09.08.2016

Как российским разработчикам СКЗИ могут закрыть выход на Запад

Продолжу тему с депонированием ключей и включением лазеек в отечественные средства шифрования, которые могут быть узаконены согласно двум поручениям Президента, о которых я написал вчера. Какой бы вариант не был выбран, он будет иметь катастрофические последствия для отечественной индустрии СКЗИ, исключая отдельные направления, в которых будет установлена обязанность применять средства шифрования и отказаться от этого будет нельзя.

Про эти последствия говорили до и во время принятия "закона Яровой", хотя и с упором на рынок телекоммуникаций. На рынок шифрования просто никто не обращал внимания. Во-первых, он пока не такой уж и большой, а во-вторых, сами производители средств шифрования, являющиеся лицензиатами ФСБ, не будут противоречить органу, который эти лицензии и выдает. Да и рано пока говорить о последствиях - подзаконные акты еще не приняты и мы не знаем, к чему это все приведет. Однако можно вновь обратиться к истории и посмотреть, о чем говорили в США, во времена принятия инициативы Clipper, во время законопроекта SAFE, во времена нашумевших законов Patriot Act и USA Freedom Act.

Кто будет покупать продукты, о которых известно, что они содержат закладки для спецслужб? Никто. Для американской экономики это было бы серьезным потрясением - продукция Microsoft, Cisco, Apple, Oracle и других ИТ-компаний распространена по всему миру и отказ от нее стал бы сильным ударом по доминирующей позиции Америки в ИТ-мире (это если не брать потери для каждой из компании в отдельности). Для России, которая иногда меняет риторику и вместо импортозамещения говорит о экспортопригодности, такие закладки стали сразу бы могильной плитой, не позволившей выбраться продукции за пределы локального рынка. Да и на локальном рынке объемы продаж бы сильно просели - кто захочет покупать решение о котором известно, что оно уязвимо и вся информация может на законных основаниях утечь в ФСБ; даже если скрывать и особо нечего? Хотя где вы видели компанию или человека, которым нечего скрывать?

Когда в Конгрессе обсуждался так и не принятый законопроект SAFE, с высокой трибуны прозвучало следующее: "Некоторые облачают дебаты вокруг криптографии в доспехи сражения приватности и безопасности. Наши активные консультации со стейкхолдерами, однако, привели нас к выводу, что проблему можно свести к борьбе безопасности с безопасностью. Криптография защищает критическую инфраструктуру, торговые секреты, финансовые транзакции, частную жизнь и информацию. В тоже самое время, криптография мешает силовым ведомствам отслеживать преступников, собирать доказательства, предотвращать террористические атаки и защищать общественный порядок. Изначально, законодатели и некоторые представители силовых ведомств верили, что решение на поверхности: законодательно предоставить силовикам доступ к зашифрованной информации по решению суда. К сожалению, затея повлекла за собой нежелательные последствия. В частности, встал вопрос о необходимости редизайна средств криптографии для встраивания так называемых “back doors” – уязвимостей, снижающих общий уровень защищенности криптосредств. В действительности, такие закладки обязательно будут использованы плохими парнями, но не обязательно дадут выигрыш хорошим парням. Глобальная индустрия стремительно меняется. Клиенты настаивают, чтобы компании встраивали средства криптографии в свои продукты на повседневном, бытовом уровне. Мы только сейчас начинаем понимать всю степень влияния этой глобальной трансформации. Если США наложат ограничения на использование криптографии, американские технологические компании могут потерять свой конкурентное преимущество на глобальном рынке. Более того, исследования показывают, что 2/3 предложений криптографических продуктов находятся за пределами США. Таким образом, плохие парни все равно смогут получить эту технологию от зарубежных поставщиков не находящихся под юрисдикцией США".

В 1998 году The Software Alliance (BSA) опубликовало отчет, в котором оценило потери от внедрения систем депонирования ключей. Согласно этим оценкам было выделено 4 категории затрат/потерь:
  • операционные затраты (поддержка и контроль ключей, реагирование на запросы),
  • пользовательские затраты (выбор, использование и поддержка соответствующих систем, а также потери, связанные со случайным раскрытием информации),
  • затраты на редизайн средств шифрования,
  • государственные затраты (тестирование средств депонирования, их сертификация, аттестация специальных служащих, работа с запросами).
В итоге получились следующие консервативные цифры:
  • общие прямые затраты - 7,7 миллиардов долларов США в год,
  • пользовательские затраты - 1,7 миллиарда долларов в год,
  • затраты бизнес- и домашних пользователей на то, чтобы соответствовать требованиям по депонированию - 6 миллиардов долларов в год,
  • средняя ежегодная стоимость реализации одного решения суда на доступ к зашифрованным коммуникациям - 12 миллионов долларов США.
К счастью, так и не удалось проверить на практике, насколько эти оценки были верны. Зато ущерб можно прикинуть после того, как Сноуден разоблачил американские спецслужбы, которые следили за людьми по всему миру и могли по своему желанию вмешиваться в процесс поставки любой ИТ-продукции из США и внедрять в нее закладные устройства. Фактов последнего так и не было представлено, но несмотря на это шумиха в прессе привела к падению продаж многих американских ИТ-компаний как внутри США, так и за ее пределами. Вот несколько примеров:
  • сокращение продаж Cisco на 7% в странах с растущей экономикой, а например, в Китае - на 18%
  • германское правительство отказало Verizon в продлении контракта на оказание Интернет-услуг
  • американские облачные провайдера могут потерять в следующие три года от 22 до 35 миллиардов долларов США. Forrester Research предсказывает и того больше - 180 миллиардов за 3 года.
  • Qualcomm видит недоверие со стороны зарубежных партнеров и прогнозирует снижение продаж в ряде регионов. Об этом же говорят в Microsoft, IBM и HP.
  • 25% канадских и британских компаний (а они должны быть лояльны США) перенесли свои данные из американских облачных хранилищ.
  • Бразильцы отказали компании Boeing в контракте на сумму в 4,5 миллиарда долларов (он ушел в Saab).
  • 47% пользователей по опросу Harris'а изменили свое поведение в Интернет после того, как стало известно о слежке со стороны АНБ, а 26% стало меньше покупать в онлайн и пользоваться Интернет-банкингом.
  • Многие американские компании стали строить центры обработки данных за пределами США, чтобы обезопасить данные своих зарубежных клиентов (а это миллиардные затраты).
  • Еще больше примеров можно найти тут и тут
Конечно речь идет не о системах депонирования ключей, но указанные примеры все равно легитимны - они также говорят о вмешательстве спецслужб в деятельность ИТ/ИБ-компаний и последовавших за этим потерях. Да, в случае с российскими компаниями, потери будут ниже - и объемы не те, и международной экспансии пока не произошло. Но потери будут. Вплоть до полного краха выхода на зарубежные рынки - в случае наличия легальных закладок со стороны ФСБ российские продукты ничем не будут отличаться от того, что АНБ пыталась сделать в 1993-м году с системой депонирования ключей и от того, что оно сделало с системой глобальной прослушки PRISM спустя двадцать лет.

8 коммент.:

Michail Bogachenko комментирует...

Кто будет покупать продукты, о которых известно, что они содержат закладки для спецслужб? Никто
---
Алексей Викторович, т.е. вы уверены в надежности зарубежных ИТ решений на отсутствие НДВ? почему у нас люди заклеивают камеры на ноутбуках, но при этом их покупают :)

второй момент, я на сколько помню в пакете Яровой разговор не идет про зарубежные рынки только про отечественные, в чем сложность выпускать другой продукт на импорт? тут скорее больше интерес той компании которую вы представляете)
спасибо вам за статью, я вас считаю одним из лучших экспертом в своей области.

Алексей Лукацкий комментирует...

1. Одно дело знать на 100% о закладке и совсем другое о том, что возможно есть дыра
2. Закон касается всех, включая разработчиков. Он не делает разницы между гражданами России и не России

Dmitry Osipov комментирует...

Коллеги, а разве сейчас кто-то на Западе покупает СКЗИ российских разработчиков?
Ну, разве что в принудительном порядке, когда надо встроится в электронный документооборот с нашими госами или банками... А так, чтобы сознательно для защиты себя любимого, я таких случаев не знаю. Медленные, глючные, требуют танцев с бубном при установке и настройке, лицензии ФСБ для самостоятельной эксплуатиции...

Их и в России-то покупают из-под палки.

Подводя итоги, мне этих разработчиков совсем не жалко.

Michail Bogachenko комментирует...

1. Не согласен, Спросите у любого человека, имеют ли возможность спецслужбы прослушать телефон,прочитать почту без его ведома и т.д. если возникнет такая необходимость. И какой ответ будет у большинства?

Michail Bogachenko комментирует...
Этот комментарий был удален автором.
Michail Bogachenko комментирует...

Согласен, но все меняется, посмотрим что будет лет через пять.

Алексей Лукацкий комментирует...

Dmitry, были грандиозные планы по экспансии ;-) На волне Сноуденовских разоблачений. Особенно арабам интересно было

Арсен Григоров комментирует...

Ну сейчас пошли сложные отношения между различными странами, https://www.nur.kz/ когда я начитаюсь новостей, очень страшно становится, что будет с нами дальше. А вообще мне кажется скоро все наладиться, иначе война у нас не продлиться и больше часа из-за ядерных бомб, по этому не переживайте друзья мои.