ФСБ потребовала ключи для дешифровки переписки у «Авито», Rutube, «Хабра» и еще десятка сайтов. Это произошло в разгар московских протестов
Мы рассказываем честно не только про войну. Скачайте приложение.
Как выяснила «Медуза», Федеральная служба безопасности летом 2019 года направила десятку российских интернет-сервисов, среди которых «Авито», «Хабр» и Rutube, письма с требованием передать спецслужбе ключи для дешифровки переписки пользователей, а также организовать «круглосуточный доступ к своей информационной системе». В феврале 2020-го «Хабр» перенес регистрацию юридического лица из России на Кипр.
В августе 2019 года десяток российских интернет-компаний, которые находятся в реестре организаторов распространения информации Роскомнадзора, получили письма из Центра оперативно-технических мероприятий ФСБ, рассказал «Медузе» источник на интернет-рынке.
Копия одного из писем есть в распоряжении «Медузы». В нем говорится, что получившая его компания обязана «организовать круглосуточный удаленный доступ Центра [ФСБ] к информационной системе организации», а также «обеспечить в возможно короткий срок техническую готовность к предоставлению в Центр информации, необходимой для декодирования электронных сообщений пользователей интернет-сервисов», то есть передачу ключей для расшифровки трафика.
Свои требования ФСБ направила компаниям заказными письмами «Почты России», их в начале августа получили «Авито», «Хабр» (ранее назывался «Хабрахабр»), Rutube и еще десяток интернет-сервисов, утверждает собеседник «Медузы» на интернет-рынке. «В разгар московских протестов ФСБ устроила просто массовую рассылку компаниям из реестра ОРИ», — говорит он.
На сайте «Почты России» существует система отслеживания посылок и заказных писем. «Медуза» путем перебора номеров отслеживания почтовых отправлений обнаружила, что письма от Центра оперативно-технических мероприятий ФСБ в августе были направлены вот этим сайтам:
Юридическое лицо
Интернет-сервисы, которые ему принадлежат
сайт объявлений avito.ru
сайты medianetworks.ru, iworker.ru, sportliga.com, film.ru, hi-fi.ru, audiomagazine.ru, cars.ru, paparazzi.ru, zvezdi.ru, maxpark.com и newsland.com
конструктор сайтов ucoz.ru
сервис голосовой связи mdi-connect.ru
сервис поиска работы для IT-специалистов «Хабр Карьера» по адресу career.habr.com
ООО «Хабр»
сообщество для IT-специалистов «Хабр» по адресу habr.com
ООО «Руформ»
видеохостинг Rutube
ООО «Киберника»
защищенная платформа для корпоративной связи «Сибрус» www.cybrus.ru
ЗАО «Позитив Текнолоджис»
сайты ptsecurity.ru, phdays.ru и securitylab.ru
ООО «Хостинг Технологии»
хостинг-платформа vdsina.ru
ООО «Дельта»
дата-центр datacheap.ru
«Медуза» направила в ФСБ и всем перечисленным компаниям запросы с просьбой прокомментировать данную информацию и ожидает ответа. Согласно действующему законодательству, если какая-то из этих компаний не предоставит спецслужбе ключи шифрования — это будет нарушением Кодекса об административных правонарушениях. В таком случае ФСБ составит протокол об административном правонарушении и, если суд признает компанию виновной по статье 13.31 КоАП, ей будет выписан штраф в размере до одного миллиона рублей. При этом штраф не избавляет компанию от обязанности предоставить ключи. Если она так и не сделает этого, то Роскомнадзор вынесет ей предписание об устранении нарушения, на исполнение которого дается 15 дней, после чего ведомство обратится в суд с требованием заблокировать на территории России сервисы, ключи шифрования от которых отказываются предоставить.
Как ранее сообщала «Медуза», несколько дней назад «Хабр» перерегистрировал свой портал habr.com. Раньше он принадлежал российскому ООО «Хабр», а теперь — кипрскому «Хабр Блокчейн Паблишинг ЛТД». Генеральный директор компании Diphost Филипп Кулин отмечал, что эти действия могут быть связаны с нежеланием «Хабра» подчиняться требованиям, которые возлагаются на компанию из-за попадания в реестр ОРИ. Однако основатель «Хабра» Денис Крючков утверждал, что перенос компании на Кипр связан с его желанием позиционировать проект как глобальный, а не исключительно российский.
По «закону Яровой» требование передать ключи для дешифровки трафика пользователей и организовать круглосуточный доступ к своим IT-системам может поступить любой компании из реестра ОРИ — сейчас их в нем около 200. Ранее было известно только о двух таких случаях: в 2017 году ФСБ потребовала ключи для дешифровки переписки у Telegram, а в 2019-м — у «Яндекса», однако обе компании не хотели сотрудничать со спецслужбой. Основатель Telegram Павел Дуров отказался передавать ключи шифрования в ФСБ, после чего Роскомнадзор внес мессенджер в свой реестр запрещенных ресурсов, но заблокировать его работу на территории России так и не смог. Чем закончились переговоры «Яндекса» и ФСБ — достоверно неизвестно, управляющий директор «Яндекса» Тигран Худавердян заявлял, что у компании есть «решение проблемы», но деталей не раскрывал.
(1) Организаторы распространения информации, или ОРИ
Компании, которые управляют сайтами, на которых пользователи могут обмениваться сообщениями. В реестре ОРИ, который ведет Роскомнадзор, сейчас около 200 компаний, среди которых «Яндекс», Mail.Ru Group, Telegram.
(2) «Закон Яровой» или «пакет Яровой»
Пакет законов, принятый в 2016 году с целью борьбы с терроризмом. Среди его положений — требование к операторам связи и ОРИ хранить записи звонков россиян до полугода, а весь интернет-трафик — в течение месяца. По «закону Яровой» для расшифровки трафика в ходе проведения оперативно-разыскных мероприятий ФСБ может потребовать от ОРИ ключи для дешифровки трафика пользователей.