Lidamos com os regulamentos criptográficos russos ... usando o exemplo da prisão de um traficante

Traficante mexicano Joaquin Guzman Loera (El Chapo)

Há pouco tempo, apareceu um artigo na mídia que o traficante mexicano El Chapo foi preso porque seu oficial de TI vazou chaves criptográficas para o FBI, e eles, por sua vez, conseguiram descriptografar e ouvir suas conversas telefônicas.

Vamos fantasiar e imaginar que o traficante, a pessoa de TI e tudo, tudo, todos morariam na Rússia ...

Apresentado? E agora analisaremos quais leis e como o uso da proteção criptográfica seria regulamentado nesse caso fantasmagórico.

Sobre a história e os personagens principais em mais detalhes

© quadro do filme "Gangs of New York"

O traficante El Chapo contratou Christian Rodriguez, 21 anos, especialista em TI colombiano, para criar um sistema de comunicação móvel criptografado para ele, através do qual ele poderia se comunicar com os cúmplices sem medo de escutas telefônicas pelos serviços de segurança.

Rodriguez criou um sistema semelhante e, a julgar pela descrição , era uma telefonia VoIP com criptografia de tráfego. Os clientes do sistema foram instalados nos telefones celulares dos bandidos, depois dos quais “bastava discar 3 dígitos adicionais” para conversar sem medo de escutas telefônicas.

Após a introdução do sistema, Rodriguez a acompanhou e também participou de outros projetos de TI (por exemplo, organização de escutas telefônicas de sua esposa El Chapo), obedecendo à vontade do traficante.

Depois de algum tempo, Rodriguez foi recrutado pelo FBI e que ... segundo o SecurityLab.ru, vazaram as chaves de criptografia ... ou segundo o New York Times "instalou equipamento de gravação na rede criptografada que enviava ao FBI à meia-noite cópias de todas as negociações do El Chapo".

Em poucas palavras, é tudo. Agora vamos passar para a análise das leis.

Licenciamento

© captura de tela do jogo “Heroes of Might and Magic”

Nossa história começa com El Chapo contratando Rodriguez para desenvolver um sistema de comunicação seguro.

Em termos de parágrafos. 1 p. 1 artigo 12 da Lei Federal de 05.04.2011 N 99- "No licenciamento de certos tipos de atividades" Rodriguez, para implementar um contrato com El Chapo, deve ter uma licença "para criptografia".

Se Rodriguez não tem essa licença e se envolveu no trabalho, então, por isso, de acordo com o art. 13.13 O Código Administrativo ameaça administrativo e de acordo com o Artigo. 171 do Código Penal da responsabilidade criminal da Federação Russa .

A licença “para criptografia” é corretamente chamada - uma licença para o desenvolvimento, produção, distribuição de meios de criptografia (criptográficos), sistemas de informação e sistemas de telecomunicações protegidos usando criptografia (criptográficos), desempenho do trabalho, prestação de serviços no campo da criptografia de informações, manutenção da criptografia (criptográficos), sistemas de informação e sistemas de telecomunicações protegidos por criptografia (criptográficos) redstv (exceto se a manutenção de criptografia (instalações de criptografia), sistemas de informação e sistemas de telecomunicações são protegidos com criptografia meios (criptografia), é realizada para garantir as necessidades da pessoa jurídica ou empresário individual). Além disso, por simplicidade, usaremos o nome errado, porém mais compreensível e abreviado - a licença para criptografia.

De acordo com o Decreto do Governo da Federação Russa de 21 de novembro de 2011 N 957 “Sobre a Organização de Licenciamento de Certos Tipos de Atividades”, o FSB da Rússia está envolvido na emissão de licenças “para criptografia”.

O procedimento para obter os requisitos de licença e licenciamento para Rodriguez está descrito no Decreto do Governo da Federação Russa de 16.04.2012 N 313 (conforme alterado em 18/05/2017) “Após a aprovação do Regulamento sobre licenciamento das atividades de desenvolvimento, produção, distribuição de criptografia (criptográfica), sistemas de informação e telecomunicações sistemas protegidos com meios de criptografia (criptográficos), executando trabalhos, prestando serviços no campo da criptografia de informações, manutenção de meios de criptografia (criptográficos), sistemas de informação e sistemas de telecomunicações protegidos usando meios de criptografia (criptográficos) (a menos que a manutenção de meios criptográficos (criptográficos), sistemas de informação e sistemas de telecomunicações protegidos usando meios criptográficos (criptográficos) sejam realizados para atender às necessidades da própria pessoa jurídica empreendedor individual) " .

Ao mesmo tempo, não basta que Rodriguez "obtenha" uma licença, ele deve listar as atividades permitidas relevantes, cuja lista completa é fornecida no Apêndice ao Decreto do Governo da Federação Russa de 16.04.2012, n . 313 . Dependendo da composição das atividades permitidas, Rodriguez enfrentará vários requisitos de licenciamento, variando de qualificações para educação a acesso a segredos de estado.

Com isso em mente, Rodriguez se engajou não apenas no desenvolvimento do sistema, mas também em sua implementação e manutenção; em seguida, em sua licença, as seguintes atividades devem estar presentes (numeração de acordo com o Decreto do Governo da Federação Russa de 16.04.2012 No. 313):

3. Desenvolvimento de sistemas de telecomunicações seguros usando meios de criptografia (criptográficos).
4. Desenvolvimento de ferramentas para a produção de documentos importantes.
5. Modernização de criptografia (criptográfica) significa.
6. Modernização das principais ferramentas de produção de documentos.
7. Produção (replicação) de criptografia (criptográfica) significa.
9. Produção de sistemas de telecomunicações protegidos por meio de criptografia (criptográfica).
10. Produção das principais ferramentas de produção de documentos.
12. Instalação, instalação (instalação), ajuste de criptografia (criptográfica) significa, com exceção dos meios de criptografia (criptográfica) de proteção de dados fiscais, desenvolvidos para uso como parte de caixas registradoras certificadas pelo Serviço de Segurança Federal da Federação Russa.
14. Instalação, instalação (instalação), ajuste de sistemas de telecomunicações protegidos por meio de criptografia (criptográfica).
15. Instalação, instalação (instalação), ajuste dos meios de fabricação dos principais documentos.
16. Reparação de criptografia (criptográfica) significa.
18. Reparação, manutenção de sistemas de telecomunicações seguros usando meios de criptografia (criptográficos).
19. Reparo, manutenção dos meios de fabricação dos principais documentos.
20. Trabalhar na manutenção de instalações de criptografia (criptográficas) previstas na documentação técnica e operacional para essas instalações (a menos que as operações indicadas sejam realizadas para garantir as necessidades pessoais de uma entidade legal ou empresário).
21. Transferência de criptografia (criptográfica) significa, com exceção dos meios de criptografia (criptográfica) de proteção de dados fiscais, desenvolvidos para uso como parte de caixas registradoras certificadas pelo Serviço de Segurança Federal da Federação Russa.
23. Transmissão de sistemas de telecomunicações protegidos por meio de criptografia (criptográfica).
24. Transferência de meios para a produção de documentos importantes.

Imediatamente, observamos que o uso da criptografia para seus próprios fins não é licenciado na Rússia e, portanto, não é necessária uma licença El Chapo para criptografia.

Além disso, assumimos que Rodriguez tenha uma licença de "criptografia" com atividades relacionadas.

Desenvolvimento e produção

© imagens da Internet

De acordo com os requisitos de licenciamento, ou seja, parágrafos. b Cláusula 6 do Decreto do Governo da Federação Russa de 16.04.2012 N 313 Rodriguez é obrigado, em seu trabalho, a ser guiado pelos documentos normativos e metodológicos relevantes emitidos pelo FSB da Rússia, sendo o principal deles a Ordem do FSB da Federação Russa de 09.02.2005 N 66 (conforme alterada em 04.04.2010) " Após a aprovação do “Regulamento sobre desenvolvimento, produção, venda e operação de meios de criptografia (criptográficos) de proteção de informações (Regulamento PKZ-2005)” (Registrado no Ministério da Justiça da Federação da Rússia 03.03.2005 N 6382) " (a seguir designado PKZ-2005).

De acordo com este documento, o processo de criação de um sistema de comunicação móvel seguro consiste nas seguintes etapas:

1. Desenvolvimento.
2. Produção.
3. Espalhe. Apesar do fato de Rodriguez ter feito desenvolvimento sob medida / personalizado, o processo de sua transferência para o cliente é tratado como distribuição.

Todas essas etapas implicam uma estreita cooperação com o FSB da Rússia e a coordenação de tarefas técnicas e documentação para o sistema que está sendo produzido.

Operação de um sistema seguro de comunicações móveis

© imagens da Internet

Assumimos que a operação de um sistema seguro de comunicações móveis seja a área de responsabilidade da El Chapo. Rodriguez está envolvido nisso apenas como aqueles. suporte.

A partir da descrição da história de El Chapo, lembramos que o sistema foi criado para proteger contra escutas telefônicas pelas agências policiais. Essa base está fracamente correlacionada com a legislação atual, portanto, assumimos que o objetivo do sistema é: “proteção de informações para necessidades pessoais e familiares”. Com esse objetivo de operação, El Chapo não tem restrições e pode fazer o que quiser e como quiser com o sistema.

Para o nosso artigo, isso é muito simples e não é interessante.

Com base na investigação, foi estabelecido que, em uma conversa telefônica, El Chapo deu ordens para subornar e subornar funcionários e provavelmente chamou seus nomes, sobrenomes e outras informações pessoais, ou seja, dados pessoais (doravante - PD).

Imaginemos que El Chapo, depois de ler a Lei Federal de 27 de julho de 2006, N 152- “Sobre dados pessoais” , entendeu que ele é um operador de dados pessoais e que ele realmente usa dados pessoais não para necessidades pessoais, mas para atividades empresariais, e que exigido por lei para protegê-los.

Proteção criptográfica de dados pessoais

© imagens da Internet

Como, durante as ligações telefônicas, os PDs são transmitidos de forma aberta por meio de uma rede de comunicação pública, El Chapo pensou e decidiu que havia um alto risco de PD ser interceptado pelos atacantes e, portanto, as informações devem ser criptografadas.

Para proteção criptográfica de dados pessoais, de acordo com

• Por ordem do Serviço de Segurança Federal de 10 de julho de 2014 N 378 “Aprovação da composição e conteúdo de medidas organizacionais e técnicas para garantir a segurança dos dados pessoais quando processados ​​em sistemas de informações de dados pessoais, usando a proteção criptográfica das informações necessárias para atender aos requisitos de proteção pessoal estabelecidos pelo governo da Federação Russa dados para cada um dos níveis de segurança "
• “Diretrizes para o desenvolvimento de atos jurídicos normativos que definem ameaças à segurança de dados pessoais relevantes para o processamento de dados pessoais em sistemas de informação de dados pessoais operados no curso da implementação de atividades relevantes”, aprovado pela gerência do 8º Centro do FSB da Rússia (N 149/7/2 / 6- 432 de 31/03/2015)

El Chapo deve construir um modelo de intruso, com base no qual se determine a classe necessária de proteção criptográfica. Como El Chapo tem medo de serviços especiais, ele precisa de um meio de proteção da classe máxima - KA .

El Chapo abriu a lista de criptomoedas certificadas pelo FSB da Rússia e, não encontrando nada adequado, voltou-se para Rodriguez. Aqui, nossa história, como muitos projetos de segurança da informação, faz um loop e retornamos novamente ao estágio de desenvolvimento. Sem entrar em detalhes, assumimos que Rodriguez fabricou e certificou no FSB para a classe correspondente no FSB.

Como El Chapo protege dados pessoais, os requisitos da PKZ-2005 o vinculam . Não há nada sobrenatural nesses requisitos e, de fato, eles apenas forçam o El Chapo a cumprir os requisitos da documentação técnica do sistema, que Rodriguez preparou e concordou com o FSB da Rússia.

Além dos documentos acima, El Chapo é obrigado a ser guiado pelas “Instruções sobre organização e segurança de armazenamento, processamento e transmissão por meio de canais de comunicação, usando meios de proteção criptográfica de informações com acesso limitado e que não contêm informações que constituem segredo de estado”, aprovado por despacho da FAPSI de 13 de junho de 2001. anos N 152 (em pessoas comuns - FAPSI 152).

De acordo com este documento, o El Chapo precisará criar processos internos relacionados à operação de criptomoedas, entre os quais:

• a organização de treinamento e admissão de bandidos para usar o equipamento de comunicações móveis seguras (na ciência - a admissão de usuários para o uso independente de criptomoedas);
• contabilidade por instância de clientes de software do sistema e chaves criptográficas;
• a organização das instalações de segurança nas quais a manutenção por telefone será realizada e a formação de chaves criptográficas;
• e outros

Exportação de telefones celulares seguros no exterior

© imagens da Internet

Como El Chapo conduzia "negócios internacionais", a proteção da comunicação durante a comunicação com os "parceiros" estrangeiros não seria menos relevante para ele do que a proteção das negociações no país. Para fazer isso, o que quer que se diga, ele precisaria transferir para estrangeiros o software para seu sistema de comunicação móvel ou um telefone com clientes de software já instalados e configurados.

Ambos, de acordo com a lei russa, são interpretados como a exportação de fundos de criptografia (criptográficos) para o exterior e, de acordo com o Regulamento sobre a importação para o território aduaneiro da União Econômica da Eurásia e a exportação de meios de criptografia (criptográficos) do território aduaneiro da União Econômica da Eurásia (Apêndice N 9 a A decisão do Conselho da Comissão Econômica da Eurásia de 21 de abril de 2015 N 30) é limitada (exceto para uso pessoal, mas este não é o nosso caso).

Antes de passar pela alfândega, El Chapo precisaria obter uma licença de exportação, que são de dois tipos:

1. Notificação
2. Licenciamento

A notificação - uma forma simplificada de permissão de importação / exportação - é usada para criptografia "enfraquecida" ou "cotidiana". A lista de fundos sujeitos a notificação está definida no Apêndice No. 4 do Regulamento sobre Importação para o Território Aduaneiro da União Econômica da Eurásia e a Exportação do Território Aduaneiro da União da Economia Econômica da Eurásia (Criptografia) significa (Apêndice No. 9 da Decisão do Conselho da Comissão Econômica da Eurásia) de 21 de abril de 2015 N 30)

Como o sistema de comunicação móvel seguro de El Chapo possui uma classe de proteção criptográfica para a espaçonave , ela não custa notificação, e ele precisará obter uma licença para exportação. Para fazer isso, ele terá que passar pela busca, cuja tarefa está descrita na decisão do Conselho da Comissão Econômica da Eurásia de 11.06.2014 N 199 (conforme alterada em 19/04/2016) "Nas instruções sobre a execução de um pedido de licença para exportação e (ou) importação de certos tipos bens e o registro de tal licença e as Instruções sobre a emissão de licenças para exportação e (ou) importação de certos tipos de bens " , e está longe de ser o fato de ele poder fazer isso ...

Conclusão

Espero que, com este exemplo fantasmagórico, você possa ter idéias gerais sobre as principais direções da regulamentação de criptografia na Federação Russa. Para um maior desenvolvimento, recomendo que você se familiarize com a lista de atos legislativos e regulamentares básicos que regem a segurança da informação na Rússia.

Disclimer O autor, como toda a humanidade progressista, condena veementemente o comércio ilegal de drogas e outras atividades criminosas. O sol, o ar e a água são nossos melhores amigos.