Пакет Яровой

TechCrunch: Nokia помогала МТС устанавливать оборудование для СОРМ. Оно необходимо для исполнения «пакета Яровой»

Компания Nokia помогала мобильному оператору МТС устанавливать оборудование для СОРМ (Система технических средств для обеспечения функций оперативно-розыскных мероприятий). К таким выводам пришли журналисты TechCrunch и сотрудники компании UpGuard, проанализировав внутреннюю документацию Nokia.

Из документов видно, что в 2016-2017 годах Nokia планировала и предлагала «модернизировать» оборудование МТС. Компания советовала оператору установить в Белгороде, Курске, Воронеже и других городах новое оборудование для телефонных станций, которое позволит ему работать в соответствии с законом.

В архиве присутствуют несколько поэтажных планов и схем установки оборудования. Предполагается, что в каждой телефонной сети оборудование СОРМ имеет прямой доступ к данным — звонкам, сообщениям и интернет-трафику. На планах указаны адреса каждой телефонной станции, а также местоположение каждой запертой комнаты с оборудованием СОРМ. В архиве также есть фото таких комнат.

Nokia заявляет, что только предоставляет технические возможности для оборудования других производителей. В компании отрицают, что сами хранят, анализируют или обрабатывают перехваченные данные.

В документах таким поставщиком решения СОРМ называют российскую компанию «Малвин Системс».

Из других файлов стало известно, что с помощью СОРМ в сети МТС силовики могут получить доступ к домашнему регистру местоположения (HLR — Home Location Register), который содержит записи о каждом абоненте, включая данные SIM-карты.

В слитой информации также упоминается «Система сигнализации 7» (SS7) — набор сетевых протоколов, обеспечивающих обмен служебными сообщениями между мобильными станциями и телефонными станциями. Протокол показал, что он небезопасен, отмечает издание.

Информацию обнаружили в открытом доступе на незащищенном резервном диске, принадлежащем сотруднику Nokia Networks. Компания исправила ошибку и закрыла доступ к диску через четыре дня после обнаружения утечки.

Взломанная переписка выявила привлечение МГУ к блокировке Telegram и слежке за пользователями

Сегодня хакерская группировка Digital Revolution выложила в открытый доступ некоторые файлы из взломанной переписки компании 0day technologies. Как следует из этих документов, компания построена на базе сотрудников МГУшной лаборатории Математических проблем компьютерной безопасности (МПКБ), руководит которой Руслан Гилязов. Он же возглавляет 0day technologies. Документы также указывают, что сотрудники компании активно помогали Роскомнадзору и ФСБ в деятельности, связанной с цензурой интернета, в том числе по блокировке Telegram, пакету Яровой и СОРМ.

В этом наброске тезисов для общения с министром связи и массовых коммуникаций откровенно описываются направления деятельности компании:

В том же письме Гилязов обещает разобраться с Telegram и хвастается взаимодействием с ФСБ:

Из того же письма можно составить представление и о бюджетах компании:

Во взломанных документах есть и презентация компании, из которой можно узнать, что программное обеспечение 0day для СОРМ-2 «Метка» может ставить на контроль абонентов, использующих средства анонимизации, анализировать протоколы игровых платформ для выявления текстовых и голосовых пакетов, анализировать перемещения абонентов мобильной сети, фильтровать данные с использованием DPI, в том числе по ключевым словам, и даже формировать поведенческие модели и социальные связи:

А так устроена система URL-фильтрации трафика:

Таким образом устроена система слежки за пользователями:

А вот требования Роскомнадзора по блокировке Telegram. Похоже, задача «надежной блокировки с вероятностью 99,9%» оказалась 0day не по зубам.

Самое забавное, что сотрудники 0day используют Telegram в своей работе!

На момент публикации связаться с сотрудниками 0day The Insider не удалось.

Ранее The Insider публиковал выдержки из взломанной почты Роскомнадзора, подробнее об этом читайте в материале «Наблюдение за наблюдающим: взломанная почта Роскомнадзора вскрыла факты коррупции и цензуры».

Источник: https://theins.ru/politika/154131

«МегаФон» начинает развёртывание инфраструктуры по «пакету Яровой»

Речь идёт о законе, направленном на борьбу с терроризмом. В рамках «пакета Яровой» операторы будут обязаны хранить данные о переписке и звонках пользователей в течение трёх лет, а интернет-ресурсы — в течение года. Плюс к этому участникам рынка придётся в течение полугода хранить содержания переписки и разговоров пользователей. Закон вступает в силу уже 1 июля нынешнего года.

Как сообщает газета «Ведомости», «МегаФон» и «Скартел» развернут систему хранения данных «Купол», которая разработана при участии компании «Национальные технологии».

Необходимое оборудование будет поставлено на площадки «МегаФона», расположенные в Москве, Санкт-Петербурге, Нижнем Новгороде, Самаре, Екатеринбурге, Саранске, Пскове и Смоленске. Что касается сетей Yota, то оборудование будет установлено на московской, петербургской и самарской площадках.

Монтаж систем планируется завершить к 30 июня. Мощностей платформы будет достаточно для хранения приблизительно 100 Пбайт абонентского трафика.

Сообщается, что закупка комплекса «Купол» и его ввод в эксплуатацию обойдутся почти в миллиард рублей — 923,5 млн. В целом же в 2018 году «МегаФон» потратит в рамках «пакета Яровой» около 7 млрд рублей.

Последний шаг к «Яровой»

В последнее время российские законодатели принимают законы, которые плохо проработаны с точки зрения соблюдения прав человека. Самым громким из таких законодательных актов стал пакет «антитеррористических» законопроектов (ФЗ №374, ФЗ №375), принятый в июле 2016 года, который в народе прозвали “закон Яровой”. В ряд законов были внесены резонансные нормы, способные серьезно сказаться на жизни жителей России. В частности, были добавлены нормы о недоносительстве (несообщение о преступлении), о призывах к терроризму в соцсетях, о регулировании религиозно-миссионерской деятельности, о хранении операторами связи и организаторами распространения информации сообщений пользователей.

В настоящей статье речь пойдет о поправках, касающихся хранения данных пользователей, поскольку они угрожают праву на неприкосновенность частной жизни, не соответствуют Конституции РФ и ряду других нормативных правовых актов.

Суть поправок

Согласно поправкам по “закону Яровой”, организаторы распространения информации (далее — “ОРИ”) и операторы связи уже с 1 июля 2018 года должны будут хранить голосовую информацию, текстовые и видеосообщения, изображения и иное содержание сообщений пользователей 6 месяцев, а метаданные — 1 год ОРИ и 3 года операторы связи.

При этом согласно “закону Яровой”, обязанность хранить пользовательский трафик и сообщения распространяется на лиц, оказывающих любой вид услуг связи (а их всего 20). Однако 19 апреля 2018 года на официальном портале правовой информации было опубликовано Постановление Правительства РФ от 12.04.2018 № 445, в котором уточняется перечень услуг связи, в рамках оказания которых требуется хранить всю переписку пользователей (в него не вошли, например, вещательные услуги). Новые правила вступят в силу для голосовой связи и sms с 1 июля, а хранить пользовательский интернет-трафик операторы должны с 1 октября, следует из документа. Хранение необходимо осуществлять в течение 30 дней с ежегодным увеличением емкости хранения на 15% на протяжении 5 лет.
«Судя по постановлению, сроки не окончательные. Но главный вопрос: с какой целью нужно хранить трафик, если по меньшей мере у половины пользователей в России он шифрованный. А в связи с блокировкой Telegram мы отмечаем взрывной рост интереса к средствам шифрования и обхода блокировок», — отмечает директор по стратегическим проектам Института исследований интернета Ирина Левова Поскольку средства накопления с программным обеспечением входят в состав средств связи, предназначенных для выполнения оперативно-розыскных мероприятий и попадают под определение “средство связи”, они подлежат обязательной сертификации на основании п. 3 ст. 41 ФЗ “О связи”.

Вопрос с производством и сертификацией средств накопления данных пока не разрешен. Операторы связи склоняются к тому, что могут пройти годы, пока будут сформулированы “правила игры”, и, возможно, впоследствии ситуация разовьется так же, как с СОРМом, т.е. будут “сверху” определяться определенные производители. По нашим оценкам, принимая во внимание сложность процедуры сертификации, на выработку соответствующего порядка может уйти 2-3 года.

Для общей картины стоит напомнить, что для ОРИ и операторов связи уже существует обязанность хранить метаданные пользователей (информацию о фактах приема, передачи, доставки, обработки электронных сообщений) в течение одного года и трех лет соответственно. После вступления в силу “поправок Яровой” правоохранительные органы будут вправе получить доступ ко всему содержанию сообщений пользователей и метаданным при расследовании преступлений. ОРИ также обязаны помогать следственным органам с декодированием зашифрованных электронных сообщений пользователей (п. 4.1. Статьи 10.1. закона “Об информации”). Как раз на основании этих положений ФСБ России потребовала в 2017 году ключи декодирования от мессенджера Telegram, который отказался их предоставить, за что был заблокирован в России (правда, пока только де юре).

Попытки отмены

В 2016 году петиция «Отменить „Закон Яровой“ набрала 100 000 подписей на сайте Российской общественной инициативы, но Экспертная рабочая группа при Правительстве РФ по результатам её рассмотрения рекомендовала не отменять „закон Яровой“. Выводы некоторых экспертов о нарушении прав на неприкосновенность частной жизни проигнорировали, ответы ведомств являлись ничем иным, как отпиской.

Любопытно, что в проекте экспертного заключения в оправдание “закона Яровой” упоминался европейский опыт, а именно Директива ЕС 2006/24/ЕС от 15 марта 2006 года (так называемая Data Retention Directive), отмененная еще в 2014 году. Согласно директиве, данные европейских пользователей должны были хранится телекоммуникационными компаниями от 6 месяцев до 2 лет. Директива была отменена решением Суда справедливости ЕС. Европейцы осознали противоречие положений директивы праву на частную жизнь. Суд справедливости ЕС пришел к выводу, что хранение данных пользователей независимо от их категории и в отсутствие детализированных условий такого хранения в течение длительного срока нарушает право на частную жизнь и повышает риск злоупотребления, незаконного доступа и использования их данных. Впоследствии ссылки на данную директиву были удалены из финальной версии экспертного заключения по петиции “Отменить “Закон Яровой”.

Конституционные коллизии

Без всякого сомнения, сообщения и звонки пользователей относятся к информации о частной жизни. Хранение операторами связи и ОРИ всего пользовательского трафика, а также его передача правоохранительным органам без предварительного судебного решения, как это предусмотрено “законом Яровой”, нарушает права на неприкосновенность частной жизни, личную и семейную тайну, гарантированные статьям 23 и 24 Конституцией РФ.

Статья 55 Конституции РФ гласит, что права человека и гражданина могут быть ограничены федеральным законом, если это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Однако правам и свободам, гарантированным статьями 23 и 24 Конституции РФ, конституционные нормы предоставляют особую защиту, они не подлежат ограничению даже в условиях чрезвычайного положения.

Таким образом, наложение на операторов связи и ОРИ обязанности хранить информацию всех пользователей ставит под угрозу нарушения права на тайну переписки в целом и создает опасность получения неограниченным кругом лиц доступа к конфиденциальной информации всех пользователей в России.

Как известно, в России существует правовой механизм защиты конституционных прав через Конституционный суд РФ. Пользователь, чье право на неприкосновенность частной жизни нарушается, может оспорить “закон Яровой” через Конституционный суд РФ, но только в рамках конкретного дела. Поэтому для постановки подобного вопроса перед Конституционным судом РФ необходимо дождаться вступления соответствующих поправок в силу и начала его правоприменения правоохранительными органами. До полного вступления “закона Яровой” в силу оспорить его могут только высшие органы власти — Президент, Госдума, Совет Федерации, Правительство РФ или законодательные/исполнительные органы субъектов РФ.

Коллизии с другими законами РФ

Помимо Конституции “закон Яровой” в части хранения персданных противоречит ряду федеральных законов, что говорит о низкой проработанности данного законодательного акта.

Закон о персональных данных

Право на частную жизнь защищается в России в том числе федеральным законом о персональных данных, с которым положения “закона Яровой” существенно конфликтуют.

По смыслу закона о персональных данных, любой контент пользователей (абонентов) с идентифицирующей их информацией будет относится к персональным данным. Сбор, хранение и передачу информации пользователей (абонентов) операторами связи и ОРИ можно квалифицировать как обработку персональных данных. В массиве накопленных данных могут оказаться также биометрические персональные данные, специальные категории персональных данных, да и в целом с помощью этих данных будет сопоставляться вся частная жизнь человека и его окружения в мельчайших подробностях.

В соответствии со ст. 13 Федерального закона от 12 августа 1995 г. N 144-ФЗ „Об оперативно-розыскной деятельности“, операторы связи не относятся к органам, осуществляющим оперативно-розыскную деятельность, вместе с тем, они будут являться, по сути, операторами технических средств, предназначенных для оперативно-розыскных мероприятий и всего массива данных на этих средствах.

Министерство связи и массовых коммуникаций РФ установит требования к технической защите средств накопления (п. 7 Правил, ПП РФ № 445), но пока не ясно, каким образом такие требования будут перекликаться с общими требованиями по защите персональных данных в информационных системах. В случае с СОРМом, например, оператором персональных данных является ФСБ, которая и занимается их защитой, в том числе в режиме государственной тайны. “Закон Яровой”, к сожалению, имеет другую логику и сбрасывает обязанности по хранению и защите огромных массивов данных пользователей на частный сектор, то есть на самих операторов связи и ОРИ (ответственность за нарушение правил обработки данных и возможные утечки также будет нести бизнес).

В целом, уже сейчас можно сказать, что “закон Яровой” противоречит следующим статьям закона о персональных данных:

Статья 6. Обработка данных не должна нарушать прав и свобод субъекта персональных данных. “Закон Яровой” угрожает праву на неприкосновенность частной жизни и тайне переписки и связи, так как операторы связи и ОРИ обязаны хранить электронную переписку пользователей длительное время и предоставлять ее правоохранителям без оговорок про судебный запрос.

Статья 14. Право субъекта персональных данных на доступ к его персональным данным. Невозможно реализовать данное право субъекта персональных данных из-за неоднородности обрабатываемых сведений. Реализация права на актуализацию данных также представляется проблематичной.

Статья 19. Операторы данных должны принимать необходимые меры для защиты персональных данных от их распространения (в том числе с использованием средств криптографии). Из “закона Яровой” следует, что правоохранительные органы, в принципе, будут иметь неограниченный доступ к данным пользователей без получения их согласия и без решения суда.

Уголовный кодекс РФ

Согласно ст. 138 УК РФ, нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан наказывается штрафом, исправительными или обязательными работами. За совершение данного преступления с использованием служебного положения предусматривается наказание вплоть до лишения свободы. Эти положения УК РФ игнорируются “законом Яровой”, очевидно, что операторы связи и ОРИ, храня записи электронных сообщений и звонков своих пользователей и предоставляя их правоохранительным органам, потенциально будут совершать преступление, предусмотренное ст. 138 УК РФ, либо такое преступление может быть совершено при малейшем нарушении правил хранения данных оператором связи или ОРИ.

Уголовно-процессуальный кодекс РФ

Статья 186 УПК РФ гласит, что контроль и запись телефонных и иных переговоров могут быть санкционированы на основании судебного решения, а также, в отдельных случаях, при наличии угрозы потерпевшему, свидетелю или их близким родственникам это допускается по письменному заявлению указанных лиц. Однако в “законе Яровой” нет никакого упоминания о необходимости получать судебное решение, санкционирующее запись пользовательского трафика. По “закону Яровой”, хранение (запись) данных пользователей должно производиться операторами связи по умолчанию, без вынесения какого-либо специального акта каким-либо уполномоченным органом либо судом.

Закон об оперативно-розыскной деятельности

Статьей 5 закона “Об ОРД” предусмотрено, что при проведении оперативно-розыскных мероприятий должно обеспечиваться соблюдение прав человека и гражданина на неприкосновенность частной жизни, личную и семейную тайну и тайну корреспонденции. Ограничение этого конституционного права возможно только по решению суда и при наличии определенной информации (о признаках преступления, о лицах, совершающих преступление, о событиях или действиях (бездействии), создающих угрозу государственной, военной, экономической, информационной или экологической безопасности Российской Федерации) (ст. 8).

Закон о Федеральной службе безопасности

Закон о ФСБ также требует для проведения мероприятий по борьбе с терроризмом, которые могут посягать на права граждан на тайну переписки, постановления суда и мотивированного ходатайства руководителя органа по борьбе с терроризмом (ст. 9.1 ФЗ о ФСБ).

Как видно, когда речь идет об ограничении права на тайну переписки и неприкосновенности частной жизни в рамках ОРД, участие суда и вынесение им решения является обязательным. Но “закон Яровой” не предусматривает необходимости вынесения решения суда и одновременно с этим не вносит никаких изменений в другие законодательные акты (УК, УПК и др.). Гарантий защиты конституционных прав пользователей и их персональных данных в “законе Яровой” также не предусмотрено.

Заключение

В условиях всеобъемлющего развития технологий и интернета, а также в свете последних новостей “закон Яровой” наносит огромный урон важному и очень уязвимому в настоящее время правовому институту — институту охраны права на неприкосновенность частной жизни. Высок риск произвольного, бесконтрольного, нецелевого использования данных пользователей со стороны как частных компаний, так и правоохранительных органов. Более того, думается, что авторы закона также не оценили негативные последствия закона для бизнес-сектора, а именно операторов связи и ОРИ, которым необходимо установить дорогостоящее оборудование для хранения данных и нести другие издержки для соблюдения “закона Яровой”. Операторы связи (“Мегафон”, МТС, “Вымпелком”, Tele2) называли затраты на реализацию закона неподъемными и оценили их в 2,2 трлн рублей. По подсчетам некоторых экспертов, эта сумма может превысить 10 трлн рублей.

По мнению исполнительного директора “Центра цифровых прав” Дениса Лукаша, на сегодняшний день любое нарушение закона “О связи” операторами связи трактуется территориальными органами Роскомнадзора как нарушение лицензионных условий, за что операторы связи привлекаются к ответственности по ч. 3 ст. 14.1 КоАП РФ. Исключение составляют несколько положений закона “О связи”, по которым прямо введена ответственность другими статьями кодекса. Органы Роскомнадзора будут постоянно владеть информацией об отсутствии средств хранения у операторов связи, так они являются одним из подписантов акта ввода в эксплуатацию средств хранения (п. 6 Правил, ПП РФ № 445).

Данные электронных коммуникаций могут потенциально помочь расследованию преступлений, выявить местонахождение жертв и подозреваемых, связать подозреваемого с местом преступления. Однако без подробного описания процедур, дефиниций, четко сформулированных условий и оснований хранения и доступа к данным пользователей и абонентов справедливый баланс между уважением частной жизни граждан и государственным вмешательством в нее будет сложно сохранить. “Закон Яровой” в части хранения информации придерживается общего подхода: без конкретики, без обеспечения сохранности фундаментального права на частную жизнь, требует хранения всех данных электронной переписки и других сообщений. Скоро указанные законодательные ошибки заиграют на практике.

Помимо правовых коллизий “закона Яровой”, описанных в данной статье, также требует внимания финансовая сторона вопроса, вопрос шифрования интернет-трафика, затрат на электроэнергию для эксплуатации средств хранения данных и иные аспекты, которые мы предлагаем обсудить в комментариях. 

Источник: https://habr.com/company/digitalrightscenter/blog/354410/