На сайте опубликования нормативных актов появился приказ ФСБ № 432, в котором определены правила сбора информации для декодирования – так в № 374-ФЗ («Закон Яровой») обозначаются ключи шифрования. Их должны в соответствии с № 374-ФЗ предоставлять в ФСБ организаторы распространения информации в Интернете в случае использования на своих ресурсах дополнительного кодирования (шифрования). Тот же закон устанавливает штрафы за непредоставление информации для декодирования – от 3 тыс. руб. для частных лиц до 1 млн руб. для юридических лиц.
Требования закона относятся к так называемым организаторам распространения информации в сети Интернет – их реестр показывает, что это в основном российские социальные сети и электронные СМИ. При этом иностранных социальных сетей, таких как Facebook, Twitter, Google+, Instagram и др., в реестре нет. Также в нем отсутствуют такие сервисы, как Skype, Telegram и пр. Особенно пикантно, что сервис Agent@mail.ru в реестре есть, а ICQ, принадлежащий тому же холдингу, отсутствует.
Впрочем, даже если компания указана в реестре организаторов распространения, ей не нужно сразу передавать ключи шифрования в ФСБ. Это необходимо делать только в случае получения специального запроса. Пока сведений о получении запросов от ФСБ нет, и когда ведомство захочет воспользоваться своим правом на доступ к ключам неизвестно.
В приказе говорится: «Запрос направляется уполномоченным подразделением в письменном виде заказным почтовым отправлением с уведомлением о вручении… Информация для декодирования передается организаторами распространения информации в сети Интернет на магнитном носителе по почте (в форме электронного сообщения по электронной почте) по адресу, указанному в запросе, либо по согласованию с уполномоченным подразделением организуется доступ уполномоченного подразделения к информации для декодирования». Таким образом, форматы и форма представления информации для декодирования определяются в запросе.
Как отмечает Павел Луцик, руководитель проектов по информационной безопасности компании КРОК: «…сам по себе приказ довольно общий и сырой, в нем в том числе не определен состав передаваемой информации (ключи, сертификаты, ip-адреса и т. д.), ее формат и сроки предоставления. Остается надеяться на то, что ФСБ будет идти в ногу со временем и использовать стандартные форматы данных, в том числе ключей расшифрования. В случае нестандартного формата есть вероятность того, что потребуется специальное ПО, которое будет переводить имеющиеся у компании ключи в нужный ФСБ формат.
Сейчас же остается открытым вопрос безопасности передачи ключей. Упомянутые в приказе способы передачи по электронной почте в виде файла или по обычной почте на магнитном носителе являются весьма небезопасным».
К тому же компаниям будет непросто найти магнитный носитель и записать на него необходимую информацию, в случае если именно этого потребует соответствующее подразделение ФСБ, – дискеты сейчас не в моде (об этом был мой предыдущий пост), а современные носители типа флеш-памяти не являются магнитными – их использование правилами не предусматривается. Причем в приказе нет даже возможности расширения списка возможных носителей типа «или на других носителях информации».
Кроме того, приказ могут использовать в том числе и злоумышленники. Они вполне могут сфабриковать заказное письмо якобы от имени ФСБ и попробовать получить ключи шифрования или даже удаленный доступ к системе с помощью якобы законных требований. Конечно, крупные социальные сети и интернет-проекты вряд ли попадутся на такую уловку, но небольшие компании, юридическая грамотность системных администраторов которых невысока, вполне могут и передать свои ключи шифрования. Так что прежде чем отправлять ключи шифрования в ФСБ, компаниям стоит связаться с соответствующим органом напрямую, чтобы уточнить детали.
