• В Беларуси
  • Наука
  • Интернет и связь
  • Гаджеты
  • Игры
  • Оружие
  • Архив новостей
    ПНВТСРЧТПТСБВС
  1. «Теряю 2500 рублей». Работники требуют, чтобы «плюшки» были не только членам провластного профсоюза
  2. Биатлонистка Блашко рассказала, как ей живется в Украине и что думает о ситуации в Беларуси
  3. «Когда Володя готовит, в доме все замирает». Макей и Полякова — о секретах брака, быте, Латушко и политике
  4. Бывший офицер: «В августе понимал, что рано или поздно дело коснется меня и я не смогу на это пойти»
  5. Рынок лекарств штормит. Посмотрели, как изменились цены на одни и те же препараты с конца 2020-го
  6. Новый глава НОК, возможные санкции Украины, суды и приговоры. Что происходило 26 февраля
  7. «Магазины опустеют? Скоро девальвация?» Экономисты объяснили, что значит и к чему ведет заморозка цен
  8. Байкеры пытались отбить товарища у неизвестных у ТЦ «Европа». Ими оказались силовики, парней отправили в колонию
  9. Политолог: Россия устала играть в кошки-мышки с Лукашенко, но не видит альтернативы
  10. По Мстиславлю уже 5 месяцев гуляет стадо оленей. Жители говорят, что олениха с детенышем ранена
  11. «Фантастика какая-то». В Гродно начали судить водителя Тихановского, который молчал все следствие
  12. «Ситуация, похоже, только ухудшилась». Представитель Верховного комиссара ООН — о правах человека в Беларуси
  13. Экс-директору отделения Белгазпромбанка в Могилеве Сергею Кармызову вынесли приговор
  14. Могилев лишился двух уникальных имиджевых объектов — башенных часов и горниста (и все из-за политики). Что дальше?
  15. Требования дать «план победы» — это вообще несерьезно. Ответ Чалого разочарованным
  16. «За 5−10 тысяч можно взять дом». Белорус переехал из Минска за 90 километров «у мястэчка» и возрождает его
  17. Верховный комиссар ООН: В Беларуси беспрецедентный по масштабу кризис в области прав человека
  18. «Любой поставщик должен закладывать в цену риск принятия судом такого решения». Кредиторы БМЗ в печали
  19. Виктора Лукашенко уволят с должности помощника президента
  20. Сейчас плюс даже ночью, а какими будут выходные: синоптики о погоде на конец февраля — начало марта
  21. Под угрозой даже универсам «Центральный». Что происходит в магазинах «Домашний» из-за проблем сети
  22. Минчане пришли поставить подпись под обращением к депутату — и получили от 30 базовых до 15 суток
  23. Белорус опубликовал информацию обо всех известных захоронениях соотечественников в Чехии и Словакии
  24. «Оправдания не принимаются». Лукашенко заявил, что на Олимпиаду надо отправить «боеспособный десант»
  25. «Из-за анорексии попал в реанимацию». История пары, где у одного психическое расстройство
  26. «Куплен новым в 1981 году в Германии». История 40-летнего Opel Rekord с пробегом 40 тысяч, который продается в Минске
  27. В Беларуси выпустили пробную серию российской вакцины от коронавируса
  28. Звезда белорусской оперы сказал три слова на видео, его уволили «за аморальный проступок» — и суд с этим согласился
  29. Александр Лукашенко — больше не президент Национального олимпийского комитета
  30. Жила в приюте для нищих, спаслась после теракта в США. Женщина, которая перевернула российскую «фигурку»


/

Мы ранее писали, что 10 декабря парламент принял поправки в Закон «Об оперативно-розыскной деятельности». В частности, там говорится про возможность получения сведений «путем удаленного доступа», что привлекло внимание читателей. Однако издание dev.by обратило внимание на другое новшество, которое может иметь последствия для бизнеса.

Фото: Thomas Jensen / Unsplash
Фото: Thomas Jensen / Unsplash

Вероятнее всего, поправки в закон планировались давно, еще до начала протестов. Так, бывший сотрудник СК, эксперт по кибербезопасности Александр Сушко допустил, что понадобилось уточнить формулировки, чтобы исключить проблемы в санкционировании оперативных мероприятий со стороны прокуратуры.

А в Палате представителей сообщили, что «субъектам ОРД предоставляется возможность создавать и использовать средства негласного получения и фиксации информации, включая специализированное программное обеспечение, для эффективного противодействия незаконному обороту наркотиков с использованием сети Интернет, тут акцент — на продажу наркотиков через интернет».

В последние годы соответствующие меры были предусмотрены в законодательстве Великобритании, России, Франции, ФРГ и предложены для рассмотрения в качестве законопроектов в Австрии и Швейцарии.

Однако сертифицированный специалист в области информационной приватности (CIPP/E, CIPM, FIP), консультант по GDPR Сергей Воронкевич обратил внимание на другое новшество, которое может иметь последствия для бизнеса.

Речь о статье 15 — «Права органов, осуществляющих оперативно-розыскную деятельность».

Пятый и шестой абзац в новой редакции:

«создавать и (или) использовать базы данных (учеты), информационные системы, средства негласного получения (фиксации) информации и иные средства в соответствии с настоящим Законом и иными актами законодательства;

получать безвозмездно сведения из баз данных (учетов), информационных систем путем удаленного доступа и (или) на материальных носителях информации от организаций, которые являются собственниками этих баз данных (учетов), информационных систем, в случаях, установленных законодательными актами, и порядке, определенном законодательством».

Получается, что из нового в пятом абзаце — право создавать и использовать средства негласного получения информации, к которым относится и ПО.

А в шестом абзаце пропала оговорка «в соответствии с соглашениями между органами, осуществляющими оперативно-розыскную деятельность, и организациями, которые являются собственниками этих баз данных (учетов), информационных систем».

Исходя из этого, возникает вопрос: правоохранители теперь сами могут создавать «вредоносы», а информацию из баз данных станут получать у любых компаний, невзирая на отсутствие соглашения?

— У оперативников и раньше было право пользоваться средствами негласного получения информации («жучки», прослушка, ПО), но не оговаривалось право его создавать, — говорит Сергей Воронкевич. —  По-моему, дополнение пятого абзаца — это косметическая правка, которая не столь значима для обычных граждан. Для разработки таких средств нужны бюджеты и экспертиза, которые есть либо у коммерческих организаций, либо у хакеров. Госорганы обычно крайне неэффективны в создании таких средств.

Вредоносное ПО есть у многих спецслужб, в том числе в демократических странах. Проблема в том, что это ПО и найденные с его помощью уязвимости не остаются в руках лишь сотрудников правоохранительных органов долго. Несмотря на продуманные меры защиты информации, они утекают, их ломают извне, уносят собственные сотрудники, в конце концов просто теряют.

Три года назад был большой скандал: база вредоносного ПО была выкачана из внутренних, очень защищенных систем американской разведки. NSA формировала пул вредоносного ПО, в частности вирусов, которые позволяли получать контроль над камерами смарт-телевизоров. Сначала они использовали эти вирусы в собственных целях, а потом потеряли их, и ими стали пользоваться хакеры. А разработчики лицензионного ПО, к которому подбирали «ключики», не сразу узнали про эти уязвимости.

Проблема со всеми государственными системами (да и частными тоже) в том, что утечка данных — лишь вопрос времени. Если в какой-то системе появляется массив персональных данных или ценный набор инструментов для взлома, он рано или поздно окажется не в тех руках — от этого не застрахована ни одна государственная структура мира. Из этого следует эмпирическое правило, которое приняли многие правительства, — не сливать все в один котел, оставлять информацию распределенной по разным информационным системам разных госорганов. А такого рода уязвимости или инструменты, которые могут причинить большой вред, либо не разрабатывать, либо разрабатывать в ограниченном количестве — и уж точно не аккумулировать их в одном месте.

Что не так с поправкой о доступе к базам данных

Снимок носит иллюстративный характер. Фото: Glenn Carstens-Peters / Unsplash
Снимок носит иллюстративный характер. Фото: Glenn Carstens-Peters / Unsplash

Сергей Воронкевич считает, что если пятый абзац ничего кардинально не меняет, то шестой абзац — удаленный доступ к базам — действительно проблема: он может сказаться на каждом белорусе, и даже не в том смысле, что тот станет объектом ОРД, а в том, что это навредит экономике Беларуси.

— Пропала оговорка «в соответствии с соглашениями». То есть правоохранительные органы могут потребовать доступ к базам любых организаций, и никакая «лишняя бюрократия» в виде соглашений больше не нужна. Это открывает ящик Пандоры.

Во всем мире интерес для правоохранительных органов представляют прежде всего базы данных телекоммуникационных компаний. Это метаданные о расположении телефона, звонках, времени разговора и так далее. Часто под мониторинг подпадают и транспортные компании — авиакомпании, автобусные, железнодорожные перевозчики.

Не знаю, как именно это устроено в Беларуси, возможно, такие соглашения уже есть. Но теперь круг этих организаций, вольно или невольно давших доступ к своим базам, может расшириться до неожиданных размеров.

Например, приложения, разработанные не по стандартам приватности, часто запрашивают гораздо больше информации, чем нужно — иногда просят доступ к СМС, е-мейлам, Google Drive и другим облачным хранилищам. Допустим, приложение для каршеринга может сообщать оператору о вашем местоположении, даже когда вы не едете в машине. Правоохранительные органы могут получить доступ к этой информации.

Если круг таких компаний будет достаточно широким, это даст предпосылки для создания в Беларуси черного рынка персональных данных — как в России. Злоумышленники станут «успешнее» в социальной инженерии: ведь проще войти в доверие к человеку, когда оперируешь информацией о его поездках, покупках, телефонных звонках.

Но почему рынок должен «почернеть» в результате передачи данных правоохранительным органам? Потому, поясняет специалист, что так будет значительно легче расширить круг компаний, к чьим базам есть доступ.

— Если у компании слабая переговорная позиция, она открывает доступ к своим базам, при этом она не в состоянии мониторить ни объем информации, который выкачивается, ни то, кем из их пользователей интересовались правоохранительные органы. Из-за этого у сотрудников органов растет искушение, злоупотребив должностными обязанностями, «конвертировать» информацию в деньги.

Расширение доступа к разным базам не столько позволяет бороться с правонарушениями, сколько развращает сотрудников органов. Россия — наглядный пример. В расследовании об отравлении Навального, как вы помните, среди прочего «пробивались» авиабилеты. И «пробивка», вероятнее всего, осуществлялась не через авиакомпании и их сотрудников, потому что группа могла летать разными авиакомпаниями. Информация утекала из одной точки. А в какой точке собирается вся информация, у каких сотрудников есть доступ ко всем базам? Возможность быстрого и негласного доступа к информации о жизни граждан повышает рыночную стоимость такой услуги и, как следствие, является большим стимулом для нарушения должностных инструкций.

Кстати, в Украине у правоохранителей гораздо меньший доступ к базам организаций по закону. И несмотря на то, что у украинских правоохранителей проблем с коррупцией было не меньше, чем у российских, черный рынок «пробива» там развит меньше. Украинские коррупционеры просто не могут предложить информацию в таком же объеме, что и российские.

Есть общий принцип европейского права, согласно которому ОРД должна вестись по отдельному ордеру или судебному решению в отношении конкретного лица. Зато практика масштабного доступа к базам данных технологических компаний есть в США. И Штаты на этом совсем недавно погорели: из-за того, что у правоохранительных органов был доступ к базам для массового мониторинга (например, поведения пользователей Facebook, Twitter), Суд справедливости Европейского союза (высшая судебная инстанция ЕС) признал незаконным действовавшее соглашение между ЕС и США, по которому около 5000 американских технологических компаний могли обрабатывать данные европейских пользователей на своих серверах в США.

Это огромный удар по американскому и европейскому бизнесу: в результате затруднена передача европейских данных для обработки подрядчикам, затруднено пользование американскими облачными провайдерами.

Сергей Воронкевич вспоминает, как одно время ходили разговоры, что в Беларусь собирается прийти Amazon (Amazon Web Services — AWS): компания якобы хотела разместить здесь дата-центр, так как в Беларуси широкий канал подключения на Россию. Это дало бы большие вычислительные мощности, рабочие места, налоги. Но с новыми правилами этого точно не будет.

— Если бы AWS пришла в Беларусь, то у правоохранительных органов с таким законом появилась бы возможность «подключиться» не только к белорусским данным, но также личной информации жителей других стран. Может, это будет гражданин Беларуси, а может, Джозеф Байден, — отмечает эксперт. — Такого рода риски международные компании брать на себя не будут.

Правда, и прежняя редакция закона затрудняла приход на рынок и размещение здесь серверов. Сейчас же проблема только усугубится. Раньше у белорусских компаний на вопрос европейских партнеров или надзорных органов ЕС был хоть какой-то ответ: например, «персональные данные у нас под защитой, так как мы не заключали соглашения с правоохранительными органами и не будем этого делать». Теперь и такой аргумент у бизнеса пропадает.

Поэтому компаниям, которые оказывают услуги европейскому бизнесу в части аналитики, Big Data или машинного обучения (для чего нужны базы с персональными данными), или разрабатывают собственные продукты для европейских потребителей, будет разумнее регистрировать юрлицо в другой стране и оформлять на него базы данных. Причем не только оформлять, но и физически размещать их за пределами страны.

Простое размещение информации на мощностях за рубежом — не выход. Если вы белорусская компания и свою базу размещаете, например, в Германии, то по закону все равно будете обязаны предоставлять к ней доступ белорусским органам. Но в таком случае вы нарушаете GDPR, потому что не гарантируете своим европейским пользователям должный уровень защиты их персональных данных.

Снимок носит иллюстративный характер. Источник: Stephen Phillips - Hostreviews.co.uk / Unsplash
Снимок носит иллюстративный характер. Источник: Stephen Phillips — Hostreviews.co.uk / Unsplash

Значит ли это, что белорусский ИТ-бизнес получит проблемы по части GDPR? На это ответ следующий: не весь, но та часть, что работает на европейский рынок или оказывает аутсорс-услуги европейским заказчикам (а те в рамках контрактов предоставляют им доступ к своим базам). Для таких компаний риски усугубляются.

— Но у широкого доступа к базам данных могут быть и более отдаленные последствия, — продолжает Сергей Воронкевич. — Если люди начнут понимать, что каждое их действие в белорусском приложении или интернет-магазине (даже использование скидочной карточки на кассе) доступно, часть из них откажется от услуг и приобретений. Как следствие, меньше покупок, меньше доходы сетей, меньше налогов и так далее. Установите ли вы приложение, показывающее ближайшие аптеки и кафе, если будете знать, что ваша геолокация может оказаться в руках правоохранителей, а затем и на черном рынке?

Это вопрос доверия. Прежде чем вводить GDPR, европейцы посчитали, что каждый год из-за недоверия покупателей экономика ЕС недополучает 60 млн евро. Человек хочет купить вещь на сайте, а у него спрашивают адрес и номер телефона, в результате человек отказывается от покупки. Они ввели строгие правила в том числе для того, чтобы возродить доверие к электронной коммерции. Мы же идем в обратном направлении — можем подорвать не только экспорт цифровых услуг, но и доверие собственных граждан к электронным сервисам.

-23%
-15%
-25%
-30%
-30%
-40%
-20%
-20%
-10%
0072641