суда по трудовым вопросам скрытое наблюдение с использованием технических средств разрешается только в следующих случаях:
• имеются конкретные признаки уголовного преступления или иных серьезных правонарушений, осуществляемых за счет работодателя;  
• наблюдение является самым безобидным средством для проверки возникших подозрений;  
• скрытое наблюдение является практически единственным средством решения проблемы;  
• скрытое наблюдение адекватно (например, причины недостач в кассе не могут быть выявлены никаким иным способом)».
Самое безобидное, практически единственное и адекватное. Как критерии допустимости.
Ну и про нас. У нас в законах ничего про это нет. Да и с судебными решениями плохо. Не до этого угнетенному персоналу. Зарплату бы получить.
Поэтому выскажу свою точку зрения. Мониторить можно. Но только открыто. На основании доведенных до работника регламентов. С его согласия. А если не даст – отключим газ (отберем компьютер, электронную почту, интернет – добавить недостающее). И пусть себе трудится и выполняет свои обязанности без всего этого.

А про детали – в пятницу, 20 сентября, на конференции.

16 сентября 2013 г.

Персональные данные в негосударственных пенсионных фондах

Когда речь идет о проектах, связанных с приведением порядка обработки персональных данных в соответствие с федеральным законодательством, очень часто приходится слышать мнение, что дело это простое, шаблонное, думать особо не надо, требования закона одни для всех и т.д. То есть, проблем нет – взял в интернете любой шаблон, подставил нужное название – и все дела. С результатами такого подхода мы сталкивались не раз, когда после прочтения документов, уже имеющихся у клиентов и сделанных весьма солидными компаниями понять, чем занимается оператор, чьи данные, и зачем он обрабатывает, было абсолютно нельзя. Ну, когда торчат ушки другого заказчика, это понятно, тут и обсуждать нечего. А вот когда при всем желании нельзя определить, для кого написаны положение и политика – для банка, провайдера вычислительных услуг или трубного завода – случай уже клинический, хотя и не редкий.
Так получилось, что за прошедший год наше агентство сделало несколько проектов для негосударственных пенсионных фондов, промежуточным итогом которых стало участие в подготовке изменений законодательства, о котором я писал.
На примере этих проектов как раз и можно разобраться, насколько такая работа шаблонна, и чем один проект отличается от другого.
Первая и главнейшая задача – выявить все категории субъектов, чьи данные необходимы фонду для выполнения своих функций в соответствии с законом. В дополнение к традиционным категориям, характерным для каждого из операторов – работникам (в том числе бывшим), соискателям вакантных должностей, представителям контрагентов и посетителям  добавляются весьма специфические группы: вкладчики и участники фонда (а это не всегда одно и то же), застрахованные лица, заключившие договора об обязательном пенсионном страховании, и лица, в пользу которых заключены договора о создании профессиональной пенсионной системы, правопреемники участников фонда и застрахованных лиц (не будем забывать о бренности жизни и сроках, когда наступают выплаты), страхователи, представители субъектов, обращающиеся в фонд по их поручению и др.  
Для каждой такой категории необходимо четко определить правовые основания обработки данных, при необходимости – способы получения согласия на это субъектов (оно должно быть конкретным, информированным и сознательным, и при необходимости оператору придется это доказывать), сформулировать цель обработки персональных данных и конкретные группы сведений, которые необходимо обрабатывать фонду как оператору. Здесь не обойтись без анализа специальных законов. Кроме очевидного «О негосударственных пенсионных фондах» придется покопаться и в таких, как «Об обязательном пенсионном страховании в Российской Федерации», «О дополнительных страховых взносах на накопительную часть трудовой пенсии и государственной поддержке формирования пенсионных накоплений», «Об инвестировании средств для финансирования накопительной части трудовой пенсии в Российской Федерации» и так далее... Эти законы очень важны для определения не только состава обрабатываемых персональных данных, но и сроков их хранения. Например, выяснится, что персональные данные, связанные с трансфер-агентской деятельностью, должны храниться в фонде 6 лет. Или что одной из целей обработки персональных данных работников и их близких родственников является предотвращение конфликтов интересов, для чего необходимы весьма специфические сведения – о наличии у должностных лиц фонда и их родственников в собственности ценных бумаг или долей в уставном капитале организаций, в которые инвестированы средства пенсионных накоплений и наличии заинтересованности в изменении их рыночной цены.
В каждом фонде появляется своя специфика, связанная, например, с размещением вычислительной инфраструктуры в коммерческом облаке или дата-центре по схеме SaaS, PaaS или IaaS (а это сегодня – сплошь и рядом, при этом регулирование отношений между провайдером и фондом может быть осуществлено по совершенно разным схемам), привлечением различного рода организаций – колл-центров, служб доставки, рекламных, ивент-агентств и т.д к работе с клиентами фонда (существующими и потенциальными), и опять-таки, необходимость оценки правовых оснований и условий передачи им персональных данных, наличием и содержанием поручения на обработку. Для агентов и брокеров, действующих в интересах пенсионного фонда, целью такого поручения может быть и сбор персональных данных для заключения фондом в дальнейшем договора пенсионного обеспечения с субъектом.
Все эти вопросы необходимо отразить в локальных актах фонда, в том числе – политике в отношении обработки персональных данных. Если фонд создает на своем сайте для клиентов такой популярный сервис, как личный кабинет, политика должна быть опубликована на сайте обязательно.
И заключительный момент – оценка необходимости направления фондом уведомления об обработке персональных данных в Роскомнадзор. По нашему опыту, под исключения, определенные частью 2 ст.22 ФЗ «О персональных данных», негосударственные пенсионные фонды не подпадают в силу наличия категорий субъектов, не являющихся участниками или выгодоприобретателями по договорам пенсионного страхования и обеспечения. К тому же фраза «персональные данные также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных» и отсутствие в нем упоминания таких оснований для предоставления персональных данных, как случаи, предусмотренные федеральными законами, вообще ставит под сомнения существование исключений в принципе. И практика применения Роскомнадзором ст.19.7 КоАП такой вывод подтверждает.
Вот, если коротко, что такое учет специфики деятельности негосударственного пенсионного фонда оператора. А более подробно об этом можно будет поговорить 16 октября на конференции «Защита персональных данных и автоматизация на финансовом и пенсионном рынках», которую организует и проводит Национальная ассоциация негосударственных пенсионных фондов, пригласившая меня принять участие в мероприятии.

5 сентября 2013 г.

Информационная безопасность железных дорог

По просьбе журнала для менеджмента РЖД я написал статью о проблемах информационной безопасности, которые в первую очередь затрагивают интересы бизнеса транспортников. На мой взгляд, это безопасность АСУ ТП, особенно использующих интернет в качестве транспорта, персональные данные пассажиров, on-line бронирование и приобретение билетов, коммерческая тайна. Если покопаться в интернете, окажется, что сайты и информационные системы железных дорог – одни из самых атакуемых. И то, что ЧП там происходят в основном в силу человеческого фактора, как нам сообщают СМИ, – это еще большой вопрос. Упражнения на PH Days со SCADA от Siemens как-то такой уверенности не вселяют. Правда, в том же журнале менеджеры перевозчиков, довольно далекие от безопасности, уверяют, что все у них хорошо. Но показалось важным, что значительная часть номера весьма специфического журнала со специфической же аудиторией посвящена проблемам безопасности. Не антитеррористической деятельности, не транспортной безопасности и не кадровой даже. Информационной.

Говорят, журнал читает не просто менеджмент, а топ-менеджмент железнодорожного монополиста. Если так, может, кто-то действительно прочитает и задумается.