Что ФСБ будет знать о пользователях Рунета по "Закону Яровой"

Минкомсвязи вводит СОРМ для интернет-сервисов

Минкомсвязи подготовило проект приказа, регламентирующего взаимодействие интернет-сервисов с системой оперативно-розыскных мероприятий (СОРМ). Документ направлен на выполнение требований "Закона Яровой" и опубликован на портале regulation.gov.ru.

Первая версия СОРМ появилась в середине 1990-х годов. Она обеспечила спецслужбам доступ к переговорам абонентов телефонных сетей. СОРМ используют ведомства, уполномоченные на проведение оперативно-розыскных мероприятий (ОРМ): ФСБ (основное ведомство, ответственное за СОРМ), МВД, ФСО, Служба внешней разведки и Федеральная таможенная служба.

Когда интернет-сервисы обязали сотрудничать со спецслужбами 

В 2000-м году стала создаваться система СОРМ-2, обеспечивающая спецслужбам доступ к трафику абонентов интернет-провайдеров. В 2014 г. был принят антитеррористический пакет законопроектов, который ввел для интернет-сервисов требования, обеспечивающие спецслужбам возможность проведения ОРМ. С этой целью в закон "Об информации, ИТ и защите информации" было введено понятие "организатор распространения информации в сети интернет" (ОРИ).

Под ОРИ подпадает владелец любого сайта или программы, которая обеспечивает пользователям интернета возможность общения, за исключением сайтов для личных и семейных нужд. В соответствии с первой версией закона, ОРИ должны были хранить на территории России регистрационные данные российских пользователей и информацию о всех переданных и полученных ими сообщениях (журналы сообщений) в течение полугода.

В соответствии с принятым в том же году постановлением правительства, ОРИ в рамках ОРМ должны были передавать данные о своих пользователях по запросу спецслужб. Информация передавалась в ручном режиме, срок ответа составлял до 30 дней (или до 3 дней для срочных запросов). Если объем передаваемой информации превышал 8,5 ГБ, то спецслужбы должны были самостоятельно предоставить носитель для ее передачи.

В прошлом году был принят так называемый "Закон Яровой". Он расширил требования к ОРИ, обязав их хранить журналы переданных и полученных сообщений в течение года, а в случае применения шифрования сообщений - передать спецслужбам ключи для их дешифровки. С лета 2018 г. необходимо будет хранить и содержимое самих сообщений на территории России сроком до полугода.

Интернет-сервисы установят средства ОРМ и подключаться к СОРМ по выделенным каналам

Этот же проект приказа Минкомсвязи предполагает, что ОРИ должны будут более тесно интегрироваться с сетями спецслужб - им придется подключиться к СОРМ по примеру телекоммуникационных операторов. Проект приказа требует от ОРИ установку средств ОРМ - в виде отдельного программно-аппаратного комплекса или в виде самостоятельного модуля в информационной системе (ИС) ОРИ. 

Данная система должна будет подключиться по выделенному каналу связи к пульту управления (ПУ) спецслужб со скоростью от 100 Мбит/с до 1 Гбит/с в зависимости от типа выполняемых запросов. Для защиты передаваемых  спецслужбам данных ОРИ рекомендуется создать виртуальную частную сеть (VPN) с поддержкой технологий туннелирования IP Sec VPN и L2TP. 

ОРИ должны будут обеспечить защиту данных, передаваемых по СОРМ, от несанкционированного доступа со стороны неавторизированных пользователей, технического персонала и третьих лиц. ОРИ должны будут сообщать спецслужбам о попытках получения доступа к передаваемым в рамках ОРМ данным, включая попытки получить доступ к оперативной памяти средств ОРМ с целью изъятия данных о проводимых ОРМ, резервного копирования данных об ОРМ, доступа к средствам ОРМ через непредусмотренные порты и физического вскрытия устройств ОРМ. 

Какую информацию нужно будет хранить о пользователях 

ОРИ, для выполнения требований об ОРМ, должны будут хранить следующую информацию о пользователях: дата и время регистрации, последнего обновления регистрационных данных и прекращения регистрации; дата и время заключения договора и его номер; псевдонимы пользователя в системах других ОРИ; указанная пользователем регистрационная информация. В перечень последней попадают псевдоним пользователя, дата рождения, адрес, ФИО, данные паспорта или иного документа, языки общения и родственники из числа пользователей того же ОРИ. 

Также должна храниться информация о фактах изменения регистрационных данных, авторизации и прекращении авторизации. В этих случаях должны указываться дата и время такого события, идентификатор пользователя и его технические идентификаторы (IP-адрес и порт, e-mail-адрес, номер мобильного телефона, используемая пользователем программа). 

В журнале полученных и переданных пользователями сообщений и совершенных платежах должна храниться следующая информация: дата и время; вид сервиса; идентификатор пользователя; технические идентификаторы пользователя; идентификатор пользователя, отправившего/получившего сообщение от искомого пользователя; используемый пользователем информационный ресурс ОРИ и данные о его владельце; местоположение пользователя (ширина, долгота и пр.) и текст самого сообщения.

Какие запросы спецслужбы будут посылать интернет-сервисам 

Поисковые запросы, приходящие с ПУ в ОРИ, разделены на четыре класса. Класс 1 - стандартные запросы по поиску переданных сообщений по идентификатору пользователя, его техническим идентификаторам и временному интервалу занесения соответствующей информацию в систему ОРМ.  

Класс 2 - расширенные запросы на поиск информации о переданных сообщениях. Помимо вышеупомянутых идентификаторов, при формировании таких запросов могут использоваться данные о местоположении пользователя, его контактах и совершенных платежах. 

Класс 3 подразумевает поиск фактов авторизации и выхода из ресурса ОРИ по идентификатору пользователя, его техническим идентификаторам, местоположению пользователя и временному интервалу занесения информация. 

Поисковые запросы второго и третьего класса могуn комбинироваться логическими операторами "и", "или" и "не". Также в поисковых запросах допустимо использование трафаретных символов "*" и "?", подразумевающие поиск информации о группе пользователей с заданными критериями.

Максимально время, за которое установленная у ОРИ система ОРМ должна обработать поисковый запрос с ПУ, составляет от 5 до 60 секунд в зависимости от класса запроса и временного интервала занесения соответствующей информации в систему ОРИ. Установленная у ОРИ система должна одновременно обрабатывать не менее 100 запросов. 

Макисмальное время обработки информации установленной у ОРИ системой ОРМ с момента совершения события до момента, когда она будет доступна для обработки поисковыми запросами с ПУ, составляет 60 секунд для фактов внесения регистрационных данных или их изменения и 5 минут для фактов авторизации и деавторизации, регистрации и прекращения регистрации, передачи и получения сообщений и совершения платежей. 

Как Роскомнадзор контролирует взаимодействие интернет-сервисов со спецслужбами 

Напомним, ОРИ обязаны регистрироваться в реестре, который ведет Роскомнадзор. За отказ от регистрации закон предусматривает санкции в виде блокировки доступа с территории России. Осенью 2014 г., когда вступили в силу первые требования к ОРИ, в соответствующем реестре зарегистрировались ряд российских интернет-сервисов: mail.ru, "Яндекс", "Рамблер" и т. д.

Иностранные сервисы долгое время игнорировали данный реестр, при этом Роскомнадзор не прибегал к блокировкам. Но с началом 2017 г. начались первые блокировки за отказ регистрироваться в реестре ОРИ, в частности, был заблокирован сервис интернет-раций Zello и ряд мессенджеров "второго эшелона".

После этого некоторые иностранные сервисы решили зарегистрироваться, например, служба знакомств Badoo и сервис обмена мгновенными сообщениями Snapchat. Наиболее громкой была история с мессенджером Telegram: его владелец Павел Дуровотказывался регистрироваться в реестре, в связи с чем глава Роскомнадзора угрожал блокировкой. В итоге Дуров согласился предоставить контактные данные для регистрации Telegram в реестр, но предупредил, что речи о передачи спецслужбам данных о пользователях не идет. 

"Проект данного приказа Минкомсвязи должен был появиться, так как он необходим для выполнения требования "Закона Яровой", - констатирует в разговоре с CNews глава проекта Роскомсвобода Артем Козлюк. - Другое дело, что остается непонятным, будут ли иностранные сервисы выполнять эти требования. И что скажут власти США на то, что американские пользователи будут передавать российским спецслужбам данные о своих пользователях".

В "Яндексе" заявили CNews, что проект приказа Минкомсвязи содержит много технических деталей и требует изучения. Представитель холдинга "Рамблер" ограничился комментарием, что необходимо дождаться финальной версии документа, а также выразил надежду, что с ОРИ будут проведены консультации по этому вопросу.