Как поправки в закон для оперативников повлияют на граждан и бизнес. Пробуем разобраться
Поправки в закон об ОРД про средства негласной фиксации и удалённый доступ к компьютерам — это действительно так опасно? Разбираясь с этим вопросом, dev.by обратил внимание на ещё одно новшество и обсудил его с экспертом по информационной приватности.
Поправки в закон об «Об оперативно-розыскной деятельности» (ОРД) были восприняты настороженно: кто-то увидел в них право оперативников получать удалённый доступ к компьютерам граждан, которого раньше будто бы не было, кто-то связал поправки с политическим кризисом и представил, как запускают вредоносы в гаджеты протестно настроенных граждан.
dev.by, вместе с юристом сравнив поправки с действующим законом, не нашёл в них чего-то революционного в части удалённого доступа и средств тайной фиксации. «Это больше похоже на уточнение существовавшего раньше», — поделился мнением юрист.
Бывшие следователи полагают, что с политикой тут связи нет. «Скорее всего, это закрепление сложившейся практики», — предположил экс-сотрудник следственных органов.
Бывший сотрудник СК, эксперт по кибербезопасности Александр Сушко допустил, что понадобилось уточнить формулировки, чтобы исключить проблемы в санкционировании оперативных мероприятий со стороны прокуратуры.
И отметил, что специальное ПО для поимки преступников используют во всём мире.
— Преступники скрывают свои координаты, поэтому правоохранители многих стран засылают им на телефоны и компьютеры вредоносы, благодаря которым можно установить реальный IP-адрес человека. Цель здесь не сбор данных, а поиск человека. Мое мнение — поправки не связаны с протестами, просто так совпало. Не исключено, что процесс был запущен давно. Не думаю, что кому-то это в Беларуси развяжет руки: если бы силовики захотели что-то взять, они бы пришли и забрали это во время обыска или выемки. И так ведь известно, кто где находится. Разве что поиск администраторов телеграм-каналов может вызывать сложности.
А вот как толкуют поправки в Палате представителей, тут акцент — на продажу наркотиков через интернет.
А вот в доступе к базам данных, кажется, пропало что-то важное
Между тем, в законе есть новшества, которые могут иметь последствия для бизнеса, полагает сертифицированный специалист в области информационной приватности (CIPP/E, CIPM, FIP), консультант по GDPR Сергей Воронкевич.
Речь о статье 15 — «Права органов, осуществляющих оперативно-розыскную деятельность».
Из нового в пятом абзаце — право создавать и использовать средства негласного получения информации, к которым относится и ПО.
А в шестом абзаце пропала оговорка «в соответствии с соглашениями между органами, осуществляющими оперативно-розыскную деятельность, и организациями, которые являются собственниками этих баз данных (учётов), информационных систем».
Получается, правоохранители теперь сами могут создавать вредоносы, а информацию из баз данных могут получать у любых компаний, невзирая на отсутствие соглашения?
Почему вредоносное ПО — это проблема даже в руках спецслужб
Вот что думает об этом Сергей Воронкевич:
— У оперативников и раньше было право пользоваться средствами негласного получения информации («жучки», прослушка, ПО), но не оговаривалось право его создавать. По-моему, дополнение пятого абзаца — это косметическая правка, которая не столь значима для обычных граждан. Для разработки таких средств нужны бюджеты и экспертиза, которые есть либо у коммерческих организаций, либо у хакеров. Госорганы обычно крайне неэффективны в создании таких средств.
Вредоносное ПО есть у многих спецслужб, в том числе в демократических странах. Проблема в том, что это ПО и найденные с его помощью уязвимости не остаются в руках лишь сотрудников правоохранительных органов долго. Несмотря на продуманные меры защиты информации, они утекают, их ломают извне, уносят собственные сотрудники, в конце концов просто теряют.
Три года назад был большой скандал: база вредоносного ПО была выкачана из внутренних, очень защищённых систем американской разведки. NSA формировала пул вредоносного ПО, в частности вирусов, которые позволяли получать контроль над камерами смарт-телевизоров. Сначала они использовали эти вирусы в собственных целях, а потом потеряли их и ими стали пользоваться хакеры. А разработчики лицензионного ПО, к которому подбирали «ключики», не сразу узнали про эти уязвимости.
Проблема со всеми государственными системами (да и частными тоже) в том, что утечка данных — лишь вопрос времени. Если в какой-то системе появляется массив персональных данных или ценный набор инструментов для взлома, он рано или поздно окажется не в тех руках — от этого не застрахована ни одна государственная структура мира. Из этого следует эмпирическое правило, которое приняли многие правительства, — не сливать всё в один котел,оставлять информацию распределенной по разным информационным системам разных госорганов. А такого рода уязвимости или инструменты, которые могут причинить большой вред, либо не разрабатывать, либо разрабатывать в ограниченном количестве — и уж точно не аккумулировать их в одном месте.
Что не так с поправкой о доступе к базам данных
Если пятый абзац ничего кардинально не меняет, то шестой абзац — удалённый доступ к базам — это проблема.
Он может сказаться на каждом белорусе, и даже не в том смысле, что тот станет объектом ОРД, а в том, что это навредит экономике Беларуси.
Пропала оговорка «в соответствии с соглашениями». То есть правоохранительные органы могут потребовать доступ к базам любых организаций, и никакая «лишняя бюрократия» в виде соглашений больше не нужна. Это открывает ящик Пандоры.
Во всём мире интерес для правоохранительных органов представляют прежде всего базы данных телекоммуникационных компаний. Это метаданные о расположении телефона, звонках, времени разговора и т. д. Часто под мониторинг подпадают и транспортные компании — авиакомпании, автобусные, железнодорожные перевозчики.
Не знаю, как именно это устроено в Беларуси, возможно, такие соглашения уже есть. Но теперь круг этих организаций, вольно или невольно давших доступ к своим базам, может расшириться до неожиданных размеров.
Например, приложения, разработанные не по стандартам приватности, часто запрашивают гораздо больше информации, чем нужно — иногда просят доступ к СМС, е-мейлам, Google Drive и другим облачным хранилищам. Допустим, приложение для каршеринга может сообщать оператору о вашем местоположении, даже когда вы не едете в машине. Правоохранительные органы могут получить доступ к этой информации.
Если круг таких компаний будет достаточно широким, это даст предпосылки для создания в Беларуси чёрного рынка персональных данных — как в России. Злоумышленники станут «успешнее» в социальной инженерии: ведь проще войти в доверие к человеку, когда оперируешь информацией о его поездках, покупках, телефонных звонках.
Почему рынок должен «почернеть» в результате передачи данных правоохранительным органам?
Потому что будет значительно легче расширить круг компаний, к чьим базам есть доступ. Если у компании слабая переговорная позиция, она открывает доступ к своим базам, при этом она не в состоянии мониторить ни объем информации, который выкачивается, ни то, кем из их пользователей интересовались правоохранительные органы. Из-за этого у сотрудников органов растёт искушение, злоупотребив должностными обязанностями, «конвертировать» информацию в деньги.
Россия — наглядный пример. В расследовании об отравлении Навального, как вы помните, среди прочего «пробивались» авиабилеты. И «пробивка», вероятнее всего, осуществлялась не через авиакомпании и их сотрудников, потому что группа могла летать разными авиакомпаниями. Информация утекала из одной точки. А в каком точке собирается вся информация, у каких сотрудников есть доступ ко всем базам? Возможность быстрого и негласного доступа к информации о жизни граждан повышает рыночную стоимость такой услуги и, как следствие, является большим стимулом для нарушения должностных инструкций.
Кстати, в Украине у правоохранителей гораздо меньший доступ к базам организаций по закону. И несмотря на то что у украинских правоохранителей проблем с коррупцией было не меньше, чем у российских, черный рынок «пробива» там развит меньше. Украинские коррупционеры просто не могут предложить информацию в таком же объёме, что и российские.
Есть общий принцип европейского права, согласно которому ОРД должна вестись по отдельному ордеру или судебному решению в отношении конкретного лица. Зато практика масштабного доступа к базам данных технологических компаний есть в США. И Штаты на этом совсем недавно погорели: из-за того, что у правоохранительных органов был доступ к базам для массового мониторинга (например, поведения пользователей Facebook, Twitter), Суд справедливости Европейского союза (высшая судебная инстанция ЕС) признал незаконным действовавшее соглашение между ЕС и США, по которому около 5000 американских технологических компаний могли обрабатывать данные европейских пользователей на своих серверах в США.
Это огромный удар по американскому и европейскому бизнесу: в результате затруднена передача европейских данных для обработки подрядчикам, затруднено пользование американскими облачными провайдерами.
Почему Amazon к нам точно не придёт
Как-то ходили разговоры, что в Беларусь собирается прийти Amazon (Amazon Web Services — AWS), компания якобы хотела разместить здесь дата-центр, так как в Беларуси широкий канал подключения на Россию. Это дало бы большие вычислительные мощности, рабочие места, налоги. Но вот с такими правилами этого не будет.
Такого рода риски международные компании брать на себя не будут.
Правда, и прежняя редакция закона затрудняла приход на рынок и размещение здесь серверов. Сейчас же проблема только усугубится. Раньше у белорусских компаний на вопрос европейских партнёров или надзорных органов ЕС был хоть какой-то ответ: например, «персональные данные у нас под защитой, так как мы не заключали соглашения с правоохранительными органами и не будем этого делать». Теперь и такой аргумент у бизнеса пропадает.
Поэтому компаниям, которые оказывают услуги европейскому бизнесу в части аналитики, Big Data или машинного обучения (для чего нужны базы с персональными данными), или разрабатывают собственные продукты для европейских потребителей, будет разумнее регистрировать юрлицо в другой стране и оформлять на него базы данных. Причём не только оформлять, но и физически размещать их за пределами страны.
Простое размещение информации на мощностях за рубежом — не выход. Если вы белорусская компания и свою базу размещаете, например, в Германии, то по закону все равно будете обязаны предоставлять к ней доступ белорусским органам. Но в таком случае вы нарушаете GDPR, потому что не гарантируете своим европейским пользователям должный уровень защиты их персональных данных.
Значит, белорусский ИТ-бизнес получит проблемы по части GDPR?
Не весь, но та часть, что работает на европейский рынок или оказывает аутсорс-услуги европейским заказчикам (а те в рамках контрактов предоставляют им доступ к своим базам), для этих компаний риски усугубляются.
Но у широкого доступа к базам данных могут быть и более отдалённые последствия. Если люди начнут понимать, что каждое их действие в белорусском приложении или интернет-магазине (даже использование скидочной карточки на кассе) доступно, часть из них откажется от услуг и приобретений. Как следствие, меньше покупок, меньше доходы сетей, меньше налогов и т. д. Установите ли вы приложение, показывающее ближайшие аптеки и кафе, если будете знать, что ваша геолокация может оказаться в руках правоохранителей, а затем и на чёрном рынке?
Это вопрос доверия. Прежде чем вводить GDPR, европейцы посчитали, что каждый год из-за недоверия покупателей экономика ЕС недополучает 60 млн евро. Человек хочет купить вещь на сайте, а у него спрашивают адрес и номер телефона, в результате человек отказывается от покупки. Они ввели строгие правила в том числе для того, чтобы возродить доверие к электронной коммерции. Мы же идём в обратном направлении — можем подорвать не только экспорт цифровых услуг, но и доверие собственных граждан к электронным сервисам.
Только сегодня при покупке NordVPN c тарифным планом на 2 года или год вы экономите до 68% и получаете возможность блокировать вредоносные ПО, трекеры, защищать вашу личную информацию от различных веб-сайтов.
Как беларуские выпускники поступают в Польшу и Россию — и повлияла ли война. 4 истории
dev.by искал молодых людей, которые поступили этим летом в вузы за границу, — отозвались 4 человека. Двое выбрали Польшу, ещё двое Россию (для одного это временный вариант, он планирует перепоступить в следующем году).
Спросили у ребят, как они выбирали вузы, куда поступали одноклассники и как на выбор повлияло вторжение России в Украину (и вчерашние новости о мобилизации).
EnCata будет штамповать заводы, которые штампуют дома
«Строительная отрасль полностью дисфункциональна», — говорит СЕО EnCata Олег Кондрашов. И предлагает «реанимировать стройку»: повторить успех Генри Форда и запустить конвейер, который будет штамповать модульные дома. А ещё — запустить мобильные заводы с этими конвейерами.
Первый тестовый дом с железными стенами и окнами в пол уже построен — в нём 2 года как живёт СЕО. А сейчас в Великом камне достраивают тестовый завод.
Есть ли будущее у проекта и какое, рассказывает dev.by Олег Кондрашов.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.