Программный шпионаж, или как Google и Microsoft следят за россиянами

 Совет безопасности России опубликовал «Основные направления государственной политики в области обеспечения безопасности систем управления производственными и технологическими процессами критически важных объектов инфраструктуры». Документ предусматривает, что к 2020 году в стране завершится создание единой государственной системы обнаружения и предупреждения компьютерных атак.

Киберопасность давно стала реальностью, и в ближайшей перспективе будет только возрастать. Правоохранительные органы фиксируют кибератаки ежедневно. По данным ФСБ, только на сайты президента, Госдумы и Совета Федерации ежедневно проводится до 10 тысяч атак.

Российские пользователи сталкиваются с киберугрозами чаще, чем пользователи в любой другой стране мира. В 2011 году более половины отечественных пользователей хотя бы раз попадали под вирусную атаку. В документе Совбеза затронута одна из важных «закадровых» задач, которую приходится решать интеграторам при выборе программного обеспечения: как обеспечить высокую эффективность и исключить утечку информации или любое вмешательство разработчиков программных продуктов в работу ИТ-инфраструктуры? Особенно, когда речь идет об информационных системах для государственных организаций. Угроза весьма серьезная. Эксперты из «Лаборатории Касперского» оценивают общее количество вирусных атак в мире в 2011 году почти в 950 млн.

Но есть и другая опасность, которая исходит со стороны разработчиков программного обеспечения. Дело в том, что в США с октября 2001 года действует федеральный закон Unitingand Strengthening Americaby Providing Appropriate Tools Required to Interceptand Obstruct Terrorism Act of 2001. Или коротко: USA Patriot Act. Закон предоставляет правительству и правоохранительным органам США широкие полномочия по надзору за гражданами. Это касается всех американских компаний и их представительств вне зависимости от географического расположения. При поступлении запроса американская компания обязана сотрудничать с организацией, отправившей запрос, и предоставлять все необходимые данные. Более того, во избежание возможных санкций, факт передачи эти компании обязаны хранить в тайне.

Не так давно Гордону Фрэйзеру, директору Microsoft Великобритания, был задан вопрос: могут ли европейские пользователи, использующие ИТ-продукты корпорации, быть спокойны за конфиденциальность своих данных? Глава британского офиса признал, что Microsoft, как и любая другая американская компания, должна будет эти данные предоставить.

Гордон Фрэйзер пояснил, что предоставлению по запросу госучреждений США подлежит информация, находящаяся и на серверах в Европе. Он добавил, что Microsoft, по возможности, будет информировать пользователя, если его данными интересуется государство. Однако ФБР в случае необходимости с помощью National Secutity Letter (письма о национальной безопасности) может запретить разглашение проявленного с его стороны интереса. Пользователь останется в полном неведении, что его данные были переданы сторонним организациям.

Компания Google недавно также подтвердила информацию об удовлетворении запросов американских спецслужб на передачу личных данных пользователей из европейских центров хранения данных.

Любопытно, что в самой Америке отношение к USA Patriot Act неоднозначное. Даже со стороны Сената периодически возникают попытки рассекретить директивы, связанные с ним. Наиболее известно обращение членов Сената США Рона Вайдена (Ron Wyden) и Марка Удала (Mark Udall) к Министерству юстиции с такой инициативой. Рон Вайден в своем обращении к коллегам заявил: «Я желаю вас сейчас предупредить… Когда американцы узнают о том, как их правительство секретно интерпретирует Patriot Act, они будут сначала очень удивлены, а потом очень озлоблены». «Американцев встревожило бы то, как применяется этот закон», - добавил Марк Удал. Однако Минюст отказал сенаторам, подчеркнув в своем ответе, что документ помечен грифом секретности и потому не может быть обнародован.

Европейские страны сообща решают вопросы защиты данных от интереса со стороны американского государства. В прошлом году Евросоюз начал масштабную реформу «Директива по защите данных» (E.U. Data Protection Directive), которая призвана устранить лазейку в законодательстве после пролонгации USA Patriot Act. В начале года Еврокомиссия представила проект документа под названием «Европейские правила по защите данных» (European Data Protection Regulation). Он призван определить, каким образом иностранные компании могут оперировать персональными данными европейцев. Документ проходит обсуждение, но уже сейчас понятно, что European Data Protection Regulation окажет значительное влияние на деятельность вендоров и облачных сервис-провайдеров, работающих на территории Евросоюза.

Помимо Google и Microsoft под этот закон также подпадают Adobe, Apple, Cisco, Dell, Google, HP, IBM, EMC, Intel, Oracle. Это относится ко всем программным разработкам, от СУБД до готовых программных комплексов: портальных решений, ECM и СЭД-систем.

Для того, чтобы исключить подобного рода проблемы, к примеру, для компании Siemens AG и Daimler AG при внедрении корпоративной системы управления документами (СЭД) выбор сделали в пользу «своих» немецких ИТ-решений.

Информационная безопасность – одно из главных направлений на западном и российских рынках систем электронного документооборота, которое развивается в соответствии с законодательно утвержденными стандартами. При автоматизации документооборота и бизнес-процессов организации проблемы безопасности и сохранности данных становятся намного актуальнее. Автоматизируются, как правило, ключевые процессы, например, управление договорами, поэтому требования конфиденциальности по отношению к документам и процессам очень высокие.

Заказчики стали более требовательны к охране данных, а использование шифрования и электронной подписи уже становится обычной процедурой. 152-ФЗ (Закон «О персональных данных») стимулировал пользователей к приведению информационных систем в соответствие с новыми требованиями, а производителей – к проведению сертификаций на соответствие требованиям Федеральной службы по техническому и экспортному контролю (ФСТЭК). Оценка соответствия для средств защиты персональных данных по правилам, установленным уполномоченными органами власти, является обязательной. Ко всем средствам защиты информации должны быть составлены правила пользования, которые также необходимо согласовать с ФСТЭК.

Использование российского или европейского программного обеспечения, сертифицированного ФСТЭК, плановая аттестация информационных систем, усиленная защита средств и способов идентификации пользователей и другие эффективные меры помогут российским компаниям избежать шпионских атак со стороны разработчиков ПО.

• Комментарии