Летом 2019 года ФСБ разослала крупнейшим российским интернет-сервисам письма с требованием установить оборудование, позволяющее сотрудникам спецслужб получить круглосуточный доступ к данным пользователей. Такое право спецслужбе дает «закон Яровой», но требования к интернет-сервисам ФСБ начала выдвигать только прошлым летом.

Что случилось?

Летом 2019 года российские интернет-сервисы, включенные в реестр операторов распространения информации (ОРИ), получили письма из ФСБ с требованием установить оборудование, дающее сотрудникам спецслужбы круглосуточный онлайн-доступ к их информационным системам и ключи для дешифровки переписки пользователей, рассказали The Bell три источника в интернет-компаниях. Сервисы, включенные в реестр ОРИ, обязаны предоставлять данные пользователей ФСБ по требованию «закона Яровой». В случае неисполнения требований им грозит блокировка.

Вечером во вторник о письмах, поступивших в интернет-сервисы летом 2019  года, также сообщила «Медуза».

Роскомнадзор ведет реестр ОРИ с 2015 года, сейчас в нем 202 участника. В реестр включаются интернет-сервисы, позволяющие пользователям обмениваться сообщениями. Сейчас в нем есть, например, сервисы «Яндекса», Mail.Ru Group,  Telegram, «Сбербанк-онлайн», Avito. Сервисов Google и Facebook (в том числе WhatsApp) в реестре нет. Как пояснял глава Роскомнадзора Александр Жаров, компании попадают в реестр после того, как правоохранительные органы для тех или иных целей запрашивают их контакты.

«До прошлого лета реестром никто не занимался, и никаких действий по нему не предпринималось. Мы в нем давно, но от нас ничего не требовали», — говорит один из собеседников The Bell. Получив письмо, он попробовал проверить соседние идентификационные номера заказных писем с помощью трекера на сайте «Почты России» и удостоверился, что отправленные в тот же день письма из Центра оперативно-технических мероприятий ФСБ получили десятки компаний, входящих в реестр ОРИ, — например, управляющая сервисом Avito компания «КЕХ-екоммерц».

В «Яндексе», Mail.Ru Group, «Рамблере» и Avito отказались от комментариев. В ФСБ на запрос The Bell не ответили.

Чего хочет ФСБ

Письмо было подписано сотрудником ФСБ М.Ю. Михайловым. По данным РБК, Михаил Михайлов — начальник 12-го центра ФСБ, курирующего в том числе систему прослушки и контроля переписки СОРМ. В публичном пространстве Михайлов представляется «начальником Центра ФСБ России». В письме он указывает, что решением директора ФСБ органом для взаимодействия с участниками реестра ОРИ выбран Центр оперативно-технических мероприятий ФСБ. Именно это подразделение указывалось в приказе ФСБ о раскрытии ключей шифрования мессенджеров.

Со ссылкой на законы и подзаконные акты, принятые для реализации «закона Яровой», Михайлов сообщает адресатам о необходимости:

• разработки и согласования плана установки на их системах оборудования, необходимого для решения задач органов безопасности или оперативно-разыскной деятельности;
• организации круглосуточного удаленного доступа Центра ФСБ к информационной системе организации-адресата;
• срочного предоставления Центру информации, необходимой для дешифровки сообщений пользователей интернет-сервисов адресата.

В письме были указаны имя уполномоченного представителя ФСБ и круглосуточный телефонный номер дежурного для взаимодействия с участниками реестра ОРИ. Рабочие встречи предлагалось проводить в приемной ФСБ на Кузнецком мосту, 22, либо в офисе организации-адресата. Адресатам напоминали о пункте правил взаимодействия операторов распространения информации со спецслужбами, запрещающем разглашать информацию об этом взаимодействии.

Законно ли это?

Да. Утвержденные правительством еще в 2014 году правила взаимодействия организаторов распространения информации со спецслужбами обязывают их предоставлять информацию ФСБ. Согласно разъяснениям Минкомсвязи к «закону Яровой», опубликованным в феврале 2018 года Минкомсвязи, участники реестра ОРИ обязаны предоставлять ФСБ персональные данные пользователя (логин, настоящие имя и фамилию, паспортные данные, адрес проживания, прописки, список языков, которыми владеет пользователь, его круг общения, данные учетных записей в других сервисах, IP-адрес), переписку пользователей, файлы, которыми они обмениваются, записи аудиоразговоров и данные об их платежах.

Требования соответствуют тому, что прописано в пакете Яровой, «закону о блогерах» 97 ФЗ и требованиям СОРМ-3, которые возлагаются и на участников реестра ОРИ, говорит юрист организации «Роскомсвобода» Саркис Дарбинян. Но проблема в том, что критериев для того, чтобы признать сервис ОРИ, как таковых нет: только возможность межпользовательского взаимодействия, отмечает он. Это значит, что если сайт позволяет отправлять и принимать сообщения — даже если это коммуникация между администрацией и пользователями — он может быть внесен в реестр. ФСБ принимает эти решения без очевидной логики, только в привязке к своим нуждам: сейчас в реестре есть и психологический диспансер, и детские сады, говорит Дарбинян. Насколько ему известно, некоторые сервисы из реестра ОРИ уже подключили необходимое оборудование и начали исполнять требование ФСБ.

Передаются ли эти данные уже сейчас?

Источник The Bell в компании, входящей в реестр, говорит, что взаимодействие интернет-компаний с ФСБ уже идет, как минимум часть интернет-компаний установили необходимое оборудование. «Спецслужбы за наш счет поставили инфраструктуру и уже могут получать существенную часть данных  наших сервисов», — говорит он.

В ноябре 2019 года участники реестра ОРИ получили еще одно письмо — с приглашением встретиться на Лубянке для разъяснений тем, кто еще не поставил оборудование, говорит собеседник The Bell. Он слышал и о том, как два сотрудника ФСБ сами приезжали в офис онлайн-сервиса, после чего тот установил необходимое оборудование. «Ставили те, у кого не было выбора, у кого все оборудование и товарные знаки в России», — говорит он.

Аналогичные требования закон устанавливает к операторам связи, интернет-провайдерам и владельцам дата-центров. На их сетях уже давно установлено оборудование системы СОРМ-2, которое позволяет спецслужбам отслеживать в онлайн-режиме интернет-активность пользователей и читать их переписку.

Летом 2019 году РБК сообщал, что сотрудники ФСБ выставили «Яндексу» более детальное требование — предоставлять сессионные ключи для сервисов «Яндекс.Почта» и «Яндекс.Диск», которые генерируются заново каждый раз, когда пользователь входит в систему. Тогда «Яндекс», по данным РБК, отказался выполнять требование, сочтя его чрезмерным. Чем закончилась эта история, The Bell выяснить не удалось.

Что мне с этого?

Европейский суд по правам человека и так признал Россию страной с нетаргетированной слежкой — но теперь ситуация становится только хуже, говорит Дарбинян из «Роскомсвободы». «Кто и как будет получать информацию о пользователе у сотовых операторов, а теперь — и от участников реестра ОРИ, — одному богу известно. Все это означает полный крах приватности, если вы пользуетесь незашифрованными сервисами. Но, даже если сервисы зашифрованы, но исполняют закон и передают сессионные ключи ФСБ, их пользователи оказываются в аналогичной ситуации», — предупреждает он.