В России снова хотят взять под контроль интернет. А как там «пакет Яровой», работает?
Что случилось?
Совет Федерации одобрил закон об изоляции Рунета, теперь он ожидает только подписи президента. Предыдущим сопоставимым по масштабам законом об интернете был «пакет Яровой». Три года назад его внесли в Госдуму, оперативно приняли, а заработать в полную силу он должен был 1 июля 2018 года — почти год назад.
Напомните, как этот «пакет Яровой» касался интернета?
Операторы связи и организаторы распространения информации должны до шести месяцев хранить все данные и метаданные пользователей для спецслужб. Это весь интернет-трафик, любые сообщения и сведения о том, когда и кем они были переданы и получены. Если информация зашифрована, то ключи надо передать ФСБ.
Хоть что-то из этого работает?
Нет, не работает ничего:
- Интернет-провайдеры не хранят весь трафик пользователей
- Передача ключей ФСБ не позволяет расшифровать все сообщения
- Крупнейшие западные компании не подчиняются этому закону
Давайте по порядку. Почему операторы связи не хранят трафик?
Им просто негде его хранить. Все оборудование, которое используется для оперативно-разыскных мероприятий (в том числе серверы для хранения трафика), должно соответствовать специальным требованиям. Эти требования, установленные Минкомсвязи по согласованию с ФСБ, появились только в декабре 2018 года (через два с половиной года после принятия законов). Сертификация сложного оборудования связи может занимать до шести месяцев, а весь процесс, по мнению экспертов, может растянуться минимум на год. По некоторым сведениям, первое сертифицированное оборудование для исполнения «пакета Яровой» может появиться только в четвертом квартале 2019 года.
ФСБ сможет расшифровать весь трафик, если получит ключи?
Нет. «Пакет Яровой» не учитывает современные принципы кодирования сообщений. Многие мессенджеры используют протоколы с оконечным шифрованием: ключи генерируются на устройствах пользователей, у оператора мессенджера принципиально нет к ним доступа. Более того, собеседники могут проверить, не вклинился ли кто-то незаметно в их разговор (man-in-the-middle attack). Директор ФСБ Александр Бортников недавно снова пожаловался на эффективность шифрования в мобильных приложениях и призвал на помощь мировое сообщество, фактически признав, что одними только российскими законами тут не справиться.
Как западные компании исполняют «пакет Яровой»?
Неизвестно. Но в списке организаторов распространения информации до сих пор нет ни Google, ни Facebook, ни Twitter, ни Apple, ни Microsoft.
С одной стороны, сотрудники Роскомнадзора считают, что это формальность и интернет-компании все равно обязаны сотрудничать с российскими спецслужбами. «Обязанности организатора распространения информации возникают в силу закона, а не факта внесения в реестр. Если ваш сервис подпадает под определение организатора распространения информации, вы уже обязаны делать то, что требует закон», — заявлял заместитель руководителя ведомства в 2017 году.
С другой — мы знаем, что Роскомнадзор долго и упорно уговаривал владельцев интернет-рации Zello и мессенджера Telegram добровольно войти в реестр, угрожая блокировкой.
То есть «пакет Яровой» совсем не работает?
Мы не знаем. Организаторы распространения информации в рамках «пакета Яровой», возможно, уже сотрудничают с ФСБ, но рассказывать про это они не имеют права. В январе 2018 года им запретили разглашать любую информацию о «взаимодействии с уполномоченными органами». Это произошло после того, как Павел Дуров опубликовал письма, отправленные ФСБ в Telegram.
Зато известно, какие данные о пользователях спецслужбы хотят получить от интернет-компаний.
Такой перечень содержится в требованиях к оборудованию и передаваемым данным, необходимым ФСБ для проведения оперативно-разыскных мероприятий. Соответствующий приказ Минкомсвязи тоже был опубликован в декабре 2018 года, но мы не знаем, требуется ли в данном случае проводить длительную процедуру сертификации такого оборудования.
Закон об изоляции интернета тоже начнет работать не сразу?
Да. Он вступает в силу 1 ноября 2019 года, а отдельные положения — только 1 января 2021 года. При этом в законе предусмотрено, что правительство и Роскомнадзор должны принять множество разных подзаконных актов. Некоторые из них придется согласовывать с ФСБ.
Даже когда все документы будут готовы, необходимо будет за счет государства закупить технические средства противодействия угрозам и поставить их в сетях операторов связи. На это все потребуются не только существенные деньги, но и время.