Das letzte Mal, als wir über die Tatsache geschrieben haben, dass Mintsifra die öffentliche Anhörung des Gesetzentwurfs gemäß der Begründung zum Verbot von Diensten in Russland eingeführt hat, arbeiten wir mit der Technologie des Versteckens von Domainnamen - eSNI / ECH und allgemeiner die gesamte TLS v. 1.3 und gemäß dem Brief der Rechnung - sogar HTTPS im Allgemeinen.
Jetzt möchte ich zeigen, was IT-Mitarbeiter in solchen Fällen tun können - zusätzlich zu den hitzigen Diskussionen über Habré. Wird dies Auswirkungen haben - wir werden es in den kommenden Wochen sehen, aber zumindest ist dies der richtige Weg, um mit Regierungsbehörden über solche Rechnungen zu kommunizieren.
Tatsächlich hat jeder Gesetzentwurf, der vom Ministerium für digitale Wissenschaft geprüft wird, wie auch andere Abteilungen, eine eigene Seite auf Regulation.gov.ru - in diesem Fall hier . Es hat einen Link "Ihre Vorschläge". Wenn Sie darauf klicken und sich über die staatlichen Dienste anmelden, können Sie Vorschläge in Textform oder in Form einer angehängten Datei senden.
Was tun und was nicht tun?
- Senden Sie nur Vorschläge, die sich auf das Wesentliche und die Angelegenheit der Rechnung beziehen, mit spezifischen Kommentaren. Nehmen Sie sich ein oder zwei Tage Zeit, um das Wesentliche der Rechnung sorgfältig zu lesen und spezifische Ansprüche darauf zu formulieren.
- , - . , 500 , 10 , 490 — , , . , , , .
- — - , . , .
- , , etc. — . — , , .
- Wenn Sie die Möglichkeit haben, eine Rezension und eine Erläuterung dazu offen zu veröffentlichen, z. B. in den Medien oder auf der Website eines spezialisierten Verbandes oder einer spezialisierten Organisation, verwenden Sie diese. Lassen Sie die Spur Ihrer Aktivität im öffentlichen Bereich bleiben und seien Sie Google.
- Vergiss Habr nicht. Anstatt immer wieder in den Kommentaren zu stöhnen, die niemand über seelenlose Beamte liest, machen Sie die angegebene Arbeit und teilen Sie sie hier.
Also jetzt - ein gutes Beispiel.
Appell an das Finanzministerium: Experten für die Gefahr der neuen Gesetzesvorlage
"Diejenigen, die bereit sind, wesentliche Freiheit für einen Bruchteil der vorübergehenden Sicherheit zu opfern, sind weder der Freiheit noch der Sicherheit würdig."
Benjamin Franklin,
Offizieller Brief der Versammlung von Pennsylvania an
Gouverneur Thomas Wharton,
11. November 1755
Am Montag, dem 5. Oktober, endete der Empfang der Antworten im Rahmen der öffentlichen Diskussion über den neuen Gesetzesentwurf des Ministeriums für digitale Wissenschaft der Russischen Föderation zur Änderung von 149-FZ "Über Information, Informationstechnologien und Informationsschutz":
1) 2 21 :
« , () - «» — , , .»;
2) 2 10 :
« , () - «», , .
Ein Verstoß gegen das Verbot der Verwendung von Verschlüsselungsprotokollen in der Russischen Föderation, mit denen der Name (die Kennung) einer Webseite oder Website im Internet ausgeblendet werden kann, führt dazu, dass die Funktion der Internetressource spätestens 1 (einen) Werktag nach dem Tag eingestellt wird, an dem der Autor den Verstoß entdeckt hat Bundesvorstand "
Vielen Experten zufolge, die wir in ihrer derzeitigen Form voll und ganz teilen, ist diese Gesetzesvorlage nicht nur schädlich, sondern auch gefährlich - vor allem für das inländische Segment des Internets, das sie schützen soll.
Beginnen wir ein wenig von weitem. Ein wesentlicher Teil der Existenz und Entwicklung des Internets in den letzten zwei Jahrzehnten, von dem Moment an, als es zu einem allgemein akzeptierten Kommunikationsmittel wurde, einschließlich - für die Übertragung kritischer Informationen, einschließlich finanzieller, personenbezogener Daten von Benutzern und dergleichen - ist der Kampf gegen Betrüger und andere unehrliche Personen Intentionen. Es gab viele Phasen: die rasche Entwicklung von Virenschutzprogrammen, den Schutz vor Spam und gefälschten (Phishing-) E-Mails, die Verteilung von Zertifikaten, die bestätigen, dass die von Ihnen besuchte Website wirklich die ist, für die sie sich ausgibt, und schließlich die Verschlüsselung der zwischen Ihrem Computer übertragenen Daten. und eine Daten-Site, damit Betrüger nicht abfangen, belauschen oder fälschen können.
Diese Aufgaben werden wie bei jedem Wettbewerb zwischen Granate und Rüstung schrittweise gelöst.
Die nächste Stufe beim Schutz der Internetnutzer vor Betrügern besteht darin, nicht nur den Inhalt der Informationen, die Sie mit Websites austauschen, sondern auch die Namen der von Ihnen besuchten Websites vor Außenstehenden zu verbergen. Niemand außer Ihnen sollte wissen, welche Bank und wann Sie welche Dienste nutzen. Diese Technologien sind Fachleuten als eSNI und ECH bekannt und befinden sich derzeit in einem frühen Stadium der Implementierung.
Ja, diese Technologien verhindern, dass Roskomnadzor unerwünschte Websites blockiert, einschließlich Websites, auf denen verbotene Inhalte gehostet werden. Ebenso verhindern Schlösser an den Türen von Wohnungen und Eingängen, dass die Polizei mutmaßliche Verbrechen verfolgt - aber hier hat die Gesellschaft nicht gezögert, zu einem Konsens zu gelangen, dass der persönliche Raum privat und geschützt bleiben sollte. Das Recht, diesen Raum zu schützen, sollte nicht unbedingt an die zuständigen Behörden delegiert werden, da diese immer noch nicht an jeder Tür einen Polizisten aufstellen können. Dass es eine Grenze gibt, die nicht überschritten werden kann. Ja, eine ehrliche Person hat nichts zu verbergen. Nein, das heißt nicht, dass Sie ihm verbieten können, die Vorhänge an den Fenstern zu ziehen.
Leider gibt es auf dem Gebiet der digitalen Technologien keinen solchen Konsens. Wenn wir also eine Analogie entwickeln, schlägt das Ministerium für digitale Entwicklung vor, mit einem Verbot des Ziehens von Vorhängen zu beginnen und dann zur Illegalität von Türschlössern überzugehen.
Neben der Unzulässigkeit solcher Verbote ist der kolossale Schaden zu beachten, den sie der russischen Internetindustrie mittelfristig zufügen werden. Die oben genannten eSNI und ECH sind Teil globaler Standards - zum Beispiel des TLS v.1.3-Standards -, die nicht nur zunehmend von ausländischen Unternehmen verwendet werden, sondern sicherlich in bestimmten Anforderungen enthalten sein werden, beispielsweise in den Sicherheitsanforderungen für die Verarbeitung von Finanzinformationen von PCI DSS. die alle Bank- und Zahlungsorganisationen erfüllen müssen.
Was wird das Ministerium von Tsifra antworten, wenn Vertreter russischer Banken dazu kommen und sagen, dass sie nicht mehr mit VISA- und MasterCard-Karten arbeiten können, weil die neue Version von PCI DSS TLS v.1.3 obligatorisch macht - und das Ministerium von Tsifra es verboten hat? Wann wird sich herausstellen, dass die weltweit größten Dienste einfach im Zuge geplanter Software-Updates auf ihren Servern auf neue Standards umsteigen?
Darüber hinaus ermöglicht die extreme Unbestimmtheit des Wortlauts des Gesetzentwurfs, falls er angenommen wird, fast das gesamte Internet, einschließlich des russischen, buchstäblich am nächsten Tag zu schließen. Der Ausdruck "Zulassen, dass der Name (Bezeichner) der Internetseite ausgeblendet wird" kann formal auf jede Site angewendet werden, die das HTTPS-Protokoll verwendet, dh auf fast 100% der großen Sites. Gehen Sie zu Yandex, Mail.ru, Sberbank, Kultura.rf - sehen Sie das Schlosssymbol neben der Website-Adresse? Dies ist genau das HTTPS, das "den Namen von Internetseiten verbirgt" - und gleichzeitig verhindert, dass Angreifer die reale Site durch eine gefälschte ersetzen, Ihre Kreditkartendaten abfangen oder Ihre Passwörter herausfinden.
Ohne die Bedeutung der Bekämpfung der Verbreitung illegaler Inhalte im Internet zu leugnen, betonen wir: Wenn das Gesetz in seiner jetzigen Form verabschiedet wird, wird es dem russischen Segment des Internets irreparablen Schaden zufügen, den russischen Markt von den weltweit größten Diensten abschneiden, die Digitalisierung der russischen Wirtschaft gefährden und die Wettbewerbsfähigkeit einheimischer Internetunternehmen drastisch verringern. auf dem internationalen Markt. Die Verzögerung bei den Technologien zum Schutz der übermittelten Daten gefährdet die nationale Sicherheit des Landes und erleichtert interessierten ausländischen Agenten das Sammeln relevanter Informationen.
Wir bestehen darauf, dass der Gesetzentwurf unter Berücksichtigung der obigen Kommentare radikal überarbeitet wird.
Anwendung:Überprüfung der Experten der Partei für direkte Demokratie zum Gesetzesentwurf „Über Änderungen der Artikel 2 und 10 des Bundesgesetzes über Information, Informationstechnologien und Informationsschutz“ ( PDF, 171 KB ) Diese
Überprüfung wurde unterzeichnet von:
Makarov Vyacheslav Viktorovich
Generalsekretär des Obersten Koordinierungsrates der Partei direkt Demokratie
Artamonov Oleg Nikolayevich
Leiter der Gruppe für wissenschaftliches und technisches Fachwissen der Partei für direkte Demokratie
Shevyakov Timofey Nikolayevich
Pressesprecher, Mitglied des Obersten Koordinierungsrates der Partei für direkte Demokratie
Lysakovsky Dmitry Ivanovich
Unternehmer, Mitglied des Obersten Koordinierungsrates der Partei für direkte Demokratie
Chigidin Boris Viktorovich
Mitglied des Obersten Koordinierungsrates der Partei für direkte Demokratie, Ph.D.
Filippov Andrey Alexandrovich
Mitglied des Obersten Koordinierungsrates der Partei für direkte Demokratie
Palyulin Anton Yurievich
Geschäftsführender Gesellschafter der Anwaltskanzlei "Palyulin and Partners"
Nesterovich Sergey Alexandrovich
Stellvertreter. Chefredakteur der "Agentur für politische Nachrichten"
Scherbakov Alexey
Leitender Entwickler FoodPlex
Pusher Alexander
Entrepreneur, Community Lead bei Gaijin Entertainment
Kaloshin Vyacheslav
Unternehmer, Architekt, Projektmanager
Zaitsev Alexey Vladimirovich
Webentwickler
Povolotsky Alexander Borisovich
Systemadministrator und Programmierer
Bolshakov Nikolay Borisovich
Projektmanager
Ivanov Pavel Borisovich
Projektmanager Learnee, Entwickler
Maddalena Alexander Nikolovich
Unabhängiger Profi
Petrov Alexey Alekseevich
Unternehmer, Webentwickler
Vardiev Pavel Anatolyevich
20 Jahre IT-Spezialist Erfahrung
***.
Die ursprüngliche Beschwerde wird hier veröffentlicht . Wenn Sie - wenn auch post factum - Unterzeichner werden möchten, finden Sie unter dem folgenden Link ein Formular.
Seien wir ehrlich - wir wissen nicht, ob dies Auswirkungen haben wird, aber wir werden versuchen sicherzustellen, dass der Appell im Ministerium für digitale Sicherheit zur Kenntnis genommen wird.
Lassen Sie uns diese Erfahrung das nächste Mal wiederholen? Zumindest kann dann niemand sagen: "Ja, dort waren Hacker aus der Habr-Ressource unglücklich, aber tatsächlich gingen keine Kommentare ein."