Привет, Хабр! Вы просили меня рассказать, как будут выглядеть реальные маски-шоу в российском ЦОДе, где вы арендуете VDS. Сразу скажу: чудес не ждите, по правильно оформленному требованию данные будут переданы сразу и без лишних вставаний грудью на защиту. Потому что практика такая: либо вы ведёте легальный бизнес, либо вылетаете с рынка. Но есть нюансы. Мы с нашим юристом сейчас попробуем разобрать основные вопросы.
Как выглядит запрос данных клиента от органов обычно?
Вот, например, вы сняли детскую порнографию в поддержку Навального — и началось расследование по обращению ваших добрых и законопослушных конкурентов. Мы об этом узнаём по официальному письменному запросу. В офис приходит усталый курьер, либо же нам приходит заказное письмо по обычной почте или прилетает каким-нибудь специальным способом, например, фельдъегерем. Если в запросе нет секретных данных, то он обычно дублируется и обычным электронным письмом на адрес типа info@. Уже на этой стадии отсеивается примерно треть приходящих запросов, потому что их надо составлять правильно.
Естественно, мы не знаем (и более того, не хотим знать, это нам невыгодно), что у клиента творится на его VPS. Более того, в части случаев и непринципиально — если клиент включил шифрование, а ключи не хранит в открытом виде на сервере.
Но сам запрос обычно направлен на получение данных о каком-либо конкретном лице (контакты заказчика, история транзакций и так далее), преступную деятельность которого старается пресечь орган.
Почему отсеиваются запросы?
Очень много запросов отсеиваются из-за неверного составления: например, МВД не всегда знает, в какой именно из десятков наших ЦОДов обращаться и в какой он юрисдикции. То есть небольшое количество запросов просто отваливаются, потому что не по адресу или неправильно составлены. Часто пишут в RUVDS (это торговое наименование, а не юрлицо «МТ ФИНАНС»), часто обращаются не к генеральному директору и так далее. В этом случае наш юрист даёт отказ по форме, но почти сразу прилетает правильный документ ещё раз — на этот раз с нужной шапкой.
Таких ситуаций около 30 % от общей массы, но многие возвращаются правильными буквально через несколько дней. Так что, когда читаете трансперенси репорты кого-то, не особо обращайте внимание на процент отказов: это просто вопрос правильного заполнения формы сотрудником ведомства. И он в состоянии отправить второй запрос почти сразу.
Дальше проверяется, что такой запрос действительно был и это не конкурентная разведка. То есть нужно связаться с этим ведомством и спросить, был ли действительно такой запрос. И именно не по телефонам из письма, а идём в Гугл, ищем контакты и звоним. Пока статистика 100 %, но мы продолжаем страховаться. Некоторые удивляются, когда юрист спрашивает к телефону конкретного сотрудника, отправлявшего запрос. Но после объяснения, что если такого нет, то мы обратимся в полицию с целью пресечения мошенничества, обычно соединяют. Для ФСБ у нас отдельная процедура, но рассказывать о ней мне нельзя.
Такие запросы приходят от ФСБ (погранслужбы), ФНС, полиции и других ведомств. Почти все запросы ФСБ сразу корректные, а вот полиция не всегда знает, как они оформляются либо на какое юрлицо писать, — и получает отказы чаще остальных. При этом около 90 % запросов приходят именно от МВД.
Есть пример отклонённого запроса?
Пожалуйста:
Уважаемые господа,
Мы обращаемся к Вам от имени компании _______. (далее – “_____”), корпорации ________, с зарегистрированным адресом __________, _______, _________, ______. _____ является владельцем широкого перечня прав интеллектуальной собственности (далее – «_____»), относящихся к всемирно известным технологическим продуктам и программному обеспечению компании, включая, среди прочего, знаменитый логотип _____, товарные знаки “______”, “________” и многие другие. Права _____ включают также авторские права на официальные изображения продукции и элементы дизайна веб-сайта ______.__. Кроме того, _____ принадлежат Права ИС, охраняющие внешний вид, форму и конфигурацию продуктов компании. Указанные Права ИС охраняются по всему миру в соответствии с национальным и международным законодательством в сфере товарных знаков, патентов и авторских прав.
______ стало известно о нарушении Прав ИС компании на веб-сайте __________ (далее – «Веб-сайт») путем:
– активного использования товарных знаков ______ в материалах сайта;
– использования охраняемых авторским правом официальных изображений продукции ____;
– использования товарных знаков в доменном имени Веб-сайта (далее – «Домен»),
осуществляемых без разрешения правообладателя или его уполномоченных представителей (далее совместно именуемые «Нарушения»).
Указанные Нарушения вызывают серьезную обеспокоенность у _______, поскольку они способствуют формированию у потребителей ложного впечатления о наличии правовой или организационной связи между Веб-сайтом и ______. Использование товарных знаков ______ в Домене также с высокой вероятностью может ввести потребителей в заблуждение относительно того, что Веб-сайт является авторизованным или иным образом связанным с правообладателем.
Мы просим Вас обеспечить немедленное прекращение Нарушений владельцем Веб-сайта. В случае несоблюдения им указанного требования, мы просим Вас заблокировать Веб-сайт. Настоящим мы под страхом наказания за лжесвидетельствование подтверждаем, что:
(1) Мы уполномочены действовать от имени ______,
(2) _____ является владельцем Прав ИС,
(3) Указанные права были нарушены вышеописанными действиями.
Настоящее письмо подтверждает факт Вашей осведомленности об обстоятельствах, свидетельствующих о фактах Нарушений. В связи с тем, что нарушающие материалы размещены на Ваших серверах (в рамках Вашей сети), мы требуем от Вас немедленного и окончательного прекращения Нарушений.
Настоящее письмо является конфиденциальным сообщением, связанным с интеллектуальной собственностью _____, и не подлежит публикации. Письмо не является исчерпывающим описанием фактов или правовых норм, относящихся к предмету сообщения. Ничто в тексте настоящего письма не может расцениваться как отказ ______ от любых своих прав, все из которых безоговорочно сохраняются за компанией.
Если у Вас есть какие-либо вопросы относительно вышеизложенного, пожалуйста, направьте нам ответное письмо.
Правоподтверждающие документы доступны по ссылкам:
С уважением,
Мы обращаемся к Вам от имени компании _______. (далее – “_____”), корпорации ________, с зарегистрированным адресом __________, _______, _________, ______. _____ является владельцем широкого перечня прав интеллектуальной собственности (далее – «_____»), относящихся к всемирно известным технологическим продуктам и программному обеспечению компании, включая, среди прочего, знаменитый логотип _____, товарные знаки “______”, “________” и многие другие. Права _____ включают также авторские права на официальные изображения продукции и элементы дизайна веб-сайта ______.__. Кроме того, _____ принадлежат Права ИС, охраняющие внешний вид, форму и конфигурацию продуктов компании. Указанные Права ИС охраняются по всему миру в соответствии с национальным и международным законодательством в сфере товарных знаков, патентов и авторских прав.
______ стало известно о нарушении Прав ИС компании на веб-сайте __________ (далее – «Веб-сайт») путем:
– активного использования товарных знаков ______ в материалах сайта;
– использования охраняемых авторским правом официальных изображений продукции ____;
– использования товарных знаков в доменном имени Веб-сайта (далее – «Домен»),
осуществляемых без разрешения правообладателя или его уполномоченных представителей (далее совместно именуемые «Нарушения»).
Указанные Нарушения вызывают серьезную обеспокоенность у _______, поскольку они способствуют формированию у потребителей ложного впечатления о наличии правовой или организационной связи между Веб-сайтом и ______. Использование товарных знаков ______ в Домене также с высокой вероятностью может ввести потребителей в заблуждение относительно того, что Веб-сайт является авторизованным или иным образом связанным с правообладателем.
Мы просим Вас обеспечить немедленное прекращение Нарушений владельцем Веб-сайта. В случае несоблюдения им указанного требования, мы просим Вас заблокировать Веб-сайт. Настоящим мы под страхом наказания за лжесвидетельствование подтверждаем, что:
(1) Мы уполномочены действовать от имени ______,
(2) _____ является владельцем Прав ИС,
(3) Указанные права были нарушены вышеописанными действиями.
Настоящее письмо подтверждает факт Вашей осведомленности об обстоятельствах, свидетельствующих о фактах Нарушений. В связи с тем, что нарушающие материалы размещены на Ваших серверах (в рамках Вашей сети), мы требуем от Вас немедленного и окончательного прекращения Нарушений.
Настоящее письмо является конфиденциальным сообщением, связанным с интеллектуальной собственностью _____, и не подлежит публикации. Письмо не является исчерпывающим описанием фактов или правовых норм, относящихся к предмету сообщения. Ничто в тексте настоящего письма не может расцениваться как отказ ______ от любых своих прав, все из которых безоговорочно сохраняются за компанией.
Если у Вас есть какие-либо вопросы относительно вышеизложенного, пожалуйста, направьте нам ответное письмо.
Правоподтверждающие документы доступны по ссылкам:
С уважением,
На основании какого закона вообще обрабатывается запрос?
Основание такого запроса — закон «Об оперативно-розыскной деятельности». Там перечислены организации, которые наделены полномочиями вести оперативно-разыскную деятельность. Это федеральный закон, который действует на территории всей нашей страны. Там перечислены МВД, ФСБ, ФСО, таможенные органы, СВР, ФСИН, ГРУ (только в рамках обеспечения собственной безопасности). Налоговая служба в этот список не входит, однако, есть совместный приказ № 317/ММВ-7-2/481@, который позволяет налоговой получать результаты ОРД напрямую от МВД, и если, к примеру, не ответить налоговой, то вполне быстро придёт уже запрос от МВД. Ну и налоговая не запрашивает каких-либо установочных данных на клиентов, её интересует характер отношений между юридическими лицами, документы, подтверждающие отношения, чтобы понять, что, к примеру, оплаты за сервис можно принять к расходам.
Этим службам мы по закону обязаны отвечать в установленном порядке (кроме случаев, когда дело касается нас — в этом мы можем по 51 статье Конституции отказаться от каких-либо комментариев и ответов на вопросы). Такого, к счастью, тоже у нас не было.
По какой причине приходит такой запрос чаще всего?
Основная причина для запроса — это жалоба на чьи-то мошеннические действия. Соответственно, МВД начинает расследование по мошенничеству с банковскими картами. Таких случаев очень много из Москвы (около трети), много из Краснодара и вообще европейской части России, куда меньше — из-за Урала. Это отдел «К», то есть киберполиция. Суть использования сервера чаще всего — развёрнутая там мини-АТС для звонков мошенников физлицам. Реже — лендинг по продаже наркотиков.
Ещё около 9 % на глаз — это ФСБ и поиск конкретных лиц.
Оставшиеся запросы этого типа — погранслужба, которая запрашивает в связи с импортом-экспортом, они пытаются изыскать доказательства поставок на их серверах.
Знает ли клиент, что его «пробивают» госорганы?
Нет, не знает, и мы не имеем права о таком сообщать — это является тайной следствия. У нас один раз был случай, когда по ошибке ответ на запрос вместо полиции ушёл клиенту. Вот это был очень серьёзный косяк и нас могли бы привлечь за пособничество. В той ситуации мы раскрыли потенциальному преступнику, да, он потенциальный, его никто не осудил, его преступником никто не называет, но он подозреваемый в правонарушении. Мы раскрыли ему сам факт того, что происходит следствие в его отношении. Вы никогда не узнаете, что оператор связи что-то передал по вам правоохранителям до тех пор, пока вам не предъявят это на следствии.
Но, к счастью, тогда клиент уже давно знал, что против его компании возбуждено административное дело, — да и вообще такие вещи становятся известны обычно куда раньше, чем приходят запросы.
Когда запрос отбивается не из-за неверного оформления?
Когда в нём есть требование блокировки. Мы не блокируем по запросу, тем более по запросу МВД в свободной форме. Данные мы должны дать, а вот блокировать — нет. Но при этом мы не тянем с ответом, а объясняем, что не так. В итоге чаще всего из полиции на следующий же день прилетает запрос без требования блокировки по надлежащей форме.
А почему не блокируются клиенты, которые занимаются противоправной деятельностью?
Мы блокируем таких клиентов по решению суда, но не по запросу МВД, например. Потому что без решения суда невозможно определить, что кто-то занимается чем-то незаконным. Решение о блокировке принимает либо суд, либо Роскомнадзор (в форме внесения IP-адреса в свой чёрный список запрещённых адресов) на своём оборудовании, после чего все операторы связи, которые предоставляют доступ в Интернет в российской юрисдикции, в течение суток блокируют доступ ему в автоматическом режиме. Мы про такое можем даже не узнать. У нас такое бывало, когда айпишник нашего клиента попадал в чёрный список Роскомнадзора. Мы узнавали уже об этом от клиента, потому что он на нас наезжал, — из тикета поддержки. Мы проверяли по базам Роскомнадзора, а выяснялось, что там клиент занимается мошенничеством в открытом виде.
Но мы не блокируем до судебного решения. Это не наша компетенция — решать, кто прав, а кто нет. Мы инфраструктура. У нас нельзя нарушать EULA. То есть я как человек был бы очень рад блокировать мошенников, о которых уже понятно, что они разводят стариков на деньги, но как специалист — я придерживаюсь закона.
При этом мы по-человечески понимаем, когда полицейский просит заблокировать при очевидном факте преступной деятельности клиента. Но мы не суд, не можем проверить позицию полиции и потому всегда руководствуемся законом.
А что с хостингами в других юрисдикциях?
Почти в каждой юрисдикции есть аналог пакета Яровой, и данные по клиентам, как правило, запрашивают в автоматическом режиме. Да, в разных странах по-разному, потому что теперь в Европе это регулируется на национальном уровне, а не по ЕС, но так или иначе службы имеют доступ к плюс-минус тем же данным, что и в России. Голосовую связь мы не рассматриваем — мы ею не занимаемся, и так как мы не оператор связи — трафик мы хранить тоже не должны. Вот вы предоставляете сервис на территории Европейского союза. Ваше оборудование устанавливается на сервер, к которому подходит линия местного оператора связи. Оператор связи обеспечивает необходимую информацию о деятельности на данном сервере для спецслужб. Ну, то есть они в автоматическом режиме понимают, что с такого-то IP идёт такая-то деятельность. Этот айпишник принадлежит такой-то компании и в таком-то месте расположен. Сразу собираются все данные об этой компании. Делается автоматический запрос оператору данных о том, что она о нём знает, в базу данных оператора. Если данных хватает, то мы про это даже не узнаём. В Европе данных собирается чуть меньше, в США и Китае — больше всего.
Если данных у спецслужб не хватает, то тогда оператор связи обращается к нам напрямую. У нас был такой случай летом прошлого года в отношении клиента из России, про которого мы точно знали, что он русский. Он указал паспортные данные у себя в личном кабинете. Он арендовал сервер во Франкфурте в Германии. На него пришёл запрос из местной полиции Франкфурта. По существу мы ответили, что, да, IP-адрес арендуется нашей организацией. Он сдаётся в аренду такому-то клиенту, гражданину Российской Федерации. Без имени, без ничего. Никаких установочных данных мы им в этом случае не даём. И говорим, что, пожалуйста, обратитесь в Интерпол к нашим коллегам в России. Когда придёт от России запрос, от русского МВД, от Следственного комитета, им мы выдадим информацию об этом клиенте, поскольку запрос должен быть в нашей русской юрисдикции. Вам мы ничего выдавать не будем.
А наше МВД, в свою очередь, например, не интересуется VDS из Франкфурта, поскольку их адреса заграничные. Их интересует то, что происходит в России, по той причине, что они чётко понимают, что добиться там информации от зарубежной полиции — это очень сложно. Особенно в текущей ситуации отношений, которые, ну, сейчас существуют у нас. Поэтому у нас не было за шесть лет ни одного случая запроса по айпишнику за рубежом.
Буквально пару раз в год приходят запросы по Интерполу. Там нельзя ответить письменно, нужно идти физически и давать показания (объяснения). В процессе общения мы имеем возможность ознакомиться с составом потенциального уголовного дела в отношении клиента. То, что я видел — это подозреваемые в мошенничестве в крупных размерах.
А почему Нидерланды считаются свободной зоной?
Потому что у них варез, адалт и многие другие вещи не являются незаконными.
Местные законы о суверенитете данных слишком хороши для русского человека, чтобы быть правдой. Тем не менее благодаря им, у вас никто не сможет изъять сервер без решения суда — в том числе для поиска доказательств в ходе расследования.
Закон Нидерландов разрешает и то, что запрещено в других странах мира: контент «взрослой» тематики (адалт). В итоге услугами голландских дата-центров пользуются не только веб-мастера, но и те хостинг-провайдеры, которые зарабатывают на продаже абузоустойчивого хостинга — услуги, где вы имеете возможность размещать информацию любого характера и быть спокойным относительно того, что хостинговая компания сможет без предупреждения удалить её при первой же жалобе. В качестве «информации любого характера» может выступать не только адалт, но и варез, фарма, дорвеи, спам. В Голландии размещаются порностудии в онлайн. Там размещаются онлайн-казино. Ну, в общем, всё, что запрещено во всех остальных европейских странах, всё хостится в Голландии.
А были случаи физического изъятия серверов?
У нас конкретно в RUVDS нет, на российском рынке такое бывает. То есть запрашивается не виртуальный образ, а прямо приезжают за оборудованием. Забирают либо жёсткие диски, либо серверы и даже принтеры. А вот в Швейцарии я о таком ни разу не слышал, и поэтому наши клиенты часто выбирают ЦОД для своих VDS там.
Но вообще все истории с физическими маски-шоу — они довольно давние. Из последнего крупного помню споры хозяйствующих субъектов (в Петербурге хостинг делили в результате спора учредителей). Тогда много оборудования было выключено физически, и те, кто не бекапился на другие по географии площадки, конечно, пострадали очень сильно.
От произвола защищает хороший ЦОД. Это чтобы без санкции суда и без серьёзных оснований просто никого не пустили. Все наши ЦОДы, включая российские, как минимум с тремя периметрами физической защиты. Все с камерами. То есть до реального приезда ОМОНа может довести только активное сопротивление действиям полиции. Например, если вы пошлёте на три буквы сотрудника ФСБ, отправившего формальный запрос, а потом ещё и не ответите по существу в установленный срок. Ну или если несколько раз отправите им не то, например, какие-нибудь картинки вместо виртуального образа. В целом это надо быть полным идиотом, чтобы такое делать.
А что с торрентами?
Это не запросы от органов, это запросы от правообладателя. Например, есть Sony Pictures, которая в России не представлена, но имеет тут юридического партнёра, который следит, чтобы фильмы Сони не раздавались пиратами. За год приходит несколько сотен запросов о том, что на ваших серверах хостится пират, примите меры. Мы пересылаем эти запросы непосредственно клиенту хостинга.
Обычно в течение суток клиент всё это удаляет, извиняется, а мы пересылаем это правообладателю. Обычно это всех устраивает.
А налоговые запросы?
Эти запросы стоят особняком, поскольку они не относятся прямо к хостингу. То есть ФНС видит транзакцию за оплату VDS и не может оценить, что это было. Дальше через систему документооборота начинают спрашивать, что это было и как выглядит услуга. Как правило, запросы связаны с обоснованностью принятия расходов. То есть какая-то компания платит нам, условно, 100 тысяч рублей в месяц. Компания, естественно, рассчитывает 1,2 миллиона принять к расходам по итогам года и уменьшить налогооблагаемую базу. Сдаёт декларацию. Платит налоги. Налоговая, например, считает, что наши услуги не должны попадать у них в расходы. Они обращаются к нам с просьбой продемонстрировать договор с этой организацией, выставленные счета, акты сверок, что у нас действительно есть хозяйствующая деятельность между нашими организациями. Также такие запросы связаны с камеральными проверками, с выездными проверками с целью сбора доказательств того, что компании уходят от налогов. Их запросы составляются автоматически, и там не бывает отказов из-за неправильной формы.
А что с адвокатскими запросами?
В нашем праве есть такая штука, адвокатский запрос: это когда адвокат для защиты своего клиента может попросить любые данные. Им мы обычно отказываем, потому что не обязаны предоставлять данные. На моей практике пару раз была попытка на халяву получить данные о конкурентах вместе с образами их дисков. Единственно правильный ответ на такой запрос — «обратитесь в полицию с вашими вопросами, тогда мы им ответим».
То есть как бы данные они запросить могут, а предоставить по закону мы их не обязаны, поскольку адвокаты не относятся к тем, кому мы обязаны давать данные. Как правило, эти адвокатские запросы касаются какого-то юрлица, с которым у запрашивающего хозяйственный спор или другая тяжба.