О внесении изменений в отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности.

Суть законопроекта

Законопроектом, в частности, устанавливаются дополнительные требования, предъявляемые к операторам связи и организаторам распространения информации в информационно-телекоммуникационной сети «Интернет», связанные с хранением данных пользователей.

Операторы связи и организаторы распространения информации обязаны хранить на территории Российской Федерации в течение трех лет информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации и текстовых сообщений, включая их содержание, а также изображения, звуки или иные сообщения пользователей услугами связи и предоставлять уполномоченным государственным органам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, указанную информацию, информацию о пользователях услугами связи и об оказанных им услугах связи и иную информацию, необходимую для выполнения возложенных на эти органы задач, в случаях, установленных федеральными законами.

Во втором чтении к законопроекту была принята поправка, обязывающая организаторов распространения информации декодировать сообщения пользователей.

Организатор распространения информации в сети «Интернет» обязан при использовании для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети «Интернет» дополнительного кодирования электронных сообщений и (или) при предоставлении пользователям сети «Интернет» возможности дополнительного кодирования электронных сообщений представлять в федеральный орган исполнительной власти в области обеспечения безопасности информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений.

Суть отраслевой проблемы, связанной с темой законопроекта

Международные стандарты безопасности, использующиеся в настоящий момент в информационных системах в интернете невозможно односторонне заменить на другие стандарты. Платежные системы, например, обязаны соблюдать PCI DSS, раскрытие ключей автоматически приводит к исключению таких систем из международного обмена.

В большинстве стандартов шифрования хранение пользовательских ключей не предусмотрено, то есть без изменения алгоритма невозможно декодирование сообщений. Например, в современной реализации протокола HTTPS сессионный ключ генерируется с помощью алгоритма Диффи-Хеллман и никогда не пересылается по сети, в следствии чего, даже получив доступ к закрытому ключу сервера, невозможно восстановить сессионные ключи, которые использовались для шифрования пересылаемого контента. Сессионные ключи всех участников процесса обмена сообщениями удаляются сразу после завершения сессии. Для сервисов, использующих соединение непосредственно между пользователями для передачи, хранения или шифрования информации (так называемые p2p-сервисы) не определено понятие оператора и не существует субъекта, обладающего коллекцией ключей, что также ставит под вопрос возможность технического применения данной меры законопроекта.

При изменении же алгоритма возникают угрозы кибербезопасности для бизнеса, граждан, государства, так как создание таких средств доступа — это фактически встраивание заведомой уязвимости в систему.

Создание специальных ключей доступа к шифрованию ставит под угрозу национальную безопасность вследствие возможности взлома иностранными разведками, что подтверждается фактами в прессе о деятельности американских и китайских спецслужб.

Принятие данного законопроекта ставит под угрозу тайну связи и несет огромные риски утечек конфиденциальной информации. В свете последних прецедентов с утечкой в сеть персональных данных граждан Турции и Филиппин, данная инициатива может нанести репутационный и материальный ущерб как российским компаниям, так и рядовым гражданам Российской Федерации. 1.2. Требования Законопроекта необоснованно ограничивают права граждан, установленные ст. 23 Конституции Российской Федерации, согласно которой каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения. Законопроект серьезно ограничивает указанные конституционные права, так как раскрытие ключей одновременно позволяет перехватывать сообщения всех пользователей интернет-сервиса.

При этом данные меры не повлияют на доступность инструментов шифрования для злоумышленников. Стойкое шифрование в настоящий момент доступно любому (например, Signal - проект с открытыми кодом, позволяет осуществлять end-to-end шифрование сообщений https://github.com/WhisperSystems).

Российские компании будут поставлены в неравные условия:

• Во-первых, деятельность на международных рынках будет чрезвычайно затруднена, так как действие законопроекта распространяется на всех пользователей, что может нарушать законодательство других стран и международные обязательства РФ (например, конвенцию по автоматизированной обработке ПД).
• Во-вторых, иностранные компании могут отказаться от выполнения данных требований, так как они противоречат законодательству стран, где они зарегистрированы, что ухудшит положение российских компаний на внутреннем рынке.
• В-третьих, другие государства (например, Китай) могут предъявить сходные требования по раскрытию ключей к российским компаниям.

Выводы и официальная позиция РАЭК по законопроекту

Как указано в постановлении Конституционного суда Российской Федерации от 26.11.2012 г. № 28-П, Положения ч. 3 ст. 55 Конституции Российской Федерации, рассматриваемые во взаимосвязи с ее статьями 8, 17, 34 и 35, содержат требования, согласно которым все возможные ограничения федеральным законом прав юридических лиц, свободы предпринимательской деятельности и регламентация вопросов их ответственности должны базироваться на общих принципах права, отвечать требованиям справедливости, быть адекватными, соразмерными и необходимыми для защиты конституционно значимых ценностей, в том числе прав и законных интересов других лиц; такие меры допустимы, если они основываются на законе, служат общественным интересам и не являются чрезмерными.

Требования Законопроекта о длительном хранении огромного массива информации потребуют от организаторов распространения информации в сети «Интернет», которыми по факту могут быть признаны любые Интернет-ресурсы, огромных затрат (на строительство дата-центров, иной инфраструктуры и т.п.). Такие расходы могут явиться непосильными как для небольших интернет-проектов, так и для крупных ресурсов, через которые проходит огромное количество информации.

Кроме того, Законопроект создает, по-сути, неравные условия для российских и зарубежных Интернет-сервисов, поскольку возможность применения норм, предлагаемых законопроектом, либо санкций за их неисполнение, к последним вызывает сомнения.

Принятие Законопроекта в текущем его виде может повлечь уход с российского рынка большого количество игроков и общую деградацию Интернет-отрасли. При этом, как указано, выше, депутаты, внесшие Законопроект, не приводят какие-либо обоснования таких серьезных ограничений прав законопослушного бизнеса.

Требования по раскрытию ключей для декодирования сообщений ведет к созданию угроз для безопасности и частной жизни граждан, создает угрозы для бизнеса и ставит российские компании в неравное положение, создает угрозы для национальной безопасности. 

При этом, данные меры не повлияют на доступность инструментов шифрования для злоумышленников.

Публикации по теме:

Позиция РОЦИТ по законопроекту "Об установлении дополнительных мер противодействия терроризму и обеспечения общественной безопасности" (21.06.2016) – http://www.rocit.ru/rocit_positions/pozitsiya-rotsit-po-zakonoproektu-yarovoy-ozerova

“Безопасность без комитетов” / КоммерсантЪ (21.06.2016) – http://www.kommersant.ru/doc/3018236

“Ключи от трафика, где данные лежат”/ КоммерсантЪ (21.06.2016) http://www.kommersant.ru/doc/3018277

Официальная позиция РАЭК по законопроекту №1039149-6 (т.н. закон "О необходимости хранения данных пользователей и контента до 3 лет", 20.04.2016) – http://raec.ru/times/detail/5052/