24 June 2016

«Закон о слежке» показал пугающую некомпетентность законодателей, но объединил IT-бизнес и интернет-сообщество

В Госдуме прошло окончательное голосование по законопроекту Яровой-Озерова (№ 1039149-6 – второе и третье чтение), который представители интернет-общественности окрестили «законом о слежке». Накануне голосования по нему высказались все, кого он тем или иным образом коснётся, и основные характеристики от профессионалов получились примерно такими:

  • Антиконституционен,
  • Регрессивен,
  • Репрессивен,
  • Финансово безумен,
  • Технически невыполним,
  • На практике трудно реализуем.

.

UPD.1:
Что происходило в Госдуме:
Второе чтение законопроекта о тотальной слежке — выступление депутата Гудкова

.

UPD.2
Закон о тотальной слежке за гражданами принят Госдумой

.

UPD.3
Как в третьем чтении в Госдуме обсуждался и принимался закон Яровой о тотальной слежке за населением России

UPD.4
Выложен поименный список депутатов, как они голосовали в итогом чтении за закон о внедрении тотальной слежки за населением России:

.

РАНЕЕ:

По оценке Mail.ru Group, только для неё одной разовые капитальные затраты на реализацию проекта составят $1,2–2 млрд, что примерно в 3 раза выше годовой выручки группы. Выручка Mail.ru Group в 2015 г. составила 36,3 млрд руб. ($592 млн по среднегодовому курсу ЦБ), следует из ее годового отчета. Кроме того, компания ожидает, что ее дополнительные операционные издержки каждый год составят примерно $80–100 млн. Еще $35–40 млн потребуется для доработки программного обеспечения, которое необходимо для хранения пользовательской информации. По оценке экспертов группы, расходы всех российских операторов связи только на внедрение системы хранения данных составят 3,9 трлн руб. Примерно те же деньги потратят и интернет-компании. Представитель «Яндекса» уже в который раз отказался сообщить «Ведомостям», насколько могут вырасти расходы компании. Ранее он говорил, что интернет-компаниям «придется увеличить число серверов и подумать о перестройке внутренней инфраструктуры». Расходы Rambler & Co на реализацию проекта вырастут в 2 раза, сказал источник в компании. Основные затраты – на увеличение мощностей для хранения данных, уточняет он. Конкретные суммы он не приводит.

На доработку информационных систем Mail.ru Group, необходимую для выполнения требований в поправках Яровой, уйдет 3–5 лет, говорится в документе. Проект Яровой предусматривает хранение информации на территории России. Mail.ru Group для этого потребуется дополнительно 4500 стоек в дата-центрах, а таких мощностей в стране нет. Минимальный срок строительства дата-центра такого масштаба составит 3–4 года, раньше этого нормы технически невыполнимы, считает компания. Сейчас в России действительно нет мощностей, которые требуются для хранения всех данных пользователей, подтверждал ранее «Ведомостям» источник в крупном операторе.

Ранее в том же духе высказались представители крупнейших операторов связи, оценившие свои затраты на реализацию законопроекта в триллионы рублей. Если Госдума примет законопроект Ирины Яровой о хранении данных абонентов сотовой связи и пользователей интернета, российские операторы связи станут убыточными и перестанут платить государству налог на прибыль, заявили представители нескольких крупнейших компаний. Представитель «Вымпелкома» оценил создание всей системы сбора, идентификации и хранения информации примерно в 2 трлн руб., а расходы каждого оператора (включая себя) – не менее чем в 200 млрд руб. «Мегафон» предположил, что строительство новых дата-центров обойдется ему в 230 млрд руб. Впрочем, это значительно больше чистой прибыли компании, что означает, что она не сможет платить налог на прибыль. МТС оценила свои затраты на реализацию законопроекта Яровой в 2,2 трлн руб. Это затраты не только на дата-центры, но и на умощнение сетей, создание системы индексации трафика. Представитель МТС Дмитрий Солодовников даже заявил, что в такой ситуации компания не сможет платить налог на прибыль «в течение 100 лет»:

«Учитывая, что наша налоговая прибыль по итогам 2015 г. составила 22,5 млрд руб., а налог на прибыль – 4,5 млрд руб., при таких затратах мы не сможем платить налог на прибыль порядка ста лет, а бюджет недополучит около 450 млрд рублей».

.

Представитель «Вымпелкома» сетует:

«Создание всей системы сбора, идентификации и хранения информации примерно в 2 трлн руб. А расходы каждого оператора составят не менее 200 млрд руб. Поскольку эти расходы не приведут к появлению новых доходов и являются, по сути, неподъемными, то есть вероятность, что «Вымпелком» не будет выплачивать налог на прибыль в течение длительного периода, в результате чего бюджет недополучит 40 млрд руб. налога на прибыль в ближайшие несколько лет. Кроме того, «Вымпелкому» потребуется возместить уплаченный при покупке оборудования НДС, что может составить до 36 млрд руб. В итоге общие потери бюджета со стороны «Вымпелкома» могут составить 76 млрд руб. или примерно 30 млрд руб. в первый год, говорит представитель компании».

.

МТС, «Вымпелком» и «Мегафон» – крупнейшие в России сотовые операторы. Представитель четвертой сотовой компании «Теле2» отказался от комментариев. Так же поступил представитель «Ростелекома». Но ОАО «Гипросвязь», дочерняя компания «Ростелекома», дала свою оценку реализации проекта Яровой. Ежегодные затраты операторов на его реализацию сравнимы с годовыми доходами всей российской отрасли связи, объем которой в 2014 г. составил около 1,5 трлн руб., следует из отчета «Гипросвязи» (есть копия). В случае принятия закона отрасль ждет коллапс, уверен сотрудник крупного оператора.

Директор по связям с общественностью ОАО «Мегафон» Петр Лидов с сожалением констатирует , что понесённые операторами связи убытки лягут на плечи обычных граждан:

«Понятно, что компании могут уйти в жесткий убыток, какой-то минус. Скорее всего, они этого делать не будут и попытаются эти расходы переложить на потребителей для того, чтобы иметь возможность получать прибыль и налоги платить. Тем не менее, освобождаться от налогов они все равно будут, и фактически тогда эти расходы действительно переложатся с государственного бюджета на потребителей для того, чтобы оплатить эту систему.

Никто почему-то не говорит о том, кто с точки зрения бизнеса выигрывает от такого предложения. И если говорить об этих огромных цифрах, которые составляют триллионы рублей, выигрывать действительно будут поставщики оборудования, которые это оборудование будут гипотетически поставлять. Возможно, будет небезынтересно узнать, что в основном это американские компании, соответственно, они будут зарабатывать миллиарды долларов, будут платить деньги в свою юрисдикцию где-то в Соединенных Штатах Америки, а мы здесь будем, значит, недополучать деньги и в бюджет, и, собственно, в виде прибыли.

Второй вопрос, что нас удивляет сильно, — это формат несуществующего диалога. Действительно, депутаты являются профессионалами в области законодательства. Но их сложно заподозрить в профессионализме в области связи. У нас существует, например, уполномоченный по интернету при президенте, господин Клименко. Господин Клименко мог бы, наверное, быть тем человеком, который мог бы эти вопросы подвергнуть обсуждению и учесть мнение всех сторон, потому что на сегодняшний день то, что мы видим, — подобный революционный законопроект — фактически принимается в течение нескольких недель, не давая возможности никому высказаться на его счет, и все это происходит в пожарном порядке.

Еще раз, заметьте, я не хочу сказать, что депутаты — не профессионалы, понятно, они исходят из интересов защиты государства, защиты безопасности государства. Но катастрофические последствия для телеком-отрасли, которая на сегодняшний день является одной из немногих, которая активно растет и развивается, они почему-то не хотят учитывать, при этом активно помогают развиваться американским компаниям».

…Клименко, ау!…

Принятие пакета антитеррористических поправок депутата Яровой не только потребует колоссальных затрат, но и не принесет никакой пользы, отмечает ведущий аналитик Mobile Research Group Эльдар Муртазин:

«Для того чтобы хранить такие объемы информации, нужно строить дата-центры по всей стране. Их нельзя арендовать где-то в Германии, в США, это будет глупо. На строительство таких дата-центров в среднем требуется от года до трех. Это огромные деньги, это триллионы рублей. При этом, если они будут хранить зашифрованную информацию, какой смысл в строительстве? То есть у вас будет информация — точный слепок того, что было в эфире всех операторов: проводных, беспроводных, — не суть важно. Но это не база данных, вы не сможете ориентироваться в этой информации, вы не сможете ее расшифровать. Исходя из этого, получается, это абсолютно бесполезная мера. К сожалению, наши чиновники не понимают самой сути технологий ».

— выделенное жирным шрифтом высказывание так и хочется распечатать на баннере и повесить в зале заседаний Государственной думы, профильных министерствах, а также на въезде в Москву.

Кроме финансового ущерба, поправки Яровой могут привести к тому, что переписку российских граждан смогут читать не только спецслужбы страны, подчеркнул директор Регионального общественного центра интернет-технологий Сергей Гребенников:

«Что касается бизнеса, то для реализации подобных решений необходимо будет изменить все механизмы шифрования, соответственно, необходимо будет понести колоссальные затраты на создание новых механизмов и процедур шифрования. Что хуже — это ответные меры других стран в отношении российских компаний. Например, Китай может ввести аналогичное требование для российских компаний, которые будут обязаны предоставлять правительству Китая, например, ключи от всех программ, которые используются на территории Китая».

.

Зампредседателя комитета Совета Федерации по конституционному законодательству и государственному строительству Людмила Бокова считает, что поправки Яровой-Озерова способствуют финансированию экономик США, Китая и Южной Кореи, подтверждая мнение вышеупомянутого представителя «Мегафона»:

«Операторы связи для исполнения закона должны будут внедрить на своих сетях связи систему «съема» и анализа всего трафика. Эксперты оценивают предполагаемые затраты в 2,2 триллиона рублей. Помимо этих расходов потребуются значительные денежные средства на приобретение у зарубежных производителей дополнительного оборудования, программного обеспечения и глобальную модернизацию сети. В Российской Федерации, к сожалению, на настоящий момент необходимое оборудование и программное обеспечение в большинстве своем не производится. В результате будут профинансированы экономики других стран, таких как Китай, Южная Корея, США».

.

Бокова также отметила, что для хранения содержания переписки, звонков и всего контента, которым обмениваются абоненты, потребует строительства отдельной электростанции:

«Кроме того, потребуются расходы на создание новой, сверхмощной системы хранения (строительство ЦОДов, обеспечение их электроэнергией для кондиционирования и т. д.). По данным специалистов, для того чтобы обеспечить электроэнергией ЦОД с подобным массивом информации, необходимо будет специально для этого построить новую электростанцию».

.

Бокова также подтверждает слова Сергея Гребенникова о том, что требование предоставлять данные для дешифровки сообщений пользователей в корне меняет правила игры с нашими заграничными партнёрами, плюс ко всему, ставит под угрозу нацбезопасность, тайну связи и создает риск утечек конфиденциальной информации:

«Международные стандарты безопасности, использующиеся в настоящий момент в информационных системах в интернете, невозможно односторонне заменить на другие стандарты. При изменении алгоритма возникают угрозы кибербезопасности для бизнеса, граждан, государства, так как создание таких средств доступа — это фактически встраивание заведомой уязвимости в систему. Создание специальных ключей доступа к шифрованию ставит под угрозу национальную безопасность вследствие возможности взлома иностранными разведками», — указала Бокова. Вследствие этого может быть нанесен репутационный и материальный ущерб и российским компаниям, и рядовым гражданам РФ.

Законопроект также противоречит Конституции, так как необоснованно ограничивает права граждан на неприкосновенность частной жизни, личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. «Законопроект серьезно может ограничить указанные конституционные права, так как раскрытие ключей одновременно позволяет перехватывать сообщения всех пользователей интернет-сервиса».

.

Бокова добавила, что введение подобных мер может привести к тому, что другие страны могут предъявить «сходные требования по раскрытию ключей к российским компаниям». Кроме того, требования законопроекта затруднят ведение бизнеса компаниями РФ на международных рынках, так как они распространяются на всех пользователей, а это может нарушать законодательство других стран и международные обязательства РФ. При этом иностранные компании могут отказаться от выполнения данных требований, так как они противоречат законодательству стран, на территории которых они зарегистрированы. Есть вероятность, что иностранные компании могут уклоняться от исполнения наказания, так как они «в большинстве не представлены» на территории РФ. Плюс ко всему, сенатор Бокова не уверена в эффективности репрессивных поправок Яровой-Озерова в деле борьбы с терроризмом и экстремизмом:

«Полагаю, что внедрение данной меры преждевременно и нуждается в тщательной дополнительной проработке с участием широкого круга экспертов. Возможно, в будущем будет найден механизм, который позволит без нарушения прав граждан и давления на добросовестный бизнес противодействовать терроризму и экстремизму».

.

Вице-президент и технический директор MailRu Group Владимир Габриэлян в интервью РБК назвал «Шесть ударов по интернет-отрасли», которые нанесёт закон Яровой-Озерова:

Непомерная дороговизна — для компаний, для государства и для граждан.

Реализация требований, перечисленных в законопроекте (даже в его последней, более мягкой редакции), поставит отрасль на грань выживания.

Госбюджет тоже недосчитается денег. На данный момент в законопроекте указано, что его реализация ничего не будет стоить государству, но в действительности это не так. Сегодня большинство интернет-компаний и операторов являются прибыльными и, соответственно, платят налоги на прибыль. Если закон примут, государство автоматически лишится этих поступлений в бюджет.

Что касается конечных потребителей, то для них вырастут цены на услуги как телефонной, так и интернет-связи.

Невозможность реализации

Законопроект подразумевает, что компании должны начать хранить у себя огромные объемы информации. Размеры хранилищ, которые для этого потребуются, беспрецедентны: все заводы в мире, производящие системы хранения данных, несколько лет подряд должны будут работать исключительно на Россию.

Для установки систем хранения потребуются новые дата-центры. Их в необходимом количестве в России тоже нет: их численность придется увеличить вдвое. Срок строительства дата-центра — три-четыре года. Работа новых дата-центров потребует дополнительных затрат электроэнергии: более полугигаватта дополнительно — примерно столько вырабатывает блок АЭС. В европейской части России этой электроэнергии просто нет. Свободные генерирующие мощности есть в восточной части страны, и логично размещать центры хранения данных ближе к генерации, однако при этом для доставки данных необходимо будет проложить новые каналы связи — по сути, увеличив их количество вдвое.

Согласно последней редакции закона, организаторы распространения информации (то есть интернет-компании) также обязаны передавать ключи, которыми шифруется трафик, в органы, обеспечивающие безопасность страны. Однако все современные методы шифрованного общения подразумевают хранение данных ключей у участников разговора или переписки. Таким образом, компании обязаны отдавать то, чего у них нет.

Огромные инвестиции в экономику. Не в российскую

Как уже говорилось выше, для реализации законопроекта необходима массовая закупка систем хранения на сумму, которая, по оценкам независимых экспертов, составляет более 5 трлн руб. Заказ такого объема загрузит все мощности производителей систем хранения данных на несколько лет вперед. При этом в России нет ни одного производителя таких систем. Соответственно, принятие закона ведет к тому, что российское государство силами бизнеса проспонсирует западные компании и триллионы рублей уйдут прямиком за рубеж.

Понижение конкурентоспособности российских интернет-компаний

Россия — одна из немногих стран в мире, где в национальном сегменте интернета лидируют национальные же компании. Это уникальный феномен, таких стран во всем мире почти нет. Поскольку российский рынок заведомо меньше, чем мировой, отечественным компаниям намного сложнее конкурировать с глобальными игроками в этой области, чем глобальному игроку реинвестировать свою выручку со всего мира в одну конкретную страну. При этом закон ставит российских игроков в заведомо проигрышные условия по сравнению с мировыми: понятно, что глобальные интернет-компании не будут хранить на территории России данные просто потому, что они не присутствуют здесь физически. Получается интересный кейс, когда, например, российский сервис по сравнению с нероссийским сопоставимого уровня будет, во-первых, убыточным, во-вторых, менее интересным для пользователей с точки зрения безопасности.

Утечки данных от мелких операторов

Подробная информация о том, что пользователь делал в интернете, с кем он говорил, записи всех телефонных переговоров — это огромное поле для злоупотреблений и просто подарок для киберпреступников. Чтобы на должном уровне обеспечить безопасность такого массива данных, нужны ресурсы, которые есть лишь у крупных игроков. Более мелкие компании просто не могут себе такого позволить. В результате новый закон может очень быстро привести к ситуации, когда за небольшую сумму можно будет купить записи телефонных разговоров абонентов мелких операторов связи. По сравнению с этим все прежние скандалы, связанные с утечками данных, просто померкнут.

Бесполезность с точки зрения борьбы с терроризмом

На данный момент 40% трафика в интернете зашифровано. Хранить эти 40% трафика бесполезно, потому что расшифровать его невозможно. Даже если российские компании будут вынуждены попытаться передать ключи (которых у них нет), проблему терроризма это не решит. Если злоумышленники будут знать, что все их разговоры записываются и сохраняются, они просто не будут пользоваться российскими сервисами.

Кроме того, никто не мешает субъекту использовать дополнительные системы шифрования данных, которые предоставляют некрупные компании. Есть огромное количество ПО, которое позволяет зашифровать сообщение, и только другой обладатель ключа сможет его расшифровать. Нет никакого единого хранилища ключей, которое позволит расшифровать всю информацию. Таким образом, получается, что законопроект не только вреден с точки зрения финансов, но еще и бесполезен с точки зрения борьбы с терроризмом.

.

Российская ассоциация электронных коммуникаций (РАЭК) выразила свою официальную позицию относительно «закона о слежке» на своём сайте:

Суть отраслевой проблемы, связанной с темой законопроекта

Международные стандарты безопасности, использующиеся в настоящий момент в информационных системах в интернете невозможно односторонне заменить на другие стандарты. Платежные системы, например, обязаны соблюдать PCI DSS, раскрытие ключей автоматически приводит к исключению таких систем из международного обмена.

В большинстве стандартов шифрования хранение пользовательских ключей не предусмотрено, то есть без изменения алгоритма невозможно декодирование сообщений. Например, в современной реализации протокола HTTPS сессионный ключ генерируется с помощью алгоритма Диффи-Хеллман и никогда не пересылается по сети, в следствии чего, даже получив доступ к закрытому ключу сервера, невозможно восстановить сессионные ключи, которые использовались для шифрования пересылаемого контента. Сессионные ключи всех участников процесса обмена сообщениями удаляются сразу после завершения сессии. Для сервисов, использующих соединение непосредственно между пользователями для передачи, хранения или шифрования информации (так называемые p2p-сервисы) не определено понятие оператора и не существует субъекта, обладающего коллекцией ключей, что также ставит под вопрос возможность технического применения данной меры законопроекта.

При изменении же алгоритма возникают угрозы кибербезопасности для бизнеса, граждан, государства, так как создание таких средств доступа — это фактически встраивание заведомой уязвимости в систему.

Создание специальных ключей доступа к шифрованию ставит под угрозу национальную безопасность вследствие возможности взлома иностранными разведками, что подтверждается фактами в прессе о деятельности американских и китайских спецслужб.

Принятие данного законопроекта ставит под угрозу тайну связи и несет огромные риски утечек конфиденциальной информации. В свете последних прецедентов с утечкой в сеть персональных данных граждан Турции и Филиппин, данная инициатива может нанести репутационный и материальный ущерб как российским компаниям, так и рядовым гражданам Российской Федерации. 1.2. Требования Законопроекта необоснованно ограничивают права граждан, установленные ст. 23 Конституции Российской Федерации, согласно которой каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения. Законопроект серьезно ограничивает указанные конституционные права, так как раскрытие ключей одновременно позволяет перехватывать сообщения всех пользователей интернет-сервиса.

При этом данные меры не повлияют на доступность инструментов шифрования для злоумышленников. Стойкое шифрование в настоящий момент доступно любому (например, Signal — проект с открытыми кодом, позволяет осуществлять end-to-end шифрование сообщений https://github.com/WhisperSystems).

Российские компании будут поставлены в неравные условия:

Во-первых, деятельность на международных рынках будет чрезвычайно затруднена, так как действие законопроекта распространяется на всех пользователей, что может нарушать законодательство других стран и международные обязательства РФ (например, конвенцию по автоматизированной обработке ПД).

Во-вторых, иностранные компании могут отказаться от выполнения данных требований, так как они противоречат законодательству стран, где они зарегистрированы, что ухудшит положение российских компаний на внутреннем рынке.

В-третьих, другие государства (например, Китай) могут предъявить сходные требования по раскрытию ключей к российским компаниям.

Выводы и официальная позиция РАЭК по законопроекту:

Как указано в постановлении Конституционного суда Российской Федерации от 26.11.2012 г. № 28-П, Положения ч. 3 ст. 55 Конституции Российской Федерации, рассматриваемые во взаимосвязи с ее статьями 8, 17, 34 и 35, содержат требования, согласно которым все возможные ограничения федеральным законом прав юридических лиц, свободы предпринимательской деятельности и регламентация вопросов их ответственности должны базироваться на общих принципах права, отвечать требованиям справедливости, быть адекватными, соразмерными и необходимыми для защиты конституционно значимых ценностей, в том числе прав и законных интересов других лиц; такие меры допустимы, если они основываются на законе, служат общественным интересам и не являются чрезмерными.

Требования Законопроекта о длительном хранении огромного массива информации потребуют от организаторов распространения информации в сети «Интернет», которыми по факту могут быть признаны любые Интернет-ресурсы, огромных затрат (на строительство дата-центров, иной инфраструктуры и т.п.). Такие расходы могут явиться непосильными как для небольших интернет-проектов, так и для крупных ресурсов, через которые проходит огромное количество информации.

Кроме того, Законопроект создает, по-сути, неравные условия для российских и зарубежных Интернет-сервисов, поскольку возможность применения норм, предлагаемых законопроектом, либо санкций за их неисполнение, к последним вызывает сомнения.

Принятие Законопроекта в текущем его виде может повлечь уход с российского рынка большого количество игроков и общую деградацию Интернет-отрасли. При этом, как указано, выше, депутаты, внесшие Законопроект, не приводят какие-либо обоснования таких серьезных ограничений прав законопослушного бизнеса.

Требования по раскрытию ключей для декодирования сообщений ведет к созданию угроз для безопасности и частной жизни граждан, создает угрозы для бизнеса и ставит российские компании в неравное положение, создает угрозы для национальной безопасности.

При этом, данные меры не повлияют на доступность инструментов шифрования для злоумышленников.

.

Сайт Therunet.com приводит полную версию отчёта о законопроекте с соответствующими скриншотами:

.

Проектная организация ПАО «Ростелеком», которая занимается обслуживанием телекоммуникаций на территории России, оценила сумму расходов операторов, связанных с возможным принятием антитеррористического закона. В распоряжении theRunet оказался документ, содержащий подсчеты, которые понесут операторы в течение трех лет в случае принятия законопроекта.

.

В отчете отмечается, что общий объем информации, который предстоит хранить операторам составит  около 157,5 Эксабайт. При этом за границей примеров подобной практики нет. Совокупные затраты операторов на реализацию требований законопроекта в течение первых трех лет составят около 4 триллионов рублей.

А вот выводы политиков действительно выглядят пугающими (ведь их же кто-то выбирал!). Член комитета Совета Федерации по обороне и безопасности, единоросс Алексей Кондратьев, опроверг заявление операторов о том, что в случае принятия закона они понесут колоссальный ущерб. По его словам, с компаниями сотовой связи по данному вопросу проводились консультации. Кондратьев также отметил, что бюджет можно пополнить из других источников, не преминув упомянуть старую песню времён 30-50-х годов прошлого века о выборе между законностью и безопасностью:

«Нужно определиться, что мы хотим на выходе получить: либо 100-процентную гарантию безопасности граждан, либо каждодневный страх за своих детей, которых вербуют в сети. Наверное, никакие налоговые отчисления не обеспечат безопасности граждан».

.

Всё те же догматы, всё та же спекуляция нашими же детьми, а также риторика которую уже даже бабушки на лавочке редко используют. Порой возникает ощущение, что перед тем, как самораспуститься перед осенними выборами, депутаты просто решили громко хлопнуть двери, оставив своим последователям обязанность разгребать всё, что они успели «наваять».

Спикер Госдумы Сергей Нарышкин высказался примерно в том же духе — он считает, что развитие интернета рано или поздно поставит вопрос о характере развития политической системы:

«Интернет может отобрать часть функций и полномочий у классических форм представительной демократии, парламента в том числе. С помощью интернета все общество может видеть точку зрения какой-либо большой части населения. Это и вопрос развития политической системы: не сегодня, но это ставит вопрос о роли политических партий. Зачем партия, если в интернете можно сконцентрировать мнения большой части общества?»

.

Вообще, конечно, весьма странно противопоставление одной части жизни — политиков, против другой — прогресса. Если политик не видит своего существования в условиях современного мира, то как он решает будущее страны?

Региональный общественный центр интернет технологий (РОЦИТ) во вторник высказал свою официальную позицию относительно законопроекта Яровой-Озерова:

Позиция РОЦИТ по законопроекту «Об установлении дополнительных мер противодействия терроризму и обеспечения общественной безопасности»

В редакцию законопроекта № 1039149-6 ко второму чтению в Государственной Думе в текст законопроекта была внесена поправка, обязывающая «организаторов распространения информации в сети Интернет» предоставлять «уполномоченным органам» средства для декодирования сообщений пользователей, если для их передачи используются те или иные средства шифрования. Также в законопроект вносится требование использования исключительно средств шифрования, сертифицированных уполномоченными органами РФ.

По мнению РОЦИТ, данные поправки являются избыточными для достижения целей общественной безопасности, при этом их принятие создаст серьезные угрозы правам и законным интересам пользователей сети Интернет в части сохранности и конфиденциальности пересылаемой ими информации.

Избыточность поправок заключается в том, что для пересылки обычной пользовательской информации, как правило, не требуется уровень шифрования, сопоставимый с тем, что необходим для защиты государственной тайны, и шифрование «гражданского» трафика является лишь дополнительной защитой от неправомерного доступа к информации со стороны злоумышленников. Тем не менее, уровень данной защиты является достаточным для того, чтобы сильно затруднить неправомерный доступ к информации – к примеру, большинство современных стандартов шифрования в целях безопасности не предусматривают хранения пользовательских ключей. Встраивание же в алгоритм подобных средств доступа фактически означает создание уязвимостей в системе безопасности силами самих разработчиков, что недопустимо с точки зрения защиты конфиденциальности информации граждан. То, что любые уязвимости в системе шифрования будут немедленно использованы злоумышленниками (от групп «гражданских хакеров» до иностранных разведок), уже показывает международная практика. В связи с этим, законопроект фактически предлагает создать условия для нарушения программно-технической безопасности информации граждан – пользователей сети Интернет.

При этом необходимо отметить, что уровень доверия пользователей российского сегмента сети Интернет к действиям любых организаций (в том числе государственных органов) в части предоставления дополнительного доступа к частной информации является весьма низким, так как граждане опасаются злоупотреблений. При этом собственно злоумышленников принятие и реализация ограничивающих поправок не затронет, так как в настоящее время возможность применения стойкого шифрования сообщений, в том числе на основе систем с открытым кодом, доступна любому пользователю – в результате законопроект лишь окажет содействие повышению уровня программно-технической грамотности и защищенности тех, против кого он направлен.

В части обязательной сертификации гражданских средств шифрования следует отметить, что далеко не все массово применяемые в информационном обмене международные средства и стандарты шифрования имеют соответствующую сертификацию в России. Отказ от их использования приведет к чрезвычайным затруднениям международной электронной коммуникации и возможному отключению России от большого количества сервисов, доступных пользователям. Более того, в рамках международного взаимодействия иностранные государства могут в ответном порядке потребовать предоставления ключей шифрования от российских систем, что образует международную угрозу как пользовательской электронной информации, так и государственной безопасности. При потенциальном отказе иностранных субъектов предоставлять ключи шифрования (если они появятся) российским уполномоченным органам не исключена административная блокировка доступа к таким сервисам на территории Российской Федерации, что приведет к росту использования программно-технических средств обхода блокировки со стороны обычных пользователей – то есть к дополнительному росту их популярности.

Позиция РОЦИТ в отношении комментируемых поправок состоит в том, что предлагаемые меры представляют собой угрозу для тайны связи и нарушению неприкосновенности частной жизни граждан, при этом не достигая заявленной цели пресечения подготовки преступлений злоумышленниками с использованием коммуникационных сервисов сети Интернет.

.

Также РОЦИТ опросил активных пользователей интернета, экспертов, представителей связанных с ними отраслей.

Официальная позиция Яндекс:

«Сейчас сложно оценить ни насколько требования законопроекта реализуемы на практике, ни насколько они помогут в достижении целей, ради которых он принимается. Законопроект вводит для интернет-компаний две новые обязанности: хранить все сообщения пользователей до шести месяцев, а также в случае использования кодирования интернет-компании должны предоставлять в правоохранительные органы информацию, необходимую для декодирование электронных сообщений.

При этом остаются неясными следующие вопросы:
— Неясен порядок и объем хранения сообщений пользователей — это будет утверждаться отдельно подзаконными актами правительства.
— Непонятно, что именно понимает законодатель под кодированием, т.к. любая информация, передаваемая в сети, кодируется, в том числе с использованием стандартных интернет-протоколов. Например, когда вы открываете письмо, почтовый клиент выполняет декодирование данных, таких как приложенные к письму фотографии или документы, по стандарту MIME. Что в данном случае требуется предоставлять по закону? Каков порядок предоставления этих данных? Закон этого не объясняет.

С уверенностью можно сказать только одно — затраты интернет-компаний вырастут. Интернет-компаниям придется увеличить число серверов и подумать о перестройке внутренней инфраструктуры. Сокращение сроков хранения данных с 3-х лет до 6 месяцев только снизит дополнительные расходы, но не отменит сам факт новых затрат. Иным образом, бизнес получает какие-то новые обязанности и дополнительные расходы, однако в текущей редакции законопроекта данное регулирование избыточно, поскольку приводит к чрезмерному ограничению прав как бизнеса так и пользователей. Однако приводят ли в итоге эти ограничения к тем целям, о которых говорят авторы законопроекта? Речь идёт об усилении регулирования ради безопасности. Процедуры контроля должны ставить всех в равные условия. В текущем варианте законопроекта равных условий или не будет, или их форсирование заставит кого-то из игроков уйти из России, что негативно повлияет на отрасль».

.

Официальная позиция ПАО “МегаФон”:

«По оценкам МегаФона объем хранения компанией подобной информации в течение трех лет составит более 700 млрд. минут голосовых вызовов, около 50 млрд. текстовых сообщений и примерно 6 млн Тбайт данных. Реализация подобных требований со стороны МегаФон потребует совокупных затрат в размере более 1 400 млрд. рублей (20,8 млрд. долларов США). Указанные затраты в несколько раз превышают годовую выручку МегаФон (не говоря уже про операционную прибыль или планируемые инвестиции), поэтому реализация законодательной инициативы в предложенном виде не возможна.

Сокращение срока хранения содержания коммуникаций до шести месяцев не намного сократит затраты. «Они останутся запредельными, не выполнимыми, сокращение срока хранения содержания лишь снизит затраты на само хранилище, а все остальные расходы останутся на прежнем уровне.

Кроме того, суммы расходов на создание центров обработки данных (ЦОД) значительно превысят чистую прибыль оператора. «Компания будет в налоговом убытке в течение пяти лет, что повлечет налоговые потери бюджета РФ в размере около 10 млрд руб. в год, или 50 млрд руб. за пять лет. Операционные расходы на поддержание работоспособности оборудования сейчас оценить сложно, но это также будут миллиарды рублей ежегодно».

.

Официальная позиция «Вымпелком» (Билайн):

«По предварительным оценкам, расходы на создание систем сбора, идентификации, а также хранения информации в течение полугода обойдутся отрасли примерно в 2 трлн. рублей. При этом на каждого оператора «большой тройки» придется порядка 200 млрд рублей расходов. Такие масштабные инвестиции могут не просто подрубить экономику операторов, но и свести ее в большой ноль. Всю полноту последствий можно будет оценить только когда будут установлены четкие требования к системам и процессу хранения информации. Но уже сейчас очевидно, что принятие законопроекта может привести приведет к замедлению темпов развития сети и к значительному повышению тарифов на услуги связи».

.

Официальная позиция РАЭК:

«Законопроект создает, по сути, неравные условия для российских и зарубежных Интернет-сервисов, поскольку возможность применения норм, предлагаемых законопроектом, либо санкций за их неисполнение, к последним вызывает сомнения.
Принятие Законопроекта в текущем его виде может повлечь уход с российского рынка большого количество игроков и общую деградацию Интернет-отрасли. При этом, как указано, выше, депутаты, внесшие Законопроект, не приводят какие-либо обоснования таких серьезных ограничений прав законопослушного бизнеса.
Требования по раскрытию ключей для декодирования сообщений ведет к созданию угроз для безопасности и частной жизни граждан, создает угрозы для бизнеса и ставит российские компании в неравное положение, создает угрозы для национальной безопасности.
При этом, данные меры не повлияют на доступность инструментов шифрования для злоумышленников».

.

Владимир Габриелян, вице-президент и технический директор Mail.Ru Group:

«Во-первых, законопроект открывает бескрайнее поле для злоупотребления огромным массивом пользовательских данных. Чтобы на должном уровне обеспечить их безопасность, нужны ресурсы, которые есть лишь у крупных игроков. Более мелкие компании просто не могут себе такого позволить. В результате мы придем к ситуации, в которой, например, у мелкого оператора связи можно будет купить (или каким-то другим образом получить) запись разговоров его абонентов.

Во-вторых, передача сертификатов, позволяющих расшифровать трафик, по сути повлечет за собой ограничение тайны переписки сразу всех пользователей (в соответствии с текущим законодательством, ограничение тайны переписки граждан является прерогативой судебных органов, и такое решение может быть вынесено только в отношении конкретного человека).

Наконец, необходимость соблюдать данный закон повлечет для операторов связи и интернет-компаний огромные расходы, связанные с необходимостью закупать и устанавливать оборудование, которое обеспечит возможность хранения данных. Конечно, первым в результате пострадает именно бизнес – он лишится прибыли. Однако негативные последствия будут и для пользователей, которым придется больше платить за услуги связи, и для бюджета, так налогооблагаемая прибыль уменьшится. При этом расходы пойдут совсем не в российскую экономику».

.

Дмитрий Мариничев, российский предприниматель, интернет-омбудсмен, член экспертного совета “Агентства стратегических инициатив” и генерального совета “Деловой России”:

«Я думаю нужно перевести депутатам смысл закона на понятное просторечие, чтобы они начали понимать за что будут голосовать.

Итак, требование хранить весь трафик в течение трех лет. Это значит, что есть у пастуха стадо коров. Он его пасёт. А тут раз и закон от барина прилетает: “А теперь на каждом лугу нужно сделать точную копию из глины каждой коровы”. Он в ответ: “Да у нас в деревне скульптура нет. Только кузнец. Как делать? Кому? Мастера из заграницы выписать? Да это не коров пасти, а коровью терракотовую армию создавать. Вы уж решите. Вам мясо и молоко или высокое искусство от ковбоя?”

Требование по раскрытию ключей для декодирования сообщений.
Это значит, что законом нас обязали оставлять ключи от квартиры, где деньги лежат, под ковриком. Потому что закон вроде как о том, чтобы квартирных краж не было, и воры несли суровое наказание. Так действительно, зачем ворам усложнять жизнь и чинить препятствия? На испуг возьмём. И сами все двери откроем. И ещё расскажем где что плохо лежит».

.

Сергей Гребенников, директор РОЦИТ:

«Предлагаемые меры представляют собой угрозу для тайны связи и нарушению неприкосновенности частной жизни граждан, при этом не достигая заявленной цели пресечения подготовки преступлений злоумышленниками с использованием коммуникационных сервисов сети Интернет».

.

Артем Козлюк, член правления РОЦИТ, руководитель «РосКомСвободы»:

«Несмотря на то, что в новом тексте ко второму чтению был снижен срок хранения непосредственно тел переписок, звонков и сообщений с 3 лет до полугода, это по сути ситуацию не меняет: в любом случае для отрасли это триллионные затраты, которые будут перекладываться на плечи самих граждан. Не говоря уже о нарушении самих конституционных норм по тайне переписки и доступу к личным данным.

Также стоит не забывать, что по хранению самих метаданных по-прежнему оставлен срок в 3 года и это также несет большие нагрузки и на интернет-сервисы и на операторов связи.

Кроме этого, вводится обязанность интернет-сервисов предоставлять госорганам в том или ином виде ключи дешифрации пользовательского трафика, что, конечно же, неприемлемо ни для самих айти-компаний, которые будут нести существенные репутационные риски, ни для пользователей, чья тайна связи опять же будет в прямом виде нарушаться.

Также хотелось бы отметить 2 существенных момента, которые легко прогнозируются в ходе правоприменения таких норм, если они будут приняты:
1) Денежный поток по закупке соответствующего оборудования для хранения такого огромного массива данных будут перетекать из отечественной отрасли западным кампаниям, которые будут их поставлять. Неужели депутат Госдумы хотят наладить такой переток средств из России и отечественной экономики в другие страны?
2) Практически на 100% возникает риск утечек данных пользователей, их переписок, звонков, взаимодействий на черный рынок, путем внедрения такого огромного количества банков данных с очень ценной информацией для злоумышленников. Мы регулярно видим, как утекают на черный рынок базы данных, в т.ч. и из государственных источников, так что нет никакой гарантии, что и собираемые в таком огромном объеме данные и метаданные пользователей не будут так же гулять среди разного рода мошенников и аферистов. Также вполне может так случится, что их просто кто-то выложит в открытый доступ.
Декларируется, что законопроект направлен на защиту общества от терроризма и экстремизма, но по факту он сделает беззащитными всех граждан России, кто осуществляет коммуникации в сетевом пространстве перед всеми преступниками».

.

Артём Козлюк, являющийся также руководителем общественной организации «Роскомсвобода» дал интервью «Медузе» относительно инициатив Озерова и Яровой:

«Даже неловко упоминать о том, что эти поправки нарушают Конституцию — право на свободу слова, неприкосновенность переписки, — прикрываясь заботой об общественной безопасности и необходимостью борьбы с терроризмом.

Поправки предлагают хранение переписки и персональных данных граждан, тотальную слежку за каждым. Сейчас возможность доступа к нашим письмам можно получить только по решению суда. Теперь все (текстовые сообщения, голосовая информация, изображения, звуки, видео, метаданные, звонки, смс) будет собираться и храниться, а потом по неизвестным процедурам компетентные органы будут иметь к этому доступ. Мы все окажемся под микроскопом в кармане у Большого брата.

Можно сказать, что это тот же «Патриотический акт» ( федеральный закон, принятый в 2001 году в США после терактов 11 сентября — его секретная часть давала Агентству национальной безопасности право на массовую прослушку граждан по всему миру — прим. «Медузы» ), но только все делается в открытую.

Теперь данные должны будут хранить все сервисы, позволяющие обмениваться информацией. Их будут вносить в реестр организаторов обмена информацией. Этот реестр был введен тогда же, когда появился реестр блогеров, его ведет Роскомнадзор ( соответствующий закон приняли в мае 2014 года, он обязал регистрироваться в Роскомнадзоре всех блогеров с посещаемостью больше 3000 посетителей в сутки — прим. «Медузы» ). Реестр организаторов обмена информацией медленно наполнялся, но ничего существенного с ним не происходило. Теперь участники реестра будут обязаны по три года хранить метаданные ( данные о пользователе, номере его телефона, геолокации в момент отправления сообщения и проч. — прим. «Медузы» ) и полгода само «тело» — звонки, переписку, весь трафик. То есть должны будут появиться круги хранения у самих интернет-компаний из реестра ( с августа 2014 года интернет-компании обязаны в течение полугода хранить метаданные пользователей, но не содержание переписки — «Медуза» ).

О затратах на хранение таких объемов информации сложно говорить, но это триллионы рублей. Это большие затраты, которые вряд ли будут оплачены из государственного бюджета. А если и будут, все равно это деньги из наших налогов. Но скорее всего нет — значит, интернет-сервисам придется поднимать стоимость своих услуг.

Нужно понимать, что есть большой риск утечки таких массивов данных. Мы регулярно сталкиваемся с тем, что продаются государственные базы ГИБДД, к примеру. Я гарантирую, что на черном рынке появятся сливы данных сервисов, которые хранили все эти переписки и наше взаимодействие в сети.

Помимо хранения поправки предлагают полную дешифрацию всех сообщений пользователей. Так они хотят де-юре. Де-факто вопрос будет зависеть непосредственно от сервиса, к которому поступит запрос от спецслужб.

У меня есть предположение, что [властям] нужно просто срочно внедрить посыл: мы постоянно думаем про дешифрацию. Потом они начнут наращивать этот посыл, принимая новые законопроекты и подзаконные акты, которые прояснят порядок того, как, кто и каким образом будет передавать ключи шифрования.

То, что они примут [в этих поправках], — это неработающая тема. Сложно представить, чтобы хоть какая-то крупная компания снизила свою криптоустойчивость, чтобы наши спецслужбы смогли получить доступ к дешифровке информации. Если они начнут осуществлять дешифровку, то поставят под угрозу не только российских пользователей, но и жителей других государств, с которыми они общаются. Сложно представить, что на это пойдут Google, Apple, WhatsApp, Telegram.

Все по-разному осуществляют метод шифрования. У WhatsApp — это технология end2end: на конечных устройствах создаются ключи, и только пользователи ими владеют (компания в любом случае не смогла бы их передать). Telergam хранит ключи централизованно, но создатель сервиса Павел Дуров неоднократно говорил, что не станет ими делиться.

Раз эти поправки не будут работать, они внесут новые. Сервисы, отказывающиеся передавать ключи, попадут под ограничения на территории России. Такое, кстати, уже есть в законе о переносе персональных данных на территорию России. В нем указано, что Роскомнадзор имеет право заблокировать в России те сервисы, которые отказываются это делать. По факту этого не происходит — закон неисполним. Ведутся только бесконечные переговоры с Google и Facebook. И нет никакого результата с сентября 2015 года.

Можно предполагать, что появятся нормы, предполагающие блокировки сервисов. Но что это значит? Если, например, Telegram откажется предоставлять ключи шифрования, то IP-адреса его серверов внесут под блокировку в очередной реестр. Но, используя простейшие технические средства (VPN), пользователи смогут сервисом пользоваться.

Уверен, что ни один из иностранных сервисов не пойдет на такое сотрудничество со спецслужбами. Иначе их просто в мире не поймут ( представитель Rambler& Co Матвей Алексеев заявил , что компания не видит в передаче информации спецслужбам ничего плохого; в «Яндексе» считают, что поправки приведут к «чрезмерному ограничению прав как бизнеса, так и пользователей» — прим. «Медузы» ). По факту эти нормы будут исполнять только отечественные сервисы. Тем самым законодатели ставят отечественные IT-компании в невыгодное положение по сравнению с иностранными, которые окажутся более защищенными.

Весь посыл этих поправок — очень грустный. С хранением данных уже ничего не попишешь — будут хранить. Или это будут выполнять, или просто у оператора отберут документы на деятельность. Про дешифровку я более оптимистичен. Мы все продолжим пользоваться мессенджерами, даже если их сервера внесут в некие реестры».

Ранее в прессе сообщалось о внесении поправок в законопроект Яровой-Озерова, исключающие не менее кошмарные инициативы по лишению гражданства, а также запрете на выезд из России граждан, которых всего лишь подозревают в экстремизме, но вот поправки, касающиеся интернета, пока ещё остаются в законопроекте, и их судьба будет решена уже сегодня. Надеемся, всё-таки здравый смысл победит некомпетентность.

Хронология внедрения законопроекта о тотальной слежке:

Новый законопроект о тотальной слежке за пользователями с обязанностью операторов и сервисов хранить переписку и звонки граждан 3 года

«Антиэкстремистский» законопроект, вводящий тотальную слежку, готовится к первому чтению в Госдуме

Законопроект Яровой-Озерова по трёхлетней слежке за интернет-пользователями взвинтит цены на услуги связи

Угроза информационной безопасности: СПЧ выступил против «антиэкстремистского» законопроекта Яровой-Озерова

РАЭК: законопроект Яровой-Озерова о тотальной слежке чреват общей деградацией интернет-отрасли в России

Комитет Госдумы одобрил «антитеррористический» законопроект о тотальной прослушке и слежке за пользователями

«Создание тотальной слежки за населением»: Депутаты в первом чтении обсудили «антитеррористический» законопроект Яровой (видео обсуждения и результаты голосования)

«Исполнить нельзя отменить»: Роскомнадзор считает неисполнимым закон о хранении всех звонков и переписки граждан

Общественная кампания против слежки — #1984LIVE

Экспертный совет при Правительстве РФ призвал остановить внедрение неисполнимых норм о хранении всей переписки граждан

Без переписки и звонков: из Совета Федерации поступили смягчающие поправки в законопроект Яровой о тотальной слежке

Штрафы за отказ передавать ключи шифрования в ФСБ. Внесены ужесточающие поправки в законопроект о тотальной слежке

Заявления с подписями граждан против законопроекта о тотальной слежке переданы в Госдуму, Правительство и Минкомсвязь

В Госдуме принимают законопроект о тотальной слежке. IT-отрасль и общество консолидированно выступают против

_____

Contacts

For general questions

[email protected]

For legal questions

[email protected]

Contacts for media:

Telegram: moi_fee
Signal: moi_fee.13

18+

On December 23, 2022, the Ministry of Justice included Roskomsvoboda in the register of unregistered public associations performing the functions of a foreign agent. We disagree with this decision and are appealing it in court.