Нырок в прозрачность
История началась еще в 2016-м. Тогда был одобрен так называемый пакет Яровой, который стал первым примером изменения правил для получения доступа к данным россиян. В пакет Яровой вошли два законопроекта, принятие которых мотивировалось борьбой с терроризмом. Свое название законопроекты получили в честь одного из авторов — депутата Ирины Яровой.
С тех пор компании стали обязаны хранить информацию о сообщениях пользователей и предоставлять к ним доступ правоохранителям.
По «закону Яровой» с 1 июля 2018 года все операторы связи стали обязанными установить оборудование для оперативно-розыскных мероприятий (СОРМ) на свои сети.
С этого момента они хранят телефонные разговоры, текстовые сообщения, изображения, видеозаписи и другие сообщения пользователей. Согласно закону, хранить переговоры и сообщения нужно шесть месяцев, а интернет-трафик — 30 дней.
Также «закон Яровой» обязал организаторов распространения информации в интернете декодировать сообщения пользователей. По требованию ФСБ компании должны предоставлять ключи к зашифрованному трафику.
Ярым критиком «закона Яровой» стал бывший сотрудник Агентства национальной безопасности (АНБ) Эдвард Сноуден.
«[Президент России Владимир] Путин подписал репрессивный закон, который не только нарушает права человека, но и противоречит здравому смыслу», — писал тогда в Twitter экс-сотрудник ЦРУ, скрывающийся в России.
Передай другому
С 1 августа 2014 года в силу вступили поправки в закон «Об информации». В России появились организаторы распространения информации (ОРИ) и реестр, в котором они перечислялись.
Эти компании, в которые входят провайдеры, интернет-сервисы, IT-компании, банки, и т.д. обязаны хранить в России в течение шести месяцев такие данные, как факт приема, передачи, доставки и обработки голосовой информации, текстов, изображений и иных электронных сообщений пользователей.
ОРИ также обязаны предоставлять эти данные следственным органам по их запросу. Согласно принятым поправкам, организаторы должны хранить всю информацию об отправке письма или загрузке файла, но не содержание письма или файла.
Для этого компании также должны устанавливать на свои сети оборудование для оперативно-разыскных мероприятий (СОРМ).
Всего в реестр входят сотни самых разных организаций. В том числе Тинькофф банк (указан сервис tmsg-p2p.tinkoff.ru), Сбербанк онлайн, «Пикабу» (pikabu.ru), LiveJournal, Habr (habr.com), Vimeo.com, 2Гис (2gis.ru), «Авито» (avito.ru), Bla Bla Car (blablacar.ru) и многие другие сервисы.
«Роскомнадзор» регулярно обновляет реестр организаторов распространения информации (ОРИ), добавляя в него все новые сервисы и интернет-ресурсы. В 2022 году реестр пополнили в том числе «Яндекс.Такси», «Яндекс.Еда», «Яндекс.Лавка» и «Яндекс.Микромобильность».
Тотальная идентификация
Опрошенные «Газетой.Ru» специалисты указали на то, что в настоящее время интернет внутри России развивается в сторону идентификации любого соединения.
«Сегодня большинство пользователей интернета прозрачны для операторов, которые к тому же хранят у себя информацию о том, кто подключается к их сетям, с каких IP он выходит, а также, по закону Яровой, трафик, который сгенерировал юзер», — рассказал коммерческий директор компании «Код Безопасности» Федор Дбар.
По его словам, выходя из любой точки страны и любым способом в интернет внутри России, пользователь себя законодательно идентифицирует как гражданина.
Если выход в сеть осуществляется через домашний интернет, то перед этим заключается договор с провайдером с передачей паспортных данных, а если через смартфон, на сим-карте есть те же данные паспорта, уточнил специалист.
Дбар пояснил, что пока единственной брешью в системе для сохранения анонимности остаются некоторые публичные точки Wi-Fi. Однако в большинстве случаев в них теперь тоже нужно регистрироваться с помощью номера телефона, констатировал эксперт.
«С технической точки зрения не составляет труда понять, какой гражданин пользовался интернетом, и что он в нем делал», — резюмировал он.
Дотянуться до VPN
Для чего же тогда МВД разработало поправки к закону «Об оперативно-розыскной деятельности»? Согласно им, любая информация в интернете может быть признана необходимой для следственных действий.
Доступ к любой информации возможен только если речь идет о вопросе государственной безопасности или борьбы с терроризмом, рассказал «Газете.Ru» руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров.
В этом случае чтение писем и сообщений может осуществляться до суда или с уведомлением суда в течение 24 часов после начала действий, пояснил он.
«Речь идет про все доступы к информации, содержащейся у провайдеров, операторов связи и крупных IT-компаний. Полагаю, что постепенно в России идут по пути формирования системы идентификации по электронному цифровому следу», — сообщил Бедеров.
По его словам, необходимость в подобной системе «назрела уже 10 лет назад». Для начала в систему идентификации полагается собирать данные, определить источники трафика, обязать операторов и компании эти источники предоставлять для сбора.
«Следующим шагом может быть уже централизованный электронный сбор данных в ГУП (государственных унитарных предприятиях) и госорганах для того, чтобы наложить на данные сквозную аналитику и идентифицировать пользователей», — пояснил Бедеров.
Он выразил мнение, что задача законопроекта МВД в том, чтобы идентифицировать тех, кто не идентифицируется сейчас, но находится в России.
«Добраться до тех, до кого не могут пока дотянуться», — уточнил эксперт.
По его словам, подобный подход позволит не обращаться в иностранные соцсети и иностранные VPN-сервисы, которые информацию все равно не предоставят.
«Естественно накопление больших данных позволит профилировать пользователей в зависимости от того, что они использовали: VPN-сервисы, куда заходили, какие дополнительные аккаунты у них имеются», — заключил Бедеров.
Специалист уточнил, что появится возможность определить включение и использование VPN-сервисов, но пока будет невозможно узнать сайты, которые посещает пользователь с включенным VPN.
Коммерческий директор компании «Код Безопасности» Федор Дбар заметил, что суть предлагаемых поправок сводится к ускорению и упрощению получения информации для силовиков от телеком-операторов.
«Они смогут ее получить без решения суда. То есть нет речи о каких-то новых допусках или новых технических возможностях», — посчитал спикер.
По его мнению, на защищенность анонимности пользователя и информации с помощью VPN это никак не влияет.
Дбар уточнил, что и в России, и во многих других странах, согласно законам, человек может использовать внутри страны только определенные разрешенные сервисы шифрования.
«Если при въезде в какую-либо страну на телефоне или ноутбуке пограничники обнаружат VPN-клиент, пользователя или его устройство могут просто не пустить. Однако с этой историей редко «пристают» к обычным гражданам», — добавил он.
Пользователь, имея определенный уровень технических знаний, может попытаться спрятать себя с помощью средств анонимизации вроде VPN-клиентов, заключил Дбар.