Федеральная служба безопасности предложила свою версию правил по защите персональных данных. Они оказались невыполнимыми для большинства интернет-компаний.
В документе, опубликованном на Едином портале раскрытия информации, предусмотрено четыре уровня защищенности данных. Если компания для защиты хочет использовать средства шифрования, эти средства должны быть сертифицированы ФСБ. Сертификат же получают только те технические средства, которые реализуют отечественные криптоалгоритмы. Их не поддерживают ни Android, ни iOS.
Приказ также устанавливает правила безопасности для помещений, в которых хранятся серверы криптозащиты: их окна и двери должны быть оборудованы "металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц".
Эксперты, опрошенные РБК daily, называют новые правила ФСБ почти невыполнимыми. Например, для большинства операторов персональных данных (интернет-магазинов, систем кабельного телевидения) средств криптографии, сертифицированных ФСБ, просто не существует. Кроме того, сама система сертификации устроена таким образом, что сертификат выдается конкретной версии системы шифрования, что значит, что пользователи "почти никогда не получают адекватных и быстрых обновлений". В связи с этим, указывает собеседник газеты, крупные госпроекты, такие как сайт Gosuslugi.ru или сервис продажи билетов РЖД, намеренно преуменьшают уровень угрозы, чтобы не использовать сертифицированные ФСБ средства шифрования. Взамен эти сайты просто предупреждают пользователей о пересылке данных в незашифрованном виде.
