Как обезопасить украинские компании от несанкционированного вмешательства в их базы данных от российских спецслужб и Роскомнадзора.

Как обезопасить украинские компании от
несанкционированного вмешательства в их
базы данных от российских спецслужб и
Роскомнадзора.
================================================================================
Sergey on 07/07/2014 11:18:00

Как обезопасить украинские компании от
несанкционированного вмешательства в их
базы данных от российских спецслужб и
Роскомнадзора.
Итак, из-за нового приказа под контроль
попадут телефонные номера, IP-адреса,
учётные записи и адреса электронной почты
пользователей социальных сетей. Всю эту
информацию провайдеры будут обязаны
хранить не менее 12 часов, несмотря на то, что
это противоречит Конституции России,
поскольку предполагает сбор и хранение
данных до решения суда.
С августа, в России начнет действовать так
называемый, антитеррористический пакет
поправок в законодательство. Сейчас по
закону компании обязаны предоставлять
данные о личности пользователя и его
активности в сети только по решению суда. Но
прокуратура довольно часто напрямую
обращается с подобными запросами к
сервисам — и часть компаний на них
отвечает. Новые нормы обязывают
интернет-компании в течение полугода
хранить данные о своих пользователях и по
первому требованию передавать их
уполномоченным органам, которые ведут
оперативно-розыскную деятельность.
Чтобы полиция и спецслужбы знали, у кого
запрашивать данные, компаниям, которые
предоставляют пользователям возможность
обмениваться информацией, нужно уведомлять
о начале своей работы Роскомнадзор.
Какую именно информацию хочет получать
государство от интернет-компаний, впервые
расписано в регламенте ФСБ. Из документа
следует, что правоохранительным органам
нужна практически вся информация о
действиях пользователя в сети. Это
идентификатор пользователя (логин), все
адреса электронной почты (как основной, так
и той, что используется для переадресации),
список всех его контактов, категории
контактов (друзья, подписчики), количество и
объем полученных и переданных
пользователем сообщений, все изменения в
аккаунте и попытки его удаления.
В регламенте описывается ситуация, в
которой интернет-компания может избежать
необходимости хранить данные, но тогда она
будет обязана предоставить спецслужбам
полный доступ к своему сервису на
постоянной основе. Получается, что в таком
случае правоохранители должны сами
собирать и хранить данные за последние
шесть месяцев.
«Огромное количество личной информации,
которую компании подобные «Google» хранят в
силу особенностей своей деятельности,
стала особо ценной для полиции и
правительства», – заявили делегаты на
Правительственном интернет-форуме в
Найроби. «Когда существует возможность
заполучить информацию, которая прежде была
недоступна, абсолютно понятно, вскоре
появятся законы, разрешающие вторжение в
социальные сети», – заявил главный
интернет-евангелист «Google» Винт Серф.
Пользователь из Иллинойса уже подал
коллективный иск от имени пользователей
«Facebook» по поводу отслеживания данных. На
это «Facebook» заявил, что отслеживание
оказалось ошибкой и сбоем работы системы. В
то же время новые исследования Цубриловича
показали, что слежка за пользователем
происходит, даже если он не является
пользователем «Facebook» и никогда туда не
заходил, а просто зашёл на сайт с виджетом
«мне нравится» или «поделиться с другом» на
стороннем сайте.
В то же время появляются новые, более
защищённые сервисы, и пользователи не
брезгуют ими воспользоваться. В любом
случае, нужно помнить, что «Skype», «Gmail»,
«Hotmail», «Facebook», «Vkontakte», «Одноклассники» и им
же подобные – информаторы спецслужб и
безнаказанная публичность в таких сервисах
– это просто вопрос времени, пока Вы не
стали интересны ФСБ.
Хотелось бы спросить Вас: – Многие ли из Вас
работали/-ют с конфиденциальными базами
данных (персональные данные). Если ответ
«ДА», то возникает следующий вопрос: — А
читали ли Вы законы? В частности «О защите
персональных данных»? Если «Нет», то найдите
свободное время и прочтите, а если «Да», то
обращали ли Вы внимание на то, что в
Российской Федерации постоянно происходят
изменения и дополнения в федеральном
законе РФ «О персональных данных», у нас же
(на Украине) еще со времен правления
«беглеца»-В. Януковича, ничего не менялось,
хотя стоило б обратить внимание, особенно в
связи с последними событиями в Украине ( в
частности то, что происходит на территориях
АР Крым , а так же в Луганске/Луганской
народной республике (ЛНР) и
Донецке/Донецкой народной республике (ДНР)),
а так же проанализируйте ситуацию с
изменениями, внесёнными с 2009г. Ладно бы
закрывались сайты, связанные с
«пиратством» и «порнографией», это еще
можно понять, но когда видишь на
информационных сайтах такое «редакция
приняла решение временно закрыть
пользователям возможность комментировать
редакционные материалы на сайте и скрыть
все уже опубликованные комментарии. Эти
функции будут восстановлены после
нормализации обстановки» диву даешься,
неужели российских юзеров постигнет судьба
китайских пользователей?
И так, что дозволено в Украине и России?
Рассмотрим персональные данные и доступ к
ним , на примере бухгалтерских программ баз
данных. Итак, анализируя программы
бухгалтерского учета, можно сделать вывод,
что благодаря использованию программ можно
в реальном времени и автоматизировано
получать полную информацию о событиях,
ресурсах, денежных средствах, работниках,
контролируя эффективность деятельности
предприятия, сократив временные затраты.
Соответствующее компьютерное программное
обеспечение не может заменить грамотного
бухгалтера, но оно позволяет сэкономить его
время и силы за счет автоматизации
операций, то есть безошибочно производить
арифметические расчеты; обеспечивать
подготовку, заполнение, проверку и
распечатку первичных и отчетных документов
произвольной формы; производить накопление
итогов; обращаться к данным и отчетам за
прошлые периоды, и в то же время иметь
постоянный доступ к актуальным данным
работников, т.е. конфиденциальную
информацию о сотрудниках фирмы. На
последнем хотелось бы акцентировать Ваше
внимание.
А читали ли Вы «Пользовательское
соглашение» программных продуктов, которые
устанавливаете для работы с СУБД? Или
просто устанавливали галочки и нажимали
кнопку «Далее» даже не читав его? В 97%
случаях так и происходит, пользователи жмут
«Далее», и весь текст «Пользовательского
соглашения» почти никто не читает, т.к.
четких пунктов там, указывающих на
распространение уже готовой базы данных
клиента, там нет, и нужно хорошо вникнуть в
него, чтобы понять о чем идет речь. За частую
в нем описывается лицензионное
распространение программного продукта, но
не база данных клиента.
Возьмем и рассмотрим более конкретные
программные продукты. Фирма «1С» —
российская компания, специализирующаяся на
дистрибьюции, поддержке и разработке
компьютерных программ и баз данных
делового и домашнего назначения. По данным
многочисленных опросов «1С» занимает первое
место в софтверном секторе компьютерной
индустрии СНГ и лидирует по числу
продаваемых программ. Компания является
официальным дистрибьютором более 70
зарубежных и отечественных производителей
программного обеспечения.
Как Вы думаете, компания, имеющая такой
рейтинг и финансовый оборот, могла пройти
незамеченной для Российских спецслужб?
Организационно-правовая форма: общество с
ограниченной ответственностью. Основатель
и директор компании — Борис Нуралиев.
Борис Георгиевич Нуралиев (род. 18 июля 1958) —
известный российский предприниматель, один
из основателей компании «1C». Специалист по
автоматизации проектирования систем
машинной обработки экономической
информации.
Интерес представляет факт его служебной
биографии, а именно:
В 1987 году он стал руководителем
хозрасчетного отдела НИИ Госкомстата, до
этого работал в экономико-статистическом
институте. Вскоре ему пришлось решить
«нетипичную задачу» — создать
«электронный телетайп», чтобы подключать
вместо объединенных в сеть
электромеханических коробок персональные
компьютеры. Такие как, например, только
появившаяся в СССР гэдээровская новинка
«Роботрон СМ1910».
май 1990 — Отдел Нуралиева получает ГосЗаказ,
отдел пишет программу, предназначенную для
«электронного телетайпа», подключаемого к
IBM-совместимым компьютерам.
1991 — официально учреждена компания «1С».
Компания и ее основатель очень скрытны: «1С»
существует больше 20 лет, но не раскрывает
свои финансовые показатели и состав
акционеров. Известно только, что ею владеют
около десятка сотрудников, но кто именно —
неизвестно.
За большой вклад в реализацию
правительственной программы по
реформированию бухгалтерского учета и
финансовой отчетности Российской
Федерации Борис Георгиевич в 1999 г. был
удостоен благодарности Президента РФ Б. Н.
Ельцина, в 2000 г. — Председателя
Государственной Думы Российской Федерации
Г. Н. Селезнева.
Вот и попробуйте за столь короткий срок
времени, связать теперь воедино :
Госкомстат, эксперименты с «электронным
телетайпом» (в 90-е это были чрезвычайно
мощные и компактные для своего времени
компьютеры) и «1С», может это детище
эксперимента «электронного телетайпа» и
как следствие благодарности Президента РФ.
А теперь рассмотрим другую, недавнюю
историю. Случившуюся с другой IT-компанией, а
точнее с основателем крупнейшей российской
социальной сети «ВКонтакте» — Павлом
Дуровым.
Осознав, что правдивую информацию о
ситуации в Украине простые россияне могут
узнать не только из новостных выпусков
украинских телеканалов, но и с помощью
Интернета, кремлевские цензоры начали
активно блокировать сайты.
«Прокуроры СФО РФ сообщили журналистам, что
Роскомнадзор заблокировал более десятка
украинских информационных ресурсов под
предлогом того, что на их страницах, якобы,
содержатся экстремистские призывы.
Дескать, в публикациях украинцы призывают
рядовых россиян выйти на протестные
митинги и призвать российское
правительство, прекратить беспрецедентное
и противоправное давление на Украину. Какие
именно сайты попали в “черный список”
цензоров, не сообщается».
Конфликт российской правоохранительной
системы и Павла Дурова, о котором
основатель «ВКонтакте» рассказал, в
большинстве случаев рассматривается с
точки зрения политики (свобода слова и
распространения информации) или бизнеса
(активы Дурова, корпоративные
противоречия), но не с правовой. Между тем
обе стороны – и ФСБ, и Дуров – оперируют в
рамках своих действий и решений вполне
юридическими понятиями.
Со стороны российских спецслужб поступили
официальные запросы, копии которых
опубликовал генеральный директор соцсети.
В них они требуют выдать регистрационные
данные администраторов и модераторов 39
украинских сообществ «ВКонтакте».
Сам Дуров свой официальный ответ
Федеральной службе почему-то не приводит,
но уверенно комментирует его, ссылаясь на
закон: «Нашим ответом был и остается
категорический отказ – юрисдикция России
не распространяется на украинских
пользователей «ВКонтакте». Выдача личных
данных украинцев российским властям была
бы не только нарушением закона, но и
предательством всех тех миллионов жителей
Украины, которые нам доверились».
На чьей стороне правда в этой юридической
коллизии? Действительно ли «юрисдикция
России не распространяется на украинских
пользователей»? Может ли ФСБ требовать
предоставить регистрационные данные
модераторов сообществ социальной сети? И
какова мировая практика в таких случаях:
как соотносятся принципы международных и
глобальных социальных сетей с локальными
законами?
Законно ли спецслужбы требовали от
«ВКонтакте» «регистрационные данные в
отношении авторов и администраторов» ряда
групп социальной сети, ссылаясь при этом на
положения Федерального закона №144 «Об
оперативно-розыскной деятельности» и
статью 9 ФЗ №149 «Об информации,
информационных технологиях и защите
информации»?
Резюмируя: обе стороны в этом конфликте с
точки зрения формальной юридической логики
находятся в уязвимом положении. Дуров
ссылается на несуществующие принципы
защиты иностранных пользователей от
контроля российской правоохранительной
системы. Система, в свою очередь, вынуждена
оперировать двусмысленными законами,
оставляющим окончательное решение о
предоставлении данных за самим сервисом. А
что мешает в дальнейшем спецслужбам
требовать данные от разработчиков «1С»,
«Парус», «Галактика» и другого
бухгалтерского ПО ?
Ладно , когда это ПО используют Частные
Предприятия (ЧП), но когда предприятие
государственное, а тем более
стратегического назначения и любая
информация, полученная из базы данных может
быть использована против руководства, а еще
хуже против государства, для получения тех
или иных воздействий на них, тем более это
прекрасно наблюдалось в АР Крым с
банковской системой. Банки очень быстро
закрылись и убыли с Крыма, т.к. у них были
все сведенья о их вкладчиках. И как известно
банковская система (особенно швейцарские и
австрийские банки) первую очередь, ценится
за свою надёжность, а также за тщательное
соблюдение банковской тайны или, иными
словами, за гарантию сохранности
конфиденциальной информации своих
клиентов. Было бы неплохо, чтобы украинские
государственные объекты в ходе последних
событий, пересмотрели свою IT политику
безопасности.
По моему мнению, государственные
стратегические предприятия и структуры
государственного управления, такие как :
* Верховный Суд Украины
* Совет национальной безопасности и
обороны Украины
* Служба безопасности Украины
* Государственная казначейская
служба Украины
Не должны обслуживаться компаниями другой
страны, тем более агрессора, который
заинтересован в получении любой
информации.
Вот скажите, какие гарантии о
неразглашении данных имеются у украинских
компаний, кроме репутации, от российских
компаний «1С» / «Парус» / «Галактика» и др.
Как Вы думаете, что произойдет, если к ним в
их центральный офис, расположенный на
территории Российской Федерации, нагрянут
сотрудники ФСБ / Роскомнадзора или других
органов с «просьбой» предоставить базу с
личными данными той или иной украинской
компании, которую они обслуживают. Особенно
если это компания, которая была занесена в
список стратегических объектов Украины,
Согласно Постановлению Кабинета Министров
Украины от 23 декабря № 1734 «Об утверждении
перечня предприятий, которые имеют
стратегическое значение для экономики и
безопасности государства».
Как вариант для украинских компаний, я бы
посоветовал перейти с подозрительных
поставщиков российского программного
обеспечения, на отечественного украинского
производителя, например, компания
«Интеллект-Сервис», создана в 1990 году и
работает на рынке Украины. Компания
выпускает программные продукты серии
«ИС-ПРО (предыдущее название БЭСТ)», «M.E.Doc»
предназначенные для автоматизации учета и
управления на предприятиях различных
отраслей производства, торговли,
агропромышленного комплекса, сферы услуг и
в бюджетных организациях. Эти программы
созданы именно украинскими специалистами.
Поэтому в них полностью учтены
законодательные и экономические функции
для решения задач предприятия, а так же
оперативная поддержка всех изменений в
законодательстве, устойчивость и
надежность.
Сам факт , того , что компания
«Интеллект-Сервис» внедрила и наладила
работу (а это сотни объектов по всей
Украине, в том числе и в АР Крым ) в
«Министерстве доходов и сборов Украины»,
т.е. орган, который обязан проверять все
предприятия Украины на правильное ведение
бухгалтерского учета и сдачи отчетов, уже
говорит о многом.
В заключение хотелось бы дать ряд
рекомендаций организациям. Исполнить
требования закона о персональных данных
будет не столь уж трудно, если данную работу
начать сейчас, не дожидаясь поступления
первых заявлений и жалоб. Для всех
информационных ресурсов организации,
содержащих персональные данные,
необходимо:
* уточнить и зафиксировать состав
персональных данных и их источники
получения (от гражданина, из публичных
источников, от третьих лиц и т.д.);
* установить сроки хранения и сроки
обработки данных в каждом информационном
ресурсе;
* определить способы обработки;
* определить лиц, имеющих доступ к
данным. Каждый сотрудник компании,
пользователь системы, должен быть
авторизован. Существенным плюсом могут
стать сложные пароли, без возможности
подбора. Все операторы должны иметь
достаточно полномочий для того, чтобы
эффективно работать с системой, но при этом,
на администрирование должно быть наложено
табу. Не получится добиться безопасности
без установки профессиональных
антивирусных систем.
* сформулировать юридические
последствия о разглашении;
* И напоследок, все системные блоки
должны быть опломбированы. Доступ к
Интернету со съемными носителями должен
быть запрещен. А что касается квалификации,
то и тут все должно быть на высоте.
Сотрудников с отсутствием опыта работы с
бухгалтерским ПО лучше не допускать к
системе. Маленькая оплошность может стать
причиной больших утрат.
Ковтун Сергей.