СБУ , “Стахановец” , 1С Битрикс обыски...
Меня уже пару раз просили прокомментировать ситуации с обысками в Dragon Capital в связи с ПО "Стахановец". Так же многих волнует ситуация вокруг 1С и продуктов 1C Битрикс в целом. И так, попробую коротко и конструктивно.
По Стахановцу:
Освящение проблемы: ситуацию необходимо рассматривать и освещать с двух сторон. СБУ утверждает, что софт "Стахановец" - шпионский софт. Далее следуют "ошеломляющие" заявления главы аппарата СБУ - "он может даже звук записывать". Но нужно быть "гением", чтобы не прочитать лицензию, где четко указано, что ОН МОЖЕТ ДЕЛАТЬ. И если автор софта пишет об этом в своей лицензии прямым текстом и предупреждает пользователя на сайте, то в чем проблема? Teamviewer тоже может передавать звук.
Юридический аспект: Подобный софт для мониторинга деятельности сотрудников не новшество и активно используется ВО ВСЕХ СТРАНАХ вот Вам даже обзор такого иностранного софта. При этом ответственность за установку такого ПО несет системный администратор и директор компании. Директор при найме сотрудников обязан уведомить человека, что на рабочем компьютере используется ПО для отслеживания деятельности сотрудников. А это значит, что ничего личного на рабочем компьютере делать не стоит, дабы компания не вникала в тайну Вашей личной переписки. Все остальное является деятельностью направленной на защиту собственной коммерческой тайны и если все вкурсе и дают добро - проблемы нет. К примеру, установка видеокамер в офисе - легальна с момента, когда на стене (или видном месте) появилась табличка "ведется видеонаблюдение". И "о Боже о Боже", но камеры тоже могут писать звук и подглядывать что вы делаете на рабочем месте.
Экспертиза: СБУ в одностороннем порядке имеет право проводить экспертизу на специальные технические средства (СТС). Тут нет альтернативы и если СБУ говорит, что этот "программно-аппаратный" комплекс - СТС, то это СТС. Так же как очки Google Glases - шпионский программно-аппаратный комплекс. Юристы могут просто пойти и удариться головой об стену, так как такую экспертизу попросту невозможно оспорить, ведь так оно и есть - это ПО и технику можно использовать для шпионских целей. А можно и не использовать. Тут как с ножом, можно сыр резать, а можно людей... Как понять является ли твой софт или продут "специальным техническим средством" ? Посмотреть на классификатор специальных технических средств, предназначенных для негласного получения информации вот тут ссылка. Дальше прочитать еще пару документов. И на самый крайний случай провести экспертизу.
Идиотизм: Согласно выписке из реестра юр. лиц Украины компания ТОВ "Стахановец ПРО" зарегистрирована в Украине и уже много лет ведет деятельность в Украине не скрываясь и не прячась. Почему с обыском не пришли к двум украинским учредителям, а пошли в крупнейшую инвестиционную компанию Dragon Capital и решили обыскать УкрГазДобычу? Для меня это вопрос риторический.
Адекватность: Есть заявление компании создавшей "Стахановца", которая готова дать на аудит свой софт всем, кто желает. Мы в ProtectMaster возьмем, раскурочим, посмотрим и вскрытие покажет. Также мы возьмем старые версии, раскурочим, посмотрим и скажем. Мы не СБУ и мы скажем как есть. Если "Стахановец" стучит куда-то помимо владельца лицензии, то СБУ полностью правы. Если нет, то это похоже на наезд и выводы делайте сами. Не могу не приложить официальное заявление производителей "Стахановца" которые открыто предлагают любому желающему провести аудит софта.
По ситуации с 1С и Битрикс и прочими "очень нужными и удобным программами" для бухгалтерии. Мое мнение было есть и будет прежним: критически необходимо вырезать, душить, выкорчевывать любое Российское ПО из государственных органов Украины. Ровно также как ввести уголовную ответственность для чиновников за использование Российских почтовых сервисов для СЛУЖЕБНОЙ переписки. Я подчеркиваю, что речь идет только о ГОСУДАРСТВЕННОМ секторе. Есть целая куча бесплатных "OpenSource" альтернатив 1С, а также есть платные альтернативы. В любом случае в гос секторе нельзя использовать Российское ПО, его необходимо заменить на Украинское или OpenSource на крайняк - иностранное.
Данная стратегия четко изложена в стратегии национальной киберзащиты разработанной Советом Национальной Безопасности и Обороны. Ссылка на документ.
Для частного сектора данные правила и ограничения не должны распространяться и НЕ РАСПРОСТРАНЯЮТСЯ! Если Вам удобно использовать софт страны агрессора - Ваше право, только не надо рассказывать, что "альтернатив нет".
Также я считаю, что нужно выкорчевывать с телефонов, компьютеров , планшетов чиновников любое российское ПО - антивирусы, навигаторы, почтовые сервисы. Пришел на гос службу? Люби Украину! Поддерживай отечественного производителя или пользуйся OpenSource продуктами!
Частный сектор и частные лица вольны делать выбор самостоятельно.
И так мой вывод:
1) Стахановец - ПО для шпионажа, которое ставит руководство компании для мониторинга деятельности сотрудников, оно легально только, если все сотрудники добровольно дают разрешение на слежку в письменной форме. Использовалось оно для передачи данных в РФ или нет - покажет только аудит.
2) У СБУ есть все законные основания считать его специальным техническим средством в ситуациях, когда пользователь не знает что данное ПО установлено.
3) 1С Битрикс , Касперский, Доктор Веб и другое Российское ПО будет официально блокироваться для использования в гос. секторе Украины. И это абсолютно логично. Частный сектор волен выбирать самостоятельно какой софт ему использовать.
4) Зачем проводить обыск в Dragon Capital и УкрГазДобыча вместо того чтоб обыскать авторов софта "Стахановец" не понятно даже мне. (я делаю вид)
Мое мнение не отражает позицию СБУ, разработчиков софта "Стахановец" или 1С Битрикс и является лишь собственным суждением.
Если ПО под названием "Стахановец", помимо декларируеміх функций - сбор информации с рабочих мест сотрудников компании для обобщения и анализа САМОЙ КОМПАНИЕЙ, может куда-то передавать часть этой информации без ведома компании - то это самое что ни есть средство негласного сбора и передачи информации.
Относительно "поковырять" и проверить, так ли это...
Если "шпионский" функционал писался не полным дилетантом, отловить факт передачи информации в лабораторных условиях может оказаться весьма нетривиальной задачей.
Т.к. активироваться и получать "задачи" он будет дистанционно и исключительно в тех компаниях, данные которых представляют интерес.
Весь софт, который использует сервисы, обеспечивающие захват, передачу и накопление информации о действиях пользователя, потенциально может содержать незадекларированный функционал, обеспечивающий несанкционированную утечку информации.
И единственным предохранителем является имидж компании-поставщика и сопоставимость ценности украденной информации vs потери от огромного скандала и судебных исков в случае разоблачения.
Естественно, чем крупнее и авторитетнее компания-поставщик, тем меньше шансов получить трояна в виде безобидного продукта. Это не касается крупных российских компаний, которые с огромной вероятностью, контролируются ФСБ.
В случае же продукта от какой-нибудь малоизвестной фирмочки с уставным фондом в несколько десятков тысяч гривень, вероятность наличия "закладок" в софте, содержащем сознательно устанавлимые перехватчики и сервисы сбора информации, весьма велика.
Что касается 1С, то здесь полностью разделяю точку зрения автора. Единственное, что хотел бы добавить - мы (Украина) можем и должны стимулировать развитие собственных продуктов, позволяющих полностью вытеснить и заменить довольно-таки посредственное гуано, поставляемое из страны-агрессора.
Надо наводить порядок сначала у себя в голове, а потом идти и ломать то, что работает. (Я про бухгалтерские программы 1С и Парус - 2 крупных игрока на бухгалтерском поле. ) Все с российскими корнями. Имеют встроенную удаленную поддержку клиентов с соответствующими сетевыми службами. Облачные технологии. Это нормально для сегодняшнего дня.
Я про то, что в СБУ работают дилетанты. Они что не знают, что не понимают все изымают и запрещают. Есть факт злонамеренной работы программы? Разработчики пускают к исходникам всех версий! Такая возможность поймать шпиона и доказать! ТИШИНА от СБУ!
Зато изъять компы и сломать настроенную систему - много ума не нужно.
К сожалению, в Украине нет бухгалтерского софта с хотя бы близким функционалом и поддержкой.
А утечка данных решается не запретом программы, как таковой, а комплексом мер самого государства на уровне системного администрирования. Словили, зафиксировали, заблокировали и в суд с обвинениями!
Я не бухгалтер, но боком слышал чем оперирует финотдел.
И сомневаюсь что у нас нет спецов набросать свою клиентскую систему управлени бухгалдтерсокой БД на Оракл или Постгрес. Скорее всего они работают но удаленно для заказчиков из вне.
Ничего, что Оракл в состоянии купить ЧАЭС и то, благодаря Западу, а не какая то ООО "111"?
Есть хороши результаты разработки ведомственых СУБД, ГАРТ, АРМОР и т.п.
Но странно, что Парус с росийским корнями знакомый тестер в Японском Парусе в Киеве работал, и на Парусе наши в/ч.
Обычно техника такая наезди и на таксу.
Почти все участники ВЭД в той или иной мере платят мзду СБУ, если правда нет крышы круче типу ВРУ, АПУ или КМУ.