Новые поправки к закону о шифровании в США внесли еще больший сумбур в законодательство

Александр Панасенко 16 Июля 2009 - 13:02

Средства криптографической защиты информации

...

В штате Невада, США, принят новый закон SB-227 «О внесении (в нормативные акты) некоторых изменений касательно кражи личности» (http://www.leg.state.nv.us/75th2009/Bills/SB/SB227.pdf), положения которого с нового года заменят положения действующего ныне закона NRS 597.970.

В Неваде действует юридическое определение шифрования (в законе NRS 205.4742), которое позволяет создавать дешёвые технические решения, формально соответствующие этому определению, но фактически ничего не шифрующие и не защищающие. Вот выдержка из данного определения:
«кодирование означает применение защитных или разрушающих мер, без ограничения, включая криптографию, шифрование, кодирование или компьютерные программы, искажающие или разрушающие информацию для: 1. Предотвращения, помехи, задержки или разрыва доступа к любым данным, информации, изображениям, программам, сигналам или звуковым сигналам; 2. Сделать любые данные, информацию, изображения, программы, сигналы или звуковые сигналы не пригодными или неразборчивыми; 3. Предотвращения, помехи, задержки или разрыва нормального функционирования или использования любых компонентов, приборов, оборудования, системных сетей».
Такое притворное шифрование используется для обхода (т.е. чисто формального соответствия) требований закона ради экономии затрат.

Новый закон SB 227 вводит новое определение шифрования, обойти которое будет не так просто:
«(b) Шифрование это защита данных при их хранении или передаче в электронном или оптическом виде с применением :
(1) Технологий шифрования, которые были приняты в соответствии с установленными уполномоченным органом стандартами, в том числе, но неограниченные, Федеральными стандартами обработки информации, разработанными Национальным Институтом Стандартов и Технологий, определившим подобные данные как не поддающиеся расшифровке при отсутствии соответствующих криптографических ключей, необходимых для расшифровки подобных данных;
(2) Надлежащего управления и обеспечения безопасности криптографических ключей для защиты целостности кодирования, использующего принципы, провозглашенные в установленных уполномоченным органом стандартах, в том числе, но не ограниченных Национальным Институтом Стандартов и Технологий».
Тем не менее, и в новом законе есть ряд недостатков, которые предоставляют некоторые возможности его обхода. Не все термины в новом определении трактуются однозначно. Также новое определение противоречит определениям из других нормативных актов. В некоторых случаях использование притворного шифрования позволяет избежать обязательного информирования властей или потерпевших об утечках либо обнаруженных уязвимостях при обработке персональных данных. В соответствии с новым законом SB 227, в случае утечки персональных данных организация будет нести ответственность, но согласно SB 347 она не обязана сообщать о подобных утечках.

Эти несовершенства наводят на мысль о необходимости внесения поправок как во вновь принятый закон, так и в ряд действующих, чтобы между ними не было несоответствий.

О том, как обстоят дела с российской практикой шифрования данных, рассказывает Николай Федотов, ведущий аналитик InfoWatch: «Данная проблема - использование притворного шифрования для достижения чисто формального соответствия требованиям - в России отсутствует. Отечественные производители пока не доведены конкуренцией до таких крайностей, чтобы экономить копейки на шифровании.
В России иногда встречается прямо противоположная проблема: производитель применяет в своём продукте надёжное шифрование, но из-за разных бюрократических запретов вынужден делать вид, что никакого шифрования там нет. С точки зрения специалиста по информационной безопасности, лучше быть, чем казаться».

Источник

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Яков Шпунт 02 Июня 2026 - 08:52

Соответствие законодательству РФ Домашние пользователи Государство Персональный VPN Анонимайзеры Системы контентной веб-фильтрации

Блокировки VPN ударили по российским разработчикам

Ограничения на использование VPN привели к проблемам со стабильным доступом к репозиториям кода и другим элементам инфраструктуры разработки. В результате многие процессы разработки программного обеспечения существенно осложнились. В первую очередь трудности затронули компании, участвующие в международных проектах и активно использующие открытый код.

О том, что меры регулятора по противодействию использованию VPN создают проблемы для российских разработчиков, сообщает «Коммерсантъ» со ссылкой на представителей нескольких отечественных компаний.

По оценкам экспертов, которые приводит издание, доля открытого кода во многих продуктах, включая решения из реестра Минцифры, превышает 50%, а в отдельных случаях достигает 90%.

При этом доступ к ключевым элементам инфраструктуры разработки — репозиториям кода, системам управления версиями, библиотекам и средам разработки с облачными компонентами — может быть затруднён из-за ограничений, связанных с блокировкой VPN. Использование VPN позволяет разработчикам обходить ограничения, введённые рядом зарубежных сервисов в отношении российских пользователей и компаний.

Как отметили в ассоциации «Руссофт», попытки блокировать отдельные протоколы, используемые для создания виртуальных частных сетей и защищённого доступа к ресурсам, нарушают нормальную работу сети и создают проблемы для добросовестных пользователей.

С действиями регулятора участники рынка также связывают сложности с доступом к отдельным ресурсам. Так, накануне оказался недоступен PyPI — крупнейший репозиторий пакетов для Python. Спустя несколько часов Роскомнадзор заявил о своей непричастности к возникшим проблемам.

«Фактически речь идёт обо всей инфраструктуре, которая обеспечивает современный цикл разработки и тесно интегрирована с глобальными сервисами», — прокомментировал руководитель отдела администрирования и DevOps ГК Softline Александр Дёмин.

По словам ИТ-директора ГК «КОРУС Консалтинг» Максима Копова, разработчики столкнулись с двойными ограничениями: с одной стороны — с блокировками внутри страны, с другой — с ограничениями для российских пользователей и компаний со стороны зарубежных сервисов. В результате усложнились процессы сборки, обновления и сопровождения программного обеспечения.

«Системный характер сбои приобрели с февраля—марта. Это совпало с несколькими волнами ограничений популярных VPN-сервисов, когда стало очевидно, что корпоративные туннели попадают под блокировки по тем же критериям, что и пользовательские», — отметил ведущий специалист отдела исследовательских разработок компании «Стахановец» Алексей Миронов.

Кроме того, как подчеркнул генеральный директор Postgres Professional Иван Панченко, VPN широко используются для организации удалённого доступа сотрудников. Отказ от этой технологии может привести к дополнительным рискам информационной безопасности.

В Роскомнадзоре сообщили изданию, что доступ к зарубежным ресурсам с использованием необходимых российским организациям VPN-протоколов предоставляется по заявкам. По данным ведомства, в перечень исключений уже включены более 57 тыс. адресов и подсетей 1,7 тыс. организаций, в том числе компаний-разработчиков.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!