Image
разбор

«Пакет Яровой» убивает интернет-компании и покушается на частную жизнь. И вот почему

Источник: Meduza
Фото: Фото: Денис Абрамов / Ведомости / fotoimedia. Дата-центр Mail.ru

Мы рассказываем честно не только про войну. Скачайте приложение.

Госдума приняла так называемый «антитеррористический пакет», существенная часть которого посвящена интернету. Согласно документу, операторы связи и «организаторы распространения информации» должны в течение полугода хранить вообще всю переданную информацию, то есть и записи телефонных звонков, и содержание смс-сообщений. В течение трех лет они также обязаны хранить сведения о переданных данных. Наконец, компании должны помочь ФСБ расшифровать весь трафик. Против нового закона выступили крупнейшие российские интернет-компании — Mail.ru и «Яндекс», — а также профильные ассоциации РАЭК и РОЦИТ и даже рабочая группа «Связь и ИТ» при правительстве России. «Медуза» рассказывает, почему этот закон не просто невыполним, но и наносит удар как по простым пользователям интернета, так и по интернет-компаниям.

Дорого

Закон предписывает операторам связи и «организаторам распространения информации» (ими могут быть признаны любые сайты; реестр ведет Роскомнадзор) хранить все данные, переданные пользователями. Это гигантский объем данных: все производители мира должны работать только на Россию в течение семи лет, чтобы создать столько инфраструктуры для хранения и обработки такого объема информации.

Есть и другая проблема: в центральной части России просто нет достаточного количества электроэнергии для питания дата-центров, которые еще даже не построены. При этом в России такие системы не производятся, то есть деньги на их закупку пойдут за рубеж.

Экспертная оценка затрат на постройку инфраструктуры — более чем пять триллионов рублей. Для сравнения, доходы федерального бюджета России в 2015 году составили 13,7 триллиона рублей. В законе говорится, что для внедрения закона не потребуется государственных денег, но это не так: ведомствам придется закупать как минимум кабели для передачи данных (поскольку кабели, которые есть сейчас, не справятся с тем объемом информации, которые закон предписывает хранить).

Кроме того, государство рискует потерять доходы, которые оно получает с интернет-компаний. Сейчас они платят налог на прибыль, но с внедрением закона могут стать убыточными, поскольку им придется тратить десятки и сотни миллиардов рублей на закупку оборудования.  

Image
Дата-центр «Яндекса»
Фото: «Яндекс»

Глупо

Новый закон предписывает всем «организаторам распространения информации», которые используют «дополнительное кодирование» электронных сообщений, предоставлять в ФСБ информацию, позволяющую «декодировать» все, что потребуется. Нужно понимать, что кодируется вообще вся информация в интернете. Любой текст, любая картинка, переданная по электронной почте, кодируется по стандарту MIME. Нужно ли предоставлять ФСБ информацию о принципах его работы?

Если говорить о шифровании, сейчас в интернете почти половина трафика зашифрована, и этот объем растет. Причем в большинстве случаев «организаторы распространения информации» не имеют ключей для расшифровки — так обеспечивается приватность в интернете. К примеру, при использовании протокола HTTPS ключи шифрования хранить нельзя технически. Этот протокол используется на огромном количестве сайтов, в том числе на «Госуслугах», то есть закон блокирует работу ресурса для взаимодействия россиян и государства.

Как быть с финансовыми системами, тоже неясно. Система обмена транзакциями SWIFT не использует российские алгоритмы шифрования, но с ней работают почти все банки мира, в том числе российские. Платежные системы обязаны соблюдать стандарт PCI DSS — он не предусматривает раскрытия ключей шифрования, как того требует закон.

Для исполнения закона придется придумать новые методы шифрования, которые должны при этом каким-то образом работать с существующими, потому что иностранные компании не станут поддерживать эти технологии. Впрочем, в любом случае их еще нет. Но даже если удастся создать некий центр хранения всех ключей шифрования, это сделает всю систему уязвимой, поскольку она станет желанной целью для хакеров — ведь с помощью этих ключей гипотетически можно расшифровать любое российское сообщение.

Новый закон также нарушает право граждан России на тайну переписки, гарантированную Конституцией. Это право может быть нарушено только по решению суда, однако «пакет Яровой» требует, чтобы правоохранительные органы имели доступ ко всем данным без санкции суда. Сейчас большинство мессенджеров использует шифрование, и это важное конкурентное преимущество, поскольку пользователи заинтересованы в сохранности своей переписки. Новый закон лишит любой российский продукт конкурентоспособности. Что будут делать в этой ситуации зарубежные компании, неясно. Они могут просто уйти с российского рынка.

Текст основан на заявлениях «Яндекса», Mail.ru (они считаются «операторами распространения информации»), Российской ассоциации электронных коммуникаций и Регионального общественного центра интернет-технологий (позиционирующих себя как связующее звено между интернетом и государством), а также рабочей группы «Связь и ИТ» при правительстве России.