DPI для СОРМ, готовимся экономить

Сорм-3 схема

СОРМ (Система оперативно-розыскных мероприятий) – аббревиатура, значение которой в последнее время знают не только операторы связи, но и простые пользователи. «Тотальная слежка», «прослушивание», «вторжение в частную жизнь» – все это пугает и заставляет задуматься о той информации, которую мы передаем через Интернет или телефон. На самом деле для простого гражданина это не более чем страшилки, а вот для операторов связи – дополнительные расходы на новое оборудование.

Разберемся в СОРМ

Разработка системы прослушки СОРМ была начата в конце 80-х годов Комитетом государственной безопасности (КГБ) и до настоящего времени успела несколько раз обновиться. Сейчас мы имеем три версии:

  • СОРМ-1 – прослушка телефонных линий (стационарных и мобильных),
  • СОРМ-2 – «прослушка» интернет-трафика,
  • СОРМ-3 – сбор информации всех видов связи, ее долгосрочное хранение и доступ к данным об абонентах.

Основное назначение СОРМ – обеспечение безопасности государства и его граждан, что достигается выборочным контролем прослушиваемой информации. Федеральная служба безопасности (ФСБ) занимается контролем выявленных или потенциальных угроз, а также субъектов под подозрением. Ей неинтересна ни личная жизнь гражданина, ни то, чем он занимается в Интернете, пока это не создает угрозы.

Подобные системы есть и в других странах: в Европе – Lawful Interception (LI), сертифицированная ETSI, в США – CALEA (Communications Assistance for Law Enforcement Act). Отличие нашего СОРМ – в контроле за исполнением функций. В США и Европе правоохранительный орган, чтобы получить требуемую информацию, должен предоставить оператору судебный ордер. А в России сотрудник ФСБ в любой момент может подключиться к серверу оператора связи с пульта управления СОРМ по выделенному защищенному каналу и скачать необходимую информацию. Разрешение суда необходимо, но предъявлять его ФСБ не обязано. Дело в том, что этот ордер является предметом государственной тайны, права работать с которой у оператора связи нет.

Структура СОРМ-1

Все остальные спецслужбы (ФСО, МВД, ФТС и др.) могут получить сведения от оператора только через ресурсы ФСБ и только по решению суда. Особенность российской СОРМ заключается в том, что оператор или провайдер не знает об объектах контроля ФСБ, никак не влияет на процесс контроля, а только предоставляет доступ к трафику.

Аппаратные комплексы СОРМ разрабатываются в соответствии с требованием нескольких приказов и постановлений:

  • Приказ Госкомсвязи РФ № 70 от 20.04.1999 г.
  • Приказ Минкомсвязи РФ № 174 от 11.07.2011 г.
  • Приказ Минкомсвязи РФ № 268 от 19.01.2012 г.
  • Приказ Мининформсвязи России № 6 от 16.01.2008 г.
  • Приказ Минкомсвязи России № 73 от 27.05.2010 г.
  • Приказ Минкомсвязи России № 83 от 16.04.2014 г.
  • Постановление Правительства РФ № 538 от 27.08.2005 г.

Основой посыл всех приказов – обязать операторов связи «предоставлять уполномоченным государственным органам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, информацию о пользователях услугами связи и об оказанных им услугах связи, а также иную информацию, необходимую для выполнения возложенных на эти органы задач, в случаях, установленных федеральными законами». А вот жесткость требований каждый год растет.

Последние поправки, внесенные депутатом Ириной Яровой и сенатором Виктором Озеровым и подписанные Владимиром Путиным, вступят в силу с 1 июля 2018 года. С этого момента, если не будет других изменений, российские операторы связи и интернет-провайдеры будут обязаны хранить весь трафик абонентов 6 месяцев, а информацию о фактах передачи информации – 3 года. Весь трафик – это файлы, письма, записи разговоров и другое, огромные объемы данных. Затраты на создание дополнительных систем хранения данных под эти цели оцениваются операторами в 2,2 трлн рублей, которые непосредственным образом отразятся на стоимости услуг. Причем большая часть этой информации не представляет для ФСБ никакого интереса (музыка, видео, торренты), а хранить, согласно текущей версии документа, необходимо все.

Также новые поправки обязывают интернет-сервисы предоставлять правоохранительным органам ключи шифрования, если переписка или передаваемые файлы зашифрованы. Многие сервисы шифруют передаваемую информацию end-to-end, то есть ключ шифрования имеют только отправитель и получатель, у оператора этого ключа нет. Зашифрованные таким способом данные хранить бессмысленно.

Можно сократить затраты на хранение данных, законодательно разрешив операторам использовать фильтрацию данных. Определив типы данных, которые несут важность для долгосрочного хранения и внеся соответствующие поправки в закон, можно с помощью системы глубокого анализа трафика (DPI) отсеивать лишний трафик. Операторы уже давно внедряют систему глубокой фильтрации и управления трафиком, которая может по-разному тарифицировать определенные его виды (социальные сети, видеозвонки, мессенджеры и т. п.). Такие системы есть у МТС, «Вымпелкома» и других. Они уже сейчас могут начать фильтровать трафик и оптимизировать затраты на обработку и хранение.

Одна из схем использования DPI в качестве предфильтра СОРМ при установке «в разрыв».

схема подключения в разрыв

Она позволяет с помощью системы DPI маркировать и отправлять на оборудование СОРМ только интересующий трафик, а лишний (до 50 % от общего) отбросить.

Эффективность предфильтра СОРМ

Конечно, можно осуждать применение системы DPI за вторжение в личную информацию пользователя, ведь анализ трафика на седьмом уровне позволяет получить заинтересованному лицу все, вплоть до каждого сообщения, разговора или преданного файла. Но! Система СОРМ используется ФСБ только с целью обеспечения безопасности, и, если спецслужбе необходимо получить сведения о конкретном лице, создающем угрозу, она ее получит – с DPI или без.

Изменение системы СОРМ неизбежно, вопрос лишь в том, когда придется заменить все оборудование или модернизировать сеть дополнительными устройствами, такими как DPI. Каждый оператор столкнется с этой проблемой, но уже сейчас можно минимизировать ее последствия.

 

Financial resource: http://www.forumfinansowe.net/

  1. Кто в России производит оборудование СОРМ?
    Может ли система DPI выступать одновременно и СОРМ-системой?

    1. В России довольно много производителей оборудования для СОРМ — это компании МФИ СОФТ, Норситранс, Спецтехнологии и прочие. DPI СКАТ не может быть СОРМ как таковым, но может быть съемником аналитики для отдельной ИС СОРМ.
      Совместить в одном устройстве DPI и СОРМ хорошая задумка, но пока имеет законодательные и программные ограничения.

        1. СОРМ+DPI — тут много вопросов какой)
          Это разные вещи модуль съемника может быть на любой платформе позволяющей собирать статистику с L2 до L7, но является ли эта платформа системой DPI в режиме реального времени, с приемлемыми характеристиками по задержкам обработки трафика самый большой вопрос. Пока из основных поставщиков только Норсики поставляют решения для гражданского назначения «КРОЗ» и то пока только до 10Гб/с. А так все говорит место инсталляции платформы в «разрыв» или на «отзеркаленом» трафике.

          1. Могу ошибаться…зеркало лишь на низких нагрузках на цисках работает, много лучше сделать в разрыв, тк приоритет на цисках по спан портам далеко не первый

          2. Понимаю, что зачастую электричество бОльшая проблема, нежели оптика на инфраструктуре Заказчика, однако зеркало это почти — история.

  2. Если очень захотеть — можно в космос полететь. Если будут должные мотивация и финансирование, наряду с жестким контролем за динамикой выполнения работ по проекту — можно написать все, что необходимо — и СОРМ и DPI и все, что надо…тут очень важно, чтобы никто из стейкхолдеров проекта не захотел внезапно «незадокументированные ранее перламутровые пуговицы» или новую дачу, яхту или вообще жену и чтоб мотивации, времени и финансирования хватило на все 100% запланированных работ.
    Довольный Заказчик это прекрасно, но еще лучше это когда Заказчик доволен и работающий продукт работает как молоток и техподдержка не требует особого внимания. Простите накипело ))

    Все, кто вывел свой продукт на рынок — молодцы, мое почтение ))

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *