Как ФСБ собирается исполнять требования «пакета Яровой» (спойлер: до сих пор непонятно)
20 июля истек срок поручения президента России Владимира Путина Федеральной службе безопасности по «пакету Яровой». ФСБ должна была разъяснить порядок сертификации средств связи и их перечень, а также найти способ сбора ключей шифрования в интернете. По первому пункту ФСБ отчиталась в срок. Разъяснений по второму — о сборе ключей — до сих пор нет. «Медуза» рассказывает, с чем справилась ФСБ, а с чем — пока нет.
Президент России Владимир Путин подписал так называемый «пакет Яровой» 6 июля. Этот документ сильно поменял российское законодательство, в том числе в части регулирования интернета.
В числе прочего «пакет» ввел административную ответственность за два новых правонарушения:
— За использование несертифицированных средств шифрования при передаче данных через интернет, если законодательством предусмотрена их обязательная сертификация. Максимальное наказание для юридических лиц по этой статье административного кодекса — штраф 300 тысяч рублей.
— За непредоставление «организаторами распространения информации» в ФСБ сведений, «необходимых для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений». Максимальный штраф — миллион рублей.
В день подписания «пакета Яровой» Владимир Путин дал ФСБ два поручения:
— Утвердить порядок сертификации средств шифрования при передаче данных в интернете и определить перечень средств, подлежащих сертификации.
— Найти способ передачи ключей шифрования в интернете ФСБ (то есть самой себе).
На исполнение этого поручения Путин отвел ФСБ две недели, которые истекли 20 июля.
Единственный документ, который ФСБ опубликовал в связи с поручениями Путина, датируется 18 июля. По первому пункту ФСБ сообщила, что законодательством давно предусмотрено: сертифицировать нужно только те средства шифрования, с помощью которых передаются сведения с государственной тайной. Перечень средств связи, подлежащих сертификации, тоже давно определен — он опубликован в приказе ФСБ от 1999 года. Из разъяснения ФСБ стало понятно, что интернет-компаниям, не связанным с передачей данных с государственной тайной, о сертификации своих методов шифрования можно не беспокоиться.
По второму пункту — о сборе ключей шифрования — ФСБ никак не высказалась. Если судить только по разъяснению спецслужбы от 18 июля, второй пункт поручения Владимира Путина просто проигнорировала. Никакой ясности с тем, как ФСБ будет собирать ключи шифрования, до сих пор нет.
До принятия закона представители крупных интернет-компаний и профильные ассоциации указывали, что исполнение закона в этой части невозможно. При использовании отдельных протоколов (например, HTTPS) ключи не хранятся дольше одной сессии, поэтому их нельзя передать в ФСБ.
«Медуза» — это вы! Уже три года мы работаем благодаря вам, и только для вас. Помогите нам прожить вместе с вами 2025 год!
Если вы находитесь не в России, оформите ежемесячный донат — а мы сделаем все, чтобы миллионы людей получали наши новости. Мы верим, что независимая информация помогает принимать правильные решения даже в самых сложных жизненных обстоятельствах. Берегите себя!