Комментарии 77
Замечательный материал, спасибо.
А наше МВД, в свою очередь, например, не интересуется VDS из Франкфурта, поскольку их адреса заграничные. Их интересует то, что происходит в России, по той причине, что они чётко понимают, что добиться там информации от зарубежной полиции — это очень сложно. Особенно в текущей ситуации отношений, которые, ну, сейчас существуют у нас. Поэтому у нас не было за шесть лет ни одного случая запроса по айпишнику за рубежом.
А вот в Швейцарии я про такое ни разу не слышал, и поэтому наши клиенты часто выбирают ЦОД для своих VDS там.
Похоже, есть некоторые категории, которым надо как раз «в российской юрисдикции»
То есть все остальное выносить куда-то особо и нет смысла…
Но запрашивают не по клиенту (как правило, имя неизвестно), а по конкретному IP адресу, который пока всегда был на территории РФ.
Вот, например, вы сняли детскую порнографию в поддержку Навального
Крайне неудачная шутка, учитывая вашу лицензию в ФСБ (помнится раньше на вашем сайте была целая медаль, теперь видимо постеснялись, заменили).
Потому что практика такая: либо вы ведёте легальный бизнес, либо вылетаете с рынка.
Распространенная позиция "не мы такие, жизнь такая, а кушать хочется". А что делаете вы чтобы ваш бизнес мог легально защищать данные клиентов? Шифрование образов без ключей на вашей стороне? Аналог свидетельства канарейки? Публичное выражение позиции компании относительно защиты персональных данных и в частности против пакета Яровой? Предоставление отгулов сотрудникам для выражения своей гражданской позиции? Будем честны, вам плевать на данные клиентов, как и на самих клиентов (я знаю, я пользовался вашим сервисом).
Нет, не знает, и мы не имеем права о таком сообщать
В этом случае наш юрист даёт отказ по форме, но почти сразу прилетает правильный документ ещё раз — на этот раз с нужной шапкой.
Не знаю насколько это юридически корректно, но логически предположу что если запрос не по форме, получается официального запроса не было и до получения запроса по форме можно законно уведомить клиента о том что предполагаемые мошенники выдают себя за органы и клиент предположительно является их целью?
Местные законы о суверенитете данных слишком хороши для русского человека, чтобы быть правдой. Тем не менее благодаря им, у вас никто не сможет изъять сервер без решения суда — в том числе для поиска доказательств в ходе расследования.
Написано максимально расплывчато и непонятно, но создается впечатление будто хотели написать "демократия штука хорошая, пользуемся, нам очень нравится, но россиянам оно не нужно".
У нас никогда не было лицензии ФСБ. У нас есть лицензия ФСТЭК.
Мы проводим комплекс технических мероприятий, позволяющий сохранить данные клиентов в случае аварии. Мы принципиально не лезем в серверы и в трафик. Мы отдаем клиенту сервер как есть, не меняя ОС, позволяя клиенту, в частности, шифровать свои данные любым нужным ему способом. Все остальное не имеет никакого отношения к сути дела.
Неверно оформленный запрос не даёт нам право и ответственность раскрывать факт расследования в отношении подозреваемого. Более того, мы проводим проверку существования сотрудников и запроса, не по телефонам из запроса, а из открытых источников, убеждаясь, что это не мошенники.
Написано как есть, действительно в Нидерландах все гораздо проще, чем везде, это констатация факта. И наши клиенты вполне имеют возможность заказать себе там серверы.
По третьему пункту нужны пояснения. Неправильно оформленный запрос и не запрос вовсе, кто запрещает его раскрывать?
во-вторых, почему кто то должен информировать клиента о чем то подобном, даже если запрос недействительны. в статье указано, что организация не делает то, чего не должна делать по закону (блокировка без решения суда), даже если «все и так понятно» и очень хотелось бы. считаю справедливой и обратную ситуацию.
Если запрос косячный — не факт что он от реального следователя. Он может быть от злоумышленника. И уведомить о том что некий злоумышленник пытается получить какие-либо доступы к вашему хостингу или вашим данным — было бы вполне нормально. Напоминаю, мы не судим ни клиента, ни автора запроса — мы не можем принимать решение кто прав, нужен единый беспристрастный алгоритм, иначе всю публикацию нужно переделывать =)
2. Никто не говорит, что обязан. Здесь вопрос клиентоориентированности. Предположим есть два хостинг провайдера, полностью идентичных за исключением одного момента: один хостинг-провайдер раскрывает вам информацию о таких запросах, если закон не запрещает её раскрывать, а второй — не раскрывает, т.к. закон не обязывает её раскрывать. Я бы выбрал первого.
Надо всегда помнить кто ваш клиент — арендатор сервера или МВД? — Нужно быть на стороне своего клиента, но строго в рамках закона. Бездействием вы фактически переходите на сторону госструктур, которые по какой-то причине действуют против вашего клиента, который (на минуточку!) до решения суда не является преступником (и не вам его судить, именно такой точки зрения придерживается повествование в статье).
2 — вы рассматриваете процесс с точки зрения честного клиента которого гипотетически пытаются «поломать». статистика же (в том числе из статьи) говорит о том что клиент скорее всего не белый и пушистый и за неправильно оформленным запросом последует корректный
PS. Не сомневаюсь что настолько «клиенториентированные» хостинги существуют, но не уверен что хотел бы с ними сотрудничать
PPS. Раз уж вы дополнили, то и я дополню. Правомерность действия «госструктур, которые по какой-то причине действуют против вашего клиента» определять вы не можете. так что «строго в рамках закона» «Бездействие» это единственный верный вариант.
Как уведомить клиента, так и не уведомлять клиента — оба пути «строго в рамках закона», т.к. ссылок на законы опровергающие это вы так и не привели. Вы просто осознанно выбираете путь бездействия, имея законную возможность действовать.
Ровно это и хотелось выяснить в результате этой дискуссии =)
Вы пишете что клиент это арендатор, а не МВД. Я же считаю что основной клиент юриста — работодатель и в первую очередь должны рассматриваться его интересы. Я почти уверен, что есть клиенты, которых предупредят даже в случае 100% законного запроса, просто об этом говорить никто не будет.
Вы рассматриваете ситуацию с точки зрения что каждый второй запрос от мошенников, а я ссылаюсь на утверждение (в статье), что полностью левые запросы не случались ни разу за 5 лет.
Я ни один путь не выбираю, так как подобные услуги не предоставляю. просто я прекрасно понимаю что бизнес который не «выбрал путь бездействия» обречен. Бизнес это не то место, где нужно проявлять свою гражданскую позицию.
В случае бездействия — допустивший ошибку сотрудник МВД просто её исправит и это не повлечёт для него никаких последствий.
Если же занять позицию действия — то это может серьёзно сказаться на сотруднике допустившем ошибку, и он или другой сотрудник в следующий раз будут действовать в соответствии с законом.
Тут важно понимать, что пока мы мягко отшиваем сотрудников — они расслабляются и привыкают к тому, что если они ошибутся — их поправят и всё будет нормально. И это максимально вредная модель поведения, — сотрудники должны знать законы и за действия не в соответствии с законом должны получать последствия.
Если мы говорим о таких банальных примерах когда просто неправильно оформлена шапка — то скорее всего да, нет никакой проблемы просто скорректировать. Но привыкая спускать с рук косяки — однажды этот сотрудник допустит более значимую ошибку, которая может стоить человеческих жизней (например отправит список свидетелей против мафии по незащищённому каналу, да ещё к тому же и не туда, ну а что тут такого).
Т.е. выбирая путь бездействия в отношении клиента, нужно хотя бы выбирать путь действия в отношении жалоб на некорректные действия сотрудников пишущих такие запросы.
И, главное, я не понимаю как ваша позиция, которую я могу описать только словом подстава, поможет ситуации. никто ведь даже не узнает, что вы инфу слили.
«Лучше оправдать десять виновных чем осудить одного невиновного.»
Если верить интернету, то автор этих слов — Екатери́на II Великая. Довольно авторитетный источник, по моему мнению )
Мне кажется это одна из важных основ правового государства, но конечно я могу и ошибаться — не являюсь специалистом в этом вопросе.
Если мы не используем этот тезис в настройке работы госструктур, то мы можем просто половину страны посадить в тюрьмы — таким образом получится посадить примерно половину всех преступников в стране =) Довольно удобно.
Ну и важно то, что не нам судить. Для этого есть суд. Самосуд запрещён законом уже по самому определению термина «самосуд».
Скажите, а к своим ошибкам вы столь же нетерпимы?
Дайте пожалуйста ссылку на закон, где это прописано.
Я так думаю, это УПК РФ Статья 161. Недопустимость разглашения данных предварительного расследования (и к ней в пару статья 310 УК РФ – наказание).
Если, например, следователь случайно отправил информацию об уголовном деле в СМИ
Часть вторая этой статьи говорит, о том, что следователь может разрешить публиковать всё, что сочтёт нужным. А часть 161.4 говорит, что Запрет на предание гласности данных предварительного расследования не распространяется на сведения, распространенные следователем, дознавателем или прокурором в средствах массовой информации, информационно-телекоммуникационной сети «Интернет» или иным публичным способом;
Приведу пример из жизни: оперативника в Ростове перевели в отдел «К», его первое дело — мошенники, которые украли со счетов нескольких пенсионеров деньги по телефону. Опер не является специалистом в IT и не скрывает этого, наоборот просит помощи и пытается разобраться. Уголовное дело заведено. Пострадавшие лишились значимой для них суммы по доверию. Но полицейский шлёт неверный запрос, да ещё просит заблокировать. Мы проверяем, что отдел есть, полицейский есть, дело есть, но бумага написана коряво. И в вашей логике выйдет, что мы должны передать потенциальному мошеннику информацию о том, что его пытаются поймать. Это минимум не логично даже с человеческой точки зрения, не говоря уже о законе.
Можем конечно на примерах, вот мой пример: допустим некий злоумышленник узнал об уголовном деле (неважно как, он же злоумышленник, взломал компьютер следователя например). Пишет вам бумагу, что дайте пожалуйста все пароли от такого-то сайта, следователь такой-то, отдел такой-то, дело такое-то.
Вы звоните, узнаёте что следователь есть, дело есть и никому ничего не говорите. Хотя человек против которого дело — пока не признан виновным, может быть он белый и пушистый. А его, простите, взломать пытаются, а вы умалчиваете и фактически своим бездействием оказываете содействие настоящему преступнику (если его жертва будет знать, что кто-то пытается получить доступы к его сайту — жертва сможет принять контрмеры, например сменить хостинг-провайдера на более надёжного).
Никаких паролей мы не выдаем, мы их не храним и не можем ничего дать.
Мы можем выдать только установочные данные в отношении клиента, который воспользовался
IP адресом, в указанный промежуток времени в рамках того, что реально о нем знаем.
Есть УПК РФ, в котором есть статья 161, которая четко регламентирует кто и почему
может разглашать тайну следствия.
Подозреваемый в список тех, кто может быть ознакомлен с тайной следствия не входит.
Полиция и другие службы никогда не запрашивает пароли, прослушивание трафика просто на основании запроса своего. Это уже все в рамках расследования уголовных дел, с санкциями суда.
«4. Запрет на предание гласности данных предварительного расследования не распространяется на сведения:
1) о нарушении закона органами государственной власти и их должностными лицами;»
Если запрос составлен с нарушениями закона — вы можете разглашать о нём всю информацию. Разве нет?
И прежде чем вам сообщат тайну следствия — от вас должны получить подписку о неразглашении, как я понимаю согласно той же статье 161. У вас получается одна универсальная подписка о неразглашении на все запросы следователей?
Но оно не влияет на суть самого дела в отношении подозреваемого и не дает права нарушить тайну следствия.
Есть статья 310 УК РФ, по которой лицо, которое предупредило потенциального преступника, может быть привлечено к ответственности.
Да, если он не расписался (к примеру, если письмо не от фельдъегеря) за тайну, формально он и не имеет отношения к тайне. Но в силу служебного положения он ее узнал, воспользовался и предупредил.
В этом случае данного человека можно уже привлечь как пособника в конкретном уголовном деле.
Да, при этом можно будет попытаться привлечь органы за ненадлежащее обеспечение тайны следствия, но вину сотрудника при этом это не отменит.
Сорри за некропост, но в законе нет таких фраз как "ну явно это он, ну видно же".
Некорректный запрос - лесом. А владельцу акка - уведомление, дескать
"на ваше имя такой - то кривой запрос от "полиция индусский принц" с текстом "я император злазменистана, дай 5 баксов на карту я разблокирую миллион и мы поделим, примите меры", кинь сюда"
Не вам ж решать кто прав а кто нет.
И расследование кто грабил бабушек - тоже не вам, не ваша это компетенция. Именно так работает правовое государство.
По такой вашей логике - всех гопников уличных перестрелять надо сразу на месте на основании внешнего вида. "Не ну а что, явно же видно что это гоп да быдло, за борт его да и всё, по морде ж видно (а оно чаще всего так и есть)
практика такая: либо вы ведёте легальный бизнес, либо вылетаете с рынка
… либо бизнес не очень-то легальный, но «нога кого надо нога».
Он арендовал сервер во Франкфурте в Германии. На него пришёл запрос из местной полиции Франкфурта.
т.е. юрисдикция считается по месту проживания(проживания ли?) клиента, а не по месту размещения серверов? Или как это работает?
Ну к примеру я, гражданин россии, находясь в греции, арендовал VDS в нидерландах и раздаю с него адалт контент в США. Чьим полицейским вы готовы раскрыть мою личность\предоставить образ виртуалки?
Суть такова, что мы не работаем по экстерриториальным законам, которые те же штаты продвигают силой.
Если есть запрос, то они должны обратиться по месту жительства, в противном случае любая страна может начать делать что хочет.
А если требование будет прекратить работу сервера или предоставить образ виртуалки?
Ну как-то странно получается, если страна в которой находится виртуалка не может на неё влиять.
Вот и spesso в том-же направлении думает.
Для этого и существуют чёрные списки, блокировки на уровне операторов связи. Не могут заблокировать виртуалку или получить образ, просто на национальном уровне блокируют, США ещё любят использовать спамхаус для этих целей.
А в случае, когда в пределах страны должно быть маски шоу.Я ошибался? В любом случае будет блокировка?
При правильно оформленном обращении и в случае, если мы знаем, что клиент-гражданин США, будет дан ответ, что необходимо обратиться в интерпол и запросить данные именно у США.
Вместе с тем я уже говорил, что нашим органам нет интереса до адресов за рубежом. Они прекрасно понимают, что получить там данные в современных условиях очень сложно. Запросов по таким адресам не припомню просто.
нашим органам нет интереса до адресов за рубежом
Вы, кажется, не поняли вопрос: адрес сервера — в РФ, просто владелец находится в США. Вы утверждаете, что выдадите информацию о сервере только по американскому запросу в таком случае?
Эх, вот в 90е были нормальные маски шоу. Я ещё застал.
гражданину Российской Федерации…
И говорим, что, пожалуйста, обратитесь в Интерпол к нашим коллегам в России.
А зачем вы так активно поясняете как и что им нужно делать? Кто вас за язык тащит?
- Т.е. если я, будучи гражданином РФ и проживающий в РФ, арендовал сервер за рубежом, то я могу там хостить даже самую черную чернуху и мне, и вам за это ничего не будет?
- А если я гражданин РФ, но сейчас проживаю в той стране, где «хостю» чернуху?
Мне кажется юридические аспекты хостинга достойны отдельной статьи.
Если вы гражданин РФ, проживающий в РФ, арендовали сервер за рубежом и совершаете там преступление, то скорее всего к нам обратится местный орган внутренних дел, на что мы им дадим ответ, чтобы обратились в Интерпол, что они и сделают, и мы получим в итоге запрос от нашего МВД. А если при этом вопросы будут к вам и от нашего МВД именно, то они их добавят.
Если вы при этом проживаете в другой стране, но являетесь гражданином РФ, в любом случае все пройдет по пути, описанному выше. Мы не оператор связи, мы не владеем информацией о фактическом местоположении клиента, нам это не нужно, с нас это и не спрашивают.
Если вы гражданин РФ, проживающий в РФ, арендовали сервер за рубежом и совершаете там преступление, то скорее всего к нам обратится местный орган внутренних дел, на что мы им дадим ответ, чтобы обратились в Интерпол, что они и сделают, и мы получим в итоге запрос от нашего МВД.Тут нет ошибки?
А, после третьего прочтения — понял. Местный, вы имеете в виду, по месту преступления. Т.е. зарубежный.
Пример.
Арестовали иностранца в РФ (не гражданина РФ). Он сидит в СИЗО, обращается к консулу, консул должен его вытащить и передать в руки правосудия по месту гражданства уже.
Дальше, в зависимости от двухсторонних договоров, гражданина могут осудить на родине, могут выдать обратно нам. Могут и отпустить. Тут одним правилом не обойтись, штаты вот ловят и сажают по всему миру, считай с ними нет никаких договоренностей твердых.
То есть хотя и сервер за рубежом, и преступление за рубежом, узнать информацию о сервере может только РФ?
А если зеркальная ситуация? Клиент из США, сервер в РФ, преступление в РФ. Вы попросите российские МВД/ФСБ обратиться в США, чтобы уже они прислали вам официальный запрос?
США в принципе не могут послать российскому хостингу официальный запрос, потому что не уполномочены. В статье приведена ссылка на закон, где перечислен полный список тех, кто имеет право сдать запросы (ФСБ, МВД и т. д.), в этом списке органов власти США нет.
Сервер в Германии, преступление в Германии, владелец сервера в РФ — RuVDS утверждает, что в таком случае немецкую полицию пошлют отправлять запрос в РФ, чтобы уже российское МВД направило запрос в RuVDS, чтобы он выдал информацию о немецком сервере. Если это так, то по логике ситуация сервер в РФ, преступление в РФ, владелец сервера в США, RuVDS должны послать российское МВД делать запрос с помощью коллег из США, однако что-то мне подсказывает, что на самом деле в обоих случаях всё будет работать немного не так и где находится сервер важнее, чем где находится его владелец (разумеется, лишь для установления информации о сервере — ловить владельца, очевидно, чисто физически могут только силовые органы страны его проживания).
На вторую часть вопроса — да, именно так.
Помню, когда работал сис-админом, к нам несколько раз приходили «Маски-шоу». В первый раз, если ты не успел сделать копию, силовики забирали все сервера, что находились в серверной и контора оставалась вообще без ИТ-инфраструктуры (относится к малых фирмам, у которых нет денег на бекапы в облаке).
Ещё около 9 % на глаз — это ФСБ и поиск конкретных лиц.
А за политику разве не запрашивают?
вы сняли детскую порнографию в поддержку Навального
*facepalm.jpg*
А если клиент не удаляет контент на который жалуется правообладатель?
Что тогда?
Было, что у клиента есть разрешение на самом деле, он его прикладывал к ответу нам и представителю правообладателя и вопрос был решён.
Такие клиенты понимают, что если не удалят, то даже если мы не заблокируем, скорее заблокирует Роскомнадзор, спамхаус.
Так что здесь сопротивляться нет смысла, пиратов нигде не любят.
Таких случаев в нашей практике ещё не было
но наверняка у вас есть план действий на этот случай
А что будет если клиента (и ваши IP выданные ему) блокирует Роскомндзор (по решению суда допустим).
Клиент удаляет серверы и уходит.
Что с заблокированными адресами? Есть какая то процедура разблокировки IP перед их выдачей новом клиенту?
например, вы сняли детскую порнографию в поддержку Навального
Ну ОК. Где тут черный список?
Более того, в части случаев и непринципиально — если клиент включил шифрование, а ключи не хранит в открытом виде на сервере.
насколько я понимаю, это не панацея: хостер может снять копию виртуальной машины вместе с содержимым памяти и т. п. — то есть можно поднять клон вм с уже смонтированными шифрованными разделами, остаётся только прочитать с них информацию.
Для ФСБ у нас отдельная процедура, но рассказывать о ней мне нельзя.
А в чём проблема?
Ууу, я всё это прочитал) с одной стороны юзер хостинга логичен - являясь покупателем ты всегда хочешь чувствовать себя тем самым покупателем, из забытых времён, который всегда прав. С другой стороны оставлять всех правыми в современном мире - самоубийство бизнеса - времена не те. Ещё с другой стороны органы не лезут на каждый сервер и не смотрят кто чем занимается судя по статье и провайдер тоже является своего рода покупателем и так как это лицо юридическое за какой-то косяк его накажут и оставят без работы, тем более что законы что ГОСТ - это сбор рекомендаций, где хоть какую-то часть, но можно перефразировать. Поэтому не совсем понятно почему провайдер должен юзеру что-то сообщать не связаное с работой хостинга. Автор более того вежливо написал где можно арендовать сервер, что бы не связаться с полисаями. А творить какие-то нарушения и при этом иметь хост у себя же - это как гадить под себя и орать почему никто не убирает
То есть как бы данные они запросить могут, а предоставить по закону мы их не обязаны,
А за отдельную плату? "Не обязаны" - это же не значит что и "не имеете права"...
FAQ про маски-шоу в ЦОДе в юридической практике VDS-хостинга