Кажется, в истории с компанией «Яндекс», которая отказалась предоставить ФСБ ключи от шифрования переписки пользователей, появилась определенность.
Сегодня с утра правительство пообещало защитить компанию от административного давления со стороны ФСБ, а ближе к вечеру глава Роскомнадзора Александр Жаров предположил на ПМЭФ, что, «очевидно, в ходе диалога они (ФСБ и «Яндекс» – прим. ред.) нашли приемлемое решение для того, чтобы необходимую для ФСБ информацию для выявления преступников или иную значимую для государства информацию предоставить».
В чем вопрос?
Сервисы компании «Яндекс» – Яндекс.Почта и Яндекс.Диск – зарегистрированы в реестре организаторов распространения информации (ОРИ). В него попадают интернет-ресурсы, на которых пользователи могут обмениваться сообщениями. Сейчас в реестре 175 сервисов, среди которых есть Tinder, «ВКонтакте», «Одноклассники», Avito, Badoo и другие.
По закону Яровой, ресурсы из реестра ОРИ в течение полугода обязаны хранить данные обо всех действиях участников сервиса. С 20 июля 2016 года Центр оперативно-технических мероприятий ФСБ может потребовать от любого ресурса из реестра передать ему информацию для декодирования электронных сообщений. 4 июня стало известно, что подобную информацию ФСБ потребовала от «Яндекса».
«Спецслужба почти никогда не озвучивает причин своих запросов, но допускаю, что речь может идти о переписке лиц, подозреваемых в экстремизме или терроризме. Согласно пакету законов Яровой, ФСБ имеет право запрашивать такую информацию», – рассказал нам во вчерашнем разговоре Алексей Лукацкий, бизнес-консультант по информационной безопасности Cisco Systems.
По данным РБК, ФСБ были нужны от «Яндекса» сессионные ключи – ключи шифрования, которые используют для установки соединения между пользователем и сервисом.
«Получив ключи, ФСБ сможет получить доступ только к запрашиваемой сессии интересующих ведомство лиц или передаваемых ими файлов. В отдельных случаях ФСБ также может получить и аутентификационную информацию (логин и пароль), но делать с ней им, в целом, нечего», – говорит Лукацкий.
Отдать или нет?
В «Яндексе» ключи давать отказались, поскольку они дают доступ не только к сообщениям в почте, но и позволяют анализировать весь трафик от пользователей к находящимся в реестре ОРИ сервисам «Яндекса». Их передача может нарушить приватность данных пользователей, считают в компании.
«В законе говорится о предоставлении информации, необходимой для декодирования сообщений, из него не следует требование о передаче ключей, которые необходимы для расшифровки всего трафика», — такова официальная позиция «Яндекса», которую компания озвучила 4 июня.
«Одним из особо чувствительных элементов данных в такой ситуации будет авторизационный токен или Cookie (упрощая, “пароль” или “простая электронная подпись”) от учетной записи каждого из пользователей. Что этим “паролем” можно сделать, авторизовавшись на “Яндексе”, – вопрос открытый», – отмечает Леонид Евдокимов, бывший разработчик The Tor Project. – Например, можно отправить от вашего лица письмо о минировании какого-нибудь учреждения и скачать все ваши файлы с Яндекс.Диска. Но будет ли этим заниматься госбезопасность? Но будут ли те пользователи, которые опасаются служб госбезопасности, пользоваться «Яндексом». Будут ли в будущем аналогичные запросы для отслеживания перемещения всех пользователей из-за “разговорчиков” в Яндекс.Навигаторе? Это все вопросы без ответов».
По стопам Telegram
Вчера Лукацкий предположил, что, по-видимому, компании придется пойти на уступки ФСБ. «Однако эта история, вынесенная в публичную плоскость, поднимет вопрос о приватности граждан и их праве на тайну переписки», – считает он.
«Мы помним историю с Telegram, который отказался передавать ключи шифрования по аналогичному запросу ФСБ. Сначала был штраф, потом блокировка. Но если для Павла Дурова Россия является одним из множества рынков присутствия и его блокировка тут мало на что влияет, то “Яндекс” не может позволить себе роскоши отказать ФСБ», – сказал эксперт.
Леонид Евдокимов тоже сравнил ситуацию «Яндекса» с историей Telegram. Однако он отмечает, что «Яндекс» находится в более сложном положении, так как это российская компания, а Telegram – зарубежная. «В случае с Telegram отказ в передаче ключей вылился лишь в дополнительные операционные затраты на обход блокировок».
А если (гипотетически) «Яндекс» передаст ключи, то компания может потерять часть аудитории своих сервисов. «Возможно, кто-то из пользователей уйдет в Mail.ru или Google, но они подчиняются тем же нормам (только не кричат об этом) и пользователи поменяют “шило на мыло”. Предположу, что после пары дней шумихи, она уляжется и все вернется на круги своя», – сказал Лукацкий.
Эксперты отмечают, что «Яндекс» получит очередную сложную PR-историю вида «нас закон заставляет ухудшать наши сервисы, а наших конкурентов из Google – нет».
А еще…
Сегодня стало известно, что мобильное приложение Tinder выразило готовность работать со спецслужбами и предоставлять информацию о пользователях, пишет «ТАСС» со ссылкой на слова главы Роскомнадзора Александра Жарова. Роскомнадзор внес сервис знакомств Tinder в реестр ОРИ 31 апреля 2019 года.