разбор

В России снова хотят взять под контроль интернет. А как там «пакет Яровой», работает?

8 карточек
1

Что случилось?

Совет Федерации одобрил закон об изоляции Рунета, теперь он ожидает только подписи президента. Предыдущим сопоставимым по масштабам законом об интернете был «пакет Яровой». Три года назад его внесли в Госдуму, оперативно приняли, а заработать в полную силу он должен был 1 июля 2018 года — почти год назад.

2

Напомните, как этот «пакет Яровой» касался интернета?

Операторы связи и организаторы распространения информации должны до шести месяцев хранить все данные и метаданные пользователей для спецслужб. Это весь интернет-трафик, любые сообщения и сведения о том, когда и кем они были переданы и получены. Если информация зашифрована, то ключи надо передать ФСБ.

3

Хоть что-то из этого работает?

Нет, не работает ничего:

  • Интернет-провайдеры не хранят весь трафик пользователей
  • Передача ключей ФСБ не позволяет расшифровать все сообщения
  • Крупнейшие западные компании не подчиняются этому закону
4

Давайте по порядку. Почему операторы связи не хранят трафик?

Им просто негде его хранить. Все оборудование, которое используется для оперативно-разыскных мероприятий (в том числе серверы для хранения трафика), должно соответствовать специальным требованиям. Эти требования, установленные Минкомсвязи по согласованию с ФСБ, появились только в декабре 2018 года (через два с половиной года после принятия законов). Сертификация сложного оборудования связи может занимать до шести месяцев, а весь процесс, по мнению экспертов, может растянуться минимум на год. По некоторым сведениям, первое сертифицированное оборудование для исполнения «пакета Яровой» может появиться только в четвертом квартале 2019 года.

5

ФСБ сможет расшифровать весь трафик, если получит ключи?

Нет. «Пакет Яровой» не учитывает современные принципы кодирования сообщений. Многие мессенджеры используют протоколы с оконечным шифрованием: ключи генерируются на устройствах пользователей, у оператора мессенджера принципиально нет к ним доступа. Более того, собеседники могут проверить, не вклинился ли кто-то незаметно в их разговор (man-in-the-middle attack). Директор ФСБ Александр Бортников недавно снова пожаловался на эффективность шифрования в мобильных приложениях и призвал на помощь мировое сообщество, фактически признав, что одними только российскими законами тут не справиться.

6

Как западные компании исполняют «пакет Яровой»?

Неизвестно. Но в списке организаторов распространения информации до сих пор нет ни Google, ни Facebook, ни Twitter, ни Apple, ни Microsoft.

С одной стороны, сотрудники Роскомнадзора считают, что это формальность и интернет-компании все равно обязаны сотрудничать с российскими спецслужбами. «Обязанности организатора распространения информации возникают в силу закона, а не факта внесения в реестр. Если ваш сервис подпадает под определение организатора распространения информации, вы уже обязаны делать то, что требует закон», — заявлял заместитель руководителя ведомства в 2017 году.

С другой — мы знаем, что Роскомнадзор долго и упорно уговаривал владельцев интернет-рации Zello и мессенджера Telegram добровольно войти в реестр, угрожая блокировкой.

7

То есть «пакет Яровой» совсем не работает?

Мы не знаем. Организаторы распространения информации в рамках «пакета Яровой», возможно, уже сотрудничают с ФСБ, но рассказывать про это они не имеют права. В январе 2018 года им запретили разглашать любую информацию о «взаимодействии с уполномоченными органами». Это произошло после того, как Павел Дуров опубликовал письма, отправленные ФСБ в Telegram.

Зато известно, какие данные о пользователях спецслужбы хотят получить от интернет-компаний.

Такой перечень содержится в требованиях к оборудованию и передаваемым данным, необходимым ФСБ для проведения оперативно-разыскных мероприятий. Соответствующий приказ Минкомсвязи тоже был опубликован в декабре 2018 года, но мы не знаем, требуется ли в данном случае проводить длительную процедуру сертификации такого оборудования.

8

Закон об изоляции интернета тоже начнет работать не сразу?

Да. Он вступает в силу 1 ноября 2019 года, а отдельные положения — только 1 января 2021 года. При этом в законе предусмотрено, что правительство и Роскомнадзор должны принять множество разных подзаконных актов. Некоторые из них придется согласовывать с ФСБ.

Даже когда все документы будут готовы, необходимо будет за счет государства закупить технические средства противодействия угрозам и поставить их в сетях операторов связи. На это все потребуются не только существенные деньги, но и время.

Денис Дмитриев

Magic link? Это волшебная ссылка: она открывает лайт-версию материала. Ее можно отправить тому, у кого «Медуза» заблокирована, — и все откроется! Будьте осторожны: «Медуза» в РФ — «нежелательная» организация. Не посылайте наши статьи людям, которым вы не доверяете.