Алексей Лукацкий - менеджер по развитию бизнеса Cisco SystemsАлексей Лукацкий - менеджер по развитию бизнеса Cisco Systems

Собственно это не то, чтобы миф, просто расхожее мнение, особенно остро обсуждаемое в последнее время, в преддверие 1-го января 2011-го года, когда вступит в силу ст.25.3 закона «О персональных данных». Дело в том, что очень многие почему-то ставят знак равенства между термином «конфиденциальность», указанном в ФЗ-152, и термином «шифрование». Даже в Википедии эта коллизия нашла отражение. В ней написано: «Новшеством в данном законе /в ФЗ-152 – А.Л./ стало принуждение лиц, обрабатывающих персональные данные, использовать технические (криптографические) средства защиты информации при работе с персональными данными». И хотя, действительно, очень часто конфиденциальность обеспечивается шифрованием, на самом деле это не одно и тоже. Совсем не одно и тоже.

Что говорит ФЗ-152 про конфиденциальность? «Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания». Где тут слово «шифрование»? Это всего лишь требование не допускать распространения ПДн без согласия их субъекта или иного законного основания. Достаточно всего лишь вписать в договор с субъектом, что ПДн передаются в открытом виде по Интернет и вот вы уже чисты перед законом - согласие субъекта есть. Косвенно такая возможность подтверждается тем, что на сайте Роскомнадзора (а именно он отвечает за контроль исполнения ФЗ-152 и кому, как не ему знать, что можно, а что нельзя) в форме уведомления об обработке персональных данных дана следующая приписка – «Я подтверждаю своё согласие на передачу информации в электронной форме уведомления (в том числе персональных данных) по открытым каналам связи сети Интернет». А ведь ФСБ четко придерживается мнения, что при передаче ПДн по открытым каналам связи требуется шифрование. Кстати, сама ФСБ нарушает свои же требования, никак не шифруя персональные данные граждан, обратившихся в Федеральную службу безопасности через Web-приемную.

Другой пример, когда конфиденциальностью можно пренебречь, - законные основания для передачи ПДн, когда согласие субъекта можно не запрашивать. Например, передача данных в ФНС, ФМС, ФОМС и т.п. Обязаны передавать? Обязаны. По закону. Следовательно об обеспечении конфиденциальности, не говоря уже о шифровании, и речи не идет. А ведь законных оснований не требовать согласия субъекта ПДн существуют несколько десятков (если не больше). Тот же Роскомнадзор утверждает, что в России свыше 250 федеральных законов и иных нормативно-правовых актов, определяющих вопросы обработки различных персональных данных. А в соответствие со ст.6.2 ФЗ-152 согласие субъекта ПДн в этом случае не требуется.

Но если все-таки и согласия субъекта персональных данных у нас нет, и законных оснований тоже, то как обеспечить требование конфиденциальности? Только ли шифрованием? Опять нет. Требование не допускать распространения ПДн может быть достигнуто разными способами. Например, передачей персональных данных в контролируемой зоне. Согласно одному из распространенных определений: «Контролируемая зона - пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств». Если вы можете контролировать посторонних лиц или исключить их пребывание на территории, по которой передаются ПДн, то вам также не понадобится применять шифровальные средства. Разумеется, число таких ситуаций не велико, но и полностью исключать такой сценарий не стоит.

Следующим сценарием является правильное выстраивание процесса моделирования угроз, согласно которому перечень актуальных угроз формируется путем экспертной оценки. И если эксперты посчитали угрозу нарушения конфиденциальности неактуальной в тех или иных технологических процессах, то и внедрять шифровальные средства нам не понадобится. Ярким примером такого сценария может служить оптический канал связи или сети связи третьего/четвертого поколений (GSM/GPRS/WiMAX/LTE). Перехватить данные в оптическом кабеле возможно, но слишком дорого на современном этапе развития технологий. А о перехвате в сетях мобильных операторов я уже писал. Вот и получается, что в случае с персональными данными (именно с ними) применением средств шифрования в данных сценариях можно пренебречь. Если бы речь шла о другом виде защищаемой информации, например, о гостайне, то ситуация бы поменялась. Потенциальный ущерб от реализации перехвата данных превышает затраты злоумышленников и в данном случае угроза нарушения конфиденциальности становится актуальной.

Но если угроза перехвата трафика в сетях связи все-таки реальна, но использовать шифрование все-таки «не хочется». И тут нам может помочь технология VPN, а точнее ее не часто рассматриваемая сторона в лице технологии разделения трафика в канале связи с помощью специальных меток или иных протоколов, например, MPLS, VLAN, L2TP. Эти технологии мы рассмотрим в одном из мифов.

К последней ситуации, когда можно на законных основаниях обойтись без шифрования, является перекладывание риска на чужие плечи. Иными словами, необходимо заключить договор с оператором связи на обеспечение конфиденциальности вашей информации (хотя по закону «О связи» оператор связи и так обязан гарантировать вам тайну связи). В этом случае обеспечением конфиденциальности будет заниматься совершенно другая компания и вам уже не так важно, как она это будет делать.

И только если вам не подошел ни один из описанных выше сценариев, вы можете задуматься о средствах шифровании ПДн.

Все вышесказанное ни в коем случае не означает, что я категорически против шифрования. Просто в рамках действующих требований ФСБ по использованию шифровальных средств для защиты персональных данных, это становится очень нетривиальной и очень дорогостоящей задачей. Как минимум возникает вопрос – а что мне дает применения сертифицированных средств криптографической защиты (СКЗИ), стоящих не одну тысячу долларов, если у меня и так есть бесплатный VPN в маршрутизаторе Cisco? Ведь ни производитель, ни сертификационная лаборатория, ни ФСБ никаких гарантий не дает и ответственности за взлом сертифицированного продукта не несет. Так стоит ли тогда платить за то, что можно получить бесплатно и без особых проблем? А вторая проблема с сертифицированным СКЗИ – их для многих сценариев обработки персональных данных просто не существует и не появиться в ближайшие годы. Вот список только нескольких таких сценариев:

1. Работа представительств иностранных компаний в России. Они действуют в рамках корпоративных стандартов и применяют западные СКЗИ. Экспорт же отечественных СКЗИ зарубеж невозможен по той причине, что ради одной страны западная компания не будет менять свои стандарты и не будет экспортировать отечественные СКЗИ во все страны, где западная компания представлена.

2. Коммерческое IP-телевидение (устройства STB не поддерживают и не будут ГОСТы, т.к. они производятся за пределами России и поставляются в сотни стран мира).

3. Системы IP-видеонаблюдения, которые также не поддерживают отечественные криптоалгоритмы.

4. Синхронизация основного и резервного центров обработки данных на скоростях свыше 1 Гбит/сек. Сегодня не редкость скорости 10 Гбит/сек и даже 40 Гбит/сек.

5. Магистральное шифрование, которое сегодня обычно проходит на скоростях свыше 10 Гбит/сек.

6. Стандарт беспроводной связи 802.11i, в котором на уровне стандартизующих организаций прописан иной криптоалгоритм.

7. Стандарты мобильной связи 2.5G, 3G, а также LTE и WiMAX, где также на уровне стандартов прописаны не ГОСТ.

8. Чиповые смарткарты для платежных систем Visa и MasterCard.

9. Шифрование в смартфонах, iPhone и т.п.

10. Доступ к российским Интернет-банкам с компьютера в Интернет-кафе на заграничном отдыхе (на нем нет никакого российского криптопровайдера).

11. Доступ из-за границы к любой российской платежной системе (Assist, ChronoPay, Яндекс.Деньги, Рапида и т.д.), а также к любой иной системе электронной коммерции (заказ билетов, заказ книг в Интернет-магазинах и т.п.).

12. Защищенная электронная Web-почта по протоколу HTTPS.

13. Шифрование в протоколе FibreChannel при записи на ленточку в центре обработке данных.

14. Шифрование в протоколе FibreChannel при передаче данных внутри центра обработки данных или между разными центрами.

15. Аутсорсинг

16. Новая модель SaaS (Cloud Computing), когда вся обработка осуществляется через Интернет и, возможно, где-то за границей.

17. Доступ к российскому фондовому рынку из зарубежа.

Сейчас законодатели и регуляторы думают над решением описанной проблемы, но пока надо помнить, что конфиденциальность и шифрование – это не синонимы.