Salus populi suprema lex (988) (don_katalan) wrote,
Salus populi suprema lex (988)
don_katalan

Category:

Про BankID, и прочую зашиту персональных данных

Stanislav Kukareka
Закон о этой самой защите этих персональных данных был в Украине принят хрен знает когда. И там под это дело было планов как у Наполеона, и даже создавались какие-то структуры, которые потенциально могли стать даже слаще чем ОБЭП, и там нас жутко пугали что "если не сделать - мы все умрем" полчища ботов и легионы джинсовых СМИ. Прошли с тех пор годы. Ну и чего теперь, хотел бы я вас спросить?
Сказать что с той "защитой" стало как-то сильно лучше, то я бы это не сказал. Скорее стало хуже. И по сути все движения свелись к тому что бы заставить всех пользователей разнообразных сервисов типа "подписать согласие", а заодно и слить те самые "персональные данные" непонятно кому. Ожидаемого апокалипсиса не произошло, то есть никто таки даже не начал проверять что там да как с "системами хранения и обработки". Не факт что "потому что осознали", а скорее потому что иссякли (с). Впрочем и в регуляторных актах ничего особенно не изменилось, то есть и делать вроде как не стали, но и отменить не отменили. Оставив всю эту конструкцию в статусе очередного дамоклова меча над бизнесом и гражданами Украины. И когда там нитка оборвется - никто не знает. Но с другой стороны сама проблема (насколько она существовала, а она существовала) так ведь никуда и не исчезла.
Мы оставляем слишком много "цифровых следов" в этой жизни, и к этим следам имеют доступ слишком дохрена народу. Включая спецслужбы всяких сопредельных стран, и просто криминал. Я будучи специалистом в построении информационных систем - таки представляю себе всю эпичность задачи (и проблемы) и прекрасно понимаю что одними только грозными постановами Кабмина проблему эту не решить. Сие просто невозможно. С другой стороны хоть сколь нибудь действенный контроль доступа к такому огромному массиву данных находящемуся в распоряжении такого числа субъектов - это эпическая и по сути не решаемая в принципе задача. Особенно если учесть что далеко не все из тех субъектов - добросовестны.
Хочу напомнить, в Украине работают несколько российских банков, а все без исключения операторы мобильной связи - так или иначе принадлежат российским компаниям. То есть при наличии минимального желания со стороны ихних спецслужб - они получат доступ к этим данным, и при желании - даже в реальном времени. Гласно или негласно. Им даже правила всиляки и инструкции не нужно нарушать, достаточно туда просто внедрить какого-то "администратора баз данных" который на самом деле - лейтенант касперских войск. И это не считая всяких Яндексов и Шмандексов которые отдельно собирают информацию, и даже позволяют при желании организовать реалтайм-треккинг любой персоны вкупе с тотальным перехватом всех коммуникаций. И это факт. И борьба с этими сервисами в виде "блокировки сайтов" хоть и имела весьма громкое начало - по сути не возымела хоть сколь нибудь значимых последствий. С точки зрения ИТ безопасности ситуация вполне катастрофична, в масштабах собственно страны. И это факт.
И сделать с этим что-нибудь не представляется возможным, особенно в рамках текущей парадигмы. А текущая парадигма в том заключается что "держава хочет все знать". В своих каких-то интересах (о которых разговор отдельный). Проблема в том что ту информацию которую они хотят собрать - они потом не смогут защитить. Ни от криминала, ни от спецслужб "второй невоюющей страны" ни от недобросовестного использования собственными должностными лицами. Не могут защитить и не смогут, и даже не пытаются. Это фундаментально провальная концепция, где в жертву "каким-то интересам" (корыстным, по большей части) приносится информационная безопасность что страны, что граждан. И это очень плохо, то есть не хорошо. Быть может и не все это осознают (из пересичных), но собственно власти - должны осознавать, им ведь за это деньги платят. Однако они просто болт забили, и "наполнение бюджета" (вернее - ментовских карманов) для них задача куда более приоритетная.
Ведь нужно понимать что государство украинское (включительно по "службы" и "органы") тотально инфильтровано агентами врага. Сие есть факт. Там и "влияния агенты", и просто шпийоны штатные и нештатные, и в принципе почти любого в современной ситуации - те самые спецслужбы врага могут эффективно склонить к сотрудничеству, в том числе с помощью шантажа. Шантажа на основе тех самых данных которые собираются за деньги налогоплательщиков, и угрожая даже не расправой а преследованием закона, украинского закона. Которое снова таки за наши деньги. Разнообразная секретность - не новая наука, там есть свои каноны, правила и методы. Допустим можно "сохранить секретность" какой-то закрытой системы (типа правительственной связи) доступ к которой имеет вообще ну в пике - сотни человек в стране. И то кстати не факт, как показала нам история. Но для того там и внутри быть должен двойной-тройной контроль (что кратно увеличивает трудоемкость и стоимость ее эксплуатации) да и "снаружи" эта вся секретность должна обеспечиваться уже не сотнями, а тысячами, и десятками тысяч человек. Начиная с полчищ кадровиков которые те сотни "причастных" отбирают, проверяют и перепроверяют, и заканчивая "топтунами" и "слухачами" что круглосуточно и тотально контролируют все их контакты и движения. Всю жизнь, ага.
И кстати да, такой "носитель тайны", или даже просто "полномочий" никогда в жизни, ни при каких вообще обстоятельствах не попадет под суд или в тюрьму, и даже в РОВД, даже на 5 минут. Импосибл. Даже если зарубит топором собственную тещу и будет взят с поличным на месте. И уж тем более если не будет взят. Ему простится все. А почему? А потому что там не может быть даже тени повода для шантажа. И даже "внутренняя" ответственность дисциплинарная там будет символической. Вот именно для того что бы никто и никогда ничем не мог его запугивать, даже его собственным начальством. И вы никогда не будете знать, точно ли это он совершил косяк а вы "внезапно вскрыли" или это была подстава, или его слили вам в наказание за "отказ сотрудничать", за верность родине... Эти люди вне закона и над законом. Такова конструкция. А вы что строите? "Систему контроля исполнителей", борьбу с коррупцией и прочим? Так это крах, это делает тех самых "сотрудников" игрушкою в руках врага, и перманентной жертвой шантажа. И потому и Врадиевка, бриллиантовые прокуроры и прочее сцанье в глаза, это не просто так, это так работает система, и она иначе не работает. Впрочем у нас она и "так" - не работает тоже, и это нужно учитывать....
Вот так вот примерно это работает (если работает вообще). И это значит что на одного "носителя секретной информации" нужно как минимум 20 сотрудников спецслужб которые сами даже ничего не знают, но неусыпно бдят. И то не факт что поможет, прошли те времена когда шпийоны донесения свои печатали на папиросной бумаге и закладывали в фальшивые булыжники, при современном уровне развития средств связи и плотности коммуникаций - совсем не факт что даже такие меры будут хоть немного эффективны. С другой стороны это так советские чекисты могли еще бороться с немецкими шпийонами (или американскими). Но там даже просто "бывал за границей" уже было по сути приговором, все ситуации в которых могла даже теоретически произойти вербовка тщательно отслеживались. А из наших доблестных СБУшников извините половина вообще в Москве училась. Или работала. И так или иначе "имеет контакты" и водку жрут с сотрудниками ФСБ, и состоят во всяких "ветеранских организациях". По меркам любых спецслужб и правил НИ ОДИН из них вообще не может быть допущен к секретной информации, не говоря о контрразведывательной работе. И те кто с ними контактировал, и те кто контактировал с теми кто контактировал. Это азбука, и это вам любой скажет "спецслужбист".
Итого, там ничего не выйдет "защитить" ибо нету даже "защитников", чего нибудь что даже отдаленно можно назвать контрразведкой у нас просто нету как явления. Аналогично все и с криминалом. Который у нас в массе своей состоит даже в родственных связях с ментами, является неотъемлимой частью "бомонда" местного и тесно вплетен во всевозможный бизнес. Они владеют банками и страховыми компаниями (а если не сами "авторитеты" то их люди, и их деньги), они активно участвуют во всяческих "организациях" от федераций разного спорта до "помощи ветеранам", и даже ремонты в кабинетах в которых мусора сидят - сделаны по большей части теми бандюками. Они сидят в Верховной Раде и прямо там на камеру - кокс нюхают, промежду прочим. И это люди что имеют корочки, и соответственно имеют доступ к любой "закрытой" информации. И доступ к ней давно стал бизнесом, так деньги зарабатываются. И там где бизнес - там всегда люди, и отношения между людьми. Чего вы там хотите "защитить"?
Так вот теперь про BankID отдельно. Это ведь долгая и совсем не скучная история, и можно вспомнить еще пресловутую систему ё-деклараций, под которую все это дело пытались протащить через колено, ссылаясь на ультиматумы от МВФ и прочие безальтернативные международные кредиты. Совсем не просто так эта тема возникла. Ну да, чисто теоретически там есть некое "фискальное удобство", и на него как на блесну - нам это говно тянут через все инстанции от комитетов до ВР. Хотя и там через колено гнут (см. выше). И нынешние светлые идеи про "паспортизацию мобильных номеров" из той же оперы. Ибо мобильные телефоны там есть важнейшей частью конструкции. Но это ведь говно, и даже не говно, то просто катастрофа. Уже сегодня эта вся система фачится в промышленных масштабах просто криминалом, с целью просто напросто бомбить кредитные карты лохов. Клонируются симки (с помощью операторов мобильной связи кстати, как равно и без помощи), лохи тупо разводятся "на доверие" тем самым телефоном, СМСками и прочим, и вы не забывайте кстати кто у нас владеет теми операторами мобильной связи кстати. Это катастрофа.
И все к тому идет что и на выборах уже не надо будет гречки, и все решат несколько парней с клавиатурами. И кстати еще неизвестно где они будут сидеть, в Киеве или в Москве. А про тайну голоса и вовсе вы забудьте. Да, все к тому идет. И деньги ваши станут "невыносимо прозрачны" не только для Ромы Насирова, но и для "неустановленного круга лиц". Ибо даже если держава все это соберет до кучи, то защитить это она не сможет. Никогда и ни за что. Абсолютно. Железный факт.
И потому вот "архитектура систем" и прочие аспекты безопасности - отдельная наука, отдельный жанр и в нем свои каноны. И там "хочу все знать" - грех смертный. Не только даже для людей (ибо человек слаб) но даже для компьютеров и их программ, и даже им не нужно "знать все", и в каждом ноутбуке за 700 (и больше) баксов есть на самом деле кусок памяти который не может прочитать никто, даже сам центральный "самый верховный" его процессор. Физически, я уж молчу про программные ограничения, память процессов и прочее, без чего немыслима сегодня никакая ось. Даже в гребаном блин китайском ноутбуке и дырявой насквозь винде, и это кстати придумали лет 30 назад. Вернее это придумали куда поболее 100 лет тому аго. Вы помните романы про Шерлока Холмса? Где "секретные списки преступной организации" были разрезаны на 3 части, и шоб понять там что-то нужно было собрать их до купы? Англоязычный плебс (читатели) то понимали еще при жизни Конан Дойля, а наш "Держспецзвязок" не знает и поныне. И потому - англоязычный плебс построил интернет. Военную (изначально) сеть БЕЗ возможности централизованного контроля, а у наших "полфессионалов" даже примитивный веб-сайт рыгает от е-деклараций наших достойныкив, несмотря на все серитфикации. Где вы вообще набрали тех дебилов?
Они хотят нам "СОРМ" тут учинить, и прочий там великий файрвол китайский. Но кто им будет пользоваться по итогу, вы подумали? Совсем не факт что только Рома Насиров. Им будет пользоваться всякий неленивый, от ФСБ до какого-нибудь бандюгана "Клеща" или "Прыща", за денежку малую. И заплатить за это удовольствие должны будем мы, из нашего кармана. Допустим ФСБ и само может это поставить в украинских сетях связи, благо они так или иначе влияют на операторов, но это будет им стоить немалых денег. И в принципе это палево, ибо если это все найдут - придется на вопросы отвечать. Но мы ведь благородные ребята, мы не хотим вводить в расход чекистов, мы сами блин оплатим весь этот банкет, а заодно его леализуем, шоб не возникало тех вопросов. А вот ни "Прыщ" ни "Клещ" ни коррумпированный опер из райотдела - на свои деньги такой системы поставить не могут в общенациональном масштабе. Но мы и их тут выручим канешно, пусть пользуются пасаны. Мы же не жадные, правда?
Основой безопасности любой нетривиальной системы (а тут масштаб нетривиален явно) есть разделение ролей и доступа, и некоторый (немалый) уровень свободы элементов. Что собственно и создает фундаментально факторы случайности. Случайность есть фундаментом любой криптосистемы кстати, не исключая и печально известный "чипер НБУ" ака "gost", который еще в КГБ придумали, а мы кстати стойко продолжаем юзать (в обязаловку) для удобства запоребриковых братьев. Лишь неизвестность (анонимность) способна обеспечить хоть какую-то защиту, а "полностью прозрачная система" по определению хрупка. Падает с первого пинка, и падает она навсегда, абсолютно. Ну и чего мы строим по итогу, господа?


Пост спочатку надрукований тут: http://don-katalan.dreamwidth.org/1638305.html.
Tags: дебилы, кукарека, левые, либертарианство, порошенко, прдоны, піар, рассея, україна
Subscribe

promo don_katalan december 29, 2014 14:39 115
Buy for 50 tokens
Расшифровка секретного плана адмиистративно-территориального устройства России после ее распада От гуляющих по сети различных вариантов "государственного" устройства будущего российских территорий отличается наличием территорий в совместном управлении, возвратом исторических территорий…
  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 1 comment