Jak pamiętacie, na początku maja 2019 roku Prezydent podpisał ustawę „O suwerennym Internecie”, która wejdzie w życie 1 listopada. Ustawa ma nominalnie zapewnić stabilne funkcjonowanie rosyjskiego segmentu Internetu w przypadku odłączenia się od sieci WWW lub skoordynowanych ataków. Co dalej?
Pod koniec maja Ministerstwo Telekomunikacji i Komunikacji Masowej przygotowało projekt uchwały rządowej „W sprawie zatwierdzenia Procedury scentralizowanego zarządzania publiczną siecią łączności”. Z pełnym tekstem projektu i przebiegiem dyskusji można zapoznać się na stronie .
Uchwała ta określa „Procedurę scentralizowanego zarządzania publiczną siecią łączności”. To znaczy, na jakich warunkach krajowy segment Internetu stanie się „suwerenny”. A także kto to zrobi i na jakiej podstawie (lub pod jakim pretekstem, każdemu według własnego uznania).
Generalnie projekt obejmuje:
- rodzaje zagrożeń dla stabilności, bezpieczeństwa i integralności sieci;
- przepisy dotyczące identyfikacji zagrożeń, środków ich eliminacji;
- wymagania dotyczące interakcji organizacyjnych i technicznych w ramach scentralizowanego zarządzania siecią;
- metody Roskomnadzoru w celu określenia technicznej wykonalności wykonania instrukcji w ramach scentralizowanego zarządzania siecią;
- warunki i przypadki, w których operator telekomunikacyjny ma prawo nie kierować ruchu za pomocą technicznych środków przeciwdziałania zagrożeniom.
Kiedy Internet jest szczególnie niebezpieczny?
W odniesieniu do ostatniej pozycji na liście projekt identyfikuje trzy rodzaje zagrożeń:
- zagrożenia dla integralności sieci — zagrożenia zakłóceniami zdolności sieci komunikacyjnych do interakcji, w których niemożliwe staje się nawiązanie połączenia i (lub) przekazywanie informacji pomiędzy użytkownikami usług komunikacyjnych.
- zagrożenia dla stabilności sieci — zagrożenia, w których zostaje zakłócona zdolność sieci do zachowania integralności w normalnych trybach pracy, w przypadku awarii części elementów sieci komunikacyjnej i powrotu do stanu pierwotnego (niezawodność sieci komunikacyjnej), jak a także w przypadku zewnętrznych destabilizujących wpływów o charakterze naturalnym i spowodowanym przez człowieka (przeżywalność sieci komunikacyjnej).
- zagrożenia dla bezpieczeństwa sieci — zagrożenia zakłóceniami zdolności operatora telekomunikacyjnego do przeciwstawienia się próbom nieuprawnionego dostępu do sprzętu i oprogramowania sieci oraz celowym atakom, których konsekwencją może być zakłócenie funkcjonowania sieci komunikacyjnej.
Ministerstwo Telekomunikacji i Komunikacji Masowej w porozumieniu z FSB ustala listę aktualnych zagrożeń. Prawdopodobieństwo wystąpienia zagrożenia można przypisać do następujących poziomów: niskie, średnie, wysokie. Poziom ważności zagrożenia można ustawić na: niski, średni, wysoki.
Prawdopodobieństwo realizacji oraz poziom zagrożenia określa Rosokomnadzor na podstawie danych z monitoringu sieci. Lista aktualnych zagrożeń powinna zostać opublikowana na ich oficjalnej stronie internetowej.
Ale najważniejsze:
„Scentralizowane zarządzanie publiczną siecią łączności odbywa się w przypadku pilnego zagrożenia, którego prawdopodobieństwo jest wysokie i (lub) którego poziom zagrożenia określono jako wysoki.”
Garnek, nie gotuj
Oprócz „Procedury zarządzania scentralizowanego...” wprowadzono kolejną ustawę. „W sprawie zatwierdzenia Regulaminu prowadzenia ćwiczeń zapewniających trwałe, bezpieczne i integralne funkcjonowanie sieci informacyjno-telekomunikacyjnej „Internet” oraz publicznej sieci łączności na terytorium Federacji Rosyjskiej” ().
Projekt ten „określa tryb prowadzenia ćwiczeń mających na celu poprawę bezpieczeństwa informacji, integralności i stabilności funkcjonowania internetowej sieci informacyjno-telekomunikacyjnej oraz publicznej sieci łączności na terytorium Federacji Rosyjskiej...”. Definicja ćwiczeń w tym projekcie jest podana następująco:
„Ćwiczenia to zespół działań organizacyjnych, technicznych i taktycznych skierowanych do uczestników ćwiczeń realizujących zadania szkoleniowe w określonej sytuacji, w której występują zagrożenia dla integralności, stabilności i bezpieczeństwa funkcjonowania na terytorium Federacji Rosyjskiej Internetu i społeczeństwa powstają sieci komunikacyjne.”
Ćwiczenia prowadzone są na szczeblu federalnym i regionalnym. Zgodnie z uchwałą uczestnikami tych ćwiczeń są:
„operatorzy łączności, właściciele lub inni właściciele technologicznych sieci łączności, właściciele lub inni właściciele punktów wymiany ruchu, właściciele lub inni właściciele linii komunikacyjnych przekraczających granicę państwową Federacji Rosyjskiej, inne osoby, jeżeli osoby te posiadają numer systemu autonomicznego, a także Ministerstwo Rozwoju Cyfrowego, Łączności i Komunikacji Masowej Federacji Rosyjskiej, Federalna Służba Bezpieczeństwa Federacji Rosyjskiej, Ministerstwo Obrony Federacji Rosyjskiej, Federalna Służba Bezpieczeństwa Federacji Rosyjskiej, Ministerstwo Obrony Cywilnej Federacji Rosyjskiej , Sytuacje nadzwyczajne i pomoc w przypadku katastrof, Federalna Służba Nadzoru nad Łącznością i Technologiami Informacyjnymi oraz komunikacją masową, Federalna Agencja Łączności. Decyzją Ministerstwa Rozwoju Cyfryzacji, Łączności i Komunikacji Masowej Federacji Rosyjskiej w ćwiczeniach mogą zostać zaangażowane inne władze państwowe i samorządy terytorialne.”
Założone cele ćwiczenia to:
- zapewnienie bezpieczeństwa, integralności i stabilności funkcjonowania Internetu i publicznych sieci łączności na terytorium Federacji Rosyjskiej;
- zapewnienie bezpieczeństwa, integralności i stabilności funkcjonowania Internetu Federacji Rosyjskiej (tak, już ustalono, że istnieje „Internet” Federacji Rosyjskiej);
- przywrócenie sieci komunikacyjnych w sytuacjach awaryjnych naturalnych i spowodowanych przez człowieka.
Główne cele ćwiczenia wyglądają następująco:
- określenie i praktyczne wdrożenie działań mających na celu identyfikację zagrożeń bezpieczeństwa informacji, integralności i trwałości internetowej sieci informacyjno-telekomunikacyjnej oraz publicznych sieci łączności na terytorium Federacji Rosyjskiej, a także doprecyzowanie modeli zagrożeń;
- aktualizacja standardów mających na celu zapewnienie trwałości funkcjonowania sieci informacyjno-telekomunikacyjnej „Internet” oraz publicznej sieci łączności na terytorium Federacji Rosyjskiej;
- szkolenia w zakresie stosowania technik zapewniających trwałość funkcjonowania sieci informacyjno-telekomunikacyjnej „Internet” oraz publicznej sieci łączności na terytorium Federacji Rosyjskiej;
- badania i doskonalenie technik i metod zapewnienia bezpieczeństwa sieci informacyjno-telekomunikacyjnej „Internet” oraz publicznej sieci łączności na terytorium Federacji Rosyjskiej.
Na podstawie planu rozporządzenie Ministerstwa Telekomunikacji i Komunikacji Masowej Rosji określa kierownika ćwiczenia oraz osoby wchodzące w skład kierownictwa ćwiczenia, aparat pośredniczący, grupy kontrolne i badawcze (w razie potrzeby), a także organizacje w zakresie łączności biorących udział w ćwiczeniu.
Organizacją biorącą udział w ćwiczeniach mogą być operatorzy telekomunikacyjni, w tym właściciele punktów wymiany ruchu, właściciele łączy komunikacyjnych i technologicznych sieci łączności oraz osoby posiadające numery w systemie autonomicznym.
W ciągu miesiąca od zakończenia ćwiczenia Centrum Monitorowania i Zarządzania Siecią Łączności Publicznej we współpracy z federalnymi władzami wykonawczymi i organizacjami zajmującymi się komunikacją przeprowadza kompleksową analizę, porównanie, weryfikację i syntezę materiałów na temat przeprowadzonych ćwiczeń, a na ich podstawie formułowane są wnioski.
Konkluzja została zatwierdzona przez Ministerstwo Telekomunikacji i Komunikacji Masowej we współpracy z Ministerstwem Obrony Federacji Rosyjskiej, FSB i FSO i zawiera zalecenia dotyczące poprawy bezpieczeństwa informacji, integralności i zrównoważonego rozwoju Internetu i publicznych sieci komunikacyjnych w Federacji Rosyjskiej i plan działań dotyczący ich wdrożenia.
odkrycia
Ale nie będzie żadnego. Domysłów na ten temat jest zbyt wiele. Jest prawdopodobne, że oprócz wszystkiego firmy IT będą musiały otrzymywać regularne FSB, FSTEC lub inne bardzo ważne organizacje. A może odbędą się testy zdolności do pracy po odłączeniu od sieci WWW. Kto wie, co przyniesie nam nadchodzący dzień?
Źródło: www.habr.com