Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах Пользователи Компании Лента заказов Курс по ITSM

Утечка данных из ФСБ — удар по российским SaaS сервисам

Утечка данных из ФСБ — удар по российским SaaS сервисам

У неких неизвестных лиц оказались данные пользователей, перечисливших средства в поддержку проекта Роспил.Инфо. Очевидно, что утечка произошла в ФСБ, куда платежная система «Яндекс Деньги» передала информацию в ответ на официальный запрос. Условия ведения бизнеса в России таковы, что «Яндекс Деньги» обязана была предоставить эту информацию. С тем, что у государства должна быть возможность использовать данные в электронном виде при проведении расследований никто не спорит. Однако мы не договаривались о том, что данные могут официально изыматься, а затем  продаваться по сходной цене конкурентам или политическим противникам.

СОРМ — не уникальное российское явление. Подобные положения действуют в США, странах Евросоюза и других регионах мира.  Однако очевидным образом предполагается:

  • Данные передаются в рамках уголовного/гражданского  дела по постановлению суда
  • Государство гарантирует конфиденциальность переданных данных, по крайней мере, до тех пор, пока они не будут использованы во время открытого судебного процесса.

К сожалению, оба этих пункта не работают в России.

В случае с данными жертвователей Навального утекли довольно невинные данные — те, кто жертвовал на Роспил.Инфо часто сами сообщали об этом.  Этот случай хорошо демонстрирует, что средства СОРМ успешно используются в политической и финансовой борьбе.  Сегодня кого-то заинтересовали 6 миллионов на счете Навального. При этом ему пока никто не предъявлял обвинений и не возбуждал уголовного дела. Что будет завтра?

6 млн. рублей — в сущности, очень маленькая сумма. Если цена слива, через СОРМ позволяет работать с подобными суммами, то угроза касается всех — малый бизнес, ИП, благотворительные организации. От внимания ФСБ избавлены разве, что «доширакеры».

При обсуждении безопасности облачных решений, всегда возникает  тема возможной утечки данных третьим лицам. В том числе утечка данных государству. В автоматизированных системах часто хранится намного более дорогостоящая и опасная информация, чем данные о платежах: ноу-хау и методические разработки, управленческая бухгалтерия, действительные зарплаты сотрудников, данные клиентов попадающие под действие договоров NDA и т.д.  В отличие от Навального многим компаниям есть, что скрывать.

К провайдерам облачных решений возникает один вопрос: «А ваши сервера находятся не на территории России?». Потому что от ЦРУ, ФБР, германских БФФ/БНД и т.д.  российским предпринимателям скрывать нечего — в международный терроризм они не вовлечены. В сущности тех, кто хотел бы скрыть свои данные от ФСБ тоже немного. А вот третьи лица, которые могут воспользоваться услугами СОРМ, представляют реальную угрозу.

Можно обсуждать преимущества и риски облачных решений, однако пока государство не будет гарантировать защиту от неправомерного использования СОРМ в российских облачных решениях можно ранить только публичную  (т.е. любую предназначенную для государства) информацию. Например, данные о белой зарплате или официальную бухгалтерию.

Комментарий Навального

Дополнительные материалы

Комментарии (11)

  • Аватар

    Котельников Илья [iluha], 05 мая 2011, 10:49

    0
    Товарищи, а почему это обязательно должно быть риском для SaaS сервисов?
    Сервер сервиса стоит где-нибудь в Америке. К вам приходят ФСБ и говорят - нам нужна информация по вашему клиенту. А вы им отвечаете - у нас нет данных клиента, все что мы делаем - это разрабатываем сервис, а данные содержаться на виртуальной машине неизвестно где и доступ к нм есть только у клиента. Мы пароль не знаем и, когда нам нужно, просим дать доступ у клиента - попросите у него.
    При этом еще сами базы должны быть зашифрованы, естественно.
    Интересно, возможна ли такая реализация?
    • Аватар

      Бычков Валерий [vbychkov], 05 мая 2011, 11:04

      2
      Доказывать, что доступа к данным действительно нет придется под угрозой уголовного преследования. В этой ситуации сотрудники если смогут сдадут любого клиента. Судьба компаний, которые публично сопротивлялись СОРМ в России - незавидна.
    • Аватар

      Яковлев Андрей Михайлович [swtws], 05 мая 2011, 19:27

      0
      Илья, реально, надо компанию регистрировать где-то там. То есть становиться уже не российским провайдером. Тогда сама компания, а не только сервера окажутся за пределами юрисдикции РФ. Но для клиента геммор - валютный счет открывать, зависеть от курса и проч. Разве, что подрядить российского дилера (ну вы понили) который только будет договора заключать и деньги брать. В общем, есть варианты. Но удар по имиджу страшный. У меня план на PaaS  есть - потенциальные заказчики начали беспокоиться и я тоже.
      • Аватар

        Котельников Илья [iluha], 11 мая 2011, 10:51

        1
        Ок! Получается делаем так: регистрируемся в оффшоре, говорим, что чуваки из оффшора занимаются у нас администрированием (для этого на самом деле выводим админа из штата, пусть из дома работает по договору подряда, оказывая нам "консультации"), а мы только пишем саму систему. И если кто придет, то мы хотели бы сотрудничать со следствием и данные все передать, да данные-то не наши! - ими заведует наш заграничный партнер, у которого хз кто администратор, может и русский, может быть даже и наш консультант Вася, но требовать что-то с него мы не в праве - мы ведь только дилерством тут занимаемся.

        Как вам такая схема? Гениально, правда ведь?
  • Аватар

    Сабаев Тимур Ирекович [sabaev], 11 мая 2011, 11:01

    1

    С Навальным цена вопроса никого не волнует. Это политический заказ. И дело явно в его работе. Это кстати и к смешному уголовному делу против него относится. Но вопрос на самом деле не праздный. С такой позицией проще и правельнее сервера в прибалтику выносить. И на них хостить всё самое полезное.

    А что касается провайдеров, то проще всего делать связку. Две формально не зависимые компании. Одна деньги берёт в РФ в рублях и гонит их за границу. Другая организовывает физический сервис там.

  • Аватар

    Jack Glepp [jackekb], 11 мая 2011, 14:14

    0
    Вы как-то лихо аббревиатуру СОРМ используете. Это все-таки нечто другое, фактически средство для онлайн получения данных из сетей связи. И создана она как раз для того, чтобы не запариваться с разрешением на прослушку, перлюстрацию и прочие гнусности. Разрешение оформляется постфактум. И так просто когда-то послушать или почитать почту точно не получится, слишком много народу надо задействовать (это если конечно про нечестную конкуренцию мы говорим, а не про политику)
  • Аватар

    Близнец Антон Григорьевич [antonbl], 12 мая 2011, 09:56

    0
    Перепостил часть этой статьи у себя.
    Вся эта статья - прямая реклама нашего решения.
    Что могу сказать от себя:
    • Пользоваться российскими сервисами чего-либо, например видеосовещаний, вебинаров или любых других – подставлять свой бизнес по удар.
    • Удар будет нанесен когда ваш бизнес начнет представлять интерес.
    • Сроки давности конфиденциальной информации могут быть очень большими, как и просто сроки.
    • Вы должны контролировать свои сервера, иначе ваши записи совещаний будут чужим активом,
    • и вашим, соответственно, пассивом (обязательством на языке бухгалтеров)

    Вот предыстория статьи от известного блогера, и вероятного кандидата в президенты.
    http://navalny.livejournal.com/581930.html

    С уважением Антон Близнец

    • Аватар

      Котельников Илья [iluha], 22 мая 2011, 13:52

      0
      Антон, а почему эта статья - реклама Вашего сервиса? В смысле - чем это Ваш сервис такой особенный и как Вы защищаете его от запросов ФСБ?
  • Аватар

    Ларькин Денис Юрьевич [Vasy911], 21 мая 2011, 22:23

    0
    В обще то данные были переданные по ЗАПРОСУ, а не получены с СОРМ, что как бы абсолютно две разных сущности. А так да согласен пост "9,5 правил ведения безопасного IT-бизнеса в России" как никогда актуален