"Закон Яровой" и VPN: быть или не быть?

7 июля 2016 года

24 июня Государственная Дума Российской Федерации приняла «антитеррористический пакет» законопрокетов, внесенный депутатом Госдумы Ириной Яровой и сенатором Виктором Озеровым. 7 июля закон подписал Президент РФ Владимир Путин.

Документ вызвал бурную реакцию общества: в СМИ и блогах говорят об «электронном концлагере» и «железном занавесе Рунета». Негативно высказались о законе и крупнейшие российские интернет-компании — Mail.ru и «Яндекс». А американский VPN-провайдер Private Internet Access и вовсе прекратил работу на территории России. Мы решили разобраться с той частью документа, которая может коснуться VPN-компаний.

Что такое «пакет Яровой»?

Один из законов пакета обязывает операторов связи и неких «организаторов распространения информации» хранить в течение полугода всю переданную информацию: записи телефонных звонков, содержание смс-сообщений, изображения, звуки, видео и другие электронные сообщения. Операторы связи также должны хранить сведения о фактах приема, передачи, доставки сообщений и звонков в течение трех лет, интернет-компании — в течение года. Кроме того компании обязаны помогать ФСБ с расшифровкой трафика.

Точные сроки, порядок хранения и другие детали исполнения закона еще предстоит определить Правительству. Большая часть поправок вступает в силу 20 июля 2016 года. Требование к операторам связи и интернет-компаниям до полугода хранить информацию о содержании передаваемых сообщений вступает в силу с первого июля 2018-го.

«Организатор распространения информации» — это кто?

Понятие «организатор распространения информации» возникло в 2014 году вместе с «законом о блогерах», обязывающем авторов интернет-ресурсов с аудиторией свыше 3000 пользователей в сутки регистрироваться в Роскомнадзоре (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций).

Само понятие «организатор распространения информации» весьма расплывчато и позволяет подвести под него почти любой сайт или сервис.

На сегодняшний день в реестре Роскомнадзора 67 наименований. Среди них социальные сети «ВКонтакте», «Одноклассники», «Мой круг», почтовые службы Mail.Ru, «Яндекс» и «Рамблер», хранилища «Яндекс.Диск» и «Облако@Mail.Ru», видеосервис RuTube, порталы «Хахбрахабр» и «Роем», сайт знакомств «Мамба», блог-платформа LiveInternet и другие.

Несмотря на то, что закон не препятствует внесению иностранных площадок в перечень, в список не попал ни один мессенджер или зарубежный портал, как, например, Facebook или Google. Они же, к слову, так и не отчитались в Роскомнадзоре и о другом недавнем требовании — хранении данных россиян на серверах, расположенных на территории РФ. Закон вступил в силу 1 сентября 2015 года, но надзорная служба пока не предприняла никаких проверок или санкций против иностранных предприятий.

Шифрование в интернете

К «организаторам распространения информации» относится еще одна поправка: если интернет-сервис (мессенджер, социальная сеть, почтовый клиент и др.) использует шифрование данных, то в случае запроса от ФСБ владельцы ресурса обязаны помочь органам расшифровать сообщение. За отказ вводится штраф — для юридических лиц он составит от 800 тысяч до миллиона рублей.

Надо понимать, что почти половина трафика в интернете зашифрована, и этот объем растет. В большинстве случаев «организаторы распространения информации» даже не имеют ключей для расшифровки, — на этом базируется приватность в интернете. Например, при использовании протокола HTTPS ключи шифрования хранить технически невозможно. Этот протокол используется в том числе на сайте «Госуслуги», то есть новый закон, получается, блокирует работу ресурса, предназначенного для взаимодействия россиян и государства.

Почти все современные мессенджеры (Телеграм, WhatsApp, Viber, Hangouts, Skype и другие) используют шифрование, так как пользователи заинтересованы в защищенности своей переписки. Новый закон делает любой российский продукт в этой сфере неконкурентоспособным.

Пакет Яровой против Конституции РФ

2 часть статьи 55 Конституции РФ запрещает посягательства на гражданские права и свободы. Часть 1 статьи 23 защищает частную жизнь, личную и семейную тайну, а часть 2 той же статьи гарантирует конфиденциальность переписки и переговоров.

Новый закон нарушает конституционное право граждан России на тайну переписки. Ограничить гражданина в этих правах может лишь суд, но «пакет Яровой» предполагает, что правоохранительные органы будут иметь доступ ко всем данным без санкции суда.

Уход Private Internet Access

VPN-провайдер Private Internet Access объявил об уходе с российского рынка. Причина — требование об обязательном хранении провайдерами переписки и трафика пользователей в течение полугода. Это первая компания, отреагировавшая на «пакет Яровой» решением о прекращении работы в России.

Дополнительным обстоятельством стал факт изъятия части серверов компании «российскими властями без каких-либо уведомлений или правовых процедур». Из 15 серверов на территории России было изъято «менее пяти». Оставшиеся сервера компания отключила и перестала ими пользоваться.

При этом сообщение на официальном сайте компании было отредактировано. Сначала речь шла о полном уходе с российского рынка: «We have decided not to do business within the Russian territory» — «Мы приняли решение прекратить свой бизнес на территории России», но позднее Private Internet Access ограничились закрытием шлюзов: «We have decided not to host exit nodes within the Russian territory».

Это изменение говорит, вероятно, о том, что компания решила не отказываться от рынка российских пользователей, а лишь перестать использовать серверы на территории страны для прохождения и хранения трафика.

Были серверы физически захвачены или компания утратила над ними контроль по другому сценарию, Private Internet Access не уточняют. При этом сказано, что пользовательская информация на «захваченных» серверах не была скомпрометирована, так как компания не хранит логи.

VPN в России

Главный вопрос, на который «пакет Яровой» не дает ответа: каких видов контента коснется документ? Часть людей утверждает, что нововведения коснутся только передаваемых сообщений в любой форме, а остальные виды контента не подлежат регулированию.

Но это совсем не так. По мнению директора по методологии и стандартизации Positive Technologies Дмитрия Кузнецова, под средствами шифрования подразумевается любая программа, которая в качестве защиты использует шифрование данных.

«Средства защиты информации вообще и средства шифрования в частности относятся к продукции, оборот которой в России ограничивается. Это означает, что коммерческое использование таких средств разрешается только при наличии у владельца специального разрешения (лицензии) ФСБ, а сами средства шифрования должны пройти сертификацию в аккредитованных ФСБ испытательных лабораториях», — уточнил Дмитрий.

Есть ли у VPN и технологий защиты данных будущее в России? Мы считаем, что да. Сейчас, когда трафик становится все более доступен властям, жители России станут особенно заинтересованы в шифровании данных с помощью VPN. Скорее всего, «закон Яровой» приведет к тому, что россияне станут больше узнавать о технологиях защиты данных и безопасности в интернете и начинать ими пользоваться.

Закон Яровой” сам по себе, я — сам по себе. Я выбираю VPN.

Рассказать друзьям