Kami berurusan dengan peraturan kriptografi Rusia ... menggunakan contoh penangkapan seorang raja narkoba

Tuan obat bius Meksiko Joaquin Guzman Loera (El Chapo)

Belum lama ini, sebuah artikel muncul di media bahwa raja obat bius Meksiko El Chapo ditangkap karena petugas IT-nya membocorkan kunci crypto ke FBI, dan mereka, pada gilirannya, dapat mendekripsi dan mendengarkan percakapan teleponnya.

Mari kita berfantasi dan bayangkan bahwa raja narkoba, orang IT dan segalanya, semuanya, semua orang akan tinggal di Rusia ...

Disajikan? Dan sekarang kita akan menganalisis hukum apa dan bagaimana penggunaan perlindungan kriptografi akan diatur dalam kasus phantasmagoric ini.

Tentang cerita dan karakter utama lebih detail

© bingkai dari film "Gangs of New York"

Raja obat bius El Chapo mempekerjakan Christian Rodriguez, seorang spesialis IT Kolombia berusia 21 tahun, untuk menciptakan sistem komunikasi seluler terenkripsi untuknya di mana ia dapat berkomunikasi dengan kaki tanpa takut penyadapan oleh layanan keamanan.

Rodriguez menciptakan sistem yang sama dan, dilihat dari deskripsi , itu adalah telepon VoIP dengan enkripsi lalu lintas. Klien sistem diinstal pada ponsel bandit, setelah itu "cukup untuk memanggil 3 digit tambahan" untuk berbicara tanpa takut penyadapan.

Setelah pengenalan sistem, Rodriguez menemaninya, dan juga terlibat dalam proyek-proyek TI lainnya (misalnya, penyadapan terorganisir istrinya El Chapo), mematuhi kehendak raja obat bius.

Setelah beberapa waktu, Rodriguez direkrut oleh FBI dan bahwa ... menurut SecurityLab.ru, itu bocor kunci enkripsi ... atau menurut New York Times "memasang peralatan rekaman di jaringan terenkripsi, yang dikirim ke FBI di salinan tengah malam semua negosiasi El Chapo."

Singkatnya, itu saja. Sekarang mari kita beralih ke analisis hukum.

Perizinan

© tangkapan layar dari game "Heroes of Might and Magic"

Kisah kami dimulai dengan El Chapo mempekerjakan Rodriguez untuk mengembangkan sistem komunikasi yang aman.

Dalam hal paragraf. 1 hal. 1 Artikel 12 Undang-Undang Federal tanggal 04.05.2011 N 99- "Tentang perizinan jenis kegiatan tertentu" Rodriguez, untuk melaksanakan kontrak dengan El Chapo, harus memiliki lisensi "untuk kriptografi".

Jika Rodriguez tidak memiliki lisensi seperti itu, dan ia terlibat dalam pekerjaan itu, maka untuk ini, sesuai dengan Art. 13.13 Kode Administratif mengancam administrasi, dan sesuai dengan Pasal. 171 KUHP dari tanggung jawab pidana Federasi Rusia .

Lisensi "untuk kriptografi" secara tepat disebut - lisensi untuk pengembangan, produksi, distribusi sarana enkripsi (kriptografi), sistem informasi dan sistem telekomunikasi yang dilindungi menggunakan enkripsi (kriptografi) berarti, kinerja kerja, penyediaan layanan di bidang enkripsi informasi, pemeliharaan enkripsi (Kriptografi) berarti, sistem informasi dan sistem telekomunikasi yang dilindungi menggunakan enkripsi (kriptografi) redstv (kecuali jika pemeliharaan enkripsi () fasilitas kriptografi, sistem informasi dan sistem telekomunikasi dilindungi dengan enkripsi (kriptografi) berarti, dilakukan untuk memastikan kebutuhan badan hukum atau pengusaha perorangan). Selanjutnya, untuk kesederhanaan, kami akan menggunakan nama yang salah, tetapi lebih mudah dipahami dan pendek - lisensi untuk kriptografi.

Sesuai dengan Keputusan Pemerintah Federasi Rusia 21 November 2011 N 957 “Tentang Organisasi Perizinan Jenis Kegiatan Tertentu”, FSB Rusia terlibat dalam penerbitan lisensi untuk kriptografi.

Prosedur untuk mendapatkan lisensi dan persyaratan lisensi untuk Rodriguez dijelaskan dalam Keputusan Pemerintah Federasi Rusia tanggal 04.16.2012 N 313 (sebagaimana diubah pada 18/05/2017) “Pada persetujuan Peraturan tentang perizinan kegiatan untuk pengembangan, produksi, distribusi sarana enkripsi (kriptografi), sistem informasi dan telekomunikasi sistem yang dilindungi menggunakan enkripsi (kriptografi) berarti, melakukan pekerjaan, menyediakan layanan di bidang enkripsi informasi, pemeliharaan enkripsi (kriptografi) berarti sistem informasi dan sistem telekomunikasi yang dilindungi menggunakan sarana enkripsi (kriptografi) (kecuali jika pemeliharaan enkripsi (kriptografi) berarti, sistem informasi dan sistem telekomunikasi yang dilindungi menggunakan sarana enkripsi (kriptografi) dilakukan untuk memenuhi kebutuhan badan hukum sendiri. atau pengusaha individu) . "

Pada saat yang sama, itu tidak cukup bagi Rodriguez untuk "hanya mendapatkan" lisensi, itu harus mendaftar kegiatan yang relevan yang diizinkan, daftar lengkap yang diberikan dalam Lampiran Keputusan Keputusan Pemerintah Federasi Rusia 16.04.2012 No. 313 . Bergantung pada komposisi kegiatan yang diizinkan, Rodriguez akan menghadapi berbagai persyaratan lisensi, mulai dari kualifikasi untuk pendidikan hingga akses ke rahasia negara.

Dengan mengingat hal ini, Rodriguez terlibat tidak hanya dalam pengembangan sistem, tetapi juga dalam penerapan dan pemeliharaannya, kemudian dengan leluasa dalam lisensinya, kegiatan-kegiatan berikut harus ada (penomoran sesuai dengan Keputusan Pemerintah Federasi Rusia 16.04.2012 No. 313):

3. Pengembangan sistem telekomunikasi yang aman menggunakan sarana enkripsi (kriptografi).
4. Pengembangan alat untuk produksi dokumen-dokumen utama.
5. Modernisasi artinya enkripsi (kriptografi).
6. Modernisasi alat produksi dokumen utama.
7. Produksi (replikasi) dari enkripsi (kriptografi) berarti.
9. Produksi sistem telekomunikasi yang dilindungi menggunakan sarana enkripsi (kriptografi).
10. Produksi alat-alat produksi dokumen utama.
12. Instalasi, instalasi (instalasi), penyesuaian enkripsi (kriptografi) berarti, dengan pengecualian enkripsi (kriptografi) berarti melindungi data fiskal, dikembangkan untuk digunakan sebagai bagian dari register kas yang disertifikasi oleh Layanan Keamanan Federal Federasi Rusia.
14. Instalasi, instalasi (instalasi), penyesuaian sistem telekomunikasi yang dilindungi menggunakan sarana enkripsi (kriptografi).
15. Instalasi, instalasi (instalasi), penyesuaian cara pembuatan dokumen kunci.
16. Perbaikan enkripsi (kriptografi) artinya.
18. Perbaikan, pemeliharaan sistem telekomunikasi yang aman menggunakan sarana enkripsi (kriptografi).
19. Perbaikan, pemeliharaan sarana pembuatan dokumen kunci.
20. Bekerja pada pemeliharaan fasilitas enkripsi (kriptografi) yang disediakan oleh dokumentasi teknis dan operasional untuk fasilitas ini (kecuali operasi yang ditunjukkan dilakukan untuk memastikan kebutuhan pribadi dari badan hukum atau pengusaha perorangan).
21. Transfer enkripsi (kriptografi) berarti, dengan pengecualian enkripsi (kriptografi) berarti melindungi data fiskal, dikembangkan untuk digunakan sebagai bagian dari register kas yang disertifikasi oleh Layanan Keamanan Federal Federasi Rusia.
23. Transmisi sistem telekomunikasi yang dilindungi menggunakan sarana enkripsi (kriptografi).
24. Pemindahan sarana untuk produksi dokumen-dokumen utama.

Segera, kami mencatat bahwa penggunaan enkripsi untuk keperluan sendiri di Rusia tidak berlisensi dan, karenanya, tidak ada lisensi El Chapo untuk kriptografi yang diperlukan.

Selanjutnya, kami menganggap bahwa Rodriguez memiliki lisensi "kriptografi" dengan kegiatan terkait.

Pengembangan dan produksi

© Gambar Internet

Sesuai dengan persyaratan lisensi, yaitu paragraf. b Klausul 6 Keputusan Pemerintah Federasi Rusia 16.04.2012 N 313 Rodriguez berkewajiban dalam pekerjaannya untuk dipandu oleh dokumen peraturan dan metodologi yang relevan yang dikeluarkan oleh FSB Rusia, yang utamanya adalah Ordo FSB Federasi Rusia 09.02.2005 N 66 (sebagaimana diubah dari 12.04.2010) “ Pada persetujuan dari "Peraturan tentang pengembangan, produksi, penjualan dan operasi enkripsi (kriptografi) sarana perlindungan informasi (Peraturan PKZ-2005)" (Terdaftar di Kementerian Kehakiman Federasi Rusia 03.03.2005 N 6382) " (selanjutnya PKZ-2005).

Sesuai dengan dokumen ini, proses menciptakan sistem komunikasi seluler yang aman terdiri dari langkah-langkah berikut:

1. Pengembangan.
2. Produksi.
3. Sebar. Terlepas dari kenyataan bahwa Rodriguez melakukan pengembangan custom / custom, proses transfernya ke pelanggan diperlakukan sebagai distribusi.

Semua tahapan ini menyiratkan kerja sama yang erat dengan FSB Rusia dan koordinasi tugas teknis dan dokumentasi untuk sistem yang diproduksi.

Pengoperasian sistem komunikasi seluler yang aman

© Gambar Internet

Kami berasumsi bahwa pengoperasian sistem komunikasi seluler yang aman adalah tanggung jawab El Chapo. Rodriguez hanya terlibat dalam hal ini. dukungan.

Dari uraian sejarah El Chapo, kita ingat bahwa sistem itu diciptakan untuk melindungi dari penyadapan oleh lembaga penegak hukum. Dasar ini berkorelasi lemah dengan undang-undang saat ini, oleh karena itu, kami menganggap bahwa tujuan dari sistem ini adalah: "perlindungan informasi untuk kebutuhan pribadi dan keluarga". Dengan tujuan operasi ini, El Chapo tidak memiliki batasan, dan dia dapat melakukan apa pun yang dia inginkan dan bagaimana dia inginkan dengan sistem.

Untuk artikel kami, ini terlalu sederhana dan tidak menarik.

Berdasarkan penyelidikan, ditemukan bahwa dalam percakapan telepon, El Chapo memberikan perintah untuk menyuap dan menyuap pejabat dan kemungkinan besar menyebut nama mereka, nama keluarga dan informasi pribadi lainnya, yaitu, data pribadi (selanjutnya - PD).

Mari kita bayangkan bahwa El Chapo, setelah membaca Undang-Undang Federal 27 Juli 2006 N 152- "Tentang Data Pribadi" , memahami bahwa ia adalah operator data pribadi dan bahwa ia benar-benar menggunakan data pribadi bukan untuk kebutuhan pribadi, tetapi untuk kegiatan wirausaha, dan bahwa diwajibkan oleh hukum untuk melindungi mereka.

Perlindungan kriptografi dari data pribadi

© Gambar Internet

Karena, selama panggilan telepon, PD ditransmisikan secara jelas melalui jaringan komunikasi publik, El Chapo berpikir dan memutuskan bahwa ada risiko tinggi PD dicegat oleh penyusup, dan oleh karena itu informasi perlu dienkripsi.

Untuk perlindungan kriptografis dari data pribadi, sesuai dengan

• Atas perintah Layanan Keamanan Federal 10 Juli 2014 N 378 “Atas persetujuan komposisi dan konten langkah-langkah organisasi dan teknis untuk memastikan keamanan data pribadi ketika mereka diproses dalam sistem informasi data pribadi menggunakan perlindungan kriptografi informasi yang diperlukan untuk memenuhi persyaratan untuk perlindungan pribadi yang ditetapkan oleh Pemerintah Federasi Rusia data untuk masing-masing tingkat keamanan "
• "Pedoman untuk pengembangan tindakan hukum normatif yang mendefinisikan ancaman terhadap keamanan data pribadi yang relevan dengan pemrosesan data pribadi dalam sistem informasi data pribadi yang dioperasikan selama pelaksanaan kegiatan yang relevan", disetujui oleh manajemen Pusat ke-8 FSB Rusia (N 149/7/2 / 6- 432 dari 31/3/2015)

El Chapo harus membuat model penyusup, dengan dasar untuk menentukan kelas perlindungan kriptografi yang diperlukan. Karena El Chapo takut akan layanan khusus, ia membutuhkan sarana perlindungan kelas maksimum - KA .

El Chapo membuka daftar cryptocurrency yang disertifikasi oleh FSB Rusia dan, tanpa menemukan sesuatu yang cocok, menoleh ke Rodriguez. Di sini, kisah kami, seperti banyak proyek dalam keamanan informasi, membuat lingkaran, dan kami kembali ke tahap pengembangan. Tanpa merinci, kami berasumsi bahwa Rodriguez dibuat dan disertifikasi di FSB untuk kelas yang sesuai di FSB.

Karena El Chapo melindungi data pribadi, persyaratan PKZ-2005 mengikatnya . Tidak ada yang supranatural dalam persyaratan ini, dan pada kenyataannya mereka hanya memaksa El Chapo untuk mematuhi persyaratan dokumentasi teknis untuk sistem, yang disiapkan Rodriguez dan disepakati dengan FSB Rusia.

Selain dokumen-dokumen di atas, El Chapo berkewajiban untuk dipandu oleh "Petunjuk tentang organisasi dan keamanan penyimpanan, pemrosesan dan transmisi melalui saluran komunikasi menggunakan sarana perlindungan kriptografi informasi dengan akses terbatas yang tidak mengandung informasi yang merupakan rahasia negara", disetujui atas perintah FAPSI 13 Juni 2001 tahun N 152 (pada orang umum - FAPSI 152).

Menurut dokumen ini, El Chapo perlu membangun proses internal terkait dengan operasi cryptocurrency, di antaranya adalah:

• organisasi pelatihan dan penerimaan bandit untuk menggunakan peralatan komunikasi seluler yang aman (dalam sains - penerimaan pengguna untuk penggunaan cryptocurrency secara independen);
• per-instance akuntansi klien perangkat lunak sistem dan kunci kripto;
• organisasi fasilitas keamanan di mana pemeliharaan telepon akan dilakukan dan pembentukan kunci kripto;
• dan lainnya

Ekspor ponsel yang aman ke luar negeri

© Gambar Internet

Sejak El Chapo melakukan "bisnis internasional", perlindungan komunikasi saat berkomunikasi dengan "mitra" asing tidak akan kurang relevan baginya daripada perlindungan negosiasi di dalam negeri. Untuk melakukan ini, apa pun yang dikatakan orang, ia perlu mentransfer ke orang asing baik perangkat lunak untuk sistem komunikasi selulernya, atau telepon dengan klien perangkat lunak yang sudah diinstal dan dikonfigurasi.

Keduanya, menurut hukum Rusia, ditafsirkan sebagai ekspor dana enkripsi (kriptografi) di luar negeri dan, sesuai dengan Peraturan tentang impor ke wilayah pabean Uni Ekonomi Eurasia dan ekspor enkripsi (kriptografi) berarti dari wilayah pabean Uni Ekonomi Eurasia (Lampiran N9). Keputusan Dewan Komisi Ekonomi Eurasia tanggal 21 April 2015 N 30) terbatas (dengan pengecualian penggunaan pribadi, tetapi ini bukan kasus kami).

Sebelum melalui bea cukai, El Chapo harus mendapatkan izin ekspor, yang terdiri dari dua jenis:

1. Notifikasi
2. Perizinan

Notifikasi - bentuk yang disederhanakan dari izin impor / ekspor - digunakan untuk kriptografi "lemah" atau "sehari-hari". Daftar dana yang tunduk pada pemberitahuan didefinisikan dalam Lampiran No. 4 Peraturan tentang Impor ke Wilayah Pabean Uni Ekonomi Eurasia dan Ekspor dari Wilayah Pabean Uni Enkripsi Ekonomi Eurasia (Kriptografi) Berarti (Lampiran No. 9 pada Keputusan Dewan Komisi Ekonomi Eurasia 21 April 2015) . N 30)

Karena sistem komunikasi seluler El Chapo yang aman memiliki kelas perlindungan kriptografi untuk pesawat ruang angkasa , itu tidak akan dikenakan biaya pemberitahuan, dan ia harus mendapatkan lisensi untuk ekspor. Untuk melakukan ini, ia harus melalui pencarian, tugas yang dijelaskan dalam Keputusan Dewan Komisi Ekonomi Eurasia tanggal 06.11.2014 N 199 (sebagaimana diubah pada 19/04/2016) "Pada Petunjuk tentang pelaksanaan aplikasi untuk lisensi untuk ekspor dan (atau) impor jenis tertentu barang dan pendaftaran lisensi dan Instruksi tentang penerbitan izin untuk ekspor dan (atau) impor jenis barang tertentu ” , dan itu jauh dari kenyataan bahwa ia dapat melakukannya ...

Kesimpulan

Saya harap dengan contoh phantasmagoric ini, Anda bisa mendapatkan ide umum tentang arah utama regulasi kriptografi di Federasi Rusia. Untuk pengembangan lebih lanjut, saya sarankan Anda membiasakan diri dengan daftar tindakan legislatif dan peraturan dasar yang mengatur keamanan informasi di Rusia.

Disclimer Penulis, seperti halnya semua manusia progresif, mengutuk keras perdagangan narkoba dan kegiatan kriminal lainnya. Matahari, udara, dan air adalah teman terbaik kita.