Nos ocupamos de las regulaciones criptográficas rusas ... usando el ejemplo del arresto de un narcotraficante

El narcotraficante mexicano Joaquín Guzmán Loera (El Chapo)

No hace mucho tiempo, apareció un artículo en los medios de comunicación que el narcotraficante mexicano El Chapo fue arrestado porque su oficial de TI filtró claves criptográficas al FBI y, a su vez, pudieron descifrar y escuchar sus conversaciones telefónicas.

Fantasemos e imaginemos que el narcotraficante, la persona de TI y todo, todo, todos, vivirían en Rusia ...

Presentado? Y ahora analizaremos qué leyes y cómo se regularía el uso de la protección criptográfica en este caso fantasmagórico.

Sobre la historia y los personajes principales con más detalle.

© fotograma de la película "Gangs of New York"

El narcotraficante El Chapo contrató a Christian Rodríguez, un especialista colombiano de TI de 21 años, para crear un sistema de comunicación móvil encriptado para él a través del cual podría comunicarse con sus cómplices sin temor a las escuchas telefónicas por parte de los servicios de seguridad.

Rodríguez creó un sistema similar y, a juzgar por la descripción , era una telefonía VoIP con encriptación de tráfico. Los clientes del sistema se instalaron en los teléfonos móviles de los bandidos, después de lo cual "fue suficiente para marcar 3 dígitos adicionales" para hablar sin temor a escuchas telefónicas.

Después de la introducción del sistema, Rodríguez la acompañó y también participó en otros proyectos de TI (por ejemplo, escuchas telefónicas organizadas de su esposa El Chapo), obedeciendo la voluntad del narcotraficante.

Después de un tiempo, Rodríguez fue reclutado por el FBI y eso ... según SecurityLab.ru, filtró las claves de cifrado ... o según el New York Times "instaló un equipo de grabación en la red cifrada que envió al FBI a medianoche copias de todas las negociaciones de El Chapo".

En pocas palabras, eso es todo. Ahora pasemos al análisis de las leyes.

Licencia

© captura de pantalla del juego "Heroes of Might and Magic"

Nuestra historia comienza con El Chapo contratando a Rodríguez para desarrollar un sistema de comunicaciones seguro.

En términos de párrafos. 1 p. 1 Artículo 12 de la Ley Federal de fecha 04.05.2011 N 99- "Sobre la licencia de ciertos tipos de actividades" Rodríguez, para implementar un contrato con El Chapo, debe tener una licencia "para criptografía".

Si Rodríguez no tiene dicha licencia y se involucró en el trabajo, entonces para esto, de conformidad con el art. 13.13 Código Administrativo amenaza administrativa, y de conformidad con el artículo. 171 del Código Penal de la Federación de Rusia responsabilidad penal.

La licencia "para criptografía" se llama correctamente: una licencia para el desarrollo, producción, distribución de medios de cifrado (criptográficos), sistemas de información y sistemas de telecomunicaciones protegidos mediante medios de cifrado (criptográficos), rendimiento del trabajo, prestación de servicios en el campo del cifrado de información, mantenimiento del cifrado (criptográfico) significa, sistemas de información y sistemas de telecomunicaciones protegidos mediante encriptación (criptográfico) redstv (excepto si el mantenimiento de las instalaciones de cifrado (cifrado), sistemas de información y sistemas de telecomunicaciones están protegidos con encriptación de medios (criptográficos), se lleva a cabo para asegurar las necesidades de la persona jurídica o empresario individual). Además, por simplicidad, usaremos el nombre incorrecto, pero más comprensible y corto: la licencia para la criptografía.

De conformidad con el Decreto del Gobierno de la Federación de Rusia del 21 de noviembre de 2011 N 957 "Sobre la organización de licencias de ciertos tipos de actividades", el FSB de Rusia se dedica a la emisión de licencias para la criptografía.

El procedimiento para obtener una licencia y los requisitos de licencia para Rodríguez se describen en el Decreto del Gobierno de la Federación de Rusia de fecha 04.16.2012 N 313 (modificado el 18/05/2017) "Tras la aprobación del Reglamento sobre licencias de actividades para el desarrollo, producción, distribución de medios de cifrado (criptográficos), sistemas de información y telecomunicaciones. sistemas protegidos mediante medios de cifrado (criptográfico), realizar trabajos, proporcionar servicios en el campo del cifrado de información, mantenimiento de medios de cifrado (criptográfico), Los sistemas de información y los sistemas de telecomunicaciones protegidos mediante medios de cifrado (criptográfico) (a menos que el mantenimiento de los medios de cifrado (criptográfico), los sistemas de información y los sistemas de telecomunicaciones protegidos mediante medios de cifrado (criptográfico) se realicen para satisfacer las necesidades de la entidad jurídica. o empresario individual) " .

Al mismo tiempo, no es suficiente para Rodríguez "simplemente obtener" una licencia, debe enumerar las actividades permitidas relevantes, cuya lista completa se encuentra en el Apéndice del Decreto del Gobierno de la Federación Rusa de 16.04.2012 No. 313 . Dependiendo de la composición de las actividades permitidas, Rodríguez enfrentará varios requisitos de licencia, que van desde calificaciones para educación hasta acceso a secretos de estado.

Teniendo esto en cuenta, Rodríguez se involucró no solo en el desarrollo del sistema, sino también en su implementación y mantenimiento, luego, de manera imprevista, su licencia debería incluir las siguientes actividades (numeración de acuerdo con el Decreto del Gobierno de la Federación Rusa de 16.04.2012 No. 313):

3. Desarrollo de sistemas de telecomunicaciones seguros utilizando medios de cifrado (criptográfico).
4. Desarrollo de herramientas para la producción de documentos clave.
5. Modernización del cifrado (criptográfico) significa.
6. Modernización de herramientas clave de producción de documentos.
7. Producción (replicación) de encriptación (criptográfica) significa.
9. Producción de sistemas de telecomunicaciones protegidos mediante medios de encriptación (criptográficos).
10. Producción de herramientas de producción de documentos clave.
12. Instalación, instalación (instalación), ajuste de encriptación (criptográfica) significa, con la excepción de la encriptación (criptográfica) medios para proteger los datos fiscales, desarrollados para su uso como parte de las cajas registradoras certificadas por el Servicio Federal de Seguridad de la Federación de Rusia.
14. Instalación, instalación (instalación), ajuste de sistemas de telecomunicaciones protegidos mediante medios de encriptación (criptográficos).
15. Instalación, instalación (instalación), ajuste de los medios de fabricación de documentos clave.
16. Reparación de encriptación (criptográfica) significa.
18. Reparación, mantenimiento de sistemas de telecomunicaciones seguros utilizando medios de cifrado (criptográfico).
19. Reparación, mantenimiento de los medios de fabricación de documentos clave.
20. Trabajar en el mantenimiento de las instalaciones de cifrado (criptográficas) previstas por la documentación técnica y operativa de estas instalaciones (a menos que las operaciones indicadas se realicen para garantizar las necesidades personales de una entidad jurídica o empresario individual).
21. La transferencia de encriptación (criptográfica) significa, con la excepción de la encriptación (criptográfica) medios para proteger los datos fiscales, desarrollados para su uso como parte de las cajas registradoras certificadas por el Servicio Federal de Seguridad de la Federación de Rusia.
23. Transmisión de sistemas de telecomunicaciones protegidos mediante encriptación (criptográfica).
24. Transferencia de medios para la producción de documentos clave.

Inmediatamente, observamos que el uso del cifrado para sus propios fines no está autorizado en Rusia y, en consecuencia, no se requiere una licencia de El Chapo para la criptografía.

Además, suponemos que Rodríguez tiene una licencia de "criptografía" con actividades relacionadas.

Desarrollo y produccion

© imágenes de Internet

De acuerdo con los requisitos de licencia, a saber, los párrafos. b Cláusula 6 del Decreto del Gobierno de la Federación de Rusia del 16.04.2012 N 313 Rodríguez está obligado en su trabajo a guiarse por los documentos reglamentarios y metodológicos pertinentes emitidos por el FSB de Rusia, el principal de los cuales es la Orden del FSB de la Federación de Rusia del 09.02.2005 N 66 (modificada el 12.04.2010) " Con la aprobación del "Reglamento sobre el desarrollo, producción, venta y operación de medios de encriptación (criptográficos) de protección de la información (Reglamento PKZ-2005)" (Registrado en el Ministerio de Justicia de la Federación de Rusia 03.03.2005 N 6382) " (en adelante PKZ-2005).

De acuerdo con este documento, el proceso de creación de un sistema de comunicación móvil seguro consta de los siguientes pasos:

1. Desarrollo.
2. Producción.
3. Difundir A pesar de que Rodríguez hizo un desarrollo personalizado / personalizado, el proceso de su transferencia al cliente se trata como distribución.

Todas estas etapas implican una estrecha cooperación con el FSB de Rusia y la coordinación de tareas técnicas y documentación para el sistema que se está produciendo.

Operación de un sistema seguro de comunicaciones móviles

© imágenes de Internet

Asumimos que la operación de un sistema seguro de comunicaciones móviles es el área de responsabilidad de El Chapo. Rodríguez está involucrado en esto solo como esos. apoyo

De la descripción de la historia de El Chapo, recordamos que el sistema fue creado para proteger contra las escuchas telefónicas por parte de las agencias policiales. Esta base está débilmente correlacionada con la legislación actual, por lo tanto, suponemos que el propósito del sistema es: "protección de la información para las necesidades personales y familiares". Con este propósito de operación, El Chapo no tiene restricciones, y puede hacer lo que quiera y cómo quiera con el sistema.

Para nuestro artículo, esto es demasiado simple y no interesante.

Con base en la investigación, se estableció que en una conversación telefónica El Chapo dio órdenes al soborno y a los funcionarios de soborno y probablemente llamó sus nombres, apellidos y otra información personal, es decir, datos personales (en adelante, PD).

Imaginemos que El Chapo, después de leer la Ley Federal del 27 de julio de 2006 N 152- "Sobre datos personales" , entendió que él es un operador de datos personales y que en realidad usa datos personales no para necesidades personales, sino para actividades empresariales, y que requerido por ley para protegerlos.

Protección criptográfica de datos personales.

© imágenes de Internet

Dado que, durante las llamadas telefónicas, las PD se transmiten en forma abierta a través de una red de comunicación pública, El Chapo pensó y decidió que existía un alto riesgo de que los atacantes interceptaran la PD, por lo que la información debe cifrarse.

Para la protección criptográfica de datos personales, de acuerdo con

• Por orden del Servicio Federal de Seguridad del 10 de julio de 2014 N 378 "Con la aprobación de la composición y el contenido de las medidas organizativas y técnicas para garantizar la seguridad de los datos personales cuando se procesan en sistemas de información de datos personales utilizando la protección criptográfica de la información necesaria para cumplir con los requisitos de protección personal establecidos por el Gobierno de la Federación de Rusia datos para cada uno de los niveles de seguridad "
• "Directrices para el desarrollo de actos reglamentarios que definen las amenazas a la seguridad de los datos personales relevantes para el procesamiento de datos personales en sistemas de información de datos personales operados en el curso de la implementación de actividades relevantes", aprobado por la gerencia del 8 Centro del Servicio Federal de Seguridad de Rusia (N 149/7/2 / 6- 432 del 31/03/2015)

El Chapo debe construir un modelo del intruso, sobre la base de lo cual determinará la clase requerida de protección criptográfica. Como El Chapo teme a los servicios especiales, necesita un medio de protección de la clase máxima: KA .

El Chapo abrió la lista de criptomonedas certificadas por el FSB de Rusia y, al no encontrar nada adecuado, recurrió a Rodríguez. Aquí nuestra historia, como muchos proyectos en seguridad de la información, hace un bucle y volvemos a la etapa de desarrollo. Sin entrar en detalles, asumimos que Rodríguez hizo y certificó en el FSB para la clase correspondiente en el FSB.

Dado que El Chapo protege los datos personales, los requisitos de PKZ-2005 son vinculantes para él. No hay nada sobrenatural en estos requisitos, y de hecho solo obligan a El Chapo a cumplir con los requisitos de la documentación técnica del sistema, que Rodríguez preparó y acordó con el FSB de Rusia.

Además de los documentos anteriores, El Chapo está obligado a guiarse por las "Instrucciones sobre la organización y garantizar la seguridad del almacenamiento, procesamiento y transmisión a través de canales de comunicación utilizando medios de protección criptográfica de información con acceso limitado que no contiene información que constituye un secreto de estado", aprobada por orden de la FAPSI del 13 de junio de 2001 años N 152 (en personas comunes - FAPSI 152).

Según este documento, El Chapo necesitará construir procesos internos relacionados con la operación de las criptomonedas, entre las que se encuentran:

• la organización de capacitación y admisión de bandidos para usar el equipo de comunicaciones móviles seguras (en ciencia: la admisión de usuarios al uso independiente de criptomonedas);
• contabilidad por instancia de clientes de software del sistema y claves criptográficas;
• La organización de instalaciones de seguridad en las que se realizará el mantenimiento del teléfono y la formación de claves criptográficas
• y otros

Exportación de teléfonos móviles seguros al exterior

© imágenes de Internet

Dado que El Chapo realizó “negocios internacionales”, la protección de la comunicación mientras se comunica con “socios” extranjeros no sería menos relevante para él que la protección de las negociaciones dentro del país. Para hacer esto, sea lo que sea que uno diga, necesitaría transferir a los extranjeros ya sea software para su sistema de comunicación móvil o un teléfono con clientes de software ya instalados y configurados.

Ambos, de acuerdo con la legislación rusa, se interpretan como la exportación de fondos de cifrado (criptográficos) al exterior y, de conformidad con el Reglamento sobre la importación en el territorio aduanero de la Unión Económica Euroasiática y la exportación de medios de cifrado (criptográfico) desde el territorio aduanero de la Unión Económica Euroasiática (Apéndice N 9 a La decisión de la Junta de la Comisión Económica Euroasiática del 21 de abril de 2015 N 30) es limitada (excepto para uso personal, pero este no es nuestro caso).

Antes de pasar por la aduana, El Chapo tendría que obtener un permiso de exportación, que son de dos tipos:

1. Notificación
2. Licencia

La notificación, una forma simplificada de permisos de importación / exportación, se utiliza para la criptografía "debilitada" o "cotidiana". La lista de fondos sujetos a notificación se define en el Apéndice No. 4 del Reglamento sobre la Importación al Territorio Aduanero de la Unión Económica Euroasiática y la Exportación desde el Territorio Aduanero de la Unión Económica Euroasiática de Medios de Cifrado (Criptográfico) (Apéndice No. 9 de la Decisión de la Junta de la Comisión Económica Euroasiática del 21 de abril de 2015 N 30)

Dado que el sistema de comunicación móvil seguro de El Chapo tiene una clase de protección criptográfica para la nave espacial , no le costará notificación y tendrá que obtener una licencia para exportar. Para hacer esto, tendrá que pasar por la búsqueda, cuya tarea se describe en la Decisión de la Junta de la Comisión Económica Euroasiática de fecha 06.11.2014 N 199 (modificada el 19/04/2016) "En las instrucciones sobre la solicitud para la emisión de una licencia de exportación y (o) importación de tipos individuales bienes y el registro de dicha licencia y las Instrucciones sobre la emisión de permisos para la exportación y (o) importación de ciertos tipos de bienes " , y está lejos de ser capaz de hacerlo ...

Conclusión

Espero que con este ejemplo fantasmagórico, pueda obtener ideas generales sobre las principales direcciones de la regulación de la criptografía en la Federación de Rusia. Para un mayor desarrollo, le recomiendo que se familiarice con la lista de actos legislativos y reglamentarios básicos que rigen la seguridad de la información en Rusia.

Descargo de responsabilidad El autor, como toda la humanidad progresista, condena enérgicamente el tráfico ilegal de drogas y otras actividades criminales. El sol, el aire y el agua son nuestros mejores amigos.