Nos ocupamos de las regulaciones criptogr谩ficas rusas ... usando el ejemplo del arresto de un narcotraficante


El narcotraficante mexicano Joaqu铆n Guzm谩n Loera (El Chapo)

No hace mucho tiempo, apareci贸 un art铆culo en los medios de comunicaci贸n que el narcotraficante mexicano El Chapo fue arrestado porque su oficial de TI filtr贸 claves criptogr谩ficas al FBI y, a su vez, pudieron descifrar y escuchar sus conversaciones telef贸nicas.

Fantasemos e imaginemos que el narcotraficante, la persona de TI y todo, todo, todos, vivir铆an en Rusia ...

Presentado? Y ahora analizaremos qu茅 leyes y c贸mo se regular铆a el uso de la protecci贸n criptogr谩fica en este caso fantasmag贸rico.

Sobre la historia y los personajes principales con m谩s detalle.



漏 fotograma de la pel铆cula "Gangs of New York"

El narcotraficante El Chapo contrat贸 a Christian Rodr铆guez, un especialista colombiano de TI de 21 a帽os, para crear un sistema de comunicaci贸n m贸vil encriptado para 茅l a trav茅s del cual podr铆a comunicarse con sus c贸mplices sin temor a las escuchas telef贸nicas por parte de los servicios de seguridad.

Rodr铆guez cre贸 un sistema similar y, a juzgar por la descripci贸n , era una telefon铆a VoIP con encriptaci贸n de tr谩fico. Los clientes del sistema se instalaron en los tel茅fonos m贸viles de los bandidos, despu茅s de lo cual "fue suficiente para marcar 3 d铆gitos adicionales" para hablar sin temor a escuchas telef贸nicas.

Despu茅s de la introducci贸n del sistema, Rodr铆guez la acompa帽贸 y tambi茅n particip贸 en otros proyectos de TI (por ejemplo, escuchas telef贸nicas organizadas de su esposa El Chapo), obedeciendo la voluntad del narcotraficante.

Despu茅s de un tiempo, Rodr铆guez fue reclutado por el FBI y eso ... seg煤n SecurityLab.ru, filtr贸 las claves de cifrado ... o seg煤n el New York Times "instal贸 un equipo de grabaci贸n en la red cifrada que envi贸 al FBI a medianoche copias de todas las negociaciones de El Chapo".

En pocas palabras, eso es todo. Ahora pasemos al an谩lisis de las leyes.

Licencia



漏 captura de pantalla del juego "Heroes of Might and Magic"

Nuestra historia comienza con El Chapo contratando a Rodr铆guez para desarrollar un sistema de comunicaciones seguro.

En t茅rminos de p谩rrafos. 1 p. 1 Art铆culo 12 de la Ley Federal de fecha 04.05.2011 N 99- "Sobre la licencia de ciertos tipos de actividades" Rodr铆guez, para implementar un contrato con El Chapo, debe tener una licencia "para criptograf铆a".

Si Rodr铆guez no tiene dicha licencia y se involucr贸 en el trabajo, entonces para esto, de conformidad con el art. 13.13 C贸digo Administrativo amenaza administrativa, y de conformidad con el art铆culo. 171 del C贸digo Penal de la Federaci贸n de Rusia responsabilidad penal.

La licencia "para criptograf铆a" se llama correctamente: una licencia para el desarrollo, producci贸n, distribuci贸n de medios de cifrado (criptogr谩ficos), sistemas de informaci贸n y sistemas de telecomunicaciones protegidos mediante medios de cifrado (criptogr谩ficos), rendimiento del trabajo, prestaci贸n de servicios en el campo del cifrado de informaci贸n, mantenimiento del cifrado (criptogr谩fico) significa, sistemas de informaci贸n y sistemas de telecomunicaciones protegidos mediante encriptaci贸n (criptogr谩fico) redstv (excepto si el mantenimiento de las instalaciones de cifrado (cifrado), sistemas de informaci贸n y sistemas de telecomunicaciones est谩n protegidos con encriptaci贸n de medios (criptogr谩ficos), se lleva a cabo para asegurar las necesidades de la persona jur铆dica o empresario individual). Adem谩s, por simplicidad, usaremos el nombre incorrecto, pero m谩s comprensible y corto: la licencia para la criptograf铆a.

De conformidad con el Decreto del Gobierno de la Federaci贸n de Rusia del 21 de noviembre de 2011 N 957 "Sobre la organizaci贸n de licencias de ciertos tipos de actividades", el FSB de Rusia se dedica a la emisi贸n de licencias para la criptograf铆a.

El procedimiento para obtener una licencia y los requisitos de licencia para Rodr铆guez se describen en el Decreto del Gobierno de la Federaci贸n de Rusia de fecha 04.16.2012 N 313 (modificado el 18/05/2017) "Tras la aprobaci贸n del Reglamento sobre licencias de actividades para el desarrollo, producci贸n, distribuci贸n de medios de cifrado (criptogr谩ficos), sistemas de informaci贸n y telecomunicaciones. sistemas protegidos mediante medios de cifrado (criptogr谩fico), realizar trabajos, proporcionar servicios en el campo del cifrado de informaci贸n, mantenimiento de medios de cifrado (criptogr谩fico), Los sistemas de informaci贸n y los sistemas de telecomunicaciones protegidos mediante medios de cifrado (criptogr谩fico) (a menos que el mantenimiento de los medios de cifrado (criptogr谩fico), los sistemas de informaci贸n y los sistemas de telecomunicaciones protegidos mediante medios de cifrado (criptogr谩fico) se realicen para satisfacer las necesidades de la entidad jur铆dica. o empresario individual) " .

Al mismo tiempo, no es suficiente para Rodr铆guez "simplemente obtener" una licencia, debe enumerar las actividades permitidas relevantes, cuya lista completa se encuentra en el Ap茅ndice del Decreto del Gobierno de la Federaci贸n Rusa de 16.04.2012 No. 313 . Dependiendo de la composici贸n de las actividades permitidas, Rodr铆guez enfrentar谩 varios requisitos de licencia, que van desde calificaciones para educaci贸n hasta acceso a secretos de estado.

Teniendo esto en cuenta, Rodr铆guez se involucr贸 no solo en el desarrollo del sistema, sino tambi茅n en su implementaci贸n y mantenimiento, luego, de manera imprevista, su licencia deber铆a incluir las siguientes actividades (numeraci贸n de acuerdo con el Decreto del Gobierno de la Federaci贸n Rusa de 16.04.2012 No. 313):
3. Desarrollo de sistemas de telecomunicaciones seguros utilizando medios de cifrado (criptogr谩fico).
4. Desarrollo de herramientas para la producci贸n de documentos clave.
5. Modernizaci贸n del cifrado (criptogr谩fico) significa.
6. Modernizaci贸n de herramientas clave de producci贸n de documentos.
7. Producci贸n (replicaci贸n) de encriptaci贸n (criptogr谩fica) significa.
9. Producci贸n de sistemas de telecomunicaciones protegidos mediante medios de encriptaci贸n (criptogr谩ficos).
10. Producci贸n de herramientas de producci贸n de documentos clave.
12. Instalaci贸n, instalaci贸n (instalaci贸n), ajuste de encriptaci贸n (criptogr谩fica) significa, con la excepci贸n de la encriptaci贸n (criptogr谩fica) medios para proteger los datos fiscales, desarrollados para su uso como parte de las cajas registradoras certificadas por el Servicio Federal de Seguridad de la Federaci贸n de Rusia.
14. Instalaci贸n, instalaci贸n (instalaci贸n), ajuste de sistemas de telecomunicaciones protegidos mediante medios de encriptaci贸n (criptogr谩ficos).
15. Instalaci贸n, instalaci贸n (instalaci贸n), ajuste de los medios de fabricaci贸n de documentos clave.
16. Reparaci贸n de encriptaci贸n (criptogr谩fica) significa.
18. Reparaci贸n, mantenimiento de sistemas de telecomunicaciones seguros utilizando medios de cifrado (criptogr谩fico).
19. Reparaci贸n, mantenimiento de los medios de fabricaci贸n de documentos clave.
20. Trabajar en el mantenimiento de las instalaciones de cifrado (criptogr谩ficas) previstas por la documentaci贸n t茅cnica y operativa de estas instalaciones (a menos que las operaciones indicadas se realicen para garantizar las necesidades personales de una entidad jur铆dica o empresario individual).
21. La transferencia de encriptaci贸n (criptogr谩fica) significa, con la excepci贸n de la encriptaci贸n (criptogr谩fica) medios para proteger los datos fiscales, desarrollados para su uso como parte de las cajas registradoras certificadas por el Servicio Federal de Seguridad de la Federaci贸n de Rusia.
23. Transmisi贸n de sistemas de telecomunicaciones protegidos mediante encriptaci贸n (criptogr谩fica).
24. Transferencia de medios para la producci贸n de documentos clave.
Inmediatamente, observamos que el uso del cifrado para sus propios fines no est谩 autorizado en Rusia y, en consecuencia, no se requiere una licencia de El Chapo para la criptograf铆a.

Adem谩s, suponemos que Rodr铆guez tiene una licencia de "criptograf铆a" con actividades relacionadas.

Desarrollo y produccion



漏 im谩genes de Internet

De acuerdo con los requisitos de licencia, a saber, los p谩rrafos. b Cl谩usula 6 del Decreto del Gobierno de la Federaci贸n de Rusia del 16.04.2012 N 313 Rodr铆guez est谩 obligado en su trabajo a guiarse por los documentos reglamentarios y metodol贸gicos pertinentes emitidos por el FSB de Rusia, el principal de los cuales es la Orden del FSB de la Federaci贸n de Rusia del 09.02.2005 N 66 (modificada el 12.04.2010) " Con la aprobaci贸n del "Reglamento sobre el desarrollo, producci贸n, venta y operaci贸n de medios de encriptaci贸n (criptogr谩ficos) de protecci贸n de la informaci贸n (Reglamento PKZ-2005)" (Registrado en el Ministerio de Justicia de la Federaci贸n de Rusia 03.03.2005 N 6382) " (en adelante PKZ-2005).

De acuerdo con este documento, el proceso de creaci贸n de un sistema de comunicaci贸n m贸vil seguro consta de los siguientes pasos:

  1. Desarrollo.
  2. Producci贸n.
  3. Difundir A pesar de que Rodr铆guez hizo un desarrollo personalizado / personalizado, el proceso de su transferencia al cliente se trata como distribuci贸n.

Todas estas etapas implican una estrecha cooperaci贸n con el FSB de Rusia y la coordinaci贸n de tareas t茅cnicas y documentaci贸n para el sistema que se est谩 produciendo.

Operaci贸n de un sistema seguro de comunicaciones m贸viles



漏 im谩genes de Internet

Asumimos que la operaci贸n de un sistema seguro de comunicaciones m贸viles es el 谩rea de responsabilidad de El Chapo. Rodr铆guez est谩 involucrado en esto solo como esos. apoyo

De la descripci贸n de la historia de El Chapo, recordamos que el sistema fue creado para proteger contra las escuchas telef贸nicas por parte de las agencias policiales. Esta base est谩 d茅bilmente correlacionada con la legislaci贸n actual, por lo tanto, suponemos que el prop贸sito del sistema es: "protecci贸n de la informaci贸n para las necesidades personales y familiares". Con este prop贸sito de operaci贸n, El Chapo no tiene restricciones, y puede hacer lo que quiera y c贸mo quiera con el sistema.

Para nuestro art铆culo, esto es demasiado simple y no interesante.

Con base en la investigaci贸n, se estableci贸 que en una conversaci贸n telef贸nica El Chapo dio 贸rdenes al soborno y a los funcionarios de soborno y probablemente llam贸 sus nombres, apellidos y otra informaci贸n personal, es decir, datos personales (en adelante, PD).

Imaginemos que El Chapo, despu茅s de leer la Ley Federal del 27 de julio de 2006 N 152- "Sobre datos personales" , entendi贸 que 茅l es un operador de datos personales y que en realidad usa datos personales no para necesidades personales, sino para actividades empresariales, y que requerido por ley para protegerlos.

Protecci贸n criptogr谩fica de datos personales.



漏 im谩genes de Internet

Dado que, durante las llamadas telef贸nicas, las PD se transmiten en forma abierta a trav茅s de una red de comunicaci贸n p煤blica, El Chapo pens贸 y decidi贸 que exist铆a un alto riesgo de que los atacantes interceptaran la PD, por lo que la informaci贸n debe cifrarse.

Para la protecci贸n criptogr谩fica de datos personales, de acuerdo con

El Chapo debe construir un modelo del intruso, sobre la base de lo cual determinar谩 la clase requerida de protecci贸n criptogr谩fica. Como El Chapo teme a los servicios especiales, necesita un medio de protecci贸n de la clase m谩xima: KA .

El Chapo abri贸 la lista de criptomonedas certificadas por el FSB de Rusia y, al no encontrar nada adecuado, recurri贸 a Rodr铆guez. Aqu铆 nuestra historia, como muchos proyectos en seguridad de la informaci贸n, hace un bucle y volvemos a la etapa de desarrollo. Sin entrar en detalles, asumimos que Rodr铆guez hizo y certific贸 en el FSB para la clase correspondiente en el FSB.

Dado que El Chapo protege los datos personales, los requisitos de PKZ-2005 son vinculantes para 茅l. No hay nada sobrenatural en estos requisitos, y de hecho solo obligan a El Chapo a cumplir con los requisitos de la documentaci贸n t茅cnica del sistema, que Rodr铆guez prepar贸 y acord贸 con el FSB de Rusia.

Adem谩s de los documentos anteriores, El Chapo est谩 obligado a guiarse por las "Instrucciones sobre la organizaci贸n y garantizar la seguridad del almacenamiento, procesamiento y transmisi贸n a trav茅s de canales de comunicaci贸n utilizando medios de protecci贸n criptogr谩fica de informaci贸n con acceso limitado que no contiene informaci贸n que constituye un secreto de estado", aprobada por orden de la FAPSI del 13 de junio de 2001 a帽os N 152 (en personas comunes - FAPSI 152).

Seg煤n este documento, El Chapo necesitar谩 construir procesos internos relacionados con la operaci贸n de las criptomonedas, entre las que se encuentran:
  • la organizaci贸n de capacitaci贸n y admisi贸n de bandidos para usar el equipo de comunicaciones m贸viles seguras (en ciencia: la admisi贸n de usuarios al uso independiente de criptomonedas);
  • contabilidad por instancia de clientes de software del sistema y claves criptogr谩ficas;
  • La organizaci贸n de instalaciones de seguridad en las que se realizar谩 el mantenimiento del tel茅fono y la formaci贸n de claves criptogr谩ficas
  • y otros

Exportaci贸n de tel茅fonos m贸viles seguros al exterior



漏 im谩genes de Internet

Dado que El Chapo realiz贸 鈥渘egocios internacionales鈥, la protecci贸n de la comunicaci贸n mientras se comunica con 鈥渟ocios鈥 extranjeros no ser铆a menos relevante para 茅l que la protecci贸n de las negociaciones dentro del pa铆s. Para hacer esto, sea lo que sea que uno diga, necesitar铆a transferir a los extranjeros ya sea software para su sistema de comunicaci贸n m贸vil o un tel茅fono con clientes de software ya instalados y configurados.

Ambos, de acuerdo con la legislaci贸n rusa, se interpretan como la exportaci贸n de fondos de cifrado (criptogr谩ficos) al exterior y, de conformidad con el Reglamento sobre la importaci贸n en el territorio aduanero de la Uni贸n Econ贸mica Euroasi谩tica y la exportaci贸n de medios de cifrado (criptogr谩fico) desde el territorio aduanero de la Uni贸n Econ贸mica Euroasi谩tica (Ap茅ndice N 9 a La decisi贸n de la Junta de la Comisi贸n Econ贸mica Euroasi谩tica del 21 de abril de 2015 N 30) es limitada (excepto para uso personal, pero este no es nuestro caso).

Antes de pasar por la aduana, El Chapo tendr铆a que obtener un permiso de exportaci贸n, que son de dos tipos:
  1. Notificaci贸n
  2. Licencia

La notificaci贸n, una forma simplificada de permisos de importaci贸n / exportaci贸n, se utiliza para la criptograf铆a "debilitada" o "cotidiana". La lista de fondos sujetos a notificaci贸n se define en el Ap茅ndice No. 4 del Reglamento sobre la Importaci贸n al Territorio Aduanero de la Uni贸n Econ贸mica Euroasi谩tica y la Exportaci贸n desde el Territorio Aduanero de la Uni贸n Econ贸mica Euroasi谩tica de Medios de Cifrado (Criptogr谩fico) (Ap茅ndice No. 9 de la Decisi贸n de la Junta de la Comisi贸n Econ贸mica Euroasi谩tica del 21 de abril de 2015 N 30)

Dado que el sistema de comunicaci贸n m贸vil seguro de El Chapo tiene una clase de protecci贸n criptogr谩fica para la nave espacial , no le costar谩 notificaci贸n y tendr谩 que obtener una licencia para exportar. Para hacer esto, tendr谩 que pasar por la b煤squeda, cuya tarea se describe en la Decisi贸n de la Junta de la Comisi贸n Econ贸mica Euroasi谩tica de fecha 06.11.2014 N 199 (modificada el 19/04/2016) "En las instrucciones sobre la solicitud para la emisi贸n de una licencia de exportaci贸n y (o) importaci贸n de tipos individuales bienes y el registro de dicha licencia y las Instrucciones sobre la emisi贸n de permisos para la exportaci贸n y (o) importaci贸n de ciertos tipos de bienes " , y est谩 lejos de ser capaz de hacerlo ...

Conclusi贸n


Espero que con este ejemplo fantasmag贸rico, pueda obtener ideas generales sobre las principales direcciones de la regulaci贸n de la criptograf铆a en la Federaci贸n de Rusia. Para un mayor desarrollo, le recomiendo que se familiarice con la lista de actos legislativos y reglamentarios b谩sicos que rigen la seguridad de la informaci贸n en Rusia.

Descargo de responsabilidad El autor, como toda la humanidad progresista, condena en茅rgicamente el tr谩fico ilegal de drogas y otras actividades criminales. El sol, el aire y el agua son nuestros mejores amigos.

Source: https://habr.com/ru/post/438244/


All Articles