ФСБ потребовала от интернет-сервисов онлайн-доступ к данным и переписке пользователей

Летом 2019 года ФСБ разослала крупнейшим российским интернет-сервисам письма с требованием установить оборудование, позволяющее сотрудникам спецслужб получить круглосуточный доступ к данным пользователей. Такое право спецслужбе дает «закон Яровой», но требования к интернет-сервисам ФСБ начала выдвигать только прошлым летом.

Что случилось?

Летом 2019 года российские интернет-сервисы, включенные в реестр операторов распространения информации (ОРИ), получили письма из ФСБ с требованием установить оборудование, дающее сотрудникам спецслужбы круглосуточный онлайн-доступ к их информационным системам и ключи для дешифровки переписки пользователей, рассказали The Bell три источника в интернет-компаниях. Сервисы, включенные в реестр ОРИ, обязаны предоставлять данные пользователей ФСБ по требованию «закона Яровой». В случае неисполнения требований им грозит блокировка.

Вечером во вторник о письмах, поступивших в интернет-сервисы летом 2019  года, также сообщила «Медуза».

Роскомнадзор ведет реестр ОРИ с 2015 года, сейчас в нем 202 участника. В реестр включаются интернет-сервисы, позволяющие пользователям обмениваться сообщениями. Сейчас в нем есть, например, сервисы «Яндекса», Mail.Ru Group,  Telegram, «Сбербанк-онлайн», Avito. Сервисов Google и Facebook (в том числе WhatsApp) в реестре нет. Как пояснял глава Роскомнадзора Александр Жаров, компании попадают в реестр после того, как правоохранительные органы для тех или иных целей запрашивают их контакты.

«До прошлого лета реестром никто не занимался, и никаких действий по нему не предпринималось. Мы в нем давно, но от нас ничего не требовали», — говорит один из собеседников The Bell. Получив письмо, он попробовал проверить соседние идентификационные номера заказных писем с помощью трекера на сайте «Почты России» и удостоверился, что отправленные в тот же день письма из Центра оперативно-технических мероприятий ФСБ получили десятки компаний, входящих в реестр ОРИ, — например, управляющая сервисом Avito компания «КЕХ-екоммерц».

В «Яндексе», Mail.Ru Group, «Рамблере» и Avito отказались от комментариев. В ФСБ на запрос The Bell не ответили.

Чего хочет ФСБ

Письмо было подписано сотрудником ФСБ М.Ю. Михайловым. По данным РБК, Михаил Михайлов — начальник 12-го центра ФСБ, курирующего в том числе систему прослушки и контроля переписки СОРМ. В публичном пространстве Михайлов представляется «начальником Центра ФСБ России». В письме он указывает, что решением директора ФСБ органом для взаимодействия с участниками реестра ОРИ выбран Центр оперативно-технических мероприятий ФСБ. Именно это подразделение указывалось в приказе ФСБ о раскрытии ключей шифрования мессенджеров.

Со ссылкой на законы и подзаконные акты, принятые для реализации «закона Яровой», Михайлов сообщает адресатам о необходимости:

  • разработки и согласования плана установки на их системах оборудования, необходимого для решения задач органов безопасности или оперативно-разыскной деятельности;
  • организации круглосуточного удаленного доступа Центра ФСБ к информационной системе организации-адресата;
  • срочного предоставления Центру информации, необходимой для дешифровки сообщений пользователей интернет-сервисов адресата.

В письме были указаны имя уполномоченного представителя ФСБ и круглосуточный телефонный номер дежурного для взаимодействия с участниками реестра ОРИ. Рабочие встречи предлагалось проводить в приемной ФСБ на Кузнецком мосту, 22, либо в офисе организации-адресата. Адресатам напоминали о пункте правил взаимодействия операторов распространения информации со спецслужбами, запрещающем разглашать информацию об этом взаимодействии.

Законно ли это?

Да. Утвержденные правительством еще в 2014 году правила взаимодействия организаторов распространения информации со спецслужбами обязывают их предоставлять информацию ФСБ. Согласно разъяснениям Минкомсвязи к «закону Яровой», опубликованным в феврале 2018 года Минкомсвязи, участники реестра ОРИ обязаны предоставлять ФСБ персональные данные пользователя (логин, настоящие имя и фамилию, паспортные данные, адрес проживания, прописки, список языков, которыми владеет пользователь, его круг общения, данные учетных записей в других сервисах, IP-адрес), переписку пользователей, файлы, которыми они обмениваются, записи аудиоразговоров и данные об их платежах.

Требования соответствуют тому, что прописано в пакете Яровой, «закону о блогерах» 97 ФЗ и требованиям СОРМ-3, которые возлагаются и на участников реестра ОРИ, говорит юрист организации «Роскомсвобода» Саркис Дарбинян. Но проблема в том, что критериев для того, чтобы признать сервис ОРИ, как таковых нет: только возможность межпользовательского взаимодействия, отмечает он. Это значит, что если сайт позволяет отправлять и принимать сообщения — даже если это коммуникация между администрацией и пользователями — он может быть внесен в реестр. ФСБ принимает эти решения без очевидной логики, только в привязке к своим нуждам: сейчас в реестре есть и психологический диспансер, и детские сады, говорит Дарбинян. Насколько ему известно, некоторые сервисы из реестра ОРИ уже подключили необходимое оборудование и начали исполнять требование ФСБ.

Передаются ли эти данные уже сейчас?

Источник The Bell в компании, входящей в реестр, говорит, что взаимодействие интернет-компаний с ФСБ уже идет, как минимум часть интернет-компаний установили необходимое оборудование. «Спецслужбы за наш счет поставили инфраструктуру и уже могут получать существенную часть данных  наших сервисов», — говорит он.

В ноябре 2019 года участники реестра ОРИ получили еще одно письмо — с приглашением встретиться на Лубянке для разъяснений тем, кто еще не поставил оборудование, говорит собеседник The Bell. Он слышал и о том, как два сотрудника ФСБ сами приезжали в офис онлайн-сервиса, после чего тот установил необходимое оборудование. «Ставили те, у кого не было выбора, у кого все оборудование и товарные знаки в России», — говорит он.

Аналогичные требования закон устанавливает к операторам связи, интернет-провайдерам и владельцам дата-центров. На их сетях уже давно установлено оборудование системы СОРМ-2, которое позволяет спецслужбам отслеживать в онлайн-режиме интернет-активность пользователей и читать их переписку.

Летом 2019 году РБК сообщал, что сотрудники ФСБ выставили «Яндексу» более детальное требование — предоставлять сессионные ключи для сервисов «Яндекс.Почта» и «Яндекс.Диск», которые генерируются заново каждый раз, когда пользователь входит в систему. Тогда «Яндекс», по данным РБК, отказался выполнять требование, сочтя его чрезмерным. Чем закончилась эта история, The Bell выяснить не удалось.

Что мне с этого?

Европейский суд по правам человека и так признал Россию страной с нетаргетированной слежкой — но теперь ситуация становится только хуже, говорит Дарбинян из «Роскомсвободы». «Кто и как будет получать информацию о пользователе у сотовых операторов, а теперь — и от участников реестра ОРИ, — одному богу известно. Все это означает полный крах приватности, если вы пользуетесь незашифрованными сервисами. Но, даже если сервисы зашифрованы, но исполняют закон и передают сессионные ключи ФСБ, их пользователи оказываются в аналогичной ситуации», — предупреждает он.

Скопировать ссылку
Москва не Россия. Как супермаркеты «Светофор» из Красноярска захватили всю страну
20 апреля 2021
«Мы увидим больше налогов». О чем говорили на главной экономической сессии ПМЭФ-2021
3 июня 2021
«Силовой захват и блокировка деятельности». Что происходит с Natura Siberica
2 июня 2021

Клиент говорит. Как речевая аналитика побеждает неловкое молчание и экономит бизнесу миллионы

Будущее из фантастических романов наступило незаметно: роботы научились понимать человеческую речь и сами отвечают так, что сложно заметить подмену. Нейросети и речевая аналитика теперь помогают бизнесу понимать истинные чувства клиентов и обращать гневные звонки в колл-центр на пользу компании.

Котировки WeWork выросли в первый день торгов

Котировки сети коворкингов WeWork, вышедшей на биржу через механизм с поглощением после легендарного провала IPO в 2019 году, выросли в первый день торгов.

Как Илья Сачков построил один из самых успешных IT-бизнесов в России и за что мог быть обвинен в госизмене

В ночь на 29 сентября в московском офисе Group-IB прошли обыски, а спустя несколько часов Лефортовский суд столицы арестовал на два месяца основателя компании Илью Сачкова. Предпринимателя обвинили в государственной измене (ст. 275 УК России — до 20 лет лишения свободы), но никаких деталей уголовного дела не раскрыли. The Bell изучил версии дела Сачкова и вспомнил, как выпускник Бауманки вырастил бутиковое кибердетективное агентство в один из самых известных в стране IT-бизнесов.
Москва не Россия. Как супермаркеты «Светофор» из Красноярска захватили всю страну
20 апреля 2021
«Мы увидим больше налогов». О чем говорили на главной экономической сессии ПМЭФ-2021
3 июня 2021
«Силовой захват и блокировка деятельности». Что происходит с Natura Siberica
2 июня 2021

Обвиняемому в хищениях ректору Шанинки проводят экстренную операцию на сердце

Помещенному под домашний арест ректору Шанинки Сергею Зуеву понадобилась экстренная операция на сердце — по словам его адвоката, после этого его подзащитного должны перевести в реанимационную палату.

«Люди чувствуют себя обманутыми». Предприниматели о новом локдауне и многомиллионных потерях

С 28 октября по 7 ноября в Москве и Подмосковье будет действовать локдаун для бизнеса, объявили в четверг власти столицы и региона. Обслуживать клиентов не смогут предприятия сферы торговли и услуг, спорта, культуры, отдыха, развлечений, кинопоказа и других (исключение — продажа лекарств, продуктов питания и иных товаров первой необходимости). Предпринимателям останутся доступны лишь дистанционная продажа товаров и работа навынос (для общепита). В столице и области также будут запрещены массовые культурные, зрелищные, спортивные, рекламные, развлекательные и прочие мероприятия. The Bell спросил у представителей пострадавших отраслей, какого ущерба они ждут от недельного простоя, планируют ли принимать помощь от государства и как в целом относятся к сценарию жесткого локдауна.

Pfizer опубликовал результаты исследования эффективности третьей дозы вакцины

BioNTech/Pfizer опубликовал долгожданные результаты исследования эффективности ревакцинации третьей дозой, проведенного уже в условиях преобладания дельта-штамма. Основной вывод — третья доза практически полностью восстанавливает защиту, и это сильный аргумент в пользу ревакцинации, отмечает Bloomberg.
Москва не Россия. Как супермаркеты «Светофор» из Красноярска захватили всю страну
20 апреля 2021
«Мы увидим больше налогов». О чем говорили на главной экономической сессии ПМЭФ-2021
3 июня 2021
«Силовой захват и блокировка деятельности». Что происходит с Natura Siberica
2 июня 2021

Немецкая FlixMobility выкупит автобусный сервис Greyhound в США

Бренд автобусов дальнего следования Greyhound, давно ставший иконой в США, остается в руках европейцев, пишет Bloomberg. Британский владелец марки FirstGroup согласилась на ее продажу немецкой компании FlixMobility, работающей под брендом FlixBus.

Российские операторы запускают сервис шеринга смартфонов

Российские операторы связи запускают шеринг смартфонов: МТС, например, начнет предоставлять в аренду последние три линейки iPhone на срок от одного месяца до года, пишет «Коммерсант».

Южная Корея не смогла вывести на орбиту спутник собственной ракетой

У Южной Кореи не получилось с ходу войти в клуб "коммерческих" космических наций, но до этого остался один шаг. Ее ракета Nuri (KSLV-II) вышла в космос, но не смогла вывести на орбиту полезную нагрузку.