[Информационная безопасность, Законодательство в IT] Как Роскомнадзор собирает и сливает сведения об инфраструктуре провайдеров
Автор
Сообщение
news_bot ®
Стаж: 6 лет 7 месяцев
Сообщений: 27286
Ещё в 2019 году Роскомнадзор опубликовал приказы, связанные с "суверенным устойчивым Рунетом". Согласно им владельцы сетей связи, имеющие номер автономной системы, обязаны предоставлять сведения о номерах автономных систем, сетевых адресах, маршрутизации, каналах через границу и целях их использования, схемах сети, BGP, netflow, SNMP.
С подробной историей приказов можно ознакомиться здесь: 221, 222, 223.
Дальше началась череда косяков надзорного ведомства, закончившаяся непреднамеренным сливом полученных данных.
Нарушения при размещении и принятии нормативов
- нормативы подписаны задним числом
- попытка (безуспешная) пропихнуть их без оценки регулирующего воздействия
- принятые в итоге документы сильно отличаются от тех, которые были на портале проектов нормативных актов
Срыв сроков
Сбор сведений должен был начаться 1 ноября 2019 года и завершится к 22 мая 2020 года. В реальности первые требования операторы связи получили лишь в конце мая.
Форма подачи сведений
Нормативные акты предусматривают два равнозначных способа подачи информации: заполнение форм в личном кабинете на портале Роскомнадзора и заполнение XML-файла по инструкции, рассылаемой Роскомнадзором. Несмотря на это, ведомство настойчиво требует (по свидетельствам — данные требуют хоть в каком-то виде под угрозой отзыва лицензии) именно формат XML. Причина проста — за прошедшие месяцы никаких форм в личном кабинете так и не появилось.
Слив данных
Некоторые операторы поддались и заполнили XML. Казалось бы, что могло пойти не так? Данные кто-то сдавал «от балды», кто-то не полные.
И вот, на днях Роскомнадзор разослал операторам письмо с анализом допущенных ошибок при заполнении данных. Особый интерес вызывает приложение — документ со списком из сотен организаций (зеркало). Он содержит:
- персональные данные (номера телефонов, e-mail людей, отвечающих за оборудование)
- данные, чувствительные для оператора (например, модели и адреса расположения оборудования)
Корректно заполнить данные смогли лишь считанные единицы (тема на НАГе, посвященная проблемам заполнения). Операторам, которые ещё не передали сведения, стоит задуматься. Роскомнадзор сам создал себе проблемы на ровном месте. Они с множественными нарушениями написали такие нормы, где указаны XML и веб-формы, оператор вправе выбрать формы. Их отсутствие это не проблема оператора. Если Роскомнадзор хочет нарисовать к концу года красивую статистику — нет ни малейшего смысла помогать в этом очковтирательстве.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Разработка веб-сайтов, IT-компании] База клиентов сайта «РЖД Бонус» утекла в сеть
- [Информационная безопасность, Разработка под iOS, Контекстная реклама, Социальные сети и сообщества] Apple с 8 декабря заставит разработчиков приложений сообщать пользователям, какие данные они собирают
- [Информационная безопасность] Кампания фишинга Office 365 использует инверсию цветов, чтобы обмануть системы обнаружения
- [Информационная безопасность, Тестирование веб-сервисов] Web Security by Bugbounty
- [Законодательство в IT, Транспорт, IT-компании] Операторы каршеринга выступили против регулирования отрасли
- [Информационная безопасность, Конференции, CTF] Как подготовиться к The Standoff. Советы защитникам
- [Законодательство в IT, Космонавтика] Глава американской космической компании не может пользоваться ее технологиями из-за российского гражданства
- [Информационная безопасность] Самая ценная информация в коммерческой организации
- [Информационная безопасность, Социальные сети и сообщества] Ошибка в конфигурации сайта раскрыла данные 3,4 млн участников сообщества по выращиванию марихуаны
- [Информационная безопасность, Мессенджеры, Социальные сети и сообщества] Перехват чужих сообщений в Telegram «без регистрации и 2FA»
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_zakonodatelstvo_v_it (Законодательство в IT), #_roskomnadzor (роскомнадзор), #_rkn (ркн), #_sliv_dannyh (слив данных), #_suverennyj_runet (суверенный рунет), #_suverennyj_internet (суверенный интернет), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_zakonodatelstvo_v_it (
Законодательство в IT
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 28-Сен 03:28
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 7 месяцев |
|
|
Ещё в 2019 году Роскомнадзор опубликовал приказы, связанные с "суверенным устойчивым Рунетом". Согласно им владельцы сетей связи, имеющие номер автономной системы, обязаны предоставлять сведения о номерах автономных систем, сетевых адресах, маршрутизации, каналах через границу и целях их использования, схемах сети, BGP, netflow, SNMP. С подробной историей приказов можно ознакомиться здесь: 221, 222, 223. Дальше началась череда косяков надзорного ведомства, закончившаяся непреднамеренным сливом полученных данных. Нарушения при размещении и принятии нормативов
Срыв сроков Сбор сведений должен был начаться 1 ноября 2019 года и завершится к 22 мая 2020 года. В реальности первые требования операторы связи получили лишь в конце мая. Форма подачи сведений Нормативные акты предусматривают два равнозначных способа подачи информации: заполнение форм в личном кабинете на портале Роскомнадзора и заполнение XML-файла по инструкции, рассылаемой Роскомнадзором. Несмотря на это, ведомство настойчиво требует (по свидетельствам — данные требуют хоть в каком-то виде под угрозой отзыва лицензии) именно формат XML. Причина проста — за прошедшие месяцы никаких форм в личном кабинете так и не появилось. Слив данных Некоторые операторы поддались и заполнили XML. Казалось бы, что могло пойти не так? Данные кто-то сдавал «от балды», кто-то не полные. И вот, на днях Роскомнадзор разослал операторам письмо с анализом допущенных ошибок при заполнении данных. Особый интерес вызывает приложение — документ со списком из сотен организаций (зеркало). Он содержит:
Корректно заполнить данные смогли лишь считанные единицы (тема на НАГе, посвященная проблемам заполнения). Операторам, которые ещё не передали сведения, стоит задуматься. Роскомнадзор сам создал себе проблемы на ровном месте. Они с множественными нарушениями написали такие нормы, где указаны XML и веб-формы, оператор вправе выбрать формы. Их отсутствие это не проблема оператора. Если Роскомнадзор хочет нарисовать к концу года красивую статистику — нет ни малейшего смысла помогать в этом очковтирательстве. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ), #_zakonodatelstvo_v_it ( Законодательство в IT ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 28-Сен 03:28
Часовой пояс: UTC + 5