Яблоко раздора: почему запрет iPhone для чиновников вряд ли сработает
Запретный плод
Яблоко всегда было предметом раздора: искушение Адама и Евы плодами Древа познания добра и зла, подвиг Геракла и похищение яблок Гесперид и, наконец, суд Париса, присудившего золотое яблоко с надписью «Прекраснейшей» богине красоты и любви Афродите, из-за чего, по сути, разразилась Троянская война. И это далеко не все. Сегодня в истории «яблочных» скандалов открылась новая глава: с 17 июля в Минпромторге введен запрет на ведение рабочей переписки с использованием «яблочных» гаджетов, а именно на iPhone. Такой же запрет был принят в Минцифры, «Ростехе» и АП. Об аналогичных планах сообщалось в отношении Минфина и Минэнерго.
Это событие связывают с сообщением ФСБ от 1 июня — в нем отмечалось, что вредоносной программой были заражены мобильные устройства российских дипломатов. ФСБ не так часто публикует подобные материалы, поэтому это повлекло за собой множество публичных и не очень событий. Глава Федерального проекта по безопасности и борьбе с коррупцией Виталий Бородин направил письмо в Генпрокуратуру с требованием возбудить уголовное дело против сотрудников Apple и разведки США, которых нужно привлечь сразу по трем статьям Уголовного кодекса: о шпионаже (статья 276 УК РФ), неправомерном доступе к компьютерной информации (статья 272 УК РФ) и распространении вредоносных программ (статья 273 УК РФ). Российские организации, как уже было отмечено выше, стали вводить ограничения на использование «яблочной» продукции: где-то только для ведения служебной переписки, а где-то на использование в любых служебных целях. Ну а в Apple информацию о намеренном заражении устройств, естественно, опровергли.
При этом технических деталей публике ни в одном сообщении представлено не было, и это, конечно же, разбудило профессиональное любопытство у ИБ-специалистов. Оно не получило удовлетворения и с последующим появлением бюллетеня НКЦКИ (Национального координационного центра по компьютерным инцидентам), в котором уже не было ни слова о шпионской деятельности самой Apple, но упоминалось, что вредоносный код использует «предусмотренные производителем уязвимости». В этот же день «Лаборатория Касперского» опубликовала свое детальное расследование, которое и послужило точкой отсчета для всей истории с точки зрения технологических подробностей. Согласно данным этого отчета, вредоносный код был обнаружен на смартфонах iPhone ряда сотрудников ИБ-компании, что послужило причиной для всестороннего технологического расследования без каких-либо акцентов на политику или работу спецслужб.
Не наше ноу-хау
Теперь, после небольшого экскурса в то, что может стать долгосрочной тенденцией, давайте порассуждаем. Начну с того, что это не первая попытка запретить использование смартфонов иностранных компаний, включая Apple. Например, в 2013 году комиссия Совета Федерации по развитию информационного общества рассматривала вопрос о безопасности обмена информацией при помощи служебных смартфонов, о запрете iPhone и переходе на новые на тот момент устройства YotaРhone. Причиной такого решения стал запрет американских спецслужб действующему президенту США Бараку Обаме пользоваться iPhone в служебных целях.
Спустя год по МВД был разослан циркуляр, предписывающий прекратить использование смартфонов, мобильных телефонов открытой связи, устройств беспроводной связи (за исключением служебных радиостанций), планшетов, электронных книг, цифровых словарей, любых устройств, позволяющих делать аудио- и видеозаписи, фотографировать, подключаться к интернету, передавать данные беспроводным способом, способных определять местоположение через систему GPS. В 2019 году аналогичный запрет был внесен в федеральный закон «О статусе военнослужащих». Сканы тех или иных федеральных или региональных органов исполнительной и законодательной власти, рекомендующие запретить использование иностранных смартфонов, регулярно просачиваются в интернет и активно обсуждаются в соцсетях.
Но нельзя сказать, что это российская придумка. Помимо упомянутой истории с запретом iPhone в США, схожие были во Франции, Германии, Японии и других государствах. А в 2022 году, после взлома смартфона Лиз Трасс, бывшего министра иностранных дел Великобритании, руководители местных спецслужб хотели запретить использование любых личных мобильных устройств на рабочем месте. Иными словами, это достаточно распространенная практика по всему миру, но почти никогда не срабатывающая. И причин тому несколько.
Почему не сработает
Во-первых, любой «бумажный» запрет должен быть подтвержден техническими мерами, иначе он продержится недолго. Например, в ряде организаций он обеспечивается службой безопасности, пропускающей каждого входящего через рамку металлодетектора и требующей сдавать смартфоны либо в камеру хранения, либо в специальные сейфовые ячейки у входа. В других компаниях внедряют решения, которые позволяют идентифицировать тип подключающегося к корпоративной сети устройства, его операционную систему и, в зависимости от результата, либо разрешать, либо запрещать такой доступ. То есть само устройство проносить на территорию предприятия можно, но вот подключить его к любым ресурсам, например электронной почте, — уже нет. Правда, сейчас используемые для этого решения в России уже недоступны.
Во-вторых, запрещая использование устройств определенного производителя, необходимо предложить пользователям альтернативную замену. Это могут быть, к примеру, устройства на базе такой же зарубежной платформы Android, китайской HarmonyOS или российской «Авроры». Хотя в первых двух случаях хрен редьки не слаще, и угроза шпионской деятельности никуда не исчезает. Более открытая платформа Android легко может быть использована для шпионажа, и таких историй известно немало. Изделия китайских коллег тоже не стоит рассматривать всерьез (как бы ни хотелось), так как их производители известны своим интересом к секретам пользователей любых государств. Отечественная «Аврора» могла бы стать заменой для иностранных смартфонов, если бы объемы ее производства могли покрыть потребности российских ведомств, с чем сейчас все же наблюдается некоторая сложность.
Тем не менее проблема все равно не ограничивается только наличием или отсутствием доверенных устройств или операционных систем. Все предыдущие запреты не давали никакого эффекта по причине пользовательской привычки. Почему в свое время Blackberry сдала свои позиции продукции Apple, хотя та проигрывала по возможностям корпоративного применения? Пользователям было удобнее использовать одно устройство для личной и служебной переписки вместо того, чтобы таскать с собой два аппарата. Запрет одного из таких устройств не решит проблему, так как потребность у пользователей никуда не исчезнет — они будут продолжать лениться и хотеть общаться с близкими и коллегами с одной платформы, а не с двух или даже трех. Чтобы пользователи перешли на устройства с HarmonyOS или «Авророй», такие устройства должны понравиться работникам, или как минимум они должны быть обучены новым устройствам. Но мы прекрасно знаем по собственному опыту, как сложно переучиваться на что-то новое. А без этого пользователи помучаются-помучаются и вернутся к исходной позиции. И если это сделают их руководители (и их руководители), то уже неоднократно вводимые запреты опять превратятся в тыкву, а исходная задача так и не будет решена. Мне кажется, что все это прекрасно понимают, иначе давно бы был инициирован тотальный запрет на использование определенного вида продукции в организациях определенного типа.
Хотя давайте будем честны — такие запреты уже введены, и давно. Тут речь и про требование по импортозамещению, обязывающее госорганы и госкорпорации использовать ПО и устройства только из соответствующих реестров (и это требование действует с 2014 года), и про требования 2015 года о запрете использования зарубежных сервисов в деятельности госструктур (а iPhone прямо напичкан программами, взаимодействующими с иностранными сервисами — Apple, iCloud, Google и т. п.), и про требования 2013 года об обязательной сертификации средств защиты информации в государственных информационных системах, а iPhone может быть к ним отнесен. Запретов много — результат все тот же: чиновники продолжают и, скорее всего, продолжат использовать те мобильные устройства, которые для них удобны. Об этом же говорят и народные избранники, которые утверждают, что Госдума не будет принимать закон о запрете использования американских гаджетов российскими чиновниками, и этот вопрос должен решаться на уровне отдельных министерств и ведомств.
В 2014 году в Совете Федерации предлагали разделить «государственную информационную безопасность» на три уровня. Первый уровень — это уровень государственной тайны и тотальное шифрование всей переписки, ведущейся с аппаратов российского производства (да, они, может быть, и не очень удобны, но все-таки речь идет о национальной безопасности), имеющих сертификацию ФСТЭК или ФСБ.
Второй уровень — это уровень служебной тайны (хотя закон о ней вот уже 15 с лишним лет пылится в Госдуме), и здесь могут быть определенные послабления, например, использование любых устройств, но сертифицированных по требованиям безопасности ФСТЭК.
Наконец, для третьего уровня, для обработки несекретной или личной информации, можно использовать все, что угодно.
Интересное предложение, и оно могло бы решить стоящую перед государством задачу, но при соблюдении двух ранее описанных условий: должен быть введен технический контроль реализуемости запрета, а госслужащие и работники госкорпораций должны быть обучены работе на новых выдаваемых им мобильных устройствах. Без этого любой запрет превращается в фикцию, а в отношении продукции Apple, к которой привыкли и которой пользовались многие, включая и российских чиновников, будет еще работать и известная поговорка про сладость запретного плода.
Мнение редакции может не совпадать с точкой зрения автора