Курс на борьбу с анонимностью в интернете продолжается. Сегодня в первом чтении Госдума приняла законопроект о регулировании мессенджеров. Согласно документу, пользователям придется проходить идентификацию по номеру телефона. Поправки внесут в закон "Об информации, информационных технологиях и защите информации".
Помимо идентификации, в законопроекте идет речь о возможности рассылки электронных сообщений по инициативе органов государственной власти. Это необходимо для чрезвычайных ситуаций, когда население нужно оперативно предупредить об опасности.
И, конечно, главная цель - ограничение передачи сообщений с данными, нарушающими российское законодательство, и предотвращение террористических актов.
Об этой инициативе, а также об анонимности в интернете, Царьград подробно побеседовал с директором Лиги безопасного интернета Денисом Давыдовым.
В технологиях все возможно
- Как Вы оцениваете законодательную инициативу? В чём видите плюсы и минусы?
Инициатива своевременна как минимум. Об идентификации в мессенджерах (и не только) в Лиге безопасного интернета говорили уже несколько лет назад. Хорошо, что процесс сдвинулся с мертвой точки.
Во-первых, это важно для предотвращения террористических актов. Это антитеррористические и антиэкстремистские действия и мероприятия. Все то, что направлено на обеспечение общественной безопасности и повышение уровня антитеррористической устойчивости.
Глава Лиги безопасного интернета Денис Давыдов: "Для государства никакой анонимности не существует". Фото: Михаил Почуев/ТАСС
Давно говорят о том, что, к сожалению, террористы и экстремисты тоже используют данные средства связи, мессенджеры. И если у правоохранителей не будет законодательного инструментария для эффективной борьбы, она будет заведомо проигрышной.
Поэтому инициатива очень своевременна и правильна. И технически реализуема. Любые технические инициативы реализуемы - это техника. Когда кто-то говорит, что в технологической сфере что-то невозможно, это ложь и передергивание - там возможно все. Если есть технология распространения информации, значит, есть и технологии, позволяющие обеспечить исполнение законов. В том числе - о способах идентификации.
Было много споров на эту тему. Много говорили о том, что в некоторых странах Европы на протяжении многих лет действует авторизация в Wi-Fi-сетях. Так или иначе, авторизация и идентификация - это уже действующие механизмы. Поэтому можно сказать, что закон будет работать. Те, кто говорит обратное, несколько лукавят. Главное - в том, как регуляторы будут реализовывать этот закон, потому что главное - техническая реализация.
Что касается слабых сторон… Слабые стороны любого закона прежде всего заключаются в том, что технологии развиваются быстрее, чем законодательная и правоприменительная практика. Конечно, необходимо идти в ногу со временем: следить, как развиваются технологии, что из этого используют злоумышленники и негодяи - чтобы государству быть во всеоружии и вовремя противостоять угрозам.
Для государства никакой анонимности не существует - даже в Telegram
- У многих возник вопрос по популярным телеграм-каналам - изменится ли что-нибудь после принятия законопроекта. Ведь Telegram - это тоже мессенджер, однако при желании сохранять анонимность никто не узнает авторов популярных блогов…
Сама переписка между пользователями может быть зашифрована, но пользователи при регистрации уже сейчас используют мобильные номера. Telegram не работает без привязки к мобильному номеру. И для спецслужб, честно говоря, нет никаких препятствий для того, чтобы понять, кто стоит за тем или иным телеграм-каналом.
Сейчас говорят про анонимность в телеграм-каналах, которой не существует. Потому что для государства нет никаких проблем эту анонимность снять. Все остальное - спекуляции на данной теме. Конечно, это никак не коснется этих каналов - они могут быть анонимны для широкого круга пользователей, но для государства - для спецслужб, для правоохранительных органов - никакой анонимности не существует. Это лишь вопрос не очень большого времени и компетенции в проведении технических мероприятий. А наши спецслужбы в этом большие мастера.
Уберизация преступности
- Вы уже упомянули об упрощении борьбы с террористами. Многие также надеются на то, что и кибермошенников будет вычислить проще…
Сложно сказать. Я бы не радовался преждевременно. Особенность киберпреступности в том, что происходит так называемая уберизация преступности - когда целые кибербанды формируются в интернете и, как правило, их члены бывают даже лично не знакомы друг с другом в жизни. Они совершают преступление, которое может состоять из маленьких кусочков преступления - некоторые из видов работ киберпреступников даже не являются преступлениями в уголовных кодексах некоторых стран, в том числе нашей.
Поэтому пока преждевременно говорить, что мы победим киберпреступность. Я бы рассматривал систему обеспечения безопасности нашей страны в комплексе мер. Потому что сам законопроект о мессенджерах должен быть тесно связан и с другими - например, инициативой по запрету анонимайзеров и VPN-каналов, которые не зарегистрированы или неизвестны государственным органам или регуляторам.
Если рассматривать проблему информационной безопасности как комплексную, то, конечно, это позволит обеспечивать и борьбу с киберпреступностью. Сама мера по деанонимизации - вряд ли, а вот комплекс мер - однозначно да.
Против Тора нет приёма?..
- Еще людям не даёт покоя Tor - пространство, где возможно всё. Где тоже есть анонимные мессенджеры. Много спорят о том, можно ли его ограничить или запретить, приводятся различные аргументы. В данном случае, учитывая меры по деанонимизации, мы можем хоть как-то повлиять на Tor?
Сложно сказать… Если на территории страны будет невозможно использовать Tor, если все российские операторы перестанут предоставлять к Tor или его узлам, то невозможно будет использовать и его мессенджеры. Такие инициативы находятся на рассмотрении.
Поэтому здесь должна быть комплексная система безопасности. Когда кто-то говорит, что "это невозможно", вспомните свою корпоративную сеть. Например, можно ли на Царьграде пользоваться Tor? Нет, нельзя.
Государство и его регуляторы тоже могут включать что-то и выключать. Поэтому если что-то можно сделать в корпорации - почему нельзя на уровне страны? Здесь нет никаких проблем. Да, это будет дороже - но и масштабы будут другие. Да, это будет более затратно, и больше игроков будут включены, включая операторов связи…
Конечно, найдутся те, кто будет использовать систему спутниковой связи. Те, кто будет пытаться спрятаться. Но их количество в общем числе преступников будет стремиться к нулю. По большому счету мы сокращаем поле для манёвра для разных злоумышленников. Если сильно затруднить использование сервисов для злоумышленников, если злоумышленник задумается: а зачем ему использовать Tor, если там его найдёт ФСБ - то они будут меньше использовать или ошибутся и будут пойманы. В любом случае это благотворно скажется на нашей безопасности. Однозначно.
6 ноября премьер-министр Дмитрий Медведев подписал постановление правительства, которое усложнит работу мессенджеров на территории России: к маю следующего года их руководство должно будет заключить со всеми российскими операторами «договоры об идентификации» и проверять, действительно ли авторизирующийся пользователь является владельцем номера и SIM-карты, с которой регистрировался. Эксперты в IT-сфере, с которыми переговорила «Новая», сомневаются в том, что законопроект будет работать.
Как сейчас и как будет
Идея правительства — обязать мессенджеры уточнять у сотовых операторов, действительно ли номер телефона зарегистрирован на того или иного пользователя.
В постановлении не говорится, как именно должна проходить новая процедура, указано лишь время, которое она должна занимать, — 20 минут.
Если пользователя не оказалось в базе данных оператора или проверка продлится дольше указанного времени — к работе с мессенджером его велено не допускать. Помимо этого, каждый российский оператор связи должен будет указывать в своей специальной базе, к каким мессенджерам привязан номер телефона, а также «уникальный код идентификации» пользователя. В случае прекращения обслуживания номера оператор связи должен также уведомить мессенджер — чтобы пользователь указал новый номер.
Сейчас в большинстве мессенджеров для подключения необходимо пройти верификацию по SMS. При этом пользователь может использовать номер, зарегистрированный на другого человека, SIM-карту зарубежного оператора связи или, например, воспользоваться специальными сервисами, предоставляющими на время виртуальный номер телефона для получения разового SMS.
Зачем это нужно
Постановление должно было разъяснить принятый в июле прошлого и вступивший с 1 января этого года запрет анонимных мессенджеров в стране. Всех пользователей закон обязал предоставлять номера телефонов, доступ к нарушающим закон мессенджерам предполагалось блокировать, а их владельцев штрафовать на сумму до миллиона рублей по вступившей тогда же в силу статье 13.39 КоАП.
«Сложно представить, как мессенджеры привести к единому знаменателю, ведь многие из них изначально предоставляют пользователям максимальный спектр анонимизации и, например, позволяют не указывать свой контактный номер телефона», — рассказал «Новой» руководитель проекта «Роскомсвобода» Артем Козлюк .
Дополнительная сложность: до сих пор неясно, что поправки в закон «Об информации» подразумевают под «организатором сервиса обмена мгновенными сообщениями» — под такое описание подпадают не только мессенджеры. Соответствующего реестра в России с тех пор так и не появилось.
Представляющий в суде интересы одного из самых популярных мессенджеров — Telegram — глава международной группы «Агора» Павел Чиков считает, что в условиях правовой неопределенности действие закона распространяется на «организаторов распространения информации». Но и их статус не до конца определен российским законом: сбой в определении понятия как раз произошел на Telegram.
«Порядок внесения в реестр ОРИ предполагает добровольное участие, что впервые было нарушено в случае с Telegram, которого первого и пока единственного включили в реестр насильно. Возможно, остальных власти тоже будут включать [в реестр], — предполагает собеседник «Новой». — Но вряд ли они будут это делать, потому что конфиденциальность общения является сейчас элементом бизнес-модели любого мессенджера, и раскрывать данные властям российским никто не побежит».
Чиков отмечает, что
законодательство о мессенджерах будет распространяться в большей степени на лояльные интернет-сервисы, как «ВКонтакте»,
которые уже активно сотрудничают с правоохранительными органами. Оно даст возможность получать информацию о пользователях мессенджеров и соцсетей не напрямую от самих организаций, а от операторов связи, что и без того упростит им работу: «Сейчас, в случае того же «ВКонтакте», сотрудникам правоохранительных органов требуется в ручном режиме формулировать, отправлять запрос и потом еще какое-то время ждать на него ответ».
Прошлогодний запрет анонимных мессенджеров и новое постановление правительства могут использоваться для давления на сервисы, до последнего отказывающиеся использовать номер телефона для идентификации пользователей, считает IT-эксперт, основатель сервиса TgVPN Владислав Здольников . «Власти боятся, что на фоне каких-то грядущих репрессий из-за терроризма — например, на фоне событий в Архангельске (подросток взорвал самодельную бомбу в приемной ФСБ — Ред. ) — но тогда люди начнут переходить на какие-то совсем анонимные мессенджеры — Signal или Threema», — приходит к выводу эксперт.
По мнению Здольникова, акты об ужесточении контроля над мессенджерами принимаются в связке с «пакетом Яровой», который обязал операторов связи хранить голосовые сообщения и SMS в течение 30 дней, а интернет-компании — в течение полугода. «Ни один из таких законов не работает: ни «пакет Яровой», ни закон, обязавший предоставлять ФСБ ключи шифрования, ни реестр организаторов распространителей информации, ни этот, — отметил собеседник «Новой». — Эти законы инициируются от полного непонимания того, как устроен современный интернет, механизмы шифрования и современные мессенджеры».
«До какого-то момента российские власти верили, что угрозы блокировки работают, но на примере Telegram мы увидели, что и блокировкам можно противостоять. И про этот закон все забудут через несколько лет, — уверен Здольников. И вдруг вспоминает: — Кто сейчас скажет, что стало реестр блогеров Роскомнадзора?»
Правительство утвердило правила идентификации пользователей мессенджеров с помощью операторов связи. Соответствующее постановление, подписанное премьер-министром Дмитрием Медведевым 27 октября, во вторник было опубликовано на портале правовой информации. Правила вступят в силу через 180 дней.
Согласно документу, мессенджеры должны будут проверять информацию о номере пользователя у его мобильного оператора. Как следует из постановления, для этого мессенджер направляет запрос оператору, а тот должен провести проверку и ответить в течение 20 минут. Если номера в базе оператора не окажется или оператор не ответит, мессенджер не зарегистрирует пользователя. Если же пользователь, уже прошедший проверку, позднее изменит сведения о себе или сменит номер телефона, то ему нужно будет пройти процедуру заново.
После регистрации к аждый пользователь получит уникальный код идентификации в мессенджере. Мессенджер передаст эти данные оператору, и тот должен будет внести их в свою базу, указав , в каком именно приложении переписывается этот клиент.
Старым пользователям мессенджеров не придется проходить идентификацию, если данные, уже полученные от них сервисом, и сведения, имеющиеся у оператора, совпадут.
Если пользователь, ранее прошедший процедуру идентификации, расторгнет договор с оператором, то последний должен уведомить об этом мессенджер в течение суток. Мессенджер, в свою очередь, в течение 20 минут после получения такого уведомления обязан провести повторную идентификацию пользователя. Если сделать это не удалось, регистрация считается непройденной и пользователь не сможет использовать мессенджер, следует из документа .
Руководитель Роскомнадзора Александр Жаров пояснил «Известиям», что анонимное использование мессенджеров мешает расследовать преступления. Кроме того, во время переписки пользователям важно знать, «кто на самом деле на другом конце линии», отметил Жаров. «Нынешнее постановление правительства – необходимый шаг к созданию безопасной коммуникационной среды как для граждан, так и для государства в целом», – уверен он.
Пресс-служба МТС сообщила газете, что требования технически выполнимы, но потребуют доработки оборудования. «Мы готовы к исполнению постановления правительства, так как оно принято во исполнение вступившего в силу закона [о регулировании работы мессенджеров]», – заявил «Ведомостям» представитель «Мегафона». Оно вводит в легальное русло уже существующие фактические отношения, когда пользователи мессенджеров проходят идентификацию по номеру телефона. Для пользователей ничего не изменится, уверяет представитель оператора. Представитель «Вымпелкома» отказался от комментариев.
© Фото со страницы К.Казаряна в Facebook
Напомним, закон, который обязал мессенджеры идентифицировать пользователей по номеру мобильного телефона, приняли прошлой осенью. Он вступил в силу еще 1 января 2018 года. Согласно документу, если администрации ресурса не удалось подтвердить личность юзера по абонентскому номеру у оператора сотовой связи, его должны заблокировать. Иначе компании грозит штраф — от 800 тыс. до 1 млн рублей. С момента принятия закона прошел почти год, но он так и не заработал. Есть ли у него шанс с принятием новых правил идентификации, и как эта процедура будет выглядеть на практике, «Росбалту» рассказал ведущий аналитик Российской ассоциации электронных коммуникаций (РАЭК) Карен Казарян .
— Закон об идентификации пользователей мессенджеров принят прошлой осенью, но до сих пор не работает. Новые правила, которые принял кабмин, это изменят?
— Нет. Кроме правил нужно принять еще ряд подзаконных актов, которых до сих пор нет.
— Идентификацию должны будут пройти все пользователи или только новые?
— Этот закон обратной силы не имеет. Значит, тех, кто уже пользуется мессенджерами, идентификация не коснется. Она затронет только новых пользователей, которые будут регистрироваться после вступления закона в силу.
— По новым правилам, после регистрации в мессенджере пользователь должен будет «совершить действие с использованием абонентского номера, позволяющее достоверно установить, что сообщенный абонентский номер при регистрации в сервисе обмена мгновенными сообщениями используется пользователем». О чем идет речь?
— Ну, у каждого мессенджера своя процедура подтверждения: кто-то просит ввести код из смс, кто-то — сделать звонок на определенный номер. Не очень понятно, как это будет выглядеть в будущем, поэтому формулировка в законе довольно размытая.
— Правильно ли я понимаю, что уже после этой процедуры администрация мессенджера направляет запрос сотовому оператору?
— Как это будет? Вот я регистрируюсь в мессенджере, указываю свой номер телефона, подтверждаю его. Дальше администрация ресурса отправляет запрос оператору связи, чтобы выяснить, есть ли я у них в базе. Что конкретно должен ответить оператор? Зарегистрирован ли вообще такой номер в сети? На кого именно он зарегистрирован? Значит ли это, что при регистрации в мессенджере я должна буду указывать реальные имя и фамилию, а может и паспортные данные, чтобы потом администрация ресурса могла сверить все это с базой сотового оператора?
— Об этом ни в самом законе, не в правилах идентификации нет ни слова. Никаких разъяснений о том, какую именно информацию просят у сотовых операторов мессенджеры, нет.
— Не знаю, есть ли теперь смысл задавать этот вопрос, но все же спрошу: по новым правилам, у сотового оператора есть 20 минут, чтобы ответить администрации мессенджера. Если он ответит, что в базе нет данных о таком абоненте или не ответит вовсе, то идентификация считается не пройденной. По закону, мессенджер в таком случает должен пользователя заблокировать. В том числе просто потому, что оператор сотовой связи не ответил.
— Это еще одна проблема, по которой закон об идентификации не будет работать. Нигде не прописано, что сотовый оператор обязан сотрудничать с мессенджерами и предоставлять им какую-то информацию. И наказания за то, что он просто не ответит, нет. Кроме того, до сих пор непонятно, кто будет платить за идентификацию, на что указывал Минэкономразвития в своем отзыве на законопроект. Ведь мессенджеры и сотовые операторы должны будут вести определенную работу. И сами смс тоже чего-то стоят.
— На какие мессенджеры распространяется действие закона? Ведь во ВКонтакте и Facebook тоже есть возможность обмениваться мгновенными сообщениями.
— Роскомнадзор ведет так называемый реестр «Организаторов распространения информации (ОРИ)», на которых распространяется действие закона. Сейчас из известных в России ресурсов в нем только Telegram и ВКонтакте, а также Snapchat, WeChat, Line Chat. Ни WhatsApp, ни Viber, ни Facebook Messenger, ни даже «Там Там» в этом списке нет.
— Как так получилось?
— Для компаний есть два пути в реестр Роскомнадзора: либо они сами подают заявку, либо их включают в этот список принудительно — по решению органов национальной безопасности. Поскольку в отношении WatsApp или Viber они этого не сделали, значит, в этом пока нет необходимости.
Что касается добровольности, формально все компании, которые предоставляют пользователям возможность обмениваться мгновенными сообщениями, действительно, должны были сами подать заявки в Роскомнадзор для включения их в реестр. Но никаких санкций за то, что они этого не сделают, не предусмотрено.
— Правильно ли я понимаю, что весь этот закон об идентификации завязан на реестр Роскомнадзора, и спрос только с тех, кто в нем числится?
— Так, наверное, неправильно говорить. Формально в законе есть конкретное юридическое определение понятия «организатор распространения информации». Другое дело, что правоприменение, действительно, завязано на включении таких компаний в реестр.
На сайте Роскомнадзора нет возможности посмотреть весь список компаний, которые входят в перечень организаторов распространения информации. Можно только проверить по названию конкретной компании, есть она там или нет.
По состоянию на 10 августа 2017 года в реестре было 89 компаний. Как писал РБК, среди них на тот момент были почтовые клиенты Mail.Ru Group и «Яндекса», облачный сервис «Яндекс.Диск», соцсети «Мой мир», «Мой круг», «ВКонтакте», сервисы знакомств Mamba, Badоo, мессенджеры «Агент@Mail.ru». «Из-за нежелания предоставлять данные для включения в реестр в России была заблокирована онлайн-рация Zello, сайты мессенджеров BlackBerry, Imo. Представитель Zello называл требования ведомства «абсурдными и невыполнимыми», — отмечало издание.
Позднее Роскомнадзор заявил, что ведет переговоры с крупнейшими международными IT-компаниями вроде Facebook, WhatsApp, Viber, Apple, Twitter, которые находятся в процессе принятия решения о вхождении в реестр ОРИ. «Мы уважаем право компаний на конфиденциальность переговоров, поэтому не выносим в публичное поле результаты их промежуточных этапов. Нужно понимать, что это глобальные корпорации со сложной системой управления и согласования юридически значимых действий. Но для нас важно стремление компании к сотрудничеству. Если оно явно обозначено, у нас есть процедурные возможности для того, чтобы предоставить сервису дополнительное время, необходимое для согласования итогового решения», — сказал замглавы Роскомнадзора Олег Иванов «Российской газете» еще в апреле 2018 года. С тех пор в публичном поле не было никакой информации о вхождении WhatsApp, Viber или Facebook в реестр.
Беседовала Анна Семенец
