Ч2Гл3 Криптография в России - закладки

Сразу оговорюсь, у меня нет никакой информации о том, есть ли в криптографических устройствах в России закладки.

Всё, что я могу сделать, это подумать на основе известной мне информации о том, есть ли причины их опасаться.

Итак. Правительство постоянно ужесточает мероприятия в сфере информационной безопасности. В частности, после ввода требований по защите персональных данных были введены требования по защите объектов КИИ (Критической Информационной Инфраструктуры). Под объекты КИИ попали и все предприятия финансового сектора. На объекты КИИ 2-ой категории и выше необходимы сертифицированные СЗИ (средства защиты информации). Для персональных данных тоже.

На любую официальную криптографическую защиту информации полагается наличие лицензий ФСБ. Збавно и то, что ФСТЭК требует 72 часа обучения (на момент написания) для специалистов в области ИБ. То есть если есть высшее техническое, нужно проучиться меньше 2-х недель времени.
ФСБ требует даже на самые простые виды от 128-ми часов. Если не разрабатывать СКЗИ, то до 512-ти частов обучения. Что гораздо дольше и дороже.

Но обучения не достаточно для получения лицензии. Нужен ещё и опыт по данному направлению деятельности. От 2-х лет у рядового специалиста и у руководящего работника от 5-ти лет.


Все эти требования, на первый взгляд, абсолютно бессмысленны.
Смотрите сами, у нас есть компьютер, который обрабатывает ещё незашифрованную информацию. И его защищает человек с 72-мя часами обучения и без опыта работы (так можно по требованиям ФСТЭК). Зато для установки средства криптографической защиты требуется сотрудник с 500-ами часами опыта работы. Причём с опытом работы не менее 3-х лет и руководителем с таким же обучением и опытом работы так же не менее 3-х лет. До 2017-ого года, специалистам надо было иметь стаж от 2-х лет, а руководителям от 5-ти лет (обучение - 512 часов).

То есть вот они, два устройства, стоят в одном помещении, грубо говоря. На них обрабатывается одна и та же информация. Мало того, на компьютерах информация обрабатывается гораздо более сложным комплексом прикладных и системных программ и защищается более сложными СЗИ. Однако, для компьютера и установки СЗИ опыт не требуется, а обучение более чем в 7-раз меньше по количеству часов.

Странно, правда? Чтобы пояснить казус, прибегнем к аналогии. Яичницу ваша жена должна вам готовить, только если у неё опыт работы от 3-х лет и обучение от 500-от часов и при наличии такого же опытного руководителя. А котлетки, компот и борщ жена может готовить и без опыта, просто после курсов повышения квалификации в объёме 72-а часа и без требований к руководителю.

Кроме этого, все эти требования только для информации, не составляющей государственную тайну. То есть свою информацию государство защищает по-другому.

Дальше идёт следующий казус. Вот вы хотите купить устройство высокой степени защищённости. Для покупки вам нужна лицензия, то есть вот эти самые сотрудники с опытом работы. Сотрудники, которых ФСБ проверило на их уровень знаний. То есть могло незачесть любого непонравившегося ФСБ сотрудника без возможности эффективно обжаловать соответствующие решения.
Значит, ФСБ имеет влияние на кадровый состав всех предприятий, которые разрабатывают, производят и продают вам соответствующие устройства. Везде ФСБ может не давать вам лицензии до тех пор, пока не будет взят на работу сотрудник, который согласился работать на ФСБ ещё на прошлом месте работы, проверен и будет вставлять закладки в ваши СКЗИ (средства криптографической защиты информации).

Но ФСБ этого мало. Оно классифицирует устройства по разным моделям нарушителя. Причём практически даже за исключением самых простых моделей СКЗИ распространяются только под контролем ФСБ. Причём контроль может сводится и к тому что вам просто скажут, что такие защищённые устройства вам не нужны. То есть ФСБ может само решать, продать вам это устройство или "вам не надо". Значит, оно может принудить вас купить менее защищённое устройство с более просто используемыми закладками.

Кроме этого, есть ещё один рычаг давления. Это - сертификация. СКЗИ проходят сертификацию, а сертификация подразумевает наличие большого количества субъективных требований, способных затруднить получение сертификата одним СКЗИ, и облегчить получение сертификата другим СКЗИ.
В результате чего, сертификаты будут получать только те СКЗИ, которые имеют закладки. К остальным будут предъявляться вроде бы "те же", но совершенно другие требования по сертификации, которые задробят любое устройство, способное продаваться на рынке за разумную для него цену.


В общем, как ни крути, получается довольно много указаний на то, что ФСБ вставляет закладки в СКЗИ. Так это или нет - неизвестно.