Перейти к материалам
разбор

Правда ли, что операторы связи стали передавать ФСБ больше данных о россиянах? И кто еще делится информацией о вас со спецслужбой? (Спойлер: очень много кто!)

8 карточек
1

Что случилось?

В конце мая в газете «Коммерсант» вышла статья, в которой говорилось о «расширении перечня данных, которые операторы связи должны собирать и передавать силовым структурам» через СОРМ.

Система оперативно-разыскных мероприятий. Это комплекс аппаратно-программных средств, обеспечивающий ФСБ доступ к звонкам, СМС-сообщениям, интернет-трафику и другим данным.

Физически это выглядит как сервер с выделенной линией связи, которая напрямую подключается к оборудованию ФСБ. Для того чтобы никто не мог «врезаться» в эту линию и перехватить передаваемые данные, соединение может быть защищено с помощью специального VPN.

К такому выводу журналисты и опрошенные ими эксперты пришли, ознакомившись с недавно опубликованным приказом Минцифры.

Новость разошлась по СМИ (мы не исключение). Хотя на самом деле ничего нового об абонентах операторов связи ФСБ не узнает.

Хотелось бы уже забыть про блокировки, но нет такой возможности! Продолжаем рассказывать, как оставаться на связи, даже когда ее ограничивают. Например, как дозвониться родным в Россию и не потратить на это все деньги (и нервы), что делать, если не работает VPN, и почему, когда россияне едут в отпуск за границу, блокировки едут вместе с ними? А чтобы не пропустить ничего важного — скачайте наше приложение!

2

Как это не узнает?

Очень просто. За эти дни мы внимательнее изучили документы Минцифры — и поняли, что операторы связи уже и так передают ФСБ все данные, на которые обратили внимание журналисты:

  • паспортные и адресные данные;
  • ИНН;
  • банковские реквизиты;
  • IP-адреса;
  • домены;
  • логины;
  • геокоординаты;
  • организационные сведения.

Все это можно найти в другом действующем приказе министерства от 29 октября 2018 года № 573.

А вот как Минцифры хочет помешать вам пользоваться VPN

Видели новости, что Минцифры призналось, будто ему трудно выявлять VPN на айфонах? На самом деле техника Apple едва ли защищена лучше, чем андроиды Мы поняли это, когда сами изучили методичку Минцифры по блокировке VPN

7 карточек
3

Зачем тогда нужен еще один приказ?

Дело в том, что новый документ касается не только операторов связи. Его адресаты — любые владельцы технологических сетей связи, имеющих собственные блоки IP-адресов, а точнее номер автономной системы.

Номер автономной системы (Autonomous System Number, или ASN) в приказе описывается как «уникальный идентификатор совокупности средств связи и иных технических средств» в интернете.

Региональный интернет-регистратор присваивает ASN конкретной сети организации. Поэтому у одной организации может быть несколько номеров автономной системы. Они используются для маршрутизации трафика в интернете между различными сетями. С помощью ASN организация анонсирует свои диапазоны IP-адресов другим участникам и сообщает, через какую сеть эти адреса доступны.

Кроме операторов связи, это могут быть:

  • крупные IT-компании (в том числе соцсети, мессенджеры, стриминги);
  • провайдеры хостинга и дата-центры;
  • крупные корпорации (вроде «Газпрома»);
  • банки;
  • научно-исследовательские институты и университеты.

Впервые власти заставили их сотрудничать с ФСБ в рамках закона о «суверенном интернете», принятого в 2019 году. А в 2023-м внесли поправки — и потребовали три года хранить информацию о взаимодействии пользователей с информационными системами этих организаций.

4

И новый приказ Минцифры расширил перечень собираемых данных для всех этих компаний и организаций?

Нет. Приказ в этом случае в принципе не может изменить перечень сведений, передаваемых ФСБ. Такой список был определен почти три года назад постановлением правительства РФ и с тех пор не менялся. То есть его утвердили на более высоком уровне, чем уровень отдельного министерства. Поэтому Минцифры не может ни игнорировать его, ни самостоятельно вносить изменения в этот документ.

Владельцы технологических сетей связи обязаны три года хранить и передавать:

  • информацию обо всех платных услугах, которые они оказали пользователям, и сведения об оплате этих услуг;
  • информацию обо всех действиях пользователей в информационной системе организации (вроде регистрации, авторизации, заказов, получения справочной информации);
  • подробную информацию о пользователях (от регистрационных данных до их местоположения);
  • всю автоматически передаваемую информацию в ходе взаимодействия информационной системы организации и пользовательского устройства (на уровне сетевых протоколов).
Как ФСБ курирует Рунет? Рассказывают журналистски издания The Bell
Meduza
5

Тогда тем более непонятно, зачем Минцифры издало этот указ!

У нас есть ответ: без такого документа организации не могли передавать ФСБ все нужные данные — потому что не знали, как это сделать технически. Во всяком случае, так написано в сводном отчете проекта приказа, опубликованном весной 2024 года.

Документ приводит подробные спецификации серверного программного обеспечения, которое владельцы технологических сетей обязаны использовать по согласованию с ФСБ. На это описание ориентируются и разные посредники, разрабатывающие программно-аппаратные комплексы СОРМ и продающие их бизнесу.

Интересно, что спецификации из приказа, за исключением нюансов, идентичны спецификациям из другого такого же документа Минцифры от 2023 года — об установке СОРМ провайдерами хостинга. А еще — из проекта приказа Минтранса от 2026 года, которым оборудование для сбора данных обязывали установить транспортно-экспедиторские компании.

6

А экспедиторам-то зачем собирать данные о своих клиентах?

Мы не знаем, но можем предположить, что это связано с угрозой диверсий во время войны. Например, при организации подрыва Крымского моста в октябре 2022 года украинские спецслужбы задействовали в длинной цепочке посредников (которые, по их словам, выступили в этой роли, ничего не зная о планах Киева), в том числе владельца логистической компании Олега Антипова — в итоге вместе с другими фигурантами дела он был приговорен к пожизненному заключению.

История Олега Антипова

Петербуржец Олег Антипов хотел помочь следствию по делу о подрыве Крымского моста. Но его самого посадили в СИЗО Как так вышло? «Медуза» поговорила с его женой

История Олега Антипова

Петербуржец Олег Антипов хотел помочь следствию по делу о подрыве Крымского моста. Но его самого посадили в СИЗО Как так вышло? «Медуза» поговорила с его женой

7

Так что, получается, каждая отрасль теперь должна внедрять собственный СОРМ?

До этого пока не дошло. Но кроме операторов связи, свои программно-технические средства для взаимодействия с ФСБ теперь обязаны или будут обязаны в ближайшем будущем ставить:

  • организаторы распространения информации (соцсети, мессенджеры и т. п.);
  • провайдеры хостинга;
  • владельцы технологических сетей связи, имеющих свои номера автономных систем;
  • транспортно-экспедиторские компании.

Примечательно, что одна и та же компания в этом списке может подходить сразу под несколько критериев. Например, крупная соцсеть одновременно считается и организатором распространения информации, и владельцем номера автономной системы. У многих провайдеров хостинга и операторов связи также есть свои диапазоны IP-адресов.

Непонятно, должна ли будет такая организации ставить сразу несколько разных систем для проведения оперативно-разыскных мероприятий. Из ответа Минцифры во время обсуждения проекта нового приказа следует, что конечное решение будет принимать территориальный орган ФСБ, с которым организация должна согласовать план внедрения СОРМ.

Антон Нестеров, исследователь интернет-цензуры и массовой слежки, в комментарии «Медузе» предположил, что дублирования систем, скорее всего, не будет, несмотря на некоторую разницу в требованиях к операторам связи, хостерам и организаторам распространения информации:

Это можно решать программным модулем, так что отдельную коробку ставить не будут. По согласованию с куратором просто должны быть исполнены все требования.

8

Но в будущем всех все равно обяжут следить за своими клиентами?

Этого мы тоже не знаем. Возможно, что до такой крайности власти и не дойдут. Тем более что поправки 2025 года к закону о ФСБ уже позволяют спецслужбе с 1 апреля 2026-го требовать и безвозмездно получать копии любых баз данных, принадлежащих организациям.

А единственное исключение из этого правила касается как раз тех баз, которые ФСБ достаются через СОРМ.

Органы федеральной службы безопасности вправе получать на безвозмездной основе копии баз данных (частей баз данных), принадлежащих организациям и содержащих информацию, необходимую для выполнения возложенных на указанные органы обязанностей. <…> Положения настоящей части не применяются в отношении баз данных, доступ к которым осуществляется с использованием оборудования и программно-технических средств, используемых для проведения уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации, в случаях, установленных федеральными законами, мероприятий в целях реализации возложенных на них задач.

Что еще (не) знает о вас ФСБ?

Знает ли ФСБ, с кем вы переписываетесь в телеграме? В связях со спецслужбой мессенджер давно подозревают авторы «Важных историй». Теперь эти подозрения проверил независимый эксперт

9 карточек

Денис Дмитриев