- нарушение конфиденциальности передаваемых переговоров и SMS, электронной почты и данных, передаваемых при посещении сайтов в Интернет
- несанкционированный доступ к контактам
- несанкционированное дистанционное управление мобильным устройством
- контроль местоположения абонента
- активация вредоносных программ, мещающих связи абонента
- нарушение безопасности мобильных транзакций.
Во-вторых, законопроект, умышленно или случайно, говорит не о том, что на мобильном устройстве должно быть сертифицированное по требованиям безопасности ПО, а обо всем устройстве с ПО, прошедшими сертификацию. А такая сертификация, да еще и на отсутствие НДВ, представляет собой большую проблему. Я вообще не очень уверен, что найдутся производители мобильных устройств, которые готовы будут отдать системотехнику для сертификации на отсутствие НДВ. С софтом как раз проще — Инфотекс, С-Терра, КриптоПро, Диджитал Дизайн с удовольствием освоят для себя новый сегмент рынка.
В-третьих, судя по тому, что речь идет борьбе с иностранными техническими разведками сертификацией должна заниматься ФСТЭК. В то время как сертификацией средств защиты для информационных систем I-го класса согласно 104-му приказу Минкомсвязи (а именно к ним относятся информационные системы общего пользования: Правительства Российской Федерации, федеральных министерств, федеральных служб и федеральных агентств, руководство деятельностью которых осуществляет Президент Российской Федерации, федеральных служб и федеральных агентств, подведомственных этим федеральным министерствам), должна заниматься ФСБ.
В-четвертых, в пояснительной записке к законопроекту говорится, что дополнительных расходов из бюджета на реализацию закона не понадобится. Как бы не так. Устройств, которые бы позволили выполнить требования законопроекта не очень много. Если не рассматривать наложенное на любой Android сертифицированное защитное ПО и, похоже, снятый с производства Voice Coder Mobile от Сигнал-Кома, а также отбросить зарубежные устройства Sectra, Sagem, Rohde&Schwarz, CryptoPhone, Secusmart, Blackphone, то получится что в РФ есть только одно устройство, которое бы удовлетворяло требованиям законодательной инициативы депутата Гутенева. Речь идет о продукции НТЦ «Атлас», а точнее о мобильных устройствах SMP-АТЛАС 2003-го года и его усовершенствованная версия SMP-АТЛАС/2 2010-го года. Цена на первую версию этих устройств достигала 100 тысяч рублей. Вторая версия может обойтись значительно дешевле — при партии в 1000 штук цена на устройство может составить около 49 тысяч рублей. Умножив эту цифру на общее число госслужащих, сложно говорить об отсутствии расходов из федерального бюджета.
Можно, конечно, упомянуть и еще одного производителя защищенных GSM-устройств — компанию Анкорт и ее криптосмартфон StealthPhone. На мой взгляд именно это решение лучше всего подходит под задачу, опсианную депутатом Гутеневым. В StealthPhone не только обеспечивается конфиденциальность мобильных разговоров и SMS посредством специального чипа, а не наложенным ПО, но и присутствует специальные фильтры и металлический экран, которые предотвращают опасные излучения. Также в криптосмартфоне «Анкорт» отсутствуют такие высоко излучающие элементы, как видеокамера, Bluetooth, инфракрасный порт, съемная дополнительная память, Wi-Fi. Т.е. и вероятность утечки по техническим каналам у этого устройства гораздо ниже стандартного смартфона, обвешанного навесным ПО. Но у продукции Анкорт есть один недостаток — я не нашел сведений о наличии сертификата на изделие, выданного любым из отечественных регуляторов.
Но есть и еще одна проблема с реализацией рассматриваемого законопроекта. И решение Анкорт, и решение Атлас, и решения с наложенным ПО обеспечивают только конфиденциальность мобильных переговоров и, может быть, SMS. А что делать с остальными угрозами, упомянутыми Гутеневым? Как бороться с вредоносными программами? Как предотвращать несанкционированный удаленный доступ? Как защититься от определения местоположения абонента (это вообще от телефона мало зависит и может быть реализовано оператором мобильной связи)? Есть ли готовые и сертифицированные и неконфликтующие между собой решения на эти угрозы? Вопрос пока остается без ответа. Как собственно и ответ на вопрос о перспективах законопроекта. На волне патриотизма сейчас вносится множество законопроектов, которые должны гарантировать России цифровой суверенитет, но вот пока ни один из них не дошел даже до этапа первого чтения, не говоря уже про подписание у Президента. Но если законопроект Гутенева и ждет более завидная судьба, чем у его собратьев, то реализовать его на практике будет сложно. Да и чиновников заставить отказаться от своих Vertu или «дешевых» iPhone будет сложновато…
Что-то стойкое шифрование поверх голосового кодека похоже на туфту. Насколько мне известно, эту задачу никто нормально не решил.
Так проверь 🙂
ну так а где описание того, как оно работает? а бизнес-модель отличная — совместить продажу snake oil со сливом информации, которую ее обладатели уже за тебя любезно классифицировали как ценную и конфиденциальную.
Ссылки все даны — пиши или звони разработчикам
С удовольствием осваивать новый сегмент (мобильные устройства) компании производители СКЗИ мягко говоря не спешат.
У КриптоПро даже планов на эту тему нет (под Андроид).
Alexey, мне так не показалось. На ruscrypto была большая секция по криптографии на мобильных устройствах как раз в аспекте СКЗИ под сертификацию.
arkanoid, там как-то больше в сторону ЭЦП на сим-карте речь, на мой взгляд, чем шифрование голоса и смс.
Tomas, шифрование голоса и SMS будет иметь смысл, когда станет доступно в каждом смартфоне, а не в отдельных дорогостоящих экземплярах, обладание которыми автоматически вешает тебе мишень на лоб.
В каждом оно и сейчас есть на уровне стандарта GSM. А наложенное шифрование массовым никогда не станет
ГОСТовый viber 🙂
Если не p2p и не подконтрольно пользователю — все равно, что нету.
А почему не станет-то? Рано или поздно спрос появится. Сколько можно быть идиотами 🙁
Интересно, а хоть один сертифицированный телефон есть уже?