В ФСБ разрешили не сертифицировать шифрование, не касающееся гостайны

Федеральная служба безопасности нашла решение по выполнению поручения Президента — получить ключи шифрования у предоставляющих связь компаний, в том числе иностранных. На эту процедуру силовикам отводилось две недели с момента подписания «пакета Яровой-Озерова».

Согласно извещению, выложенному на сайте ФСБ,

«Обязательной сертификации средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети Интернет, массово применяемых для защиты сведений, не составляющих государственную тайну, в том числе в абонентских устройствах и базовых станциях мобильной связи, компьютерах, оборудовании информационно-телекоммуникационной сети Интернет, на соответствие требованиям по безопасности информации не требуется».

.

В ходе подготовки закона интернет-компании, которые обязаны с 1 июля 2018 года хранить переписку и другой контент, которым обмениваются пользователи, критиковали «пакет Яровой». Они были уверены, что он затронет мессенджеры и социальные сети, такие как Skype, WhatsApp и Viber, а также почтовые сервисы. При этом «Яндексу», в частности, было непонятно, что понимается под «кодированием», а требование передачи органам власти ключей шифрования, хранящихся только участников переписки, компании сочли невыполнимым.

Так что пишем в мессенджерах всё, что угодно, только гостайны стараемся избегать.

P.S. И покемонов на режимных объектах не ловим!

.

UPD. Появились комментарии участников рынка связи, интернет-коммуникаций и некоторых госведомств. Хоть участники рынка изначально трактовали извещение ФСБ как послабление в угоду миллионам пользователей приложений WhatsApp, Viber, Gmail и др., использующих шифрование личных сообщений, всё же есть в этом свои нюансы. И в данном случае извещение силовиков представители бизнеса и работники госведомств трактуют по-разному.

Консультант по безопасности Cisco Алексей Лукацкий считает, что фактически ФСБ разъяснила то, «что давно прописано в действующем законодательстве». Согласно постановлению правительства N608 1995 года, сертификация средств шифрования делается только для защиты гостайны, а по ряду других нормативно-правовых актов, сертификация обязательна также для госорганов, говорит он.

Директор по внешним коммуникациям Rambler&Co Матвей Алексеев уверен, что органы безопасности, таким образом, ограничили порядок сертификации указанных средств шифрования только для средств, предназначенных для защиты сведений, содержащих гостайну. «Массовый коммерческий и трансграничный рынок сервисов коммуникации и устройств под требования сертификации не попадает»,— убежден он. Собеседники «Ъ», близкие к Минкомсвязи и к другой интернет-компании, считают, что сообщение ФСБ не относится к «массовым интернет-сервисам».

По мнению главы Lenovo в России, СНГ и Восточной Европе Глеба Мишина, разъяснение ФСБ касается именно популярных мессенджеров, социальных сетей, почтовых сервисов, потому что многие из них используют средства шифрования, которые не работают без смартфона, компьютера и т. п. «Существовала определенная угроза, что не только мессенджеры попали бы под запрет. Facebook, который использует HTTPS (криптографический протокол), тоже попал бы под запрет, как и любой веб-сайт с HTTPS»,— рассуждает Глеб Мишин. Несертифицированные средства шифрования, используемые в мессенджерах, в веб-протоколах, нельзя было отследить, поэтому, выпустив разъяснение, «власть сделала себе услугу, не загоняя себя в угол»,— отмечает он.

В то же время «пакет Яровой» содержит также вступившее в силу 20 июля требование к организаторам распространения информации передавать спецслужбам информацию для декодирования переписки. Организаторами распространения информации власти признают интернет-площадки и блогеров с аудиторией более 3 тыс. человек в сутки. Это требование на этапе подготовки закона было раскритиковано интернет-компаниями «Яндекс», Mail.ru Group и др., назвавшими это положение невыполнимым. Бизнес уверен, что требование также касается социальных сетей, мессенджеров Skype, WhatsApp, Viber и др., почтовых сервисов. Участники рынка отказываются отвечать на вопрос, как они исполнили это вступившее в законную силу требование, ссылаясь на отсутствие разъяснения ФСБ. «Наши ключи ФСБ не нужны, все, что им нужно, у них уже есть»,— сообщил «Ъ» топ-менеджер одной из интернет-компаний. На этот счет, видимо, должен быть отдельный документ, полагает источник «Ъ», близкий к Минкомсвязи. «Пункт про передачу информации для декодирования выпущенное извещение ФСБ не отменяет»,— подчеркивает Алексей Лукацкий.

До выхода разъяснения ФСБ законодательные инициативы нечетко обрисовывали круг организаций, обязанных пользоваться сертифицированными средствами шифрования, говорит менеджер по маркетингу продуктов компании «Код безопасности» (выпускает средства защиты информации) Павел Коростелев. С ним соглашается гендиректор интегратора в области информационной безопасности «Ангара» Сергей Шерстобитов, по мнению которого пункт закона Яровой о сертификации средств шифрования сообщений в интернете мог касаться любых систем, использующих функции кодирования и шифрования.

Сертификация средства шифрования означает, что оно удовлетворяет специальным требованиям ФСБ, объясняет Коростелев. В структуре ФСБ есть специальный центр по лицензированию, сертификации и защите государственной тайны, который занимается аккредитацией испытательных лабораторий. Согласно информации на сайте ФСБ в России 48 таких лабораторий. Как правило, сертификация – это длительная и дорогостоящая процедура, самая дешевая из которых стоит 200 000 руб., объясняет Шерстобитов. Сертифицироваться может конкретный экземпляр, партия либо производство, если оно расположено в России, продолжает он.

По оценке Шерстобитова, если объединить все средства шифрования, которые используются в России, то сертифицированных среди них будет меньшинство. Впрочем, если бы лаборатории получили заказ на сертификацию всех использующихся в России средств шифрования, они могли бы его выполнить, считает сотрудник одной из них. Ведь это означает контракты, под которые можно нанять дополнительных работников, рассуждает он. А уход компаний из России из-за необходимости сертифицировать все свои средства шифрования он считает маловероятным, поскольку есть способы пройти сертификацию, не раскрывая собственных коммерческих секретов.

Появление такого извещения технический директор компании «Актив» Кирилл Мещеряков считает признаком того, что ФСБ получила массу запросов с просьбой разъяснить новую норму закона Яровой. Он полагает, что вскоре могут последовать и другие разъяснения от регулятора по прочим пунктам закона.

Читайте также:

Закон о тотальной слежке сравним с гениальной диверсией против экономики и силовых структур России
?
«Пакет Яровой» вгоняет игроков рынка интернет-торговли в состояние шока
?
Инициативу сенатора Белякова отложить «пакет Яровой» Герман Клименко назвал «пабликом на рейтинг»
?
Павел Дуров опроверг возможность перехвата сообщений Telegram

.