Запрет чиновникам пользоваться иностранным ПО

Очевидно, что эта инициатива ставит своей целью повысить безопасность государства. Чиновники в своей работе могут вольно или невольно использовать и передавать информацию, которая представляет интерес для разведывательных служб других государств и утечка этой информации нежелательна. 

Понятно, что когда речь идет о государственной тайне и очень ограниченном числе лиц, допущенных к информации, публичные сервисы не используются, а используются спецсредства. Но значительный объем не столь «серьезной» информации проходит через большую массу чиновников и утечки этих данных, очевидно, происходят. То есть, цель поставлена разумная. 

Однако, само предложение, в содержательной части, взвывает много вопросов. Во-первых, в современном мире личной мобильности очень сложно разделить личные контакты и деловые, официальные. Предположим, что чиновник не будет использовать WhatsApp для рабочей переписки. Но где гарантия того, что та или иная информация не пройдет в личной переписке? Получается, что если никак не разделить личные и рабочие данные, то надо вообще запретить пользоваться всем зарубежными сервисами передачи данных, а это практически невозможно.

Во-вторых, современный Интернет устроен таким образом, что в нем намого больше публичных сервисов передачи данных, чем Google, Yahoo и WhatsApp. Можно запретить их — начнут пользоваться Telegramm, Line или Skype и т.д. Получается, что надо тогда не делать список запрещенных программ, а наоборот — делать список разрешенных программ и этот список должен быть очень коротким Поможет ли это? Не совсем.

Да, мы устраним уязвимость, если вместо WhatsApp разработаем российский продукт «Весточка» и он будет использовать российские сервера и шифрование по ГОСТу. Сделать такой продукт несложно, равно как сделать свой почтовый сервис. Но это решит задачу лишь в какой-то мере. Потому что на уровне операционных систем всегда можно получить информацию о том, что набирает на клавиатуре пользователь. И не только эту информацию. В Интернете активно обсуждаются скандалы с тем, что Windows 10 следит за пользователями (формально — с их разрешения, так как все есть в лицензионном договоре), есть определенные замечания и к другим ОС как для компьютеров, так и для мобильных устройств.

Значит, если мы хотим действительно защитить данные, то это делается созданием полного комплекта ПО — от операционной системы до каждого отдельного приложения. Я не довожу проблему до обсуждения «железа», но если впасть в состояние глубокого беспокойства о безопасности, то, очевидно, есть риск, что поставляемая из-за рубежа аппаратная база будет содержать «закладки». Это действительно возможно, а своей аппаратной базы в России нет в достаточном количестве, чтобы на ней собирать компьютеры, планшеты и мобильные телефоны.

И все-таки тут вопрос все-таки не такой острый, так как, во-первых, возможности аппаратной базы ограничены, а во-вторых эвристический анализ трафика устройства с высокой степени достоверности может определить наличие «паразитного» потока данных. Программный метод неавторизованного доступа к данным намного проще в реализации. Исключение составляют атаки типа DOS — отказ в обслуживании, когда можно специальным сигналом вывести из строя практически любое количество устройств. Кстати, во время операции «Буря в пустыне» именно так была выведена из строя телефонная связь в Ираке в зоне боевых действий.

Поэтому, если мы говорим о зашифрованном трафике, который сам по себе перехватывать не имеет смысла, атаки на аппаратном уровне будут носить точечный характер — подмена устройств у ключевых лиц, подаренные устройства и т.д. Как это делать — хорошо показано в американских фильмах. Какой можно сделать вывод. Инициатива в той форме, в которой она представлена правильная, но принесет незначительное улучшение аспектов информационной безопасности. Это не панацея.

Более стратегически выверенным было бы разработать закрытую систему обмена сообщений для чиновников, включающую в себя как прикладное ПО, так и операционную систему. Тем более, что многие крупные компании идут по такому пути, так что в самом комплексном подходе нет ничего нового. 

В заключении хочется сказать, что все технические средства обеспечения безопасности решают лишь техническую проблему. А огромное число утечек происходит без использования компьютеров, калькуляторов и телефонов. Личная беседа, алкоголь и открытость души позволяет эффективно получать самые зашифрованные данные из самых закрытых систем.