Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

[UPDATE] Как защищать детей

Аватар пользователя merced2001
Автор: Агеев Артем, itsec.pro
(0)
()
И вот наше государство взялось за защиту детей.
Как всегда законопроект полон нужных и правильных идей. И как всегда мы боимся ставшего уже классическим "хотели как лучше, а получилось как всегда".

На сегодняшний момент окончательно состав процедур по контролю за Интернет не определен. Поэтому у нас ещё есть время сказать свое веское слово
  • Федеральный закон от 29 декабря 2010 года № 436-ФЗ "О защите детей от информации, причиняющей вред их здоровью и развитию" (вступает в силу с 01.09.2012). 
  • Текст поправок можно скачать тут (линк на сам документ). 
Теперь вкратце что же предлагает нам новый закон и поправки к нему...


В ст. 5 перечислены категории информации, которые детям показывать запрещено вообще. В статьях 7-10 вводятся категории "информации для детей": 0+ лет, 6+ лет, 12+ лет, 16+ и для взрослых - 18+. По каждой категории даётся список того, что показывать можно (все остальное, соответственно, нельзя). Нельзя показывать насилие, наркотики, алкоголь, порнографию + для самых маленьких добро должно торжествовать над злом (это почти цитата из закона!).

Формулировки в законе двоякие. Например, нельзя показывать информацию, вызывающую у детей страх, ужас или панику. К такой информации можно сразу отнести бабу Ягу и Кощея. До 16 лет нельзя при детях говорить "бранные слова, не относящиеся к нецензурной брани" - дурак, балда, болван и др.

Хотя законопроект и не распростроняется на "информационную продукцию, имеющую значительную историческую, художественную или иную культурную ценность для общества" (такой продукцией являются, наверное, детские сказки), однако компьютерные игры и детские утренники оказываются вне закона.

Некоторые из определений в новом законе поставили меня в тупик. Что за "изображения или описание унижающей человеческое достоинство формы ненасильственной смерти"? Инфаркт в порнокинотеатре?

Если уж запрещать каждому пользователю, каждому сайту и каждому провайдеру распространять информацию, то сделайте уже ПОЛНЫЙ КОНКРЕТНЫЙ ПЕРЕЧЕНЬ подобной информации! Без витиеватых формулировок и двойных толкований. 

Теперь о технической защите.
"Статья 14. Особенности распространения информации посредством информационно-телекоммуникационных сетей 

1. Доступ к информации, распространяемой посредством информационно-телекоммуникационных сетей (в том числе сети Интернет), в местах, доступных для детей, предоставляется при условии применения операторами связи, оказывающими телематические услуги связи, либо администрацией таких мест административных и организационных мер, технических, программно-аппаратных средств защиты детей от информации, причиняющей вред их здоровью и (или) развитию."

Таким образом все провайдеры обязаны применять программно-аппаратные средства защиты, следящие за трафиком пользователя и блокирующие нежелательные запросы.

Хорошо ещё, если это ограничиться фильтрацией на уровне запросов на DNS сервера провайдера. Но можно ведь и отслеживать заголовки сетевых пакетов, вмешиваясь в тайну связи пользователя. Стоит явно рассчитывать на жесткий сценарий.

Будет создан единый централизованный blacklist: Единый реестр доменных имен и (или) универсальных указателей страниц сайтов в сети Интернет и сетевых адресов сайтов в сети Интернет, содержащих информацию, запрещенную к распространению на территории Российской Федерации.

Реестр будет содержать как URL, так и IP адреса. Кто и как будет вести реестр пока что неясно. Наверное, какая-нибудь частная организация из Казани ;).

Процедура бана будет выглядеть так: хостинг-провайдеру поступает жалоба на содержимое сайта. В течении 24 часов хостинг должен оповестить хозяина сайта и тот должен убрать "бранные слова" с сайта. Если хозяин не удалил страницу - хостинг блокирует сайт. 

Если в течении суток сайт не заблокирован - сведения о сайте попадают в blacklist и все операторы связи в России в течении суток банят сайт по URL и IP (можно ли что-то одно неясно). Разбанить можно по заявлению в Уполномоченный Орган (или решению суда) в течении 3х дней. Если в течении 3х месяцев бан не обжалован - он становится вечным.

Уполномоченным органом, судя по всему, выступит Роскомнадзор (структура Министерства связи).

Дабы правильно категорировать свой информационный ресурс, хозяину сайта придется сделать экспертизу, которую будут проводить аккредитованные эксперты. Эксперта выбирает сама организация из перечня, размещенного на сайте Уполномоченного Органа. Срок экспертизы - до 30 дней. Экспертиза, само собой, платная. Через 2 дня после экспертизы результаты вывешиваются на сайт УО. 

Почему это не будет работать
Каждую минуту в интернете автоматически регистрируется несколько тысяч доменных имен. Существенная часть этих имён используется для публикации сайтов с порнографией, торговлей медикаментами, персональными данными граждан и т.д. 
С принятием закона в этой сфере ничего не измениться совершенно. Заблокировали один URL и IP? Через секунду сайт будет на другом. А если порнохакеры подняли сайт на легальном компьютере? Его IP будет в blacklist'е? 
Мне, например, ясно, что главный удар будет направлен на хозяев легальных интернет ресурсов, которые дорожат своим адресом и не хотят пересаживаться на абузоустойчивый хостинг в Прибалтике. Допустим, все "страшные" вещи с сайта можно будет убрать, но что делать с комментариями? Что будет Яндекс выдавать по запросу "ужас"?
Да и обойти запрет в сети ведь достаточно легко - используй анонимайзер, Google translate, VPN, TOR и т.д.
Как это должно было быть
Да очень просто! Изящным способом защиты детей будет создание общероссийского фильтрующего DNS сервера. Любой родитель или преподаватель может задать настройки сетевого соединения (и запретить их менять), в которых указать фильтрующий DNS. Для каждой детской категории можно даже сделать свой выделенный DNS сервер. 
Адреса в "белый" список попадают бесплатно через некоммерческую регулирующую организацию, однако у родителей и пользователей всегда есть выбор между "свободным интернетом" и "интернетом для детей". Достаточно просто поменять адрес DNS сервера.

Как отец могу сказать, что чем сильнее государство вмешивается в воспитание детей внутри семьи - тем меньшую роль в обществе играет семья, что в конечном счёте вредит обоим.

PS Изящным выходом из под закона для провайдеров будет предоставление услуг доступа к сети Интернет "только для взрослых". Т.е. переложить ответственность за доступ к сети детей на лицо, заключающее договор связи.

======================================
[UPDATE] к третьему чтению законопроект пришел в слегка изменённом виде.

Из под действия 14 статьи (приведена выше) убрали "операторов связи, оказывающих эти услуги связи на основании договоров об оказании услуг связи, заключенных в письменной форме".

Значит ли это, что все операторы домашнего и офисного интернета будут избавлены от необходимости фильтрации трафика?

В данный момент каждый интернет провайдер уже имеет у себя СОРМ, который включен в SPAN-порт маршрутизатора и пока что просто мониторит транзитный трафик. Следующим логичным шагом властей будет включить эти СОРМы в разрыв, переложив на операторов связи затраты. В такой конфигурации СОРМы смогут не только мониторить трафик, но и блокировать его по сигнатурам из единого государственного blacklist'а. Именно такого сценария и стоит бояться больше всего, а не "блокировки по IP адресу 1000 сайтов", на которую постоянно ссылается и Google и ЖЖ и все остальные.

В реестр вносятся только IP адреса, идентифицирующие конкретный сайт. Т.о. в законе есть механизм корректного решения этой проблемы (главное чтобы он работал).


Самой правильной поправкой в третье издание поправок является конкретизация причин бессудебного бана: детское порно, наркотики, самоубийства. Раньше стояла общая формулировка, теперь заменили на конкретную.

[UPDATE] О существующих механизмах защиты детей в продолжении...
[UPDATE] Промежуточный результат охоты на педофилов.

Оцените материал:
Total votes: 47
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.