«На магнитном носителе по почте»: приказ ФСБ о порядке сбора ключей шифрования

Авг 17, 2016

До сих пор не расставил всех точек над «i» в вопросе передачи ключей шифрования опубликованный на официальном портале правовой информации приказ Федеральной службы безопасности Российской Федерации «Об утверждении Порядка представления организаторами распространения информации в информационно-телекоммуникационной сети «Интернет» в Федеральную службу безопасности Российской Федерации информации, необходимой для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей информационно-телекоммуникационной сети «Интернет».

Согласно документу, собирать ключи шифрования будет Организационно-аналитическое управление Научно-технической службы ФСБ. «Организаторы распространения информации» в интернете должны будут предоставлять эти сведения в ФСБ на основании запроса, который посылается в письменном виде с уведомлением о вручении. Никакого указания, что это осуществляется на основе выданного судебного ордера нет. Это значит, что в нарушение Конституции РФ организаторы распространения информации будут обязаны по запросу начальника управления ФСБ или его зама передавать спецслужбам всю переписку граждан и данные об их действиях и взаимодействии.

Информацию нужно будет передавать в управление ФСБ «на магнитном носителе по почте» или «в форме электронного сообщения по электронной почте». Интересно, что технология магнитных носителей (диски/карты/ленты/барабаны) почти канула в лету. Кроме того, «организатор распространения информации» по согласованию с ведомством может «организовать доступ» представителя управления к необходимым данным.

На данный момент в России 65 официальных организаторов распространения информации. Это крупнейшие российские интернет-компании вроде «Яндекса», «ВКонтакте», «Мэйл.Ру» и несколько десятков СМИ, в первую очередь, региональных. Зарубежных компаний — таких как Facebook, Twitter, Telegram и Google — в перечне пока нет.

Если владелец сервера отказывается предоставить ключ, необходимый для расшифровки HTTPS или другого зашифрованного трафика, на него может быть наложен штраф в миллион рублей.

 

В Российской общественной организации «Центр Интернет-технологий» (РОЦИТ) прокомментировали ЖУРНАЛИСТУ, что эти меры избыточные для достижения целей всеобщей безопасности. Как заявили эксперты центра, принятие поправок создаст серьезные угрозы правам и законным интересам пользователей интернета в части сохранности и конфиденциальности пересылаемой ими информации. Дело в том, что уровень шифрования, который используется для трафика обычных пользователей, является лишь дополнительной защитой от неправомерного доступа к информации со стороны злоумышленников. А, к примеру, при использовании протокола HTTPS ключи шифрования хранить нельзя технически. Этот протокол используется на огромном количестве сайтов, в том числе на «Госуслугах».

«Встраивание же в алгоритм средств доступа фактически означает создание уязвимости в системе безопасности силами самих разработчиков, что недопустимо с точки зрения защиты конфиденциальности информации граждан. То, что любые уязвимости в системе шифрования будут немедленно использованы злоумышленниками (от групп «гражданских хакеров» до иностранных разведок), уже показывает международная практика», - заявили в РОЦИТ.

Между тем кибер-преступлениями и взломами пользовательских данных может обернуться не только дешифрование информации, но и её хранение в ЦОДах операторов и интернет-компаний. «Я уверен, что эти биллинги будут утекать на чёрный рынок. Самое драматичное произойдёт после 1 июля 2018 года, если данные о пользователях действительно начнут храниться. Это просто кладезь для криминального мира, начиная от адресной рекламной рассылки и вплоть до шантажа», - рассказал ЖУРНАЛИСТУ директор информационно-аналитического центра «Сова» Александр Верховский. При этом эксперт допускает, что в силу больших затрат на хранение данных нововведение будет откладываться, как это было с законом о размещении личных данных граждан на серверах территории России.

 

 

По материалам портала Rublacklist.net
Фото: thetimes.co.uk