В Государственной думе проходит общественное обсуждение очень маленького по объему проекта законодательного акта [1] №01/05/09-20/00108513 с традиционным для ключевых изменений законодательства названием “О внесении изменений в статьи 2 и 10 Федерального закона № 187-ФЗ «Об информации, информационных технологиях и о защите информации»”. Он был внесен на рассмотрение Минкомсвязи 21 сентября, и предполагается его обсуждение до 5 октября. Основание для его разработки указано следующее: “исполнение пункта 1.1 протокола оперативного совещания Совета Безопасности РФ от 4 декабря 2019 года № Пр-2477 в целях противодействия распространению противоправной информации в сети «Интернет»”. А по сути – это запрет использования VPN и других технологий криптографического преобразования, использующихся сейчас в Интернет.
Запрет на использование VPN
Следует отметить, что тест законопроекта – всего одна страница, которая содержит только два пункта – определение понятия “Протокол шифрования” и запрет на его использование. Данные законодательные импланты встраиваются в многострадальный Трехглавый закон о защите информации №149-ФЗ «Об информации, информационных технологиях и о защите информации». Итак, определение, подготовленное экспертами по цифровым технологиям из Минкомсвязи, следующее: “Протокол шифрования, позволяющий скрыть имя (идентификатор) Интернет-страницы или сайта в сети «Интернет» – это абстрактный или конкретный протокол, включающий набор правил, регламентирующих использование криптографических преобразований и алгоритмов в информационные процессы”. Видно, что оно очень широкое, поскольку говорит не только о программных приложениях, которые занимаются преобразованием информации в шифрованный текст, но и получение информации о пользователях защищенных клиент-серверных приложений и информационных потоков. Причем, если сам определяемый термин достаточно точен – “протокол, позволяющий скрыть имя сайта”, но под этим в соответствии с глоссарием может пониматься любая криптографическая защита информации. Даже если оставить за скобками вопрос “почему Минкомсвязи вторглась на территорию регулирования ФСБ по криптографическим протоколам?”, то остается глупый вопрос “а почему нет номера сайта в определяющей части?”. То есть в термине речь идет о имени сайта, а в определении – этого требования уже нет.
Метки-куки и запрет обхода блокировок
Например, если мы используем криптографический алгоритм для генерирования метки-куки, то такой протокол также подпадает под предложенное определение, хотя никаких имен мы и не думали скрывать. А ведь без подобных меток вообще невозможно строить веб-приложения, поскольку сам HTTP не предусматривает сохранение состояния – это делается исключительно с помощью куки. Кто-то может возразить, что кука, строго говоря, генерируется случайным образом, но специалисты-то знают, что в компьютерных системах для генерации случайного числа используется генератор псевдослучайных последовательностей (pseudorandom number generator), который основан на криптографическом преобразовании предыдущего числа. А если вы хотите использовать гарантированно рандомное число, то для этого нужен аппаратный генератор, но его нужно сертифицировать в ФСБ – лаборатории специально проверяют насколько равномерное распределение случайных числе у предлагаемого генератора. И это как бы намекает на то, что случайность – это криптографическое преобразование, поскольку именно они сертифицируются в ФСБ.
Из-за федерального закона в РФ могут остаться лишь официальные сайты
И так смотрим второй пункт: “Запрещается использование на территории РФ протоколов шифрования, позволяющих скрыть имя (идентификатор) Интернет-страницы или сайта в сети «Интернет», за исключением случаев, установленных законодательством РФ. Нарушение запрета использования в РФ протоколов шифрования, позволяющих скрыть имя (идентификатор) Интернет-страницы или сайта в сети «Интернет», влечет приостановление функционирования Интернет-ресурса в срок не позднее 1 (одного) рабочего дня со дня обнаружения данного нарушения уполномоченным на то ФОИВ”. Это означает, что либо метки-куки будут разрешены отдельным федеральным законом, либо в РФ останутся только официальные сайты, функционирование которых разрешается другими законодательными актами.В любом случае скрыться от технологий сбора данных о пользователях, внедряемые российским государством, будет уже затруднительно.
Преступления в сфере информационных технологий
Поэтому, когда директор Лиги безопасного интернета, член ОП РФ Екатерина Мизулина заявляет следующее [2]: «Если заблокируют протокол в TLS 1.3, то все ресурсы автоматически перейдут на протокол предыдущего поколения TLS 1.2. Ничего страшного не случится», то сразу хочется спросить: “А TLS 1.2 – это уже не криптографическое преобразование?”. Тот же эксперт отмечает следующее: «Крупные иностранные соцсети и видеохостинги, включая Facebook и YouTube, имеют технические средства для модерации и блокировки контента, не соответствующего их политическим установкам. А раз так, то они могут тормозить распространение деструктивного контента. Поэтому запрет протоколов скрытого шифрования станет шагом в сторону более безопасного интернета». Вот про безопасность Интернета без протоколов шифрования можно было бы поспорить. Например, тот же TLS клиент банка может использовать для проверки надежность его сайта, к которому подключается. Если такой проверки не будет, то мошенничество в электронной коммерции и онлайн-банкинге расцветет пышным цветом. А соцсети так и будут работать, правда они уже не смогут гарантировать свою идентичность и отсутствие “майора-посредине”.
Закон об информации и иностранные компании
Но с соцсетями намечается другая проблема, связанная с осенним обострением цифрового суверенитета у законодателей – появились сообщения о планах ужесточения ответственности иностранных компаний за соблюдение российского законодательства [3] — то самый закон о “Суверенном интернете”. Хотя самого законопроекта, похоже, еще нет, поэтому я не очень люблю обсуждать подобные заявления. Однако можно предположить, что он будет, скорее всего, списан с обсуждаемого выше проекта, хотя речь там идет о защите персональных данных россиян, то есть о поправках к закону №152-ФЗ “О защите ИСПДн”. И хотя там предлагается не только кнут, но и пряник в виде упрощенной регистрации представительства, но пока он больше похож на сыр в мышеловке. Информационная политика российского государства направлена на расширения возможных правонарушений в сети интернет за счет идентификации пользователей, которые получают доступ к данным, запрещенным российским законодателем. То есть преступления в сфере информационных технологий относятся уже не к сфере информационной безопасности в ее классическом понимании, но к блокировке доступа к запрещенной информации. Но будет законопроект – будем его обсуждать.
[2] https://vz.ru/news/2020/9/25/1054097.html
[3] https://www.kommersant.ru/doc/4510411?utm_source=yxnews&utm_medium=desktop
