Поделиться
Что ФСБ будет знать о пользователях Рунета по «Закону Яровой». Список
Минкомсвязи подготовило проект приказа, обязывающего интернет-сервисы подключаться по выделенным каналам к сетям спецслужб и автоматически обрабатывать их запросы по поиску информации о пользователях. Спецслужбы интересуют регистрационные данные пользователей, переданные ими сообщения и совершенные платежи, данные о местоположении пользователей и используемом ПО, их родственниках, языках общения и т. д.
Минкомсвязи вводит СОРМ для интернет-сервисов
Минкомсвязи подготовило проект приказа, регламентирующего взаимодействие интернет-сервисов с системой оперативно-розыскных мероприятий (СОРМ). Документ направлен на выполнение требований «Закона Яровой» и опубликован на портале regulation.gov.ru.
Первая версия СОРМ появилась в середине 1990-х годов. Она обеспечила спецслужбам доступ к переговорам абонентов телефонных сетей. СОРМ используют ведомства, уполномоченные на проведение оперативно-розыскных мероприятий (ОРМ): ФСБ (основное ведомство, ответственное за СОРМ), МВД, ФСО, Служба внешней разведки и Федеральная таможенная служба.
Когда интернет-сервисы обязали сотрудничать со спецслужбами
В 2000-м году стала создаваться система СОРМ-2, обеспечивающая спецслужбам доступ к трафику абонентов интернет-провайдеров. В 2014 г. был принят антитеррористический пакет законопроектов, который ввел для интернет-сервисов требования, обеспечивающие спецслужбам возможность проведения ОРМ. С этой целью в закон «Об информации, ИТ и защите информации» было введено понятие «организатор распространения информации в сети интернет» (ОРИ).
Под ОРИ подпадает владелец любого сайта или программы, которая обеспечивает пользователям интернета возможность общения, за исключением сайтов для личных и семейных нужд. В соответствии с первой версией закона, ОРИ должны были хранить на территории России регистрационные данные российских пользователей и информацию о всех переданных и полученных ими сообщениях (журналы сообщений) в течение полугода.
В соответствии с принятым в том же году постановлением правительства, ОРИ в рамках ОРМ должны были передавать данные о своих пользователях по запросу спецслужб. Информация передавалась в ручном режиме, срок ответа составлял до 30 дней (или до 3 дней для срочных запросов). Если объем передаваемой информации превышал 8,5 ГБ, то спецслужбы должны были самостоятельно предоставить носитель для ее передачи.
В прошлом году был принят так называемый «Закон Яровой». Он расширил требования к ОРИ, обязав их хранить журналы переданных и полученных сообщений в течение года, а в случае применения шифрования сообщений — передать спецслужбам ключи для их дешифровки. С лета 2018 г. необходимо будет хранить и содержимое самих сообщений на территории России сроком до полугода.
Интернет-сервисы установят средства ОРМ и подключаться к СОРМ по выделенным каналам
Этот же проект приказа Минкомсвязи предполагает, что ОРИ должны будут более тесно интегрироваться с сетями спецслужб — им придется подключиться к СОРМ по примеру телекоммуникационных операторов. Проект приказа требует от ОРИ установку средств ОРМ — в виде отдельного программно-аппаратного комплекса или в виде самостоятельного модуля в информационной системе (ИС) ОРИ.
Данная система должна будет подключиться по выделенному каналу связи к пульту управления (ПУ) спецслужб со скоростью от 100 Мбит/с до 1 Гбит/с в зависимости от типа выполняемых запросов. Для защиты передаваемых спецслужбам данных ОРИ рекомендуется создать виртуальную частную сеть (VPN) с поддержкой технологий туннелирования IP Sec VPN и L2TP.
ОРИ должны будут обеспечить защиту данных, передаваемых по СОРМ, от несанкционированного доступа со стороны неавторизированных пользователей, технического персонала и третьих лиц. ОРИ должны будут сообщать спецслужбам о попытках получения доступа к передаваемым в рамках ОРМ данным, включая попытки получить доступ к оперативной памяти средств ОРМ с целью изъятия данных о проводимых ОРМ, резервного копирования данных об ОРМ, доступа к средствам ОРМ через непредусмотренные порты и физического вскрытия устройств ОРМ.
Какую информацию нужно будет хранить о пользователях
ОРИ, для выполнения требований об ОРМ, должны будут хранить следующую информацию о пользователях: дата и время регистрации, последнего обновления регистрационных данных и прекращения регистрации; дата и время заключения договора и его номер; псевдонимы пользователя в системах других ОРИ; указанная пользователем регистрационная информация. В перечень последней попадают псевдоним пользователя, дата рождения, адрес, ФИО, данные паспорта или иного документа, языки общения и родственники из числа пользователей того же ОРИ.
Также должна храниться информация о фактах изменения регистрационных данных, авторизации и прекращении авторизации. В этих случаях должны указываться дата и время такого события, идентификатор пользователя и его технические идентификаторы (IP-адрес и порт, e-mail-адрес, номер мобильного телефона, используемая пользователем программа).
В журнале полученных и переданных пользователями сообщений и совершенных платежах должна храниться следующая информация: дата и время; вид сервиса; идентификатор пользователя; технические идентификаторы пользователя; идентификатор пользователя, отправившего/получившего сообщение от искомого пользователя; используемый пользователем информационный ресурс ОРИ и данные о его владельце; местоположение пользователя (ширина, долгота и пр.) и текст самого сообщения.
Какие запросы спецслужбы будут посылать интернет-сервисам
Поисковые запросы, приходящие с ПУ в ОРИ, разделены на четыре класса. Класс 1 — стандартные запросы по поиску переданных сообщений по идентификатору пользователя, его техническим идентификаторам и временному интервалу занесения соответствующей информацию в систему ОРМ.
Класс 2 — расширенные запросы на поиск информации о переданных сообщениях. Помимо вышеупомянутых идентификаторов, при формировании таких запросов могут использоваться данные о местоположении пользователя, его контактах и совершенных платежах.
Класс 3 подразумевает поиск фактов авторизации и выхода из ресурса ОРИ по идентификатору пользователя, его техническим идентификаторам, местоположению пользователя и временному интервалу занесения информация.
Класс 4 представляет из себя набор неструктурированных данных из содержимого сообщений пользователей.
Поисковые запросы второго и третьего класса могуn комбинироваться логическими операторами «и», «или» и «не». Также в поисковых запросах допустимо использование трафаретных символов «*» и «?», подразумевающие поиск информации о группе пользователей с заданными критериями.
Максимально время, за которое установленная у ОРИ система ОРМ должна обработать поисковый запрос с ПУ, составляет от 5 до 60 секунд в зависимости от класса запроса и временного интервала занесения соответствующей информации в систему ОРИ. Установленная у ОРИ система должна одновременно обрабатывать не менее 100 запросов.
Макисмальное время обработки информации установленной у ОРИ системой ОРМ с момента совершения события до момента, когда она будет доступна для обработки поисковыми запросами с ПУ, составляет 60 секунд для фактов внесения регистрационных данных или их изменения и 5 минут для фактов авторизации и деавторизации, регистрации и прекращения регистрации, передачи и получения сообщений и совершения платежей.
Как Роскомнадзор контролирует взаимодействие интернет-сервисов со спецслужбами
Напомним, ОРИ обязаны регистрироваться в реестре, который ведет Роскомнадзор. За отказ от регистрации закон предусматривает санкции в виде блокировки доступа с территории России. Осенью 2014 г., когда вступили в силу первые требования к ОРИ, в соответствующем реестре зарегистрировались ряд российских интернет-сервисов: mail.ru, «Яндекс», «Рамблер» и т. д.
Иностранные сервисы долгое время игнорировали данный реестр, при этом Роскомнадзор не прибегал к блокировкам. Но с началом 2017 г. начались первые блокировки за отказ регистрироваться в реестре ОРИ, в частности, был заблокирован сервис интернет-раций Zello и ряд мессенджеров «второго эшелона».
После этого некоторые иностранные сервисы решили зарегистрироваться, например, служба знакомств Badoo и сервис обмена мгновенными сообщениями Snapchat. Наиболее громкой была история с мессенджером Telegram: его владелец Павел Дуров отказывался регистрироваться в реестре, в связи с чем глава Роскомнадзора угрожал блокировкой. В итоге Дуров согласился предоставить контактные данные для регистрации Telegram в реестр, но предупредил, что речи о передачи спецслужбам данных о пользователях не идет.
«Проект данного приказа Минкомсвязи должен был появиться, так как он необходим для выполнения требования «Закона Яровой», — констатирует в разговоре с CNews глава проекта Роскомсвобода Артем Козлюк. — Другое дело, что остается непонятным, будут ли иностранные сервисы выполнять эти требования. И что скажут власти США на то, что американские сервисы будут передавать российским спецслужбам данные о своих пользователях».
В «Яндексе» заявили CNews, что проект приказа Минкомсвязи содержит много технических деталей и требует изучения. Представитель холдинга «Рамблер» ограничился комментарием, что необходимо дождаться финальной версии документа, а также выразил надежду, что с ОРИ будут проведены консультации по этому вопросу.
Короткая ссылка
