The Bell объясняет 15 февраля 2020

ФСБ затребовала онлайн-доступ к данным интернет-сервисов. Чем это грозит?

Онлайн-сервисы начали погружаться в новую реальность «закона Яровой», в которой уже давно живут операторы связи и интернет-провайдеры. Летом 2019 года ФСБ разослала российским сервисам, включенным в реестр операторов распространения информации (ОРИ), письма с требованием дать сотрудникам спецслужб круглосуточный доступ к их информационным системам и ключи для дешифровки переписки пользователей, выяснил The Bell. Объясняем, чем это грозит тем и другим.

Кто под ударом

Письма, подписанные главой Центра оперативно-технических мероприятий ФСБ Михаилом Михайловым, получили участники реестра операторов распространения информации (ОРИ), который Роскомнадзор ведет с 2015 года. Сейчас в реестре 202 участника, от крупнейших интернет-компаний вроде «Яндекса», Mail.Ru Group и Avito до никому не известных региональных сайтов — например, одним из последних в реестр был включен сайт муниципальной администрации 10-тысячного города Шагонар в Туве. Никакой единой логики в формировании реестра нет — ресурсы попадают туда после того, как правоохранительные органы для тех или иных целей запрашивают их контакты.

«До прошлого лета реестром никто не занимался, и никаких действий по нему не предпринималось. Мы в нем давно, но от нас ничего не требовали», — говорит один из собеседников The Bell. Получив письмо, он попробовал проверить соседние идентификационные номера заказных писем с помощью трекера на сайте «Почты России» и удостоверился, что отправленные в тот же день письма из Центра оперативно-технических мероприятий ФСБ получили десятки компаний, входящих в реестр ОРИ, — например, управляющая сервисом Avito компания «КЕХ-екоммерц». «Медуза» таким же образом установила еще 10 адресатов писем.

Крупнейших интернет-холдингов среди найденных «Медузой» адресатов нет, но в июне 2019 года РБК сообщал, что ФСБ потребовала от «Яндекса» сессионные ключи для сервисов «Почта» и «Диск». «Яндекс» предоставлять ключи отказался, но спустя несколько дней управляющий директор компании Тигран Худавердян заявил, что «Яндексу» удалось найти приемлемое решение. Какое — Худавердян не сказал, и этого никто не знает до сих пор.

Что это даст ФСБ

Два основных требования ФСБ к онлайн-сервиcам — дать спецслужбе доступ к данным сайтов и выдать ключи шифрования трафика.

Первое означает подключение сервиса к установленному в ФСБ «пульту», к которому уже подключено, например, оборудование СОРМ, установленное у операторов связи. Сам пульт — это компьютер в отдельном закрытом кабинете в ФСБ, куда может попасть только сотрудник с определенным уровнем доступа и по внутреннему регламенту. Какому — никто не знает, в открытом доступе и в законах никаких отсылок к нему нет, объясняет Кулин.

С помощью пульта ФСБ получает все данные, которые ОРИ обязаны выдавать по закону: текстовые, аудио- и видеосообщения пользователей и всю информацию о них, которую они обязаны хранить полгода после публикации, — логин, ФИО, паспортные данные, адрес, список языков, которыми владеет пользователь, его круг общения, данные учетных записей в других сервисах, IP-адрес. Сотрудник ФСБ с доступом к пульту сможет выгрузить их в любой момент.

Второе требование ФСБ — выдать ключи шифрования, причем как обычные, так и сессионные, которые отвечают за шифровку каждого соединения пользователя с сервером компании и позволяют получить доступ ко всей переписке пользователей сервиса. Кулин отмечает, что из-за широкой трактовки законов в России спецслужбы могут не относить сообщения, расшифрованные с помощью ключей, к охраняемым конституционной тайной переписки: ключи — это так называемые неформатированные данные и в законах отдельно никак не прописаны.

Риски для ОРИ

Требования ФСБ ставит под удар безопасность самих сервисов из реестра ОРИ, считают специалисты.

  • Если раньше сервисы хранили всю информацию у себя и к ней имели доступ только сотрудники одной компании, выдававшие ее ФСБ только по запросу, то теперь к ней имеет доступ, по сути, неопределенный круг лиц.
  • Требования ФСБ добавляют сервисам «поверхность атаки»: то есть теперь увеличится число точек, которыми может воспользоваться злоумышленник, объясняет замдиректора департамента аудита Digital Security Александр Романов: «Раньше сервисы могли не хранить эти данные. Сейчас они обязаны хранить их и передавать. И куда именно передавать — вообще не важно, даже если это ФСБ».
  • Очевиден риск, что получившие доступ к данным сотрудники ФСБ могут их использовать в незаконных корыстных целях. Таких примеров много: экс-глава банковского отдела управления «К» Кирилл Черкалин вымогал взятки за крышевание банков, а замглавы Центра информационной безопасности (ЦИБ) ФСБ Сергей Михайлов получил 22 года за шпионаж.

Сколько все это стоит

Пока не ясно, какое именно оборудование ФСБ просит устанавливать сервисы из реестра, однако одно уже очевидно: делать им это придется за свой счет. Владелец сервиса, который уже подключил спецслужбу к серверам компании, рассказал The Bell, что обошлось это в заметную для бизнеса сумму, но уточнять ее порядок не стал.

Другой участник списка ОРИ рассказал, что, по их подсчетам, «железо» для подключения к пульту ФСБ, в зависимости от объемов трафика, может обойтись в несколько миллионов рублей — а учитывая, что в реестре есть совсем маленькие компании, для них это может быть очень чувствительной тратой.

Филипп Кулин говорит, что, не зная, какое оборудование ставят компании, оценить его цену сложно — но можно прикинуть, сколько им придется потратить на программную «стыковку» своих систем с инфраструктурой ФСБ: эта разработка даже небольшому сервису обойдется в 1–2 млн рублей.

Как защититься пользователю

Вопрос, как в этой ситуации защититься пользователю, провокационный: в контексте он звучит как «Как я могу защитить свои данные от ФСБ?», говорит Романов.

Но общие правила есть:

  • не пользоваться мессенджерами и социальными сетями;
  • заходить на новостные ресурсы и блоги только через VPN;
  • использовать браузеры, не отдающие метаданные, которые могли бы быть сопоставлены с вами.

Но золотое правило здесь все то же, говорит Романов: «Если вы не хотите, чтобы какая-либо информация о вас всплыла в интернете, то не выкладывайте ее в интернет».

Валерич Позычанюк