Законодатели, безопасность, криптография и разведка

Если и есть в сфере информационной безопасности тема сложнее криптографии, то это законодательство. 30 Октябрь 2015, 11:59
Если и есть в сфере информационной безопасности тема сложнее криптографии, то это законодательство. Любую исследовательскую работу по шифрованию, ее основные выводы и возможные последствия можно понять. Во многих случаях для этого потребуются пара лет интенсивного обучения по основной и сопутствующим темам, и еще десяток лет работы экспертом по безопасности. Но понять можно. Далеко не всегда можно понять, какие последствия будут у закона, регулирующего сферу информационной безопасности, даже если его внимательно прочитать. Даже если ты хорошо владеешь языком, на котором он написан. 
Тем не менее, понимать надо, потому что законодательство может серьезно повлиять на вопросы безопасности, в ту или иную сторону. Хорошие, годные инициативы мотивируют компании лучше защищаться от киберугроз, защищают клиентов банков от потери денег в случае онлайнового мошенничества, улучшают безопасность самих государственных структур и наших данных, ими обрабатываемых, борются с криминалом. Плохие законы в лучшем случае никак не меняют ландшафт угроз, в худшем — позволяют киберпреступникам выходить на свободу, даже после ареста и при наличии убедительных доказательств вины, затрудняют работу исследователей, и делают приватные данные чуть менее приватными, чем хотелось бы. 
Сенат США одобрил законопроект CISA, несмотря на критику по вопросам защиты личной информации
Что произошло? 

Сенат США проголосовал за принятие законопроекта об обмене информацией, касающейся кибербезопасности, Cybersecurity Information Sharing Act. До окончательного принятия закона еще далеко — в марте этого года в палате представителей был принят закон Protecting Cyber Networks Act, который почти совпадает с CISA, но не совсем. Так что впереди увлекательная совместная работа Конгресса по сведению двух законопроектов из четырех букв в один из трех. Уже сейчас CISA вызывает серьезные дебаты в американской IT-индустрии и около. Причина простая: обеспокоенные приватностью данных американских граждан эксперты, в частности из фонда EFF, видят в законопроекте новые юридические лазейки для слежки за пользователями. 
О чем законопроект?

Инициатива американских законодателей, поддержанная, что случается нечасто, представителями двух основных политических партий в США, призвана изменить ситуацию с защищенностью американского бизнеса перед киберугрозами. А что, прямо настолько все плохо? В достаточной мере: взломы таких крупных компаний как JP Morgan, Sony Pictures Entertainment, Target, и даже управления по кадрам самого правительства США, не дают поводов для оптимизма. Сенатор Сьюзан Коллинс, один из авторов законопроекта, сравнила степень готовности США к защите от киберугроз с десятым сентября 2001 года и готовностью к защите от терактов на тот момент. 
Так как в конгрессе США, скажем так, работает немного экспертов по киберугрозам, законопроект в основном состоит из указаний ведомствам, таким как Министерство внутренней безопасности США (Department of Homeland Security) «изучить», «разработать», «обеспечить», «скоординировать», «разработать процедуры» и так далее — все с целью создания работающей системы обмена информацией о киберугрозах. Среди множества подпунктов закона есть такие интересные вещи, как, например «исследовать вопрос киберугроз в отношении мобильных устройств» и «разработать план внедрения технологии защиты мобильных устроств», а еще «разработать стратегию международных отношений по вопросам киберпространства». 
Фото из статьи на Slate.com. Там же есть подробный рассказ о том, чем плох законопроект.
Но основная задача законопроекта — облегчить американским компаниям обмен информации о неких «индикаторах киберугроз». В переводе с юридического языка на нормальный: дать возможность и бизнесу, и госструктурам делиться информацией о кибератаках, так, чтобы более эффективно от них защищаться, сообща. Если частный бизнес обменивается такой информацией с госструктурой (тем же DHS), бизнесу гарантируется конфиденциальность, ну и вообще делается так, чтобы компании поощрять. Бизнес обязан следовать огромному количеству других законопроектов, и некоторые из них, по разным причинам, за такой обмен данными могут вообще наказывать, поэтому тему кибербезопасности выводят в отдельную категорию. Вроде даже неплохо, да? 

Так в чем проблема?

Проблема, по мнению защитников приватности в киберпространстве, в том, что «перевод с юридического» выше — только один из возможных. А вообще трактовать расплывчатые формулировки законопроекта можно кому как удобнее. Например так: если в законе прописано, что обмениваться информацией «ради безопасности» можно, а четкого определения нет, то можно обмениваться вообще какими угодно данными с кем угодно, во имя великой цели борьбы с кибертерроризмом. Ну, например, какой-нибудь крупный веб-сайт с целью защиты пользователей, может сливать информацию об этих пользователях другой компании, чисто случайно являющейся рекламным агентством. Конфиденциально обмениваться! Или же некое государственное агентство сможет собирать данные о кибератаках, но не будет обязано раскрывать информацию публике, а что некоторые госструктуры могут делать с, допустим, информацией о свежем зиродее, всем и так известно. 

В общем-то, именно вопрос приватности, в том или ином смысле, волнует всех критиков законопроекта. А вот содержательная часть новости на этом заканчивается, дальше идут бурные дебаты. Такие компании, как Apple, Microsoft, Adobe и IBM сначала поддержали законопроект (коллективно, в рамках альянса BSA), а потом (в несколько другом составе) перестали поддерживать.

По крайней мере это сделала Apple, вместе с представителями Twitter, Yelp, Википедии и других. Как часто бывает, компании поддерживали одно (коллективную безопасность), а раскритикованы были за другое (якобы имеющиеся провалы по части приватности). Сам DHS (Министерство, которое и должно все разработать, внедрить и изучить, но желательно изучить до внедрения) еще в августе этого года высказался против законопроекта в его текущем виде — и за приватность, и за неэффективность. Пчелы против мёда! Впрочем, показания у DHS расходятся: тот же самый замминистра Алехандро Майоркас, в июле этого года бывший «против», в октябре внезапно оказался «за». Политика, сэр! 
И главное, никто особо не спорит с тем, что защищенность и бизнеса, и госструктур надо повышать, сколько можно читать про утечки данных гигабайтами и миллионами записей? Принятие закона сенатом, хоть и снижает шансы на внесение поправок, но не исключает такой возможности в принципе. Слушали ли индустрию и активистов раньше? Если взять аналогичный закон, прошедший в марте через палату представителей, то нет — там тоже были претензии, и их не то, чтобы внимательно выслушали. Но пара предыдущих, сомнительных с точки зрения приватности законопроектах так и остались проектами. Конкретно CISPA, также поднимающий тему обмена информацией о киберугрозах, а также SOPA — законопроект, направленный на борьбу с пиратством в интернете. В общем, запасаемся попкорном, эта история будет длиться долго.