Интернет под колпаком
Закручивание гаек в России продолжается
Персонально сданные
Оригинал этого материала
© "РБК", 07.08.2014, Фото: via "РБК"
Медведев обязал соцсети подключить ФСБ к "прослушке" пользователей
Дарья Луганская
Правительство обязало соцсети и другие популярные сайты для общения в России установить оборудование и программное обеспечение, с помощью которого спецслужбы смогут в автоматическом режиме получать информацию о действиях пользователей этих сайтов. По этой схеме работает СОРМ — система технических средств для обеспечения функций оперативно-разыскных мероприятий, оборудование для которой все операторы связи в России устанавливают за свой счет.
Премьер-министр Дмитрий Медведев подписал 31 июля постановление правительства №743, уточняющее закон о блогерах: оно посвящено взаимодействию спецслужб и «организаторов распространения информации» — так в законе называют соцсети, форумы и любые сайты для общения, доступные всем пользователям интернета. Согласно постановлению, сайты должны подключать оборудование и ПО для силовиков согласно плану мероприятий, разработанных ФСБ. Это постановление запрещает сайтам раскрывать «организационные и технические приемы проведения оперативно-разыскных мероприятий».
В постановлении нет ни слова о том, кто будет платить за установку на сайтах оборудования и ПО для ФСБ. Согласно тексту постановления, для каждого конкретного сайта «руководитель отделения ФСБ» должен будет выбрать для взаимодействия подразделение ФСБ.
Вступивший в силу с 1 августа федеральный закон №97 «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты РФ по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей» (известен как закон о блогерах) фактически приравнивает популярные блоги к СМИ: их авторам нельзя ругаться матом, распространять недостоверные сведения или экстремистские призывы. Закон распространяется и на площадки, где можно вести блоги – например, социальные сети. Закон о блогерах обязал такие площадки раскрывать информацию о посещаемости блогеров, их контакты, хранить на территории России данные о действиях своих пользователях в течение шести месяцев и делиться этой информацией со спецслужбами.
Бизнес не спросили
Постановление о взаимодействии со спецслужбами оказалось неожиданностью для интернет-компаний. В пресс-службе «Яндекса» РБК пояснили, что это постановление присутствовало в первоначальном перечне подзаконных актов, которые планировалось принять в дополнение к закону о блогерах, но его текст разработчики нигде не публиковали.
В Mail.ru Group подтвердили, что итоговая редакция документа отличается от того, что первоначально обсуждалось. «Теперь снова отсутствует ясность, что нужно делать, какие требования могут быть предъявлены, и сколько в итоге это будет стоить», — говорит руководитель юридического департамента Mail.Ru Group Антон Мальгинов. Холдинг Rambler&Co не прокомментировал постановление РБК.
По словам представителей интернет-компаний, они пока не понимают, как постановление о взаимодействии с ФСБ будет работать одновременно с другим правительственным постановлением о порядке, месте и правилах хранения пользовательских данных в течение шести месяцев. Это постановление уже подписано и опубликовано 6 августа.
Постановление о взаимодействии сайтов с ФСБ само по себе может трактоваться широко, предупреждает специалист по информационной безопасности Алексей Лукацкий. Он считает, что в сочетании с другими принятыми подзаконными актами и действующей практикой взаимодействия спецслужб и операторов связи работа сайтов с ФСБ сведется к слежке за пользователями с помощью системы СОРМ. С ним согласились главный редактор сайта о спецслужбах Agentura.ru Андрей Солдатов и директор по стратегическим проектам Института исследований интернета Ирина Левова.
«Это значит, что у всех соцсетей будет оборудование, которое позволит ФСБ дистанционно снимать информацию, то есть в режиме реального времени включать слежку за любыми интересующими ее пользователями соцсетей», — поясняет Солдатов. По его словам, следить за пользователями можно с помощью устройства для перехвата информации, которое установят у себя интернет-компании, и специального ПО для подключения спецслужб.
Действующие в России требования системы оперативно-разыскных мероприятий (СОРМ) распространяются пока на операторов связи: они предписывают передавать в спецслужбы номера телефонов и местоположение абонентов мобильной связи, но оператор не обязан записывать эти данные. «Раньше требования СОРМ распространялись только на операторов, но теперь затронут еще и организаторов распространения информации», — уверен Лукацкий.
Для российских пользователей установленная на сайтах система СОРМ будет дублировать другие системы СОРМ, установленные у всех российских интернет-провайдеров. Через интернет-провайдеров спецслужбы уже сейчас могут получить информацию обо всем, что их пользователи делают в интернете, в том числе в соцсетях. Однако установка системы СОРМ в соцсетях облегчит спецслужбам поиск конкретного человека, который написал тот или иной текст, объясняет ведущий эксперт по информационной безопасности InfoWatch Андрей Прозоров. «В некоторых случаях они уже сейчас могут получить информацию о том, кто оставил комментарий, но это сложный и долгий процесс, который не всегда приводит к определению конкретного отправителя», — считает Прозоров. По его словам, если сайт использует шифрование при передаче данных, перехват этих данных через операторов связи может ничего не дать.
Через операторов связи идет настолько большой объем информации, что выбрать в нем нужные сведения технически сложно, и это требует много времени, объясняет руководитель аналитического центра Zecurion Владимир Ульянов. Установка систем СОРМ в соцсетях позволит контролировать ограниченный поток информации от пользователей, говорит он. И вообще собирать информацию по отдельному сайту от разных операторов намного сложнее, чем запросить данные у самого сайта, считает эксперт.
В ФСБ на официальный запрос РБК не ответили, в Минкомсвязи и Роскомназдоре отказались от комментариев.
Из текста постановления остается неясным, кто будет платить за новое техническое оборудование. Солдатов лишь предполагает, что органы будут действовать «по шаблону СОРМ» и финансовая нагрузка ляжет на площадки.
Сегодня, по данным Солдатова, спецслужбы могут осуществлять мониторинг открытых аккаунтов и сообществ в социальных сетях с помощью специальной технологии, на которую тратят собственные деньги. Социальные сети пока не попадали в категории компаний, которые обязаны установить СОРМ, поясняет он.
Компании в ожидании
Представители интернет-компаний говорят, что ждут отраслевой приказ Минкомсвязи, которым будут установлены требования к оборудованию и программно-техническим средствам для взаимодействия со спецслужбами. Но на сайте regulation.gov.ru для обсуждения законопроектов есть только уведомление о проекте соответствующего приказа, опубликованное 28 июля, а сам текст приказа отсутствует.
В этом приказе Минкомсвязи установит требования для оборудования и ПО, которое должны будут установить сайты для СОРМ, подтвердил РБК представитель министерства Дмитрий Захаров.
Еще интернет-компании ждут разъяснения по хранению данных об активности блогеров. Как пояснил представитель «Яндекса», правительство должно в постановлении описать порядок хранения информации: какие именно сведения нужно сохранять, где и по каким правилам, как выдавать их. Минкомсвязи своим приказом должно будет описать, какое оборудование и ПО необходимо использовать для хранения информации, добавил собеседник РБК.
Согласно закону о блогерах, «организаторы распространения информации» должны по запросу Роскомнадзора раскрывать информацию о посещаемости блогеров, их контакты, хранить на территории России данные о действиях пользователей шесть месяцев и предоставлять все эти сведения по запросам спецслужб. За игнорирование таких запросов Роскомнадзор будет штрафовать сайты (до 500 тыс. руб.) или даже блокировать их, но только по решению суда, уточняла служба.
Интернет-компании уже предупреждали инвесторов о рисках, связанных с законом о блогерах. Mail.Ru Group сообщала акционерам, что компании, возможно, придется понести существенные расходы и расширить свою инфраструктуру, но конкретные суммы не называла. По предварительной оценке IT-компании Acronis, стоимость полугодового хранения данных для соцсетей масштаба «ВКонтакте» или «Одноклассников» может достигать нескольких миллионов долларов.
Иностранные интернет-компании с большим количеством пользователей из России не хотят обсуждать новые российские законы. Представители Facebook пояснили РБК, что пока не комментируют закон о блогерах. В Twitter не ответили на запрос.
***
Оригинал этого материала
© "Ежедневный журнал", 05.06.2014
Закон о блогерах оказался законом о слежке
Ирина Бороган
1 августа может настать решительный конец анонимности пользователей соцсетей в России. [...]
В сущности, сбылась многолетняя мечта российских силовиков о бесконтрольном мониторинге соцсетей и идентификации пользователей.
Документ «Регламент хранения информации и порядок ее предоставления уполномоченным органам» расписывает, какие сведения «организатор распространения информации» — определение, под которое подпадают не только все соцсети, но и любые интернет-ресурсы, где предполагается регистрация включая онлайн-конференции и магазины — должен предоставлять спецслужбам.
Их, напомню, у нас кроме ФСБ и МВД еще шесть, и всем придется предоставлять по первому запросу немало: идентификатор пользователя, список его контактов, список «друзей», количество и объем сообщений, которые он передал или получил, а также не только адреса электронной почты, но и переадресации, сообщения пользователей на форумах, блогохостингах, соцсетях с указанием сетевых адресов и времени посещений.
Список здесь не заканчивается, потому что спецслужба имеет право потребовать от компании регистрационные данные о сетевом адресе, с которого пользователь вошел в сервис, данные о сетевых протоколах пользователя и т.п. В общем, все то, что может помочь идентифицировать скрывающегося под ником человека.
Даже тех, кто считает, что ему совершенно нечего прятать, не обрадует, что спецслужбам теперь станет доступна информация об электронных платежах пользователя с указанием суммы оплачиваемой услуги.
Все вышеперечисленное называется метаданными и может рассказать о круге общения человека и его жизни очень многое. Недаром в 1990-е, когда интернет не был еще так популярен, оперативники при первой возможности изымали у задержанных авторитетов и воров в законе записные книжки, чтобы выяснить связи преступника. Теперь на месте авторитетов оказались пользователи соцсетей и других интернет-сервисов, поскольку у государства сменились приоритеты и криминальной революции власти боятся намного меньше, чем арабской весны. [...]
Мы знаем, однако, что раньше многие отказывались предоставлять информацию о пользователях госорганам и спецслужбам по одному лишь запросу и требовали судебного решения. Например, в 2011 году, когда Центр информационной безопасности ФСБ потребовал от владельца сайта Roem.ru раскрыть данные одного из авторов сайта, писавшего о внутреннем конфликте в «Одноклассниках», Юрий Синодов не стал слепо выполнять требования спецслужбы, а направил запрос в Генпрокуратуру. Ответ был неожиданным: проверка установила, что ФСБ нарушила закон об оперативно-разыскной деятельности и не имела права запрашивать такие сведения. И Синодов с чистой совестью выложил переписку с ФСБ и Генпрокуратурой на сайт.
По новым правилам он не смог бы этого сделать: информацию о фактах сотрудничества со спецслужбами разглашать запрещено.
И это не единственный пример, когда компании проявляли принципиальность и отказывались предоставлять личные сведения пользователей. В прошлом году два крупнейших почтовых сервиса — Rambler.ru и Mail.ru — отказались предоставить данные переписки пользователей без решения суда, хотя и были оштрафованы за это. Аргументация компаний была очень простая: законодательство четко не отделяет метаданные (данные переписки) от содержания переписки, поэтому на получение таких сведений необходимо решение суда.
Как известно, создатель соцсети «ВКонакте» Павел Дуров тоже отказывался делиться с ФСБ данными пользователей, за что, правда, поплатился и был вынужден продать акции компании. [...]
Конечно, многое будет зависеть от позиций таких глобальных компаний, как Google, Facebook и Twitter. По идее, они могут проигнорировать законодательство другого государства, хотя на это надежды мало. Поскольку в этом случае наши власти могут просто заблокировать все их сервисы на территории страны, на что прозрачно намекнул пару недель назад замруководителя Роскомнадзора Максим Ксензов в интервью «Известиям».
Пакет поправок, который ужесточает контроль властей над интернетом и лишает пользователй анонимности, прошел через Госдуму как антитеррористический. И в этом нет ничего нового: прикрываясь борьбой c терроризмом, спецслужбы постоянно ограничивают права граждан. Например, за последние шесть лет легальный перехват телефонных переговоров и электронной почты в России вырос почти в два раза: c 265 937 в 2007 году до 539 864 в 2012-м.* И это на фоне ежегодных отчетов ФСБ о том, что уровень терроризма в России падает.
Когда общество отступает, а в данном случае не видно ощутимого сопротивления интернет-бизнеса, спецслужбы, напротив, переходят в наступление.
* официальные данные Судебного департамента при Верховном суде РФ.
***
Оригинал этого материала
© "Ежедневный журнал", 08.07.2014
Контроль над Интернетом, российский способ
Андрей Солдатов
[...] Закон, одобренный 4 июля Государственной думой, запрещает хранение персональных данных россиян не в России.
Есть какая-то ирония в том, что для расширения возможностей спецслужб используется такой аргумент, как защита персональных данных граждан. Никто российских депутатов о защите своих данных не просил — в отличие от Европы или Бразилии, разоблачения Эдварда Сноудена, обвинившего США в глобальном кибершпионаже, не потрясли россиян. Общественные организации выступили резко против закона, тем не менее, он был принят, и нет сомнений, что Путин его подпишет.
Критики закона утверждают, что его применение приведет к тому, что россиян лишат возможности заказывать авиабилеты онлайн, покупать книжки на amazon, делать покупки на ebay и т.п. На самом деле никто не собирается применять закон к абсолютно всем игрокам. Российский подход к контролю над Интернетом работает по-другому и был сформулирован два года назад, когда в стране внедрили интернет-фильтрацию в национальном масштабе. Его суть — максимально широко сформулированные законы, позволяющие блокировать целые сервисы за непослушание, доказанная решимость их блокировать (как было с YouTube в 2012 году) в сочетании с угрозами (этот способ был недавно опробован на Twitter) и полное отсутствие прописанного в законе технологического решения.
Такой подход приводит к двум последствиям. Во-первых, интернет-бизнес вынужден сам разрабатывать технические решения для интернет-цензуры и слежки и оплачивать их из своего кармана (по примеру СОРМ, которую операторы ставят на сети за свой счет). Во-вторых, интернет-компании вынуждены консультироваться в Кремле, пытаясь понять, что на самом деле от них требуется. При этом закон используется не как текст, который определяет правила игры для всех, а как дубина, которая заставляет компании приходить к чиновникам и спрашивать, что разрешено. Такой подход вполне эффективен, так как отличается гибкостью (правила можно постоянно менять), дешев, ведь он не требует бюджетных затрат и за все заплатят компании, и, в конце концов, даже технологически успешен, так как Google или Twitter очевидно лучше чиновников знают, как цензурировать свой контент.
Закон вступит в силу через два года — 1 сентября 2016-го. По мнению его авторов, этого времени интернет-компаниям хватит, чтобы открыть в России свои дата-центры. На самом деле эти два года чиновники будут договариваться с ключевыми игроками, доступ к данным которых их интересует прежде всего — это Facebook, Twitter и почта Gmail корпорации Google.
Вопрос, как эти два года проведут международные общественные организации, защищающие свободу слова в Интернете. Возможно, им стоит учесть, что российский подход скорее, чем китайский, может быть скопирован другими странами, заинтересованными в контроле над киберпространством.
Отличный комментарий!