Залежність інформаційної безпеки України від вибору онлайн-сервісів

08-07-2015 12:53 Майдан Інформ

Певно, багато хто навіть віддалений від фаху інформаційної безпеки чув про Едварда Сноудена та викриту ним таємну інформацію про методи діяльності Агенства Національної Безпеки США (АНБ). Розголошення призвело до низки міжнародних скандалів та протестів, але разом з тим пролило світло на передові досягнення розвідувальних технологій.
Більшість скомпрометованих Сноуденом документів є нічим іншим як звичайними презентаціями, які робилися всередині АНБ для координації відділів, щоб працівники кожного відділу мали уявлення про те, чим займаються та чого досягли їх колеги.

Нещодавно The Intercept (сайт, що здійснює журналістське дослідження викритої інформації) виклав аналіз документів, які описують роботу розвідувальної системи XKeyscore. Ця система здійснює перехват Інтернет-трафіку з оптоволоконних магістралей, виконує його аналіз, ідентифікацію, та надає можливість швидкого пошуку і фільтрування інформації за найрізноманітнішими параметрами.

На 7-му слайді цієї презентації агент АНБ демонструє наступний приклад:

«Пошук цілей, що використовують mail.ru через Іранський proxy-сервер».

xks_p7

Для порівняння, наступний слайд містить приклад:
«Пошук використання Тємниць Моджахедів на екстремістських форумах».

xks_p9

«Таємниці Моджахедів» — це шифрувальна програма розроблена Глобальним Ісламістським Медіа Фронтом (GIMF) для використання Аль Каїдою та іншими терористичними організаціями.

З обраних агентом АНБ прикладів можна зробити наступні висновки:

  • АНБ має технічну можливість ідентифікації користувачів російського поштового сервісу Mail.Ru, навіть при застосуванні анонімізаторів;
  • АНБ має свідчення поширеного використання сервісу Mail.Ru терористичними організаціями;

На додачу розглянемо умови, в яких функціонує Mail.Ru — російський сервіс, що, відповідно, підпорядковується законодавству Російської Федерації. Це означає, що незалежно від країни розташування користувача, усі його дані на сайті Mail.Ru підпадають під юрисдикцію виключно російського законодавства. За останні роки РФ прийняла низку законів, що вводять цензуру та порушують свободи користувачів:

  • Федеральний закон № 139-ФЗ створює єдиний реєстр заборонених на території РФ ресурсів;
  • Федеральний закон № 398-ФЗ дозволяє блокувати «екстремістські» Інтернет сайти без судового дозволу.
  • Федеральний закон № 97-ФЗ «про блогерів» зобов’язує власників усіх популярних ресурсів (враховуючи профілі в соціальних мережах) реєструвати їх в Роскомнагляді, зберігати персональні дані користувачів фізично на території РФ та надавати ці дані російським правоохоронним органам за першої вимоги.
  • Постанова № 327 від 8 квітня 2015 р. надає доступ до персональних даних користувачів Роскомнагляду.

Тобто, незалежно від розташування та відома користувача про ці закони, силові структури РФ мають змогу отримати доступ до розміщених на російських ресурсах (Mail.Ru, Odnoklassniki, Vkontakte, та ін.) усіх персональних даних, особистої переписки користувачів, блокувати опубліковані матеріали. У попередніх статтях MaidanUA згадувалося як окремі представники міських рад України продовжують користуватися Mail.Ru, а це означає, що РФ має повний доступ до їхнього електронного листування: накази, звіти, запити та відповіді на них, і таке інше.

Враховуючи агресію та окупаційну політику Російської Федерації, найголовнішими висновками та подальшими діями для України мають бути:

  • Наполегливе знеохочення використання Mail.Ru та інших російських онлайн-сервісів українцями для будь-яких видів комунікації на персональному рівні задля безпеки та збереження прав і свобод громадян.
  • Абсолютна неприпустимість використання російських сервісів у будь-яких державних установах, пердставниками влади, правоохоронними органами, військовими, що можуть мати доступ до інформації з обмеженим доступом, яка є критичною для національної безпеки.
  • Ведення просвітницької діяльності серед чиновників, представників правоохоронних органів та військових щодо елементарних правил інформаційної безпеки (вибір надійних онлайн-сервісів, зберігання паролів, захист від шахрайства, фішингу і т.д.).
  • Створення національної інфраструктури критичних сервісів для держ. службовців: електронна пошта, документообіг, та державні сайти. Цим мають бути забезпечені не лише основні міністерства, а й усі регіональні представники влади.

Ці кроки вдосконалять національну безпеку, підвищать ефективність протидії інформаційній війні та сприятимуть якісному розвитку інформаційного простору України.

Руслан Кіянчук, інженер з інформаційної безпеки з дослідним рівнем діяльності

1 Comment

Comments are closed.