Архив   Авторы  

Ушел на базу
Hi-techБизнес

Зачем Сергей Железняк затеял кампанию по «национализации серверов»?

 

Высказывание вице-спикера Госдумы РФ Сергея Железняка на тему того, что к осени появится законопроект, обязывающий размещать серверы с персональными данными наших граждан и официальной информацией органов власти исключительно на территории России, породило волну слухов и домыслов. По большей части саркастических: дескать, после сноуденовских разоблачений у вице-спикера сдали нервы и он решил перетащить в Россию серверы Google и Facebook, через которые проходит переписка россиян. Но что на самом деле имел в виду Сергей Железняк?

Уж точно не идентификационные данные наших сограждан в зарубежных соцсетях, уверены эксперты. Согласно нашему законодательству любой человек волен сам выбирать форму своей активности в Интернете, за исключением тех случаев, когда она касается уголовно наказуемых вещей типа торговли оружием или распространения наркотиков. Соответственно, сам человек принимает решение, кому доверять свои персональные данные (ПД). Скажем, купили вы квартирку в Болгарии или виллу на Лазурке и получаете время от времени письма из местной налоговой инспекции или муниципалитета. То, что болгарским или французским почтовикам известны ваши ПД, — еще не повод переносить их серверы в Россию. Но есть реальная проблема. Имя ей — облако.

Прочитайте внимательно соглашение, под которым подписывается всяк, желающий стать клиентом веб-сервисов портала Amazon: «Мы стремимся обеспечить безопасность ваших данных, однако не можем полностью гарантировать ее в связи с природой Интернета. Соответственно... вы признаете, что несете полную ответственность за безопасность, защиту и резервное копирование своего содержимого и приложений». «О какой безопасности в облачных сервисах можно говорить? — спрашивает Сергей Вихорев, заместитель генерального директора по развитию компании «Элвис-Плюс». — Это возможно лишь в частном облаке, да и то только в том случае, когда мы можем однозначно контролировать местоположение серверов, участвующих в обработке ПД». А это практически невозможно, если речь идет о сервисах с миллионами пользователей.

Любой крупный интернет-сервис или транснациональный оператор связи (таковыми, к слову, уже считаются и некоторые российские операторы) использует целый пул серверов, расположенных в разных странах и на разных континентах, с одной целью — сбалансировать нагрузку, чтобы сервисы были доступны всегда из любой точки мира. С этой точки зрения поисковик «Яндекс» и почта Mail.ru не намного более российские, чем Google и Hotmail, — нет никаких гарантий, что данные не покидают пределов РФ.

«Больше года назад очень остро встал вопрос об использовании в ряде масштабных государственных (подчеркиваю!) проектов, в том числе порталах госуслуг и национальной платежной системе, облачных технологий, — говорит Дмитрий Кузнецов, заместитель технического директора Positive Technologies. — Технически ограничить облачные технологии географическими границами несложно. Соответствующие документы готовятся. Одна беда: все они являются для операторов облачных услуг всего лишь рекомендациями. Сделать их обязательными можно только через изменения некоторых федеральных законов». Так что в первую очередь речь идет о размещении в зарубежных ЦОДах российских порталов, работающих с ПД граждан и информацией госорганов. А каких-либо зарубежных интернет-ресурсов это может коснуться?

Надо сказать, что физическая дислокация серверов всех проблем не решает. Рассказывает Дмитрий Кузнецов: «Этой зимой группа хакеров получила контроль над процессинговым центром одного из операторов платежной системы Visa. За рождественскую и новогоднюю ночи сообщники вывели через банкоматы десятка стран Европы и Азии более 11 миллионов долларов. И все это исключительно благодаря халатности оператора». Сергей Вихорев поясняет: «Дело не в том, где расположен сервер, а как он защищен. Да и защита эта может помочь только от хакеров, но не от спецслужб, которые не «ломают» сервер, а входят через особую «заднюю дверь». Другое дело, отмечает Мария Каншина, менеджер по развитию бизнеса компании «Информзащита», что государство не может осуществить контроль безопасности, определять меры защиты и следить за их исполнением, если речь идет о сервере, расположенном за рубежом. Иными словами, важно не только то, где данные хранятся, но и что может произойти с ними в процессе обработки. А вот тут выясняются занятные подробности.

Когда-то наше финансовое сообщество активно дискутировало по вопросу, нужно ли заставлять международные платежные системы Visa и MasterCard создавать процессинговые центры на территории РФ, чтобы обрабатывать там финансовые транзакции граждан РФ? Примечательно, что с технической точки зрения эта задача не является архисложной, полагает Дмитрий Кузнецов: «Ровно то же самое происходит, когда плательщиком и получателем являются клиенты одного банка — такие транзакции за пределы банка (или страны) не выходят». Но эта идея так и не дошла до практической реализации. Международные платежные системы (МПС) включили свой немалый лоббистский ресурс, поскольку не хотели терять часть комиссии от тех транзакций, которые вместо них стал бы обрабатывать Банк Росcии. Сыграл свою роль и тот факт, что собственно процессингом, то есть обработкой финансовых транзакций, у нас занимаются сами банки. Россия — вообще мировой лидер по количеству процессинговых центров: если в Германии их всего несколько штук, обслуживающих кредитные учреждения в формате аутсорсинга, то у нас около двух сотен, в основном ориентирующихся на «свой» банк. Правда, в нынешней конфигурации процессинговые центры Visa и MasterCard, поясняет Сергей Вихорев, играют роль корневых центров, куда поступает информация от банка-эмитента. В принципе эти данные уже можно рассматривать как некую утечку важных госсведений. Гораздо хуже другое — эту систему можно «выключить» извне.

Тимур Аитов, вице-президент Национального платежного совета, вспоминает, что такой прецедент уже имел место: после дефолта 1998 года карты МПС российских банков-эмитентов не обслуживались на территории ряда стран, включая США. «Я сам оказался в этой ситуации под Новый год в Лос-Анджелесе и готов подтвердить под присягой — расплатиться по карте было невозможно», — заявляет эксперт. Современная Россия гораздо серьезнее подсела на американский «пластик», и сегодня «вашингтонский обком» вполне может взять под контроль финансовые потоки страны.

Собственно, этот пример показывает, о каких зарубежных сервисах говорил Сергей Железняк. Это не Facebook, Amazon, eBay или YouTube — ничего ужасного не случится, если однажды не удастся посмотреть на котиков или заказать новые кроссовки. А вот если вдруг наших граждан перестанут обслуживать системы глобальной дистрибуции авиабилетов (а в наших авиакомпаниях конкурирует между собой сплошь зарубежное ПО), может случиться транспортный коллапс. А ведь вполне возможно создать и использовать в России такие программные системы, которые будут работать с различными базами данных для международных полетов и для перемещений по стране. Понятно, что вторая база данных будет располагаться на территории РФ. Кстати, на языке айтишников программа управления сервисами называется сервером баз данных. Судя по всему, именно такие серверы намерен перенести в Россию вице-спикер Госдумы. Осталось дождаться осени.

Мнения

Представляют ли зарубежные серверы угрозу для нацбезопасности?

Евгений Акимов, заместитель директора Центра информационной безопасности компании «Инфосистемы Джет»

Создание подобного «вакуума» в Интернете только для российских пользователей, на мой взгляд, невозможно практически. Это объясняется глобальным характером рынка популярных интернет-сервисов и социальных сетей. Граждане РФ, как и представители любого государства, пользуются различными сервисами в зависимости от своих потребностей, а не от их национальной принадлежности.

Увеличение количества и разнообразия российских интернет-сервисов, а также повышение их качества, безусловно, привлечет на российский рынок потоки новых пользователей. Но полностью исключить хранение таких данных за рубежом не представляется возможным.

Тимур Аитов, вице-президент Национального платежного совета

Любые принимаемые меры по защите информации неидеальны — об этом говорит недавний инцидент со Сноуденом. Не думаю, что размещение нескольких серверов Google на территории РФ как-то особенно защитит персональные данные россиян, скорее это облегчит предъявление претензий. Большинство россиян вообще не задумываются, где и как хранятся данные. Вопросы у них возникают только тогда, когда появляются сбои или происходят утечки. Конечно, если часть серверов располагать на территории РФ и обеспечивать возможность беспрепятственного пользования этими сервисами, это никак не ограничит доступ россиян к глобальным ресурсам, не нанесет никакого ущерба глобальности коммуникаций. Только повысится надежность соответствующих сервисов.

Сергей Вихорев, заместитель генерального директора по развитию компании «Элвис-Плюс»

То, что массовое использование зарубежных интернет-сервисов является перманентной угрозой безопасности информации, верно. А вот то, что создание российских аналогов сервисов является панацеей в решении этой проблемы, нет. Прогресс остановить нельзя. Не надо отделяться от мира, надо защищать себя в мире. Дело не в том, где расположены серверы и кто предоставляет услуги, а в том, как они защищены.

Алексей Сидоренко, директор по развитию компании «1С-Битрикс»

Создание российских аналогов сервисов — не панацея. Массовое использование зарубежных интернет-сервисов — это в первую очередь прогресс, который дает нам массу преимуществ. Но, разумеется, это повышает риски и является угрозой. Правда, я не представляю себе, как и для чего нужно решать вопрос безопасности при помощи создания российских аналогов. Вряд ли это целесообразно.

Закон есть закон

Перейти границы

Каким образом разные государства умудряются регулировать свои взгляды на защиту персональных граждан в условиях единого виртуального пространства? На этот счет есть, например, конвенция 1981 года, которую подписало большинство европейских государств, а также директива ЕС 1995 года, которая касается защиты прав граждан при обработке персональных данных, в том числе при передаче информации в другие страны. В чем смысл этих договоренностей? Рассказывает Дмитрий Кузнецов, заместитель технического директора Positive Technologies: «Представьте себе ситуацию: гражданин страны А купил товар в магазине страны Б через посредника в стране А, и теперь магазин надоедает ему ненужной рекламой. Его действия? Предъявлять претензии посреднику? Но он ничего не нарушил. Обращаться в суд в стране Б? Даже не смешно. Чтобы защитить права субъектов, участники конвенции обязались создать государственные органы (в России это Роскомнадзор), которые обязаны защищать интересы субъектов, в том числе зарубежных, в пределах своей юрисдикции. Теперь гражданин страны А обращается не в суд, а в подобный орган страны Б, который имеет все необходимые административные функции для воздействия на оператора услуг. Более того, он может обратиться в аналогичный орган своей страны, а тот в свою очередь обязан взять на себя взаимодействие с соответствующим регулятором в стране Б». Как и любой бюрократический механизм, эта система крайне неповоротлива. Но это в любом случае лучше, чем оставить субъекта один на один с судебной системой иностранного государства.

Терминология

Как это по-русски?

Важно, что законодательные ограничения на распространение и обработку персональных данных (ПД) субъектов, то есть граждан, направлены не на действия самого субъекта, а на действия операторов ПД, которые их обрабатывают. В этой связи интересно, каким образом будут меняться методы работы тех сервисов, которые работают с данными россиян. Особенно применительно к тем организациям, которые не подлежат российской юрисдикции, то есть не обязаны соответствовать российскому законодательству и не будут нести ответственность в соответствии с ним. Один из возможных методов предельно прост — пытаться законодательным образом запретить использование в стране определенной категории интернет-ресурсов. Технологически это можно сделать путем ограничения доступа к этим ресурсам, например по аналогии с единым реестром ресурсов, содержащих информацию, запрещенную к распространению в РФ. Хотя, скорее всего, это будет напоминать погоню за призраками — сайтами-клонами, перенаправленными сессиями и т. д.

Однако эти меры принципиально не решают вопрос конфиденциальности хранения или обработки ПД граждан РФ. Давайте вспомним информацию, которую мы оставляем в посольствах и консульствах при получении виз, паспортную и финансовую информацию при регистрации в зарубежных отелях, данные о гражданах РФ, работающих в иностранных фирмах, которые заносятся в корпоративные системы этих фирм, и многие-многие другие случаи. Если ставить вопрос о запрете распространения ПД граждан РФ вне систем, находящихся в рамках российской юрисдикции, можно дойти до реализации железного занавеса в самой жесткой форме его проявления.

Хотелось бы верить, что произошла подмена терминов и речь идет не о самих ПД граждан, а о служебных данных (государственных или коммерческих). Вот здесь, очевидно, должно быть жесткое регулирование вариантов размещения информационных систем государственных структур или корпораций с участием государства. Для коммерческих же структур необходимо понимание ими рисков, связанных с конфиденциальностью и доступностью их данных при том или ином варианте размещения информационных систем.


Михаил Луковников

ди­рек­тор да­та-цен­тра «ТрастИнфо» ком­па­нии «Сер­ви­они­ка»

Добавить в:  Memori  |  BobrDobr  |  Mister Wong  |  MoeMesto  |  Del.Icio.Us  |  Google Bookmarks  |  News2.ru  |  NewsLand.ru

Политика и экономика

Что почем
Те, которые...

Общество и наука

Телеграф
Культурно выражаясь
Междометия
Спецпроект

Дело

Бизнес-климат
Загранштучки

Автомобили

Новости
Честно говоря

Искусство и культура

Спорт

Парадокс

Анекдоты читателей

Анекдоты читателей
Популярное в рубрике
Яндекс цитирования NOMOBILE.RU Семь Дней НТВ+ НТВ НТВ-Кино City-FM

Copyright © Журнал "Итоги"
Эл. почта: itogi@7days.ru

Редакция не имеет возможности вступать в переписку, а также рецензировать и возвращать не заказанные ею рукописи и иллюстрации. Редакция не несет ответственности за содержание рекламных материалов. При перепечатке материалов и использовании их в любой форме, в том числе и в электронных СМИ, а также в Интернете, ссылка на "Итоги" обязательна.

Согласно ФЗ от 29.12.2010 №436-ФЗ сайт ITOGI.RU относится к категории информационной продукции для детей, достигших возраста шестнадцати лет.

Партнер Рамблера