РАЭК и Яндекс: почему хранить пользовательский трафик – плохая идея

В Госдуме продолжает работа над законопроектом «О внесении изменений в отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности», уже получившем название «законопроект Яровой».

С чего началось

13 мая Госдума приняла в первом чтении законопроект, предложенный депутатом Госдумы Ириной Яровой и членом Совета Федерации Виктором Озеровым. Он устанавливает особые требования к операторам связи и распространителям информации в сети Интернет. Эти требования связаны с хранением данных пользователей.

Операторы связи и организаторы распространения информации обязаны хранить на территории Российской Федерации в течение трех лет информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации и текстовых сообщений, включая их содержание, а также изображения, звуки или иные сообщения пользователей услугами связи и предоставлять уполномоченным государственным органам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, указанную информацию, информацию о пользователях услугами связи и об оказанных им услугах связи и иную информацию, необходимую для выполнения возложенных на эти органы задач, в случаях, установленных федеральными законами.

А потом

Во втором чтении была принята поправка, согласно которой организаторы распространения информации обязаны декодировать сообщения пользователей. Также ко второму чтению снизился и срок хранения информации – до 6 месяцев.

И это правда важно

РАЭК сформулировал свою позицию по «законопроекту Яровой» и выделил несколько отраслевых проблем, связанных с ним:

• Большинство стандартов шифрования не предусматривают хранение пользовательских ключей. Так что без изменения алгоритма декодировать информацию невозможно. Изменение алгоритма создает угрозу кибербезопасности, так как, по сути, это создание заведомой уязвимости в системе.
• Наличие специальных ключей доступа к шифрованию делает создает опасность взлома иностранными спецслужбами.
• Законопроект создает массу возможностей для утечки конфиденциальной информации.
• Законопроект может затруднить деятельность российских компаний за рубежом, так он может нарушать законодательство других стран и международные обязательства РФ.
• Иностранные компании могут отказаться от выполнения требований.
• Другие государства могут потребовать раскрыть ключи к российским компаниям.

Требования по раскрытию ключей для декодирования сообщений ведет к созданию угроз для безопасности и частной жизни граждан, создает угрозы для бизнеса и ставит российские компании в неравное положение, создает угрозы для национальной безопасности. При этом, данные меры не повлияют на доступность инструментов шифрования для злоумышленников.

Яндекс также высказывает свои опасения касательного нового законопроекта.

Во-первых, в самом законопроекте содержится немало моментов, требующих пояснения, с точки зрения компании. Например, порядок и объем хранения сообщений пользователей или само определения кодирования.

А во-вторых, принятие законопроекта существенно увеличит затраты интернет-компаний и ограничит права бизнеса и пользователей.

С уверенностью можно сказать только одно — затраты интернет-компаний вырастут. Интернет-компаниям придется увеличить число серверов и подумать о перестройке внутренней инфраструктуры. Сокращение сроков хранения данных с 3-х лет до 6 месяцев только снизит дополнительные расходы, но не отменит сам факт новых затрат. Иным образом, бизнес получает какие-то новые обязанности и дополнительные расходы, однако в текущей редакции законопроекта данное регулирование избыточно, поскольку приводит к чрезмерному ограничению прав как бизнеса так и пользователей. Однако приводят ли в итоге эти ограничения к тем целям, о которых говорят авторы законопроекта? Речь идёт об усилении регулирования ради безопасности. Процедуры контроля должны ставить всех в равные условия. В текущем варианте законопроекта равных условий или не будет, или их форсирование заставит кого-то из игроков уйти из России, что негативно повлияет на отрасль.