DPO
Постановка системы защиты персональных данных согласно европейским регламентам и национальным законам

Как поправки в закон для оперативников повлияют на граждан и бизнес

 

Сергей Воронкевич поделился своим экспертным мнением с Dev.by, почему вредоносное ПО — это проблема даже в руках спецслужб. Вопрос вызван внесением поправок в Закон об оперативно-розыскной деятельности РБ. 

 

Источник: https://dev.by/news/ord?fbclid=IwAR2KW-qE4weufmsVGSztEUrnNnEex3p2HK1DERqyKTQ92bG-sUxzBH9cmAs

 


 

В удалённом доступе к компьютерам ничего нового?

 

Поправки в закон об «Об оперативно-розыскной деятельности» (ОРД) были восприняты настороженно: кто-то увидел в них право оперативников получать удалённый доступ к компьютерам граждан, которого раньше будто бы не было, кто-то связал поправки с политическим кризисом и представил, как запускают вредоносы в гаджеты протестно настроенных граждан.

dev.by, вместе с юристом сравнив поправки с действующим законом, не нашёл в них чего-то революционного в части удалённого доступа и средств тайной фиксации. «Это больше похоже на уточнение существовавшего раньше», — поделился мнением юрист.

Бывшие следователи полагают, что с политикой тут связи нет. «Скорее всего, это закрепление сложившейся практики», — предположил экс-сотрудник следственных органов. 

Бывший сотрудник СК, эксперт по кибербезопасности Александр Сушко допустил, что понадобилось уточнить формулировки, чтобы исключить проблемы в санкционировании оперативных мероприятий со стороны прокуратуры.

И отметил, что специальное ПО для поимки преступников используют во всём мире. 

— Преступники скрывают свои координаты, поэтому правоохранители многих стран засылают им на телефоны и компьютеры вредоносы, благодаря которым можно установить реальный IP-адрес человека. Цель здесь не сбор данных, а поиск человека. Мое мнение — поправки не связаны с протестами, просто так совпало. Не исключено, что процесс был запущен давно. Не думаю, что кому-то это в Беларуси развяжет руки: если бы силовики захотели что-то взять, они бы пришли и забрали это во время обыска или выемки. И так ведь известно, кто где находится. Разве что поиск администраторов телеграм-каналов может вызывать сложности. 

А вот как толкуют поправки в Палате представителей, тут акцент — на продажу наркотиков через интернет.

 

А вот в доступе к базам данных, кажется, пропало что-то важное

 

Между тем, в законе есть новшества, которые могут иметь последствия для бизнеса, полагает сертифицированный специалист в области информационной приватности (CIPP/E, CIPM, FIP), консультант по GDPR Сергей Воронкевич. 

Речь о статье 15 — «Права органов, осуществляющих оперативно-розыскную деятельность».

 

Пятый и шестой абзац в новой редакции:

«создавать и (или) использовать базы данных (учеты), информационные системы, средства негласного получения (фиксации) информации и иные средства в соответствии с настоящим Законом и иными актами законодательства;

получать безвозмездно сведения из баз данных (учетов), информационных систем путем удалённого доступа и (или) на материальных носителях информации от организаций, которые являются собственниками этих баз данных (учетов), информационных систем, в случаях, установленных законодательными актами, и порядке, определенном законодательством».

 

Из нового в пятом абзаце — право создавать и использовать средства негласного получения информации, к которым относится и ПО.

А в шестом абзаце пропала оговорка «в соответствии с соглашениями между органами, осуществляющими оперативно-розыскную деятельность, и организациями, которые являются собственниками этих баз данных (учётов), информационных систем». 

Получается, правоохранители теперь сами могут создавать вредоносы, а информацию из баз данных могут получать у любых компаний, невзирая на отсутствие соглашения?

 

Почему вредоносное ПО — это проблема даже в руках спецслужб 

 

Вот что думает об этом Сергей Воронкевич: 

— У оперативников и раньше было право пользоваться средствами негласного получения информации («жучки», прослушка, ПО), но не оговаривалось право его создавать. По-моему, дополнение пятого абзаца — это косметическая правка, которая не столь значима для обычных граждан. Для разработки таких средств нужны бюджеты и экспертиза, которые есть либо у коммерческих организаций, либо у хакеров. Госорганы обычно крайне неэффективны в создании таких средств.

Вредоносное ПО есть у многих спецслужб, в том числе в демократических странах. Проблема в том, что это ПО и найденные с его помощью уязвимости не остаются в руках лишь сотрудников правоохранительных органов долго. Несмотря на продуманные меры защиты информации, они утекают, их ломают извне, уносят собственные сотрудники, в конце концов просто теряют.

Три года назад был большой скандал: база вредоносного ПО была выкачана из внутренних, очень защищённых систем американской разведки. NSA формировала пул вредоносного ПО, в частности вирусов, которые позволяли получать контроль над камерами смарт-телевизоров. Сначала они использовали эти вирусы в собственных целях, а потом потеряли их и ими стали пользоваться хакеры. А разработчики лицензионного ПО, к которому подбирали «ключики», не сразу узнали про эти уязвимости. 

Проблема со всеми государственными системами (да и частными тоже) в том, что утечка данных — лишь вопрос времени. Если в какой-то системе появляется массив персональных данных или ценный набор инструментов для взлома, он рано или поздно окажется не в тех руках — от этого не застрахована ни одна государственная структура мира. Из этого следует эмпирическое правило, которое приняли многие правительства, — не сливать всё в один котел, оставлять информацию распределенной по разным информационным системам разных  госорганов. А такого рода уязвимости или инструменты, которые могут причинить большой вред, либо не разрабатывать, либо разрабатывать в ограниченном количестве — и уж точно не аккумулировать их в одном месте.

 

Что не так с поправкой о доступе к базам данных 

 

Если пятый абзац ничего кардинально не меняет, то шестой абзац — удалённый доступ к базам — это проблема.

Он может сказаться на каждом белорусе, и даже не в том смысле, что тот станет объектом ОРД, а в том, что это навредит экономике Беларуси.

Пропала оговорка «в соответствии с соглашениями». То есть правоохранительные органы могут потребовать доступ к базам любых организаций, и никакая «лишняя бюрократия» в виде соглашений больше не нужна. Это открывает ящик Пандоры.

Во всём мире интерес для правоохранительных органов представляют прежде всего базы данных телекоммуникационных компаний. Это метаданные о расположении телефона, звонках, времени разговора и т. д. Часто под мониторинг подпадают и транспортные компании — авиакомпании, автобусные, железнодорожные перевозчики.

Не знаю, как именно это устроено в Беларуси, возможно, такие соглашения уже есть. Но теперь круг этих организаций, вольно или невольно давших доступ к своим базам, может расшириться до неожиданных размеров.

Например, приложения, разработанные не по стандартам приватности, часто запрашивают гораздо больше информации, чем нужно — иногда просят доступ к СМС, е-мейлам, Google Drive и другим облачным хранилищам. Допустим, приложение для каршеринга может сообщать оператору о вашем местоположении, даже когда вы не едете в машине. Правоохранительные органы могут получить доступ к этой информации. 

Если круг таких компаний будет достаточно широким, это даст предпосылки для создания в Беларуси чёрного рынка персональных данных — как в России. Злоумышленники станут «успешнее» в социальной инженерии: ведь проще войти в доверие к человеку, когда оперируешь информацией о его поездках, покупках, телефонных звонках.

 

Почему рынок должен «почернеть» в результате передачи данных правоохранительным органам?

 

Потому что будет значительно легче расширить круг компаний, к чьим базам есть доступ.  Если у компании слабая переговорная позиция, она открывает доступ к своим базам, при этом она не в состоянии мониторить ни объем информации, который выкачивается, ни то, кем из их пользователей интересовались правоохранительные органы. Из-за этого у сотрудников органов растёт искушение, злоупотребив должностными обязанностями, «конвертировать» информацию в деньги. 

 

Расширение доступа к разным базам не столько позволяет бороться с правонарушениями, сколько развращает сотрудников органов.

 

Россия — наглядный пример. В расследовании об отравлении Навального, как вы помните, среди прочего «пробивались» авиабилеты. И «пробивка», вероятнее всего, осуществлялась не через авиакомпании и их сотрудников, потому что группа могла летать разными авиакомпаниями. Информация утекала из одной точки. А в каком точке собирается вся информация, у каких сотрудников есть доступ ко всем базам? Возможность быстрого и негласного доступа к информации о жизни граждан повышает рыночную стоимость такой услуги и, как следствие, является большим стимулом для нарушения должностных инструкций.

Кстати, в Украине у правоохранителей гораздо меньший доступ к базам организаций по закону. И несмотря на то что у украинских правоохранителей проблем с коррупцией было не меньше, чем у российских, черный рынок «пробива» там развит меньше. Украинские коррупционеры просто не могут предложить информацию в таком же объёме, что и российские.

Есть общий принцип европейского права, согласно которому ОРД должна вестись по отдельному ордеру или судебному решению в отношении конкретного лица. Зато практика масштабного доступа к базам данных технологических компаний есть в США. И Штаты на этом совсем недавно погорели: из-за того, что у правоохранительных органов был доступ к базам для массового мониторинга (например, поведения пользователей Facebook, Twitter), Суд справедливости Европейского союза (высшая судебная инстанция ЕС) признал незаконным действовавшее соглашение между ЕС и США, по которому около 5000 американских технологических компаний могли обрабатывать данные европейских пользователей на своих серверах в США. 

Это огромный удар по американскому и европейскому бизнесу: в результате затруднена передача европейских данных для обработки подрядчикам, затруднено пользование американскими облачными провайдерами. 

 

Почему Amazon к нам точно не придёт 

 

Как-то ходили разговоры, что в Беларусь собирается прийти Amazon (Amazon Web Services — AWS), компания якобы хотела разместить здесь дата-центр, так как в Беларуси широкий канал подключения на Россию. Это дало бы большие вычислительные мощности, рабочие места, налоги. Но вот с такими правилами этого не будет.

 

Если бы AWS пришла в Беларусь, то у правоохранительных органов с таким законом появилась бы возможность «подключиться» не только к белорусским данным, но также личной информации жителей других стран. Может, это будет гражданин Беларуси, а может, Джозеф Байден.

 

Такого рода риски международные компании брать на себя не будут.

Правда, и прежняя редакция закона затрудняла приход на рынок и размещение здесь серверов. Сейчас же проблема только усугубится. Раньше у белорусских компаний на вопрос европейских партнёров или надзорных органов ЕС был хоть какой-то ответ: например, «персональные данные у нас под защитой, так как мы не заключали соглашения с правоохранительными органами и не будем этого делать». Теперь и такой аргумент у бизнеса пропадает.

Поэтому компаниям, которые оказывают услуги европейскому бизнесу в части аналитики, Big Data или машинного обучения (для чего нужны базы с персональными данными), или разрабатывают собственные продукты для европейских потребителей, будет разумнее регистрировать юрлицо в другой стране и оформлять на него базы данных. Причём не только оформлять, но и физически размещать их за пределами страны.

Простое размещение информации на мощностях за рубежом — не выход. Если вы белорусская компания и свою базу размещаете, например, в Германии, то по закону все равно будете обязаны предоставлять к ней доступ белорусским органам. Но в таком случае вы нарушаете GDPR, потому что не гарантируете своим европейским пользователям должный уровень защиты их персональных данных.

 

Значит, белорусский ИТ-бизнес получит проблемы по части GDPR?

 

Не весь, но та часть, что работает на европейский рынок или оказывает аутсорс-услуги европейским заказчикам (а те в рамках контрактов предоставляют им доступ к своим базам), для этих компаний риски усугубляются.

Но у широкого доступа к базам данных могут быть и более отдалённые последствия. Если люди начнут понимать, что каждое их действие в белорусском приложении или интернет-магазине (даже использование скидочной карточки на кассе) доступно, часть из них откажется от услуг и приобретений. Как следствие, меньше покупок, меньше доходы сетей, меньше налогов и т. д. Установите ли вы приложение, показывающее ближайшие аптеки и кафе, если будете знать, что ваша геолокация может оказаться в руках правоохранителей, а затем и на чёрном рынке? 

Это вопрос доверия. Прежде чем вводить GDPR, европейцы посчитали, что каждый год из-за недоверия покупателей экономика ЕС недополучает 60 млн евро. Человек хочет купить вещь на сайте, а у него спрашивают адрес и номер телефона, в результате человек отказывается от покупки. Они ввели строгие правила в том числе для того, чтобы возродить доверие к электронной коммерции. Мы же идём в обратном направлении — можем подорвать не только экспорт цифровых услуг, но и доверие собственных граждан к электронным сервисам. 

 

Подробнее о GDPR читайте в нашем лонгриде!

Расписание курсов загружается, подожди несколько секунд