2127

Там, где темнота. FAQ на тему регулирования IT сектора.

После бурных обсуждений в этой теме, пикабушники просили меня дать некоторые пояснения по поводу особенностей регулирования IT сектора в России. Очевидно, что существует некий пробел в понимании того, как это все работает и какие перспективы развития такое регулирование собою несет.

Ввиду огромности темы, я думаю, имеет смысл построить пост по типу ответа на вопросы. Разумеется, в одном посте ответить на все не получится, потому если этот формат будет интересен, то можно будет запустить серию постов с ответами.


Так же, дисклеймер для @moderator, Этот пост носит только образовательный характер. Пост затрагивает технические вопросы IT сектора и вопросы права косвенно. Я не представляю ни каких политических партий и взглядов. Поэтому, по моему убеждению, тег "политика" здесь не уместен. Здесь обсуждаются чисто профильные вопросы. Цель поста - постараться доступным языком объяснить сложные и не всем до конца понятные вещи, связанные с IT отраслью и ее развитием.


И так поехали!


@BoltTerror, спрашивает:

«Что конкретно поломалось в жизни с блокировкой некоторых сайтов?
Отчего такой дикий бомбёж от требований установить сервера с личными данными в России? В РФ не нужна своя ИТ-инфраструктруа и современные дата-центры? Почему нужно идти в контры с спецслужбами и ничего им не передавать?
Пакет Яровой откровенно спорная херня, но что именно стало не так в жизни?»

Начнем по порядку: с блокировки сайтов.

Первая и самая главная озабоченность IT сообщества заключается в том, что по мимо блокировки явно экстремистских и других, очевидно, плохих сайтов, блокируются ресурсы, которые на прямую имеют отношение к работе IT сектора.

Так у нас сейчас заблокирован Linkedin – социальная сеть для разработчиков, программистов и прочих специалистов области, которая использовалась для поиска работы, резюме, общения и т.д. Заблокировали его как раз потому, что Linkedin отказался держать сервера в России. И отказался он делать это вовсе не потому, что такой принципиальный, а потому, что в России они даже официально не зарегистрированы. Был заблокирован, на какое-то время, несколько раз, GitHub - сервис для хостинга кода, очень популярный в среде программистов. В результате вся работа по всей стране встала на день. Причина - файл suicide.txt, юмористический список способов самоубийств. В соцсетях его содержимое обсуждалось не раз. Формально это действительно список с инструкциями, но его несерьёзная стилистика сама по себе не может никого склонить к суициду.


Т.е. что происходит? Подобная регулировочная деятельность, под надуманными предлогами, подрывает работу целой индустрии в стране. Регулировщик пытается диктовать программистам, админам, вебразработчикам и другим, свои условия и свое виденье рабочего процесса.

Чтобы обычному читателю было понятно, приведу аналогию. Вот есть обычный рабочий, допустим, строитель. Вот он забивает гвозди молотком, гайки закручивает гаечным ключом, а шурупы завинчивает отверткой. Приходит некий человек и говорит: «Знаешь, я по образованию философ и я считаю, что ты все делаешь не правильно. Ты своей отверткой можешь на заборе накарябать плохое слово, потому я ее у тебя заберу. Шурупы будешь забивать молотком, на мой взгляд так быстрее и удобнее. И гаечный ключ тебе тем более не нужен. Гайки можно и плоскогубцами крутить.»


Вот именно так сейчас обстоит ситуация с блокировками сайтов и с хранением личных данных, с точки зрения специалистов в отрасли. Ситуация осложняется еще тем, что решения о блокировках может быть принято и принимается любым районным судом любого города России.


Могу привести для большего понимания еще другую аналогию. Допустим вы живете в многоэтажном доме. И вот в один прекрасный зимний вечер к вам приходят сотрудники и выселяют весь дом. На улицу. На ваш логичный вопрос, а собственно какого хрена? Сотрудники отвечают, что в одной из квартир завелся нарко притон/проституки/непотребный контент/на одной из дверей в квартиру написаны личные данные которые должны хранится в подвале. Потому весь дом был заблокирован для посещения. Гуляйте.


Добавьте сюда еще менее известные законы, для общественности, принятые сравнительно не давно в отношении отрасли, как например комитет государственной думы РФ одобрил законопроект о регулировании аудиовизуальных сервисов и рекомендовал его принятие в первом чтении.


Закон подразумевает снижение доли иностранного капитала в сервисе, предоставляющем аудиовизуальные услуги, до 20%. Если на момент принятия закона какой-либо сервис, действующий на территории РФ, будет иметь большую долю иностранного капитала, владельцы будут обязаны продать «лишнюю» часть своего российского бизнеса местным компаниям.


Все эти регулировочные меры ведут к уничтожению IT отрасли в стране, а вовсе не, как вы выразились, к созданию своей ИТ-инфраструктуры и современных дата-центров.


Дело в том, что чтобы это все создавать нужны инвестиции. Начиная с 2011 года мы наблюдаем отток капитала из IT отрасли, уход с Российского рынка многих компаний и утечку мозгов. Ни кто в здравом уме не станет вкладываться в страну, которая не может защитить инвестиции от:


А) Рейдерского захвата (закон о регулировании аудивизуальных сервисов, закон о размещении серверов)


Б) Давления заинтересованых лиц с использованием административного ресурса (закон о блокировках сайтов, ограничение скорости для неугодных компаний )


Дополнительно, все это еще осложняется полнейшей некомпетентностью людей, которые эти блокировки организуют. Например, ввиду давно известной уязвимости в системе блокировки сайтов, которая была, по сути, оставлена без внимания еще на этапе проектирования, и которая позволяет заблокировать любой ресурс, официально не внесённый в чёрный список, пару недель назад в России начались перебои с работой многих сайтов, в том числе банковской системы. И вместо того, что бы исправлять уязвимость, регулятор ввел белые списки сайтов, которые пока блокировать нельзя, известив об этом провайдеров.


Вот так, в общих чертах, выглядит ситуация с блокировками. Одно только это подорвало развитие всей отрасли.


Теперь про пакет яровой и спец службы.


Основная претензия сообщества заключается вовсе не в том,

что законопроект, по сути, выпиливает с рынка более мелких провайдеров, оставляя монополистов (Ростелеком), ввиду того, что обязывает хранить трафик пользователя до 6 месяцев, а это эксобайты данных, для хранения которых нужны миллиардные инвестиции для строительства DATA-центров. По оценке Mail.ru Group, разовые капитальные затраты на реализацию проекта составят $1,2–2 млрд. Дополнительные операционные издержки каждый год составят примерно $80–100 млн. Еще $35–40 млн потребуется для доработки программного обеспечения, которое необходимо для хранения пользовательской информации. На это понадобится 3–5 лет.

И даже не в том,

что сбор этих данных абсолютно бессмыслен. Ибо нет ни каких технических возможностей обрабатывать такой массив данных.


Основная проблема в том, что этот закон представляет прямую угрозу безопасности для ключевых сфер экономики, таких как банковская система. И, как следствие, для всего государства в целом. Дело в том, что по закону яровой необходима сертификация средств шифрования. Т.е. по закону, в случае необходимости у ФСБ должна быть возможность расшифровать трафик пользователя. Чтобы такую возможность предоставить, закон обязывает передавать ключи шифрования в ФСБ.


Но сделать это технически не возможно.


Например взять самый распространенный протокол https. Используется для шифрования данных пользователя между сервером и клиентом (end to end) специальным ключом, который автоматически генерируется системой при каждой новой сессии новый. Сделано это, чтобы предотвратить хакерскую атаку «человек по середине» (Man-in-the-middle).


Объясняя на более понятном примере: допустим вы решили банковской карточкой оплатить покупку в интернете. Если вы видите в адресном поле браузера значок замочка и https с лева в углу – это значит, что ваша транзакция будет защищена этим алгоритмом, и третье лицо не сможет подключиться и украсть у вас данные вашей банковской карточки.


Но, поскольку ключ предоставить в ФСБ технически нельзя, то этот алгоритм не проходит сертификацию. А значит, в ФСБ будут писать свой алгоритм, самопальный. И по закону они будут закладывать туда уязвимость для атаки «человек по середине», ибо им нужен ключ. Это значит, что если они переведут на эти свои самопальные алгоритмы, чем они уже активно занимаются уже почти год как, банковскую систему внутри страны, соцсети, мессенджеры, госуправление и т.д. Это приведет к неминуемым попыткам взлома, утечкам данных пользователей и росту черного рынка по торговле информацией: украденными карточками, паролями и личными данными пользователей по всей России. Как следствие это приведет к колапсу всей системы.


Добавьте в этот микс еще недавно принятую концепцию развития интернета в России до 2030 года.

На 13 стр (по ссылке выше). Пункт 29. Предполагает централизацию, единство гос регулирования и управления информационной инфраструктуры. Т.е., говоря простым языком, предполагается сложить все яйца в одну корзину. Если взломают этот центр управления – нужно пояснять, чем это грозит для страны?


Добавте сюда другие пункты этой концепции:


• совершенствовать механизмы ограничения доступа к информации, распространение которой в РФ запрещено федеральным законом, и её удаления;

• совершенствовать механизмы законодательного регулирования СМИ, а также средств обеспечения доступа к информации, которые по многим признакам могут быть отнесены к СМИ, но не являются таковыми (интернет-телевидение, новостные агрегаторы, социальные сети, сайты в сети Интернет, мессенджеры);

• принять меры по эффективному использованию современных информационных платформ для распространения достоверной и качественной информации российского производства.

обеспечить использование российских криптоалгоритмов и средств шифрования при взаимодействии госорганов между собой и с гражданами и организациями;

• заменить импортное оборудование, ПО и электронную компонентную базу российскими аналогами;

• осуществить скоординированные действия, направленные на подключение объектов к информационной инфраструктуре РФ;


Про импортозамещение ЭКБ я вообще молчу, ибо при отсутствии в стране высокотехнологического производства и необходимых технологий – это вообще мало подъемная задача.


Что стало не так в жизни? По моему мнению, если отвечать на этот вопрос совсем просто: жизнь прекратилась, по крайней мере, для IT в России. Началось выживание тех кто остался.


Ок, думаю на этом можно пока остановится, пост и так уже получился довольно-таки объемным.

Как и говорил в самом начале, цель этого поста побудить интерес обычных пользователей к насущным проблемам IT сектора в России. Я не претендую на истину в последней инстанции, а всего-лишь излагаю свое виденье ситуации. Потому если среди читателей есть специалисты по ИБ, и есть желание как-то дополнить меня или поправить, пожалуйста отписывайтесь в комментах. Это важно. Эти проблемы нужно обсуждать, и нужно стараться их доносить до рядового пользователя в том числе.

Темы

Политика

Теги

Популярные авторы

Сообщества

18+

Теги

Популярные авторы

Сообщества

Игры

Теги

Популярные авторы

Сообщества

Юмор

Теги

Популярные авторы

Сообщества

Отношения

Теги

Популярные авторы

Сообщества

Здоровье

Теги

Популярные авторы

Сообщества

Путешествия

Теги

Популярные авторы

Сообщества

Спорт

Теги

Популярные авторы

Сообщества

Хобби

Теги

Популярные авторы

Сообщества

Сервис

Теги

Популярные авторы

Сообщества

Природа

Теги

Популярные авторы

Сообщества

Бизнес

Теги

Популярные авторы

Сообщества

Транспорт

Теги

Популярные авторы

Сообщества

Общение

Теги

Популярные авторы

Сообщества

Юриспруденция

Теги

Популярные авторы

Сообщества

Наука

Теги

Популярные авторы

Сообщества

IT

Теги

Популярные авторы

Сообщества

Животные

Теги

Популярные авторы

Сообщества

Кино и сериалы

Теги

Популярные авторы

Сообщества

Экономика

Теги

Популярные авторы

Сообщества

Кулинария

Теги

Популярные авторы

Сообщества

История

Теги

Популярные авторы

Сообщества

Недвижимость и ремонт

Теги

Популярные авторы

Сообщества