Я тут обещал же написать, почему важно создать систему взаимодействия между операторами связи (или интернет-компаниями) и всевозможными silovik-ами.
Все очень просто.
В законодательстве России, связанном с ИТ и телекомом, сейчас полный бардак, мрак и извращения. В расплодившихся «органах», включая суды, работают крайне неподготовленные, непрофессиональные и, я бы даже сказал тупые, персонажи. Это факт, данный нам в ощущениях.
Любой запрос «от органов» может быть незаконным или просто поддельным -мамкиных хацкеров, начитавшихся про «социальную инженерию», развелось до бабушки.
Потому, если интернет-компания и/или оператор связи дорожит своими клиентами, то ОН ОБЯЗАН ИМЕТЬ ПРОСТОЙ И ПОНЯТНЫЙ РЕГЛАМЕНТ взаимодействия с государственными органами.
И когда вы заключаете договор с российскими поставщиками интернет-услуг, вы должны иметь это ввиду.
Я понимаю, что это очень трудный и непростой документ и пока не все еще осознали его ценность, но наличие регламента, который опубликован и на который ссылаются другие официальные документы — это конкурентное преимущество. И это главное.
Но помимо клиентоориентированности, наличие регламента:
1. Защитит от утечек и сливов клиентских данных
2. Приведет в чувство не в меру ретивых «силовиков»
3. Защитит сотрудников от коррупционного давления и незаконных действий.
Это просто один из способов защиты в агрессивной (и даже токсичной) внешней среде, на самом деле. И да — как один из методов подтверждения исполнения регламента — публикация отчетов о взаимодействии с госструктурами. Он просто подтверждает, что регламент работает и демонстрирует объем запросов, проходящий по нему.
Что в регламенте должно быть — зависит от организации бизнес-процессов. Думаю, что в разных компаниях они различаются. Но совершенно очевидно, что:
1. Компания должна отвечать только на валидные запросы, подтвержденные законодательством — это, собственно, и есть цель регламента: описать валидность.
2. Компания ни при каких условиях не должна отправлять ответы на запросы на странные и заведомо небезопасные адреса, типа почтовых ящиков на бесплатных хостингах
3. О каждом запросе и движении дел по нему, должны знать как минимум трое человек в компании: юрист, руководитель и непосредственный исполнитель. Возможно, еще кто-то.
4. Все запросы должны быть классифицированы и учтены. Они и пойдут потом в отчет.
Это, разумеется, не все пункты. Но еще раз — компания, которая не опубликовала такой регламент потенциально опасна. И токсична. Требуйте регламент взаимодейсвтия с госструктурами у своих партнеров.
Ну, а как пример — вот так выглядит очевидно поддельное и/или незаконное письмо с требованием выдать чувствительные персональные данные клиента, который опубликовал Ордерком: t.me/ordercomru/422
И таких «писем» по всей стране миллионы.
Что здесь не так:
а) нет никаких доказательств того, что письмо подлинное. Нет ЭЦП. Регистрационный номер и отправителя идентифицировать нельзя.
б) отсылки на набор номеров статей, которые не имеют отношения к процессу (например, ст.28 закона «О полиции» — это про правах сотрудника полиции, но никак не про обязанности провайдера, а отсылка на закон «Об ОРД» целиком, говорит о том, что тут кто-то не знает законов)
в) Отсылки на «срочно» и «важно». Ну, то есть, они там очень занятые — а в операторе люди херней занимаются?
г) запрос просто неграмотно написан. И не очень понятно что там, где у кого хранится. Детская порнография или суицид? И что, получается, это провайдер должен знать у кого что хранится?
д) вишенка на торте — отправить данные на какой-то левый имейл.
Совершенно очевидно, что вот этот вот «подполковник полиции» в должности и.о. начальника, просит (с уважением!) оператора связи нарушить все законы и заняться ОРД самостоятельно. Видимо, в Тыве горит план по посадкам за репосты. Или он просто некомпетентен и глуп, что вероятнее.
Все очень просто.
В законодательстве России, связанном с ИТ и телекомом, сейчас полный бардак, мрак и извращения. В расплодившихся «органах», включая суды, работают крайне неподготовленные, непрофессиональные и, я бы даже сказал тупые, персонажи. Это факт, данный нам в ощущениях.
Любой запрос «от органов» может быть незаконным или просто поддельным -мамкиных хацкеров, начитавшихся про «социальную инженерию», развелось до бабушки.
Потому, если интернет-компания и/или оператор связи дорожит своими клиентами, то ОН ОБЯЗАН ИМЕТЬ ПРОСТОЙ И ПОНЯТНЫЙ РЕГЛАМЕНТ взаимодействия с государственными органами.
И когда вы заключаете договор с российскими поставщиками интернет-услуг, вы должны иметь это ввиду.
Я понимаю, что это очень трудный и непростой документ и пока не все еще осознали его ценность, но наличие регламента, который опубликован и на который ссылаются другие официальные документы — это конкурентное преимущество. И это главное.
Но помимо клиентоориентированности, наличие регламента:
1. Защитит от утечек и сливов клиентских данных
2. Приведет в чувство не в меру ретивых «силовиков»
3. Защитит сотрудников от коррупционного давления и незаконных действий.
Это просто один из способов защиты в агрессивной (и даже токсичной) внешней среде, на самом деле. И да — как один из методов подтверждения исполнения регламента — публикация отчетов о взаимодействии с госструктурами. Он просто подтверждает, что регламент работает и демонстрирует объем запросов, проходящий по нему.
Что в регламенте должно быть — зависит от организации бизнес-процессов. Думаю, что в разных компаниях они различаются. Но совершенно очевидно, что:
1. Компания должна отвечать только на валидные запросы, подтвержденные законодательством — это, собственно, и есть цель регламента: описать валидность.
2. Компания ни при каких условиях не должна отправлять ответы на запросы на странные и заведомо небезопасные адреса, типа почтовых ящиков на бесплатных хостингах
3. О каждом запросе и движении дел по нему, должны знать как минимум трое человек в компании: юрист, руководитель и непосредственный исполнитель. Возможно, еще кто-то.
4. Все запросы должны быть классифицированы и учтены. Они и пойдут потом в отчет.
Это, разумеется, не все пункты. Но еще раз — компания, которая не опубликовала такой регламент потенциально опасна. И токсична. Требуйте регламент взаимодейсвтия с госструктурами у своих партнеров.
Ну, а как пример — вот так выглядит очевидно поддельное и/или незаконное письмо с требованием выдать чувствительные персональные данные клиента, который опубликовал Ордерком: t.me/ordercomru/422
И таких «писем» по всей стране миллионы.
Что здесь не так:
а) нет никаких доказательств того, что письмо подлинное. Нет ЭЦП. Регистрационный номер и отправителя идентифицировать нельзя.
б) отсылки на набор номеров статей, которые не имеют отношения к процессу (например, ст.28 закона «О полиции» — это про правах сотрудника полиции, но никак не про обязанности провайдера, а отсылка на закон «Об ОРД» целиком, говорит о том, что тут кто-то не знает законов)
в) Отсылки на «срочно» и «важно». Ну, то есть, они там очень занятые — а в операторе люди херней занимаются?
г) запрос просто неграмотно написан. И не очень понятно что там, где у кого хранится. Детская порнография или суицид? И что, получается, это провайдер должен знать у кого что хранится?
д) вишенка на торте — отправить данные на какой-то левый имейл.
Совершенно очевидно, что вот этот вот «подполковник полиции» в должности и.о. начальника, просит (с уважением!) оператора связи нарушить все законы и заняться ОРД самостоятельно. Видимо, в Тыве горит план по посадкам за репосты. Или он просто некомпетентен и глуп, что вероятнее.
Тут у нас опять регулировочки в отрасли. На этот раз по ходатайству министерства носков вносят изменения в ст.22 ЗоС. Там про регистрацию радиоборудования.
Законопроект уже прошел второе чтение, что означает, что будет принят с вероятностью 99,999%.
Вот: http://sozd.duma.gov.ru/bill/207005-7
Суть в том, что теперь, цитирую:
Я не очень понимаю, зачем это нужно было выносить на уровень аж федерального закона и почему нельзя было внести это в подзаконники или регламенты комиссии по радиочастотам. И потому сразу подозреваю, что здесь не обошлось без коррупции. Тем более, что ФЗ не регламентирует ни проверки исполнения, ни наказания за нарушения.
Если кто может прокамментить зачем это и кому выгодно — напишите ЛС. Ну, или вот в камментах еще можно
Законопроект уже прошел второе чтение, что означает, что будет принят с вероятностью 99,999%.
Вот: http://sozd.duma.gov.ru/bill/207005-7
Суть в том, что теперь, цитирую:
"Установка радиоэлектронных средств и (или) высокочастотных устройств, подлежащих регистрации, должна быть осуществлена по месту (координатам) установки, указанному в свидетельстве
о регистрации радиоэлектронного средства и (или) высокочастотного устройства, не позднее тридцати дней со дня их регистрации.".
Я не очень понимаю, зачем это нужно было выносить на уровень аж федерального закона и почему нельзя было внести это в подзаконники или регламенты комиссии по радиочастотам. И потому сразу подозреваю, что здесь не обошлось без коррупции. Тем более, что ФЗ не регламентирует ни проверки исполнения, ни наказания за нарушения.
Если кто может прокамментить зачем это и кому выгодно — напишите ЛС. Ну, или вот в камментах еще можно
sozd.duma.gov.ru
Законопроект №207005-7 :: Система обеспечения законодательной деятельности
Созд
Так, интрига с изменением в ЗоС по части радиоборудования разрешена. Там, оказывается, есть вторая часть — внесение изменений в КоАП, где за «нарушения» предусматриваются штрафы и конфискация.
Вот этот законопроект: http://sozd.duma.gov.ru/bill/207009-7
Оба проекта были внесены еще в прошлом году и «вылеживались». При этом, 207009-7 был фактически заблокирован тем, что, цитирую из заключения:
Но по сути — изменения в КоАП ставят под вопрос вообще эксплуатацию любых радиочастотных средств «без разрешения». Ну, и по срокам и месту установки оборудования с разрешениями возникают некоторые технологические проблемы… например — за указанные тридцать дней оборудование можно не успеть замонтажить. Или там, на таможне сбой-задержка. И тебе — рраз! Штраф с конфискацией. Или без таковой — это как раз ГРЧЦ решит…
Вот этот законопроект: http://sozd.duma.gov.ru/bill/207009-7
Оба проекта были внесены еще в прошлом году и «вылеживались». При этом, 207009-7 был фактически заблокирован тем, что, цитирую из заключения:
обращаем внимание, что в соответствии с положениями пункта 3 части 1 статьи 1.3 Кодекса административная ответственность устанавливается по вопросам, имеющим федеральное значение, в том числе за нарушение правил и норм, предусмотренных федеральными законами и иными нормативными правовыми актами Российской Федерации. Таким образом, правового основания для установления административной ответственности, предусматриваемой проектной редакцией статей 13.3 и 13.4 Кодекса, в законодательстве Российской Федерации не имеется. Учитывая изложенное, следует иметь в виду, что законопроект может быть принят только после внесения соответствующих изменений в статью 22 Федерального закона от 7 июля 2003 года № 126-ФЗ «О связи», уточняющих порядок использования радиоэлектронных средств и высокочастотных устройств, а также закрепляющих обязанность пользователя радиочастотным спектром по установке радиоэлектронного средства, подлежащего регистрации, по месту (координатам) установки, указанному в свидетельстве о регистрации радиоэлектронного средства (см. проект № 207005-7).
Но по сути — изменения в КоАП ставят под вопрос вообще эксплуатацию любых радиочастотных средств «без разрешения». Ну, и по срокам и месту установки оборудования с разрешениями возникают некоторые технологические проблемы… например — за указанные тридцать дней оборудование можно не успеть замонтажить. Или там, на таможне сбой-задержка. И тебе — рраз! Штраф с конфискацией. Или без таковой — это как раз ГРЧЦ решит…
sozd.duma.gov.ru
№207009-7 Законопроект :: Система обеспечения законодательной деятельности
Созд
Forwarded from Телеком-кружок
Укос через 2 недели.... всем приглашение - https://tinyurl.com/y773ce9n
Facebook
УКОС
Директор компании Omega TV и смотрящий за Телеком-кружок, Пан Глущенко, приглашает вас отправиться на конференцию УКОС и именно на УКОСовозе! 🚞 Несколько вагонов только для УКОСян — лучший способ...
Напоминаю, что уже завтра будет CIF — Crypto Insall Fest. Это такая конференция, которую организуют Пиратская Партия и Роскомсвобода.
Программа уже готова: https://cryptofest.ru/agenda
Приходите в Центр «Благосфера»
(Москва, 1-й Боткинский проезд, д. 7, стр. 1)
Программа уже готова: https://cryptofest.ru/agenda
Приходите в Центр «Благосфера»
(Москва, 1-й Боткинский проезд, д. 7, стр. 1)
CryptoInstallFest — Пятая международная конференция
CryptoInstallFest
Пятая международная конференция
ЗаТелеком 🌐 pinned «Напоминаю, что уже завтра будет CIF — Crypto Insall Fest. Это такая конференция, которую организуют Пиратская Партия и Роскомсвобода. Программа уже готова: https://cryptofest.ru/agenda Приходите в Центр «Благосфера» (Москва, 1-й Боткинский проезд, д. 7…»
Продолжаем следить за предполагаемыми изменениями в закон «О связи».
На этот раз отличились Депутаты Государственной Думы А.Г.Аксаков, И.Б.Дивинский, М.В.Гулевский, О.А.Николаев, В.И.Афонский, Е.Б.Шулепов, А.А.Гетта, М.В.Романов и Член Совета Федерации Н.А.Журавлев
http://sozd.parliament.gov.ru/bill/514780-7
Законопроектом предполагается создание «Единой информационной
системы проверки сведений об абоненте - физическом лице и о пользователях услугами связи абонента - юридического лица, индивидуального предпринимателя либо физического лица». Ну, то есть — базу данных, к которой обязаны подключаться все операторы связи (прежде всего мобильные, как указано в проекте).
Система проверки сведений об абоненте представляет собой единую
точку подключения для всех участников взаимодействия на базе универсального программного интерфейса (шлюз), который при этом не
осуществляет сбор и хранение предусмотренной законопроектом информации. Полученный запрос пользователя системы будет в зашифрованном виде автоматически перенаправляться присоединенному к системе оператору подвижной радиотелефонной связи, осуществляющему в данный момент обслуживание номера абонента. Данные об абонентах - физических лицах и о пользователях услугами связи абонента - юридического лица, индивидуального предпринимателя либо физического лица также будут передаваться операторами связи с использованием системы проверки сведений об абоненте. Такая модель взаимодействия будет реализована на основе регулируемых Правительством Российской Федерации тарифов и единого технологического решения, что позволит обеспечить доступность указанного сервиса для всех категорий заинтересованных организаций, а также позволят максимально охватить всех пользователей услуг связи.
Взаимодействие операторов связи с оператором системы проверки
сведений об абоненте будет происходить на основании двусторонних
соглашений. Заинтересованные организации вправе получать услуги системы проверки сведений об абоненте путем заключения с ее оператором соответствующего договора.
Обоснование создания «системы» — жульничество и мошенство при распространении сим-карт. А так же, что банки и коллекторы не могут дозвониться до должника. И надоедают непричастным. И бедный Роскомнадзор с ног сбился, разыскивая нелегальные СИМ-карточки. Счет пошел на десятки тыщщ. Вот свежее: http://rkn.gov.ru/news/rsoc/news61468.htm
Но фича в том, что эту самую систему надо как-то создать, на что нужны деньги. Ну, потому что ЦНИИС (на них ссылка в законопроекте) не будет же бесплатно работать. А операторы вряд ли скинутся на эдакое. Тем более, что система нужна больше банкам и коллекторам. И «силовикам».
Разработчики указали, как обычно, что денег из бюджете не потребуется. Но в заключении Комитет Государственной Думы по
финансовому рынку таки отметил:
На основании федеральных законов создаются федеральные информационные системы (пункт 1 части 1 статьи 13 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»). Следовательно, вышеназванная единая система является федеральной.
С учетом этого для реализации положений проекта потребуются расходы, покрываемые за счет федерального бюджета. Кроме того, в случае функционирования рассматриваемой информационной системы с использованием инфраструктуры, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме (проектируемая часть 2 статьи 442 Федерального закона № 126-ФЗ), также могут потребоваться, в том числе средства федерального бюджета, связанные с внедрением соответствующего программного обеспечения для указанного функционирования.
Так что все ушли искать бабло. Пока выдыхаем.
((кстати))
В Казахстане уже запилили систему подтверждения владельца сим-карточек, но что-то там не очень-то просто внедрение проходит… Рекомендую депутатам госдуры ознакомиться с опытом — там очень весело всё.
На этот раз отличились Депутаты Государственной Думы А.Г.Аксаков, И.Б.Дивинский, М.В.Гулевский, О.А.Николаев, В.И.Афонский, Е.Б.Шулепов, А.А.Гетта, М.В.Романов и Член Совета Федерации Н.А.Журавлев
http://sozd.parliament.gov.ru/bill/514780-7
Законопроектом предполагается создание «Единой информационной
системы проверки сведений об абоненте - физическом лице и о пользователях услугами связи абонента - юридического лица, индивидуального предпринимателя либо физического лица». Ну, то есть — базу данных, к которой обязаны подключаться все операторы связи (прежде всего мобильные, как указано в проекте).
Система проверки сведений об абоненте представляет собой единую
точку подключения для всех участников взаимодействия на базе универсального программного интерфейса (шлюз), который при этом не
осуществляет сбор и хранение предусмотренной законопроектом информации. Полученный запрос пользователя системы будет в зашифрованном виде автоматически перенаправляться присоединенному к системе оператору подвижной радиотелефонной связи, осуществляющему в данный момент обслуживание номера абонента. Данные об абонентах - физических лицах и о пользователях услугами связи абонента - юридического лица, индивидуального предпринимателя либо физического лица также будут передаваться операторами связи с использованием системы проверки сведений об абоненте. Такая модель взаимодействия будет реализована на основе регулируемых Правительством Российской Федерации тарифов и единого технологического решения, что позволит обеспечить доступность указанного сервиса для всех категорий заинтересованных организаций, а также позволят максимально охватить всех пользователей услуг связи.
Взаимодействие операторов связи с оператором системы проверки
сведений об абоненте будет происходить на основании двусторонних
соглашений. Заинтересованные организации вправе получать услуги системы проверки сведений об абоненте путем заключения с ее оператором соответствующего договора.
Обоснование создания «системы» — жульничество и мошенство при распространении сим-карт. А так же, что банки и коллекторы не могут дозвониться до должника. И надоедают непричастным. И бедный Роскомнадзор с ног сбился, разыскивая нелегальные СИМ-карточки. Счет пошел на десятки тыщщ. Вот свежее: http://rkn.gov.ru/news/rsoc/news61468.htm
Но фича в том, что эту самую систему надо как-то создать, на что нужны деньги. Ну, потому что ЦНИИС (на них ссылка в законопроекте) не будет же бесплатно работать. А операторы вряд ли скинутся на эдакое. Тем более, что система нужна больше банкам и коллекторам. И «силовикам».
Разработчики указали, как обычно, что денег из бюджете не потребуется. Но в заключении Комитет Государственной Думы по
финансовому рынку таки отметил:
На основании федеральных законов создаются федеральные информационные системы (пункт 1 части 1 статьи 13 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»). Следовательно, вышеназванная единая система является федеральной.
С учетом этого для реализации положений проекта потребуются расходы, покрываемые за счет федерального бюджета. Кроме того, в случае функционирования рассматриваемой информационной системы с использованием инфраструктуры, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме (проектируемая часть 2 статьи 442 Федерального закона № 126-ФЗ), также могут потребоваться, в том числе средства федерального бюджета, связанные с внедрением соответствующего программного обеспечения для указанного функционирования.
Так что все ушли искать бабло. Пока выдыхаем.
((кстати))
В Казахстане уже запилили систему подтверждения владельца сим-карточек, но что-то там не очень-то просто внедрение проходит… Рекомендую депутатам госдуры ознакомиться с опытом — там очень весело всё.
sozd.duma.gov.ru
№514780-7 Законопроект :: Система обеспечения законодательной деятельности
Созд
Прекрасное интервью Осетинской и Дэвида Городянского про свободу в интернетах: https://youtu.be/dJnm9A6ICFw
Рекомендую
Рекомендую
YouTube
Как выходец из России создал приложение для 600 млн пользователей, борясь за свободу в интернете
Елизавета Осетинская в новом выпуске «Русских норм!» говорит с Дэвидом Городянским. О нем пишет вся мировая пресса, его называют одним из самых многообещающих CEO мира. Приложением, которое он создал, пользуются 600 миллионов человек во всем мире, более чем…
Кстати, вчерашнее письмо провайдеру в Тыве разобрали юристы: https://nag.ru/articles/article/102153/otvet-na-nezakonnyiy-zapros.html
nag.ru
Ответ на незаконный запрос
Интересная история приключилась на днях с одним из операторов связи. В офис пришли люди из БСТМ МВД России с корочками и при погонах и начали требовать странного: информацию о хранении пользователями материалов определённого характера. Для подкрепления…
Второй поток #CIF5 - проекты Защиты активистов и НКО от equalit.ie. В частности http://censorship.no