Switch language: EN|RU

Thursday, August 3, 2017

Криптография. История Пети и Рихтера.



О том, что с криптографией сталкиваются в своей жизни все без исключения, полагаю, спорить бесполезно, да, в современном мире, это касается каждого из нас. Даже, оказывается, может коснуться любого из «них».

Для Пети (прим. с июня 2017 года вымышленное имя героя истории стало придумывать проще), как для обычного сотрудника международного концерна с офисами и производством в России, общение с коллегами из-за границы и командировки - привычное дело. Причем общение далеко не ограничено телефоном, само собой, есть корпоративные системы, к которым необходимо иметь общий доступ ему и коллегам из разных стран. Поскольку бизнес связан с работой с физическими лицами-гражданами РФ, а масштабы сотрудничества и вовлеченность не позволяют предприятию забивать на наши законы, то с принятием ФЗ-242 о «Хранении ПДн Россиян на территории РФ» оно озаботилось локализацией некоторых своих информационных ресурсов. Отсюда сразу вырос проект по ЗПД и были внедрены соответствующие СЗИ, в том числе сертифицированные СКЗИ с ГОСТом для обеспечения безопасности при удаленном доступе. Все прекрасно до того момента, когда, не дай Бог, Петю на границе остановят и попросят пояснить, куда и зачем он вывозит, а потом и ввозит обратно вместе со своим ноутбуком СКЗИ (прим. вопрос как это проверить, особенно если СКЗИ только программные, оставим для другой дискуссии. Так же за рамками остается тема «Для личного пользования». Если нужно – проверят.), и проблемы компании станут и его проблемами тоже. Получение специальных лицензий, разрешений, оформление нотификаций и т.п. в планы концерна по изначально «мелкому» в его масштабах проекту соответствия местечковому ФЗ-242 явно не входило.

Для Рихтера, как для обычного сотрудника международного концерна в своей стране, но с офисами и производством по всему миру, в том числе в России, удаленный доступ к иностранным производственным площадкам – привычное дело. Но после внедрения проекта по соответствию местному законодательству для доступа к некоторым ресурсам в России пришлось устанавливать на свой компьютер особенного VPN-агента, которого он раньше никогда не видел. Да, по началу он лоббировал идею ходить через старый добрый привычный VPN, но идею отодвинули, решив попробовать сделать, как ему сказали, «все правильно». Да, ему лично никаких особых неудобств это не доставило (кроме некоторых технологических и трудностей и юзабилити), однако, дошли слухи, что в целом к концерну есть какие-то претензии от Российских властей, связанные с появлением у него нового VPN. А к слухам в соцсетях, статьям в прессе, рассказам коллег Рихтер всегда относился крайне трепетно, т.к. сам нет-да-нет торговал акциями своего концерна на бирже.

Притянута ли история за уши? Да, возможно, она все-таки вымышленная и все совпадения случайны, хоть и мотивирована реальным кейсом.
Могла ли истории быть проще? Да, конечно: доступ из-за границе по ЭЦП, например, к клиент-банку или подпись электронный документов. Кейсов можно придумать достаточно много.
Какая мораль? Да все как обычно: «строгость законов РФ компенсируется необязательностью их выполнения», «невозможно на 100% выполнить все законы, они друг другу часто противоречат» и т.п.
Однако же в настоящей повседневной жизни обычные граждане так или иначе все больше сталкиваются с ИБ, даже не подозревая об этом и, зачастую, вовсе этого не желая. А вникать придется.
прим. далее напрашивается: так выпьем же за ИБ! =)

No comments:

Post a Comment