La última vez que escribimos sobre el hecho de que Mintsifra presentó la audiencia pública del proyecto de ley, de acuerdo con el memorando explicativo que prohíbe que los servicios en Rusia trabajen con la tecnología de ocultar nombres de dominio: eSNI / ECH, y más ampliamente, todo el TLS v. 1.3, y de acuerdo con la letra del proyecto de ley, incluso HTTPS en general.
Ahora me gustaría mostrar lo que la gente de TI puede hacer en tales casos, además de las acaloradas discusiones sobre Habré. Si esto tendrá un efecto, lo veremos en las próximas semanas, pero al menos esta es la forma correcta de comunicarse con las agencias gubernamentales sobre tales proyectos de ley.
En realidad, cada proyecto de ley que está considerando el Ministerio de Ciencia Digital, al igual que otros departamentos, tiene su propia página en Regulation.gov.ru; en este caso, aquí está . Tiene un enlace "Tus propuestas", al hacer clic en el cual e ingresando a través de los Servicios del Estado, puedes enviar propuestas en texto o como archivo adjunto.
¿Qué hacer y qué no hacer?
- Envíe únicamente propuestas escritas sobre la esencia y la materia del proyecto de ley, con comentarios específicos. Dedique uno o dos días a leer detenidamente la esencia del proyecto de ley y formular afirmaciones específicas al respecto.
- , - . , 500 , 10 , 490 — , , . , , , .
- — - , . , .
- , , etc. — . — , , .
- Si tiene la oportunidad de publicar abiertamente una reseña y una nota explicativa, por ejemplo, en los medios de comunicación o en el sitio web de cualquier asociación u organización especializada, utilícela. Deje que el rastro de su actividad permanezca en el campo público y sea Google.
- No te olvides de Habr. En lugar de gemir una y otra vez en los comentarios que nadie lee sobre funcionarios desalmados, haga el trabajo especificado y compártelo aquí.
Entonces, ahora, un buen ejemplo.
Llamamiento al Ministerio de Hacienda: expertos sobre el peligro del nuevo proyecto de ley
"Aquellos que están dispuestos a sacrificar su libertad esencial por una fracción de la seguridad temporal no son dignos de libertad o seguridad".
Benjamin Franklin,
Carta oficial de la Asamblea de Pensilvania al
gobernador Thomas Wharton
11 de noviembre de 1755
El lunes 5 de octubre finalizó la recepción de respuestas en el marco de la discusión pública del nuevo proyecto de ley del Ministerio de Ciencia Digital de la Federación de Rusia, que modifica 149-FZ "Sobre Información, Tecnologías de la Información y Protección de la Información":
1) 2 21 :
« , () - «» — , , .»;
2) 2 10 :
« , () - «», , .
La violación de la prohibición del uso en la Federación de Rusia de protocolos de cifrado que permiten ocultar el nombre (identificador) de una página web o sitio en Internet, implica la suspensión del funcionamiento del recurso de Internet a más tardar 1 (un) día hábil a partir de la fecha de detección de esta violación por parte del autorizado. órgano ejecutivo federal "
Según muchos expertos, que compartimos plenamente, en su forma actual, este proyecto de ley no solo es dañino, sino peligroso, principalmente para el segmento doméstico de Internet, que se pretende proteger.
Empecemos un poco desde lejos. Una parte importante de la existencia y el desarrollo de Internet durante las últimas dos décadas, desde el momento en que se convirtió en un medio de comunicación generalmente aceptado, que incluye, para la transferencia de información crítica, incluidos los datos financieros, personales de los usuarios y similares, es la lucha contra los estafadores y otras personas con deshonestidad. intenciones. Hubo muchas etapas: el rápido desarrollo de antivirus, la protección contra correo no deseado y correos electrónicos falsos (phishing), la distribución de certificados que confirman que el sitio que visitó es realmente quien dice ser y, finalmente, el cifrado de los mensajes transmitidos entre su computadora. y un sitio de datos para que los estafadores no puedan interceptar, espiar o falsificar.
Estas tareas se van resolviendo paulatinamente, como en cualquier competición entre proyectiles y armaduras.
La siguiente etapa para proteger a los usuarios de Internet de los estafadores es ocultar a los forasteros no solo el contenido de la información que intercambia con los sitios, sino también los nombres de los sitios que visita. Nadie, excepto usted, debe saber qué banco y cuándo utiliza, en qué servicios está registrado. Estas tecnologías son conocidas por los profesionales como eSNI y ECH y ahora se encuentran en las primeras etapas de implementación.
Sí, estas tecnologías evitan que Roskomnadzor bloquee sitios no deseados, incluidos sitios que alojan contenido prohibido. Pero de la misma manera, las cerraduras en las puertas de los apartamentos y entradas impiden que la policía persiga los presuntos delitos, pero aquí la sociedad no ha dudado en llegar a un consenso de que el espacio personal debe permanecer privado y protegido. Que el derecho a proteger este espacio no debe delegarse incondicionalmente a las autoridades competentes, porque todavía no pueden poner un policía en cada puerta. Que hay una frontera que no se puede cruzar. Sí, una persona honesta no tiene nada que ocultar. No, esto no significa que pueda prohibirle que corra las cortinas de las ventanas.
Desafortunadamente, en el campo de las tecnologías digitales no existe tal consenso; por lo tanto, si desarrollamos una analogía, el Ministerio de Desarrollo Digital sugiere comenzar con la prohibición de correr las cortinas y luego pasar a la ilegalidad de las cerraduras de las puertas.
Además de la propia inadmisibilidad de tales prohibiciones, es necesario señalar el daño colosal que infligirán a la industria rusa de Internet a mediano plazo. Los eSNI y ECH antes mencionados son parte de estándares globales, por ejemplo, el estándar TLS v.1.3, que no solo será utilizado cada vez más por empresas extranjeras, sino que ciertamente se incluirá en ciertos requisitos, por ejemplo, en los requisitos de seguridad de procesamiento de información financiera PCI DSS. que todas las organizaciones bancarias y de pagos deben satisfacer.
¿Qué responderá el Ministerio de Tsifra cuando los representantes de los bancos rusos se acerquen y digan que ya no pueden trabajar con tarjetas VISA y MasterCard, porque la nueva versión de PCI DSS hace que TLS v.1.3 sea obligatorio y el Ministerio de Tsifra lo prohibió? ¿Cuándo resultará que los servicios más grandes del mundo se están moviendo hacia nuevos estándares simplemente en el curso de las actualizaciones de software programadas en sus servidores?
Además, la extrema vaguedad de la redacción del proyecto de ley hace posible, si se adopta, cerrar casi toda Internet, incluida la rusa, literalmente al día siguiente. La frase "permitir ocultar el nombre (identificador) de la página de Internet" puede aplicarse formalmente a cualquier sitio que utilice el protocolo HTTPS, es decir, a casi el 100% de los sitios grandes. Vaya a Yandex, Mail.ru, Sberbank, Kultura.rf: ¿ve el ícono de candado junto a la dirección del sitio web? Este es el mismo HTTPS que "oculta el nombre de las páginas de Internet" y al mismo tiempo evita que los atacantes reemplacen el sitio real por uno falso, intercepten los detalles de su tarjeta de crédito o descubran sus contraseñas.
Sin negar la importancia de combatir la propagación de contenido ilegal en Internet, enfatizamos: si se adopta en su forma actual, el proyecto de ley causará un daño irreparable al segmento ruso de Internet, cortando el mercado ruso de los servicios más grandes del mundo, poniendo en peligro la digitalización de la economía rusa y reduciendo drásticamente la competitividad de las empresas nacionales de Internet. en el mercado internacional. El retraso en las tecnologías para proteger los datos transmitidos pondrá en peligro la seguridad nacional del país, facilitando a los agentes extranjeros interesados la recopilación de información relevante.
Insistimos en que el proyecto de ley debe ser revisado radicalmente teniendo en cuenta los comentarios anteriores.
Solicitud:Revisión de los expertos del Partido Democracia Directa sobre el proyecto de ley "Sobre las modificaciones de los artículos 2 y 10 de la Ley federal" Sobre la información, las tecnologías de la información y la protección de la información "( PDF, 171 KB ) Esta
revisión está firmada por:
Makarov Vyacheslav Viktorovich
Secretario general del Consejo Supremo de Coordinación del Partido directo Democracia
Artamonov Oleg Nikolaevich
Jefe del grupo de expertos científicos y técnicos del Partido Democracia Directa
Shevyakov Timofey Nikolaevich
Secretario de Prensa, miembro del Consejo Supremo de Coordinación del Partido Democracia Directa
Lysakovsky Dmitry Ivanovich
Empresario, miembro del Consejo Supremo de Coordinación del Partido Democracia Directa
Chigidin Boris Viktorovich
Miembro del Consejo Supremo de Coordinación del Partido Democracia Directa, Ph.D.
Filippov Andrey Alexandrovich
Miembro del Consejo Supremo de Coordinación del Partido de la Democracia Directa
Palyulin Anton Yurievich
Socio director del despacho jurídico "Palyulin and Partners"
Nesterovich Sergey Alexandrovich
Diputado. Editor jefe de "Agency of Political News"
Scherbakov Alexey
Desarrollador líder FoodPlex
Pusher Alexander
Emprendedor, Community Lead en Gaijin Entertainment
Kaloshin Vyacheslav
, empresario, arquitecto, director de proyectos
Zaitsev Alexey Vladimirovich
Desarrollador web
Povolotsky Alexander Borisovich
Administrador y programador del sistema
Bolshakov Nikolay Borisovich Jefe de
proyecto
Ivanov Pavel Borisovich
Jefe de proyecto Learnee, desarrolladora
Maddalena Alexander Nikolovich
Profesional independiente
Petrov Alexey Alekseevich
Empresario, desarrollador web
Vardiev Pavel Anatolyevich
Especialista en TI con más de 20 años experiencia
***
El llamamiento original se publica aquí . Si desea convertirse en signatario, aunque sea post factum, hay un formulario en el enlace a continuación.
Seamos honestos, no sabemos si esto tendrá algún efecto, pero intentaremos asegurarnos de que se note la apelación en el Ministerio de Seguridad Digital.
¿Repetiremos esta experiencia la próxima vez? Al menos, entonces nadie podrá decir "sí, los piratas informáticos del recurso Habr no estaban contentos, pero de hecho no se recibieron comentarios".