Как российским разработчикам СКЗИ могут закрыть выход на Запад

Как российским разработчикам СКЗИ могут закрыть выход на Запад
Продолжу тему с депонированием ключей и включением лазеек в отечественные средства шифрования, которые могут быть узаконены согласно двум поручениям Президента, о которых я написал вчера. Какой бы вариант не был выбран, он будет иметь катастрофические последствия для отечественной индустрии СКЗИ, исключая отдельные направления , в которых будет установлена обязанность применять средства шифрования и отказаться от этого будет нельзя.

Про эти последствия говорили до и во время принятия "закона Яровой", хотя и с упором на рынок телекоммуникаций. На рынок шифрования просто никто не обращал внимания. Во-первых, он пока не такой уж и большой, а во-вторых, сами производители средств шифрования, являющиеся лицензиатами ФСБ, не будут противоречить органу, который эти лицензии и выдает. Да и рано пока говорить о последствиях - подзаконные акты еще не приняты и мы не знаем, к чему это все приведет. Однако можно вновь обратиться к истории и посмотреть, о чем говорили в США, во времена принятия инициативы Clipper, во время законопроекта SAFE, во времена нашумевших законов Patriot Act и USA Freedom Act.

Кто будет покупать продукты, о которых известно, что они содержат закладки для спецслужб? Никто. Для американской экономики это было бы серьезным потрясением - продукция Microsoft, Cisco, Apple, Oracle и других ИТ-компаний распространена по всему миру и отказ от нее стал бы сильным ударом по доминирующей позиции Америки в ИТ-мире (это если не брать потери для каждой из компании в отдельности). Для России, которая иногда меняет риторику и вместо импортозамещения говорит о экспортопригодности, такие закладки стали сразу бы могильной плитой, не позволившей выбраться продукции за пределы локального рынка. Да и на локальном рынке объемы продаж бы сильно просели - кто захочет покупать решение о котором известно, что оно уязвимо и вся информация может на законных основаниях утечь в ФСБ; даже если скрывать и особо нечего? Хотя где вы видели компанию или человека, которым нечего скрывать?

Когда в Конгрессе обсуждался так и не принятый законопроект SAFE, с высокой трибуны прозвучало следующее: "Некоторые облачают дебаты вокруг криптографии в доспехи сражения приватности и безопасности. Наши активные консультации со стейкхолдерами, однако, привели нас к выводу, что проблему можно свести к борьбе безопасности с безопасностью. Криптография защищает критическую инфраструктуру, торговые секреты, финансовые транзакции, частную жизнь и информацию. В тоже самое время, криптография мешает силовым ведомствам отслеживать преступников, собирать доказательства, предотвращать террористические атаки и защищать общественный порядок. Изначально, законодатели и некоторые представители силовых ведомств верили, что решение на поверхности: законодательно предоставить силовикам доступ к зашифрованной информации по решению суда. К сожалению, затея повлекла за собой нежелательные последствия. В частности, встал вопрос о необходимости редизайна средств криптографии для встраивания так называемых “back doors” – уязвимостей, снижающих общий уровень защищенности криптосредств. В действительности, такие закладки обязательно будут использованы плохими парнями, но не обязательно дадут выигрыш хорошим парням. Глобальная индустрия стремительно меняется. Клиенты настаивают, чтобы компании встраивали средства криптографии в свои продукты на повседневном, бытовом уровне. Мы только сейчас начинаем понимать всю степень влияния этой глобальной трансформации. Если США наложат ограничения на использование криптографии, американские технологические компании могут потерять свой конкурентное преимущество на глобальном рынке. Более того, исследования показывают, что 2/3 предложений криптографических продуктов находятся за пределами США. Таким образом, плохие парни все равно смогут получить эту технологию от зарубежных поставщиков не находящихся под юрисдикцией США".

В 1998 году The Software Alliance (BSA) опубликовало отчет, в котором оценило потери от внедрения систем депонирования ключей. Согласно этим оценкам было выделено 4 категории затрат/потерь:
  • операционные затраты (поддержка и контроль ключей, реагирование на запросы),
  • пользовательские затраты (выбор, использование и поддержка соответствующих систем, а также потери, связанные со случайным раскрытием информации),
  • затраты на редизайн средств шифрования,
  • государственные затраты (тестирование средств депонирования, их сертификация, аттестация специальных служащих, работа с запросами).
В итоге получились следующие консервативные цифры:
  • общие прямые затраты - 7,7 миллиардов долларов США в год,
  • пользовательские затраты - 1,7 миллиарда долларов в год,
  • затраты бизнес- и домашних пользователей на то, чтобы соответствовать требованиям по депонированию - 6 миллиардов долларов в год,
  • средняя ежегодная стоимость реализации одного решения суда на доступ к зашифрованным коммуникациям - 12 миллионов долларов США.
К счастью, так и не удалось проверить на практике, насколько эти оценки были верны. Зато ущерб можно прикинуть после того, как Сноуден разоблачил американские спецслужбы, которые следили за людьми по всему миру и могли по своему желанию вмешиваться в процесс поставки любой ИТ-продукции из США и внедрять в нее закладные устройства. Фактов последнего так и не было представлено, но несмотря на это шумиха в прессе привела к падению продаж многих американских ИТ-компаний как внутри США, так и за ее пределами. Вот несколько примеров:
  • сокращение продаж Cisco на 7% в странах с растущей экономикой, а  например , в Китае - на 18%
  • германское правительство отказало Verizon в продлении контракта на оказание Интернет-услуг
  • американские облачные провайдера  могут потерять в следующие три года от 22 до 35 миллиардов долларов США. Forrester Research предсказывает и того больше - 180 миллиардов за 3 года.
  • Qualcomm видит недоверие со стороны зарубежных партнеров и прогнозирует снижение продаж в ряде регионов. Об этом же говорят в Microsoft, IBM и HP.
  • 25% канадских и британских компаний (а они должны быть лояльны США) перенесли свои данные из американских облачных хранилищ.
  • Бразильцы отказали компании Boeing в контракте на сумму в 4,5 миллиарда долларов (он ушел в Saab).
  • 47% пользователей по опросу Harris'а изменили свое поведение в Интернет после того, как стало известно о слежке со стороны АНБ, а 26% стало меньше покупать в онлайн и пользоваться Интернет-банкингом.
  • Многие американские компании стали строить центры обработки данных за пределами США, чтобы обезопасить данные своих зарубежных клиентов (а это миллиардные затраты).
  • Еще больше примеров можно найти тут  и тут
Конечно речь идет не о системах депонирования ключей, но указанные примеры все равно легитимны - они также говорят о вмешательстве спецслужб в деятельность ИТ/ИБ-компаний и последовавших за этим потерях. Да, в случае с российскими компаниями, потери будут ниже - и объемы не те, и международной экспансии пока не произошло. Но потери будут. Вплоть до полного краха выхода на зарубежные рынки - в случае наличия легальных закладок со стороны ФСБ российские продукты ничем не будут отличаться от того, что АНБ пыталась сделать в 1993-м году с системой депонирования ключей и от того, что оно сделало с системой глобальной прослушки PRISM спустя двадцать лет.
Alt text

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!