English
Русский
Suomi
Deutsch
16.04.2013 - 30.04.2013  
Эксперт по отрасли систем безопасности
16.04.2013 - 30.04.2013

Криптография

В июне прошлого года был принят федеральный закон №78-ФЗ, который, в том числе, обязал юридических лиц и индивидуальных предпринимателей, осуществляющих на территории РФ связанную с эксплуатацией транспортных средств деятельность, оснащать с 1 апреля 2013 года этот транспорт «техническими средствами контроля, обеспечивающими непрерывную, некорректируемую регистрацию информации о скорости и маршруте движения транспортных средств, о режиме труда и отдыха водителей транспортных средств» (тахографами). За невыполнение данных требований (также с 1 апреля) предусматриваются штрафы. Установить требования к тахографам, правила их использования и контроля работы было поручено правительству, которое своим постановлением от 23 ноября 2012 г. N 1213 г. передало эти полномочия Минтрансу. Минтранс, в свою очередь, представил соответствующие требования в своем приказе N 36 от 13 февраля 2013 г. (в Минюсте зарегистрирован 7 марта).
Одним из самых интересных положений приказа Минтранса является требование к содержанию в корпусе тахографа программно-аппаратного криптографического средства защиты информации (блока СКЗИ тахографа). По данным Некоммерческой ассоциации в сфере развития тахографического контроля в России, до сих пор тахографы с такой защитой в мире не выпускались. Как сообщал СМИ эксперт ассоциации Геннадий Мирошин, лишь один европейский производитель – немецкая компания «Континенталь» – готов добавить в приборы блок СКЗИ и в сентябре запустить производство. У российских производителей также пока есть лишь опытные образцы.
Тем не менее, на официальном сайте Росавтотранса по состоянию на 24 апреля 2013 года представлено 4 модели тахографов, соответствующих приказу N36.

Модели тахографов, устанавливаемых на транспортные средства, эксплуатируемые на территории Российской Федерации на 24.04.2013 г. (по данным Агентства автомобильного транспорта Минтраса РФ)

Справедливости ради стоит отметить, что при наличии установленного до 1 апреля 2013 года тахографа его использование допускается до даты очередной проверки (но не позднее 1 апреля 2015 г.). Необходимость установки тахографов (без СКЗИ) на автобусы и грузовики была установлена и до выхода вышеупомянутых документов.
Если вспомнить историю внедрения приемников ГЛОНАСС (ГЛОНАСС, кстати, должен быть и в новых тахографах) на транспорте, то логично предположить, что требование о криптографической защите и вообще сам приказ N36 в ближайшее время отменены не будут (как полагают отдельные участники рынка). Вместо этого, вероятно, будут отложены сроки введения штрафов за отсутствие соответствующего нормам Минтранса тахографа.
Каковы же масштабы вновь открывшегося сегмента рынка средств криптографической защиты? По данным ГИБДД России (октябрь 2012 года), в стране зарегистрировано более 5,5 млн. грузовых автомобилей и более 900 тыс. автобусов. Стоит отметить, что РБК прогнозировали увеличение количества грузовых автомобилей в России до 6 млн. единиц к 2015 году. Согласно средним оценкам, встречающимся в открытых источниках, предполагаемая стоимость блока СКЗИ составит около 15 тыс. рублей, а весь тахограф – около 40-50 тыс. Сюда не включена стоимость карт – порядка 8-10 тыс., а также стоимость установки и обслуживания устройств. Стоит ли говорить, как повезло 4 вышеупомянутым компаниям, и не иначе как имеющих в своем штате провидцев для предсказания решений министерства.
Что касается блоков СКЗИ, то при указанной стоимости одной единицы несложно посчитать потенциальный объем рынка: он составляет более 95 млрд. рублей. Не учитывая прогнозируемое увеличение количества автомобилей. Кроме того, Минтранс установил ограничения по срокам действия: для ключей квалифицированной электронной подписи и квалифицированных сертификатов блока СКЗИ он не превышает 3 лет, для сертификатов карт водителей – 3 лет; сертификатов карт мастерских – 1 года; сертификатов карт контролера – 2 лет; сертификатов карт предприятия – 3 лет. Таким образом, в ближайшие годы в данном сегменте рынка для разработчиков СКЗИ предвидится нескончаемый поток заказов.


Охранная деятельность

Правительство рассматривает новые поправки в закон «О частной детективной и охранной деятельности в Российской Федерации». Документ разрешает ЧОПам охранять объекты и (или) имущество, а также обеспечивать внутриобъектовый и пропускной режимы на объектах, в отношении которых установлены обязательные требования по их антитеррористической защищенности. Выполнение эти функций, как отмечается на правительственном сайте, невозможно без расширения прав сотрудников охраны. Законопроектом предлагается ввести нормы, устанавливающие порядок и основания применения работником частной охранной организации физической силы. Кроме того, предлагается изменить формулировку перечня объектов, на которые не распространяется деятельность частных охранных организаций.
Появление законопроекта было более чем ожидаемо. Еще в начале марта первый заместитель главы МВД Александр Горовой сообщил СМИ о возможном наделении сотрудников ЧОПов правом досматривать, а также самостоятельно задерживать нарушителей порядка и преступников на территории охраняемого объекта. Тогда же он говорил о сроке в 1,5 месяца для появления списка объектах особой важности, обеспечивать безопасность которых сможет только вневедомственная охрана.
Конкретные сроки принятия нового закона пока не называются. Несмотря на то, что представители общественности и СМИ куда более спокойно отреагировали на данную новость, чем на заявления А. Горового в марте, у них все же остается немало вопросов о том, какие именно полномочия получать сотрудники ЧОПов и как будут их соблюдать.


Биометрия

Стало известно, что в прошлом месяце «ХКФ банк» начал проводить процедуру биометрической идентификации по лицу клиентов, желающих получить кредит. Для этого происходит фотографирование клиента (что уже давно практикуется в организации) и сравнение полученного снимка с фотографией в паспорте. По данным СМИ, камеры установлены во всех офисах и точках продаж банка (в том числе в торговых сетях), а также в большинстве точек продаж партнеров. Сообщается, что за прошедшие 2 месяца уже было поймано 6 мошенников.
Объем инвестиций в систему «ХКФ банк» не раскрывает, заявляя, однако, что вложения в биометрические технологии уже окупились во время откатки системы в 2011-2012 гг. Тогда банк также использовал биометрическую идентификацию при решении о выдаче кредитов, однако не сообщал о мошенниках в правоохранительные органы.
К биометрической идентификации клиентов проявляют интерес многие российские финансовые учреждения, однако о массовом спросе в данном сегменте речи не идет. Существующие проекты немногочисленны и носят скорее экспериментальный характер. Из известных проектов можно отметить следующие. «Сбербанк» представил банкомат, способный самостоятельно принимать решение о выдаче или отказе в кредите на основе показаний детектора лжи. «Банк24.ру» запустил биометрическую карту (содержащую отпечатки пальцев ее владельца), которая позволяет войти в личный кабинет без введения пароля. «Лето Банк» (дочка «ВТБ 24») сообщил о планах по использованию сканирования отпечатков пальцев банкоматом.
Банки отталкивают не только затраты на внедрение системы, но и недоверие к эффективности этих систем. Руководство «ХКФ банк» также признает несовершенство технологий, однако отмечает положительный эффект уже от осознания мошенником возможности быть пойманным.


Регулирование интернета

Широкий резонанс в СМИ вызвало заявление главы Фонда развития гражданского общества о возможном увеличении числа поводов, приводящих к попаданию сайта в «черный список».

Фонд развития гражданского общества – некоммерческая организация, специализирующаяся на исследованиях в области политики, регионального развития и медиа. Создана в 2012 году. Председатель правления фонда – Константин Николаевич Костин, бывший начальник управления президента по внутренней политике.

Эксперты фонда провели анализ практики фильтрации интернет-контента за рубежом и направили соответствующие рекомендации российским властям. СМИ приводят три предложения фонда, два из которых неоднократно звучали и ранее и потому особого внимания к себе не вызвали. Это привлечение представителей отрасли и общественности для контроля за процедурой формирования реестра, а также проверка потенциально опасных ресурсов не только по IP-адресу, но и по содержанию (во избежание блокировки добросовестных ресурсов, находящихся на одном IP-адресе с нарушителем). Третья инициатива была принята неоднозначно – фонд предлагает расширить перечень поводов для занесения сайта в «черный список». А именно, к ним предлагается добавить получение правоохранительными органами информации о том, что при помощи ресурса планируются преступления, связанные с насилием. Как сообщают «Ведомости», «речь не только о драках, но и о массовых акциях, в том числе оппозиционных». Блокировка сайтов, по мнению К. Костина, может предупредить провокации.
Фонд развития гражданского общества ссылается на опыт Великобритании, где в 2011 году также обсуждалась возможность блокировки страниц с призывами к насилию (стоит отметить, что дальше обсуждений действия по данному вопросу не продвинулись). Как и следовало ожидать, представители российской общественности не замедлили высказать опасения по поводу расплывчатости формулировки «о призывах к насилию» и возможного нецелевого использования права блокировки.


Оценки и прогнозы

Аналитическая компания IDC провела анализ рынка информационной безопасности. По мнению экспертом, 41% компаний в мире считают, что возрастающая сложность защитных решений станет одной из главных проблем в сфере IT-безопасности в 2013 году. Пытаясь избежать проблем с интеграцией и совместимость продуктов, многие компании выбирают более простые решения, нередко жертвуя функциональностью.