XaaS – угроза национальной безопасности? От ЕСТР до SWIFT
В ходе бесконечных обсуждений принципа «as a Service» сломано немало копий. В очередной раз обсуждать плюсы и минусы этого подхода не имеет смысла. Практика уже наглядно показала, что использование сервисов вместо владения популярно, перспективно, эффективно и т. д. Особенно об эффективности использования сервисов будут радеть те, на ком лежит ответственность за экономическую составляющую бизнесов. А уж рядовым конечным пользователям порой просто нет альтернативы использованию сервисов – как бесплатных, так и платных, от уже классических сервисов электронной почты до набравших значительную популярность сервиса совместного использования автомобилей – каршеринга, и многих других.
Однако финансовые затраты – это только один из факторов оценки эффективности «жизни как сервиса». Интересная, актуальная, чувствительная тема принципа «as a Service» уровня международных отношений, была поднята в материале, опубликованном на портале PLUSworld.ru под названием «Россия и SWIFT. Что стоит за словами Лаврова? – Мнение экспертов»[1]. Сегодня вниманию читателей предлагается материал, в развитие озвученной проблематики – использование сервисов, предоставляемых третьими странами или расположенными в их юрисдикциях компаниями.
При подготовке статьи меня просили особо «не политизировать» - постараюсь, хотя это пожелание будет очень сложно выполнить, так как я предлагаю обсудить вопросы предоставления сервисов на уровне взаимоотношений государств, которые в любом случае проецируются на действия и поведение лиц, из которых эти государства состоят – и юридических, и физических.
Одними из самых популярных сервисов являются сервисы платежных карт. Действительно, между «владеть» для наличных, и «использовать» для платежных карт нет никакой методологической разницы, в сравнении «владеть» собственным автомобилем или «использовать» каршеринг, или «владеть» собственным почтовым сервером для компании или «использовать» услуги сервис-провайдеров электронной почты.
Оценка эффективности «жизни как сервиса» становится менее однозначной после введения в поле оценки других, порою более важных, параметров, одним из которых является безопасность, во всем разнообразии ее понимания. И если инциденты безопасности для каждого отдельного субъекта – физического или юридического лица –могут оказаться чувствительными, то для общей совокупности граждан и хозяйствующих субъектов, т. е. государства, единичные инциденты не представляют какой-либо угрозы. Однако все меняется если поднять уровень агрегации, для которого осуществляется сервис. Например, финансовая транзакция может осуществляться физическим лицом для покупки товара, либо на межбанковском уровне. И уж тем более ситуация принципиально меняется, если мы говорим о все чаще обсуждаемых в последнее время риска полного отключения от международных сервисов целых стран, например: России от того же SWIFT.
В качестве небольшого отступления напомню, что количество денег в наличном обращении ничуть не сокращается, а только год от года увеличивается.
Очень интересная и правильная мысль была высказана в уже упомянутом материале PLUSworld.ru: «При правильной организации глобальные технологические сервисы (ГТС), если они по объективным причинам являются монопольными, должны функционировать под контролем международных организаций типа ООН. Если же монопольное положение не является естественным, соответствующих сервис-провайдеров должно быть несколько, и они не должны контролироваться из одного центра.»
Возвращаясь к теме настоящей статьи, предлагаю задаться вопросом, какие еще существуют сервисы, находящиеся во владении других компаний, государств, международных региональных организаций экономической интеграции[2], подключение к которым эффективно с экономической точки зрения, но несет существенные риски безопасности в свете продвигаемой Западом политики санкций. Речь идет о таких моментах, как: стабильность ведения бизнеса компаний подключившегося государства; накопления данных о бизнес-процессах; обработка персональных данных; диспропорциональность в предоставлении сервисов по политическим мотивам, и т. д.
В качестве примера для обсуждения, предлагаю сосредоточиться на близкой мне теме – тахографии.
Введение в проблематику
Контроль деятельности водителей автомобилей, осуществляющих международные перевозки, регулируется Европейским соглашением о работе экипажей транспортных средств, совершающих международные автомобильные перевозки (ЕСТР), в число договаривающихся сторон которого входит Российская Федерация. Ключевым элементом контроля выполнения норм данного соглашения служит электронный тахограф - атрибут любого современного автомобиля, который позволяет регистрировать периоды деятельности водителей. У шофера также имеется личная карта водителя – смарт-карта – еще один элемент контроля.
На самом деле инициатором контроля с помощью тахографии является Европейский союз – именно в рамках ЕС принято большое количество нормативно-правовых актов, охватывающих практически все аспекты деятельности перевозчиков и их водителей. К слову, эти НПА в равной мере регулируют и международные перевозки и перевозки внутри страны участницы ЕС. Большая часть норм НПА ЕС перекачивало в ЕСТР. Но здесь есть пара существенных моментов, о которых и стоит сегодня поговорить.
Сервисы, предоставляемые Европейским союзом
Для создания системы доверия между компонентами системы в тахографии используется трехуровневая структура открытых ключей. Корневая пара ключей этого PKI дерева находится во владении и управлении Европейской комиссии. Соответственно, страны, не являющиеся участниками ЕС, вынуждены принять правила установленные ЕК ЕС, хотя это может противоречить их внутренним НПА или международным договорам. При этом необходимо признать, что для ЕС содержание лаборатории, выполняющей функции удостоверяющего центра, достаточно затратно, а вот для стран «клиентов» сертификация ключей уровня страны бесплатна. Т. е. для потребителей налицо финансовая эффективность данного сервиса. Но каковы риски, в свою очередь, такого подхода?
В принципе, наверное, риски сегодня не очень велики, в ЕС понимают, что в настоящее время это одно из немногих возможных решений, обеспечивающих взаимную аутентификацию компонентов системы контроля соблюдения водителями режимов труда и отдыха. В качестве мер воздействия на страны-участницы ЕСТР Европейский союз может разве что отзывать выданные сертификаты, отказывать с очередной сертификации ключей или ввести плату за проведение сертификации. Механизмы сертификации ясны, понятны, общеприняты и главное – в них не участвует каких-либо дополнительных чувствительных данных.
В развитие системы комплексного контроля за деятельностью водителей в ЕС создана система TachoNet. Ее основные функции – проверять легитимность карты водителя и контролировать, не выпускалась ли для конкретного водителя еще одна карта в его или другой стране. Существенными рисками этой системы является трансграничный обмен персональными данными, архитектура типа звезда с центром в Брюсселе, а также вопросы подключения к системе, так как она наложена на внутреннею закрытую систему ЕС обмена правительственной информации. Для полноценного контроля за деятельностью водителей необходимо подключить к ней страны, не входящие в ЕС. И как раз с вопросом подключения третьих стран существуют проблемы административного плана: разрешить доступ во внутреннею систему ЕС третьих стран; трансграничная передача и накопление в других странах персоданных о водителях; да хотя бы вопросы транслитерации алфавитов национальных языков и некоторые другие.
По сути обе описанные системы являются «глобальными технологическими сервисами», которые, как было предложено, должны функционировать под контролем ООН. В данном случае Европейской экономической комиссии ООН. Именно на площадке ЕЭК ООН можно достичь баланса интересов всех заинтересованных сторон. Но одновременно возникает вопрос финансовой эффективности, ведь в таком случае у стран, не входящих в ЕС, больше не получиться бесплатно пользоваться предоставляемыми сервисами. Необходимо формировать бюджеты финансирования расширения функционала ЕЭК ООН, возникает большая ответственность за функционирование системы. Также встают вопросы технического характера, например, где располагать эти сервисы, как ими управлять и контролировать, и многое другое. А это уже политика, в которую просили не углубляться. Но все же позволю себе одно предложение. Россия может взять на себя инициативу разместить оборудование на своей территории, обеспечивая функционирование сервисов. Да, это финансово затратно, возникает ответственность за бесперебойное функционирование, однако именно такое решение позволит России укрепить свои технические, технологические, организационные и политические позиции в ЕСТР. И главное – такой подход существенно снизит риск пострадать от санкционной политики со стороны западных стран!
[1] https://plusworld.ru/professionals/rossiya-i-swift-chto-stoit-za-slovami-lavrova-mnenie-ekspertov/
[2] Под термином региональных организаций экономического сотрудничества, в документах ЕЭК ООН посвящённым теме тахографии понимается Европейский Союз.