Косяки закона Яровой

Косяки закона Яровой
Про закон Яровой высказались уже все. Вернувшись из отпуска, выскажусь и я. Но буду говорить я не о том, что это бред и технически нереализуемо, а посмотрю на закон чуть более глубоко с точки зрения нестыковок, которые в нем есть.

Начнем с изменений в статью КоАП 13.6, которая теперь наказывает не только за использование несертифицированных средств связи, но и за использованием несертифицированных средств кодирования (шифрования), там где такое требование установлено законодательством (презентацию по ссылке давно не обновлял, но и ситуация в этой сфере не сильно поменялась - скоро обновлю).

Во-первых, депутатам стоило бы ознакомиться как минимум со статьей 13.12 того же КоАП, где уже установлена ответственность за использование несертифицированных средств защиты информации, к которым также относятся и средства шифрования. При этом статья 13.12 гораздо шире, чем 13.6, и распространяется не только на сети связи. Хотя сумма штрафа в 13.12 гораздо меньше, чем в 13.6. В остальном же эти статьи идентичны. И специально хочу отметить, что новый закон не требует применения только сертифицированных средств шифрования. Он наказывает за применение несертифицированных тогда, когда сертификация СКЗИ является обязательной. Таких же случаев у нас не так уж и много и закон Яровой этот список не расширил.

Во-вторых, депутаты решили расширить статью 13.15 КоАП, добавив в нее ответственность за разглашение государственной или иной специально охраняемой законом тайны. И в чем смысл этой поправки, если в КоАП уже есть ст.13.14 про разглашение информации с ограниченным доступом (а она шире, чем просто тайна), а разглашение государственной тайны у нас подпадает по 283-ю статью УК, а не под КоАП? Разве что штраф увеличил с тысячи рублей до миллиона. Ну так никто не мешал поменять ст.13.14...

В-третьих, статью 13.31 КоАП расширили новым составом правонарушения - непредоставление в ФСБ оператором распространения информации, необходимой для для декодирования электронных сообщений. При этом обязанность предоставлять такую информацию в ФСБ была возложена на организаторов распространения информации поправкой в статью 10 ФЗ-149 из "закона Яровой". Это, пожалуй, самая дискутируемая норма нового закона. Многие СМИ, да и эксперты тоже, усмотрели в этих поправках требования отдавать все ключи шифрования, включая сеансовые, да еще и в ситуации, когда у организатора распространения информации таких ключей нет и быть не может (например, при шифровании на оконечных устройствах и невозможности сделать легальный MITM). Давайте разбираться.

Сначала надо вспомнить, кто попадает под термин "организатор распространения информации в сети "Интернет"? Фактически - только различные Интернет-сервисы (соцсети, почтовые сервисы, мессенджеры и т.п.). Формально же под определение в 149-м законе попадает огромное количество компаний, предоставляющих своим сотрудникам сервис удаленного защищенного доступа через сеть Интернет. Например, VPN (вот и первые пострадавшие ), Outlook Web Access, корпоративные мессенджеры (Jabber, Lync и т.п.), почтовые клиенты на смартфонах и т.п. Это все "деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети "Интернет". Платежные системы, использующие Интернет как канал передачи данных, с их электронными сообщениями о переводе денежных средств тоже могут трактоваться как организаторы распространения информации. То есть изначально корявое определение в ФЗ-149, рассчитанное под одни цели, теперь может быть использовано в гораздо большем числе случаев, о которых стоит помнить. А корпоративным заказчикам стоит задуматься о том, как они будут выполнять требование передачи ключей шифрования в ФСБ. Это если следовать трактовкам закона Яровой, которые дают журналисты. Если же мы посмотрим на перечень поручений Президента, выпущенный во исполнение закона Яровой, то мы увидим, что речь идет не обо всех распространителях, а только о тех, которые внесены в реестр, который должен вестись ФСБ. Это немного отличается от того, что написано в законе, но кого это волнует? С другой стороны это хорошо. Зная, как оперативно ФСБ у нас выпускает что-то, этот реестр мы, как мне кажется, увидим не скоро. А если и увидим, то врядли в него попадет 99% компаний, которые сейчас могут считаться организаторами распространения информации.

Стоп-стоп-стоп. А где вообще говорится о передаче ключей шифрования? Почему специалисты и журналисты так прицепились именно к ключам? В законе говорится всего лишь об информации, необходимой для декодирования электронных сообщений. И это очень важно. Для неспециалиста разницы между кодированием и шифрованием нет никакой. А вот для специалиста... Причем, что в юридической, что в технической сфере. Разница колоссальная.  Термин "кодирование" не имеет никакого отношения к криптографии. В отличии от шифрования, в котором используется некий секретный элемент (например, ключ шифрования), в кодировании никаких секретных элементов нет. Кодирование - это механизм преобразования информации из одной формы, удобной для непосредственного использования (чтения, просмотра, прослушивания) в другую - для улучшения передачи/хранения или автоматической обработки. Например, помехоустойчивое кодирование. Преобразование base64 в электронной почте - это тоже кодирование. Unicode, ASCII, UTF-7 - это все тоже кодирование. И сжатие данных с помощью какого-либо кодека - это тоже кодирование (так называемое сжимающее кодирование). И MP3, JPEG, AVI, EPS, CDR, SWF, PDF - это тоже кодирование. В ФСБ можно отправлять информацию о выбранном кодеке и формате данных :-)

Кстати, у термина "шифрования" есть очень четкий и отделяющий его от кодирования момент - ограничение доступа к информации (кодирование применяется для другого). Это вытекает из определения шифровальных средств из действующего законодательства (например, из ПП-313). В проекте закона Яровой термины "кодирование" и "шифрование" упоминались в паре. В финальной версии (в рассматриваемой части) термин "шифрование" убрали, что дало возможность снизить остроту проблемы, о которой так много говорили.

Немного портит картину перечень поручения Президента, в последнем пункте которого говорится именно о передаче ключей шифрования. Я могу объяснить эту нестыковку очень просто. Список поручений готовили в ФСБ, а "закон Яровой" - в Госдуме. Учитывая полную безграмотность и некомпетентность депутатов в технических вопросах, изначально очевидная идея о передаче ключей шифрования была завуалировала так, что полностью потеряла свой первоначальный смысл. Все-таки между "передача ключей шифрования" и "предоставление информации, необходимой для декодирования электронных сообщений" есть большая разница. И теперь очень интересно будет посмотреть на то, как в ФСБ будут выкручиваться из этой ситуации. Все-таки первичен у нас закон и в своих нормативных документах ФСБ (если закон Яровой не отменят) должна будет отталкиваться от формулировок закона, а не поручения. Вспоминая сколько готовился 378-й приказ ФСБ (по сравнению с тем, когда он должен был быть готов), хочется верить, что упомянутый в поручении Президента порядок, который и должна разработать ФСБ, будет готов не к концу июля этого года, а гораздо позже.


В качестве резюме могу подытожить. По части информационной безопасности каких-то революционных изменений в законе Яровой я не увидел. Почти все, что там написано, уже в той или иной форме было в действующем законодательстве и Яровая с Озеровым (авторы закона) просто увеличили сумму штрафов за нарушения уже известных норм законодательства. Остается некоторая неразбериха с кодированием и ключами шифрования, но тут нам остается только ждать обещанных нормативных актов ФСБ и правоприменительной практики.

Но... раз уж я упомянул правоприменительную практику, то давайте представим, что компания Facebook или Twitter или WhatsUp (а именно их чаще всего называют как основных адресатов нового закона) отказались выполнять закон Яровой и дело ушло в суд... Кто будет ответчиком по данному делу? У названных мной компаний в России представительств вроде как и нет и вызвать их повесткой в суд достаточно сложно. Ну так их просто заблокируют, скажете вы. А на основании чего? В законе нет такой формы наказания для организаторов распространения информации, которые отказались предоставить ключи шифрования в ФСБ. Интересная коллизия получилась. Те, против кого закон по идее и направлен, не страдают (в легальном поле, разумеется). Террористы и отъявленные экстремисты (а не студенты, не задумываясь ретранслирующие заметки о том, что не надо ходить на выборы) и так не будут соблюдать данное законодательство. А вот законопослушные компании, как это часто и бывает, окажутся под очередным дамокловым мечом. Да еще и затраты понесут колоссальные.

ЗЫ. На разнице терминов "кодирование" и "шифрование" во времена пресловутого 334-го Указа строилась стратегия ряда компаний по уходу от обязательности сертификации СКЗИ.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!