Доброго времени суток! Сегодня мы поговорим о том, к чему приводят невыполнимые требования законодательства. Понятно, что глобально это приводит к невыполнению этих самых требований, но здесь мы рассмотрим конкретный пример.
Речь пойдет о требовании ФСБ России шифровать любые персональные данные, передающиеся по сетям связи общего пользования (в народе – просто Интернет), только сертифицированными криптографическими средствами.
Вы все врете, нет такого требования!
Да, мы постоянно слышим возражения вроде «вообще-то в законе написано не шифровать, а защищать персональные данные при их передаче, а это разные вещи» и «да нет там требования использовать только сертифицированную криптографию, обычный SSL подойдет».
Ну, хорошо, давайте внимательно изучим законодательство и разберемся.
Самым высокоуровневым документом у нас здесь является Федеральный закон № 152-ФЗ «О персональных данных», статья 19 которого говорит:
2. Обеспечение безопасности персональных данных достигается, в частности:
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.
Пока вроде ничего страшного. Нам говорят, что защита персональных данных достигается применением, в том числе, технических мер и, что перечень этих мер должны определить сначала на высоком уровне абстракции Правительство РФ (их постановление №1119 нам не особо интересно в рассмотрении данного вопроса) и затем уже более подробно – ФСБ России и ФСТЭК России.
Во исполнение постановления Правительства РФ №1119 ФСБ издает приказ №378 от 10 июля 2014 года. Документ структурирован ужасно, поэтому чтобы разобраться что происходит, приходится прыгать между пунктами. Ниже для удобства приводим только интересующие нас пункты:
5. В соответствии с пунктом 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 <1> (далее - Требования к защите персональных данных), для обеспечения 4 уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Здесь пока тоже прямо нам не говорят, что нужно применять только сертифицированные средства защиты информации, мы же знаем, что «оценка соответствия» не равно «сертификация».
9. Для выполнения требования, указанного в подпункте "г" пункта 5 настоящего документа, необходимо для каждого из уровней защищенности персональных данных применение СКЗИ соответствующего класса, позволяющих обеспечивать безопасность персональных данных при реализации целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых СКЗИ персональных данных или создания условий для этого (далее - атака), которое достигается путем:
в) использования для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе СКЗИ класса КС1 и выше.
Здесь с нас тоже вроде как не требуют прямым текстом использовать только сертифицированные средства криптографической защиты информации (они же – СКЗИ), но проблема в том, что получить этот самый «класс КС1 и выше» можно только пройдя процесс сертификации СКЗИ в ФСБ России.
Внимательный читатель скажет: «Но посмотри, там, в подпункте "г" пункта 5 написано "...в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз", может это все не имеет отношения к передаче персональных данных через Интернет?».
К сожалению – имеет. В 2015 году ФСБ выпускает документ «Методические рекомендации по разработке нормативных актов, определяющих угрозы безопасности персональных данных, актуальны при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности». Сразу же после выхода этого документа, мы его, конечно же, внимательно изучили, приняли к сведению и положили на полочку, ведь это не обязательно, а всего лишь «методические рекомендации». Но как в итоге оказалось – нет ничего более обязательного, чем что-то рекомендуемое ФСБ России. В основном документ посвящен тому, как составлять отдельные разделы документа «Модель угроз», посвященные СКЗИ, но там есть и следующие положения:
Использование СКЗИ для обеспечения безопасности персональных данных необходимо в следующих случаях:
- если персональные данные подлежат криптографической защите в соответствии с законодательством Российской Федерации;
- если в информационной системе существуют угрозы, которые могут быть нейтрализованы только с помощью СКЗИ.
К случаям, когда угрозы могут быть нейтрализованы только с помощью СКЗИ, относятся:
- передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования);
- хранение персональных данных на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов.
Итак, что по итогу всей рассмотренной выше нормативной базы имеем: перехват персональных данных, передаваемых по сети Интернет, является угрозой безопасности, которая может быть нейтрализована только с помощью сертифицированных ФСБ России СКЗИ класса КС1 и выше.
Обратите внимание, что защищать при передаче по каналам связи нужно любые персональные данные. То есть любые порталы с личными кабинетами, где есть какие-либо персональные данные, попадают под эти требования. И неважно, что вы там при должном разграничении доступа и отсутствии различных уязвимостей можете увидеть только свои персональные данные. Ведь для того, чтобы они отобразились на вашем клиентском устройстве, сервер должен их отправить вам по сети, а значит, по действующему законодательству эти пакеты должны быть зашифрованы сертифицированной ФСБ криптографией. Таким образом, и самое большое публичное хранилище персональных данных граждан РФ – портал Госуслуг, и, например сайт любого университета с личным кабинетом попадают под эти требования.
И да, почему же все-таки с 2008 года такие требования, а не с 2014-го? А потому что в старых приказах ФСБ было написано все еще проще и лаконичнее:
7) Для обеспечения безопасности персональных данных при их обработке в информационных системах должны использоваться сертифицированные в системе сертификации ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации) криптосредства.
А так как в соответствии со 152-ФЗ под обработкой персональных данных понимается и их передача по сетям связи, то имеем ту же самую ситуацию.
Выполнение требования. Реалии
Ладно, с нормативной базой разобрались, давайте посмотрим, что там на практике. А на практике получилось так:
операторы персональных данных проигнорировали это требование =>
так как нет спроса, разработчики средств защиты долгое время не представляли никаких решений =>
регулятор все понимает и закрывает на это все глаза при проверках =>
поскольку регулятор не «напрягает» операторы персональных данных игнорируют это требование – круг замкнулся.
Все же следует уточнить категоричный тон заголовка – хорошо, может на начало 2021 года и не все порталы с персональными данными не выполняют требование сертифицировано шифровать персональные данные, а процентов 99.
С 2017 года в одном из указанных выше звеньев произошел перелом – отечественные производители средств защиты информации начали выпускать сертифицированные TLS-решения, как раз для решения этой проблемы. Но и тут не обошлось без нюансов. Решения оказались совсем не дружелюбными при их внедрении и использовании. Особенно при использовании на клиентской части.
Самый жесткий вариант состоял в том, что за клиентское решение нужно было платить. Самый безобидный – необходимость использования специализированных браузеров, например, Chromium-gost. Масса таких эксплуатационных проблем возникала при использовании десктопов, а что уж говорить о мобильных устройствах.
В итоге, имеющиеся сейчас решения подходят только для кейсов, когда веб-портал используется для ограниченного круга лиц, например, внутренний портал администрации областного центра с какими-нибудь справочниками о сотрудниках этой самой администрации. В таком случае, дополнительные затраты на клиентское ПО или использование специализированного браузера можно организовать в принудительном порядке. Но такой подход совершенно не годится, например, для коммерческих целей. Представьте, что у вас есть интернет-магазин и вы сообщаете своему клиенту: «Чтобы сделать у нас заказ, вам нужно скачать специальный браузер, потом...». Уже на этом этапе клиент наверняка пойдет куда-нибудь еще.
Проверив множество государственных веб-порталов мы выяснили, что лишь небольшая часть реализует криптографию в специализированных браузерах по алгоритму ГОСТ. Вот так, например, в таком браузере выглядит сертификат портала torgi.gov.ru:
Правда, в Firefox уже вот такая картина:
Старый добрый RSA, точно не сертифицированный, ведь ФСБ сертифицирует только ГОСТ-криптографию. Да и в целом возникает вопрос, какой в смысл в том, что ГОСТ-шифрование работает, но из специальных браузеров, а из обычных потребительских сайт тоже работает, но на RSA. Получается, что требование как бы выполняется, но для мизерного числа пользователей.
Ну, хоть и на том спасибо, а вот Госуслуги решили не париться:
Заключение
Сейчас никто не удивляется, когда законодательство содержит в себе неконкретные формулировки, допускающие различные, несовместимые друг с другом трактовки. В этой статье мы показали, что есть и другая проблема – когда требование четкое и понятное, но по факту невыполнимое.
Почти 10 лет рассматриваемое требование было невыполнимо для веб-сайтов с неограниченной аудиторией из-за банального отсутствия каких-либо подходящих технических решений. Когда же эти технические решения появились на стороне порталов, появились проблемы со стороны пользователей, которые хотят, чтобы им было быстро и удобно, а не устанавливать на свой компьютер какие-то дополнительные браузеры, плагины и тем более платное клиентское ПО.
Сделать что-то с этой ситуацией может только ФСБ России, изменив свои требования. Путей тут может быть много. Можно конкретизировать требования для разных весовых категорий операторов персональных данных, для госструктур – одни, для крупных частных организаций – другие, для мелких частных организаций – третьи. Можно отложить введение требований до тех пор, пока ГОСТ-шифрование не начнет работать во всех браузерах из коробки. Можно много чего придумать, чтобы требования были своевременны, адекватны и выполнимы, но скорее всего всё останется как есть.
Автор: Вадим Ивачёв