20 июня на сайте Государственной думы появился законопроект по противодействию террористической угрозе, который, возможно, будет принят уже на этой неделе. Согласно ему, операторы связи будут обязаны хранить данные о переписке пользователей до шести месяцев, а также предоставлять по требованию силовых органов ключи для дешифровки переписки. Мы узнали, что думают о законопроекте участники рынка.
Срок издержек не уменьшит
Владимир Габриелян (Mail. Ru Group) отмечает, что пока новые законы для IT-отрасли не идут на пользу отечественным компаниям и выделяет целый ряд проблемных моментов.
Анастасия Васильченко (Yota) подчеркивает, что внимательно следит за развитием событий и согласна с тем, что принятие законопроекта потребует значительных расходов.
Представитель «ВымпелКом» сообщил theRunet, что оператор не хранит у себя данные переписки абонентов через мессенджеры и ключей шифрования этих данных у компании нет. Мессенджеры самостоятельно осуществляют шифровку переписки, поэтому все ключи шифрования хранятся на их стороне, и в большинстве случаев — за пределами страны.
Компания «Мегафон» от комментариев отказалась, МТС к моменту публикации статьи на запрос не ответила.
Что думают юристы
Александр Самарин, юрист Правовед.RU, считает, что передача ключей для дешифровки данных не подпадает под разглашение коммерческой тайны и что на волне борьбы с терроризмом может законопроект вполне может пройти.
Сергей Щербак, эксперт по европейскому праву и основатель Compliance Design Europe, отмечает, в ЕС таких законов точно не принималось, и что не всегда ясно, является ли та или иная онлайн платформа провайдером интернет услуг, на которых обычно распространяется данное обязательство.
Закон об информации в статье 10.1 дополнен словами «включая переписку» и «6 мес». По сути это значит, что «распространители» информации в сети будут обязаны в течение полугода хранить в том числе и переписку.
Артем Толкачев, Толкачев и Партнеры, отмечает, что при предоставлении уполномоченному органу исполнительной власти информации, необходимой для декодирования электронных сообщений, формально не происходит нарушений Федерального закона «О коммерческой тайне», поскольку в данном законе содержатся положения, обязывающие обладателей информации, составляющих коммерческую тайну, предоставлять ее государственным органам по их мотивированному требованию.
Проблемы с SSL
Нынешний законопроект будет малоэффективен с учетом того, что у большинства крупных операторов связи, почтовых сервисов и мессенджеров стоит СОРМ — система технических средств для обеспечения функций оперативно-розыскных мероприятий в сетях телефонной, подвижной и беспроводной связи и радиосвязи, считает Матвей Алексеев (Rambler&Co).
Анонимный источник рынка кибербезопасности уточнил, что при принятии этого закона возможна проблема с выпуском SSL-cертификатов для России, без которых невозможно защищенное соединение.
Если кто угодно сможет читать закодированные/зашифрованные сообщения, то пропадает весь смысл шифрования. Вы заплатили карточкой в интернет-магазине. И эти все данные кто-то «слил» из госоргана. Получается, что данные скомпрометированы. Поэтому CA/B форум, организация, которая устанавливать правила для всех центров сертификации, которые выдают SSL-сертифткаты, вероятнее всего вынужден будет принять решение о том, что для России больше нельзя выпускать SSL-сертификаты. Без https пароль от сервиса может быть легко перехвачен, например, через поддельную Wi-Fi точку.