Россия
Российский производитель телекоммуникационного оборудования
+7 (495) 748-71-84

Новости телекома

16.08.2017

Что ФСБ будет знать о пользователях Рунета по «Закону Яровой». Список

Минкомсвязи подготовило проект приказа, обязывающего интернет-сервисы подключаться по выделенным каналам к сетям спецслужб и автоматически обрабатывать их запросы по поиску информации о пользователях.

Спецслужбы интересуют регистрационные данные пользователей, переданные ими сообщения и совершенные платежи, данные о местоположении пользователей и используемом ПО, их родственниках, языках общения и т. д.

Минкомсвязи вводит СОРМ для интернет-сервисов

Минкомсвязи подготовило проект приказа, регламентирующего взаимодействие интернет-сервисов с системой оперативно-розыскных мероприятий (СОРМ). Документ направлен на выполнение требований «Закона Яровой» и опубликован на портале regulation.gov.ru.

Первая версия СОРМ появилась в середине 1990-х годов. Она обеспечила спецслужбам доступ к переговорам абонентов телефонных сетей. СОРМ используют ведомства, уполномоченные на проведение оперативно-розыскных мероприятий (ОРМ): ФСБ (основное ведомство, ответственное за СОРМ), МВД, ФСО, Служба внешней разведки и Федеральная таможенная служба.

Когда интернет-сервисы обязали сотрудничать со спецслужбами

В 2000-м году стала создаваться система СОРМ-2, обеспечивающая спецслужбам доступ к трафику абонентов интернет-провайдеров. В 2014 г. был принят антитеррористический пакет законопроектов, который ввел для интернет-сервисов требования, обеспечивающие спецслужбам возможность проведения ОРМ. С этой целью в закон «Об информации, ИТ и защите информации» было введено понятие «организатор распространения информации в сети интернет» (ОРИ).

Под ОРИ подпадает владелец любого сайта или программы, которая обеспечивает пользователям интернета возможность общения, за исключением сайтов для личных и семейных нужд. В соответствии с первой версией закона, ОРИ должны были хранить на территории России регистрационные данные российских пользователей и информацию о всех переданных и полученных ими сообщениях (журналы сообщений) в течение полугода.

В соответствии с принятым в том же году постановлением правительства, ОРИ в рамках ОРМ должны были передавать данные о своих пользователях по запросу спецслужб. Информация передавалась в ручном режиме, срок ответа составлял до 30 дней (или до 3 дней для срочных запросов). Если объем передаваемой информации превышал 8,5 ГБ, то спецслужбы должны были самостоятельно предоставить носитель для ее передачи.

В прошлом году был принят так называемый «Закон Яровой». Он расширил требования к ОРИ, обязав их хранить журналы переданных и полученных сообщений в течение года, а в случае применения шифрования сообщений — передать спецслужбам ключи для их дешифровки. С лета 2018 г. необходимо будет хранить и содержимое самих сообщений на территории России сроком до полугода.

Интернет-сервисы установят средства ОРМ и подключаться к СОРМ по выделенным каналам

Этот же проект приказа Минкомсвязи предполагает, что ОРИ должны будут более тесно интегрироваться с сетями спецслужб — им придется подключиться к СОРМ по примеру телекоммуникационных операторов. Проект приказа требует от ОРИ установку средств ОРМ — в виде отдельного программно-аппаратного комплекса или в виде самостоятельного модуля в информационной системе (ИС) ОРИ. 

Данная система должна будет подключиться по выделенному каналу связи к пульту управления (ПУ) спецслужб со скоростью от 100 Мбит/с до 1 Гбит/с в зависимости от типа выполняемых запросов. Для защиты передаваемых  спецслужбам данных ОРИ рекомендуется создать виртуальную частную сеть (VPN) с поддержкой технологий туннелирования IP Sec VPN и L2TP. 

ОРИ должны будут обеспечить защиту данных, передаваемых по СОРМ, от несанкционированного доступа со стороны неавторизированных пользователей, технического персонала и третьих лиц. ОРИ должны будут сообщать спецслужбам о попытках получения доступа к передаваемым в рамках ОРМ данным, включая попытки получить доступ к оперативной памяти средств ОРМ с целью изъятия данных о проводимых ОРМ, резервного копирования данных об ОРМ, доступа к средствам ОРМ через непредусмотренные порты и физического вскрытия устройств ОРМ. 

Какую информацию нужно будет хранить о пользователях 

ОРИ, для выполнения требований об ОРМ, должны будут хранить следующую информацию о пользователях: дата и время регистрации, последнего обновления регистрационных данных и прекращения регистрации; дата и время заключения договора и его номер; псевдонимы пользователя в системах других ОРИ; указанная пользователем регистрационная информация. В перечень последней попадают псевдоним пользователя, дата рождения, адрес, ФИО, данные паспорта или иного документа, языки общения и родственники из числа пользователей того же ОРИ. 

Также должна храниться информация о фактах изменения регистрационных данных, авторизации и прекращении авторизации. В этих случаях должны указываться дата и время такого события, идентификатор пользователя и его технические идентификаторы (IP-адрес и порт, e-mail-адрес, номер мобильного телефона, используемая пользователем программа). 

В журнале полученных и переданных пользователями сообщений и совершенных платежах должна храниться следующая информация: дата и время; вид сервиса; идентификатор пользователя; технические идентификаторы пользователя; идентификатор пользователя, отправившего/получившего сообщение от искомого пользователя; используемый пользователем информационный ресурс ОРИ и данные о его владельце; местоположение пользователя (ширина, долгота и пр.) и текст самого сообщения.

Какие запросы спецслужбы будут посылать интернет-сервисам 

Поисковые запросы, приходящие с ПУ в ОРИ, разделены на четыре класса. Класс 1 — стандартные запросы по поиску переданных сообщений по идентификатору пользователя, его техническим идентификаторам и временному интервалу занесения соответствующей информацию в систему ОРМ.  

Класс 2 — расширенные запросы на поиск информации о переданных сообщениях. Помимо вышеупомянутых идентификаторов, при формировании таких запросов могут использоваться данные о местоположении пользователя, его контактах и совершенных платежах. 

Класс 3 подразумевает поиск фактов авторизации и выхода из ресурса ОРИ по идентификатору пользователя, его техническим идентификаторам, местоположению пользователя и временному интервалу занесения информация. 

Поисковые запросы второго и третьего класса могуn комбинироваться логическими операторами «и», «или» и «не». Также в поисковых запросах допустимо использование трафаретных символов «*» и «?», подразумевающие поиск информации о группе пользователей с заданными критериями.

Максимально время, за которое установленная у ОРИ система ОРМ должна обработать поисковый запрос с ПУ, составляет от 5 до 60 секунд в зависимости от класса запроса и временного интервала занесения соответствующей информации в систему ОРИ. Установленная у ОРИ система должна одновременно обрабатывать не менее 100 запросов. 

Макисмальное время обработки информации установленной у ОРИ системой ОРМ с момента совершения события до момента, когда она будет доступна для обработки поисковыми запросами с ПУ, составляет 60 секунд для фактов внесения регистрационных данных или их изменения и 5 минут для фактов авторизации и деавторизации, регистрации и прекращения регистрации, передачи и получения сообщений и совершения платежей. 

Как Роскомнадзор контролирует взаимодействие интернет-сервисов со спецслужбами 

Напомним, ОРИ обязаны регистрироваться в реестре, который ведет Роскомнадзор. За отказ от регистрации закон предусматривает санкции в виде блокировки доступа с территории России. Осенью 2014 г., когда вступили в силу первые требования к ОРИ, в соответствующем реестре зарегистрировались ряд российских интернет-сервисов: mail.ru, «Яндекс», «Рамблер» и т. д.

Иностранные сервисы долгое время игнорировали данный реестр, при этом Роскомнадзор не прибегал к блокировкам. Но с началом 2017 г. начались первые блокировки за отказ регистрироваться в реестре ОРИ, в частности, был заблокирован сервис интернет-раций Zello и ряд мессенджеров «второго эшелона».

После этого некоторые иностранные сервисы решили зарегистрироваться, например, служба знакомств Badoo и сервис обмена мгновенными сообщениями Snapchat. Наиболее громкой была история с мессенджером Telegram: его владелец Павел Дуровотказывался регистрироваться в реестре, в связи с чем глава Роскомнадзора угрожал блокировкой. В итоге Дуров согласился предоставить контактные данные для регистрации Telegram в реестр, но предупредил, что речи о передачи спецслужбам данных о пользователях не идет. 

«Проект данного приказа Минкомсвязи должен был появиться, так как он необходим для выполнения требования «Закона Яровой», — констатирует в разговоре с CNews глава проекта Роскомсвобода Артем Козлюк. — Другое дело, что остается непонятным, будут ли иностранные сервисы выполнять эти требования. И что скажут власти США на то, что американские пользователи будут передавать российским спецслужбам данные о своих пользователях».

В «Яндексе» заявили CNews, что проект приказа Минкомсвязи содержит много технических деталей и требует изучения. Представитель холдинга «Рамблер» ограничился комментарием, что необходимо дождаться финальной версии документа, а также выразил надежду, что с ОРИ будут проведены консультации по этому вопросу. 

Источник: крупнейшее издание в сфере высоких технологий в России и странах СНГ - CNews