Я кратко пересказал содержание выступлений на расширенном заседании комитета Госдумы по инфополитике, состоявшемся 17 января 2019 года. Расшифровка выступления представителя компании из «гроссен тройкен», в смысле «большой четверки».
Депутат Андрей Луговой, один из авторов законопроекта «о сувенирном Рунете», резко отреагировал на выступление Сергея Мальянова. Видимо обиделся на то, что тот его всё время Алексеем называл. Луговой направил депутатский запрос президенту компании «Вымпелком» (сотовая сеть «Билайн») Александру Крупнову и написал об этом в своём блоге в Живом Журнале . История умалчивает о последствиях запроса. Не уверен, что ему ответили. Ну или дали такую же отписку, какие любят давать органы исполнительной власти или депутаты.
#12 - Мальянов Сергей Анатольевич, директор по работе с госорганами «Вымпелком» («Билайн»)
Спасибо, Леонид Леонидович.
Удачное место для выступления. Достаточно яркие выступления. Коллегам спасибо. Спасибо Алексей Константинович (прим. Фила: он и дальше по тексту будет называть Андрея Лугового Алексеем) за то, что раскрыл свой замысел — что же он хотел сказать. Начну с того, что я не отношу себя к той категории коллег, которые поддержали этот закон. И не потому то они закон поддержали… они поддержали то, что нужно регулировать этот вопрос, а не сам законопроект. И почему. Законопроект, в соответствии с его замыслом и концепцией, направлен на принятие необходимых защитных мер для обеспечения долгосрочной устойчивой работы сети «Интернет» в России, повышение надежности работы российских интернет-ресурсов. Это из пояснительной записки. На наш взгляд авторам законопроекта НЕ УДАЛОСЬ решить задачу предложенной моделью регулирования. Даже уважаемый Алексей Константинович сказал, что эти угрозы «очевидны». Коллеги высказались, что прежде чем делать систему, нужно описать, что же мы хотим. Вы четко сказали — два направления угроз очевидных. Это технологические и контентные.
Начну с контентных. Действительно, большая часть законопроекта направлена на установку технических средств защиты, так называемых, которые должны фильтровать контент. К целостности, устойчивости и безопасности сетей связи общего пользования и к работе сети «Интернет» эта позиция не имеет никакого отношения.
Второе. Технологические угрозы для парирования которых нужно узнать, а какая же у нас сеть, как она устроена, как она работает, с тем, чтобы устными командами управлять этой сетью. Роман Валериевич сказал [1], что Федеральное Агенство Связи имеет полную информацию о сетях связи общего пользования, их составе, структуре и перспективах развития. Эта информация передаётся в соответствии с законом «о связи» и 103-им постановлением Правительства [2]. Есть соответствующие приказы — 258 Министерства Связи [3], где указано, что раз в год все операторы связи эту информацию передают. Роскомнадзор и Министерство связи имеют возможность пользоваться этой информацией. Всё. Зачем нам на уровень закона выносить ещё раз тоже самое, что уже передаётся на уровне подзаконного акта. Таким образом, в рамках концепции закона, закон не реализует ту задачу, даже концептуально, ради которой он направлен. Нет сомнений, что эту задачу нужно решать.
Но если мы сейчас скажем, что да, закон «неважный», но мы его там ко второму чтению «подрихтуем» своими замечаниями, ничего не получится, уважаемые коллеги. Концепция закона тогда в корне изменится. Это будет другой закон. Поэтому предлагается работать над другим законом.
Возвращаясь к вопросам управления с точки зрения технологий, Министерство цифрового развития вместе с операторами связи нашли консенсус, подготовлен закон по (прим. Фила: неразборчиво, мне не известен этот термин, но скорее всего имеется ввиду закон о безопасности критической инфраструктуры [4]), так называемый, где все вещи уже отражены. Зачем ещё один нужен? Т.е. понятной модели угроз не получилось, понятной модели парирования этих угроз не получилось, и, соответственно, в терминах права эти модели описаны не были. Вопросы централизованного управления сетью связи общего пользования. Да, это требование записано и в доктрине информационной безопасности Российской Федерации [5]. Это требование записано и в стратегии развития «Информационного общества» [6]. Эти нормы и мероприятия описаны в программе «Цифровой экономики» [7]. Но простите, что это за управление.. централизованное управление сетями связи методом управления средствами DPI по очистке контента и устными замечаниями Роскомнадзора, что не туда маршрутизируется. Вопросы «не туда»… Аркадий Саломонович уже сказал — 1.6%. Какой «туда», что такое «не туда» [8]. Видимо поэтому, в результате отсутствия замысла, а как же нужно парировать эти угрозы, законопроект уходит от прямых норм при обеспечении защиты сети «Интернет». А её защищать надо. И перекладывает на подзаконные акты различного уровня. А их более тридцати. Что там будет написано, не знаю. Закон Яровой и КИИ [4] нам уже показали — может быть написано всё что угодно. Поэтому никто не может сказать, как же будет обеспечена защита сети «Интернет», что будет это стоить государству и операторам связи. Да, красивая «конфета»: «Мы вам даём сервера бесплатно, а вы дальше работайте. Это здорово. Это помощь государству». При этом уже поднимался вопрос — а кто будет отвечать за установку…
Примеры привожу. Мы прикинули, допустим, что если это оборудование будет установлено по периметру нашей сети, это наиболее вероятный сценарий, то потребуется установка серверов более чем на 150-ти площадках, от одного до 20 серверов на площадку. Т.е. больше 400-от серверов только на сети «Вымпелкома» Их суммарная стоимость это… на плечи государству… миллиард рублей. Работа по инсталляции — это полмиллиарда. На наших плечах. Ежегодное расширение со второго года - 125 миллионов рублей без учета стоимости серверов — это ещё 1.2 миллиарда рублей за 5 лет. Ежегодная стоимость расширения, а мы не знаем как это будет — угонится Роскомнадзор или организации, которым он поручит установку этого оборудования в соответствии с расширением нашей сети. Да, мы говорим — возможно планирование. Но учтите — это бюджетный процесс и всё не так просто.
Про проблемы ответственности третьих лиц уже сказали.
Пятое. Центр мониторинга и управления сетью связи общего пользования. Исходя из понимания предлагаемых норм, это ни что иное, как государственная информационная система. В соответствии с законом 149-ФЗ «об информации, информационных технологиях и защите информации» [9], вся информация, которая там хранится определяется законом и порядок её сбора определяется Правительством. Законопроектом это передано на плечи Роскомнадзора. Что противоречит действующему законодательству. Я не буду вдаваться — там много таких вещей. Собственно Роскомнадзор наделяется несвойственными функциями. Вводится новая система распределения полномочий между федеральными органами исполнительной власти которое приводит к дуальности регулирования управления сетью и маршрутизацией трафика. Так вопросы присоединения сетей связи действующее законодательство относит к функциям Минкомсвязи, этот законопроект — к Роскомнадзору. Требования к сетям связи: действующее законодательство — Минкомсвязи, законопроект — Рокомнадзору. Управление сетями связи на порядок пропуска трафика: действующее законодательство — Минкомсвязи и Россвязь, в случае чрезвычайных ситуаций, законопроект — Роскомнадзору.
Очень велики риски установки средств DPI. Риск получения информации персональных данных третьими лицами, риск использования полученных данных с технических средств противодействия угрозам, не связанных с принятием обязательных к выполнению указаний.
Поэтому законопроект не достигает поставленных целей, противоречит нормам действующего законодательства, требует существенно переработки. Ну и предлагается, скажу словами Руслана Султановича [10], продолжить дискуссию по разработке законопроекта по защите сети «Интернет», прежде, чем его выносить на первое чтение. Спасибо.
- 1. Расшифровка выступления Романа Шередина
- 2. Постановление Правительства РФ от 22 февраля 2006 № 103 "Об утверждении Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации в целях обеспечения функционирования сетей связи специального назначения"
- 3. Приказ Минкомсвязи России от 26.08.2014 № 258 «Об утверждении Требований к порядку ввода сетей электросвязи в эксплуатацию»
- 4. Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от 26 июля 2017 года № 187-ФЗ
- 5. Указ Президента Российской Федерации от 05 декабря 2016 г. № 646 Об утверждении Доктрины информационной безопасности Российской Федерации
- 6. Указ Президента Российской Федерации от 09 мая 2017 г. № 203 О Стратегии развития информационного общества в Российской Федерации на 2017 – 2030 годы
- 7. Паспорт национальной программы «Цифровая экономика Российской Федерации»
- 8. АДЭ. Отчет о фактическом состоянии маршрутизации внутрироссийского трафика через зарубежные сети. 20 ноября 2017 года.
- 9. Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 № 149-ФЗ
- 10. Расшифровка выступления Руслана Ибрагимова