Вчера, депутат Гутенев внес в Гоcдуму законопроект №492034-6 "О внесении изменений в некоторые законодательные акты Российской Федерации", суть которого проста до безобразия - запретить чиновникам и госслужащим пользоваться несертифицированными мобильными устройствами. В качестве решаемой законопроектом проблемы депутат Гутенев называет защиту служебной тайны и персональных данных федеральных госслужащих от действий иностранной технической разведки посредством использования недекларированных возможностей технических средств мобильной связи. Ну а в модель угроз депутат включает:
- нарушение конфиденциальности передаваемых переговоров и SMS, электронной почты и данных, передаваемых при посещении сайтов в Интернет
- несанкционированный доступ к контактам
- несанкционированное дистанционное управление мобильным устройством
- контроль местоположения абонента
- активация вредоносных программ, мещающих связи абонента
- нарушение безопасности мобильных транзакций.
В модели угроз ничего нового - часть угроз даже забыта (я про модель угроз мобильного устройства на конференции Яндекса рассказывал). Интересно другое. Бороться с этой проблемой депутат предлагает путем запрета всем федеральным госслужащим пользоваться мобильными устройствами с ПО, непрошедшим сертификацию по требованиям безопасности. Аналогичный запрет должен коснуться работников госкорпораций и госкомпаний.
У данного законопроекта есть ряд очевидных проблем. Во-первых, согласно указу Президента Российской Федерации от 31 декабря 2005 г. № 1574 "О Реестре должностей федеральной государственной гражданской службы" к федеральным госслужащим не относятся ни Президент, ни премьер-министр, ни его заместители, ни федеральные министры, ни губернаторы, ни судьи, ни служащие государственных предприятий, учреждений и технических исполнителей в государственных органах, ни иные должности категории "А". Т.е. законопроект не распространяется на очень большое количество потенциальных секретоносителей.
Во-вторых, законопроект, умышленно или случайно, говорит не о том, что на мобильном устройстве должно быть сертифицированное по требованиям безопасности ПО, а обо всем устройстве с ПО, прошедшими сертификацию. А такая сертификация, да еще и на отсутствие НДВ, представляет собой большую проблему. Я вообще не очень уверен, что найдутся производители мобильных устройств, которые готовы будут отдать системотехнику для сертификации на отсутствие НДВ. С софтом как раз проще - Инфотекс, С-Терра, КриптоПро, Диджитал Дизайн с удовольствием освоят для себя новый сегмент рынка.
В-третьих, судя по тому, что речь идет борьбе с иностранными техническими разведками сертификацией должна заниматься ФСТЭК. В то время как сертификацией средств защиты для информационных систем I-го класса согласно 104-му приказу Минкомсвязи (а именно к ним относятся информационные системы общего пользования: Правительства Российской Федерации, федеральных министерств, федеральных служб и федеральных агентств, руководство деятельностью которых осуществляет Президент Российской Федерации, федеральных служб и федеральных агентств, подведомственных этим федеральным министерствам), должна заниматься ФСБ.
В-четвертых, в пояснительной записке к законопроекту говорится, что дополнительных расходов из бюджета на реализацию закона не понадобится. Как бы не так. Устройств, которые бы позволили выполнить требования законопроекта не очень много. Если не рассматривать наложенное на любой Android сертифицированное защитное ПО и, похоже, снятый с производства Voice Coder Mobile от Сигнал-Кома, а также отбросить зарубежные устройства Sectra, Sagem, Rohde&Schwarz, CryptoPhone, Secusmart, Blackphone, то получится что в РФ есть только одно устройство, которое бы удовлетворяло требованиям законодательной инициативы депутата Гутенева. Речь идет о продукции НТЦ "Атлас", а точнее о мобильных устройствах SMP-АТЛАС 2003-го года и его усовершенствованная версия SMP-АТЛАС/2 2010-го года. Цена на первую версию этих устройств достигала 100 тысяч рублей. Вторая версия может обойтись значительно дешевле - при партии в 1000 штук цена на устройство может составить около 49 тысяч рублей. Умножив эту цифру на общее число госслужащих, сложно говорить об отсутствии расходов из федерального бюджета.
Можно, конечно, упомянуть и еще одного производителя защищенных GSM-устройств - компанию Анкорт и ее криптосмартфон StealthPhone. На мой взгляд именно это решение лучше всего подходит под задачу, опсианную депутатом Гутеневым. В StealthPhone не только обеспечивается конфиденциальность мобильных разговоров и SMS посредством специального чипа, а не наложенным ПО, но и присутствует специальные фильтры и металлический экран, которые предотвращают опасные излучения. Также в криптосмартфоне "Анкорт" отсутствуют такие высоко излучающие элементы, как видеокамера, Bluetooth, инфракрасный порт, съемная дополнительная память, Wi-Fi. Т.е. и вероятность утечки по техническим каналам у этого устройства гораздо ниже стандартного смартфона, обвешанного навесным ПО. Но у продукции Анкорт есть один недостаток - я не нашел сведений о наличии сертификата на изделие, выданного любым из отечественных регуляторов.
Но есть и еще одна проблема с реализацией рассматриваемого законопроекта. И решение Анкорт, и решение Атлас, и решения с наложенным ПО обеспечивают только конфиденциальность мобильных переговоров и, может быть, SMS. А что делать с остальными угрозами, упомянутыми Гутеневым? Как бороться с вредоносными программами? Как предотвращать несанкционированный удаленный доступ? Как защититься от определения местоположения абонента (это вообще от телефона мало зависит и может быть реализовано оператором мобильной связи)? Есть ли готовые и сертифицированные и неконфликтующие между собой решения на эти угрозы? Вопрос пока остается без ответа. Как собственно и ответ на вопрос о перспективах законопроекта. На волне патриотизма сейчас вносится множество законопроектов, которые должны гарантировать России цифровой суверенитет, но вот пока ни один из них не дошел даже до этапа первого чтения, не говоря уже про подписание у Президента. Но если законопроект Гутенева и ждет более завидная судьба, чем у его собратьев, то реализовать его на практике будет сложно. Да и чиновников заставить отказаться от своих Vertu или "дешевых" iPhone будет сложновато...
Во-вторых, законопроект, умышленно или случайно, говорит не о том, что на мобильном устройстве должно быть сертифицированное по требованиям безопасности ПО, а обо всем устройстве с ПО, прошедшими сертификацию. А такая сертификация, да еще и на отсутствие НДВ, представляет собой большую проблему. Я вообще не очень уверен, что найдутся производители мобильных устройств, которые готовы будут отдать системотехнику для сертификации на отсутствие НДВ. С софтом как раз проще - Инфотекс, С-Терра, КриптоПро, Диджитал Дизайн с удовольствием освоят для себя новый сегмент рынка.
В-третьих, судя по тому, что речь идет борьбе с иностранными техническими разведками сертификацией должна заниматься ФСТЭК. В то время как сертификацией средств защиты для информационных систем I-го класса согласно 104-му приказу Минкомсвязи (а именно к ним относятся информационные системы общего пользования: Правительства Российской Федерации, федеральных министерств, федеральных служб и федеральных агентств, руководство деятельностью которых осуществляет Президент Российской Федерации, федеральных служб и федеральных агентств, подведомственных этим федеральным министерствам), должна заниматься ФСБ.
В-четвертых, в пояснительной записке к законопроекту говорится, что дополнительных расходов из бюджета на реализацию закона не понадобится. Как бы не так. Устройств, которые бы позволили выполнить требования законопроекта не очень много. Если не рассматривать наложенное на любой Android сертифицированное защитное ПО и, похоже, снятый с производства Voice Coder Mobile от Сигнал-Кома, а также отбросить зарубежные устройства Sectra, Sagem, Rohde&Schwarz, CryptoPhone, Secusmart, Blackphone, то получится что в РФ есть только одно устройство, которое бы удовлетворяло требованиям законодательной инициативы депутата Гутенева. Речь идет о продукции НТЦ "Атлас", а точнее о мобильных устройствах SMP-АТЛАС 2003-го года и его усовершенствованная версия SMP-АТЛАС/2 2010-го года. Цена на первую версию этих устройств достигала 100 тысяч рублей. Вторая версия может обойтись значительно дешевле - при партии в 1000 штук цена на устройство может составить около 49 тысяч рублей. Умножив эту цифру на общее число госслужащих, сложно говорить об отсутствии расходов из федерального бюджета.
Можно, конечно, упомянуть и еще одного производителя защищенных GSM-устройств - компанию Анкорт и ее криптосмартфон StealthPhone. На мой взгляд именно это решение лучше всего подходит под задачу, опсианную депутатом Гутеневым. В StealthPhone не только обеспечивается конфиденциальность мобильных разговоров и SMS посредством специального чипа, а не наложенным ПО, но и присутствует специальные фильтры и металлический экран, которые предотвращают опасные излучения. Также в криптосмартфоне "Анкорт" отсутствуют такие высоко излучающие элементы, как видеокамера, Bluetooth, инфракрасный порт, съемная дополнительная память, Wi-Fi. Т.е. и вероятность утечки по техническим каналам у этого устройства гораздо ниже стандартного смартфона, обвешанного навесным ПО. Но у продукции Анкорт есть один недостаток - я не нашел сведений о наличии сертификата на изделие, выданного любым из отечественных регуляторов.
Но есть и еще одна проблема с реализацией рассматриваемого законопроекта. И решение Анкорт, и решение Атлас, и решения с наложенным ПО обеспечивают только конфиденциальность мобильных переговоров и, может быть, SMS. А что делать с остальными угрозами, упомянутыми Гутеневым? Как бороться с вредоносными программами? Как предотвращать несанкционированный удаленный доступ? Как защититься от определения местоположения абонента (это вообще от телефона мало зависит и может быть реализовано оператором мобильной связи)? Есть ли готовые и сертифицированные и неконфликтующие между собой решения на эти угрозы? Вопрос пока остается без ответа. Как собственно и ответ на вопрос о перспективах законопроекта. На волне патриотизма сейчас вносится множество законопроектов, которые должны гарантировать России цифровой суверенитет, но вот пока ни один из них не дошел даже до этапа первого чтения, не говоря уже про подписание у Президента. Но если законопроект Гутенева и ждет более завидная судьба, чем у его собратьев, то реализовать его на практике будет сложно. Да и чиновников заставить отказаться от своих Vertu или "дешевых" iPhone будет сложновато...
Что-то стойкое шифрование поверх голосового кодека похоже на туфту. Насколько мне известно, эту задачу никто нормально не решил.
ОтветитьУдалитьТак проверь :-)
ОтветитьУдалитьну так а где описание того, как оно работает? а бизнес-модель отличная -- совместить продажу snake oil со сливом информации, которую ее обладатели уже за тебя любезно классифицировали как ценную и конфиденциальную.
ОтветитьУдалитьСсылки все даны - пиши или звони разработчикам
ОтветитьУдалитьС удовольствием осваивать новый сегмент (мобильные устройства) компании производители СКЗИ мягко говоря не спешат.
ОтветитьУдалитьУ КриптоПро даже планов на эту тему нет (под Андроид).
Alexey, мне так не показалось. На ruscrypto была большая секция по криптографии на мобильных устройствах как раз в аспекте СКЗИ под сертификацию.
ОтветитьУдалитьarkanoid, там как-то больше в сторону ЭЦП на сим-карте речь, на мой взгляд, чем шифрование голоса и смс.
ОтветитьУдалитьTomas, шифрование голоса и SMS будет иметь смысл, когда станет доступно в каждом смартфоне, а не в отдельных дорогостоящих экземплярах, обладание которыми автоматически вешает тебе мишень на лоб.
ОтветитьУдалитьВ каждом оно и сейчас есть на уровне стандарта GSM. А наложенное шифрование массовым никогда не станет
ОтветитьУдалитьГОСТовый viber :)
ОтветитьУдалитьЕсли не p2p и не подконтрольно пользователю -- все равно, что нету.
ОтветитьУдалитьА почему не станет-то? Рано или поздно спрос появится. Сколько можно быть идиотами :-(
Интересно, а хоть один сертифицированный телефон есть уже?
ОтветитьУдалить