Эксперт Иван Бегтин рассуждает о том, что государство потратит 1,2 млрд рублей на создание новейшей системы контроля трафика в интернете:

Система, о которой говорит «Коммерсантъ», по сути, есть цифровой двойник каналов передачи данных, точек обмена и потоков данных. В первую очередь она нужна для контроля точек входа и выхода данных и установки систем контроля трафика.

Эффект от введения такого новшества предсказать сложно – зависит от конкретных форм реализации. Но в целом понятно, что система будет работать на усиление государственной цензуры в Рунете и ограничения доступа к онлайн-ресурсам.

Хватит ли тех 1,2 миллиарда рублей, о которых пишет газета, для того, чтобы Центр мониторинга и управления сетью связи общего пользования мог отслеживать весь трафик или хотя бы значительную его часть, я сказать не могу. Эти вопросы следует адресовать Роскомнадзору.

Эксперт Иван Бегтин рассуждает о том, что Safari и Chrome могут перестать отображать сайты из РФ:

Начнем с того, как устроена система подтверждения безопасности сайтов. Есть так называемая система построения доверия между удостоверяющими центрами; она построена на некоей их иерархии. Есть так называемые корневые удостоверяющие центры, ограниченный список которых включен в каждый браузер и большую часть операционных систем; и есть удостоверяющие центры, которые корневыми уполномочены и выписывают сертификаты для разных целей – например, для подтверждения достоверности мобильных приложений либо веб-сайтов.

Протокол HTTPS, который сейчас используется более широко даже, чем HTTP, – это безопасный протокол, в котором браузер пользователя доверяет сертификату сайта. Этот сертификат выпущен одним из доверенных удостоверяющих центров. Благодаря этому мы можем без большой опаски открывать сайт Google, «Яндекса» или кого-то банка и быть уверенными, что никто (ни злоумышленник, ни спецслужбы, ни правоохранительные органы, ни ваш работодатель) не перехватит эту информацию и не соберет о вас те данные, которые вы бы не хотели, чтобы кто-то знал.

С недавних пор ряд российских структур (Сбербанк, банк ВТБ и ряд других государственных банков) поместили в санкционные списки, а это означает, что с ними не могут взаимодействовать практически все поставщики услуг, включая услуги технологические. Но в России нет своего удостоверяющего центра, который бы соответствовал международной цепочке доверия. Много лет назад их пытались создавать, но не создали, так как это означало довольно большие расходы. Так что все, включая государственные сайты Российской Федерации, просто продолжали пользоваться мировыми сервисами.

Однако теперь, поскольку к организациям под санкциями зарубежные сервисы перестали выпускать сертификаты, мы столкнулись с тем, что, условно говоря, вы не можете зайти на сайт некоторых организаций защищенным образом. Браузер может не пускать туда, где у сертификата безопасности истек срок действия. Поэтому Минцифры решило пойти по пути создания Национального удостоверяющего центра (НУЦ) и выпускать сертификаты, которые находятся вне мировых цепочек доверия.

Предполагалось, что выдавать сертификаты компаниям впредь будут от НУЦ; а компании будут применять их на своих сайтах и в браузерах. Но если международная система доверия обеспечивает невозможность попыток спецслужб перехватывать весь трафик, то с НУЦ будет не так. Тут по умолчанию надо доверять российскому государству и Министерству цифрового развития в частности. А ведь они находятся в в близком доступе от российских правоохранителей и спецслужб.

Поэтому наиболее популярные браузеры могут счесть, что корневой сертификат НУЦ является крайне нежелательным, так как нарушает приватность пользователей, и начать его блокировать. А поскольку правила блокировки и правила ведения сертификатов на откупе у разработчиков, а на тех может надавить правительство США, в случае такого давления НУЦ практически гарантированно внесут в «черный список» и доступ к сайтам с его сертификатами заблокируют.

Тогда те сайты, которые уже используют российские сертификаты (Сбер и ВТБ, например) перестанут нормально открываться в этих браузерах. И вся инициатива Минцифры по продвижению НУЦ и национальных российских сертификатов пусть не провалится, но будет очень сильно ограничена. Фактически, она будет ограничена только теми устройствами и программными продуктами, которые будут это поддерживать. Сейчас это – например, «Яндекс-браузер».

В общем, возможно, для открытия некоторых сайтов вам понадобится специальный браузер. Это, в принципе, решаемо на настольных компьютерах и ноутбуках (допустим, там можно держать отдельный браузер для Сбербанка), но проблематично на мобильных устройствах, особенно на айфонах.

Так что риски тут есть, они достаточно глобальны, но это риски интеграции в мировое пространство. И хороших решений здесь нет. Я, например, категорически против НУЦ – считаю, что какие бы технические решения там не придумывали, все равно это приведет к контролю за трафиком стороны спецслужб. Ведь для них эта возможность упростится на порядок. Да и с долгосрочной точки зрения проще Сбербанк лишить банковской лицензии, чем внедрять НУЦ.

В общем, может быть, больше смысла было бы разрабатывать специальные приложения, чем использовать НУЦ. Но у нас пошли таким путем, и я пока не вижу, чтобы с него свернули. Хотя если в санкционные списки попадет больше российских организаций, у нас на этом пути будут проблемы.

Эксперт Иван Бегтин рассуждает о том, что Минцифры и «Ростелеком» интегрируют сайт госуслуг с государственной биометрической системой:

Несмотря на многие достоинства биометрии в идентификации человека, риски могут заметно превышать эти преимущества, поскольку утечка биометрических данных невосполнима. При этом биометрические идентификаторы, напомню, безотзывны, так что в случае их компрометации человек оказывается в чрезвычайно сложной ситуации. Заменить свои фото или запись голоса, как логин и пароль, не получится.

Что касается идеи ограничения на дистанционный доступ к ряду госуслуг для граждан, не сдавших биометрию, то суть ее понятна, такой стратегии от государства можно ожидать. Но важно и чтобы органы власти научились объяснять людям, зачем биометрия собирается и как защищается, поскольку сейчас недоверие этой инициативе и сбору этих данных очень высоко.

Вообще чтобы способы мотивации к сдаче биометрических данных сработали, нужна информационно-просветительская кампания среди населения. И в то же время необходим явно проведенный аудит систем, работающих над сбором и авторизацией через биометрию, – проверка их на предмет возможных утечек данных, несанкционированного доступа к ним и так далее.

Эксперт Иван Бегтин рассуждает о том, что в WhatsApp появятся новые возможности с исчезающими сообщениями:

Функция автоматического удаления сообщений в WhatsApp частично, конечно, будет востребована, поскольку нечто подобное уже есть в других мессенджерах и она в некоторой степени защищает от взлома аккаунта и (или) устройства. Но от слежки государства или корпораций эта функция не защитит.

Слежка работодателя, корпораций, государства ведь идет непрерывно. Так что в основном эти меры мессенджер предлагает не в противодействие тем, кто следит на институциональном уровне, а в противодействие тем, кто имеет или может получить несанкционированный доступ к устройству или аккаунту от случая к случаю (то есть при утере телефона, взлома аккаунта, замене сим-карты).

Ну, а мера с удалением сообщений через 90 дней направлена на то, чтобы подчищать историю переписки при необходимости. У молодых людей в мессенджерах переписка накоплена за много лет, а так они получат возможность очистки. Но, конечно, сам подход выглядит довольно странно, поскольку есть много мессенджеров с гораздо более высокой степенью безопасности, которые позволяют и вести зашифрованную переписку, и уничтожать сообщения буквально через 20 секунд.

То, что вводит WhatsApp — это, скорее, мера для массового потребителя, который не разбирается в вопросе. Потому что специалисты просто не пользуются этим мессенджером для пересылки чего-то серьезного. Особенно они избегают делать это в чате. Словом, меры были приняты в ответ на рост потребности в приватности и безопасности, но без изменения фундаментальных принципов мессенджера.

Сейчас, кстати, можно извлечь почти все сообщения WhatsApp не только через сам сервис WhatsApp, но и через аккаунт пользователя в Google. Туда часто сохраняется переписка, так что для того, чтобы прочесть эти сообщения, достаточно получить доступ к аккаунту в Google. Возможно, решение по поводу автоматического удаления нацелено было как раз на чистку архива, хранящегося в Google.

Эксперт Иван Бегтин рассуждает о том, что почти 40% сотрудников не доверили бы работодателю свою биометрию:

Что касается биометрии, то со временем ее применение не станет безопаснее. Ключевые риски тут в том, что могут возникать злоупотребления, а биометрические идентификаторы безотзывны. В отличие от единовременных паролей, классических способов авторизации через логин-пароль, токенов, ключей доступа, биометрия неотделима от человека. Если ваша фотография будет скомпрометирована (а технологии развиваются по модели дипфейков, возможности наложить на ваше изображение чье-то лицо), то вы оказываетесь в крайне сложном положении.

Уже сейчас наши банки впереди планеты всей по цифровизации, дистанционным услугам и всему остальному. Это происходит настолько быстро, что уже вызывает тревогу. И проблема тут не только в биометрии, а в ее сочетании с тем, что по ней можно совершать дистанционные действия. Много разных мошенничеств уже производится с другими способами идентификации – с ключами доступа, паролями. Мы не можем даже предусмотреть все из них. Поэтому идея предоставления доступа к своим биометрическим данным не просто так вызывает у людей опасения. К этому и надо относиться с высокой степени критичности.

Очень удивляет, к слову, настолько активно этот способ идентификации продвигается некоторыми игроками на рынках и органами власти. Честно говоря, это настораживает. Почему делают именно это и почему считают, что делать это правильно? Такие действия вызывают довольно большие сомнения. Но сейчас оценка рисков не производится: такое ощущение, что есть несколько крупных государственных лоббистов, которые тащат это новшество всеми правдами и неправдами. Хотя это далеко не значит, что то, что делается, будет в пользу людей, а не кого-то еще.

Все это вызывает у меня беспокойство, и не менее беспокоит то, что сейчас, фактически, права граждан, связанные с этим, никто не защищает. Мы находимся в ситуации, когда опасений много, а обратиться с ними не к кому. Куда нам идти? В Конституционный суд, в Верховный суд? В ФАС, в Роскомнадзор, в ФСБ? В общем, есть ощущение, что те люди, которые сейчас внедряют эти технологии, либо не хотят хорошего нашей стране, либо хотят каким-то очень странным образом. То есть это либо глупость, либо диверсия, если вкратце. Вот такие мысли возникают.

Эксперт Иван Бегтин рассуждает о том, что электронную цифровую подпись зашьют в сим-карту:

Если говорить об идее совместить электронную цифровую подпись с сим-картой, то надо учесть, что люди иногда теряют смартфоны. Тогда, конечно, будет не очень хорошо, потому что сим-карту придется перевыпускать. Но я в принципе, не только в рамках этой истории считаю, что не надо класть все яйца в одну корзину. Особенно когда вопрос касается информационной безопасности.

Это примерно как с созданием единого биометрического профиля, для которого сдают фотографию лица, отпечатки пальцев и все остальное – и вроде как это удобно, поскольку по такому профилю человека пропускает во много разных систем. С другой стороны, при компрометации этих данных, их перехвате, выбросе из системы человек теряет сразу все.

То же самое и здесь. Так что стремление все интегрировать и сделать более удобным довольно опасно. А удобство не должно происходить за счет безопасности, поэтому совмещать сим-карту с цифровой подписью, на мой взгляд, не надо. Если это не станет обязательным, я буду всячески стараться этого избегать. Точно так же, как буду стараться избегать биометрии и т.д., поскольку не нужно полагаться только на один механизм защиты собственных данных.

Эксперт Иван Бегтин рассуждает о том, что пользователи WhatsApp смогут жаловаться на определенные сообщения:

Это нововведение в WhatsApp связано с рядом проблем, в том числе с вопросами приватности переписки. Поскольку, когда кто-то пожаловался на пользователя или канал, возникает ситуация с передачей этой информацией в компанию Facebook, который принадлежит WhatsApp. Безусловно, такое новшество востребовано: фильтрация контента сейчас стоит у всех социальных сетей и мессенджеров, в которых активно идет коммуникация.

Но здесь, как всегда, возникают вопросы по поводу того, как будет проходить модерация сейчас и в дальнейшем – по жалобе или еще как-то. Facebook и владельцы многих других мессенджеров декларируют end-to-end шифрование, и оно должно обеспечивать приватность. Но в данном случае пользователь как раз нарушает свою приватность, оставляя жалобу. В общем, вопросы к новой функции, конечно, есть. Но в каком-то смысле ее появление было неизбежно просто в силу развития тенденции к фильтрации контента.

Во многих странах уже сейчас блокируют разного рода мультичаты и каналы, которые разжигают межнациональную рознь или нарушают какие-то еще законы этого государства. Набор запретов потому неодинаков: в России этой области одна специфика, а, например, в Германии – другая. Но в любом случае, мы сейчас видим реакцию крупных компаний, в данном случае Facebook, на развитие этого тренда. Впрочем, не сказать, что это какое-то крупное изменение.

Эксперт Иван Бегтин рассуждает о том, что биометрия появится в российских фитнес-клубах:

На мой взгляд, неконтролируемый сбор биометрической информации организациями приведет лишь к новым утечкам. Но, в отличие от утечек паролей или номеров банковских карт, биометрическая информация с нами с рождения и до конца жизни. Ее потеря – это компрометации наиболее важных данных и высокий риск криминального использования этих данных в будущем.

Другой аспект проблемы в том, что биометрические данные могут с легкостью использоваться для нарушения прав граждан, массовой государственной и корпоративной слежке, превращения страны в «полицейское государство», основанное на страхе, а не на уважении к правоохранительным органам. Иначе говоря, любое внедрение биометрии для распознавания в публичных местах – это всегда повышенный риск. Справятся ли с ним «Ростелеком» и «Ростех»? Хотелось бы верить, что да, но что-то подсказывает, что все будет не так хорошо.

Эксперт Иван Бегтин комментирует решение лишать госзаказа разработчиков, отказавшихся раскрыть исходный код:

Если мы говорим о требованиях, предъявляемых Федеральной службой по техническому и экспортному контролю к компаниям, разрабатывающим код для государственных компаний, то ФСТЭК вправе это делать и совершенно права. Такая практика давно есть. Все программы, которые используются органами власти, должны иметь сертификаты ФСТЭК.

По некоторым причинам сейчас они пошли на ужесточение. Скорее всего, оно идет в рамках работы по импортозамещению. Это один из способов ограничения для зарубежного пула. Самый сложный и важный этап, который выпадает: у нас много закупок не программного обеспечения, а услуг, облачных сервисов. И вот что будет происходить с ними, будут ли выдвинуты отдельные требования — это большой вопрос.