НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И (ИЛИ) РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ «РОСКОМСВОБОДА» ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА «РОСКОМСВОБОДА». 18+
29 января в формате онлайн, с подключением экспертной площадки из Казахстана, состоялась конференция Privacy Day 2024. Мероприятие было приурочено к Международному дню защиты данных. Организаторами выступили DRC Group и Privacy Accelerator. Партнёры конференции — международные и российские IT-компании, правозащитные и общественные организации, юридические ассоциации и СМИ, а также прайваси-стартапы.
В первом треке гости обсудили проблемы приватности в бизнесе и госрегулировании (текст здесь). Во втором треке эксперты рассказали про слежку за журналистами через шпионские программы, проиллюстрировав её кейсами. Затем отдельное внимание также получила ситуация с блокировками VPN-сервисов и возможностями их работы в регионах с высоким уровнем цензуры.
Кто и зачем следит за независимыми СМИ?
Галина Арапова о «легальных» способах государственной слежки в России
Хакерские атаки на журналистов по всему миру становятся всё чаще. Но контроль и слежка осуществляются не только при помощи шпионского ПО. Для этого есть и легальные, прописанные законом возможности. Об этом рассказала директор Центра защиты прав СМИ Галина Арапова. В частности, в своём выступлении она выделила финансовый контроль и контроль через операторов связи.
«Россия, например, осуществляет финансовую слежку, используя инструменты Росфинмониторинга. Мы видели довольно много документов, свидетельствующих об этом, в судебных делах «иноагентов», которые оспаривают свой статус. Как правило, ответчик в лице Минюста предоставляет сведения об иностранном финансировании, хотя, казалось бы, существует банковская тайна, и такие гражданские структуры, как Минюст, не имеют права получать к ней доступ», — поделилась Арапова.
Другой тип контроля — через операторов связи. Для этого вида слежки основу заложил «пакет Яровой», в соответствии с которым вся коммуникация должна храниться и передаваться спецслужбам. Данные хранятся шесть месяцев, метаданные — три года.
«В судебных делах такая слежка пока не фигурирует, но то, что она технически возможна, нет никаких сомнений», — убеждена юрист.
Всё это нарушает право на неприкосновенность частной жизни, ставит под угрозу конфиденциальность коммуникации всех граждан, а журналистов — вдвойне, поскольку у них конфиденциальность — это ещё и отдельная профессиональная тайна.
«Легалистский подход, когда есть политическое желание засунуть нос в кошелёк или коммуникации, которое потом прописывается в законе резиновыми формулировками, даёт властям право говорить, что всё законно. С точки зрения международного права это вопиющее нарушение прав человека», — резюмировала Арапова.
Олег Агеев о всевластии спецслужб и тотальном контроле в Беларуси
Представитель Беларусской ассоциация журналистов Олег Агеев продолжил раскрывать юридическую сторону проблемы и рассказал про закон об оперативно-розыскной деятельности (ОРД) Беларуси.
«Из 14 оперативно-розыскных мероприятий, перечисленных в законе, 9 фактически представляют собой слежку или контроль. Как правило, это негласные слежка или контроль», — сказал он.
А вот контроль и судебное разрешение на сами ОРД в стране отсутствуют как явление. Правда, на некоторые из них, например на оперативный осмотр жилища негласно (в отсутствие собственника), требуется санкция прокурора. Но, если обосновать срочность мероприятия и наличие угрозы общественной безопасности, санкцию можно не запрашивать, а прокурора — уведомить уже после. Кроме того, прокуратура, по словам Агеева, сама боится спецслужб.
«Если завести с сотрудником прокуратуры разговор на социально значимые темы, можно увидеть в его глазах панику, а ещё он начнёт выключать телефон. Это показывает, что как раз таки спецслужбы осуществляют контроль на прокуратурой, а не наоборот. Прокуратура их боится, наверно, даже больше, чем мы с вами», — сказал Агеев.
Из 8 спецслужб, которые могут проводит ОРД, 2 напрямую подчиняются президенту, в остальных 6 он может назначать глав.
«На вопрос о том, как эти спецслужбы осуществляют слежку, правильный ответ будет — как захотят. Ограничений по их деятельности не существует. Единственное ограничение — это их собственная креативность и доступность технического оснащения», — заключил спикер.
Анастасия Жирмонт о заражении ПО Pegasus телефона Галины Тимченко
Первый задокументированный случай использования ПО Pegasus (разработчик — NSO Group) против российских журналистов — заражение iPhone Галины Тимченко, генерального директора издания «Медуза». Подробности этого кейса представила региональный координатор по связям с общественностью в Восточной Европе и Центральной Азии в Access Now Анастасия Жирмонт. Она напомнила, что атака произошла через две недели после объявления «Медузы» нежелательной организацией в России и на фоне призывов европейских лидеров следить за уехавшими из страны россиянами.
«К сожалению, трудно установить, кто стоял за атакой. ПО спроектировано так, чтобы было невозможно установить, правительство какого государства причастно и несёт за это ответственность», — сказала Жирмонт.
Однако у Access Now, которая вместе с CitizenLab провела исследование кейса, есть три основные версии, кто это мог быть. В соответствии с первой версией это Латвия, которая с большой долей вероятности является клиентом NSO Group и на территории которой «Медуза» получила убежище. Вместе с тем у CitizenLab нет данных о том, что Латвия может осуществлять слежку ещё на какой-либо территории помимо своей. По второй версии установить слежку могла Германия. Немецкие полиция и разведка страны являются клиентами NSO Group. Согласно третьей версии, это могли быть Нидерланды или Эстония, структуры которой также прибегают к услугам компании. Однако относительно Эстонии есть информация, в в этой стране запрещено использовать Pegasus против российских граждан (правда, номер телефона у Тимченко был латвийский).
Помимо этого теоретически атаку (например, по просьбе России) могли осуществить такие страны, как Азербайджан, Узбекистан, Казахстан. Вместе с тем у CitizenLab нет данных о том, что они применяют Pegasus на территории европейских стран.
Конечно, самый очевидный вариант — Россия. Однако прямых доказательств того, что Россия является клиентом компании, нет.
«Слежка за журналистами при помощи таких интрузивных инструментов, как Pegasus, нарушают права человека, Международное гуманитарное право, европейское законодательство. Использование программ, которые обходят шифрование и получают полный контроль над телефоном жертвы, включая доступ к фотографиям, контактам, сообщениям, камере и микрофону, предоставляет реальную угрозу свободе СМИ и журналистов, их возможности защищать конфиденциальность источников, а также ведёт к внутренним и транснациональным репрессиям и многочисленным нарушениям прав человека, включая пытки, насильственные исчезновения и даже убийства», — заявила Жирмонт.
По её словам, представители ООН, Европарламента, Европейского инспектора по защите данных осудили использование шпионского ПО, а американское правительство включило NSO Group и ей подобные компании в список запрещённых организаций.
«Мы призываем ввести полный мораторий на продажу, экспорт, обслуживание шпионского ПО до установления надлежащих гарантий. Мы призываем привлечь компании и их инвесторов к ответственности. Кроме того, компании должны публично заявлять, кто является их клиентами и какие методы сбора и обработки данных они используют. Более того, мы призываем ввести санкции против компании и её сотрудников, а также других компаний, которые разрабатывают шпионское ПО и представляют угрозу миру и безопасности», — заключила Жирмонт.
Помимо этого спикер призвала власти стран (в том числе Латвии и Германии) провести расследование случаев использования ПО и предоставить жертвам слежки механизм защиты.
Также Жирмонт перечислила следующие рекомендации по защите:
обновлять ПО (но нужно помнить, что государства заказывают количество не атак, а атакуемых устройств, поэтому обновления не защищают от возможных взломов в будущем);
сокращать количество чувствительной информации на устройствах;
следить за предупреждениями по безопасности Apple (для iPhone).
Проверить устройство можно, обратившись в службу поддержки Access Now.
Рекомендации технических специалистов «Роскомсвобода» здесь.
Самвел Мартиросян о применении ПО Pegasus в Армении
Сооснователь компании CyberHUB Самвел Мартиросян продолжил тему ПО Pegasus и рассказал об исследовании применения этой программы в Армении. Его результаты показали, что шпионская программа используется не отношении отдельных лиц, а массово:
«Есть примеры, когда в одной редакции заражаются устройства владельца, редактора и рандомного журналиста».
Кроме того, могут заражать устройства членов семьи журналистов.
«Это очень страшно, потому что ты не контролируешь даже свой дом. Может быть, сейчас у твоего ребёнка заражён iPhone, и спецслужбы слушают, о чём говорится вечером», — сказал Мартиросян.
Помимо NSO Group на рынке десятки предложений, и небогатые правительства могут закупать более дешёвые альтернативы. И они могут быть не менее опасны, а в чём-то даже ещё опаснее. Например, Preditor устанавливают не только на телефоны, но и на ноутбуки. А ещё против него не действует перезагрузка телефонов. Рынок растёт, потому что у государств есть спрос на это.
«Государствам сложно избежать искушения, что, заплатив два-три миллиона долларов, они получат контроль над сотнями людей», — считает Мартиросян.
При этом человек заражается, самостоятельно никак этому не способствуя, поэтому кибергигиена здесь не поможет.
«Даже самый внимательный и параноидально ведущий себя человек всё равно может быть заражён», — посетовал эксперт.
По его словам, ужасно и то, что те, кто работают над защитой от угроз, тоже не могут знать все новшества в разработках такого рода ПО и потому — эффективно защищать.
Для защиты спикер всё же дал пользователям следующие рекомендации:
использовать iPhone или Google Pixel как более защищённые;
постоянно обновлять ПО;
включать на iPhone режим «локдауна» (Lockdown Mode, доступен для iOS 16 и выше);
перезагружать устройство несколько раз в день.
Андрей Захаров о «стандартных» примерах слежки
Журналист-расследователь Андрей Захаров привёл «стандартные» примеры слежки (по его словам, ПО Pegasus относится к VIP-взломам). Среди них:
взлом аккаунта WhatsApp редактора Baza Никиты Могутина (у него не было двухфакторной аутентификации);
получение детализации звонков корреспондента The Bell Ирины Панкратовой при помощи дубликата сим-карты;
спам-атаки на журналисток «Важных историй» Алесю Мароховскую и Ирину Долинину;
фишинговые атаки на электронную почту журналистки Светланы Рейтер.
Угрозы удалённого взлома сохраняются для уехавших и России, отметил Захаров. А для журналистов в России добавляется ещё и ситуации задержаний и обысков, когда представители правоохранительных органов требуют пароли, применяя силу.
«Рекомендации, которые даю я или другие эксперты, работают до определённого предела. Сейчас ситуация «мордой в пол» практически ничем не ограничивается», — сказал эксперт.
Поэтому, по его мнению, особенно актуальной является разработка ПО, скрывающих чувствительную информацию. Этим могут заняться программисты. Простым же пользователям, чтобы не ударяться в паранойю, следует помнить о градации рисков (кем-то спецслужбы могут интересоваться менее, кем-то более) и сохранять хотя бы минимальную инфогигиену.
Блокировки VPN-сервисов и правовые ограничения
Станислав Селезнёв о правовой стороне использования VPN-сервисов
В дискуссиях про VPN часто забывают про её исконное значение, напомнил адвокат «Сетевых свобод» Станислав Селезнёв. Речь идёт про обеспечение безопасности соединений, которым озабочены не только обычные граждане, но и банки, корпорации и госучреждения. А обход блокировок — побочная функция VPN-сервисов.
Между тем именно из-за этой функции VPN-сервисы подвергаются блокировкам и санкциям. И если многие крупные уже заблокированы (или их пытались заблокировать), то микросервисы (сети для родных и друзей) пока ещё были вне поля зрения регуляторов и именно к ним могут применить «спящую» статья о штрафах за доступ к запрещённой информации, предполагает Селезнёв.
Адвокат также напомнил о свежем закон он ноября 2023 года, который расширил ст. 153 закона «Об информации» пунктом о том, что дополнительным основанием для блокировки интернет-ресурса является размещение на нём сведений, которые позволяют получить доступ к другой заблокированной информации.
«Значит ли это, что о VPN-сервисах теперь нельзя сообщать? Формулировка позволяет начать преследование за это. Но возникает вопрос, а можно ли сообщать о защите информации, например, на банковской конференции? Мы понимаем, что сама по себе технология не запрещена. Но будут ли привлекать за информацию о ней, будет зависеть от выявившего её лица, то есть от Генпрокуратуры», — заключил Селезнёв.
Он также напомнил, что законы не содержат пункты об ответственности пользователей за обход блокировок или установку VPN-сервисов. В отличие от Туркменистана, Ирана или Китая, где за это есть ответственность.
Фил Кулин о характере блокировок VPN-сервисов в России
Эксперт по анализу блокировок Фил Кулин порассуждал о техническом характере блокировок. Он напомнил о том, что, во-первых, блокировки делаются выборочно. (Следует помнить, что не так много людей, которые проводят тесты, поэтому точной статистики здесь нет.)
Во-вторых, большинство сервисов блокируется по протоколам, а не как сервисы. Микросервисы (как назвал их Селезнёв) пока ещё действительно хорошо работают.
Далее Кулин высказался о том, почему что-то блокируют, а что-то нет. Одна из версий эксперта — VPN-сервисами пользуются предприятия. И когда происходят блокировки по IP-адресам, в том числе нарушается работа этих предприятий. Другая теория — власти хотели блокировать зарубежных провайдеров, но собрать базу не смогли.
«Не понимаю, почему не смогли и смогут ли в будущем. Если не смогут, то проблема блокировать или нет у них будет всегда», — сказал Кулин.
Тем не менее блокировок по ТСПУ будет всё больше, в том числе таких протоколов обфускации, как WireGuard, прогнозирует эксперт.
«При обострении политической ситуации могут прийти к блокировке всего, чего не могут понять. Понимаем — пропускаем, не понимаем — режем», — заключил он.
Алексей Козлюк о блокировках VPN-сервисов в Беларуси
В Беларуси использовать VPN всё ещё можно, рассказал исследователь в сфере цифровых свобод Алексей Козлюк. По законодательству средства обхода блокировок могут заблокировать, но массового характера такая мера не носит. Ответственности за применение VPN для пользователей тоже не предусмотрено.
В 2020 году, когда в Беларуси проходили массовые протесты на фоне президентских выборов, блокировались отдельные протоколы, потом стали блокировать всё. «По крайней мере, мы так оцениваем ситуацию», — сказал Козлюк, отвечая на вопрос модератора.
Сейчас на постоянной основе VPN-протоколы не блокируются, заключил он. Потом в ходе дискуссии спикер предположил, что власти не делают массовые блокировки, чтобы люди не успели к ним адаптироваться.
«Имеет смысл блокировать VPN точечно, чтобы активисты не успели разработать что-то новое», — предположил он.
Mazay Banzaev об AmneziaVPN
Основатель AmneziaVPN Mazay Banzaev согласен с Филом Кулиным в том, что вариант развития событий, когда будет блокироваться весь незнакомый трафик, очень вероятен. А вот отдельные протоколы не будет заблокирован и в стандартных ситуациях будут работать.
«Думаю, в ближайшее время без VPN никто не останется», — завершил он сессию на позитивной ноте.
Прочитать про историю создания AmneziaVPN можно здесь.
Дискуссию экспертов смотрите в видео ниже: