Совсем недавно министр связи и массовых коммуникаций РФ Николай Никифоров высказался о невозможности следить и цензурировать сообщения в интернет-мессенджерах и закрытых группах соцсетей: «Это технически невозможно из-за того, что этот трафик зашифрован».
И вот теперь ИТАР ТАСС пишет о новой редакции правок к антитеррористическому закону, где предлагается ввести ответственность за отказ расшифровать передаваемый трафик:
Понятие «организаторы распространения информации» первый зампред комитета Госдумы по информполитике Вадим Деньгин трактует очень широко:
Предложение было внесено депутатом Государственной думы, председателем думского комитета по безопасности и противодействию коррупции Ириной Яровой и членом Совета Федерации Виктором Озеровым.
При этом, что характерно для подобных инициатив, не было озвучено никаких технических подробностей того, как и за чей счет это предполагается осуществлять.
Update:
Госдума перенесла на 24 июня рассмотрение антитеррористического пакета законопроектов. С предложением о переносе выступил зампред комитета по безопасности и противодействию коррупции Эрнест Валеев при утреннем обсуждении порядка работы палаты
«С уверенностью можно сказать только одно — затраты интернет-компаний вырастут. Интернет-компаниям придется увеличить число серверов и подумать о перестройке внутренней инфраструктуры. Сокращение сроков хранения данных с 3-х лет до 6 месяцев только снизит дополнительные расходы, но не отменит сам факт новых затрат», — сообщил представитель «Яндекса».
В компании отметили, что в текущей редакции законопроекта регулирование интернет-отрасли приведет к чрезмерному ограничению прав как бизнеса, так и пользователей. «Речь идет об усилении регулирования ради безопасности. Процедуры контроля должны ставить всех в равные условия. В текущем варианте законопроекта равных условий или не будет, или их форсирование заставит кого-то из игроков уйти из России, что негативно повлияет на отрасль», — пояснили в пресс-службе.
По мнению представителей «Яндекса», остаются неясными порядок и объем хранения сообщений пользователей. В пресс- службе также подчеркнули, что компании непонятно, что именно законодатель понимает под кодированием.
И вот теперь ИТАР ТАСС пишет о новой редакции правок к антитеррористическому закону, где предлагается ввести ответственность за отказ расшифровать передаваемый трафик:
Неисполнение организатором распространения информации в сети Интернет обязанности предоставлять в федеральный орган исполнительной власти в области обеспечения безопасности информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых или обрабатываемых электронных сообщений", предлагается наказывать штрафом для граждан в размере от 3 тыс. до 5 тыс. рублей, для должностных лиц — от 30 тыс. до 50 тыс. рублей, для юрлиц — от 800 тыс. до 1 млн рублей
Понятие «организаторы распространения информации» первый зампред комитета Госдумы по информполитике Вадим Деньгин трактует очень широко:
«Это в том числе и мессенджеры, скорее всего. Это также социальные сети, специальные почтовые серверы, почтовые ресурсы, которые имеют кодировку и содержат большое количество посетителей, участников этого процесса»
Предложение было внесено депутатом Государственной думы, председателем думского комитета по безопасности и противодействию коррупции Ириной Яровой и членом Совета Федерации Виктором Озеровым.
При этом, что характерно для подобных инициатив, не было озвучено никаких технических подробностей того, как и за чей счет это предполагается осуществлять.
Update:
Госдума перенесла на 24 июня рассмотрение антитеррористического пакета законопроектов. С предложением о переносе выступил зампред комитета по безопасности и противодействию коррупции Эрнест Валеев при утреннем обсуждении порядка работы палатыUpdate:
Позиция Яндекса по поводу законов о хранении данных и расшифровке трафика
«С уверенностью можно сказать только одно — затраты интернет-компаний вырастут. Интернет-компаниям придется увеличить число серверов и подумать о перестройке внутренней инфраструктуры. Сокращение сроков хранения данных с 3-х лет до 6 месяцев только снизит дополнительные расходы, но не отменит сам факт новых затрат», — сообщил представитель «Яндекса».
В компании отметили, что в текущей редакции законопроекта регулирование интернет-отрасли приведет к чрезмерному ограничению прав как бизнеса, так и пользователей. «Речь идет об усилении регулирования ради безопасности. Процедуры контроля должны ставить всех в равные условия. В текущем варианте законопроекта равных условий или не будет, или их форсирование заставит кого-то из игроков уйти из России, что негативно повлияет на отрасль», — пояснили в пресс-службе.
По мнению представителей «Яндекса», остаются неясными порядок и объем хранения сообщений пользователей. В пресс- службе также подчеркнули, что компании непонятно, что именно законодатель понимает под кодированием.
Update:
Официальная позиция РАЭК по «законопроекту Яровой» (№1039149-6 – второе чтение)Требования по раскрытию ключей для декодирования сообщений ведет к созданию угроз для безопасности и частной жизни граждан, создает угрозы для бизнеса и ставит российские компании в неравное положение, создает угрозы для национальной безопасности.
При этом, данные меры не повлияют на доступность инструментов шифрования для злоумышленников.
Полный текст
О внесении изменений в отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности.
Суть законопроекта
Законопроектом, в частности, устанавливаются дополнительные требования, предъявляемые к операторам связи и организаторам распространения информации в информационно-телекоммуникационной сети «Интернет», связанные с хранением данных пользователей.
Операторы связи и организаторы распространения информации обязаны хранить на территории Российской Федерации в течение трех лет информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации и текстовых сообщений, включая их содержание, а также изображения, звуки или иные сообщения пользователей услугами связи и предоставлять уполномоченным государственным органам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, указанную информацию, информацию о пользователях услугами связи и об оказанных им услугах связи и иную информацию, необходимую для выполнения возложенных на эти органы задач, в случаях, установленных федеральными законами.
Во втором чтении к законопроекту была принята поправка, обязывающая организаторов распространения информации декодировать сообщения пользователей.
Организатор распространения информации в сети «Интернет» обязан при использовании для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети «Интернет» дополнительного кодирования электронных сообщений и (или) при предоставлении пользователям сети «Интернет» возможности дополнительного кодирования электронных сообщений представлять в федеральный орган исполнительной власти в области обеспечения безопасности информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений.
Суть отраслевой проблемы, связанной с темой законопроекта
Международные стандарты безопасности, использующиеся в настоящий момент в информационных системах в интернете невозможно односторонне заменить на другие стандарты. Платежные системы, например, обязаны соблюдать PCI DSS, раскрытие ключей автоматически приводит к исключению таких систем из международного обмена.
В большинстве стандартов шифрования хранение пользовательских ключей не предусмотрено, то есть без изменения алгоритма невозможно декодирование сообщений. Например, в современной реализации протокола HTTPS сессионный ключ генерируется с помощью алгоритма Диффи-Хеллман и никогда не пересылается по сети, в следствии чего, даже получив доступ к закрытому ключу сервера, невозможно восстановить сессионные ключи, которые использовались для шифрования пересылаемого контента. Сессионные ключи всех участников процесса обмена сообщениями удаляются сразу после завершения сессии. Для сервисов, использующих соединение непосредственно между пользователями для передачи, хранения или шифрования информации (так называемые p2p-сервисы) не определено понятие оператора и не существует субъекта, обладающего коллекцией ключей, что также ставит под вопрос возможность технического применения данной меры законопроекта.
При изменении же алгоритма возникают угрозы кибербезопасности для бизнеса, граждан, государства, так как создание таких средств доступа — это фактически встраивание заведомой уязвимости в систему.
Создание специальных ключей доступа к шифрованию ставит под угрозу национальную безопасность вследствие возможности взлома иностранными разведками, что подтверждается фактами в прессе о деятельности американских и китайских спецслужб.
Принятие данного законопроекта ставит под угрозу тайну связи и несет огромные риски утечек конфиденциальной информации. В свете последних прецедентов с утечкой в сеть персональных данных граждан Турции и Филиппин, данная инициатива может нанести репутационный и материальный ущерб как российским компаниям, так и рядовым гражданам Российской Федерации. 1.2. Требования Законопроекта необоснованно ограничивают права граждан, установленные ст. 23 Конституции Российской Федерации, согласно которой каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения. Законопроект серьезно ограничивает указанные конституционные права, так как раскрытие ключей одновременно позволяет перехватывать сообщения всех пользователей интернет-сервиса.
При этом данные меры не повлияют на доступность инструментов шифрования для злоумышленников. Стойкое шифрование в настоящий момент доступно любому (например, Signal — проект с открытыми кодом, позволяет осуществлять end-to-end шифрование сообщений github.com/WhisperSystems).
Российские компании будут поставлены в неравные условия:
Во-первых, деятельность на международных рынках будет чрезвычайно затруднена, так как действие законопроекта распространяется на всех пользователей, что может нарушать законодательство других стран и международные обязательства РФ (например, конвенцию по автоматизированной обработке ПД).
Во-вторых, иностранные компании могут отказаться от выполнения данных требований, так как они противоречат законодательству стран, где они зарегистрированы, что ухудшит положение российских компаний на внутреннем рынке.
В-третьих, другие государства (например, Китай) могут предъявить сходные требования по раскрытию ключей к российским компаниям.
Выводы и официальная позиция РАЭК по законопроекту
Как указано в постановлении Конституционного суда Российской Федерации от 26.11.2012 г. № 28-П, Положения ч. 3 ст. 55 Конституции Российской Федерации, рассматриваемые во взаимосвязи с ее статьями 8, 17, 34 и 35, содержат требования, согласно которым все возможные ограничения федеральным законом прав юридических лиц, свободы предпринимательской деятельности и регламентация вопросов их ответственности должны базироваться на общих принципах права, отвечать требованиям справедливости, быть адекватными, соразмерными и необходимыми для защиты конституционно значимых ценностей, в том числе прав и законных интересов других лиц; такие меры допустимы, если они основываются на законе, служат общественным интересам и не являются чрезмерными.
Требования Законопроекта о длительном хранении огромного массива информации потребуют от организаторов распространения информации в сети «Интернет», которыми по факту могут быть признаны любые Интернет-ресурсы, огромных затрат (на строительство дата-центров, иной инфраструктуры и т.п.). Такие расходы могут явиться непосильными как для небольших интернет-проектов, так и для крупных ресурсов, через которые проходит огромное количество информации.
Кроме того, Законопроект создает, по-сути, неравные условия для российских и зарубежных Интернет-сервисов, поскольку возможность применения норм, предлагаемых законопроектом, либо санкций за их неисполнение, к последним вызывает сомнения.
Принятие Законопроекта в текущем его виде может повлечь уход с российского рынка большого количество игроков и общую деградацию Интернет-отрасли. При этом, как указано, выше, депутаты, внесшие Законопроект, не приводят какие-либо обоснования таких серьезных ограничений прав законопослушного бизнеса.
Требования по раскрытию ключей для декодирования сообщений ведет к созданию угроз для безопасности и частной жизни граждан, создает угрозы для бизнеса и ставит российские компании в неравное положение, создает угрозы для национальной безопасности.
При этом, данные меры не повлияют на доступность инструментов шифрования для злоумышленников.
Суть законопроекта
Законопроектом, в частности, устанавливаются дополнительные требования, предъявляемые к операторам связи и организаторам распространения информации в информационно-телекоммуникационной сети «Интернет», связанные с хранением данных пользователей.
Операторы связи и организаторы распространения информации обязаны хранить на территории Российской Федерации в течение трех лет информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации и текстовых сообщений, включая их содержание, а также изображения, звуки или иные сообщения пользователей услугами связи и предоставлять уполномоченным государственным органам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, указанную информацию, информацию о пользователях услугами связи и об оказанных им услугах связи и иную информацию, необходимую для выполнения возложенных на эти органы задач, в случаях, установленных федеральными законами.
Во втором чтении к законопроекту была принята поправка, обязывающая организаторов распространения информации декодировать сообщения пользователей.
Организатор распространения информации в сети «Интернет» обязан при использовании для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети «Интернет» дополнительного кодирования электронных сообщений и (или) при предоставлении пользователям сети «Интернет» возможности дополнительного кодирования электронных сообщений представлять в федеральный орган исполнительной власти в области обеспечения безопасности информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений.
Суть отраслевой проблемы, связанной с темой законопроекта
Международные стандарты безопасности, использующиеся в настоящий момент в информационных системах в интернете невозможно односторонне заменить на другие стандарты. Платежные системы, например, обязаны соблюдать PCI DSS, раскрытие ключей автоматически приводит к исключению таких систем из международного обмена.
В большинстве стандартов шифрования хранение пользовательских ключей не предусмотрено, то есть без изменения алгоритма невозможно декодирование сообщений. Например, в современной реализации протокола HTTPS сессионный ключ генерируется с помощью алгоритма Диффи-Хеллман и никогда не пересылается по сети, в следствии чего, даже получив доступ к закрытому ключу сервера, невозможно восстановить сессионные ключи, которые использовались для шифрования пересылаемого контента. Сессионные ключи всех участников процесса обмена сообщениями удаляются сразу после завершения сессии. Для сервисов, использующих соединение непосредственно между пользователями для передачи, хранения или шифрования информации (так называемые p2p-сервисы) не определено понятие оператора и не существует субъекта, обладающего коллекцией ключей, что также ставит под вопрос возможность технического применения данной меры законопроекта.
При изменении же алгоритма возникают угрозы кибербезопасности для бизнеса, граждан, государства, так как создание таких средств доступа — это фактически встраивание заведомой уязвимости в систему.
Создание специальных ключей доступа к шифрованию ставит под угрозу национальную безопасность вследствие возможности взлома иностранными разведками, что подтверждается фактами в прессе о деятельности американских и китайских спецслужб.
Принятие данного законопроекта ставит под угрозу тайну связи и несет огромные риски утечек конфиденциальной информации. В свете последних прецедентов с утечкой в сеть персональных данных граждан Турции и Филиппин, данная инициатива может нанести репутационный и материальный ущерб как российским компаниям, так и рядовым гражданам Российской Федерации. 1.2. Требования Законопроекта необоснованно ограничивают права граждан, установленные ст. 23 Конституции Российской Федерации, согласно которой каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения. Законопроект серьезно ограничивает указанные конституционные права, так как раскрытие ключей одновременно позволяет перехватывать сообщения всех пользователей интернет-сервиса.
При этом данные меры не повлияют на доступность инструментов шифрования для злоумышленников. Стойкое шифрование в настоящий момент доступно любому (например, Signal — проект с открытыми кодом, позволяет осуществлять end-to-end шифрование сообщений github.com/WhisperSystems).
Российские компании будут поставлены в неравные условия:
Во-первых, деятельность на международных рынках будет чрезвычайно затруднена, так как действие законопроекта распространяется на всех пользователей, что может нарушать законодательство других стран и международные обязательства РФ (например, конвенцию по автоматизированной обработке ПД).
Во-вторых, иностранные компании могут отказаться от выполнения данных требований, так как они противоречат законодательству стран, где они зарегистрированы, что ухудшит положение российских компаний на внутреннем рынке.
В-третьих, другие государства (например, Китай) могут предъявить сходные требования по раскрытию ключей к российским компаниям.
Выводы и официальная позиция РАЭК по законопроекту
Как указано в постановлении Конституционного суда Российской Федерации от 26.11.2012 г. № 28-П, Положения ч. 3 ст. 55 Конституции Российской Федерации, рассматриваемые во взаимосвязи с ее статьями 8, 17, 34 и 35, содержат требования, согласно которым все возможные ограничения федеральным законом прав юридических лиц, свободы предпринимательской деятельности и регламентация вопросов их ответственности должны базироваться на общих принципах права, отвечать требованиям справедливости, быть адекватными, соразмерными и необходимыми для защиты конституционно значимых ценностей, в том числе прав и законных интересов других лиц; такие меры допустимы, если они основываются на законе, служат общественным интересам и не являются чрезмерными.
Требования Законопроекта о длительном хранении огромного массива информации потребуют от организаторов распространения информации в сети «Интернет», которыми по факту могут быть признаны любые Интернет-ресурсы, огромных затрат (на строительство дата-центров, иной инфраструктуры и т.п.). Такие расходы могут явиться непосильными как для небольших интернет-проектов, так и для крупных ресурсов, через которые проходит огромное количество информации.
Кроме того, Законопроект создает, по-сути, неравные условия для российских и зарубежных Интернет-сервисов, поскольку возможность применения норм, предлагаемых законопроектом, либо санкций за их неисполнение, к последним вызывает сомнения.
Принятие Законопроекта в текущем его виде может повлечь уход с российского рынка большого количество игроков и общую деградацию Интернет-отрасли. При этом, как указано, выше, депутаты, внесшие Законопроект, не приводят какие-либо обоснования таких серьезных ограничений прав законопослушного бизнеса.
Требования по раскрытию ключей для декодирования сообщений ведет к созданию угроз для безопасности и частной жизни граждан, создает угрозы для бизнеса и ставит российские компании в неравное положение, создает угрозы для национальной безопасности.
При этом, данные меры не повлияют на доступность инструментов шифрования для злоумышленников.
Update:
Госдума приняла антитеррористический «пакет Яровой»Депутаты Госдумы приняли корректировку антитеррористического пакета главы думского комитета по безопасности Ирины Яровой («Единая Россия»). Окончательные поправки раздавались парламентариям за несколько минут до обсуждения. Исправленными оказались нормы, регламентирующие миссионерскую деятельность. Также сроки хранения информации для интернет-провайдеров снижены с трех лет до одного года
…
Мессенджеры и соцсети обязали при использовании дополнительного кодирования сообщений предоставлять ФСБ ключи для их декодирования. За невыполнение требования будет налагаться штраф
Подробнее
В третьем чтении Госдума приняла антитеррористический пакет Ирины Яровой. За проект в третьем чтении проголосовали 287 депутатов, против —147, один воздержался. Как и сообщал “Ъ” 24 июня, ко второму чтению его текст дорабатывался еще сегодня утром. Изменению подверглись нормы, регламентирующие миссионерскую деятельность: прежде всего изменено само ее определение. Теперь под миссионерством предлагается понимать «деятельность религиозного объединения, направленную на распространение информации о своем вероучении среди лиц, не являющихся участниками данного объединения», в целях их вовлечения. Появилась в законопроекте и норма о том, что миссионерскую деятельность от имени религиозной организации вправе вести ее руководитель, член коллегиального органа и священнослужитель этой организации.
Кроме того, депутаты запретили миссионерскую деятельность, которая направлена на нарушение общественной безопасности и порядка, экстремистские действия, принуждение к разрушению семьи, на склонение к самоубийству. За нарушение законодательства грозит штраф: для граждан — от 5 тыс. до 50 тыс. руб., для юрлиц — от 100 тыс. до 1 млн руб. Ранее с критикой этих поправок, вносимых в закон «О свободе совести», выступили религиозные организации России (см. “Ъ” от 23 июня).
Согласно принятому законопроекту, операторы связи должны будут хранить информацию о фактах приема и передачи звонков, текстовых сообщений, фотографий, звуков и видео на территории России в течение трех лет, а срок хранения содержания разговоров и переписки составит до шести месяцев. Ранее Ирина Яровая согласилась сократить для интернет-компаний срок хранения информации о приеме, передаче информации с трех лет до одного года, а срок хранения переписки — до 6 месяцев. Об этом в своем отзыве просило правительство РФ. Порядок, сроки и объем хранения информации установит правительство РФ.
Помимо этого, операторы связи должны будут предоставлять по требованию правоохранительных органов информацию о пользователях и оказанных им услугах. Мессенджеры и соцсети обязали при использовании дополнительного кодирования сообщений предоставлять ФСБ ключи для их декодирования. За невыполнение требования будет налагаться штраф: для граждан он составит от 3 тысяч до 5 тыс. руб., для должностных лиц — от 30 до 50 тыс. руб., для юридических лиц — от 800 тыс. до 1 млн руб.
Напомним, ранее думский комитет по безопасности исключил из проекта нормы о запрете на выезд из РФ осужденных по ряду статей Уголовного кодекса, а также поправки о лишении гражданства за совершение ряда действий, например за работу в международных организациях, в которых РФ не принимает участия (см. “Ъ” от 21 июня). Эти нормы противоречили Конституции РФ и другим федеральным законам.
Кроме того, депутаты запретили миссионерскую деятельность, которая направлена на нарушение общественной безопасности и порядка, экстремистские действия, принуждение к разрушению семьи, на склонение к самоубийству. За нарушение законодательства грозит штраф: для граждан — от 5 тыс. до 50 тыс. руб., для юрлиц — от 100 тыс. до 1 млн руб. Ранее с критикой этих поправок, вносимых в закон «О свободе совести», выступили религиозные организации России (см. “Ъ” от 23 июня).
Согласно принятому законопроекту, операторы связи должны будут хранить информацию о фактах приема и передачи звонков, текстовых сообщений, фотографий, звуков и видео на территории России в течение трех лет, а срок хранения содержания разговоров и переписки составит до шести месяцев. Ранее Ирина Яровая согласилась сократить для интернет-компаний срок хранения информации о приеме, передаче информации с трех лет до одного года, а срок хранения переписки — до 6 месяцев. Об этом в своем отзыве просило правительство РФ. Порядок, сроки и объем хранения информации установит правительство РФ.
Помимо этого, операторы связи должны будут предоставлять по требованию правоохранительных органов информацию о пользователях и оказанных им услугах. Мессенджеры и соцсети обязали при использовании дополнительного кодирования сообщений предоставлять ФСБ ключи для их декодирования. За невыполнение требования будет налагаться штраф: для граждан он составит от 3 тысяч до 5 тыс. руб., для должностных лиц — от 30 до 50 тыс. руб., для юридических лиц — от 800 тыс. до 1 млн руб.
Напомним, ранее думский комитет по безопасности исключил из проекта нормы о запрете на выезд из РФ осужденных по ряду статей Уголовного кодекса, а также поправки о лишении гражданства за совершение ряда действий, например за работу в международных организациях, в которых РФ не принимает участия (см. “Ъ” от 21 июня). Эти нормы противоречили Конституции РФ и другим федеральным законам.
