ФСБ потребовала от интернет-сервисов онлайн-доступ к данным и переписке пользователей
Летом 2019 года ФСБ разослала крупнейшим российским интернет-сервисам письма с требованием установить оборудование, позволяющее сотрудникам спецслужб получить круглосуточный доступ к данным пользователей. Такое право спецслужбе дает «закон Яровой», но требования к интернет-сервисам ФСБ начала выдвигать только прошлым летом.
Что случилось?
Летом 2019 года российские интернет-сервисы, включенные в реестр операторов распространения информации (ОРИ), получили письма из ФСБ с требованием установить оборудование, дающее сотрудникам спецслужбы круглосуточный онлайн-доступ к их информационным системам и ключи для дешифровки переписки пользователей, рассказали The Bell три источника в интернет-компаниях. Сервисы, включенные в реестр ОРИ, обязаны предоставлять данные пользователей ФСБ по требованию «закона Яровой». В случае неисполнения требований им грозит блокировка.
Вечером во вторник о письмах, поступивших в интернет-сервисы летом 2019 года, также сообщила «Медуза».
Роскомнадзор ведет реестр ОРИ с 2015 года, сейчас в нем 202 участника. В реестр включаются интернет-сервисы, позволяющие пользователям обмениваться сообщениями. Сейчас в нем есть, например, сервисы «Яндекса», Mail.Ru Group, Telegram, «Сбербанк-онлайн», Avito. Сервисов Google и Facebook (в том числе WhatsApp) в реестре нет. Как пояснял глава Роскомнадзора Александр Жаров, компании попадают в реестр после того, как правоохранительные органы для тех или иных целей запрашивают их контакты.
«До прошлого лета реестром никто не занимался, и никаких действий по нему не предпринималось. Мы в нем давно, но от нас ничего не требовали», — говорит один из собеседников The Bell. Получив письмо, он попробовал проверить соседние идентификационные номера заказных писем с помощью трекера на сайте «Почты России» и удостоверился, что отправленные в тот же день письма из Центра оперативно-технических мероприятий ФСБ получили десятки компаний, входящих в реестр ОРИ, — например, управляющая сервисом Avito компания «КЕХ-екоммерц».
В «Яндексе», Mail.Ru Group, «Рамблере» и Avito отказались от комментариев. В ФСБ на запрос The Bell не ответили.
Чего хочет ФСБ
Письмо было подписано сотрудником ФСБ М.Ю. Михайловым. По данным РБК, Михаил Михайлов — начальник 12-го центра ФСБ, курирующего в том числе систему прослушки и контроля переписки СОРМ. В публичном пространстве Михайлов представляется «начальником Центра ФСБ России». В письме он указывает, что решением директора ФСБ органом для взаимодействия с участниками реестра ОРИ выбран Центр оперативно-технических мероприятий ФСБ. Именно это подразделение указывалось в приказе ФСБ о раскрытии ключей шифрования мессенджеров.
Со ссылкой на законы и подзаконные акты, принятые для реализации «закона Яровой», Михайлов сообщает адресатам о необходимости:
- разработки и согласования плана установки на их системах оборудования, необходимого для решения задач органов безопасности или оперативно-разыскной деятельности;
- организации круглосуточного удаленного доступа Центра ФСБ к информационной системе организации-адресата;
- срочного предоставления Центру информации, необходимой для дешифровки сообщений пользователей интернет-сервисов адресата.
В письме были указаны имя уполномоченного представителя ФСБ и круглосуточный телефонный номер дежурного для взаимодействия с участниками реестра ОРИ. Рабочие встречи предлагалось проводить в приемной ФСБ на Кузнецком мосту, 22, либо в офисе организации-адресата. Адресатам напоминали о пункте правил взаимодействия операторов распространения информации со спецслужбами, запрещающем разглашать информацию об этом взаимодействии.
Законно ли это?
Да. Утвержденные правительством еще в 2014 году правила взаимодействия организаторов распространения информации со спецслужбами обязывают их предоставлять информацию ФСБ. Согласно разъяснениям Минкомсвязи к «закону Яровой», опубликованным в феврале 2018 года Минкомсвязи, участники реестра ОРИ обязаны предоставлять ФСБ персональные данные пользователя (логин, настоящие имя и фамилию, паспортные данные, адрес проживания, прописки, список языков, которыми владеет пользователь, его круг общения, данные учетных записей в других сервисах, IP-адрес), переписку пользователей, файлы, которыми они обмениваются, записи аудиоразговоров и данные об их платежах.
Требования соответствуют тому, что прописано в пакете Яровой, «закону о блогерах» 97 ФЗ и требованиям СОРМ-3, которые возлагаются и на участников реестра ОРИ, говорит юрист организации «Роскомсвобода» Саркис Дарбинян. Но проблема в том, что критериев для того, чтобы признать сервис ОРИ, как таковых нет: только возможность межпользовательского взаимодействия, отмечает он. Это значит, что если сайт позволяет отправлять и принимать сообщения — даже если это коммуникация между администрацией и пользователями — он может быть внесен в реестр. ФСБ принимает эти решения без очевидной логики, только в привязке к своим нуждам: сейчас в реестре есть и психологический диспансер, и детские сады, говорит Дарбинян. Насколько ему известно, некоторые сервисы из реестра ОРИ уже подключили необходимое оборудование и начали исполнять требование ФСБ.
Передаются ли эти данные уже сейчас?
Источник The Bell в компании, входящей в реестр, говорит, что взаимодействие интернет-компаний с ФСБ уже идет, как минимум часть интернет-компаний установили необходимое оборудование. «Спецслужбы за наш счет поставили инфраструктуру и уже могут получать существенную часть данных наших сервисов», — говорит он.
В ноябре 2019 года участники реестра ОРИ получили еще одно письмо — с приглашением встретиться на Лубянке для разъяснений тем, кто еще не поставил оборудование, говорит собеседник The Bell. Он слышал и о том, как два сотрудника ФСБ сами приезжали в офис онлайн-сервиса, после чего тот установил необходимое оборудование. «Ставили те, у кого не было выбора, у кого все оборудование и товарные знаки в России», — говорит он.
Аналогичные требования закон устанавливает к операторам связи, интернет-провайдерам и владельцам дата-центров. На их сетях уже давно установлено оборудование системы СОРМ-2, которое позволяет спецслужбам отслеживать в онлайн-режиме интернет-активность пользователей и читать их переписку.
Летом 2019 году РБК сообщал, что сотрудники ФСБ выставили «Яндексу» более детальное требование — предоставлять сессионные ключи для сервисов «Яндекс.Почта» и «Яндекс.Диск», которые генерируются заново каждый раз, когда пользователь входит в систему. Тогда «Яндекс», по данным РБК, отказался выполнять требование, сочтя его чрезмерным. Чем закончилась эта история, The Bell выяснить не удалось.
Что мне с этого?
Европейский суд по правам человека и так признал Россию страной с нетаргетированной слежкой — но теперь ситуация становится только хуже, говорит Дарбинян из «Роскомсвободы». «Кто и как будет получать информацию о пользователе у сотовых операторов, а теперь — и от участников реестра ОРИ, — одному богу известно. Все это означает полный крах приватности, если вы пользуетесь незашифрованными сервисами. Но, даже если сервисы зашифрованы, но исполняют закон и передают сессионные ключи ФСБ, их пользователи оказываются в аналогичной ситуации», — предупреждает он.