Фото: Кристина Кормилицына / Коммерсантъ
истории

«Мы все продолжим пользоваться мессенджерами» Глава «Роскомсвободы» Артем Козлюк — о расширении доступа спецслужб к личной информации граждан

Источник: Meduza

В пятницу, 24 июня, Госдума рассмотрит во втором и третьем чтении пакет «антитеррористических» поправок, подготовленных депутатом Ириной Яровой и сенатором Виктором Озеровым (подробный разбор «Медузы» читайте тут). Среди прочего законодатели хотят обязать сотовых операторов и некоторые интернет-компании (из реестра «организаторов распространения информации» в интернете) до полугода хранить всю информацию, которой обмениваются пользователи — записи звонков, переписку, фотографии, видеоролики. Эти данные операторы должны по запросу выдавать силовым ведомствам. Что все это означает для обычных граждан и насколько выполнимы требования законодателей, объясняет руководитель «Роскомсвободы» Артем Козлюк. 


Артем Козлюк

Руководитель «Роскомсвободы» — организации, которая занимается мониторингом нарушения прав пользователей интернета

Даже неловко упоминать о том, что эти поправки нарушают Конституцию — право на свободу слова, неприкосновенность переписки, — прикрываясь заботой об общественной безопасности и необходимостью борьбы с терроризмом.

Поправки предлагают хранение переписки и персональных данных граждан, тотальную слежку за каждым. Сейчас возможность доступа к нашим письмам можно получить только по решению суда. Теперь все (текстовые сообщения, голосовая информация, изображения, звуки, видео, метаданные, звонки, смс) будет собираться и храниться, а потом по неизвестным процедурам компетентные органы будут иметь к этому доступ. Мы все окажемся под микроскопом в кармане у Большого брата.

Можно сказать, что это тот же «Патриотический акт» (федеральный закон, принятый в 2001 году в США после терактов 11 сентября — его секретная часть давала Агентству национальной безопасности право на массовую прослушку граждан по всему миру — прим. «Медузы»), но только все делается в открытую.

Теперь данные должны будут хранить все сервисы, позволяющие обмениваться информацией. Их будут вносить в реестр организаторов обмена информацией. Этот реестр был введен тогда же, когда появился реестр блогеров, его ведет Роскомнадзор (соответствующий закон приняли в мае 2014 года, он обязал регистрироваться в Роскомнадзоре всех блогеров с посещаемостью больше 3000 посетителей в сутки — прим. «Медузы»). Реестр организаторов обмена информацией медленно наполнялся, но ничего существенного с ним не происходило. Теперь участники реестра будут обязаны по три года хранить метаданные (данные о пользователе, номере его телефона, геолокации в момент отправления сообщения и проч. — прим. «Медузы») и полгода само «тело» — звонки, переписку, весь трафик. То есть должны будут появиться круги хранения у самих интернет-компаний из реестра (с августа 2014 года интернет-компании обязаны в течение полугода хранить метаданные пользователей, но не содержание переписки — «Медуза»). 

О затратах на хранение таких объемов информации сложно говорить, но это триллионы рублей («Ведомости» оценили стоимость хранения только звонков в 70 миллиардов долларов — это в несколько раз больше совокупной годовой выручки мобильных операторов — прим. «Медузы»). Это большие затраты, которые вряд ли будут оплачены из государственного бюджета. А если и будут, все равно это деньги из наших налогов. Но скорее всего нет — значит, интернет-сервисам придется поднимать стоимость своих услуг.

Нужно понимать, что есть большой риск утечки таких массивов данных. Мы регулярно сталкиваемся с тем, что продаются государственные базы ГИБДД, к примеру. Я гарантирую, что на черном рынке появятся сливы данных сервисов, которые хранили все эти переписки и наше взаимодействие в сети.

Помимо хранения поправки предлагают полную дешифрацию всех сообщений пользователей. Так они хотят де-юре. Де-факто вопрос будет зависеть непосредственно от сервиса, к которому поступит запрос от спецслужб (поправки предполагают штрафы до миллиона рублей за отказ в представлении уполномоченным органам возможности «декодировать» сообщения — прим. «Медузы»).

У меня есть предположение, что [властям] нужно просто срочно внедрить посыл: мы постоянно думаем про дешифрацию. Потом они начнут наращивать этот посыл, принимая новые законопроекты и подзаконные акты, которые прояснят порядок того, как, кто и каким образом будет передавать ключи шифрования.

То, что они примут [в этих поправках], — это неработающая тема. Сложно представить, чтобы хоть какая-то крупная компания снизила свою криптоустойчивость, чтобы наши спецслужбы смогли получить доступ к дешифровке информации. Если они начнут осуществлять дешифровку, то поставят под угрозу не только российских пользователей, но и жителей других государств, с которыми они общаются. Сложно представить, что на это пойдут Google, Apple, WhatsApp, Telegram.

Все по-разному осуществляют метод шифрования. У WhatsApp — это технология end2end: на конечных устройствах создаются ключи, и только пользователи ими владеют (компания в любом случае не смогла бы их передать). Telergam хранит ключи централизованно, но создатель сервиса Павел Дуров неоднократно говорил, что не станет ими делиться.

Раз эти поправки не будут работать, они внесут новые. Сервисы, отказывающиеся передавать ключи, попадут под ограничения на территории России. Такое, кстати, уже есть в законе о переносе персональных данных на территорию России (с 1 сентября 2015 года все интернет-компании обязали хранить персональные данные пользователей на серверах в России — прим. «Медузы»). В нем указано, что Роскомнадзор имеет право заблокировать в России те сервисы, которые отказываются это делать. По факту этого не происходит — закон неисполним. Ведутся только бесконечные переговоры с Google и Facebook. И нет никакого результата с сентября 2015 года.

Можно предполагать, что появятся нормы, предполагающие блокировки сервисов. Но что это значит? Если, например, Telegram откажется предоставлять ключи шифрования, то IP-адреса его серверов внесут под блокировку в очередной реестр. Но, используя простейшие технические средства (VPN), пользователи смогут сервисом пользоваться.

Уверен, что ни один из иностранных сервисов не пойдет на такое сотрудничество со спецслужбами. Иначе их просто в мире не поймут (представитель Rambler&Co Матвей Алексеев заявил, что компания не видит в передаче информации спецслужбам ничего плохого; в «Яндексе» считают, что поправки приведут к «чрезмерному ограничению прав как бизнеса, так и пользователей» — прим. «Медузы»). По факту эти нормы будут исполнять только отечественные сервисы. Тем самым законодатели ставят отечественные IT-компании в невыгодное положение по сравнению с иностранными, которые окажутся более защищенными.

Весь посыл этих поправок — очень грустный. С хранением данных уже ничего не попишешь — будут хранить. Или это будут выполнять, или просто у оператора отберут документы на деятельность. Про дешифровку я более оптимистичен. Мы все продолжим пользоваться мессенджерами, даже если их сервера внесут в некие реестры.

Magic link? Это волшебная ссылка: она открывает лайт-версию материала. Ее можно отправить тому, у кого «Медуза» заблокирована, — и все откроется! Будьте осторожны: «Медуза» в РФ — «нежелательная» организация. Не посылайте наши статьи людям, которым вы не доверяете.