Новые поправки к закону о шифровании в США внесли еще больший сумбур в законодательство

Александр Панасенко 16 Июля 2009 - 13:02

Средства криптографической защиты информации

...

В штате Невада, США, принят новый закон SB-227 «О внесении (в нормативные акты) некоторых изменений касательно кражи личности» (http://www.leg.state.nv.us/75th2009/Bills/SB/SB227.pdf), положения которого с нового года заменят положения действующего ныне закона NRS 597.970.

В Неваде действует юридическое определение шифрования (в законе NRS 205.4742), которое позволяет создавать дешёвые технические решения, формально соответствующие этому определению, но фактически ничего не шифрующие и не защищающие. Вот выдержка из данного определения:
«кодирование означает применение защитных или разрушающих мер, без ограничения, включая криптографию, шифрование, кодирование или компьютерные программы, искажающие или разрушающие информацию для: 1. Предотвращения, помехи, задержки или разрыва доступа к любым данным, информации, изображениям, программам, сигналам или звуковым сигналам; 2. Сделать любые данные, информацию, изображения, программы, сигналы или звуковые сигналы не пригодными или неразборчивыми; 3. Предотвращения, помехи, задержки или разрыва нормального функционирования или использования любых компонентов, приборов, оборудования, системных сетей».
Такое притворное шифрование используется для обхода (т.е. чисто формального соответствия) требований закона ради экономии затрат.

Новый закон SB 227 вводит новое определение шифрования, обойти которое будет не так просто:
«(b) Шифрование это защита данных при их хранении или передаче в электронном или оптическом виде с применением :
(1) Технологий шифрования, которые были приняты в соответствии с установленными уполномоченным органом стандартами, в том числе, но неограниченные, Федеральными стандартами обработки информации, разработанными Национальным Институтом Стандартов и Технологий, определившим подобные данные как не поддающиеся расшифровке при отсутствии соответствующих криптографических ключей, необходимых для расшифровки подобных данных;
(2) Надлежащего управления и обеспечения безопасности криптографических ключей для защиты целостности кодирования, использующего принципы, провозглашенные в установленных уполномоченным органом стандартах, в том числе, но не ограниченных Национальным Институтом Стандартов и Технологий».
Тем не менее, и в новом законе есть ряд недостатков, которые предоставляют некоторые возможности его обхода. Не все термины в новом определении трактуются однозначно. Также новое определение противоречит определениям из других нормативных актов. В некоторых случаях использование притворного шифрования позволяет избежать обязательного информирования властей или потерпевших об утечках либо обнаруженных уязвимостях при обработке персональных данных. В соответствии с новым законом SB 227, в случае утечки персональных данных организация будет нести ответственность, но согласно SB 347 она не обязана сообщать о подобных утечках.

Эти несовершенства наводят на мысль о необходимости внесения поправок как во вновь принятый закон, так и в ряд действующих, чтобы между ними не было несоответствий.

О том, как обстоят дела с российской практикой шифрования данных, рассказывает Николай Федотов, ведущий аналитик InfoWatch: «Данная проблема - использование притворного шифрования для достижения чисто формального соответствия требованиям - в России отсутствует. Отечественные производители пока не доведены конкуренцией до таких крайностей, чтобы экономить копейки на шифровании.
В России иногда встречается прямо противоположная проблема: производитель применяет в своём продукте надёжное шифрование, но из-за разных бюрократических запретов вынужден делать вид, что никакого шифрования там нет. С точки зрения специалиста по информационной безопасности, лучше быть, чем казаться».

Источник

Следующая главная новость »

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!

Михаил Дудченко 13 Марта 2026 - 19:52

Малый и средний бизнес Корпорации Сетевая безопасность Защита контейнерных сред (Container Security) «Флант»

95% компаний назвали контроль доступа главной функцией защиты контейнеров

95% компаний считают управление правами доступа важнейшей функцией безопасности контейнерных сред. Такие результаты показал опрос среди зрителей и участников эфира AM Live «Безопасность контейнерных сред: что реально работает в 2026 году».

Именно контроль доступа оказался наиболее востребованной функцией среди всех механизмов защиты. Его назвали важным 95% участников опроса — заметно больше, чем любые другие инструменты.

На втором месте оказалось управление секретами с 78%, а далее — управление уязвимостями и контроль целостности, которые набрали по 65%.

Такая расстановка приоритетов показывает, что для большинства компаний главной задачей в области безопасности контейнерных сред остаётся контроль того, кто и какие действия может выполнять в инфраструктуре. В динамичных средах, где сервисы и контейнеры постоянно создаются и удаляются, ошибки в управлении доступом могут быстро привести к серьёзным инцидентам.

При этом другие функции, связанные с наблюдением за поведением системы, оказались менее востребованными. Так, мониторинг runtime назвали важным только 35% респондентов, а контроль сетевого трафика — 31%. Это может говорить о том, что многие компании пока сосредоточены на базовых механизмах защиты и управлении доступом, тогда как более сложные инструменты поведенческого анализа внедряются позже.

В целом эксперты назвали такие результаты ожидаемыми, однако их удивило, что к контролю трафика прибегают менее трети компаний. Среди возможных причин они назвали сложность и высокую стоимость внедрения. Кроме того, было отмечено, что в некоторых случаях кластер Kubernetes размещается в закрытом контуре, из-за чего необходимость в отдельном мониторинге трафика снижается.

Интересно, что подход к безопасности во многом зависит и от того, какие платформы используют компании для контейнеризации. Почти половина участников опроса, 47%, сообщили, что дорабатывают контейнерные технологии на базе open-source решений. Ещё 35% используют «ванильные» инструменты контейнеризации без серьёзных модификаций, а 31% применяют российские коммерческие платформы.

Менеджер продукта Deckhouse Kubernetes Platform по направлению информационной безопасности во «Флант» Алексей Крылов отметил, что многие компании, вероятнее всего, используют гибридные варианты, переезжают с западных систем и пока находятся на этапе оптимизации своих платформ.

Кроме того, глава DevOps-департамента Luntry Станислав Проснеков указал, что в «ванильных» системах не хватает средств управления учётными записями. Из-за этого многим компаниям может быть сложно с ними работать, в том числе из-за недостаточной прозрачности таких решений.

Опрос также показал тенденцию к комбинированию инструментов защиты. 48% компаний используют встроенные механизмы безопасности платформ вместе с дополнительными open-source средствами. Ещё 29% сочетают встроенные функции коммерческих платформ с дополнительными инструментами.

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!