Nous traitons de la réglementation cryptographique russe ... en utilisant l'exemple de l'arrestation d'un seigneur de la drogue

Le seigneur de la drogue mexicain Joaquin Guzman Loera (El Chapo)

Il n'y a pas si longtemps, un article a paru dans les médias selon lequel le seigneur de la drogue mexicain El Chapo avait été arrêté en raison du fait que son employé informatique avait divulgué des clés cryptographiques au FBI, et qu'ils avaient à leur tour pu déchiffrer et écouter ses conversations téléphoniques.

Imaginons et imaginons que le seigneur de la drogue, l'informaticien et tout, tout, tout le monde vivrait en Russie ...

Présenté? Et maintenant, nous allons analyser quelles lois et comment l'utilisation de la protection cryptographique serait réglementée dans ce cas fantasmagorique.

À propos de l'histoire et des personnages principaux plus en détail

© cadre du film "Gangs of New York"

Le seigneur de la drogue El Chapo a engagé Christian Rodriguez, un spécialiste informatique colombien de 21 ans, pour créer pour lui un système de communication mobile crypté grâce auquel il pourrait communiquer avec des complices sans crainte d'écoute électronique par les services de sécurité.

Rodriguez a créé un système similaire et, à en juger par la description , il s'agissait d'une téléphonie VoIP avec cryptage du trafic. Les clients du système ont été installés sur les téléphones portables des bandits, après quoi «il suffisait de composer 3 chiffres supplémentaires» pour parler sans crainte d'écoute électronique.

Après l'introduction du système, Rodriguez l'a accompagnée et s'est également engagé dans d'autres projets informatiques (par exemple, l'écoute électronique organisée de sa femme El Chapo), obéissant à la volonté du seigneur de la drogue.

Après un certain temps, Rodriguez a été recruté par le FBI et que ... selon SecurityLab.ru, il a divulgué les clés de cryptage ... ou selon le New York Times "a installé l'équipement d'enregistrement sur le réseau crypté, qui a envoyé au FBI à minuit des copies de toutes les négociations d'El Chapo".

En un mot, c'est tout. Passons maintenant à l'analyse des lois.

Licence

© capture d'écran du jeu "Heroes of Might and Magic"

Notre histoire commence avec El Chapo embauchant Rodriguez pour développer un système de communication sécurisé.

En termes de paragraphes. 1 p. 1 article 12 de la loi fédérale du 04.05.2011 N 99- "Sur l'octroi de licences pour certains types d'activités" Rodriguez, afin de mettre en œuvre un contrat avec El Chapo, doit avoir une licence "pour la cryptographie".

Si Rodriguez n'a pas une telle licence et qu'il s'est impliqué dans le travail, alors pour cela, conformément à l' art. 13.13 Code administratif menace administrative, et conformément à l' article. 171 du Code pénal de la Fédération de Russie responsabilité pénale.

La licence "pour la cryptographie" est correctement appelée - une licence pour le développement, la production, la distribution de moyens de cryptage (cryptographiques), les systèmes d'information et les systèmes de télécommunication protégés par des moyens de cryptage (cryptographiques), l'exécution des travaux, la fourniture de services dans le domaine du cryptage des informations, la maintenance du cryptage moyens (cryptographiques), systèmes d'information et systèmes de télécommunications protégés par cryptage (cryptographiques) redstv (sauf si le maintien de chiffrement (installations de chiffrement), les systèmes d'information et de télécommunication sont protégés par des moyens de cryptage (chiffrement), est réalisée pour assurer les besoins de la personne morale ou entrepreneur individuel). De plus, pour plus de simplicité, nous utiliserons le mauvais nom, mais plus compréhensible et court - la licence de cryptographie.

Conformément au décret du gouvernement de la Fédération de Russie du 21 novembre 2011 N 957 «sur l'organisation de l'octroi de licences pour certains types d'activités», le FSB de Russie est engagé dans la délivrance de licences de cryptographie.

La procédure d'obtention d'une licence et les conditions d'octroi de licences pour Rodriguez sont décrites dans le décret du gouvernement de la Fédération de Russie du 04.16.2012 N 313 (tel que modifié le 18/05/2017) «Sur l'approbation du règlement sur l'octroi de licences pour les activités de développement, de production, de distribution de moyens de cryptage (cryptographiques), de systèmes d'information et de télécommunications les systèmes protégés par des moyens de cryptage (cryptographiques), effectuant des travaux, fournissant des services dans le domaine du cryptage des informations, la maintenance des moyens de cryptage (cryptographiques) systèmes d'information et systèmes de télécommunication protégés par des moyens de cryptage (cryptographiques) (sauf si la maintenance des moyens de cryptage (cryptographiques), des systèmes d'information et des systèmes de télécommunications protégés par des moyens de cryptage (cryptographiques) est effectuée pour répondre aux besoins propres de l'entité juridique ou entrepreneur individuel) . "

Dans le même temps, il ne suffit pas à Rodriguez de "simplement obtenir" une licence, il doit énumérer les activités autorisées pertinentes, dont la liste complète est donnée dans l' annexe au décret du gouvernement de la Fédération de Russie du 16.04.2012 n ° 313 . Selon la composition des activités autorisées, Rodriguez sera confronté à diverses exigences en matière de licences, allant des qualifications pour l'éducation à l'accès aux secrets d'État.

Dans cet esprit, Rodriguez a été engagé non seulement dans le développement du système, mais aussi dans sa mise en œuvre et sa maintenance, puis désinvolte dans sa licence devrait inclure les activités suivantes (numérotation conformément au décret du gouvernement de la Fédération de Russie du 16.04.2012 n ° 313):

3. Développement de systèmes de télécommunications sécurisés utilisant des moyens de cryptage (cryptographiques).
4. Développement d'outils pour la production de documents clés.
5. Modernisation des moyens de chiffrement (cryptographiques).
6. Modernisation des principaux outils de production de documents.
7. Production (réplication) de moyens de chiffrement (cryptographiques).
9. Production de systèmes de télécommunications protégés par des moyens de cryptage (cryptographiques).
10. Production d'outils de production de documents clés.
12. Installation, installation (installation), ajustement des moyens de cryptage (cryptographiques), à l'exception des moyens de cryptage (cryptographiques) de protection des données fiscales, développés pour être utilisés dans le cadre de caisses enregistreuses certifiées par le Service fédéral de sécurité de la Fédération de Russie.
14. Installation, installation (installation), ajustement de systèmes de télécommunication protégés par des moyens de cryptage (cryptographiques).
15. Installation, installation, réglage des moyens de fabrication des documents clés.
16. Réparation des moyens de cryptage (cryptographiques).
18. Réparation, maintenance de systèmes de télécommunication sécurisés utilisant des moyens de cryptage (cryptographiques).
19. Réparation, maintenance des moyens de fabrication des documents clés.
20. Travaux de maintenance des installations de chiffrement (cryptographiques) prévues par la documentation technique et opérationnelle de ces installations (à moins que les opérations indiquées ne soient effectuées pour assurer les besoins personnels d'une personne morale ou d'un entrepreneur individuel).
21. Transfert de moyens de cryptage (cryptographiques), à l'exception des moyens de cryptage (cryptographiques) de protection des données fiscales, conçus pour être utilisés dans le cadre de caisses enregistreuses certifiées par le Service fédéral de sécurité de la Fédération de Russie.
23. Transmission de systèmes de télécommunication protégés par des moyens de cryptage (cryptographiques).
24. Transfert de moyens pour la production de documents clés.

Nous notons immédiatement que l'utilisation du cryptage à leurs propres fins n'est pas autorisée en Russie et, par conséquent, aucune licence El Chapo pour la cryptographie n'est requise.

De plus, nous supposons que Rodriguez possède une licence de «cryptographie» avec des activités connexes.

Développement et production

© Photos Internet

Conformément aux exigences de licence, à savoir les paragraphes. b L'article 6 du décret du gouvernement de la Fédération de Russie du 16.04.2012 N 313 Rodriguez est obligé dans son travail de se laisser guider par les documents réglementaires et méthodologiques pertinents publiés par le FSB de Russie, dont le principal est l' ordonnance du FSB de la Fédération de Russie du 09.02.2005 N 66 (telle que modifiée du 12.04.2010) « Sur l'approbation du «Règlement sur le développement, la production, la vente et le fonctionnement des moyens de cryptage (cryptographiques) de protection des informations (Règlement PKZ-2005)» (Enregistré au Ministère de la Justice de la Fédération de Russie 03.03.2005 N 6382) " (ci-après PKZ-2005).

Conformément à ce document, le processus de création d'un système de communication mobile sécurisé comprend les étapes suivantes:

1. Développement.
2. Production.
3. Étalez. Malgré le fait que Rodriguez ait fait un développement sur mesure / personnalisé, le processus de son transfert au client est traité comme une distribution.

Toutes ces étapes impliquent une coopération étroite avec le FSB de Russie et la coordination des tâches techniques et de la documentation du système en cours de production.

Exploitation d'un système de communication mobile sécurisé

© Photos Internet

Nous supposons que l'exploitation d'un système de communication mobile sécurisé est la zone de responsabilité d'El Chapo. Rodriguez n'est impliqué dans cela qu'en tant que ceux-là. soutien.

De la description de l'histoire d'El Chapo, nous nous souvenons que le système a été créé pour protéger contre les écoutes téléphoniques par les forces de l'ordre. Cette base est faiblement corrélée à la législation actuelle, par conséquent, nous supposons que le but du système est: «la protection des informations pour les besoins personnels et familiaux». Dans ce but de fonctionnement, El Chapo n'a pas de restrictions, et il peut faire ce qu'il veut et comment il veut avec le système.

Pour notre article, c'est trop simple et pas intéressant.

Sur la base de l'enquête, il a été établi que lors d'une conversation téléphonique, El Chapo a donné des ordres à des pots-de-vin et à des responsables de pots-de-vin et a probablement appelé leurs noms, prénoms et autres informations personnelles, à savoir des données personnelles (ci-après - PD).

Imaginons qu'El Chapo, après avoir lu la loi fédérale du 27 juillet 2006 N 152- «sur les données personnelles» , ait compris qu'il est un opérateur de données personnelles et qu'il utilise en fait des données personnelles non pas pour des besoins personnels, mais pour des activités entrepreneuriales, et que requis par la loi pour les protéger.

Protection cryptographique des données personnelles

© Photos Internet

Étant donné que lors des appels téléphoniques, les PD sont transmis sous forme ouverte via un réseau de communication public, El Chapo a pensé et décidé qu'il y avait un risque élevé que les PD soient interceptés par des attaquants et que, par conséquent, les informations doivent être cryptées.

Pour la protection cryptographique des données personnelles, conformément à

• Par ordonnance du Service fédéral de sécurité du 10 juillet 2014 N 378 «Sur l'approbation de la composition et du contenu des mesures organisationnelles et techniques pour assurer la sécurité des données personnelles lorsqu'elles sont traitées dans des systèmes d'information sur les données personnelles en utilisant la protection cryptographique des informations nécessaires pour répondre aux exigences de protection personnelle établies par le gouvernement de la Fédération de Russie données pour chacun des niveaux de sécurité "
• «Lignes directrices pour l'élaboration d'actes réglementaires définissant les menaces à la sécurité des données à caractère personnel pertinentes pour le traitement des données à caractère personnel dans les systèmes d'information sur les données à caractère personnel exploités au cours de la mise en œuvre des activités pertinentes», approuvées par la direction du 8 Centre du Service fédéral de sécurité de Russie (N 149/7/2 / 6- 432 du 31/03/2015)

El Chapo doit construire un modèle de l'intrus, sur la base duquel déterminer la classe de protection cryptographique requise. Comme El Chapo a peur des services spéciaux, il a besoin d'un moyen de protection de la classe maximale - KA .

El Chapo a ouvert la liste des crypto-monnaies certifiées par le FSB de Russie et, ne trouvant rien de convenable, s'est tourné vers Rodriguez. Ici, notre histoire, comme de nombreux projets dans le domaine de la sécurité de l'information, fait une boucle, et nous retournons à nouveau au stade de développement. Sans entrer dans les détails, nous supposons que Rodriguez a fait et certifié dans le FSB pour la classe correspondante dans le FSB.

El Chapo protégeant les données personnelles, les exigences de PKZ-2005 le lient . Il n'y a rien de surnaturel dans ces exigences, et en fait, elles obligent seulement El Chapo à se conformer aux exigences de la documentation technique du système, que Rodriguez a préparée et approuvée avec le FSB de Russie.

En plus des documents ci-dessus, El Chapo est obligé d'être guidé par les «Instructions sur l'organisation et la sécurisation du stockage, du traitement et de la transmission via les canaux de communication utilisant des moyens de protection cryptographique des informations à accès limité ne contenant pas d'informations constituant un secret d'État», approuvées par arrêté de la FAPSI du 13 juin 2001 années N 152 (en commun - FAPSI 152).

Selon ce document, El Chapo devra construire des processus internes liés au fonctionnement des crypto-monnaies, parmi lesquels:

• l'organisation de la formation et de l'admission des bandits pour utiliser l'équipement de communications mobiles sécurisées (en science - l'admission des utilisateurs à l'utilisation indépendante des outils de cryptographie);
• comptabilité par instance des logiciels clients et des clés de chiffrement;
• l'organisation des installations de sécurité dans lesquelles la maintenance téléphonique sera effectuée et la formation des clés cryptographiques;
• et autres

Exportation de téléphones portables sécurisés à l'étranger

© Photos Internet

Comme El Chapo menait des «affaires internationales», la protection de la communication tout en communiquant avec des «partenaires» étrangers ne serait pas moins pertinente pour lui que la protection des négociations à l'intérieur du pays. Pour ce faire, quoi qu'il en soit, il devra transférer aux étrangers soit un logiciel pour son système de communication mobile, soit un téléphone avec des clients logiciels déjà installés et configurés.

Selon la loi russe, les deux sont interprétés comme l'exportation de fonds de cryptage (cryptographiques) à l'étranger et, conformément au règlement sur l'importation dans le territoire douanier de l'Union économique eurasienne et l'exportation de moyens de cryptage (cryptographiques) depuis le territoire douanier de l'Union économique eurasiatique (annexe N 9 à La décision du conseil d'administration de la Commission économique eurasienne du 21 avril 2015 N 30) est limitée (sauf pour un usage personnel, mais ce n'est pas notre cas).

Avant de passer la douane, El Chapo devrait obtenir un permis d'exportation, qui sont de deux types:

1. Notification
2. Licence

La notification - une forme simplifiée de permis d'importation / exportation - est utilisée pour la cryptographie «affaiblie» ou «quotidienne». La liste des fonds soumis à notification est définie à l' annexe n ° 4 du règlement relatif à l'importation dans le territoire douanier de l'union économique eurasienne et à l'exportation depuis le territoire douanier de l'union économique eurasienne des moyens de cryptage (cryptographiques) (annexe n ° 9 à la décision du conseil d'administration de la commission économique eurasienne du 21 avril 2015 . N 30)

Étant donné que le système de communication mobile sécurisé d'El Chapo a une classe de protection cryptographique pour le vaisseau spatial , cela ne coûtera pas de notification, et il devra obtenir une licence pour l'exportation. Pour ce faire, il devra passer par la quête, dont la tâche est décrite dans la décision du conseil d'administration de la Commission économique eurasienne du 06.11.2014 N 199 (telle que modifiée le 19/04/2016) «Sur les instructions relatives à la demande de délivrance d'une licence d'exportation et (ou) d'importation de types individuels et l’enregistrement d’une telle licence et les instructions sur la délivrance de permis d’exportation et (ou) d’importation de certains types de marchandises » , et c’est loin d’être possible.

Conclusion

J'espère qu'avec cet exemple fantasmagorique, vous pourrez obtenir des idées générales sur les principales directions de la réglementation de la cryptographie dans la Fédération de Russie. Pour un développement ultérieur, je vous recommande de vous familiariser avec la liste des actes législatifs et réglementaires de base régissant la sécurité de l'information en Russie.

Disclimer L'auteur, comme toute l'humanité progressiste, condamne fermement le commerce illégal de drogues et d'autres activités criminelles. Le soleil, l'air et l'eau sont nos meilleurs amis.