161223 rus internet 00 copyРосійське керівництво взяло курс на тотальний контроль Інтернет-простору. У липні поточного року в РФ було прийнято низку так званих «антитерористичних» поправок, які суттєво ускладнили життя не тільки пересічних користувачів мобільного зв’язку та Інтернету, але й надавачів цих послуг.

 

Тепер провайдери мусять зберігати та аналізувати трафік клієнтів та ділитися інформацією з «компетентними органами». Що стоїть за цим нововведенням та чи готові російські телекомунікаційні компанії до роботи в нових умовах?

 

Чого хоче російська влада?

 

Пакет нових законів, під умовною назвою «поправки Ярової-Озерова», за іменами їх авторів — депутата Ірини Ярової та сенатора Віктора Озерова — став для російських Інтернет-провайдерів та операторів мобільного зв’язку своєрідним «ящиком Пандори». З його прийняттям російський кіберпростір має навчитися жити по новим правилам, нав’язаним суворою державною машиною.

 

Зокрема, відповідно до поправок, оператори зв'язку та інтернет-провайдери повинні будуть протягом шести місяців зберігати весь трафік своїх користувачів: розмови, повідомлення, фото -, відео - та інші файли. Також, зв’язківці мусять три роки, а інтернетники — один рік, забезпечувати збереження метаданих клієнтів. Крім того, оператори зобов’язуються надавати «компетентним» органам доступ до такої інформації на їх запит та без отримання рішення суду.

 

161223 rus internet 0220161223 Yarovaya2Ірина Яровая

 

Якщо ж клієнти здійснюють шифроване пересилання інформації, то інтернет-провайдер повинен надати правоохоронцям також і ключі шифрування. Відмова від цього, або ж використання засобів шифрування, які не пройшли сертифікацію у РФ, каратиметься штрафом. При цьому, процедуру сертифікації та передачі ключів має розробити ФСБ, що надає цій службі великі повноваження.

 

Поправки Ярової-Озерова вступають в дію лише з 1 липня 2018 року, але вже сьогодні в російському IT- просторі починають проявлятися наслідки їх прийняття.

 

Технічні нюанси

 

Ще під час обговорення проекту поправок російська IT- спільнота нещадно розкритикувала більшість його положень. Втім, за незначними винятками, поправки були таки прийняті і почалася робота по їх втіленню в життя. Разом з підписанням закону, російський президент дав доручення різним відомствам щодо доопрацювання технічної сторони його реалізації. Зокрема, за даними російських ЗМІ, наразі ФСБ, Мінкомзв’язку та Мінпромторг працюють над технічними рішеннями щодо дешифрування всього інтернет-трафіку російських користувачів в режимі «онлайн». Технологія має здійснювати аналіз трафіку за ключовими словами. Це дозволить спецслужбам не тільки запобігти потенційним загрозам, а й також створювати профілі користувачів мережі.

 

161223 rus internet 03

 

Ще до прийняття «пакету Ярової» немало російських чиновників були невдоволені тим, що значна частина трафіку (близько 40%) є зашифрованою. Однак, більшість IT - спеціалістів вважають, що до вступу поправок в дію норму про надання ключів шифрування переглянуть, оскільки навряд чи вона буде реалізована на практиці. Справа в тім, що у багатьох сервісах, наприклад популярних у користувачів WhatsApp і Telegram, використовується шифрування типу «end-to-end». Це означає, що вміст відправлення доступний лише відправникам та одержувачам, а не операторам чи провайдерам. Тобто, зберігати подібну інформацію, яку неможливо буде розшифрувати, немає сенсу.

 

За повідомленнями деяких джерел, у ФСБ одним із виходів із ситуації вважають встановлення в мережі обладнання, яке здатне виконувати так звану MITM-атаку. Спочатку користувача з’єднають з обладнанням, яке зчитає і розшифрує перехоплені дані, а лише потім, зашифрувавши їх, відправить на той сервер, якому вони призначені.

 

man in the middle
 MITM (Man in the Middle)-атака

 

Напевне тому ФСБ наполягає на розробці технології, яка б дозволила розшифровувати трафік в режимі «real-time» та проводити його аналіз за ключовими словами. В свою чергу, задіяні в розробці міністерства вважають, що розшифровці має підлягати лише трафік тих абонентів, щодо яких є певні підозри у правоохоронних органів. Ця позиція є більш прийнятною у правовому сенсі, оскільки вторгнення в особисте листування чи фінансові дані громадян є прямим порушенням Конституції РФ, яку,звісно, під поправки Ярової ніхто міняти не буде.

 

Крім того, вважає Експертна рада при уряді РФ, зосередження всіх даних щодо комунікацій користувачів в одному місці тягне небезпеку заволодіння нею хакерами, терористами та різного роду кібершахраями.

 

Фінансова сторона

 

Якщо питання доступу до паролів та зашифрованих даних носить суто технічний характер, то вимога щодо збереження даних по трафікам клієнтів зачіпає фінансові інтереси операторів і провайдерів. По різним оцінкам обсяг таких даних може скласти від 5 до 8,6 млн. терабайт. Для їх збереження необхідно створити відповідну систему, при чому за власний кошт операторів.

 

Оператори зв’язку РФ які входять в так звану «велику трійку» (МТС, Вимпелком і Мегафон) вже заявили, що разові витрати на створення центрів по обробці і збереження даних можуть становити до 50 млрд рублів для кожного. А по розрахункам державного оператора «Ростелеком», його річні витрати на обробку додаткового трафіку можуть сягнути не менше 1 трлн рублів. Щодо невеликих операторів, то вони можуть взагалі щезнути з російського ринку, оскільки фінансово будуть не в змозі виконати нові вимоги. До речі, на сьогодні в РФ зареєстровано близько 14 тисяч операторів зв’язку.

 

За заявами операторів, їх витрати на організацію центрів зберігання даних можуть сягнути розміру прибутку за кілька років. Тому відшкодовувати їх доведеться за рахунок підвищення тарифів на послуги зв’язку та часткового припинення розвитку мережі.

 

Втім, як зазначалося, збереження трафіку і метаданих користувачів стане обов’язковим практично і для усіх російських телекомунікаційних компаній. Один з гігантів ринку компанія Mail.ru Group вже оцінила витрати на створення додаткових систем зберігання інформації у $1,2-$2 млрд. Напевне, й у інших великих інтернет-провайдерів суми будуть коливатися в цих межах. При цьому, згідно поправок Ярової-Озерова, так званим «організатором поширення інформації» може бути визнаний практично будь-який інтернет-ресурс. За даними російської асоціації електронних комунікацій (РАЕК), яка об’єднує понад 200 найбільших IT- компаній, витрати на створення дата-центрів, інфраструктури, або їх оренду для більшості учасників ринку будуть непосильними. А це може призвести до їх виведення з ринку, що, безумовно, піде не на користь споживачам.

 

Разом з тим, на думку деяких експертів, нарікання операторів зв’язку та провайдерів про багатомільйонні витрати поки що носять більш емоційний характер. Не слід виключати, що на тлі таких кардинальних змін, деякі з них, особливо великі гравці ринку, намагатимуться отримати додаткові прибутки, звісно ж, за рахунок звичайних користувачів. Не виключено, що все-таки якась частина коштів на реалізацію «пакету Ярової» буде направлена з бюджету, а за це варто й поборотися.

 

На сьогодні м’яч знаходиться на полі уряду РФ, який має організувати практичне втілення «антитерористичних поправок», справжній діалог навколо яких почався, насправді, лише з їх прийняттям. А це не виключає внесення певних змін чи відстрочок.

 

Коли за діло береться «Ростех»...

 

Нещодавно стало відомо, що для виконання положень «закону Ярової» держкорпорація «Ростех» запропонувала використати її підрозділ — Національний центр інформатизації, як єдиний центр зберігання і обробки даних. Ідея знайшла підтримку й у Мінпромторгу, одного з організаторів виконання закону. Як зазначили у відомстві, призначення НЦІ єдиним оператором дасть можливість зменшити витрати операторів і провайдерів на інфраструктуру. За задумкою «Ростеху», замість самостійного придбання систем зберігання даних, телекомунікаційні компанії зможуть просто оплачувати послуги за користування єдиною загальнодержавною системою. За оцінками держкорпорації, для великого оператора зв’язку це обійдеться приблизно в 3-4 млрд в рік. Сума, скажімо, досить немаленька і для гігантів ринку, а яким чином єдина система врятує дрібних операторів, у «Ростеху» не пояснюють...

 

За деякими даними ФСБ запропонувала використовувати для зберігання і обробки трафіку російську систему оперативно-розшукових заходів (СОРМ), яка давно встановлена в мережах операторів і слугує для прослуховування розмов. Хоча Мінпромторг і Мінпромзв'язку запропонували ще декілька варіантів вирішення проблеми, вибір, звісно, буде за «компетентним органом». То ж на якій базі НЦІ буде будувати систему збереження, допоки не відомо. Дещо дивною видається й пропозиція щодо джерела фінансування створення єдиного оператора зберігання даних. «Ростех» запропонував вкласти у це кошти незалежних пенсійних фондів, оскільки це не заборонено законодавством, а сама система буде надійно підтримуватися за рахунок операторів зв’язку і інтернет-провайдерів. Проте, поки що Мінфін РФ цю пропозицію не коментує.

 

Як зазначають в приватних розмовах представники ІТ-сфери, сам «Ростех» не є оператором зв'язку і не підпадає під дію «пакета Ярової». Проте, збереження даних є лише верхівкою айсбергу, більше питань може викликати організація процесу. Він буде передбачати доступ до білінгу і «внутрішніх кухонь» IT-компаній і операторів. Крім того, фактично «Ростех» через свою структуру — НЦІ буде здійснювати централізований контроль усіх російських телекомунікаційних мереж, а це — неприкрита загроза для конкуренції.

 

Побоювання російських операторів щодо «Ростеху» не випадкові і грунтуються на низці скандалів навкруги цієї держкорпорації. Її керівництво і близьке оточення неодноразово помічалися в нездоровому інтересі до освоєння держфінансування різних програм. Самими гучними за останні роки були справи щодо закупівлі ліків та запуску у серійну розробку пасажирського лайнера «Суперджет». Державний статус та адмінважелі дозволяють «Ростеху» створювати різні механізми привласнення бюджетних коштів через утворення штучної конкуренції в різних галузях російської економіки. Причому, в усіх скандалах навколо «Ростеху» явно прослідковувалися корупційні ознаки. Так що і в залученні його до створення єдиної системи зберігання даних в рамках «закону Ярової» багато хто в Росії вбачає намагання встановити чергову корупційну монополію. А пропозиція щодо залучення пенсійних накопичень аж надто вже скидається на чергову фінансову оборудку «Ростеху».

 

Зарубіжний фактор

 

Окремо варто відзначити, як вплине «закон Ярової-Озерова» на роботу іноземних сервісів. Зрозуміло, що поправки розповсюджуються лише на територію РФ, а тому зарубіжні провайдери навряд чи захочуть створювати собі додаткові проблеми зі зберіганням даних та дешифрацією трафіка, не кажучи вже про співпрацю з «компетентними органами». Російські оператори зв’язку та Iнтернет-компанії змушені будуть це робити в силу закону і під страхом застосування санкцій. Деякі російські експерти побоюються, що така ситуація призведе до втрати довіри до місцевих сервісів і користувачі перейдуть на закордонні. А якщо влада почне закривати доступ до зарубіжних сервісів, які не будуть надавати спецслужбам ключі шифрування, їй доведеться блокувати весь інтернет, окрім його російського сегменту.

 

На сьогодні усі великі міжнародні ресурси і сервіси, наприклад, такі, як Google, Facebook, Telegram, WhatsApp застосовують шифрування трафіку. По деяким оцінкам, протягом кількох років до цього дійдуть практично усі сайти. Зараз у світі працює більш ніж 300 млн сайтів, а в Росії — близько 5 млн. Це навіть менше 2% усіх інтернет-сервісів. Таким чином, російська влада зможе розшифровувати мізерну кількість від існуючого сьогодні трафіка, проте ставитиме під сумнів решту сегменту, який працює в правовому полі інших юрисдикцій.

 

І деякі з іноземних телекомунікаційних компаній вже почали «евакуацію» із російського простору. Так, ще в липні, відразу після прийняття «пакету Ярової» про це заявив відомий VPN-провайдер Private Internet Access. Як зазначили в компанії, після того, як вони ознайомилися з текстом документу, були закриті усі російські шлюзи провайдера і в даному регіоні їх робота поновлена не буде.

 

Легко прийняти, важко реалізувати

 

Отже, поки що не відомо, як поправки Ярової-Озерова допоможуть російські владі боротися з тероризмом. Проте, вже зрозуміло, що вони створили багато факторів невизначеності для ІТ- галузі. Проаналізувавши експертні оцінки прийнятого закону представниками російської ІТ-спільноти, можливо виділити декілька основних, які роблять невтішні прогнози щодо його реалізації.

 

1. Виконання вимог «закону Ярової» призведе до вкрай негативних фінансових наслідків для російської ІТ-галузі. За оцінками незалежних експертів, впровадження систем збереження інформації можуть сукупно скласти близько 5 трлн. рублів, що є непосильним тягарем для більшості операторів та провайдерів.

 

2. Встановлення систем зберігання потребує додаткових дата-центрів, яких в Росії в необхідні кількості немає. А новий дата-центр будується, в середньому, три-чотири роки.

 

3. Інтернет-компанії зобов'язуються передавати ключі для розшифровування трафіку в органи безпеки. Втім, практично усі методи шифрування, які використовуються сьогодні, передбачають зберігання таких ключів лише у осіб, які обмінюються інформацією. Тобто провайдерів зобов'язують надавати те, до чого в більшості випадків у них немає.

 

4. Для реалізації закону в частині зберігання інформації необхідно закупити та встановити відповідні системи, які сьогодні в РФ не виробляються. Враховуючи санкції, які застосовані до держави та деяких компаній, закупівля систем за кордоном практично неможлива.

 

5. Детальна інформація про користувачів Інтернету та записи телефонних розмов є привабливим полем для різних зловживань кіберзлочинцями, починаючи від банального шантажу і закінчуючи викраденням коштів з банківських рахунків. Для забезпечення належного рівня безпеки необхідні значні кошти, що можуть дозволити собі хіба що великі гравці ринку. Експерти не виключають, що згодом телефонні розмови клієнтів дрібних операторів стануть ходовим товаром на чорному ринку.

 

6. На сьогодні близько 40% загального інтернет-трафіку зашифровано. Зберігати такий обсяг не має практичного сенсу, оскільки розшифрувати його неможливо. Та й насправді проблему тероризму такий підхід не вирішить. Зловмисники просто перестануть користуватися російським трафіком.

 

То ж, зазначені вище технічні та фінансові ризики цілком можуть призвести до постійного відстрочення вступу в дію окремих пунктів «антитерористичного закону». А це, в свою чергу, буде тримати в підвішеному стані усіх учасників російського ІТ- ринку та його клієнтів.

 

Втім, можливо це і є головною, проте таємною задумкою російської влади, реалізованою через «пакет Ярової»...

 

Олександр Виноградський

 

! При використанні вмісту сайту обов’язковим є активне гіперпосилання на defence-ua.com, що не закрите від індексації пошуковими системами

Переклад

Ukrainian Arabic Chinese (Traditional) English French German Italian Portuguese Russian Spanish