Мексиканский наркобарон Хоакин Гусман Лоэра (Эль Чапо)

Не так давно в СМИ промелькнула статья о том, что мексиканского наркобарона Эль Чапо арестовали из-за того, что его IT-шник слил криптоключи в ФБР, а те в свою очередь смогли расшифровать и прослушать его телефонные переговоры.

Давайте пофантазируем и представим, что наркобарон, IT-шник и все, все, все жили бы в России…

Представили? А теперь разберем, какими законами и как регулировалось бы применение криптозащиты в данном фантасмагорическом случае.

Об истории и главных действующих лицах поподробнее



© кадр из к/ф «Банды Нью-Йорка»

Наркобарон Эль Чапо нанял 21-летнего колумбийского IT-специалиста Кристиана Родригеса, чтобы тот создал для него систему зашифрованной мобильной связи, через которую можно было бы общаться с подельниками, не опасаясь прослушки со стороны спецслужб.

Родригес подобную систему создал и, судя по описанию, она представляла собой VoIP телефонию с шифрованием трафика. Клиенты системы устанавливались на мобильные телефоны бандитов, после чего тем «достаточно было набрать 3 добавочных цифры», чтобы разговаривать, не опасаясь прослушки.

После внедрения системы Родригес ее сопровождал, а также занимался другими IT-проектами (например, организовал прослушку жены Эль Чапо), повинуясь воле наркобарона.

Спустя некоторое время Родригеса завербовало ФБР и тот… по версии SecurityLab.ru слил ключи шифрования… или по версии New York Times «установил на зашифрованную сеть записывающее оборудование, которое отсылало в ФБР в полночь копии всех переговоров Эль Чапо».

В двух словах это все. Теперь перейдем к разбору законов.

Лицензирование



© скриншот из игры «Герои меча и магии»

Наша история начинается с того, что Эль Чапо нанял Родригеса на разработку системы защищенной связи.

С точки зрения пп. 1 п. 1 ст. 12 Федерального закона от 04.05.2011 N 99-ФЗ «О лицензировании отдельных видов деятельности» у Родригеса, для того чтобы реализовать контракт с Эль Чапо, должна быть лицензия «на криптографию».

Если у Родригеса подобной лицензии нет, и он вязлся за работу, то за это ему в соответствии со ст. 13.13 КоАП РФ грозит административная, а в соответствии ст. 171 УК РФ уголовная ответственность.

Лицензия «на криптографию» правильно называется — лицензией на осуществление разработки, производства, распространения шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнения работ, оказания услуг в области шифрования информации, технического обслуживания шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя). Далее для простоты будем использовать неправильное, но более понятное и короткое название — лицензия «на криптографию».

В соответствии с Постановлением Правительства РФ от 21.11.2011 N 957 «Об организации лицензирования отдельных видов деятельности» выдачей лицензий «на криптографию» занимается ФСБ России.

Процедура получения лицензии и лицензионные требования к Родригесу описаны в Постановлении Правительства РФ от 16.04.2012 N 313 (ред. от 18.05.2017) «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».

При этом Родригесу мало «просто получить» лицензию, в ней должны быть перечислены соответствующие разрешенные виды деятельности, полный перечень которых приведен в Приложении к Постановлению Правительства РФ от 16.04.2012 N 313. В зависимости от состава разрешенных видов деятельности к Родригесу будут предъявляться различные лицензионные требования, начиная от ценза по образованию, заканчивая доступом к гостайне.

С учетом того Родригес занимался не только разработкой системы, но также ее внедрением и сопровождением, то навскидку в его лицензии должны присутствовать следующие виды деятельности (нумерация в соответствии с Постановлением Правительства РФ от 16.04.2012 N 313):
3. Разработка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
4. Разработка средств изготовления ключевых документов.
5. Модернизация шифровальных (криптографических) средств.
6. Модернизация средств изготовления ключевых документов.
7. Производство (тиражирование) шифровальных (криптографических) средств.
9. Производство защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
10. Производство средств изготовления ключевых документов.
12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств, за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации.
14. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
15. Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.
16. Ремонт шифровальных (криптографических) средств.
18. Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
19. Ремонт, сервисное обслуживание средств изготовления ключевых документов.
20. Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
21. Передача шифровальных (криптографических) средств, за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации.
23. Передача защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
24. Передача средств изготовления ключевых документов.
Сразу отметим, что использование шифрования в собственных целях в России не лицензируется и соответственно никакой лицензии «на криптографию» Эль Чапо не требуется.

Далее будем считать, что лицензия «на криптографию» с соответствующими видами деятельности у Родригеса есть.

Разработка и производство



© Internet картинки

В соответствии с лицензионными требованиями, а именно пп. б п.6 Постановления Правительства РФ от 16.04.2012 N 313 Родригес в своей работе обязан руководствоваться выпущенными ФСБ России соответствующими нормативно-методическими документами, основным среди которых является Приказ ФСБ РФ от 09.02.2005 N 66 (ред. от 12.04.2010) «Об утверждении «Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» (Зарегистрировано в Минюсте РФ 03.03.2005 N 6382)" (далее ПКЗ-2005).

В соответствии с этим документом процесс создания системы защищенной мобильной связи состоит из следующих этапов:

  1. Разработка.
  2. Производство.
  3. Распространие. Не смотря на то, что Родригес делал заказную/кастомную разработку, процесс ее передачи заказчику трактуется как распространение.

Все эти этапы подразумевают тесное сотрудничество с ФСБ России и согласование технических заданий и документации на выпускаемую систему.

Эксплуатация системы защищенной мобильной связи



© Internet картинки

Будем считать, что эксплуатация системы защищенной мобильной связи — это зона ответственности Эль Чапо. Родригес в этом участвует лишь в качестве тех. поддержки.

Из описания истории Эль Чапо мы помним, что система создавалась для защиты от прослушки со стороны правоохранительных органов. Данное основание слабо коррелируется с действующим законодательством, поэтому примем, что цель эксплуатации системы: «защита информации для личных и семейных нужд». При такой цели эксплуатации на Эль Чапо не накладывается никаких ограничений, и он может делать с системой все, что хочет, и как хочет.

Для нашей статьи это слишком просто и не интересно.

По материалам расследования установлено, что в телефонных разговорах Эль Чапо давал команды на дачу взяток и подкуп чиновников и скорее всего называл их имена, фамилии и другую личную информацию, то есть персональные данные (далее — ПДн).

Давайте представим, что Эль Чапо, прочитав Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных», понял, что является оператором ПДн, и что на самом деле использует ПДн не для личных нужд, а в предпринимательской деятельности, и что по закону обязан их защищать.

Криптографическая защита персональных данных



© Internet картинки

Поскольку во время телефонных переговоров ПДн передаются в открытом виде через сеть связи общего пользования, Эль Чапо подумал и решил, что велик риск перехвата ПДн злоумышленниками, и, следовательно, информацию нужно шифровать.

Для криптографической защиты персональных данных, в соответствии с

Эль Чапо должен построить модель нарушителя, на основании которой определить требуемый класс средства криптографической защиты. Поскольку Эль Чапо опасается спец.служб, то ему нужно средство защиты максимального класса — КА.

Эль Чапо открыл перечень сертифицированных ФСБ России криптосредств и, не найдя ничего подходящего, обратился к Родригесу. Тут наша история, как и многие проекты в ИБ, делает петлю, и мы вновь возвращаемся к этапу разработки. Не вдаваясь в подробности, будем считать, что Родригес подобное криптосредство сделал и сертифицировал в ФСБ на соответствующий класс.

Поскольку Эль Чапо защищает персональные данные, то требования ПКЗ-2005 являются для него обязательными к исполнению. Ничего сверхъестественного в этих требованиях нет, и фактически они лишь заставляют Эль Чапо соблюдать требования технической документации на систему, которые Родригес подготовил и согласовал с ФСБ России.

Кроме указанных выше документов, Эль Чапо обязан руководствоваться «Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденной приказом ФАПСИ от 13 июня 2001 года N 152 (в простонародье — ФАПСИ 152).

По данному документу Эль Чапо необходимо будет выстроить внутренние процессы, связанные с эксплуатацией криптосредств, среди которых можно выделить:
  • организацию обучения и допуска бандитов к использованию оборудования защищенной мобильной связи (по науке — допуск пользователей к самостоятельному использованию криптосредств);
  • поэкземплярный учет программных клиентов системы и криптоключей;
  • организацию режимных помещений, в которых будет проводиться техническое обслуживание телефонов и формирование криптоключей;
  • и др.

Вывоз защищенных мобильных телефонов за границу



© Internet картинки

Поскольку Эль Чапо вел «международный бизнес», защита связи при общении с иностранными «партнерами» была бы для него не менее актуальна, чем защита переговоров внутри страны. Для этого, как ни крути, ему потребовалось бы передать иностранцам либо софт для своей системы мобильной связи, либо телефон с уже установленными и настроенными программными клиентами.

И то, и другое по российскому законодательству трактуется как вывоз шифровальных (криптографических) средств за границу и, в соответствии с Положением о ввозе на таможенную территорию Евразийского экономического союза и вывозе с таможенной территории Евразийского экономического союза шифровальных (криптографических) средств (Приложение N 9 к Решению Коллегии Евразийской экономической комиссии от 21 апреля 2015 г. N 30), ограничивается (за исключением использования для личных нужд, но это не наш случай).

Перед прохождением таможни Эль Чапо должен был бы получить разрешение на вывоз, которые бывают двух видов:
  1. Нотификация
  2. Лицензирование

Нотификация — упрощенная форма разрешений на ввоз/вывоз — применяется для «ослабленной» или «бытовой» криптографии. Перечень средств, подпадающих под нотификацию, определен в Приложении N 4 к Положению о ввозе на таможенную территорию Евразийского экономического союза и вывозе с таможенной территории Евразийского экономического союза шифровальных (криптографических) средств (Приложение N 9 к Решению Коллегии Евразийской экономической комиссии от 21 апреля 2015 г. N 30)

Поскольку система защищенной мобильной связи Эль Чапо имеет класс криптографической защиты КА, то нотификацией он не обойдется, и ему придется получать лицензию на вывоз. Для этого он должен будет пройти квест, задание на который описано в Решении Коллегии Евразийской экономической комиссии от 06.11.2014 N 199 (ред. от 19.04.2016) «Об Инструкции об оформлении заявления на выдачу лицензии на экспорт и (или) импорт отдельных видов товаров и об оформлении такой лицензии и Инструкции об оформлении разрешения на экспорт и (или) импорт отдельных видов товаров», и далеко не факт, что он сможет это сделать…

Заключение


Надеюсь, что на данном фантасмагоричном примере вы смогли получить общие представления об основных направлениях регулирования криптографии в Российской Федерации. Для дальнейшего развития рекомендую ознакомиться с перечнем основных законодательных и нормативно-правовых актов, регулирующих ИБ в России.

Disclimer. Автор, как и все прогрессивное человечество, решительно осуждает незаконную торговлю наркотиками и другую преступную деятельность. Солнце, воздух и вода — наши лучшие друзья.

Комментарии (46)


  1. Zibx
    21.02.2019 22:17
    +4

    Вся статья рассказывает насколько проще вести малый и средний бизнес в Мексике.
    Можно добавить что наркобарон в нашей стране должен бы был зарегистрировать юридическое лицо и платить налоги и различные отчисления за то что нанял Родригеса на работу.
    И как вишенка на торте — в России наркобарон не смог бы продавать наркотики, потому что это подпадает под 228 статью УК.


    1. Jef239
      21.02.2019 22:41
      +2

      Законы не мешают совершать преступления, они лишь создают риск наказания.

      А наркотики (некоторые) в РФ можно продавать легально, но для этого надо иметь лицензию. Вообще-то больницы наркотики не крадут а легально покупают. А иногда даже граждане покупают в аптеках те же наркотики. Только рецепт получит сложно.


      1. servermen
        22.02.2019 20:01

        Даже если рецепт и выпишут, то того нужного лекарства может и не оказаться в наличии…


    1. imbasoft Автор
      22.02.2019 09:47

      Торговать наркотиками России можно, но не всем. Есть Постановление Правительства РФ от 22.12.2011 N 1085 (ред. от 04.07.2017) «О лицензировании деятельности по обороту наркотических средств, психотропных веществ и их прекурсоров, культивированию наркосодержащих растений» (вместе с «Положением о лицензировании деятельности по обороту наркотических средств, психотропных веществ и их прекурсоров, культивированию наркосодержащих растений») которую лицензирует данную деятельность. Так, что если бы Эль Чапо подсуетился, то все может быть… )

      P.S. Но даже с лицензией наркопритоны организовывать не получиться. Все только во имя науки или медицины.


      1. Serge78rus
        22.02.2019 09:57

        Наркопритон вполне можно назвать, «Исследовательским центром» и отнести к науке. Кстати, когда-то в субкультуре широко использовался термин «исследование наркотиков» применительно к их употреблению.



        1. teecat
          22.02.2019 13:23

          Недавно же было — варили наркоту в благотворительном центре, а прибыль частично направляли на благотворительные цели


    1. hokum13
      22.02.2019 14:40

      Не легче. Представьте, что если Вы перешли дорогу Европейским властям, а Вас за это экстрадируют из РФ (безотносительно к тому, какое именно преступление Вам вменяют и было ли оно вообще).
      У нас хотя бы посадят свои (от которых при таких оборотах можно откупиться или, как минимум, комфортно сидеть) в свою тюрьму, а там просто отдадут приезжим.

      PS: я против как минимум с половины того маразма, который описан в статье, но это еще не значит, что в Мексике законы лучше. Да и обзора мексиканского законодательства в этой области тоже не дано.


  1. ky0
    21.02.2019 22:57
    +1

    Автор, как и все прогрессивное человечество, решительно осуждает незаконную торговлю наркотиками и другую преступную деятельность.

    Полностью поддерживаю! С другой стороны, не ясно, что более пагубно отражается на населении — наркоторговля или бесконтрольное штампование запретов и поборов с бизнеса, сертификации, регулирование, тысячи их…


    1. bzzz00
      22.02.2019 00:07
      -3

      а так же правила ТБ! ну какие дебилы их придумывают, нормальный человек и так знает, что пальцы в розетку не нужно совать!


      1. ky0
        22.02.2019 00:44
        +1

        Если это попытка гиперболизировать, то не особенно удачная, как по мне… аналогия понятна, но как обычно неверна.


        1. bzzz00
          22.02.2019 09:35

          никакой гиперболы тут нет. ТБ — суть те же правила-ограничения.
          «как обычно неверна» — это самый мощный аргумент, безусловно.


          1. koropovskiy
            22.02.2019 10:00

            Поддержу. ky0 решил передернуть и противопоставить наркоту с регулированием.
            Нормальным людям должно быть совершенно ясно, что ни сравнивать ни противопоставлять эти вещи нельзя.


            1. ky0
              22.02.2019 10:43

              Ну почему же нельзя? Я высказал мнение, что регулирование чего-либо в корыстных целях, приводящее к ухудшению экономического климата в стране вреднее сабжа статьи. Разумеется, это субьективное мнение, не подкреплённое никакими цифрами, но почему оно не имеет права на жизнь?


              1. koropovskiy
                22.02.2019 11:01

                Я не говорил что мнение не имеет права на жизнь. Я говорил что нельзя сравнивать. как нельзя сравнивать теплое и мягкое. белое и пушистое. зеленое и жидкое.


          1. ky0
            22.02.2019 10:33

            Аргументом в данном случае является ваша аналогия и вы отлично проиллюстрировали, как мало она для этого подходит, поскольку:
            1) ТБ действительно является видом ограничений.
            2) Я в первом комментарии выступал не против ограничении вообще, а только лишь искуственно насаждаемых, причём не для пользы субьекта (как это происходит в случае с ТБ), а для пользы третьих лиц.


            1. bzzz00
              22.02.2019 10:43

              ТБ — искусственно насаждаемые ограничения для пользы всех лиц так или иначе участвующих в процессе: один бросил провод под напряжением на пол — пострадало много человек.
              ограничения по шифрованию позволяют государству (наделенному монополией на определеннные виды деятельности, например на насилие) лучше/дешевле выполнять свои функции по защите граждан-субьектов.


              1. ky0
                22.02.2019 10:57

                Если они используются для защиты граждан — вы безусловно правы.


                1. koropovskiy
                  22.02.2019 11:06

                  Граждане очень по разному могут понимать свою защиту. Всегда ищется определенная точка равновесия между защитой и правами. Всегда у любой найденной точки будут противники.


              1. ProstoUser
                22.02.2019 18:20

                Дело в том, что ограничения ТБ, применяемые неграмотными специалистами (по принципу кабы чего не вышло), имеют отрицательную полезность. Поскольку создают неудобств больше, чем предотвращают возможных проблем.

                Что касается ограничений на шифрование, то лично мне не вполне понятно, к чему это приводит, к увеличению защищенности (поскольку полиции легче раскрывать преступления), или к снижению защищенности, поскольку доступность моей переписки правоохранительным органам увеличивает риски злоупотреблений со стороны сотрудников этих органов.

                Все оправдывается борьбой с терроризмом, хотя от террактов страдает максимум несколько десятков человек в год, да и каналы секретного общения террористы всегда найдут при необходимости.


                1. bzzz00
                  22.02.2019 18:27

                  эту логику можно применить к полиции в целом. иногда полицейские превышают/нарушают. и как будто бы неочевидно, что лучше. однако _нигде_ от полицейских не отказываются, вместо этого пытаются улучшить нормативную базу, надзор и проч. и это, по моему собственному опыту, дает хороший выхлоп. последние несколько лет я ни разу не нарывался на невежливых гайцов, тем более не сталкивался с вымогательством. еще в 2000-х — сталкивался и неоднократно.

                  про «максимум несколько десятков человек» тоже странная логика. вот на входе в аэропорт и самолет все проходят шмон. почти ни у кого ничего не находят. значит можно не шмонать? сколько там террактов на самолетах происходит?…


                  1. ProstoUser
                    22.02.2019 19:23
                    +1

                    иногда полицейские превышают/нарушают. и как будто бы неочевидно, что лучше. однако _нигде_ от полицейских не отказываются


                    Тут вопрос-то вполне конкретный — соотношение вреда. Вред от злоупотреблений полиции, на мой взгляд, заметно меньше вреда от преступников — не полицейских, особенно в отсутствие полиции. А с криптографией это совершенно не очевидно.

                    Фактический запрет криптографической защиты коммуникаций обычных граждан — это всего лишь путь к тотальному контролю всех каналов общения всего населения страны поголовно, а не только по решению суда, как написано в Конституции.

                    На счет гаишников согласен. За последние годы у гаишников вымогательства стало значительно меньше.

                    на входе в аэропорт и самолет все проходят шмон. почти ни у кого ничего не находят. значит можно не шмонать? сколько там террактов на самолетах происходит?


                    Может потому и не происходит большого количества террактов, что в какой-то момент стали шмонать на входе в самолет. С другой стороны, я видел и полный идиотизм: вскоре после 9/11 летел через Хитроу и там в ресторанчике в транзитной зоне на каждом столе стояла записка: «мы боремся с терроризмом, поэтому все столовые приборы — пластиковые». Много известно случаев терроризма с использованием вилок из ресторана?

                    Шмон на входе в аэропорт, кстати, процедура довольно сомнительной эффективности.

                    Ну и последнее. Сейчас можно без проблем «пробить по базам» любого человека. Вон, журналисты без особого труда добыли базы загранпаспортов, регистрации автомобилей и вычислили всех Петровых с Бошировыми оптом. И в такой ситуации полной продажности сотрудников органов все обязаны «сдать ключи на хранение» и ждать «улучшения нормативной базы»? Вы смеетесь? Это же просто гарантирует, что любой, кто интересен хоть кому-то, мгновенно окажется под полным контролем и совсем не со стороны государства. Мне кажется, что сначала государство должно доказать, что оно умеет надежно защищать данные граждан и никогда не использует их не по назначению и только потом граждане не будут возражать против того, чтобы доверить государству ключи от своих переписок.


  1. emmibox
    21.02.2019 23:05
    +3

    За уши притянуто.
    Наркобарон нанял Родригеса на работу и с этого момента он является частью юрлица (наемным работником). Система создавалась для «собственных нужд юрлица» = никакие лицензии не нужны!


    1. imbasoft Автор
      22.02.2019 09:32

      Там сложнее. Родригес изначально был «стартапом» и по Нью-Йорк Таймсу он заключил пожизненный контракт именно как «стартап», то есть были не трудовые отношения, а хоз. договор между юр. лицами.


      1. emmibox
        22.02.2019 10:02

        Тут еще вопрос есть ли вообще у «наркобарона» юрлицо, и если есть — под каким кодом ВЭД это юрлицо наркоту свою «пушит», и связаны ли они с Родригесом какими то договорами кроме устных…


        1. imbasoft Автор
          22.02.2019 10:18

          Судя по тому, что в деле Эль Чапо были прецеденты дачи взятки в сотни миллионов долларов, то он даже не ИП или ООО, ему надо акционерным обществом становиться.

          С ВЭД действительно вопрос, а вот договор наверно был подписан кровью (Родригеса).


      1. ProstoUser
        22.02.2019 17:56

        То есть прямо реальный бумажный контракт между Нью-Йоркским стартапом и наркокартелем?


        1. Tangeman
          22.02.2019 18:55

          Что вас смущает? Наркокартели обычно имеют под контролем вполне легальные структуры, и хотя де-факто «все всё знают», де-юре там не докопаться, а вот для подрядчиков это вполне себе сравнительно безопасный способ получить с картельного пирога, при этом не прячась в джунглях.


          1. ProstoUser
            22.02.2019 19:25

            Ну это не интересно.

            Кстати, а если гражданина завербовали спецслужбы, клиент может подать иск о нарушении условий договора?


            1. Tangeman
              22.02.2019 19:44

              Как правило, не может, если действия служб были санкционированы и они действовали в рамках закона. Но бывают и (не)приятные исключения, в зависимости от массы переменных.

              Впрочем, гражданину в таком случае стоит беспокоиться вовсе не об иске…


              1. ProstoUser
                22.02.2019 19:55

                Ну это, скорее, шутка была. Кроме того, в договоре всегда есть пункт про форсмажор, где один из вариантов стихийного бедствия — вмешательство государства.

                Хотя, если кто-то сдал ключи, а спецслужбы ничего интересного не наслушали и претензий не предъявили, то сдавший ключи может оказаться в весьма неприятном положении.


        1. Gutt
          23.02.2019 09:46

          Каким наркобароном? Заказчиком выступала сеть прачечных эконом-класса «Свежесть».


  1. Merkat0r
    22.02.2019 02:30

    Скорее, сказ о том, что даже наркобаронам надо помнить, что ITшников обижать не стоит :)


    1. oracle_and_delphi
      22.02.2019 07:27

      Скажи это Анонимусам!
      На Хабре писали о том, что наркобороны занялись их деаноном. habr.com/ru/post/131764


    1. imbasoft Автор
      22.02.2019 10:09

      Обижали Родригеса или нет точно не известно… но как обычно во всем виноваты русские.

      ФБР-ровцы при вербовки Родригеса представились русскими мафиозями, которые хотят такую же крутую систему шифрования, как у Эль Чапо. После чего Родригес понял, что попал в «высшую лигу»… и тут хлоп незадача, это были не русские, а американцы и которые к тому же пригрозили наябедничать Эль Чапо.

      Короче говоря, обычная вербовка и оперативная игра.


    1. bzzz00
      22.02.2019 10:44

      как бы ITшник сам потом не раскаялся.


  1. teecat
    22.02.2019 13:24

    А если некая компания хочет разработать и использовать криптографию для защиты передаваемых данных внутри собственного продукта?


    1. imbasoft Автор
      22.02.2019 13:49

      Если некая компания сама будет пользоваться своим продуктом, то она делает что хочет.

      Если же компания надеется продавать свой продукт другим, то это пограничная ситуация.

      Если функция шифрования является основной (например, разработка защищенного мессенджера) — то лицензирование обязательно. Если же, где-то там внутри программы в зашифрованном виде передается технологическая информация (например, пароли гуляют), то нет.


      1. teecat
        22.02.2019 13:57

        Продукт для продажи, но функционал внутренний. Скажем защищенные обновления, подпись модулей, передача данных между модулями

        Интересует точка зрения закона конечно. С практикой-то понятно


        1. imbasoft Автор
          22.02.2019 15:42

          Сейчас без криптографии не обходится ни один продукт. Если вы пользуетесь стандартными криптоблиотеками (например, openssl) и выполняете сугубо технологические операции, то вам не нужна лицензия.

          А вообще, оптимально обратится в ЦЛСЗ ФСБ России и проконсультироваться по интересующей вас проблеме.


          1. teecat
            22.02.2019 15:45

            У нас тоже используется. Просто криптография не моя область, для интереса хотел уточнить
            Спасибо!


          1. ProstoUser
            22.02.2019 17:54

            Если вы пользуетесь стандартными криптоблиотеками (например, openssl)


            А если эти библиотеки не стандартные, а самописные какие-нибудь?

            Вообще, мне кажется, что классификация продукта будет зависеть исключительно от того, что захочется ФСБ. И если кому-то будет надо, то и антивирус, которые подписывает свои базы, «правильные» ФСБ-шные эксперты признают криптографическим средством.


            1. imbasoft Автор
              22.02.2019 18:59

              А если эти библиотеки не стандартные, а самописные какие-нибудь?

              Если самописные то, это ближе к понятию разработка СКЗИ и соответственно лицензионному виду деятельности.

              ....«правильные» ФСБ-шные эксперты…

              Сейчас у регуляторов сменилось поколение, и во многом они стали ближе к народу. Это можно увидеть, хотя бы на конференции ТБ Форум, где первые лица ФСТЭКа напрямую общались с аудиторией и рассказывали о своих планах. По линии ФСБ таких мероприятий меньше, но и на них можно увидеть, что от жесткого нормативного регулирования идет движение к учету интересов сообщества и деловых кругов (хотя и не так быстро как хотелось бы).

              Считать всех работников регуляторов узколобыми коррупционерами — ошибка.


              1. ProstoUser
                22.02.2019 19:47

                По линии ФСБ таких мероприятий меньше, но и на них можно увидеть, что от жесткого нормативного регулирования идет движение к учету интересов сообщества и деловых кругов (хотя и не так быстро как хотелось бы).


                Это, безусловно хорошо. Но по-моему, тут нужна кардинальная смена парадигмы. Первичны интересы граждан, сообщества и деловых кругов. Удобство госслужащих — вторично. Государство и ФСБ существует не для себя, а для общества и «движение к учету интересов» это, безусловно, замечательно, но далеко не достаточно.

                Сейчас в РФ государственное регулирование в области IT очень слабо учитывает интересы общества, хотя должно из этих интересов исходить. Поэтому, на мой взгляд, единственный правильный путь — заставить государство регулировать IT так, чтобы это было в интересах именно общества.

                Считать всех работников регуляторов узколобыми коррупционерами — ошибка.


                Что они тогда делают, работая на этих регуляторов? Если человек не узколобый, он заработает во много раз больше и будет заниматься гораздо более интересным и полезным для общества делом, работая в коммерческой структуре, развивая экономику страны и ее технологическую мощь.


          1. Tangeman
            22.02.2019 20:35

            Если вы пользуетесь стандартными криптоблиотеками (например, openssl)...

            А кто определяет «стандартность» библиотек? OpenSSL — это всего лишь одна их многих библиотек, и пусть она ужасно популярна, но все же далеко не единственная.


  1. akinchicantonvasilevich
    22.02.2019 16:16

    Дочитал до середины, дальше не смог… Как-то всё сферично-вакуумно, как будто все будут соблюдать законы и отчитываться перед различного рода ведомствами…