Правительство обязало соцсети и другие популярные сайты для общения в России установить оборудование и программное обеспечение, с помощью которого спецслужбы смогут в автоматическом режиме получать информацию о действиях пользователей этих сайтов. По этой схеме работает СОРМ — система «прослушки», оборудование для которой все операторы связи в России устанавливают за свой счет.
Премьер-министр Дмитрий Медведев подписал 31 июля постановление правительства №743, уточняющее закон о блогерах: оно посвящено взаимодействию спецслужб и «организаторов распространения информации» — так в законе называют соцсети, форумы и любые сайты для общения, доступные всем пользователям Интернета. Согласно постановлению, сайты должны подключать оборудование и ПО для силовиков согласно плану мероприятий, разработанных ФСБ. Это постановление запрещает сайтам раскрывать «организационные и технические приемы проведения оперативно-разыскных мероприятий».
В постановлении нет ни слова о том, кто будет платить за установку на сайтах оборудования и ПО для ФСБ. Согласно тексту постановления, для каждого конкретного сайта «руководитель отделения ФСБ» должен будет выбрать для взаимодействия подразделение ФСБ.
Вступивший в силу с 1 августа федеральный закон №97 «О внесении изменений в Федеральный закон „Об информации, информационных технологиях и о защите информации“ и отдельные законодательные акты РФ по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей» (известен как закон о блогерах) фактически приравнивает популярные блоги к СМИ: их авторам нельзя ругаться матом, распространять недостоверные сведения или экстремистские призывы. Закон распространяется и на площадки, где можно вести блоги, например социальные сети. Закон о блогерах обязал такие площадки раскрывать информацию о посещаемости блогеров, их контакты, хранить на территории России данные о действиях своих пользователях в течение шести месяцев и делиться этой информацией со спецслужбами.
БИЗНЕС НЕ СПРОСИЛИ
Постановление о взаимодействии со спецслужбами оказалось неожиданностью для интернет-компаний. В пресс-службе «Яндекса» РБК пояснили, что это постановление присутствовало в первоначальном перечне подзаконных актов, которые планировалось принять в дополнение к закону о блогерах, но его текст разработчики нигде не публиковали.
В Mail.Ru Group подтвердили, что итоговая редакция документа отличается от того, что первоначально обсуждалось. «Теперь снова отсутствует ясность, что нужно делать, какие требования могут быть предъявлены и сколько в итоге это будет стоить», — говорит руководитель юридического департамента Mail.Ru Group Антон Мальгинов. Холдинг Rambler&Co не прокомментировал постановление РБК.
По словам представителей интернет-компаний Mail.Ru Group и «Яндекс», они пока не понимают, как постановление о взаимодействии с ФСБ будет работать одновременно с другим правительственным постановлением о порядке, месте и правилах хранения пользовательских данных в течение шести месяцев. Это постановление уже подписано и опубликовано 6 августа.
Постановление о взаимодействии сайтов с ФСБ само по себе может трактоваться широко, предупреждает специалист по информационной безопасности Алексей Лукацкий. Он считает, что в сочетании с другими принятыми подзаконными актами и действующей практикой взаимодействия спецслужб и операторов связи работа сайтов с ФСБ сведется к слежке за пользователями с помощью системы оперативно-разыскных мероприятий. С ним согласились главный редактор сайта о спецслужбах Agentura.ru Андрей Солдатов и директор по стратегическим проектам Института исследований Интернета Ирина Левова.
«Это значит, что у всех соцсетей будет оборудование, которое позволит ФСБ дистанционно снимать информацию, то есть в режиме реального времени включать слежку за любыми интересующими ее пользователями соцсетей», — поясняет Солдатов. По его словам, следить за пользователями можно с помощью устройства для перехвата информации, которое установят у себя интернет-компании, и специального ПО для подключения спецслужб.
Действующие в России требования системы оперативно-разыскных мероприятий (СОРМ) распространяются пока на операторов связи: они предписывают передавать в спецслужбы номера телефонов и местоположение абонентов мобильной связи, но оператор не обязан записывать эти данные. «Раньше требования СОРМ распространялись только на операторов, но теперь затронут еще и организаторов распространения информации», — уверен Лукацкий.
Для российских пользователей установленная на сайтах система СОРМ будет дублировать другие системы СОРМ, установленные у всех российских интернет-провайдеров. Через интернет-провайдеров спецслужбы уже сейчас могут получить информацию обо всем, что их пользователи делают в Интернете, в том числе в соцсетях. Однако установка системы СОРМ в соцсетях облегчит спецслужбам поиск конкретного человека, который написал тот или иной текст, объясняет ведущий эксперт по информационной безопасности InfoWatch Андрей Прозоров. «В некоторых случаях они уже сейчас могут получить информацию о том, кто оставил комментарий, но это сложный и долгий процесс, который не всегда приводит к определению конкретного отправителя», — считает Прозоров. По его словам, если сайт использует шифрование при передаче данных, перехват этих данных через операторов связи может ничего не дать.
Через операторов связи идет настолько большой объем информации, что выбрать в нем нужные сведения технически сложно, и это требует много времени, объясняет руководитель аналитического центра Zecurion Владимир Ульянов. Установка систем СОРМ в соцсетях позволит контролировать ограниченный поток информации от пользователей, говорит он. И вообще, собирать информацию по отдельному сайту от разных операторов намного сложнее, чем запросить данные у самого сайта, считает эксперт.
В ФСБ на официальный запрос РБК не ответили, в Минкомсвязи и Роскомназдоре отказались от комментариев.
Из текста постановления остается неясным, кто будет платить за новое техническое оборудование. Солдатов лишь предполагает, что органы будут действовать «по шаблону СОРМ» и финансовая нагрузка ляжет на площадки.
Сегодня, по данным Солдатова, спецслужбы могут осуществлять мониторинг открытых аккаунтов и сообществ в социальных сетях с помощью специальной технологии, на которую тратят собственные деньги. Социальные сети пока не попадали в категории компаний, которые обязаны установить СОРМ, поясняет он.
КОМПАНИИ В ОЖИДАНИИ
Представители интернет-компаний говорят, что ждут отраслевой приказ Минкомсвязи, в котором будут установлены требования к оборудованию и программно-техническим средствам для взаимодействия со спецслужбами. Но на сайте regulation.gov.ru для обсуждения законопроектов есть только уведомление о проекте соответствующего приказа, опубликованное 28 июля, а сам текст приказа отсутствует.
В этом приказе Минкомсвязи установит требования для оборудования и ПО, которое должны будут установить сайты для СОРМ, подтвердил РБК представитель министерства Дмитрий Захаров.
Еще интернет-компании ждут разъяснения по хранению данных об активности блогеров. Как пояснил представитель «Яндекса», правительство должно в постановлении описать порядок хранения информации: какие именно сведения нужно сохранять, где и по каким правилам, как выдавать их. Минкомсвязи своим приказом должно будет описать, какое оборудование и ПО необходимо использовать для хранения информации, добавил собеседник РБК.
Согласно закону о блогерах, «организаторы распространения информации» должны по запросу Роскомнадзора раскрывать информацию о посещаемости блогеров, их контакты, хранить на территории России данные о действиях пользователей шесть месяцев и предоставлять все эти сведения по запросам спецслужб. За игнорирование таких запросов Роскомнадзор будет штрафовать сайты (до 500 тыс. руб.) или даже блокировать их — но только по решению суда, уточняла служба.
Интернет-компании уже предупреждали инвесторов о рисках, связанных с законом о блогерах. Mail.Ru Group сообщала акционерам, что компании, возможно, придется понести существенные расходы и расширить свою инфраструктуру, но конкретные суммы не называла. По предварительной оценке IT-компании Acronis, стоимость полугодового хранения данных для соцсетей масштаба «ВКонтакте» или «Одноклассников» может достигать нескольких миллионов долларов.
Иностранные интернет-компании с большим количеством пользователей из России не хотят обсуждать новые российские законы. Представители Facebook пояснили РБК, что пока не комментируют закон о блогерах. В Twitter не ответили на запрос.