Незапланированный пост. Под впечатлением участия в CTCrypt в Екатеринбурге. Хорошее мероприятие, интересное. Изначально было ориентировано на общение криптографов из научной и академической среды. В этом году попытались включить еще и "общественность", т.е. понять и услышать потребности бизнеса и общества в современной криптографии. Чем может помочь регулятор и научная среда в части криптографии?.. Первый опыт. Получилось динамично, хотя и не до конца это оказался круглый стол, как было заявлено ;-) Язык не поворачивается назвать его круглым, если в президиуме в гордом одиночестве сидит Алексей Сергеевич Кузьмин (первый зам.начальника 8-го Центра), а вся остальная аудитория перед ним. Вспомнился сразу мультфильм "Маугли" и "мудрый Каа" ;-)
Меня пригласили туда высказаться о том, чего не хватает на российском рынке криптографии. Я и высказался, озвучив достаточно стандартный набор проблем, которые у нас есть - зарегулированность, сложности с импортом и экспортом криптографии, сложности признания зарубежных реализаций ГОСТа в России, необходимость разделения криптографии на "гражданскую" и "государственную". Ничего нового. Некоторые коллеги говорили об аналогичных трудностях, добавив и про закрытость требований к разработке СКЗИ (именно к СКЗИ, а не реализуемым в них алгоритмам), и про невозможность экспорта нашей криптографии хотя бы на Ближний Восток, где американская криптография вызывает отторжение, и т.д.
А дальше слово взял Алексей Сергеевич Кузьмин и опроверг меня по всем пунктам ;-) Обвинив меня в незнании законодательства, поверхностном знании рынка и непонимании момента, оказалось, что у нас нет ни одной из названных проблем. Все давно уже решено. И криптографию можно ввозить (правда, по непростой процедуре и с непрозрачными правилами выдачи разрешений на ввоз). И вывозить ее тоже можно (правда тоже по очень непростой процедуре). И ФСБ, оказывается, несет ответственность за взлом сертифицированной криптографии (правда, почему-то к ФСБ никто исков не хочет предъявлять). И реализовывать наши ГОСТы можно без получения лицензии ФСБ (правда, только если разработчик зарубежный и продает он такие СКЗИ также за пределами России). Как будто мы в разных мирах живем ;-)
Мне эта дискуссия живо напомнила общение с Барановым Александром Павловичем. Будучи первым замом в 8-м Центре, он высказывался точно также. Но стоило ему уйти в ФНС, как его взгляды поменялись и он достаточно активно стал критиковать Службу примерно по тем же направлениям, что я и озвучивал. Взгляд на криптографию с точки зрения потребителя отрезвляет и многие догмы уже не кажутся таковыми, когда сталкиваешься на практике с процедурой ввоза и эксплуатации СКЗИ ;-)
Вторая часть круглого стола прошла более живо и такого противостояния уже не было. Были озвучены реальные задачи, стоящие перед отраслью - высокоскоростное шифрование, обновление ГОСТ 28147-89, открытие требований к разработке СКЗИ, M2M-шифрование, криптография в АСУ ТП, телемедицине, трейдинге. Многие из них были восприняты регулятором и помечены, как актуальные. Это позитивно. Кого интересуют детали - смотрите мой Twitter (я там публиковал избранные тезисы).
А теперь немного философии. Вчера я прочитал в "Русском репортере" интересный материал "Душа фээсбэшника". Не буду особо комментировать текст - к нему можно относиться по разному. Но там показан очень интересный взгляд представителя спецслужбы на "интересы государства". Вот именно такой позиции, как мне кажется, придерживается и 8-й Центр ФСБ. Ведь с точки зрения "интересов государства" все, что делают в России иностранные ИТ-компании - это потенциальная (а местами и реальная) угроза национальной безопасности. Какие нафиг интересы гражданина и общества? Это академик Рыжов мог думать о национальной безопасности в контексте приоритета защиты прав гражданина. ФСБ думает в контексте приоритета прав государства. И с этой позиции либерализация ввоза зарубежных СКЗИ, разрешение TLS с AES в Интернет, отделение "гражданской" криптографии с отказом от ее регулирования, экспорт шифрования (как технологий двойного назначения), сертификация СКЗИ не на ГОСТе - это все угроза государству, которой нельзя дать реализоваться. Ну и что, что это замедляет прогресс. Ну и что, что это не дает гражданам реализовывать свое право на свободный доступ к информации. Ну и что, что это мешает инвестициям в российскую экономику. Ну и что, что российским предприятиям приходится платить в 5-6 раз больше за российские СКЗИ, которые по своим потребительским характеристикам хуже западных аналогов. Ну и что, что нет прозрачных правил и все решается "в частном порядке". Что с того, если на кону безопасность России! И это не пафосное заявление. Сотрудники ФСБ реально так думают.
Проблема в том, что они не допускают возражений и иных толкований ;-( Они считают, что любой сотрудник иностранной компании - это агент влияния, который работает против России, а не для защиты ее интересов (бывает и такое). Они считают, что граждане тупы и не могут сами выбирать, какой криптографией пользоваться (отчасти, конечно, правы). Они считают, что западные разработчики не в состоянии качественно реализовать ГОСТ и не насовать в реализацию закладок для иностранных спецслужб (много таких случаев?). Они считают, что защищать персональные данные гражданина надо также, как и гостайну (а гражданину пофиг - он вообще готов свои ПДн продавать). Они считают, что если вероятность реализации угрозы отлична от нуля, то с ней надо бороться в любом случае и принимать риски нельзя ни в коем случае (хотя весь мир уже давно живет в риск-ориентированном пространстве). Вся идеология сотрудников ФСБ (как минимум 8-го Центра) делится на "белое" и "черное". Есть враги и есть друзья. Последних меньше, первых больше. И только ФСБ стоит на страже национальной безопасности. А ради нее можно и потерпеть неудобства, вытекающие из закручивания гаек.
Такая позиция неплоха и нехороша. Это просто позиция. С ней можно соглашаться, а можно спорить. Ее можно принимать, а можно пытаться исправить ситуацию. Лично я ее понимаю, но принять не могу. Но мое мнение регулятора не интересует (хотя я знаю, что этот блог они читают). Это позиция регулятора, который имеет вес в государстве. И имеет историю и специфический бэкграунд. И Президент нашей страны тоже из этой же структуры и думает он также. А поэтому можно сколь угодно долго и много разглагольствовать о том, что подход этот неверен и надо искать компромиссы и находить баланс между интересами государства и гражданина, но результата у этих разглагольствований не будет. Не будет пока сам регулятор этого не захочет. А он этого не хочет. И не видит смысла. И считает свою позицию непоколебимой.
Справедливости ради надо отметить, что ситуация постепенно сдвигается с мертвой точки. Если раньше регулятор был в глухой обороне и напрочь закрыт от комментариев и высказывания своей позиции по тем или иным вопросам, то сейчас стало чуть лучше. Регулятор уже готов слушать. Не факт, что прислушиваться, но как минимум слушать. А это уже первый шаг в сторону нахождения компромисса. Регулятор слушал и даже отвечал на РусКрипто. Регулятор слушал и отвечал на конференции АЗИ. Регулятор слушал и отвечал на CTCrypt. И это только за это год. Значит и ФСБ может меняться, когда видит, что в этом есть необходимость. Но очень уж медленно. Остается только ждать и верить...
Меня пригласили туда высказаться о том, чего не хватает на российском рынке криптографии. Я и высказался, озвучив достаточно стандартный набор проблем, которые у нас есть - зарегулированность, сложности с импортом и экспортом криптографии, сложности признания зарубежных реализаций ГОСТа в России, необходимость разделения криптографии на "гражданскую" и "государственную". Ничего нового. Некоторые коллеги говорили об аналогичных трудностях, добавив и про закрытость требований к разработке СКЗИ (именно к СКЗИ, а не реализуемым в них алгоритмам), и про невозможность экспорта нашей криптографии хотя бы на Ближний Восток, где американская криптография вызывает отторжение, и т.д.
А дальше слово взял Алексей Сергеевич Кузьмин и опроверг меня по всем пунктам ;-) Обвинив меня в незнании законодательства, поверхностном знании рынка и непонимании момента, оказалось, что у нас нет ни одной из названных проблем. Все давно уже решено. И криптографию можно ввозить (правда, по непростой процедуре и с непрозрачными правилами выдачи разрешений на ввоз). И вывозить ее тоже можно (правда тоже по очень непростой процедуре). И ФСБ, оказывается, несет ответственность за взлом сертифицированной криптографии (правда, почему-то к ФСБ никто исков не хочет предъявлять). И реализовывать наши ГОСТы можно без получения лицензии ФСБ (правда, только если разработчик зарубежный и продает он такие СКЗИ также за пределами России). Как будто мы в разных мирах живем ;-)
Мне эта дискуссия живо напомнила общение с Барановым Александром Павловичем. Будучи первым замом в 8-м Центре, он высказывался точно также. Но стоило ему уйти в ФНС, как его взгляды поменялись и он достаточно активно стал критиковать Службу примерно по тем же направлениям, что я и озвучивал. Взгляд на криптографию с точки зрения потребителя отрезвляет и многие догмы уже не кажутся таковыми, когда сталкиваешься на практике с процедурой ввоза и эксплуатации СКЗИ ;-)
Вторая часть круглого стола прошла более живо и такого противостояния уже не было. Были озвучены реальные задачи, стоящие перед отраслью - высокоскоростное шифрование, обновление ГОСТ 28147-89, открытие требований к разработке СКЗИ, M2M-шифрование, криптография в АСУ ТП, телемедицине, трейдинге. Многие из них были восприняты регулятором и помечены, как актуальные. Это позитивно. Кого интересуют детали - смотрите мой Twitter (я там публиковал избранные тезисы).
А теперь немного философии. Вчера я прочитал в "Русском репортере" интересный материал "Душа фээсбэшника". Не буду особо комментировать текст - к нему можно относиться по разному. Но там показан очень интересный взгляд представителя спецслужбы на "интересы государства". Вот именно такой позиции, как мне кажется, придерживается и 8-й Центр ФСБ. Ведь с точки зрения "интересов государства" все, что делают в России иностранные ИТ-компании - это потенциальная (а местами и реальная) угроза национальной безопасности. Какие нафиг интересы гражданина и общества? Это академик Рыжов мог думать о национальной безопасности в контексте приоритета защиты прав гражданина. ФСБ думает в контексте приоритета прав государства. И с этой позиции либерализация ввоза зарубежных СКЗИ, разрешение TLS с AES в Интернет, отделение "гражданской" криптографии с отказом от ее регулирования, экспорт шифрования (как технологий двойного назначения), сертификация СКЗИ не на ГОСТе - это все угроза государству, которой нельзя дать реализоваться. Ну и что, что это замедляет прогресс. Ну и что, что это не дает гражданам реализовывать свое право на свободный доступ к информации. Ну и что, что это мешает инвестициям в российскую экономику. Ну и что, что российским предприятиям приходится платить в 5-6 раз больше за российские СКЗИ, которые по своим потребительским характеристикам хуже западных аналогов. Ну и что, что нет прозрачных правил и все решается "в частном порядке". Что с того, если на кону безопасность России! И это не пафосное заявление. Сотрудники ФСБ реально так думают.
Проблема в том, что они не допускают возражений и иных толкований ;-( Они считают, что любой сотрудник иностранной компании - это агент влияния, который работает против России, а не для защиты ее интересов (бывает и такое). Они считают, что граждане тупы и не могут сами выбирать, какой криптографией пользоваться (отчасти, конечно, правы). Они считают, что западные разработчики не в состоянии качественно реализовать ГОСТ и не насовать в реализацию закладок для иностранных спецслужб (много таких случаев?). Они считают, что защищать персональные данные гражданина надо также, как и гостайну (а гражданину пофиг - он вообще готов свои ПДн продавать). Они считают, что если вероятность реализации угрозы отлична от нуля, то с ней надо бороться в любом случае и принимать риски нельзя ни в коем случае (хотя весь мир уже давно живет в риск-ориентированном пространстве). Вся идеология сотрудников ФСБ (как минимум 8-го Центра) делится на "белое" и "черное". Есть враги и есть друзья. Последних меньше, первых больше. И только ФСБ стоит на страже национальной безопасности. А ради нее можно и потерпеть неудобства, вытекающие из закручивания гаек.
Такая позиция неплоха и нехороша. Это просто позиция. С ней можно соглашаться, а можно спорить. Ее можно принимать, а можно пытаться исправить ситуацию. Лично я ее понимаю, но принять не могу. Но мое мнение регулятора не интересует (хотя я знаю, что этот блог они читают). Это позиция регулятора, который имеет вес в государстве. И имеет историю и специфический бэкграунд. И Президент нашей страны тоже из этой же структуры и думает он также. А поэтому можно сколь угодно долго и много разглагольствовать о том, что подход этот неверен и надо искать компромиссы и находить баланс между интересами государства и гражданина, но результата у этих разглагольствований не будет. Не будет пока сам регулятор этого не захочет. А он этого не хочет. И не видит смысла. И считает свою позицию непоколебимой.
Справедливости ради надо отметить, что ситуация постепенно сдвигается с мертвой точки. Если раньше регулятор был в глухой обороне и напрочь закрыт от комментариев и высказывания своей позиции по тем или иным вопросам, то сейчас стало чуть лучше. Регулятор уже готов слушать. Не факт, что прислушиваться, но как минимум слушать. А это уже первый шаг в сторону нахождения компромисса. Регулятор слушал и даже отвечал на РусКрипто. Регулятор слушал и отвечал на конференции АЗИ. Регулятор слушал и отвечал на CTCrypt. И это только за это год. Значит и ФСБ может меняться, когда видит, что в этом есть необходимость. Но очень уж медленно. Остается только ждать и верить...
24 коммент.:
Они психические. Пока с ними не сделают так же, как в Румынии в 1989 году - будем гнить.
Очевидна необходимость изменения парадигмы информационных отношений в мире, в России, и, ее составляющей - концепции ИБ. Интересы национальной безопасности одни, бизнеса другие, граждан третьи и в типах информационных отношений между ними имеется еще большое число разных рисков и интересов. Однако не всем это очевидно и, главное, нет написанной и понятной концепции, как обустроить информационную Россию, где провести линии раздела интересов, и как договориться об этом с иностранцами. Ситуация характерна не только для России. Пример, дебаты по проекту PRIZM. Кто-то считает, что слежка за инострацами это национальная безопасность, кто-то, что следить необходимо и за иностранцами и за своими и без решений суда, а кто-то считает, что нарушаются фундаментальные права человека. Т.е. проблема не техническая и даже не правовая, а скорее философская. Решить ее можно разработав общую модель разграничения доступа к разным категориям информации для всех обозримых типовых случаев и согласовав ее на международном уровне. Тогда станет проще решать задачи ИБ и писать НПА по защите.
Очевидна необходимость изменения парадигмы информационных отношений в мире, в России, и, ее составляющей - концепции ИБ. Интересы национальной безопасности одни, бизнеса другие, граждан третьи и в типах информационных отношений между ними имеется еще большое число разных рисков и интересов. Однако не всем это очевидно и, главное, нет написанной и понятной концепции, как обустроить информационную Россию, где провести линии раздела интересов, и как договориться об этом с иностранцами. Ситуация характерна не только для России. Пример, дебаты по проекту PRIZM. Кто-то считает, что слежка за инострацами это национальная безопасность, кто-то, что следить необходимо и за иностранцами и за своими и без решений суда, а кто-то считает, что нарушаются фундаментальные права человека. Т.е. проблема не техническая и даже не правовая, а скорее философская. Решить ее можно разработав общую модель разграничения доступа к разным категориям информации для всех обозримых типовых случаев и согласовав ее на международном уровне. Тогда станет проще решать задачи ИБ и писать НПА по защите.
Всегда найдутся "голоса толпы", призывающие народ к революции, а ab-2 явно претендует, видимо, занять место рук-ля 8 центра.
«свобода любого человека заканчивается там, где начинаются права других людей», или: интересы одной компании заканчиваются там, где начинаются интересы государства.
Tomas, в России есть концепция информационной России. Называется ФП "Информационное общество" ;-)
Упс, не Tomas, а Target
Возражений и согласий у меня много и по каждой фразе. И даже по одной и той же фразе есть и то и то, в зависимости от точек зрения. Это при том, что в целом я на стороне ФСБ)))), даже просто потому, что они по-любому информирование и смотрят на ситуацию гораздо шире, с учетом "исторических" событий. Но хотелось бы остановиться на 2 вопросах. Причем (ВНИМАНИЕ!!!) вырву их из контекста.
1. >>А поэтому можно сколь угодно долго и много разглагольствовать о том, что подход этот неверен и надо искать компромиссы и находить баланс между интересами государства и гражданина, но результата у этих разглагольствований не будет.
Ненавижу слово "баланс". Я даже "вычислял" круг "зараженных" ))) - и очень он показательным оказывался (причем началось с персоналки, а потом раза 3 (в ГД и от Прохорова с профсоюзами по поводу нового ТК )слышал абсолютно такие же обоснования абсолютно по другим вопросам - слово в слово). Ну какой баланс??? Кто о нем говорит (простите Алексей, как говорится, кроме присутствующих тут)? Стоит, пусть, надзиратель и рассуждает о балансе своих интересов и интересов заключенного. Причем заключенных об их интересах никто и не спрашивал. Какой тут баланс может быть? Только не надо говорить про "экспертное сообщество"! Кто говорит о балансе , кто его в свою сторону делает, тот сообщество и собирает. НЛП работает на 100% (ходили в прессе слухи, что решение Обамы о вводе войск в афган было тщательно срежиссировано - блохи на любимой собаке, плачущие невыспавшиеся дети, смерть собачки, вовремя подсунутый на подпись приказ). При определенном ресурсе обоснование баланса можно сделать в любую нужную сторону. Но Чалдини рулит )))
2. Мое личное мнение. Крамольное. Но... Криптография в гражданском секторе СЕЙЧАС не нужна вообще. Почему? СКЗИ без комплексного подхода к защите информации (или даже :) информационной безопасности) - пиво без водки (по типу, а нафига бронированную дверь в палатку установили???). А комплексной защиты нет. Например, какие из казначейств (все же знают что они сейчас ЭП выдают напропалую всем госам-муниципалам) требуют, ну пусть, аттестации (как мерила комплексности) места с их СКЗИ? Даже не так. Задайте им вопрос - "нужна ли аттестация", или ДАЖЕ, "а антивирус надо ставить" (это требование между прочим формуляра)? Или про соболь/аккорд спросите. Я уж не говорю о МЭ!!! Вот и вся криптография. Нафига ловить пакеты в сети, если есть доступ к самому документу? Зачем перевозить золото в бронефургоне, если его после выгрузки хранить не улице и без охраны? А передаются с помощью этих самых ЭП ДЕНЕЖКИ! Или казначейства перенимают опыт банков (см. ниже)?
А про "прочную дверь" и решетки/сигнализацию, например, в КАЖДОМ кабинете врача (а там, между прочим вот вот ЭП появится, а где-то уже появилось для подписывания диагнозов) говорить? Да больницы РАЗВАЛИВАЮТСЯ!!!! Хотите фотки выложу где ВСЯ стена в палате прооперированных поросла грибком, а больные по уши в антибиотиках (и ведь еще и выживают!). А что делать с компом поста, на котором может работать до ПАРЫ СОТЕН(!) врачей (дежурные, приходящие, постоянные, ординаторы, студенты-медики, практиканты, ит.дит.п.), ведь он стоит В КОРРИДОРЕ!!!! И рядом с ним НЕ может постоянно находиться ДАЖЕ медсестра (ее больные все время отвлекают своими стонами и уколами от охраны СКЗИ).
Про по...фигисское отношение админов к СКЗИ. Для них эта фигня (СКЗИ КРИПТОПРО) не отличается от winrarа. Поставил и работает. Захотел - переустановил на Windows Black Hacker Virus 100% Edition. Что, что??? СФК???
Говорить ли о передаче руководителями СВОИХ ЭП бухам? Не доверенности и выписывания им ЭП, а СВОЕГО ЭП. Или проставление в ViPNete галочки помнить пароль? Какая к черту криптография???
В коммерческом секторе вся криптография заканчивается на банкклиенте, СБИСе и ЭП для ЗАКУПКИ.ГОВ.РУ Т.е на взаимодействии с госами! (Напоминалка: про МЭ, НСД, антивир и т.п. - ни слова - украдут денежки - банк ни при делах: СКЗИ сертифицированное - значит виноват сам клиент - и это таки правда! - помните про казначейство?). А магазинам пофиг на шифрование каналов - оно только мешает, ведь "мы используем встроенное шифрование ВИНДОВСА!" Персданные??? Это когда паспортные данные передаются??? НЕТ??????? Просто полные ФИО наших сотрудников и их зарплаты?????? Это персданные??????? Ну тогда они у нас есть... (повторяемость фраз, интонаций в разговорах просто поражают).
Кстати, а как работают ОБЯЗАТЕЛЬНЫЕ Соболь и Аккорд с новыми материнками? Что, говорите будут гарантировано работать при закупке от пары сотен? А для одного надо искать старый комп? Или пробовать, пробовать, пробовать. Да пофиг, что комп уже купили и никто его менять не будет. А для замены их на сертифицированный СекретНет нужно заключение ФСБ (да знаю я что нельзя :_( менять).
Вот это реальное лицо реальной российской криптографии. О шифровании каналов при госуслугах автор поста и так уже много написал.
PS А криптоалгоритм может быть офигительным (стойким-стойким), но если ключ не менять 10 лет при положенном 1 годе, передавать зашифрованное сообщение еще и параллельно в открытом виде, хранить ключи шифрования на столе открытого кабинета... Я бы в ТАКИХ условиях ЭКСПЛУАТАЦИИ СКЗИ лучше бы их вообще не применял, чтоб не обманываться и не изумляться, что меня на бабло кинули.
PS2 ВСЕ ЧТО ЗДЕСЬ НАПИСАНО МОЕ ЛИЧНОЕ МНЕНИЕ!!!!! ДА, да...
Крамольное мнение ;-) Я частично не согласен ;-)
Я про надзирателя не правильно написал (((. Надо было про тигра, доедающего антилопу и размышляющего о балансе их с антилопами интересов. Так, на мой взгляд нагляднее.
Все больше не буду, а то еще больше напишу (((
ZZubra, несколько гиперболезировано, но в целом согласен :).
Алексей, то что вы описали, не плохо и не хорошо - когда это просто мнение некоторых людей. Когда же это государственная политика... Это плохо. Безопасность это всегда баланс между эффективностью/производительностью и запретами/ограничениями. Наша страна уже сейчас в глубокой технологической ж.пе, эффективность государственного управления - даже ж..й назвать - уже будет похвалить. В то время, как другие страны стараются выжить в цивилизационной гонке, максимально повысив свою эффективность, для чего используют лучшие наработки, где только могут их оторвать - наша государство надеется одними запретами для "поддержки отечественного производителя" выйти и перегнать мировой уровень. Почему-то мне кажется, что когда разразится мировой кризис, с таким подходом наша страна будет далеко не в победителях. Это-то и грустно.
Кстати, ZZubra: "...ФСБ)))), даже просто потому, что они по-любому информирование и смотрят на ситуацию гораздо шире, с учетом "исторических" событий".
Да-да, почему же они в своем анализе не учитывают исторический опыт СССР, причины краха его экономической модели, а продолжают наступать на одни и те же грабли??? Может быть потому, что там уже не осталось таких уж сильных специалистов по стратегическому анализу? И все что они могут - это пытаться манипулировать общественным мнением, пытаясь доказать, что на титанике все хорошо?
Два муравья пинают слона.
- слышь может того нафиг?!
- не не продолжаем, он слабеет!
То, что ФСБ должна иметь Возможности и Волю не вызывает сомнений. Опасность может быть в коммерциализации активов и организации взаимодействия но это сложный вопрос...
2Евгений:
>>ZZubra, несколько гиперболезировано, но в целом согласен :)
Да нифига. Я смягчил все дико. И имею смелость обобщать свой опыт на всю страну, т.к. не всегда жил и работал в одном городе.
>>Кстати, ZZubra: "...ФСБ)))), даже просто потому, что они по-любому информирование и смотрят на ситуацию гораздо шире, с учетом "исторических" событий".
Да-да, почему же они в своем анализе не учитывают исторический опыт СССР, причины краха его экономической модели, а продолжают наступать на одни и те же грабли???...
В ФСБ я пока верю. И такие суждения считаю не обоснованными, т.к. они опять построены на чудовищно неполной информации. IMHO
Кстати исторических - в кавычках, потому что я имел ввиду не Историю, а взаимосвязь разных событий во времени, не видную из точек этой связи. Очень наглядно это показано в Ёлках (обеих частях). Фишка в том, что это все правда. И этим можно пользоваться. И все спецслужбы мира - пользуются. Кстати старческая мудрость построена как раз на этих взаимосвязях.
2 Евгений Родыгин:
мы все муравьишки. Но, когда я прикидываю за сколько лет с нуля Королев ... ну вы поняли.
2 ZZubra:
Ну у Королева была Воля Возможности плюс он взял жизнь и положил на алтарь победы...
Жизнь положил - так и так все умрут - он занимался любимым делом.
Возможности - он их сам и создал.
А вот вокруг ВОЛИ все и вертится.
А чем мы хуже? :)
Вот я хочу чтоб при моей жизни мною созданная организация запустила космические "истребители" - минимум как БОР но с человеком. И такие же хотельщики есть в США и они уже начали все это воплощать. И по мере сил я это буду делать и стремиться. Путь длинный и сложный, но не длиннее и сложнее чем у Королева. А обучение и т.п. вещи - это база для рывка, для того, чтобы все потом, за пределами человеческой продолжительности жизни продолжалось.
Алексей Лукацкий очень поверхностно, особенно про "душу". Согласен с ZZubra.Необходимо научиться обращаться с информацией, а многие этого не умеют. Сейчас разрабатываются и продаются достаточное количество сертифицированных средств, под различные классы защиты КС1, КС2. Разрабатывают и продают в России отечественные производители и список их огромен. Люди со своими профилями в различных соц.сетях, с номерами наших операторах связи, с карточными счетами в банках(с иностранным капиталом) достаточно контролируемы, информацию о них возможно получить не напрягаясь. О какой защите данных в гражданском и гос.секторе может идти речь.
У ФСБ круг обязанностей шире и знают они лучше, плюс наследие хорошее досталось:)
>>О какой защите данных в гражданском и гос.секторе может идти речь.
Ну не это я говорю! Защищать НАДО!)))) Я говорю, что есть яичницу не пожарив ее перед этим не возможно.
Как можно строить систему защиты информацию по госту, если этот гост подразумевает предварительное создание информационной системы по другому госту? Как можно строить ИС, если перед этим должны появиться основания? А перед основанием должна быть необходимость! А перед необходимостью - проблема!
Неужто система ЕГЭ ничему не учит? Кто сейчас может сказать НАФИГА ее создали? Изначально, те кто ее задумывали.
А у нас все наоборот. Защищаем то, чего никто не создавал. И угроза наказания за незащиту не созданных/не существующих систем. Разве этого никто не понимает? А если понимают, то зачем это делать???
Давайте выпустим постановление правительства о порядке создания ИС! Там пропишем ГОСТы, как в 17 и пусть заработает тот самый реестр госсистем. И пусть все боятся не ФСБ/ФСТЭК, а того кто будет проверять наличие/отсутствие ИС (не буду дальше цепочку разворачивать). Вот где начало. Нельзя рожать, а потом беременеть!
Я так думаю, что для начала хорошо бы уяснить: грабли и эволюция – понятия из разных областей, но как их совместить знают только у нас!
А начать надо сначала, только для того чтобы начать сначала нужно вернуться к началу. А вот тут появятся вопросы: Кто мы и куда мы шли до этого, а и лыжню-то, лыжню, кто прокладывал? А кому охота быть Сусаниным?
«Проблема в том, что они не допускают возражений и иных толкований» - особенно когда существует масса толкований одного и того же понятия! Я о начале.
«Справедливости ради надо отметить, что ситуация постепенно сдвигается с мертвой точки. Если раньше регулятор был в глухой обороне и напрочь закрыт от комментариев и высказывания своей позиции по тем или иным вопросам, то сейчас стало чуть лучше. Регулятор уже готов слушать. Не факт, что прислушиваться, но как минимум слушать. А это уже первый шаг в сторону нахождения компромисса.» - больной вроде как умер, но начал подавать признаки жизни! Складывается впечатление, что таким образом выполняется пункт великой цели по сближению с сообществом, при этом никто никому ничего не говорит, но признаки явно просматриваются.
И закончу на традиционной ноте: А в общем и целом Я ЗА!
Всё, что делает ФСБ - делается для того, чтобы всё, чем им положено заниматься, было под контролем. Пожелания подконтрольных в расчет не принимаются. Авторитет представителей сообщества ИБ не дотягивает до требуемого уровня, поскольку большинство представляет интересы подконтрольных.
Другой вопрос, что дисбаланс между драконовскими мерами регулирования отдельных механизмов обеспечения ИБ и общим уровнем ИБ - катастрофичен. Но это уже совсем другая история..
Вот читаю я и не понимаю, а кто вообще решил, что гражданам и обществу нужна та криптография, которую разрабатывают отечественные компании под присмотром ФСБ? Да им нафиг это не нужно. Им достаточно какого-нибудь простенького PGP или TrueCrypt, а то и просто флешки с встроенным шифрованием за 20 баксов.
Но 8-й Центр почему-то считает, что граждане (и коммерческие потребители) тупы и не могут сами выбирать то, что им нужно. Почему-то они считают, что гражданину нужно втюхать ГОСТ со стойкостью 2^256, взламывать который "в лоб" будут сотни лет. А зачем это гражданину? Может ему легкая криптуха нужна со стойкостью в год-два. А может его и DES обычный устраивает. В любом случае это ЕГО риски, а не ФСБ, которая в любом случае не несет никакой ответственности за выданные сертификаты.
Отпустите уже гражданина на волю - пусть сами своими рисками управляет. Или выстраивайте полноценную систему повышения осведомленности, обучения, подготовки кадров по вопросам ИБ. А то сидят на своем троне и надзирают. Делать тоже что-то надо. Если делают только для защиты государевых тайн, то пусть и занимаются ими.
"Всё, что делает ФСБ - делается для того, чтобы всё, чем им положено заниматься, было под контролем."
Вы знаете, где легче всего осуществлять контроль, чтобы подопечные не натворили чего-нибудь не того? На кладбище. Все тихо, все лежат спокойно, никто правил не нарушает, государственной безопасности не угрожает - красота...
//Но 8-й Центр почему-то считает, что граждане (и коммерческие потребители) тупы и не могут сами выбирать...
Я сам выбираю и определяю чем пользоваться, при чем здесь 8 центр?
Потому что все, что вы выбираете еще ОФИЦИАЛЬНО ввезти в Россию надо ;-)
Да не думает никто о гражданине и не думал никогда. Никто не даст хлынуть в РФ "вражеской" криптографии бесконтрольно, потому что тогда ГОСТ похоронят на том самом спокойном правильном кладбище - кто его использовать то будет, а? Гос.конторы - да они следом начнут "выть", что скорости не те, и т.д., как ФНС уже.
Алексей, а что Вы думаете нужно сделать, чтобы ГОСТ стал так же распространен как AES, какие шаги? Мне кажется, что "если нужно что-то делать", то не закрываться за железным занавесом СКЗИ с ГОСТ, а нести ГОСТ в массы, тогда и мировые компании будут его использовать в своих продуктах и будет всем счастье.
Отправить комментарий