26.1.18

О законопроекте по "русскому биткойну" в контексте ИБ

Раз уж я вчера упомянул в Твиттере про новый законопроект Минфина "О цифровых финансовых активах", который посвящен регулирования криптовалют в России, то не могу не посвятить ему отдельную заметку. Я не буду погружаться в суть самого законопроекта (только упомяну, что никакой анонимности и возможности майнить обычным гражданам закон не предусматривает); хочу только коснуться одного момента, связанного с этим новым проектом НПА. Речь идет об основе основ - об определении цифрового финансового актива. Звучит оно так: "Цифровой финансовый актив - имущество в электронной форме, созданное с использованием шифровальных (криптографических) средств. Права собственности на данное имущество удостоверяются путем внесения цифровых записей в реестр цифровых транзакций. К цифровым финансовым активам относятся криптовалюта, токен. Цифровые финансовые активы не являются законным средством платежа на территории Российской Федерации" (выделение мое).

Что в толпе делает баран/овца?

Я уж не знаю, целенаправленно или случайно была использована такая формулировка, но именно она ставит крест на всей идее замены биткойнов, которые с легкой руки Н.И.Касперской теперь считаются происками американских спецслужб. Ведь любая деятельность с шифровальными средствами у нас подпадает под жесткое регулирование со стороны ФСБ, а точнее 8-го Центра и ЦЛСЗ.

Согласно действующему законодательству (небезспорному):
  • создание шифровальных средств для создания русской криптовалюты возможно только при наличии лицензии ФСБ на разработку СКЗИ
  • раздача средств создания русской криптовалюты возможно только при наличии лицензии ФСБ на распространение СКЗИ
  • работа майнинговых ферм (и сдача их в аренду), а также криптобирж возможна только при наличии лицензии ФСБ на оказание услуг в области СКЗИ
  • шифровальное средство для создания русской криптовалюты должно иметь сертификат ФСБ на СКЗИ
  • по планам Цифровой экономики вся криптография в Национальной платежной системе и в Рунете должна быть отечественной. Кроме того, получение сертификата ФСБ на СКЗИ означает обязанность реализации отчественных криптографических алгоритмов, описанных в соответствующих ГОСТах.
  • наличие сертификата ФСБ на средство создания русской криптовалюты означает сложности с его вывозом за пределы РФ, так как на вывоз СКЗИ надо получить не только экспертное решение ФСБ, но и экспортное разрешение ФСТЭК. 
Прекрасно же, не так ли?.. То ли авторы законопроекта не знали о таких особенностях регулирования шифрования в России, то ли знали, но осознанно пошли на это с целью формально разрешить, а фактически убит криптовалютный рынок в стране, а может просто криптографический Кракен хочет раскинуть новое щупальце еще и на тему русского биткойна, а также на CasperCoin, CasperCrypt, CryptoCasper, CryptoGod, BitGenius, BitGod и RussianBit (все это названия торговых марок русских криптовалют, которые хочет зарегистрировать одна из компаний, принадлежащих Н.И.Касперской).


Поживем увидим. Может быть в законопроект будут внесены поправки и правильные формулировки?..

10 коммент.:

Zuz комментирует...
Этот комментарий был удален автором.
Zuz комментирует...

Это несколько однобоко, хотя и ясно почему! )))
В проекте закона использован термин шифровальное (криптографическое) средство, а не СКЗИ. Всё-таки термины средство криптографической защиты информации и шифровальное (криптографическое) средство в общем случае имеют несколько иную смысловую нагрузку, если говорить о том же ПКЗ 2005. Там СКЗИ — это криптографические средства, предназначенные для защиты информации конфиденциального характера. Это даёт надежду, что параллельно с законом (или значительно позже, если это кому-то окажется выгодным) могут быть внесены необходимые исключения в соответствующее Постановление Правительства.
Более того, вывод об обязательном наличии сертификата не очевиден. Есть масса криптографических средств, не попадающих под исключения ПП313, без сертификата ФСБ. Как-то ведь их разрабатывают и распространяют?
Вот возьмите, к примеру, браузеры — их сейчас делает и Яндекс, Mail.ru и кто только не делает. В них используются криптографические алгоритмы (прямо в коде, а не через API операционной системы) и ничего, никто не запрещает. И возят компьютеры с таким браузером через границу и ничего.

Александр Германович комментирует...

Даже без всякого закона эта область попадает под "колпак" ФСБ. Перефразируя поэта: Мы говорим "криптография", подразумеваем "ФСБ".
Примеров достаточно: ЭЦП, тахографы...

Алексей Лукацкий комментирует...

Zuz: немного не так :-)
1. Никого не волнует, что там написано в ПКЗ-2005 - это подзаконный акт. Важнее, что написано в ПП-313, а оно говорит о шифровальных средствах.
2. Изменять ПП-313 никто не будет.
3. Криптовалюты не попадают под исключения, указанные в законе.
4. Разработка браузеров без лицензии и сертификата ФСБ - это всего лишь недосмотр регулятора, который закрывает глаза на мелкие нарушения (число инсталляций отечественных браузеров - на уровне погрешности). Другие дело финансовые потоки. Банки вот что-то все получают лицензию ФСБ и своих СКЗИ не разрабатаывают - ибо знают, чем это может закончиться. Уголовные дела против них уже были.

Zuz комментирует...

Алексей я разделяю ваши опасения, но комментарий был о том, что может быть и по другому...
1. Это спорно, что значит не волнует? При проверках реализации лицензионных требований его используют, в судах тоже, при разработке СКЗИ и прочих моментах жизненного цикла тоже. Поэтому можно апеллировать к тому, что тут нет же явной защиты конфиденциальной информации.
Я с трудом представляю как будет вестись разработка СКЗИ являющихся компонентами пиринговой платёжной системы в текущих реалиях. Но меня больше в определении удивило, что криптовалюта может существовать вне экосистемы, где она является платёжным средством. Это же бессмысленно, а в рамках текущего определения криптовалюта отдельно, платёжные системы отдельно. :) И удивило слово "цифровых" вместо классического в нашем законодательстве "электронных". Введено понятие цифрового реестра, вместо использования понятия электронного документа.

2. А почему уверенность, что изменять ПП-313 не будут? Я понимаю, что это может быть выгодно некоторым игрокам, но в общем, если подумать и сделать правильно, может кто-то может обратить внимание людей проводящих экспертизу проекта, и сделать исключение или хотя бы упрощение порядка лицензирования для этого случая, то потенциальных, описанных вами в статье проблем формулировка закона в целом не доставит.

3. Сейчас безусловно да.

4. Есть множество таких проблем, браузеры только самое очевидное и никому до них нет дела, поэтому почему будет дело до криптовалют? Кстати российские браузеры достаточно распространены, тот же Яндекс.Браузер это порядка 20% на компьютерах и 15% от всего объёма устройств в рунете. Или считаете проблема в том, что нет закона, где браузеры были бы явно описаны как криптосредсва? Наверное, да, если бы было явно написано, что барузеры суть криптографические средства, была бы такая же статья и про них. )))

Евгений комментирует...

Zuz, вы как будто из другого мира :) где "пони к... радугой"

1. Интересная позиция, что в криптовалютах "шифровальное (криптографическое) средство" используется не для "криптографической защиты информации". А что же тогда обеспечивает конфиденциальность и целостность транзакций, святой дух?

2."...может быть... если .... может кто-то... сделать исключение или хотя бы..." )))

4. Вы реально не понимаете, почему регулятор почти не занимается криптографией в браузерах и очень плотно занимается этим в банках и банковских системах?

ЗЫ. Причем браузерами уже тоже занимаются, вполне уже сделана разработка встраивания по ГОСТовой криптографии браузеры яндекса, спутник. Мне кажется, уже недалеко то светлое будущее с обязательным использованием только ГОСТовой криптографии для доступа к порталу госуслуг и иже с ним.

Zuz комментирует...

Евгений, обожаю такие переходы на личности. Если есть что сказать по существу, с этого и нужно начинать. )

1. Вы играете словами и приписываете мне то, что я не говорил. Я говорил о защите именно конфиденциальной информации с использованием криптографических средств (то о чём говорит ПКЗ-2005 в части определения понятия СКЗИ). Вы же перевернули так, будто я говорил в целом о криптографической защите информации. Транзакции в реестре - это не "конфиденциальная информация" (она публично доступная и есть у всех). И более того, принято считать, что в указе президента 188 дан соответствующий перечень конфиденциальной информации, о которой говорит ПКЗ-2005, и там нет ничего похожего на блокчейн пиринговой платёжной системы (цифровой реестр транзакций).

С другой стороны, если бы вы проследили всю цепочку рассуждений, то поняли бы, что комментарии был о том, Алексей указал, на "ахтунг" в части искусственного зарегулирования технологии, а я высказал мысль, что могут быть введены исключения как и для других криптографических средств в ПП-313.

2. Вот пока вы будите иронично относиться к реальности и считать, что ничего в этом мире и системе изменить невозможно, то только смайлики и будут появляться. Повторюсь, суть моего комментария сводилась к тому, что Алексей показал только самый негативный сценарий. А он мог ещё подсказать сразу и решение проблемы допустим указав, что вот если бы в ПП-313 будет внесено исключение, то всё не так уж и плохо.

4. А вы понимаете? Просветите, с интересом выслушаю вашу точку зрения. Я же могу только догадываться. Для понимания всей картины в целом у меня недостаточно информации.

Интересно как занимаются банками, если за последние 5 лет подавляющее число банков перешло на шифрование информации на базе TLS с использованием не ГОСТ криптографии и не сертифицированных?
Интересно как банки обслуживают государственные и муниципальные предприятия, где применение сертифицированных СКЗИ является обязательным. А я вам скажу: выдали токен с ГОСТ на борту, а для работы шифрования (конфиденциальности) используется TLS из браузера и типа всё ок.

Помимо браузеров есть куча прикладных приложений и прочих компонентов, где применяются криптографические алгоритмы, что фактически делает их криптографическими средствами и для которых нет исключений в ПП-313 и тишина, годами тишина.

Браузерами занимается бизнес, т.к. это потенциальный госконтракт, т.к. есть распоряжение перевести все госуслуги на полноценный стек технологий, основанный на ГОСТ в части криптографической защиты информации и сделать его доступным каждому гражданину. Как это будет монетизировано не знаю. Но думаю, тому же Яндексу или Маил.ру будет важно, если каждый гражданин будет использовать их браузер.

Алексей Лукацкий комментирует...

Zuz:
1. НПА читают сверху вниз, а не наоборот. Поэтому гораздо важнее, что написано в ФЗ и ПП, а не приказе. Он важен для тех, кто уже лицензиат и занимается разработкой с последующей сертификацией.
2. Ну по ряду источников следует, что менять ПП-313 не будут. Я бы рад указать решения проблемы, но в этом вопросе экспертов по ИБ вообще мало кто слушает.
3. И не попадут в обозримом будущем. Практика показывает, что исключений больше не будет.
4. Яндекс.Браузер на 15% Интернета? Чур меня. Откуда такие цифры? Это, как мне кажется, цифра завышена на порядки.

Zuz комментирует...

Алексей:
1. Да никто не спорит же, всё так. Акцент был на том, что в проекте закона про шифровальные (криптографические) средства, а не про СКЗИ (хотя, конечно, это, вполне себе, равнозначные термины, в рамках ПП-313), что даёт потенциальную возможность для соответствующего исключения, без негативных эффектов (посмотрите как в ПП-313 построен раздел с исключениями, есть шифровальные (криптографические) средства, на которые требования ПП-313 не распространяются).
2-3. Жаль, подумалось, что у вас есть возможность донести позицию и обсудить с людьми, которые могут повлиять на ситуацию.
4. В среднем чуть ниже, порядка 10%, на десктопах выше честные 20%: https://roem.ru/03-07-2017/253747/yandex-brouser-vs-chrome/
И в каждом таком браузере есть куча криптографии. )))

Алексей Лукацкий комментирует...

1. В контексте ФСБ я всегда исхожу из worst case. Термины равнозначные и для исключений я не вижу оснований :-) Как минимум в части разработки и распространения
2. До ФСБ, увы, нет. Они не любят критику ни в какой форме и давно уже закуклились в себе
4. Использование браузеров может попасть под исключения (как и ОС). Но именно использование.