31 октября 2013 г.

Интернет 21–го века от естественного монополиста

Самая замечательная в мире компания-перевозчик по железным дорогам «Российские железные дороги», в простонародье – РЖД,  предоставляет самую современную услугу широкополосного доступа к интернету прямо из вагона. Об этом написано на окне каждого купе каждого вагона, в рекламном буклете на столике и даже в тамбурах. Вы не поверите – доступ раньше был, и я им пользовался. И даже из поезда. И даже смотрел футбол, что совсем невероятно.
В этот раз было не до футбола. Заказчику срочно надо было отправить изменения в документы, поэтому первое после входа в вагон, что я сделал, даже до переодевания в форму российского путешественника по железным дорогам – футболку и спортивные брюки - включил ноутбук, увидел сигнал на 65 мб/с и успокоился. Счастье есть.
Проводница сообщила, что доступ появится после того, как мы тронемся, она принесет мне талончик с логином и паролем, но как-то странно на меня посмотрела. Я этому значения не придал, подготовил документы к отправке и стал ждать торжественного момента отправления.
…Проводница пришла минут через пятнадцать после покидания перрона. С башкирским медом, чипсами, фисташками, мельхиоровыми подстаканниками по полторы и три штуки и лотерейными билетами. Не обнаружив встречного энтузиазма, она расстроилась, а про интернет стала отвечать уклончиво – мол, этим она не торгует, а так, посредничает, поэтому счастья от моего приобретения Wi-Fi радости ей не будет никогда, и присно, и во веки веков. Но пообещала дать гостевой доступ на 7 минут просто-таки даром, и если мне понравится,- платный, либо за 100 деревянных в час, либо за 400 – безлимитный (т.е. на 36 поездок в поезде, маршрут которого занимает менее 12 часов) 
Гостевой доступ мне не понравился, но он все-таки был. Правда, минуты три, но я списал это на трудности роста новой услуги и ошибся катастрофически и фатально.
Придя за талончиком на безлимитный доступ, безысходную тоску в глазах проводницы я снова проигнорировал, тем самым сделав очередную ошибку. Вагон-дама честно предупредила, что интернет у них, как мобильная связь по дороге от Самары до Москвы и типа башкирского меда: то есть, то совсем нет. Слово «есть» обрадовало, и несчастная женщина пошла в штабной вагон за логином и паролем. Принесла.
С тех пор и до Москвы интернет так и не появился. Через пару часов безуспешного стука в сетевые сервера я нашел на чеке телефон технической поддержки провайдера – компании «РуСат». И дозвонился с первого раза, причем трубку взяли на том конце почти сразу.
Юноша, представившийся «технической поддержкой» (а что вы хотели?) грустно согласился, что проблемы с доступом бывают, и попросил подождать светлого будущего, когда он (доступ) появится. Наверное.
Как всегда в начале разговора с техническим службами, я вежливо поинтересовался, что я купил у компании «РуСат». «Доступ в интернет», - также вежливо ответил мне юноша. Я попытался возразить, что доступа таки и нет. Хелп-деск-юноша на удивление легко согласился и с этим и сообщил, что деньги, если что не так, мне вернут, а уж с этим согласился я, правда, поинтересовавшись, как конкретно.
Дальше началось, как поет классик, средне-русское веселье. «Напишите по адресу sales@rusat.com, укажите что-то там, и деньги у вас в кармане». На пока еще очень вежливый вопрос, как быстро и каким образом мне сообщили, что компания «РуСат» ответит на все мои вопросы, а возврат денег – не проблема, поскольку у меня есть банковский счет, на который мне все и вернут. Потом. Тезис о наличии счета и безусловном доступе к нему неизвестного мне интернет-спутник-провайдера показался мне спорным. «А вы где работаете?», - также вежливо продолжил я. «В Русат, но в техподдержке», не менее деликатно. Далее, видимо, я был корректен и убедителен. Помощник на доске поинтересовался моим логином и номером поезда, и после короткой паузы грустно сообщил, что «наш поезд забыли подцепить к интернету». То есть спутники с антеннами летят мимо и нас не видят, но персоналу поезда сказать об этом не посчитали нужным, и он воздухом уверенно торгует, рассказывая про схожесть интернета и сотовой связи в плане непредсказуемости получения услуги. Судя по натренированности проводниц, далеко не в первый раз.
Кстати, интернет махнул птичьим крытом пару раз – около полуночи и утром. Но приаттачить текстовый файл и отправить письмо так и не удалось. Для такого интернета 500 килобайт – неподъемная ноша.
В действительности имело место нарушение лицензионных условий предоставления услуг связи, обман потребителя и мошенничество в одном флаконе. Убедившись, что поддерживающий меня юноша номер моего телефона видит, я ему об этом и сказал, предложив передать мое мнение руководству и сообщив как про появление этого поста, так и про последующие жалобы в Роскомнадзор, Роспотребнадзор, ФАС и прокуратуру при отсутствии реакции на мой звонок.
Для информации: в посте описано оказание услуг в поезде № 9, отправившегося  29.10.2013 из Самары в Москву.
Пост опубликован. Ждем развития событий. 

24 октября 2013 г.

Слушания в Совете Федерации по изменениям в 152-ФЗ

Сегодня под председательством спикера Совета Федерации В.И. Матвиенко, с участием сенатора Р. Гаттарова, депутата Д. Вяткина, министра Н. Никифорова, представителей ФСБ, операторов связи и экспертного сообщества (кого признал в зале) прошли парламентские слушания «Законодательное обеспечение прав субъектов персональных данных при их автоматизированной обработке». Слушания – заключительный этап стараний рабочий группы, созданной по инициативе Р. Гаттарова, которая готовила предложения по изменению закона.
Редкий случай, когда участием в работе госоргана и, главное, результатом, я удовлетворен полностью.
Итак, Совфед обещал не позднее 1 декабря этого года инициировать законопроект о внесении изменений в Федеральный закон 152-ФЗ «О персональных данных».
Отметив неоднозначность формулировок действующего закона и избыточность некоторых требований к операторам, стремясь к достижению баланса между техническими требованиями и ответственностью оператора за утечки данных граждан, предлагается перекосы устранить и внести правки, которые можно разбить на шесть групп. Положения нового законопроекта кратко излагаю с моими комментариями, которые я высказал на слушаниях.
1.   Ввести понятие субоператора (сейчас это лицо, осуществляющее обработку персданных по поручению оператора) и, главное, отказаться от требования обязательного согласия субъекта на поручение обработки персональных данных субоператору, сохранив ответственность оператора перед субъектом и ограничив возможность обработки субоператором целями и условиями, установленными оператором. Здорово.
2.   Наконец-то прямо написать, что конфиденциальность не требуется в отношении персональных данных, сделанных общедоступными субъектом, обезличенных, подлежащих опубликованию или обязательному раскрытию. Общедоступность персональных данных лица, ответственного за их обработку у оператора, ликвидировать как класс.
3.   Прямо предусмотреть возможность получения согласия субъекта на обработку персональных данных дистанционно, путем использования электронных средств (т.е., например, через веб-форму на интернет-сайте), которые позволяют оператору в согласии (например, путем простановки галочки). Учитывая практику правоприменения и постоянные попытки смешать требования 152-ФЗ и ст.159 Уголовного кодекса, я предложил дополнить часть 1 ст.9 словами «Ответственность за правомерность и достоверность дистанционно предоставляемых персональных данных лежит на субъекте, их предоставивших» (или чем-то аналогичным).
4.   Наконец-то связать биометрию с возможностью автоматической идентификации и считать биометрическими только те персональные данные, которые оператором для автоматической идентификации используются. Я ранее предлагал более радикальную формулировку, но подойдет и эта. Единственное, предложил убрать из определения «поведенческие характеристики», опять-таки исходя из практики правоприменения – мы до этого еще не доросли, а лишние слова в законе порождают лишние проблемы.
5.   В законе предлагается описать порядок обработки персональных данных иностранных граждан, собранных за пределами России, и регулировать эти вопросы законодательством государств, где такие данные собираются. Все правильно, но мало. Надо прямо указать, что при трансграничной передаче персональных данных на территорию иностранных государств требования по их защите определяются законодательством соответствующего государства. Это могло бы решить две основные проблемы, существующие сегодня: хостинг ИСПДн в зарубежных дата-центрах и передачу персданных в головные (или специально определенные) офисы иностранных и транснациональных компаний, работающих на территории России, в том числе от «дочек» зарубежных банков, страховых компаний, промышленных предприятий и т.д.
6.   Самое радикальное, на мой взгляд. Просто процитирую законопроект. «Состав и содержание установленных Правительством Российской Федерации требований по обеспечению безопасности персональных данных при их обработке операторами для целей предоставления государственных и муниципальных услуг или исполнения иных государственных и муниципальных функций устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий». Соответственно, контроль и надзор за соблюдением этих мер со стороны ФСБ и ФСТЭК возможен только в отношении указанных операторов. И никаких наделений полномочиями в отношении частных компаний. Все остальные (не-госы) защищают данные по международным, российским или собственным стандартам. Естественно, ФСБ и примкнувший к ней Роскомнадзор не согласны, поэтому шансов на прохождение таких формулировок мало. Но можно пожить с надеждой, подержать кулачки и скрестить пальцы.
Есть еще ряд предложений, на мой взгляд, закон только улучшающих. Я предложил добавить в закон определения утечки персональных данных и их неправомерного использования.
Проект поддержан практически всеми участниками процесса его создания и обсуждения, за исключением указанных выше. Есть воля вносить изменения в комплексе: с ужесточением ответственности за нарушения операторами требований закона и расширением состава административных правонарушений, передачей полномочий по возбуждению административных дел от прокуратуры Роскомнадзору, увеличением сроков привлечения к ответственности, полной отменой плановых проверок и наделением Роскомнадзора полномочиями по проведению внеплановых по обращениям и жалобам субъектов.
В.И. Матвиенко пообещала, что такие слушания станут не разовой акцией, а системой. Тем временем Межведомственный экспертный совет Минсвязи готовит свои предложения, а Н. Никифоров по просьбе Матвиенко будет готовить почву в Правительстве для правильного восприятия инициативы. 

22 октября 2013 г.

Безопасность и приватность в цифровом мире обсудили, впереди – использование электронной подписи

Сегодняшняя дискуссия о приватности в цифровом мире с Ф. Циммерманном, С. Рябко и В. Смирновым на «Информационной безопасности России 2013» (о ней я писал) мне понравилась. И не потому, что я ее вел (как говаривал незабвенный Константин Аркадьевич, «не поймите меня правильно»). Обсудить с тремя умнейшими и интеллигентными людьми то, что кажется тебе важным – бесценно. Началась она со справедливого замечания Филиппа о том, что компромисс в английском языке наряду с положительным имеет и негативный смысл – соглашательство, частичное, неполное исполнение требований. И разговор пошел о добровольном отказе людей от неотъемлемого права на частную жизнь, обмене свободы на безопасность и отсутствие того и другого в результате (В. Смирнов очень к месту привел высказывание Беджамина Франклина). 
Самым большим пессимистом неожиданно (для меня, во всяком случае) оказался С. Рябко. В разумность и осмотрительность homo sapiens он не верит категорически и заразил этим неверием остальных. Вывод печальный: человеку, желающему отстоять право на частную жизнь, но не готовому отказаться от благ и соблазнов глобальной сети, никто, кроме него, не поможет. Минимизировать размещаемую в сети информацию и свое присутствие на публичных ресурсах, тщательно оценивать свое доверие к посещаемым сайтам и предлагаемым сервисам, поднимать и настраивать средства защиты на персональном компьютере, шифровать решениями от независимых вендоров все, что шифрованию поддается – путь самурая в эпоху интернет. И обязательно при размещении информации о себе в сети помнить правило Миранды цифрового мира, которое я сформулировал еще в июне 2011 года: «Все, что вы указали о себе в сети, будет храниться там вечно и всегда может быть использовано против вас».
Завтра на блогер-панели «Электронная подпись - простая, усиленная, квалифицированная: что, где, когда» ждем следующих выступлений:
Первое - В. Смирнов: «Электронная подпись: регулирование и обратная связь», самые общие вопросы применения электронного аналога собственноручной. Углубляет С. Муругов, акцентируясь на областях применения: «Проблематика PKI, электронных документов, юридической силы, электронных подписей и трансграничного обмена». Затем Н. Храмцовская определяет ниши для конкретных реализаций: «Простая и усиленная квалифицированная подписи: своя ниша есть у каждой из них». Ю. Маслов расскажет о подробностях: «Технология реализации электронной подписи – истина в деталях». Разгружаю я, очень быстро пытаясь решить вопрос из практики: «Хочу нанять дауншифтера с Бали» (это про удаленный найм и работу в свете новой главы 49.1 Трудового кодекса «Особенности регулирования труда дистанционных работников»).
Так что заглядывайте. Надеюсь, будет не менее интересно.

19 октября 2013 г.

22-23 октября: дискуссия Фила Циммерманна и российских криптографов. И не только их, и не только об этом

В Москве пройдет еще одна конференция по информационной безопасности с простым названием «Информационная безопасность России 2013». Поскольку предложение поучаствовать я принял, расскажу о том, что мне кажется на предстоящей конференции наиболее интересным.
Самое главное, наверное, приезд в Россию Филиппа Циммерманна, одного из гуру безопасности и фактически «отца» гражданской криптографии, основателя и разработчика легендарного Pretty Good Privacy (PGP). Фил обещал поучаствовать в полуторачасовой генеральной сессии «Безопасность и приватность в цифровом мире: в поисках компромисса». Помимо Ф.Циммерманна в обсуждении примут участие 3 специалиста в области криптографии из России:
·         Владимир Смирнов, Генеральный директор Сигнал-КОМ     
·         Дмитрий Рябко, Президент Группы компаний С-Терра          
·         Михаил Емельянников, Управляющий партнер Консалтингового агентства "Емельянников, Попова и партнеры" (модератор сессии).  
Тема утраты приватности лично меня волнует давно и серьезно (и здесь еще), вот и разберемся, насколько такие опасения оправданы, растет ли опасность проникновения в частную жизнь со стороны государства, насколько серьезны кражи «электронной личности» и почему люди, довольно замкнутые в обычной жизни, готовы рассказать о себе в интернете все. Обсудим, к чему это ведет и можно ли гражданину, не готовому жить «с окнами без штор», самостоятельно противостоять атакам на приватность.
Кроме генеральной сессии, планируется, что Ф. Циммерманн утром второго дня на часовой сессии в формате живого общения ответит на вопросы участников конференции, а после обеда проведет мастер-класс «Как защитить себя и свой бизнес в условиях глобального контроля?».
Предметом дискуссии на первой панели первого дня, участниками которой станут Максим Степченков из «IT Task», Дмитрий Головин из ФГУП МГРС и Евгений Веселов из НПО «Эшелон», будет тема технической защиты персональных данных после Постановления № 1119 и приказа ФСТЭК № 21. Мы будем обсуждать:
·         что поменялось и поменялось ли в подходе регуляторов,
·         стало ли проще или сложнее,
·         почему ФСБ в своих документах пишет об обязательной сертификации, а ФСТЭК – об оценке соответствия,
·         когда оператор должен считать актуальными угрозы персональным данным первого и второго типа,
·         что делать, если он признал их актуальными.
Во второй день пройдет организуемая мною блоггер-панель, название которой говорит само за себя – «Электронная подпись - простая, усиленная, квалифицированная: что, где, когда». Формат с короткими постами известных специалистов, пишущих об ИБ, впервые опробованный мною на «Инфобез-Экспо» в прошлом году, слушателям понравился, дискуссии получаются нешуточными, поэтому именно в этом формате мы и поговорим с людьми, не просто знающими об электронной подписи все, но и делящимися своими знаниями и раздумьями в сети - Юрием Масловым («Крипто-Про»), Сергеем Муруговым  («Топ Кросс»), Владимиром Смирновым («Сигнал-КОМ») и Натальей Храмцовской («Электронные офисные системы»). Где можно и где категорически нельзя использовать конкретные виды электронных подписей, когда подписанные ими документы становятся юридически значимыми, кто и как регулирует применение аналогов собственноручных подписей – в коротких выступлениях участников панели.
Программа конференции обещает еще ряд интересных мероприятий. Как новые информационные технологии, появляющиеся практически каждый день, вписываются в прокрустово ложе требований Банка России обсудят участники дискуссионной панели «Новые технологии информационной безопасности в платежных системах и их соответствие требованиям Центрального Банка России». А на второй день тема безопасности банковских систем продолжится на панельной дискуссии «Методики аудита безопасности и мониторинга событий в системах ДБО».
Участники технологических дебатов в первый день будут оппонировать, обсуждая полюсы и минусы аутсорсинга информационной безопасности, а во второй - технологии обнаружения и предотвращения утечек информации, причем участник дискуссии будет представлять три разные продвигаемые их компаниями DLP-решения. А почтенная публика в зале будет иметь возможность высказать, что она обо всем этом думает.
Илья Медведовский организует круглый стол, посвященный теме, все чаще выходящей на первый план – анализу исходного кода. Кстати, тем, кто признает актуальными угрозы, связанные с наличием недекларированных возможностей системного и прикладного программного обеспечения информационных систем персональных данных, весьма полезно узнать, с чем они столкнутся, пытаясь эти угрозы нейтрализовать.
Обо всем в одном коротком посте не рассказать. Будет еще много чего – интересного и разного.
И в заключение - несколько слов на тему, будоражащую моих друзей в Фейсбуке, об избытке мероприятий по информационной безопасности. Я лично в этом проблемы не вижу. Большой выбор – для специалиста всегда хорошо. Никто никого не заставляет посещать все. Возможность выбрать из многого интересное именно тебе – это гораздо лучше, чем информационный вакуум или ограниченный выбор. А законы конкуренции пока никто не отменял. В конечном итоге должны остаться лучшие. Если верить старику Дарвину.