телеграмная революция?
Буквально на этой неделе прошла новость о том, что глава Роскомнадзора опубликовал сообщение, чем спровоцировал публичную переписку с Павлом Дуровым, создателем социальной сети Вконтакте и системы Telegram.
О сути, с позволения сказать, диалога.
Роскомнадзор заблокирует интернет-мессенджер Telegram, если он не будет внесен в реестр организаторов распространения информации, заявил 23 июня руководитель ведомства Александр Жаров.
«Требование одно, и оно простое: заполнить присланную анкету сведениями о компании, которая управляет Telegram», - говорится в обращении Жарова к администрации и пользователям мессенджера, опубликованном на сайте ведомства.
«До сих пор мы не получили от администрации мессенджера никакого ответа, - отмечает Жаров, - время, отведенное Роскомнадзору законом на принятие решения, истекает».
Глава ведомства констатирует, что в настоящий момент все имеющиеся возможности официальной коммуникации с командой мессенджера исчерпаны. «В случае фактического отказа от исполнения обязанностей организатора распространения информации, Telegram в России должен быть заблокирован до тех пор пока не будут получены необходимые сведения», - предупреждает чиновник.
«Исполните российское законодательство!», - призывает Жаров лично Павла Дурова, создателя мессенджера.
Какая прелесть! Где вы ещё увидите, как чиновник уговаривает представителя бизнеса исполнить закон, который принят аж в 2014 году!
Сам Telegram позиционирует себя как супер-пупер зашифрованная сетевая информационная система, стойкая к взломам и не делящаяся ни с кем информацией о том, кто, что, когда, и откуда и куда переслал. Пользователи же повторяют расхожие фразы про шифрование, распределённую систему и прочее число атомов во Вселенной и взлом методом брутфорса. Примерно вот так:
16 мая администрация Telegram заявила, что «ни одно правительство или спецслужба в мире не получили ни бита информации от нас. Так будет всегда». В Telegram утверждают, что любые данные, которые передаются через мессенджер, зашифрованы, а ключи находятся в дата-центрах в разных юрисдикциях.
Я не знаю, на кого рассчитаны подобные вбросы. Контроль, даже сама техническая возможность контроля информации, которая передаётся на территории государства и через его границу есть обязанность и норма приличия любой мало-мальски уважающей себя службы в любой стране, претендующей на независимость. А также претензию на монополию таких действий. В наши дни этот кодекс относится ещё и к межгосударственным структурам, таким как корпорации, осуществляющие международную деятельность и пекущиеся о сокрытии деловой тайны. Поэтому, как только начинает колоситься информационная система с заметным трафиком, так немедленно должен ставиться вопрос об оперативной разработке талантливых ребят. Вопрос ставится всеми, кто худо-бедно проявляет интерес к той территории, по которой расползается шифрованный траффик: спецура страны, соседей, все бизнеса, кто имеет какой-то интерес на территории, да мало ли ещё кто. Примерно, как у Богомолова, в «В августе 44-го»:
-Вы понимаете, что в условиях подготовки и проведения стратегической операции любая утечка секретных сведений, любые разведывательные каналы противника должны перекрываться немедленно?
-Да, понимаю.
Сталин сделал несколько шагов, удаляясь, и неожиданно обернулся.
-Сколько их всего? - указывая на угол стола, где лежала справка по делу "Неман", спросил он.
- О численности всей резидентуры трудно говорить определенно, - глядя ему в лицо, сказал начальник контрразведки, - ядро группы предположительно три или четыре человека.
…
- Столько у нас органов, а трех человек поймать не могут. В чем дело?
Поэтому вопрос о том, а как, вообще, могло такое случиться, что в принципе позволено работать шифрованному каналу остаётся риторическим. Уточню - шифрованному каналу с возможностью бесплатного доступа (за чей счёт содержится вся эта инфраструктура?) для любого и каждого.
В общем, ФЗ «Об информации, информационных технологиях и о защите информации» был принят, и Роскомнадзор начал отрабатывать то, что положено.
Какое отношение имеет тот срач между Жаровым и Дуровым к исполнению закона? Вот примерный состав тех какашек, которыми пребрасывались оппоненты:
- Исполняй закон!
- Ты соображай, что саботаж творишь! Чиновники работать не смогут!
- А ты террористов поддерживаешь!
- Выфсьоврёти, мы с ними боремся. А ты американцам продался!
Какие чиновники, террористы, американцы и талантливые бизнесмены! При чём тут эта цветовая дифференциация штанов, закон одинаково обязателен для всех. И точка. Вот нормальный здоровый подход.
Другой аспект нормального здорового подхода состоит в том, что перед тем, как принять закон, нужно убедиться в том, что он выполним на той территории, для которой он писался. Иной подход разрушает авторитет власти, который и без того невысок.
Хорошо, допустим, приняли, не приняв во внимание всех аспектов бытия, или же за три года закон перестал быть адекватным реальность. Что делать в этом случае? Властям, в порядке собственной инициативы доработать закон до применимого состояния или же вовсе отменить. Подчёркиваю: в порядке собственной инициативы. Это оптимально, несколько хуже, когда изменения вносятся под давлением недовольных. С последующими мерами в отношении тех, кто такой закон нарисовал.
Если закон не вызвал возражения, достаточного для исправления, закон считается адекватным и обязательным к исполнению.
Если кто-то кое где у нас порой честно жить не хочет, то выход один: в отношении нарушителей применять ту часть закона, которая писана специально для них с аргументом согласно ФЗ… и далее всё, что положено.
Вместо этого мы наблюдаем пока что что натуральный майдан: власть издаёт закон, и с нарушителями начинает какие-то гнилые базары про чиновников, террористов и американцев. Делает это публично, на всю страну, на всю аудиторию в несколько миллионов человек, которые живо раскидают сие по соцсетям, где каждый второй житель тусуется. Демонстрация кувшинного бюрократического рыла и держиморды вызовет меньше претензий, чем игра в популярного блогера, в условиях, когда вторая сторона есть раскрученный персонаж и не имеет далеко не нулевой вес в пресловутых соцсетях.
О технической стороне проблемы.
А с какой стати чиновники вообще сидят в мессенджерах? Не пора ли дать по сусалам за грубое нарушение должностных инструкций? На простом основании: имеет ли ПО такие-то сертификаты? Одно дело, если о том, сколько звёзд на небе, сколько зёрен в мешке и сколько капель в море, какова стойкость шифрования и можно ли гарантировать безопасный маршрут расскажет кибернетик-эксперт из профильного ведомства, а другое - если то же самое слово в слово озвучит специалист по аудиту из министерства по делам Тимура и Амура.
Если чиновники и в самом деле не могут работать без мессенджера, то пора менять их регламент и принимать соответствующие меры. Самое грубое, что можно сделать, это провести тендер или организовать какой-нито ФГУП, который бы занялся разработкой и внедрением программного обеспечения, соответствующего таким-то и таким-то сертификатам. Всё.
Об обеспечении частной тайны.
Обеспечение частной тайны - дорогое удовольствие. Очень дорогое. Как, впрочем, всегда. Дороговизна удовольствия связана с тем, что для обеспечения тайны нужен целый комплекс мер в очень многих сферах жизни. Эти меры требуют, как минимум, затрат и жёсткой самодисциплины. С последней, как правило, самые большие проблемы, потому что удобство пользования напрямую связано со снятием неких самоограничений.
Может появиться иллюзия, что даже в эпоху с дешёвым доступом к жежешечкам, вконтактикам, сервисам и микросервисам из любой точки цивилизации технически средства могут обеспечить приватность. Одним из признаков такой иллюзии для меня является употребление аргумента «зашифровано». Мол, были написаны какие-то алгоритмы в лохматые годы, с такой-то стойкостью, и принято считать, что одно их использование обеспечивает всё то, что нужно. Да, вычислительные затраты на то, чтобы тайное сделать явным, гораздо больше, чем на шифрование. Какие из этого можно сделать выводы? Первый: нужно сильно заинтересовать потенциально атакующего, чтобы тот решился на затратные меры. Второй: меры по вводу их сумрака далеко не сводятся к расшифровке передаваемой информации (заранее предупреждаю особо ретивых - к паяльнику они сводятся ещё в меньшей мере).
Итак, устанавливается некий паритет.
С той стороны, которая шифруется, для обеспечения полной независимости требуется жёсткая дисциплина и готовность развернуть всю необходимую инфраструктуру, которая положена, скажем по модели ISO/OSI, включая физический уровень, причём для каждого пользователя.
С атакующей стороны требуется заинтересованность и готовность применять аппаратуру для расшифровки. Стоит железо и софт дорого, зато его достаточно, условно, в единственном экземпляре, независимо от числа атакуемых.
В общем, приватность, на мой взгляд, это не состояние, а процесс. С телеграмом или без, на шифры надейся, а сам не плошай.