четверг, 31 октября 2013 г.

Об анонимности, СОРМе и политике конфиденциальности Google

Давно назревала у меня эта статья. А нынешние новости о новом СОРМе и желании ФСБ контролировать интернет довели мысли до какого-то логического завершения. По поводу СОРМ уже высказались Алексей Лукацкий и Сергей Борисов.
После разоблачения Эдвардом Сноуденом некоторых реалий работы АНБ в сети все чаще и чаще поднимается вопрос об анонимности в интернете. Люди хотят оставаться незамеченными при совершении действий различного характера. Но зачем? Что движет этим? Для разбора этой темы для начала хотелось бы определить два понятия: приватность (неприкосновенность частной жизни) и анонимность.

Спросим у Википедии:
Неприкосновенность частной жизни (в юридической науке) — ценность, обеспечиваемая правом на неприкосновенность частной жизни.
Право на неприкосновенность частной жизни включает:
  • запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия;
  • право контролировать информацию о себе;
  • право на защиту чести и доброго имени;
  • право на защиту персональных данных;
  • право на тайну связи (иногда оформлено как отдельное право);
  • право на неприкосновенность жилища (иногда оформлено как отдельное право);
  • врачебную тайну, тайну усыновления, тайну исповеди и другие виды профессиональной тайны.
Значение слова «аноним» различно для различных видов (широко понимаемого) текста. Анонимными могут быть произведения искусства (литературные сочинения, музыкальные пьесы, артефакты изобразительного искусства и т.п.) и научные труды (например, анонимные музыкально-теоретические трактаты). Следует отличать анонимность как принцип сознательного отношения автора к собственному «личному вкладу» в науку/искусство (характерного, например, для мировоззрения средневекового монаха-христианина) от прозаической «вынужденной» анонимности (когда автора невозможно установить, например, по причине утраты титульного листа старинной рукописи). Анонимность произведения искусства и/или научного труда затрудняет идентификацию такого текста. Разнобой в идентификационных критериях («ярлыках» науки, которые учёные прикрепляют к анониму), приводит к тому, что одно и то же произведение может идентифицироваться по-разному и, наоборот, два разных анонимных текста могут получать в науке одинаковые идентификационные ярлыки.
 В повседневной жизни анонимными могут быть утилитарные сообщения — письма, пасквили, доносы и т.п. Применительно к утилитарным сообщениям, «анонимным» считается любое неподписанное послание (в разговорной речи — «анонимка»). Главным критерием является невозможность точно установить личность писавшего.

Применяя данное понятие для Интернета, можно сказать, что
Анонимность в интернете - это такое свойство реального человека в сети, при котором установить его личность и, соответственно, связанные с этим понятия, не представляется возможным.
или
Анонимность в интернете - мнимое свойство участника сетевого взаимодействия, заключающееся в невозможности установить фактическую личность участника или его атрибуты.

 "Правила..."  не вызывают у меня сильного негодования. Да, может быть они, скажем так, "через чур жесткие" и в чем-то не стыкуются с Конституцией, но...
В век информационных технологий все мы, или очень многие, работаем за компьютерами. И потенциально каждый системный администратор может беспрепятственно вторгаться в частную жизнь сотрудников, чьи компьютеры он администрирует. Однако администраторам, в большинстве своем, это не интересно. Да и сами пользователи об этом не сильно беспокоятся.
Интернет и технологии очень сильно и прочно вошли в нашу жизнь. Приведу пример, иллюстрирующий хотя бы +/- 20-летнюю разницу. Именно столько в этом году исполняется Конституции РФ, в которой прописано право на неприкосновенность частной жизни. Девушка на фото занимается тем, что в повседневной жизни мы называем "гуглить". Если сейчас нужно просто пару раз стукнуть пальцем по клавиатуре написать поисковый запрос, то раньше нужно было идти в библиотеку, искать, выписывать. И говорить, что сегодня стало проще, чем 20 лет назад (да каких 20, хотя бы 10) -  не говорить ничего.
Я готов согласиться, что новые правила могут нарушать неприкосновенность частной жизни. Но с другой стороны это делается для безопасности граждан (так заявлено).
Для чего нужна анонимность в сети? Для того, чтобы путешествовать по бескрайним просторам сети "без лица" и совершать какие либо действия. Если провести аналогию с реальным миром, то каждый автомобиль имеет государственный регистрационный номер. Номер "привязан" к самому авто и, соответственно, к конкретному человеку или организации. В повседневной жизни на этот номер никто не обращает внимания. Однако при ДТП по номеру "в два клика" вычисляется владелец. Не будь номеров - на дорогах царила бы анархия (я умышленно промолчал о ПДД, это немного из другой оперы). А так - тишь и благодать... И пробки =) Каждый водитель понимает, что при несоответствующем его поведении на дороге он будет привлечен к ответственности. И все водители принимают условия этой игры. В дополнение на дорогах стоят камеры, которые могут фиксировать все передвижения авто. Никого же это не смущает.

Это же самое и с СОРМ. При добропорядочной и законопослушной жизни человек для государства просто обычный элемент общества. Однако, при нарушении закона этого человека надо найти. И если новые правила дадут соответствующим органам больше возможностей для поимки криминальных элементов в сети - то это только плюс.
У каждого на слуху сейчас ситуации с доверчивыми людьми и СМСками из "банков" о "блокировании карты". То, что бдительный гражданин не будет переводить свои кровные неизвестно кому и куда - это очевидно. А не бдительный? Он не гражданин? Ну да, понял гражданин, что лохонулся опрометчиво поступил, не проверил. Но от этого факт мошенничества не исчезает и деньги не обратно не возвращаются. А новые правила СОРМ помочь может быть и смогут. Плюс преступления расследуются по месту совершения. А в данном случае местом совершения будет банкомат, где произошел факт получения денег. А если потерпевший во Владивостоке, а злоумышленник в Калининграде? Как долго будут бумаги гулять... За это время концов точно не найти. И, от части, потому, что люди живут в онлайне, а полиция работает в офлайне.

А если бы полиция наша могла узнать, что за номер, как передвигается, какие еще номера рядом (в физическом смысле) чаще других находятся и дальше распутывать клубок, то было бы проще.
Многие читали политику конфиденциальности Google? Не думаю. Однако Google собирает о нас много разной информации. Что-то сами отдаем, что-то Google берет сам из журналов устройств под благовидным предлогом персонализации поиска и рекламы. Вот некоторые данные, выписанные из политики конфиденциальности:
  • имя человека;
  • адрес электронной почты;
  • реквизиты кредитной карты; 
  • модель телефона;
  •  версия операционной системы;
  • уникальные идентификаторы устройства;
  • данные о мобильной сети; 
  • номер телефона;
  • номера телефонов для входящих вызовов; 
  • номера телефонов для исходящих  вызовов;
  • номера телефонов для переадресованных вызовов; 
  • дата и время телефонных вызовов;
  • тип телефонных вызовов;
  • продолжительность телефонных вызовов;
  • информация о маршруте SMS;
  • IP-адреса;
  • данные об аппаратных событиях на устройстве;
  • данные о сбоях на устройстве; 
  • данные о действиях в системе;
  • данные о  настройках, типе и языке браузера; 
  • данные о дате и времени запроса и URL перехода;
  • сведения о местоположении;
  • ...
Что можно сказать? Google знает все...в том числе и о нас.

ЗЫ. Интересное понимание понятия: Анонимность в интернете - городская легенда конца 90-х, начала 2000-х (см. НЛО, Атлантида, полтергейст и т..п)
  
Что еще почитать:
  
Автор: на Комментариев нет:
Ярлыки: , ,

четверг, 10 октября 2013 г.

DLP-Russia 2013. Как это было

Прошло некоторое время  с момента проведения DLP-Russia. Эмоции немного улеглись и остались, если так можно сказать, чистые впечатления. Ими я и поделюсь. Если говорить об организации мероприятия, то она была на должном уровне.

В первой, пленарной, части выступали "мамонты" информационной безопасности (да простят эти люди мне это вольнословие).
Наталья Касперская рассказала про Большие Данные (Big Data), про их понятие в бизнесе, особенности угроз и защиты.
Алексей Лукацкий держал слово про динамику развития нормативных актов в области ИБ. Например, про то, что за 20 лет  в нашем законодательстве "появилось" порядка 200 нормативных документов в области ИБ, а за последние 2 года уже более, чем за эти самые 20 лет. Также Алексей рассказал об ожидаемых «новинках» от ФСТЭК в сфере нормотворчества, и что если эти документы будут выпущены в том виде, в котором они запланированы, то наше законодательство в области ИБ выйдет на новый уровень. Это приятно.
Нильс Пульман говорил о семимильных шагах информационных технологий и о том, как в этом непростом со стороны информационной безопасности и простом со стороны рядового пользователя мире защищать информацию.
Алексей Волков с долей юмора донес до участников свою мысль (которую он активно и двигает): DLP-это не панацея от всех болезней, а лишь один из инструментов. Доклад очень интересный.
Интересен был и доклад Михаила Емельянникова о границах доверия сотрудникам, о допусках и  доступах.
Павел Гениевский рассказал о законодательстве в сфере НПС и защите информации в кредитной сфере.
Сказать, что было интересно - не сказать ничего.

После мне посчастливилось присутствовать на пресс-конференции.
Илья Шабанов, представляющий аналитический центр Anti-Malware.ru, рассказал о динамике развития рынка DLP систем и основных тенденциях, а Наталья Касперская представила отчет об утечках данных от компании  InfoWatch. После Наталья Мутель вместе с Рустемом Хайретдиновым рассказали о ребрендинге, в ходе которого сообщество DLP-Expert трансформируется в Business Information Security Association (BISA), а DLP-Russia сответственно в Business Information Security Summit. По словам Натальи и Рустема связано это с тем (и я согласен), что защита деловой информации это уже не только DLP. Здесь, опять-таки, можно вернуться к докладу Алексея Волкова. ;)
 
По секциям погулять у меня особо не получилось, полноценно послушал лишь доклад Андрея Прозорова про стандарты и "лучшие практики" в ИБ.   

В демо-зоне вендоры показали, кто во что горазд. Был здесь и SafePhone от НИИ СОКБ (а он мне был особо интересен в связи с регулярно поднимаемым мной вопросом Mobile Device Management). Кстати, недавно я писал про переведенный этим самым НИИ СОКБ NIST 800-124 по безопасности мобильных устройств. Был и Центр Речевых Технологий, и Symantec, InfoWatch. Можно было не просто посмотреть, а своими руками "пощупать" решения вендоров. Для формирования полного мнения о продукте этого, конечно, недостаточно, но для того, чтобы хотя бы иметь представление - вполне.
 
Круглый стол порадовал своей разносторонностью. Конечно жаль, что представители от регулятора не смогли порадовать аудиторию свои присутствием, но участники дискуссии и модерирование Михаила Емельянникова оставили только хороший осадок и ответы на вопросы. А тема круглого стола была более, чем интересная: «Контроль информационных потоков и защита предприятия от внутренних угроз».
 
Ужин в лучших традициях. Шведский стол дал возможность не привязываться к определенному месту, а «побродить» по залу с бокалом и пообщаться с более, чем парой интересных собеседников. А таких было достаточно.
По завершении мы веселой компанией еще немного погуляли по вечерней Москве, а ночью поезд отвез меня обратно в Петербург. В общем, «DLP-Russia прошла на ура, как и AfterParty»
Автор: на Комментариев нет:
Ярлыки: ,

среда, 9 октября 2013 г.

Проект приказа ФСБ по применению СКЗИ для защиты ПДн

Наконец-то у меня дошли руки и голова ознакомиться с этим замечательным проектом приказа. Про него уже написали Алексей Лукацкий и Евгений Шауро. Пересказывать сих авторов не буду, однако некоторыми мыслями поделюсь.
Сказать, что документ лёгок в прочтении у меня не получается. Лично я брался за его чтение 3 раза, однако первые два раза результата не принесли. Есть впечатление, что документ как-то специально усложнен. В этом ФСБ нужно взять пример со ФСТЭК. У этих ребят и понятнее будет, и пояснения есть (точнее, скоро будут).А у ФСБ чего только стоит пункт 22 (подобными формулировками приказ изобилует):
 
...Для выполнения требования, указанного в подпункте «г» пункта 5 настоящего документа, необходимо вместо мер, предусмотренных подпунктом «в» пункта 9 и пунктом 19 настоящего документа, использовать для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе:...

И это учитывая то, что п.5 и п.9 описывают меры для четвертого уровня защищенности, п.19 меры для третьего уровня, а п.22 для второго. 
 
Описание классов СКЗИ тоже растянуто на весь приказ, хотя можно было сначала дать классификацию, а после расписать, какие классы для чего применяются.
 
Если говорить о самой соли документа, а именно о  сертифицированных СКЗИ для защиты ПДн, то оно вполне оправдано. Но ФСБ говорит: уж если шифровать, так всё! Во многих случаях, на мой взгляд, можно хотя бы не требовать сертифицированных. Ведь если учитывать те поправки в штрафы, которые могут появиться, то операторы сами будут стараться защититься "по уму", а не на бумаге.
 
Сам проект был здесь, но сейчас удален, к моему великому сожалению.
Автор: на Комментариев нет:
Ярлыки: , , ,

пятница, 4 октября 2013 г.

NIST прекратил работу. Пока временно.

Как сказано на официальном сайте NIST, работа прекращена до возобновления финансирования:
Пока неизвестно, что будет далее. Мне кажется, что финансирование все-таки возобновят. Хотя в Штатах сейчас и с NASA что-то происходит, не самое приятное.
Как делятся коллеги в LinkedIn, пока можно вытащить то, что нужно, используя описанный способ.
Автор: на Комментариев нет:
Ярлыки:
Подписаться на: Сообщения (Atom)