Поправки в закон об ОРД про средства негласной фиксации и удалённый доступ к компьютерам — это действительно так опасно? Разбираясь с этим вопросом, dev.by обратил внимание на ещё одно новшество и обсудил его с экспертом по информационной приватности.
Поправки в закон об ОРД про средства негласной фиксации и удалённый доступ к компьютерам — это действительно так опасно? Разбираясь с этим вопросом, dev.by обратил внимание на ещё одно новшество и обсудил его с экспертом по информационной приватности.
Поправки в закон об «Об оперативно-розыскной деятельности» (ОРД) были восприняты настороженно: кто-то увидел в них право оперативников получать удалённый доступ к компьютерам граждан, которого раньше будто бы не было, кто-то связал поправки с политическим кризисом и представил, как запускают вредоносы в гаджеты протестно настроенных граждан.
dev.by, вместе с юристом сравнив поправки с действующим законом, не нашёл в них чего-то революционного в части удалённого доступа и средств тайной фиксации. «Это больше похоже на уточнение существовавшего раньше», — поделился мнением юрист.
Бывшие следователи полагают, что с политикой тут связи нет. «Скорее всего, это закрепление сложившейся практики», — предположил экс-сотрудник следственных органов.
Бывший сотрудник СК, эксперт по кибербезопасности Александр Сушко допустил, что понадобилось уточнить формулировки, чтобы исключить проблемы в санкционировании оперативных мероприятий со стороны прокуратуры.
И отметил, что специальное ПО для поимки преступников используют во всём мире.
— Преступники скрывают свои координаты, поэтому правоохранители многих стран засылают им на телефоны и компьютеры вредоносы, благодаря которым можно установить реальный IP-адрес человека. Цель здесь не сбор данных, а поиск человека. Мое мнение — поправки не связаны с протестами, просто так совпало. Не исключено, что процесс был запущен давно. Не думаю, что кому-то это в Беларуси развяжет руки: если бы силовики захотели что-то взять, они бы пришли и забрали это во время обыска или выемки. И так ведь известно, кто где находится. Разве что поиск администраторов телеграм-каналов может вызывать сложности.
А вот как толкуют поправки в Палате представителей, тут акцент — на продажу наркотиков через интернет.
Между тем, в законе есть новшества, которые могут иметь последствия для бизнеса, полагает сертифицированный специалист в области информационной приватности (CIPP/E, CIPM, FIP), консультант по GDPR Сергей Воронкевич.
Речь о статье 15 — «Права органов, осуществляющих оперативно-розыскную деятельность».
«создавать и (или) использовать базы данных (учеты), информационные системы, средства негласного получения (фиксации) информации и иные средства в соответствии с настоящим Законом и иными актами законодательства;
получать безвозмездно сведения из баз данных (учетов), информационных систем путем удалённого доступа и (или) на материальных носителях информации от организаций, которые являются собственниками этих баз данных (учетов), информационных систем, в случаях, установленных законодательными актами, и порядке, определенном законодательством».
Из нового в пятом абзаце — право создавать и использовать средства негласного получения информации, к которым относится и ПО.
А в шестом абзаце пропала оговорка «в соответствии с соглашениями между органами, осуществляющими оперативно-розыскную деятельность, и организациями, которые являются собственниками этих баз данных (учётов), информационных систем».
Получается, правоохранители теперь сами могут создавать вредоносы, а информацию из баз данных могут получать у любых компаний, невзирая на отсутствие соглашения?
Вот что думает об этом Сергей Воронкевич:
— У оперативников и раньше было право пользоваться средствами негласного получения информации («жучки», прослушка, ПО), но не оговаривалось право его создавать. По-моему, дополнение пятого абзаца — это косметическая правка, которая не столь значима для обычных граждан. Для разработки таких средств нужны бюджеты и экспертиза, которые есть либо у коммерческих организаций, либо у хакеров. Госорганы обычно крайне неэффективны в создании таких средств.
Вредоносное ПО есть у многих спецслужб, в том числе в демократических странах. Проблема в том, что это ПО и найденные с его помощью уязвимости не остаются в руках лишь сотрудников правоохранительных органов долго. Несмотря на продуманные меры защиты информации, они утекают, их ломают извне, уносят собственные сотрудники, в конце концов просто теряют.
Три года назад был большой скандал: база вредоносного ПО была выкачана из внутренних, очень защищённых систем американской разведки. NSA формировала пул вредоносного ПО, в частности вирусов, которые позволяли получать контроль над камерами смарт-телевизоров. Сначала они использовали эти вирусы в собственных целях, а потом потеряли их и ими стали пользоваться хакеры. А разработчики лицензионного ПО, к которому подбирали «ключики», не сразу узнали про эти уязвимости.
Проблема со всеми государственными системами (да и частными тоже) в том, что утечка данных — лишь вопрос времени. Если в какой-то системе появляется массив персональных данных или ценный набор инструментов для взлома, он рано или поздно окажется не в тех руках — от этого не застрахована ни одна государственная структура мира. Из этого следует эмпирическое правило, которое приняли многие правительства, — не сливать всё в один котел, оставлять информацию распределенной по разным информационным системам разных госорганов. А такого рода уязвимости или инструменты, которые могут причинить большой вред, либо не разрабатывать, либо разрабатывать в ограниченном количестве — и уж точно не аккумулировать их в одном месте.
Если пятый абзац ничего кардинально не меняет, то шестой абзац — удалённый доступ к базам — это проблема.
Он может сказаться на каждом белорусе, и даже не в том смысле, что тот станет объектом ОРД, а в том, что это навредит экономике Беларуси.
Пропала оговорка «в соответствии с соглашениями». То есть правоохранительные органы могут потребовать доступ к базам любых организаций, и никакая «лишняя бюрократия» в виде соглашений больше не нужна. Это открывает ящик Пандоры.
Во всём мире интерес для правоохранительных органов представляют прежде всего базы данных телекоммуникационных компаний. Это метаданные о расположении телефона, звонках, времени разговора и т. д. Часто под мониторинг подпадают и транспортные компании — авиакомпании, автобусные, железнодорожные перевозчики.
Не знаю, как именно это устроено в Беларуси, возможно, такие соглашения уже есть. Но теперь круг этих организаций, вольно или невольно давших доступ к своим базам, может расшириться до неожиданных размеров.
Например, приложения, разработанные не по стандартам приватности, часто запрашивают гораздо больше информации, чем нужно — иногда просят доступ к СМС, е-мейлам, Google Drive и другим облачным хранилищам. Допустим, приложение для каршеринга может сообщать оператору о вашем местоположении, даже когда вы не едете в машине. Правоохранительные органы могут получить доступ к этой информации.
Если круг таких компаний будет достаточно широким, это даст предпосылки для создания в Беларуси чёрного рынка персональных данных — как в России. Злоумышленники станут «успешнее» в социальной инженерии: ведь проще войти в доверие к человеку, когда оперируешь информацией о его поездках, покупках, телефонных звонках.
Потому что будет значительно легче расширить круг компаний, к чьим базам есть доступ. Если у компании слабая переговорная позиция, она открывает доступ к своим базам, при этом она не в состоянии мониторить ни объем информации, который выкачивается, ни то, кем из их пользователей интересовались правоохранительные органы. Из-за этого у сотрудников органов растёт искушение, злоупотребив должностными обязанностями, «конвертировать» информацию в деньги.
Расширение доступа к разным базам не столько позволяет бороться с правонарушениями, сколько развращает сотрудников органов.
Россия — наглядный пример. В расследовании об отравлении Навального, как вы помните, среди прочего «пробивались» авиабилеты. И «пробивка», вероятнее всего, осуществлялась не через авиакомпании и их сотрудников, потому что группа могла летать разными авиакомпаниями. Информация утекала из одной точки. А в каком точке собирается вся информация, у каких сотрудников есть доступ ко всем базам? Возможность быстрого и негласного доступа к информации о жизни граждан повышает рыночную стоимость такой услуги и, как следствие, является большим стимулом для нарушения должностных инструкций.
Кстати, в Украине у правоохранителей гораздо меньший доступ к базам организаций по закону. И несмотря на то что у украинских правоохранителей проблем с коррупцией было не меньше, чем у российских, черный рынок «пробива» там развит меньше. Украинские коррупционеры просто не могут предложить информацию в таком же объёме, что и российские.
Есть общий принцип европейского права, согласно которому ОРД должна вестись по отдельному ордеру или судебному решению в отношении конкретного лица. Зато практика масштабного доступа к базам данных технологических компаний есть в США. И Штаты на этом совсем недавно погорели: из-за того, что у правоохранительных органов был доступ к базам для массового мониторинга (например, поведения пользователей Facebook, Twitter), Суд справедливости Европейского союза (высшая судебная инстанция ЕС) признал незаконным действовавшее соглашение между ЕС и США, по которому около 5000 американских технологических компаний могли обрабатывать данные европейских пользователей на своих серверах в США.
Это огромный удар по американскому и европейскому бизнесу: в результате затруднена передача европейских данных для обработки подрядчикам, затруднено пользование американскими облачными провайдерами.
Как-то ходили разговоры, что в Беларусь собирается прийти Amazon (Amazon Web Services — AWS), компания якобы хотела разместить здесь дата-центр, так как в Беларуси широкий канал подключения на Россию. Это дало бы большие вычислительные мощности, рабочие места, налоги. Но вот с такими правилами этого не будет.
Если бы AWS пришла в Беларусь, то у правоохранительных органов с таким законом появилась бы возможность «подключиться» не только к белорусским данным, но также личной информации жителей других стран. Может, это будет гражданин Беларуси, а может, Джозеф Байден.
Такого рода риски международные компании брать на себя не будут.
Правда, и прежняя редакция закона затрудняла приход на рынок и размещение здесь серверов. Сейчас же проблема только усугубится. Раньше у белорусских компаний на вопрос европейских партнёров или надзорных органов ЕС был хоть какой-то ответ: например, «персональные данные у нас под защитой, так как мы не заключали соглашения с правоохранительными органами и не будем этого делать». Теперь и такой аргумент у бизнеса пропадает.
Поэтому компаниям, которые оказывают услуги европейскому бизнесу в части аналитики, Big Data или машинного обучения (для чего нужны базы с персональными данными), или разрабатывают собственные продукты для европейских потребителей, будет разумнее регистрировать юрлицо в другой стране и оформлять на него базы данных. Причём не только оформлять, но и физически размещать их за пределами страны.
Простое размещение информации на мощностях за рубежом — не выход. Если вы белорусская компания и свою базу размещаете, например, в Германии, то по закону все равно будете обязаны предоставлять к ней доступ белорусским органам. Но в таком случае вы нарушаете GDPR, потому что не гарантируете своим европейским пользователям должный уровень защиты их персональных данных.
Не весь, но та часть, что работает на европейский рынок или оказывает аутсорс-услуги европейским заказчикам (а те в рамках контрактов предоставляют им доступ к своим базам), для этих компаний риски усугубляются.
Но у широкого доступа к базам данных могут быть и более отдалённые последствия. Если люди начнут понимать, что каждое их действие в белорусском приложении или интернет-магазине (даже использование скидочной карточки на кассе) доступно, часть из них откажется от услуг и приобретений. Как следствие, меньше покупок, меньше доходы сетей, меньше налогов и т. д. Установите ли вы приложение, показывающее ближайшие аптеки и кафе, если будете знать, что ваша геолокация может оказаться в руках правоохранителей, а затем и на чёрном рынке?
Это вопрос доверия. Прежде чем вводить GDPR, европейцы посчитали, что каждый год из-за недоверия покупателей экономика ЕС недополучает 60 млн евро. Человек хочет купить вещь на сайте, а у него спрашивают адрес и номер телефона, в результате человек отказывается от покупки. Они ввели строгие правила в том числе для того, чтобы возродить доверие к электронной коммерции. Мы же идём в обратном направлении — можем подорвать не только экспорт цифровых услуг, но и доверие собственных граждан к электронным сервисам.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.