Архивы: по дате | по разделам | по авторам

История о., или "оператор обязуется..."

Архив

автор : Максим Отставнов 11.05.1999

   Недавно я получил очень интересное письмо, касающееся одной довольно давней статьи, с приложениями. Ниже я привожу то и другие, лишь убрав (по просьбе автора) все идентификаторы и чуть нормализовав орфографию. Его прислал человек, который ниже именуется О. Он лично мне не известен (и я не могу вспомнить переписку, упоминаемую О., впрочем, тогда пролетало такое количество почты...), но работает сейчас в крупной британской компании в одном отделе с моей давней знакомой. Последняя отдельным письмом подтвердила ключевые моменты биографии автора и всячески его рекомендовала.

   Присланные проекты документов представляются мне тем, чем они и названы автором: попыткой "быстрого и грязного" решения проблем, о которых он пишет. Я вижу в них массу ляпов, пропусков, неточностей, но не буду их комментировать - читатель и сам оные без труда найдет.

   Однако сама позиция "проактивного" (а не "реактивного") отношения к этому сложному кругу вопросов мне очень симпатична. Гораздо более симпатична, чем позиция "непротивления злу", занятая сегодня большинством провайдеров по отношению к СОРМ-2. Я вижу здесь - увы, ретроспективно - возможность опережающего действия по отношению к действиям властей, упущенную отраслью. Документ эпохи, ничего не скажешь.

   А сегодня редакции "Компьютерры" очень хочется узнать:

существуют ли документы, регламентирующие технические и административные меры по защите тайны связи в компаниях-провайдерах услуг Internet?

доводятся ли они до сведения клиентов компаний?

готовы ли провайдеры начать открытое обсуждение таких мер с участием всех заинтересованных сторон, включая, в первую очередь, самих субъектов права на тайну связи, то есть своих клиентов?

Может быть, она (возможность) еще не упущена, а?

   Date sent: Sun, 25 Apr 1999 13:30:06 GMT
   From: O***** <******>
   To: Maksim Otstavnov <maksim@volga.net>
   Subject: SORM-2

   Здравствуйте, Максим Евгеньевич:

   ****** показала мне Вашу статью: "Хотят ли русские и танки наши быстры" в журнале "Компьютерра". Я также взглянул на страницу на www.ice.ru, которую Вы там цитируете.

   Помимо того, что я возмущен всей этой гнусной историей с "сорм" и рад, что ее начали активно решать и организовать "сдерживание", как Вы пишете, я также понял, что нашел вероятную разгадку одной истории времен, когда я жил в Москве и работал в одном из первых ISP.

   Я был совсем недолго связан с органами ГБ: служил в погранвойсках, а после возвращения в Москву меня усиленно звали в "органы" и предлагали закончить высшее образование в одном из соответствующих учебных заведений. Я отказался, и если честно, то не столько по моральным соображениям, а скорее потому, что хотел окончить "настоящий" вуз и остаться "выездным".

   После института я занимался локальными сетями, а потом разрабатывал и внедрял одни из первых WANs (фактически, связывая LANs по X.25). В 1993-97 гг. я работал в ****** (позднее, ЗАО *******) инженером, начальником подразделения и замдиректора по развитию, занимаясь IP-сетями и Internet. ****** стал одним из первых ISP в Москве.

   (Если помните, в 1994 г. мы обменялись с Вами несколькими письмами по поводу Вашего "Кибершопа" и перспектив e-commerce в России во время теста eCash.)

   Начиная с декабря 1997 г. я стал свидетелем и участником нескольких любопытных эпизодов.

   Сначала охранник "застукал" операторшу, которая, подозрительно оглядываясь, передавала диск (или ленту, не помню уже) совершенно бандитского вида молодому человеку чуть ли не на крыльце (!) офиса. Охранник смог только выхватить объект из рук юноши, который попытался показать ему гэбэшную "корочку", но пройти к начальству отказался и убежал. Носитель содержал копию почты и других данных одного из наших клиентов-натуральных (физических? - М.О.) лиц, но расспросы девушки привели только к рыданиям, после чего она была показательно уволена без выходного пособия.

   Директор по безопасности ****** (кстати, пришедший к нам из "органов") связался с ГУ ФСК (так в письме, должно быть, судя по времени, - ФСБ. - М.О.), где ему сказали, что это либо "самодеятельность на районном уровне", либо "вообще не наши люди" и пообещали придти за видео (все это еще вдобавок и попало в кадр камеры) и разобраться. После чего не пришли. (У меня самого за время общения с КГБ осталось впечатление о людях "из органов" как весьма дисциплинированных и не склонных к самодеятельности, даже если дисциплина и единственная их добродетель.)

   Зато через неделю появилось два других молодых человека, напротив, очень корректных, с такими же удостоверениями и с настоятельным желанием ознакомиться с содержанием переписки уже другого нашего клиента - крупной компании. Обсуждение наличия судебных/прокурорских санкций кончилось тем, что они вроде бы приняли встречное предложение нашего Главного Охранника (бывшего хоть и в резерве, но званием значительно повыше) доехать до прокурора вместе, но также больше не появились.

   Буквально через две недели точно такая же история повторилась с уголовным розыском, несколько менее, но все же корректным, а еще через некоторое время - с совершенно некорректными налоговиками, которых охранникам пришлось останавливать уже чуть ли не с оружием в руках, и которые пообещали "вернуться завтра в масках".

   Это дало повод привести в порядок бумаги, уничтожить лишнее, смонтировать камеры наблюдения на сквозной "прострел" коридоров офисов, а также - пригласить Главному Охраннику пару своих бывших коллег на чашку чая (а потом - еще пару, а потом - еще пару... так что кто-то присутствовал все время). Нашествия нинджа (ниндзя? - М.О.), впрочем, не последовало.

   Разговоры с коллегами из других провайдерских компаний давали предположить, что вовсе не все так уж стойко отбиваются от гостей в форме (настоящей ли, липовой ли, да и какая разница) и с корками.

   После этих случаев мы с упомянутым директором по безопасности и главным юристом ****** собрались, чтобы обсудить ситуацию и, собрав документы, ужаснулись: получилось, что у нас нет никакой политики обеспечения тайны связи. За выходные мы по своей инициативе подготовили несколько quick and dirty ("быстрых и грязных". - М.О.) проектов недостающих документов, и я при первой возможности "подсунул" их исполнительному директору.

   Дальше начались странные вещи. "Сверху" нас очень тепло поблагодарили, указали на уместность и своевременность нашей инициативы и пообещали обсудить наше предложение на ближайшем совете директоров. Однако с того момента мы с директором по безопасности пытались поднять этот вопрос практически на каждом совете, и всегда находилась какая-то причина отложить его обсуждение. И это на протяжении более чем полугода! За это время прошло около десяти советов! Решение вопроса явно "тянули" наши руководители.

   Сейчас, прочитав Вашу статью и ознакомившись с материалами "Московского Либертариума" (теперь - www.libertarium.ru. - М.О.), я думаю, что нашел разгадку: возня с "сормом-2" началась гораздо раньше, чем о ней стало известно общественности. Мне очень не хочется верить, что мой бывший начальник, ******, как-то в этом замешан: я помню его как исключительно порядочного и честного человека. По крайней мере, во всех вышеперечисленных случаях его реакция была такой же, как и у всех нас. Но совпадение по срокам кажется мне тоже маловероятным...

   Эта история так ничем не закончилась. Осенью 1997 г. я ушел в творческий отпуск для завершения и защиты диссертации, из которого в ****** уже не вернулся. Не вернулся по причине, никак не связанной с вышеописанными событиями: просто получил очень интересное предложение, от которого невозможно было отказаться, и, приняв его, уехал жить и работать в Ирландию, а затем - в Англию, где работаю и сейчас. К сожалению, объем и интенсивность работы, которой я занят все это время, не позволяли мне следить за событиями дома, и Ваша статья вызвала у меня просто бурю давно забытых эмоций и я got my adrenaline going (почувствовал адреналиновый всплеск. - М.О.).

   Как ни странно, подготовленные тогда черновики сохранились у меня на ленте, и я вчера без труда их нашел. Хотя, возможно, это и не окончательный вариант - не совсем те бумажки, которые легли в долгий ящик начальства. Не нашелся только проект изменений в технические инструкции, процедур уничтожения данных.

   Я буду рад, если вложенные документы послужат поводом для нового витка обсуждений темы. Если Вы видите такую возможность, Вы можете опубликовать их и это письмо, убрав (настоятельно прошу) имена и названия.

   Искренне Ваш,
   ****** О*****
   ******
   ****** Ltd., ******, U.K.

   P. S. Я думаю, что одна из возможных причин "молчания провайдеров" - и основная - при всем уважении к г-ну Левенчуку, все же не в том, о чем он пишет, а в том, что большинство операторов уже "замазаны" в незаконном предоставлении доступа к информации своих клиентов, и у ФСБ, милиции, налоговой полиции и пр. есть свидетельства, которыми тех можно шантажировать.

   От *.О***** 
   ******
   Служебная записка

   20.02 мы обсуждали с Вами недавние попытки несанкционированного доступа к охраняемой законом корреспонденции наших клиентов и случай сговора нашего сотрудника с посторонним лицом о предоставлении такого доступа, пресеченные сотрудниками отдела безопасности.

   20-27 по мотивам этой беседы мы провели три рабочие встречи с г-ном ****** и г-жой ******. Ситуация с защитой тайны связи в наших технических службах представляется критической (выделено автором. - М.О.). Отсутствие утвержденного перечня административных и технических мер ставит нас как оператора связи в уязвимое положение:

   - во-первых, мы не можем систематически и регулярно противостоять попыткам НСД (несанкционированного доступа. - М.О.), подобным имевшим место в прошлом месяце;

   - во-вторых, в случае санкционированного доступа со стороны сотрудников правоохранительных органов мы не можем оперативно отделить информацию, к которой санкционирован доступ (указанную в судебном решении), от другой информации, как касающейся того же клиента, так и других наших клиентов;

   - в третьих, мы не можем мотивировать тот или иной объем предоставляемой информации.

   Предварительный анализ законодательства и подзаконных актов, проведенный г-жой ******, показывает, что процедуры обеспечения права на тайну связи, установленного конституцией и ФЗ "О связи" (ст. 32), не конкретизированы применительно к нашей специфике.

   В порядке разрешения этой ситуации прошу рассмотреть целесообразность следующего:

   1. Принять временные документы на основе приложенных проектов 1) Временного положения по обеспечению тайны связи, а также дополнений к 2) Инструкции оператора, 3) Технической инструкции и 4) Типовому договору.

   2. Создать рабочую группу для разработки постоянного Положения о защите тайны связи и согласованного внесения изменений в должностные инструкции и остальные документы, регламентирующие действия персонала. Возможно, потребуется также обратиться к сторонним юристам.

   3. Обратиться к другим компаниям (через Ассоциацию или частным порядком) с предложением организованно обсудить этот круг проблем (у меня есть неформальная информация о том, что подобные сложности испытывают и наши конкуренты).

   Дело кажется мне безотлагательным.

   О*****

Организационные меры по обеспечению тайны связи
(Временное положение)

   1. Настоящее Временное положение устанавливает, на период до принятия соответствующих законодательных актов и/или до принятия постоянного Положения об организационных мерах по обеспечению тайны связи, порядок доступа и оперирования с данными, подлежащими защите согласно ст. 32 ФЗ от "16" февраля 1995 г. ї 15-ФЗ "О связи".

   2. К данным, подлежащим защите Закона, относятся:

   2.1) Сообщения электронной почты Клиента, сообщения USENET Клиента, данные, передающиеся в ходе соединений, инициированных Клиентом, по протоколам FTP, HTTP и др.

   2.2) Протоколы (логи) сеансов связи Клиента с Узлом.

   3. К данным, указанным в пункте 2, имеют доступ:

   3.1) дежурный оператор;

   3.2) дежурный администратор системы;

   3.3) старший администратор системы.

   4. Указанные должностные лица могут и должны предоставить доступ к указанным в пункте 2 данным также:

   4.1) Клиенту или его законному представителю,

   4.2) Сотруднику отдела безопасности при наличии письменного распоряжения директора по безопасности или замдиректора по безопасности.

   О предоставлении доступа к данным, указанным в пункте 2, делается запись в Журнале доступа к персональным данным.

   5. Статистические данные, предоставляемые в бухгалтерию и используемые для планирования эксплуатации и развития сети, отделяются от данных, перечисленных в п. 2, путем агрегирования соответствующих полей.

   Срок хранения статистических данных определяется нуждами указанных подразделений и настоящим Положением не ограничивается.

   6. Сообщения электронной почты Клиентов и сообщения USENET Клиентов не копируются (кроме резервного копирования томов). Тома, содержащие сообщения электронной почты Клиентов и сообщения USENET Клиентов, подвергаются "затиранию" свободного пространства не реже раза в сутки.

   Протоколы (логи) сеансов связи Клиента с Узлом сохраняются в течение одного месяца (срока принятия претензий по счетам) с момента выставления счета за соответствующий период времени.

   7. Резервное копирование томов, содержащих сообщения электронной почты Клиентов и сообщения USENET Клиентов, выполняются на отдельных носителях. Носители, на которые выполнялось резервное копирование томов, содержащих сообщения электронной почты Клиентов и сообщения USENET Клиентов, форматируются непосредственно после верификации следующей резервной копии.

   8. Взаимодействие с представителями правоохранительных органов, осуществляющих гласный или негласный доступ к защищаемой Законом информации в рамках следственной и оперативно-розыскной деятельности при наличии судебного решения, поручается отделу безопасности (отв. лицо замдиректора по безопасности г-жа ******). Дежурный оператор, дежурный администратор системы или старший администратор системы выдает (копирует) данные по указанию и в присутствии сотрудника отдела безопасности, о чем в Журнале доступа к персональным данным делается запись за подписями оператора/администратора и сотрудника отдела безопасности, согласно п. 4 настоящего Положения.

   9. Нарушение настоящего Положения персоналом влечет за собой ответственность в соответствии с пп. 4.2-4 Типового контракта или пунктами индивидуального контракта, предусматривающими дисциплинарную ответственность. В случае, если такое нарушении повлекло за собой нарушение права на тайну связи Клиента, о факте нарушения компания сообщает Клиенту и предоставляет ему необходимые свидетельства и доказательства в случае, если Клиент воспользуется правом на судебную защиту.

   10. Настоящее Положение вводится в действие с "__" _____ 1997 г.

Дополнения к должностной инструкции дежурного оператора

   (после п. 12 вставить следующие 2 пп.)

   13. Оператор не должен ни при каких условиях предоставлять доступ к сообщениям Клиента, протоколам сеансов связи Клиента с Узлом и другой информации, касающейся услуг связи, предоставляемых Клиенту, посторонним лицам. О попытках получить такой доступ (вне зависимости от того, совершены ли они в рабочее или нерабочее время) через вас вы должны немедленно сообщать в отдел безопасности.

   14. Все взаимодействия с правоохранительными органами осуществляются через отдел безопасности (отв. лицо - замдиректора по безопасности г-жа ******). О попытках получить НСД к сообщениям Клиента, протоколам сеансов связи Клиента с Узлом и другой информации, касающейся услуг связи, предоставляемых Клиенту, со стороны лиц, представляющихся сотрудниками правоохранительных органов, без присутствия отв. лица или дежурного сотрудника отдела безопасности вы должны немедленно сообщать в отдел безопасности. При таких попытках, совершаемых во время вашего дежурства вы должны выполнить действия согласно п. 8 настоящей Инструкции.

   (далее пп. 13-21 перенумеровать как 15-23 соответственно. Пункт 22 исключить).

Дополнения к Типовому договору на предоставление услуг по доступу к сетям Internet   (после п. 3.5 вставить следующий пункт)

   3.6 Оператор обязуется соблюдать тайну связи, право на которую установлено Конституцией и действующим законодательством. Оператор предоставляет третьим лицам доступ к информации, тайна которой охраняется законом, только в соответствии с надлежащим образом оформленным решением суда.

   (далее от п. 4 по тексту)