Security Lab

8-й Центр ФСБ. Размышления на тему.

8-й Центр ФСБ. Размышления на тему.
Незапланированный пост. Под впечатлением участия в CTCrypt  в Екатеринбурге. Хорошее мероприятие, интересное. Изначально было ориентировано на общение криптографов из научной и академической среды. В этом году попытались включить еще и "общественность", т.е. понять и услышать потребности бизнеса и общества в современной криптографии. Чем может помочь регулятор и научная среда в части криптографии?.. Первый опыт. Получилось динамично, хотя и не до конца это оказался круглый стол, как было заявлено ;-) Язык не поворачивается назвать его круглым, если в президиуме в гордом одиночестве сидит Алексей Сергеевич Кузьмин (первый зам.начальника 8-го Центра), а вся остальная аудитория перед ним. Вспомнился сразу мультфильм "Маугли" и "мудрый Каа" ;-)

Меня пригласили туда высказаться о том, чего не хватает на российском рынке криптографии. Я и высказался, озвучив достаточно стандартный набор проблем, которые у нас есть - зарегулированность, сложности с импортом и экспортом криптографии, сложности признания зарубежных реализаций ГОСТа в России, необходимость разделения криптографии на "гражданскую" и "государственную". Ничего нового. Некоторые коллеги говорили об аналогичных трудностях, добавив и про закрытость требований к разработке СКЗИ (именно к СКЗИ, а не реализуемым в них алгоритмам), и про невозможность экспорта нашей криптографии хотя бы на Ближний Восток, где американская криптография вызывает отторжение, и т.д.

А дальше слово взял Алексей Сергеевич Кузьмин и опроверг меня по всем пунктам ;-) Обвинив меня в незнании законодательства, поверхностном знании рынка и непонимании момента, оказалось, что у нас нет ни одной из названных проблем. Все давно уже решено. И криптографию можно ввозить (правда, по непростой процедуре и с непрозрачными правилами выдачи разрешений на ввоз). И вывозить ее тоже можно (правда тоже по очень непростой процедуре). И ФСБ, оказывается, несет ответственность за взлом сертифицированной криптографии (правда, почему-то к ФСБ никто исков не хочет предъявлять). И реализовывать наши ГОСТы можно без получения лицензии ФСБ (правда, только если разработчик зарубежный и продает он такие СКЗИ также за пределами России). Как будто мы в разных мирах живем ;-)

Мне эта дискуссия живо напомнила общение с Барановым Александром Павловичем. Будучи первым замом в 8-м Центре, он высказывался точно также. Но стоило ему уйти в ФНС, как его взгляды поменялись и он достаточно активно стал критиковать Службу примерно по тем же направлениям, что я и озвучивал. Взгляд на криптографию с точки зрения потребителя отрезвляет и многие догмы уже не кажутся таковыми, когда сталкиваешься на практике с процедурой ввоза и эксплуатации СКЗИ ;-)

Вторая часть круглого стола прошла более живо и такого противостояния уже не было. Были озвучены реальные задачи, стоящие перед отраслью - высокоскоростное шифрование, обновление ГОСТ 28147-89, открытие требований к разработке СКЗИ, M2M-шифрование, криптография в АСУ ТП, телемедицине, трейдинге. Многие из них были восприняты регулятором и помечены, как актуальные. Это позитивно. Кого интересуют детали - смотрите мой Twitter (я там публиковал избранные тезисы).

А теперь немного философии. Вчера я прочитал в "Русском репортере" интересный материал " Душа фээсбэшника ". Не буду особо комментировать текст - к нему можно относиться по разному. Но там показан очень интересный взгляд представителя спецслужбы на "интересы государства". Вот именно такой позиции, как мне кажется, придерживается и 8-й Центр ФСБ. Ведь с точки зрения "интересов государства" все, что делают в России иностранные ИТ-компании - это потенциальная (а местами и реальная) угроза национальной безопасности. Какие нафиг интересы гражданина и общества? Это академик Рыжов мог думать  о национальной безопасности в контексте приоритета защиты прав гражданина. ФСБ думает в контексте приоритета прав государства. И с этой позиции либерализация ввоза зарубежных СКЗИ, разрешение TLS с AES в Интернет, отделение "гражданской" криптографии с отказом от ее регулирования, экспорт шифрования (как технологий двойного назначения), сертификация СКЗИ не на ГОСТе - это все угроза государству, которой нельзя дать реализоваться. Ну и что, что это замедляет прогресс. Ну и что, что это не дает гражданам реализовывать свое право на свободный доступ к информации. Ну и что, что это мешает инвестициям в российскую экономику. Ну и что, что российским предприятиям приходится платить в 5-6 раз больше за российские СКЗИ, которые по своим потребительским характеристикам хуже западных аналогов. Ну и что, что нет прозрачных правил и все решается "в частном порядке". Что с того, если на кону безопасность России! И это не пафосное заявление. Сотрудники ФСБ реально так думают.

Проблема в том, что они не допускают возражений и иных толкований ;-( Они считают, что любой сотрудник иностранной компании - это агент влияния, который работает против России, а не для защиты ее интересов (бывает и такое). Они считают, что граждане тупы и не могут сами выбирать, какой криптографией пользоваться (отчасти, конечно, правы). Они считают, что западные разработчики не в состоянии качественно реализовать ГОСТ и не насовать в реализацию закладок для иностранных спецслужб (много таких случаев?). Они считают, что защищать персональные данные гражданина надо также, как и гостайну (а гражданину пофиг - он вообще готов свои ПДн продавать). Они считают, что если вероятность реализации угрозы отлична от нуля, то с ней надо бороться в любом случае и принимать риски нельзя ни в коем случае (хотя весь мир уже давно живет в риск-ориентированном пространстве). Вся идеология сотрудников ФСБ (как минимум 8-го Центра) делится на "белое" и "черное". Есть враги и есть друзья. Последних меньше, первых больше. И только ФСБ стоит на страже национальной безопасности. А ради нее можно и потерпеть неудобства, вытекающие из закручивания гаек.

Такая позиция неплоха и нехороша. Это просто позиция. С ней можно соглашаться, а можно спорить. Ее можно принимать, а можно пытаться исправить ситуацию. Лично я ее понимаю, но принять не могу. Но мое мнение регулятора не интересует (хотя я знаю, что этот блог они читают). Это позиция регулятора, который имеет вес в государстве. И имеет историю и специфический бэкграунд. И Президент нашей страны тоже из этой же структуры и думает он также. А поэтому можно сколь угодно долго и много разглагольствовать о том, что подход этот неверен и надо искать компромиссы и находить баланс между интересами государства и гражданина, но результата у этих разглагольствований не будет. Не будет пока сам регулятор этого не захочет. А он этого не хочет. И не видит смысла. И считает свою позицию непоколебимой.

Справедливости ради надо отметить, что ситуация постепенно сдвигается с мертвой точки. Если раньше регулятор был в глухой обороне и напрочь закрыт от комментариев и высказывания своей позиции по тем или иным вопросам, то сейчас стало чуть лучше. Регулятор уже готов слушать. Не факт, что прислушиваться, но как минимум слушать. А это уже первый шаг в сторону нахождения компромисса. Регулятор слушал и даже отвечал на РусКрипто. Регулятор слушал и отвечал на конференции АЗИ. Регулятор слушал и отвечал на CTCrypt. И это только за это год. Значит и ФСБ может меняться, когда видит, что в этом есть необходимость. Но очень уж медленно. Остается только ждать и верить...

философия тенденции криптография ФСБ
Alt text

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!