С 1 октября вступили в силу положения «закона Яровой», которые обязывают интернет-провайдеров хранить весь трафик пользователей в течение 30 суток. Исходно закон должен был заработать для провайдеров с 1 июля, но многим не хватило времени на подготовку. «Медуза» попросила Дмитрия Галушко, генерального директора компании «Ордерком», которая консультирует операторов связи, рассказать, как интернет-провайдеры выполняют требования законодательства.
«Какая часть интернет-операторов выполняют „закон Яровой“? Ноль процентов».
У нас люди живут по принципу «пока жареный петух в одно место не клюнет — мужик не перекрестится». Соответственно, пока куратор [из ФСБ] не придет, не затребует покупать [оборудование для хранения трафика] — операторы не двигаются. Кураторы в регионах пока не [двигаются], 1 октября только настало.
Какая часть интернет-операторов выполняют «закон Яровой»? Ноль процентов. То есть ни один оператор сегодня эти требования — о хранении текстовых сообщений, изображений — полностью не выполнил. Сейчас нет оборудования, на котором можно хранить такие объемы данных. Дело в том, что ввести в эксплуатацию можно только сертифицированное по российским законам оборудование, а такого оборудования нет. А вводить несертифицированное — это статья 13.6 КоАП, где штраф от 60 до 300 тысяч рублей и возможная конфискация.
Чтобы сертифицировать [оборудование], нужно несколько условий. Во-первых, должен быть приказ с названием вроде «Требования к техническим средствам накопления информации». Про хранение голосовых сообщений такие есть, а про текстовые сообщения и изображения — нет. Было два проекта, но Минюст их завернул. Вот сейчас [в Минкомсвязи] готовят третью версию, согласовывают с ФСБ; в октябре его направят в Минюст, который будет регистрировать еще месяц. Второй нормативно-правовой акт — методика испытаний этих средств накопления информации на соответствие требованиям. Каждый из производителей оборудования для СОРМ лоббирует свои интересы, ведь [им] нужно, чтобы методика была написана так, чтобы именно твое оборудование успешно прошло испытания на соответствие требованиям, о которых я говорил выше. Каждый из производителей тянет одеяло на себя, они даже внутри себя пока не согласовали.
«Некоторые интернет-провайдеры уже хранят трафик — в течение 12 часов»
На самом деле, некоторые интернет-провайдеры уже хранят трафик — в течение 12 часов, потому что был приказ Минкомсвязи [в 2014 году]. Но даже по этому требованию глобально трогать операторов [сотрудники ФСБ] начали только в этом году, хотя первые сертификаты [на оборудование для хранения трафика по 12 часов] были уже в конце 2016-го — то есть прошло полтора-два года. А в некоторых регионах — например, в Санкт-Петербурге, Москве — даже не требуют и этого оборудования внедрять, если операторы могут предоставить [ФСБ] хотя бы метаданные [информацию об интернет-запросах и посещениях сайтов, объеме скачанных данных — без самого содержимого].
На самом деле, каждое управление ФСБ — это свои законы; внутренние законы, я их так назову, к законодательству России они имеют косвенное отношение. У них есть свои оперативные необходимости — условно в Ростовской области, где граница с Украиной, требования жестче; в нижегородской, где находится крупнейший производитель оборудования для СОРМ — группа компаний «Цитадель» — операторов всех прессуют, потому что там плотные взаимоотношения между производителями и управлением ФСБ.
До меня не доходили сведения, что сейчас от кого-то требуют полного выполнения закона Яровой, пока [давят] только на «большую четверку» — «Ростелеком», «Мегафон», МТС, «Вымпелком». Просто если на законы все будут глобально забивать, в том числе [крупные] публичные компании — грубо говоря, это уже беспредел. Что-то они там сейчас у себя тестируют, в том числе, чтобы другим продавать. Например, «Мегафон» изучает потребности [более мелких операторов] в «аутсорминге» — то есть не самому хранить, а передать [трафик на хранение] «Мегафону». Требовать [выполнения закона] со всех, я думаю, начнут не ранее 2021 года. Сертификация будет где-то в 2020-м году, а через год начнут требовать.
Закон Яровой
СОРМ
«Система технических средств для обеспечения функций оперативно-разыскных мероприятий». Система слежки за пользователями интернета и телефонной связи. В общем случае — сервер, который операторы телефонной и интернет-связи обязаны по закону подключить к своему оборудованию. Этим сервером пользуются силовые структуры для прослушивания телефонных разговоров или просмотра интернет-трафика пользователя. Операторы связи доступа к серверу не имеют.
СОРМ-2
Через СОРМ-2 спецслужбы могут просматривать трафик пользователей. С 2013 года Минкомсвязь обязало всех провайдеров хранить весь трафик пользователей в течение 12 часов.
Объем данных
Интернет-провайдеры должны были до 1 октября зарезервировать столько места для хранения трафика, чтобы влезло не меньше всего входящего и исходящего трафика клиентов, обработанного с 1 по 30 сентября 2018 года. Потом придется все время наращивать объем этих хранилищ — каждый год, как минимум, на 15%.
Аутсорминг
Игра слов: аутсорсинг + СОРМ
Интернет-провайдер
В законе интернет-провайдеры называются так: «оператор связи, оказывающий услуги связи и (или) услуги связи по передаче данных…»
Весь?
Да: текстовые и голосовые сообщения, видео, изображения и звуки.