На современном этапе развития человечества информационные технологии предоставляют возможность беспрепятственного обмена информацией между людьми, и одним из основных способов такого взаимодействия является интернет. Но вместе со свободой, которую предоставляет нам сеть, интернет-пространство несет значительные угрозы для конфиденциальности пользователей. И если раньше речь в основном шла о возможных атаках хакеров, то сейчас преобладает несколько иной аспект информационной безопасности в интернете.
WikiLeaks Джулиана Ассанжа, дело Эдварда Сноудена и последующий скандал с Google, Facebook и личными данными их пользователей, история с выемкой серверов «ВКонтакте» — нашумевшие события последних лет дают нам понять, что масштаб вмешательства государства и транснациональных корпораций в личную жизнь миллионов уже не может оправдываться соображениями национальной безопасности и защитой граждан.
В связи с постепенным распространением влияния государства на интернет, активизировались движения шифропанков и киберанархистов, которые выступают за право частной переписки, которое будет гарантировано не законами на бумаге, а законами математическими, на которые государство влиять не сможет.
Основной метод защиты информации, предлагаемый указанными течениями – использование криптографических средств, то есть специальных алгоритмов и систем шифрования, кодирования или иного преобразования информации, в результате которого её содержание становится недоступным без предъявления ключа и обратного преобразования (расшифровки). С помощью подобных математических алгоритмов данные можно зашифровать так, что расшифровка займет долгое время (при некоторых алгоритмах – несколько тысяч лет) – это обеспечивает безопасность, а в большинстве случаев еще и анонимность в сети. Подобная ситуация, безусловно, является неблагоприятной для спецслужб и правоохранительных органов, которым доступ к информации необходим для выполнения своих функций.
Вот почему в большинстве стран, деятельность, связанная с криптографической защитой информации (далее – КЗИ), подлежит правовому регулированию. При этом во многих странах специального законодательства в сфере КЗИ нет, но действуют нормы, которые регулируют её косвенно. Проанализировав их, можно выделить такие основные способы влияния государств на развитие КЗИ:
- установление ограничений на экспорт и импорт средств КЗИ;
- регулирование принудительного раскрытия ключей шифрования;
- процедуры государственной проверки средств КЗИ (лицензирование, сертификация, патентирование и другие разрешительные процедуры).
Экспортные ограничения формально являются ключевым аспектом правового регулирования сферы КЗИ во многих странах, одна из которых – США. Еще со времен Второй мировой войны, когда криптография была включена в список дополнительного военного оборудования, в США было запрещено продавать или распространять технологию шифрования за рубежом. Но, начиная з 1990-ых годов, началась постепенная дерегуляция этой сферы.
В 1996 году тридцать девять стран (в том числе и США) подписали Вассенаарские договоренности, в соответствии с которыми на средства КЗИ с короткими криптографическими ключами (52 бита для симметричных ключей, 512 – для RSA) экспортные ограничения не распространяются. Также в ходе рассмотрения несколько громких судебных дел (например, Bernstein v. United States), были приняты решения, согласно которым печатные исходные коды для криптографических алгоритмов и систем подпадают под защиту согласно Первой поправки к Конституции США (которая гарантирует свободу слова) и, следовательно, акты правительства, запрещающие их распространение, являются антиконституционными.
Но основная причина, из-за которой в последнее время в большинстве стран экспортные ограничения носят исключительно формальный характер – отсутствие реальной возможности контролировать эту сферу: стремительное развитие персональных компьютеров, интернета и алгоритмов шифрования привели к тому, что сейчас каждый пользователь интернета в разных уголках мира имеет потенциальный доступ к качественной криптографии.
Формальность ограничений на экспорт (аналогично и на импорт) средств КЗИ, тем не менее, не означает, что у государства не остается других механизмов влияния на них. Интересным примером является, снова же, США: в вопросах, связанных с регулированием криптографии, в этой стране огромное влияние имеет Агентство национальной безопасности (далее – АНБ).
Согласно нормам федеральных законов Foreign Intelligence Surveillance Act 2001 и Patriot Act 2001 (оба были приняты после террористического акта 11 сентября 2001 года), это ведомство наделено широкими полномочиями по доступу к личной информации миллионов граждан как США, так и других стран, что обусловлено интересами национальной безопасности США и борьбой с терроризмом. Следует отметить, что 2 июня 2015 года также был принят USA Freedom Act, который изменяет некоторые положения Patriot Act 2001 и лишает АНБ права на слежку за гражданами и сбор метаданных, но Специальный суд по надзору за деятельностью иностранных разведок США в начале июля 2015 года вынес решение, в котором предоставил ведомству еще как минимум полгода переходного периода, во время которого это право за ним сохраняется.
Поскольку развитие и применение средств КЗИ в большинстве случаев является препятствием для доступа к информации, АНБ просто необходимо влиять на эту сферу.
Примечательной в данном случае представляется ситуация, которая сложилась с продуктом TrueCrypt. Эта шифровальная программа с открытым исходным кодом до мая 2014 года считалась одной из лучших частных систем защиты информации. Однако, внезапно ее разработка была прекращена: авторы разместили на сайте проекта сообщение о наличии в работе программы неполадок с рекомендацией перейти на другое шифровальное обеспечение – BitLocker, которое имеет закрытый исходный код (что не исключает наличия скрытых уязвимостей, использование которых возможно со стороны спецслужб).
Факт того, что авторы TrueCrypt всегда ставили под сомнение безопасность BitLocker, а также криптографический анализ самого текста на сайте (который в конечном итоге привел криптоаналитиков к фразе, в которой упоминается АНБ), стали причиной того, что такое сообщение воспринимают как «свидетельство канарейки» (способ передать информацию молчанием и намек на неискренность своих слов), а закрытие проекта напрямую связывают с вмешательством АНБ.
Помимо скрытого влияния спецслужб на успешных разработчиков, некоторые развитые западные государства уже успели утвердить прямые нормы, направленные на борьбу со свободным использованием криптографии.
К примеру, в Великобритании, Малайзии, Сингапуре, Индии законы предусматривают наказание за отказ подозреваемого предоставить правоохранительным органам ключ/пароль для расшифровки информации на принадлежащем ему устройстве (так называемый «законный доступ»). В США, Бельгии, Нидерландах и ряде других стран, введены нормы о том, что в целях расследования органы могут запросить ключ доступа, однако подозреваемый имеет право отказаться его предоставить (и не нести за это наказание) ссылаясь на необязательность свидетельствования против самого себя. Аналогичная ситуация в силу предписаний ст. 63 Конституции Украины имеет место и в нашем государстве.
Несколько иной подход к регулированию сферы КЗИ используют во Франции, России, Монголии, Вьетнаме, где разработка и использование средств КЗИ разрешается только в случае прохождения процедуры государственной проверки, а “непроверенные” системы использовать запрещено. Таким образом, государство пытается добиться недоступности качественных криптосистем для злоумышленников и одновременно оставляет за собой право на использование уязвимостей в «согласованных» КЗИ.
Разработки в сфере КЗИ регулируются и в Украине. Так, согласно Закону Украины «О лицензировании некоторых видов хозяйственной деятельности» от 2 марта 2015 года, деятельность, связанная с предоставлением услуг в области КЗИ и торговлей средствами КЗИ, лицензируется. Определение основных понятий в сфере КЗИ содержится в Положении об осуществлении криптографической защиты информации в Украине, утвержденном Указом Президента Украины от 22 мая 1998 года. Под криптографической защитой подразумевается такой ее вид, который реализуется при помощи преобразований информации с использованием специальных данных с целью сокрытия (или восстановления) содержания информации, подтверждения ее подлинности, целостности, авторства и тому подобное, а под средством КЗИ – программное, аппаратно-программное, аппаратное или другое средство, предназначенное для КЗИ.
Не смотря на то, что действующее законодательство устанавливает необходимость лицензирования разработок в сфере КЗИ, государству все же неподконтрольна деятельность свободных разработчиков (то есть, физических лиц без статуса предпринимателя). Административные санкции за проведение деятельности без лицензии к таким субъектам также применены быть не могут, поскольку обязанность пройти процедуру лицензирования возлагается исключительно на хозяйствующих субъектов.
За деятельность в сфере КЗИ без лицензии (или с нарушением условий лицензии) статьей 20 Закона Украины «О лицензировании некоторых видов хозяйственной деятельности» от 2 марта 2015 года предусматривается административная ответственность. Органом, уполномоченным осуществлять функцию контроля наличия лицензий у субъектов хозяйственной деятельности, является Государственная фискальная служба. Именно она имеет право проводить фактические проверки на этот предмет и составлять протокол об административном нарушении по ст. 164 КУпАП.
Таким образом, на территории Украины множество аспектов использования криптографии на законодательном уровне остаются не урегулированными. В частности, отсутствуют нормы, которые регламентируют участие в деятельности, связанной с КЗИ, физического лица без статуса субъекта хозяйственной деятельности. Также открыт вопрос о возможности принудительного раскрытия ключей шифрования пользователями по требованию правоохранительных органов.
Учитывая такое состояние правового регулирования сферы КЗИ, можно утверждать, что для людей, которые хотят защитить собственное личное пространство от несанкционированного вмешательства путем разработки и применения криптографических алгоритмов и систем, в нашей стране условия являются более благоприятными, нежели в большинстве других.
Автор: Горобец Елена
ЮК Jurimex
Создано в рамках проекта BITLEX (bitlex.com.ua)