ГЛАВНАЯ   УСЛУГИ   ЗАКОНЫ   ПРЕССА   КРИПТОГРАФИЯ   PRIVACY   СОРМ   KeyPGP

Требования к реализации СОРМ
(25 июня 1998) Анатолий Левенчук

   Неконструктивно устраивать по поводу модификации СОРМ обычную политическую панику: "ужас!, ужас!, так делать нельзя!, сделайте кто-нибудь что-нибудь другое!, срочно!...". Нужно обоснованно сформулировать, что именно и как надо сделать. Первым шагом такого конструктивного подхода является разработка здравых требований к СОРМ. Эти требования излагаются не с радикальной позиции "не нужно никаких оперативно-розыскных мероприятий", а с позиции "оперативно-розыскные мероприятия нужны, но их нужно проводить регламентированно - не менее (а может, и более регламентированно), чем любой другой бизнес". Итак, вводится новое регулирование - и критику этого регулирования можно и нужно проводить по тому же образцу, что и критику любого нового регулирования.
   1 Учет отрицательных экстерналий.   2 Институциональность решения.    3 Стоимость вводимого регулирования (regulatolary burden).    4 Аудирование СОРМ.    5 Предварительная регистрация операций СОРМ.    6 Техническая реализуемость.    7 Альтернативные методы решения проблемы.

   Эти требования, конечно, относятся не только к СОРМ для сетей документальной электросвязи, но и к СОРМ в телефонии и т.д.

   Данный текст предлагается как некоторое средство фокусирования дальнейшей работы: каждый его пункт предполагает конкретное применение к имеющейся проблеме: использование новейших цифровых технологий как уголовными преступниками, так и государственными рэкетирами. И если на первых можно пожаловаться тем же рэкетирам (налог-то берут!), то на вторых жаловаться уже некому - жаловаться нужно только на себя и сограждан...


Содержание:

1. Учет отрицательных экстерналий.

2. Институциональность решения.

3. Стоимость вводимого регулирования (regulatolary burden).

4. Аудирование СОРМ.

5. Предварительная регистрация операций СОРМ.

6. Техническая реализуемость.

7. Альтернативные методы решения проблемы.


   1. Учет отрицательных экстерналий.

   При введении нового регулирования обычно забываются возможные отрицательные последствия, которые могут погубить (и обычно губят) весь положительный эффект от предлагаемых нововведений. Все помнят, как боролись американцы с Чикагской Мафией. А куда исчезла эта самая Чикагская Мафия? Кто ее поборол? А никто - просто был отменен "сухой закон", и Чикагская Мафия быстро сдулась в своих размерах. Насколько спилась при отмене "полезного для общества закона" американская нация, видно по сегодняшнему уровню американской экономики. Но стрелять в центре Чикаго стали намного меньше.

   При разработке регулирования СОРМ нужно тщательно рассматривать не только "позитивные цели" ("сейчас сразу поймаем всех преступников"), но и возможные отрицательные последствия введения нового регулирования. Нужно цитировать и рассматривать не только "истории успеха", но и "истории неудач".

   Этот пункт самый главный - может оказаться, что все предлагаемое регулирование является большой ошибкой.

   2. Институциональность решения.

   Что лучше сделать - дать доброму диктатору руки подлинней, чтобы он ими сделал больше добра, или укоротить эти руки на всякий случай (вдруг завтра его заменит злой диктатор?). Теория дает ответ на этот вопрос: у диктаторов (лиц, облеченных властью) нужно руки делать покороче. И решения предлагать институциональные - то есть не зависящие от конкретных людей, которые сидят в конкретных креслах. Это означает, что СОРМ должен прилично работать, даже если операторами его будут подонки. Решения, которые подразумевают наличие ангелов в качестве регуляторов или enforcers должны отметаться с негодованием.

   В частности этот принцип означает, что каждое регулирование должно вводиться комплексно - должны быть продемонстрированы институты, совместно демонстрирующие устойчивость регулирования. В том числе, должны быть предусмотрены роль и место институтов саморегулирования.

   3. Стоимость вводимого регулирования (regulatolary burden).

   Это требование политики обычно терпеть не могут. Их лозунг - "любой ценой". А неплохо бы знать, какой именно ценой. Тогда возможный ущерб от "вредной, поэтому регулируемой" деятельности тоже можно было бы оценить. И если стоимость введения регулирования больше стоимости ущерба (что очень часто бывает), то вводить регулирование не нужно.

   Политики и силовики это прекрасно понимают, поэтому делают все, чтобы замять вопрос о стоимостях. Они предпочитают говорить в терминах "пользы" и - особенно - "общественной пользы". Критика такого способа мышления - просто зубодробительна. Каждый раз "общественную пользу" определяют несколько человек. И всегда можно найти несколько других человек, которые видят "общественную пользу" прямо в другом. Именно такое положение дел мы имеем с СОРМ. И тогда можно просить перейти от аргументов качественных к количественных (пусть, например, ФСБ укажет, сколько денег им нужно дополнительно потратить на мероприятия СОРМ, чтобы результаты были сравнимы с предлагаемым ими результатом схемы рэкета провайдеров).

   4. Аудирование СОРМ.

   Любую фирму требуют тщательно вести учет ее операций - причем в такой форме, чтобы внешние организации (налоговая инспекция, например) могли легко аудировать этот учет. А для акционерных обществ независимый аудит с раскрытием результатов является необходимой формой деятельности. Никакие стоны про коммерческую тайну акционерного общества при этом не помогают.

   СОРМ должна быть устроена так, чтобы ее легко было аудировать независимыми организациями. Если оператором СОРМ является ФСБ, то должна быть определена независимая от ФСБ организация (ФАПСИ, Администрация Президента и т.д. - я бы не слишком тут доверял традиционным контрольным органам), которая ведет обязательный аудит применения СОРМ.

   5. Предварительная регистрация операций СОРМ.

   Чиновники любят требовать предварительной регистрации (разрешения, лицензии) на осуществление той или иной деятельности коммерческих организаций - если им кажется та или иная деятельность (операция) "общественно опасными". Такое же "лицензирование" существует у операций, которые могут быть "общественно опасными" и применяются государством по отношению к гражданам - речь идет о санкциях прокурора или решениях суда. Эти действия по "лицензированию", как минимум, документированы и осуществляются независимым лицом по отношению к лицу, осуществляющему собственно "общественно опасные действия" (в данном случае - подглядывание и подслушивание частной коммуникации).

   Операции СОРМ должны включать "лицензирование" подобного сорта (желательно, чтобы было технически невозможно что-либо подслушать или подглядеть без наличия санкции прокурора или решения суда).

   Именно по этой системе предварительных мероприятий и можно будет проводить аудирование надлежащего выполнения процедур работы силовиков с СОРМ - так же, как главным рычагом воздействия на бизнесы является отъем лицензии или отмена разрешения (возможно, с последующим наказанием виновных физлиц).

   6. Техническая реализуемость.

   Важно, чтобы требования, выдвигаемые регулятором к регулируемым организациям, были принципиально выполнимы (традиционно это вопрос "законности" и "правозаконности"). Диктатор всегда может вполне легитимно издать указ, по которому люди на улицах будут должны улыбаться. После этого люди будут попадать в кутузку преимущественно на основании этого указа.

   "Дамоклов меч" принципиально (технически) невыполнимых для провайдеров требований СОРМ всегда будет висеть над их головами. И отобрать лицензию можно будет на основе стандартной формулировки "За невыполнение требований СОРМ".

   7. Альтернативные методы решения проблемы

   При введении любого регулирования необходимо рассмотреть альтернативные методы ведения дел. Например, интернет-провайдеры весьма жестко относятся к источникам спама и хакерам. Они проводят свои оперативно-розыскные мероприятия, а потом мероприятия enforcement, которые весьма и весьма эффективны. И это безо всякого принудительного регулирования (а иногда и вопреки ему).

   Нужно рассмотреть, нет ли для проведения оперативно-розыскных мероприятий более культурной альтернативы, чем тотальная слежка за абонентами сетей документальной электросвязи, организованная путем рэкета провайдеров (давайте называть вещи своими именами: СОРМ провайдеры устанавливают только в результате жесткого силового давления).

   Этот краткий список можно продолжить. Я с удовольствием учту комментарии к тексту в следующих его версиях.

   Что самое интересное - ведь ничего особенного придумывать не надо. Практически все маршрутизаторы и почтовые сервера имеют возможность просмотра сообщений и дампирования данных. Вот пусть ФСБ придет с судебным решением или предписанием прокуратуры к провайдеру (или кому-то еще), посадит около маршрутизатора своего человека и пусть он сидит и смотрит. Если через 15 минут не сбежит от перегрузки.

 ГЛАВНАЯ   УСЛУГИ   ЗАКОНЫ   ПРЕССА   КРИПТОГРАФИЯ   PRIVACY   СОРМ   KeyPGP

Rambler's Top100 Rambler's Top100
Hosted by uCoz