Энциклопедия мобильной связи

Главная Йота
Йота

Госдума рассмотрит законопроект об идентификации пользователей мессенджеров. Дмитрий Огородников, директор центра компетенций по информационной безопасности компании «Техносерв»

Предусматривающий обязательную идентификацию пользователей мессенджеров. По своей сути он аналогичен принятым в 2015 году поправкам, которые организациям держать точки Wi-Fi с анонимным доступом к интернету.

Если новый закон будет принят (а в этом на фоне принятие прочих «антитеррористических» норм можно не сомневаться), владельцы мессенджеров будут обязаны идентифицировать российских пользователей. Вероятно, идентификация будет производиться по номеру телефона. Ранее на этой неделе стало известно, что в России будет ужесточён контроль за абонентами сотовой связи - операторов запрашивать у клиентов документы удостоверяющие личность. В том случае, если выяснится, что договор заключён не с тем человеком, который реально пользуется услугами связи, оператор обязан расторгнуть договор и прекратить предоставление услуг такому абоненту.

Очевидно, что эти две нормы будут связаны друг с другом, и таким образом российские власти в теории смогут достоверно идентифицировать пользователя любого мессенджера. Конечно, те, кому очень нужно, смогут обходить идентификацию, но для большинства пользователей это слишком сложно.

Новые законопроекты также будут связаны с антитеррористическим «пакетом» законов , который обязывает провайдеров, операторов и организаторов распространения информации (к которым причислят мессенджеры) хранить переписку, переговоры, файлы и прочие пользовательские данные, а также ключи для их расшифровки, предоставляя всё это по требованию правоохранительных органов и ФСБ.

В 80-х годах в России появилась СОРМ (система оперативно-розыскных мероприятий). Это комплекс оборудования и программного обеспечения, который изначально предназначался для прослушки стационарных и телефонов. Со временем эта система развивалась и начала использоваться для перехвата и хранения записей переговоров по сотовой связи, SMS-сообщений и интернет-трафика. Проблема в том, что зашифрованный трафик сложно расшифровать, а использование в мессенджерах двухстороннего шифрования (когда ключ дешифровки есть только у отправителя и получателя, но не у самого сервиса), ещё сильнее усложняет задачу. Как можно понять, российские власти стремятся ослабить информационную защиту сайтов и мессенджеров до уровня сотовой связи.

В этом году Роскомнадзор мессенджеров, отказавшихся от включения в реестр организаторов распространения информации. На примере было показано, что любой мессенджер (даже один из самых популярных в мире) может быть заблокирован в России, но легко выйдет из блокировки, если согласится на включение в реестр и будет работать в соответствии с российским законодательством.

Аналоги СОРМ есть в большинстве стран мира: в США это CALEA (Communication Assistance for Law Enforcement Act), а в Европе - LI (Lawful Interception). В Китае популярностью пользуются местные мессенджеры, но также работают иностранные, согласившиеся сотрудничать с китайским правительством и отфильтровывать неугодный контент. В Северной Корее с мессенджерами всё в порядке - в этой стране их просто нет. Интернет в этой стране доступен лишь избранным - некоторым госслужащим и образовательным учреждениям.

И в России, и в других странах мира SIM-карты продаются только при предъявлении удостоверения личности, а регистрация в большей части мессенджеров осуществляется по номеру телефона, что позволяет правоохранительным органам при желании вычислить, кто именно скрывается за тем или иным аккаунтом и ведёт незаконную деятельность. Другое дело, что крупные мессенджеры дорожат своей репутацией и очень неохотно сдают пользовательскую переписку либо делают так, чтобы переписка не хранилась на их серверах и сдавать было нечего. Спецслужбы США и крупных европейских стран вроде Великобритании за пользователями, используя в своей работе хакерские инструменты. Иногда происходят утечки таких инструментов - так, например, был создан вирус , который с 12 по 14 мая 2017 года заразил более ста тысяч компьютеров по всему миру. Компания Microsoft заявила, что вина в появлении этого вируса лежит на спецслужбах США, поскольку они утаили информацию об уязвимостях в Windows, чтобы тайно эксплуатировать их. В России необходимости в тайной слежке нет, она, по «законам Яровой» будет вестись открыто.

Законодательно ни в одной стране мира нет таких требований к мессенджерам, как в России. Наша страна придерживается промежуточной стратегии - нечто среднее между Западом и Азией. С одной стороны, в нашей стране могут работать любые мессенджеры, и контент в них совершенно не цензурируется. С другой, для того, чтобы не оказаться заблокированными, они будут должны сдать своих пользователей - для начала идентифицировать их, а затем начать хранить переписку, разговоры и файлы, выдавая их по требованию властных органов. Получается своего рода управляемая свобода слова - писать и говорить можно что угодно, но никакой приватности нет и личную переписку придётся вести с пониманием того, что её в любой момент смогут прочитать посторонние.

Как и в случае с законом, называемым "закон Яровой", невозможно выполнение всех его требований по причине задержки с подписанием ПП РФ, так и выполнение норм федерального закона, требующего с 1 января 2018 года идентифицировать пользователей мессенджеров, невозможно из-за отсутствия необходимых подзаконных НПА.

Ситуация, когда принятые нормы в федеральном законе должны быть конкретизированы в дополнительных правовых актах, встречается часто. Само по себе это не проблема, если к моменту вступления закона в силу все подзаконные акты приняты. Но на практике бывает и не так (операторы связи уже второй год ждут постановление правительства, уточняющего норму о хранении пользовательского трафика). На возникающие проблемы с выполнением формально действующего, но не работающего в реальности, закона несколько месяцев назад обратили внимание в Госдуме. Появилось даже предложение заставить правительство направлять депутатам уже готовые подзаконные акты ещё на этапе рассмотрения законопроекта. Но в правовом поле это предложение так и не было оформлено.

Процедура идентификации пользователя мессенджера по его абонентскому номеру предполагает взаимодействие и обмен информацией между двумя компаниями - владельцем мессенджера и оператором связи. Порядок (кто и что делает) этого взаимодействия должен был быть описан и узаконен в виде постановления правительства. Минкомсвязью в октябре прошлого года был подготовлен проект подзаконного акта, по каким-то причинам отрицательные отзывы Министерства экономики на портале общественного обсуждения появились только 29 января этого года. Минэкономики раскритиковало и проект НПА, описывающий порядок взаимодействия операторов связи и владельцев мессенджеров, и проект ещё одного правового документа о порядке блокировки пользователей мессенджером, чьи сообщения содержат запрещённую информацию.

Без этих двух подзаконных актов, вступившие в силу с 1 января 2018 года поправки в закон "Об информации" в полной мере не могут быть выполнены. Минэкономики рекомендовало разработчику проектов НПА внести изменения: например, необходимо указать на безвозмездность обмена информацией в процессе идентификации, а также предусмотреть "переходный период" с целью тестирования взаимодействия информационных систем (в проекте предусмотрен ответ оператора связи в течение пяти секунд). В Минкомсвязи подтвердили факт процесса межведомственного согласования, пишет "Коммерсант".

Для упрощения процесса обмена информацией между операторами мобильной связи и мессенджерами было предложено организовать в ЦНИИС единый центр. Напомню, что в настоящее время ФГУП ЦНИИС выполняет функции оператора, обеспечивающего функционирование системы переноса номера (MNP).

Ответственным за блокировки пользователей мессенджеров предлагается назначить Роскомнадзор, планируется, что ограничение за рассылку запрещённой информации должно быть реализовано в течение суток после получения соответствующего требования от Роскомнадзора.

В результате идентификации пользователей мессенджерами можно будет "связать" номер мобильного телефона и пользовательский псевдоним в мессенджере - такая инициатива уже прозвучала из уст замруководителя Роскомнадзора (см. " ").

С учётом большого количества уже действующих мессенджеров (например, по информации "МегаФон" в его московской сети наблюдается трафик от 120 мессенджеров) и возможности появления новых сервисов, вряд ли удастся контролировать всех пользователей. Кстати, вне такой базы данных будут пользователи электронных сервисов по обмену сообщениями, в которых не требуют указывать при регистрации номер телефона.

В Госдуму на рассмотрение внесен законопроект об идентификации пользователей мессенджеров. По предварительным данным, вступить в силу положения закона могут с 1 января следующего года, документ опубликован на сайте ГД.


В России могут заблокировать YouTube!

Идентификацию сочли необходимой в числе других антитеррористических мер. Как говорится в пояснительной записке, "идентификация пользователей сети "Интернет" осуществляется оператором связи с использованием абонентского номера, на основании договора об идентификации, заключенного организатором обмена мгновенными сообщениями с оператором связи".

Мессенджеры будут обязаны обеспечивать возможность как ограничивать рассылку сообщений, отправленных неидентифицированными пользователями, так и обеспечивать рассылку электронных сообщений по инициативе органов государственной власти. Если мессенджер не выполнит распоряжение об ограничении рассылки, "доступ к информационным системам и (или) программам для электронных вычислительных машин, функционирование которых обеспечивается данным организатором обмена мгновенными сообщениями, до исполнения таких требований ограничивается оператором связи, оказывающим услуги по предоставлению доступа к сети "Интернет", незамедлительно".

"Это законопроект внесен, в том числе, и с целью введения мер антитеррора. Мессенджеры, электронные сервисы используются для обмена сообщениями. При этом нет возможности взаимодействия государства и этого средства распространения информации. Как избежать распространения спама, тем более, если этот спам связан с противоправными действия, с террористическими действиями? Государство должно получить возможность каким-то образом не допустить этого", — отметил один из авторов законопроекта, депутат Госдумы Александр Ющенко (КПРФ).

По его словам, технически вполне возможно идентифицировать всех пользователей мессенджеров. "Мы же с вами, — добропорядочные граждане, которые пользуются мессенджерами, — привязаны так или иначе к нашему телефонному номеру. Мы же не переживаем по этому поводу, не боимся, поскольку наша тайна переписка сохраняется. При этом мы часто подвержены распространению несанкционированной информации с непонятных адресов. А если с непонятных адресов прозвучит призыв к правонарушению или даже преступлению? Такие вещи необходимо пресекать", — сказал депутат изданию "Взгляд".

"Так что это нормально, если идентификационные номера привязаны к номеру телефону, никто по этому поводу не переживает. Так что политизировать это обстоятельство точно не надо", — подчеркнул Ющенко.

Ранее "Правда.Ру" сообщала, что Роскомнадзор предложил ввести в российское законодательство понятие и обязать "организаторов распространения информации в интернете" предусмотреть возможность идентификации пользователей. Такие поправки могут внести в закон "О связи". Идея регулирования мессенджеров путем заключения договоров с операторами связи и идентификации клиентов таких сервисов содержалась в законопроекте Медиакоммуникационного союза о регулировании OTT-сервисов, но позже была исключена.

"Правда.Ру" обратилась за комментарием по данному поводу к эксперту. Скоро наше издание представит свое мнение по этому вопросу.

  • Законодательство в IT ,
  • Терминология IT ,
  • Управление сообществом

    • Не успели ещё закончить обсуждение , как на арену вышел новый закон . Почитать pdf-версию, можно, например, на , а, собственно, текст со всеми заметками - .

    Опять ситуация, когда законопроект уже внесён, а обсуждение только началось. Я имею ввиду широкое обсуждение. Зачем оно?


    Во-первых, затем, что потом на сцену выдвигаются люди определённого формата, как скажем, и начинают упрекать, что:

    Если бы все ринулись в… году настойчиво об этом писать, звонить, подавать заявки и пр, то уже к текущему времени все бы было. Как известно, спрос двигает. Был бы спрос - и все наладится А у нас в РФ как обычно - сидят, пока петух не клюнет. Еще скажите не так?

    Всё бы ничего, но по опыту: потом всё это подхватывают если и не законодатели, то всегда - исполнители и ситуация оборачивается дважды хуже для тех, для кого она и так была не простой. Онлайн-кассы - хороший пример, но я уже рассказывал и (думаю, что крипто ждёт та же учесть), можно вспомнить и «закон» Яровой и многие другие проекты.

    Во-вторых, без обсуждения закона мы получаем всегда одну и ту же ситуацию:

    техническое исполнение инициативы требует доработки, поскольку «законопроект очень сырой по техническому исполнению»

    Теперь собственно о самых больших нелепостях , которые бросаются в глаза:

    1. «идентификация пользователей сети должна осуществляться оператором связи с использованием абонентского номера , который есть в договоре об идентификации». То есть МТС, Мегафон, Билайн, Теле2 и иже с ними из года в год будут говорить, что , когда речь идёт об отношениях пользователя с банками, социальными сетями и т.д., а законодатель всё больше и чаще будет привязывать сервисы к абонентскому номеру?

    Как же так? Либо давайте ужесточим законы относительно операторов сотовой связи, в частности, аспект по охране тайны связи , либо… Даже не знаю, какая альтернатива тут возможна.

    Более того, допустим, что всё это сделано во благо: против террористов, педофилов, мошенников и т.д. Но тогда возникает вопрос: какие меры приняты для борьбы с виртуальными номерами? Мёртвыми душами (ака БОМЖи, бабушки из деревень и т.д.)? И вообще явлениями, которые используют (виртуальные номера уносим за скобки) террористы, мошенники и другие лица с явно не благими намерениями. Исключения, безусловно, есть: шифропанки, например. Но на то они и исключения.

    Выходит из простого анализа: мы опять боремся со следствием, а не причиной?

    2. «информационно-коммуникационные сервисы (далее - ИКС: прим. - моё ) – информационная система и (или) программа для электронных вычислительных машин, которая предназначена и (или) используется для приема, передачи и (или) обработки электронных сообщений пользователей сети «Интернет» в целях обмена электронными сообщениями между пользователями сети «Интернет», в том числе для передачи электронных сообщений неопределенному кругу лиц».

    Является ли сеть TOR сетью, входящей в понятие Интернет? Не буду отвечать на этот вопрос, подожду комментариев, но рекомендовал бы не торопиться с ответом. Это первое .

    Второе : не могу не ответить, что понятие ЭВМ - это то, что для меня давно (и, видимо, надолго) определяет правовое регулирование Рунета. Архаично, бессмысленно даже во времена майнинга и в целом - показывает, на сколько мы отстаём, пытаясь называть глобальные вещи собственными названиями. Но это - больше лирика.

    Третье : что такое ИКС?

    Я понимаю, что есть WhatApp, Viber, Telegram… И множество чатов, часть которых уже заблокировал Роскомнадзор (по типу WeChat) без всякого специального закона.

    Но как быть с внутренними чатами, которые, как правило оформлены в виде отдельной программы ЭВМ (а то ещё и зарегистрированы) в играх, социальных сетях. Как быть с почтой? Email в смысле?

    В частности, на Хабре уже такие вопросы задавались , но я хотел бы обратить именно к закону, итак:

    ИКС - это:

    1. Программа, которая
    2. Предназначена
    3. Используется (вот на этом слове я бы сделал отдельный акцент)
    4. для приема, передачи и (или) обработки (опять же - обратите внимание на союз «или»)
    5. электронных сообщений пользователей.
    И чем тогда не подходят чаты в играх? Электронная почта? Чаты в социальных сетях? Жду комментариев ниже, а пока представляю себе ситуацию в «Танках» (никогда не играл, поэтому, если что - поправьте), когда кто-то из команды №1 «кричит» в общем чате:

    Мочи фрицев справа!
    - бей русских слева! - вторят ему из команды №2.

    И всё это «проанализировано» кем-то для «палки» и Wargaming.net получает предписания устранить сие безобразие, т.к. «организатор распространения информации в сети «Интернет» обязан ограничивать по требованию уполномоченного федерального органа исполнительной власти рассылку массовых электронных сообщений». Скажите не может? После действий , которые противоречат не только здравой логике, закону, но даже и Предписаниям ЦБ (!) относительно криптовалют - я уже ни о чём не могу сказать, что это не возможно.

    Чтобы дополнить процитирую проект закона ещё и по другому пункту: «используется для технологически неразрывно связанного с услугами связи обмена сообщениями исключительно между пользователями этой информационной системы и (или) программы для электронных вычислительных машин, при котором отправитель электронного сообщения определяет получателя (получателей) электронного сообщения». Чат - самый что ни на есть и без привязки к чему либо ещё. Или нет?

    Кстати, например, пошёл ещё глубже в лес (и правильно) и указал:

    Под категорию «организатор обмена мгновенными сообщениями» попадают операторы онлайн игр, звонилок, чатов, саппортов, видео-чатов для взрослых и пр. Все они обязаны до 1го января 2018го года привести свою деятельность в лоно закона...

    Но идём дальше?

    Ещё одно верное направление, которое выбрали законодатели - это идентификация. Наверное, верное в этом смысле должно быть «верным».

    Поясню: на сегодня системы p2p-развиваются как никогда. И мессенджеры - не исключение. Я нашёл в обсуждениях: FireChat, Tox, Bitmessage… А ещё в Даркнете есть Stronghold Paste, CrypTor, ZeroBin или Pasta и передать с их помощью сообщение можно и вполне легко. Зашифровано. Анонимно. А ещё есть любимая tutanota.com/ru : как быть с ней? Впрочем, заблокирует РКН и успокоится.

    И вот эта фраза: «обеспечивать передачу электронных сообщений только тех пользователей сети «Интернет», которые идентифицированы в порядке», - вызывает у меня массу сомнений.

    Почему?

    Во-первых, потому что сам этот порядок мягко скажем, новый и не проработанный. Во-вторых, привязка к номеру - см. выше. В-третьих, Правительство РФ знает ли понятие «дроп»?

    Поясню: примерно 8 лет я работал с одним из центров аттестации WebMoney. Чтобы настроить систему, которая бы идентифицировала именно «живых» людей, а не подставных лиц, потребовалось много сил, средств и времени. Но речь не шла о миллионах лиц: о тысячах, которые к тому же растянуты на годы.

    Как показывает практика социальных сетей (могу сказать про vk, в частности): привязка номера телефона - опять же виртуальные номера вынесем за скобки: с ними и так всё ясно - может проходить хоть на дядю, тётю, хоть на брата, хоть на троюродную бабушку по сводной линии отца. Но главное: это взломы. Обычных пользователей в том же vk ломают каждый день и много. Потом на их месте появляются «собаки». Но в этот момент рассылку делает кто-то явно, но не сам пользователь. Тоже касается и спама на сервисах формата yandex, mail, gmail. И кто будет виноват, если вместо «обычного» фишинга там будет что-то, связанное с тем же терроризмом?

    3. А дальше и вовсе идёт супер-положение: «ограничивать по требованию уполномоченного федерального органа исполнительной власти рассылку массовых электронных сообщений, а также передачу электронных сообщений, содержащих информацию, распространяемую с нарушением требований законодательства Российской Федерации».

    Нарушения по процессу передачи или по содержанию? Видимо, итак - и эдак. Но тогда возникает вопрос, почему здесь не дать полный (ака закрытый) перечень хотя бы с отсылкой на Постановление Правительства? Ведь открытый перечень - это произвол и нарушение тайны связи во многих случаях? А это - статья 23 Конституции РФ.

    Я понимаю, что срок в 01.01.18 указывает на подготовку ко вполне понятным событиям данного года, но всё же как быть с решениями Конституционного Суда РФ? В частности:

    Право каждого на тайну телефонных переговоров по своему конституционно-правовому смыслу предполагает комплекс действий по защите информации, получаемой по каналам телефонной связи, независимо от времени поступления, степени полноты и содержания сведений, фиксируемых на отдельных этапах ее осуществления. В силу этого информацией, составляющей охраняемую Конституцией Российской Федерации и действующими на территории Российской Федерации законами тайну телефонных переговоров, считаются любые сведения, передаваемые, сохраняемые и устанавливаемые с помощью телефонной аппаратуры, включая данные о входящих и исходящих сигналах соединения телефонных аппаратов конкретных пользователей связи…

    Скоро статья об этом выйдет. Пока для интересующихся - отсылка: ст. 63 ФЗ «О связи», Определение Конституционного Суда РФ от 02.10.03 №345-О.

    Итак, резюме:

    1. Как ни удивительно, но данный проект не только не проработан, но по сути и не обсуждён с сообществом, т.к. есть явные и слишком большие пробелы;
    2. Я считаю данный проект антиконституционным, но, видимо, КС РФ со мной не согласится, если будет выносить соответствующее Определение;
    3. Формулировка относительно Организаторов слишком широка и требует или явного уточнения, или закрытого перечня;
    4. На сегодняшний день, помимо прочего, закон опять возвращает нас к идентификации по телефону, что приведёт к ещё большим проблемам.
    Это не всё, но первое впечатление от анализа таково.

    UPD. Меж тем - 1е чтение



    Понравилась статья? Поделитесь с друзьями!
    Twitter
    распечатать
    Была ли эта статья полезной?
    Да
    Нет
    Спасибо, за Ваш отзыв!
    Что-то пошло не так и Ваш голос не был учтен.
    Спасибо. Ваше сообщение отправлено
    Нашли в тексте ошибку?
    Выделите её, нажмите Ctrl + Enter и мы всё исправим!
    Похожие советы
    Что означают буквы«мм»: все возможные значения В контакте русская версия
    Что означают буквы«мм»: все возможные значения В контакте русская версия
    Электронные самоделки для радиолюбителей и начинающих электриков
    Электронные самоделки для радиолюбителей и начинающих электриков
    Samsung GT-I9003 сброс до заводских настроек Что такое Hard reset Samsung GT-I9003
    Samsung GT-I9003 сброс до заводских настроек Что такое Hard reset Samsung GT-I9003
    Samsung GT-I9003 сброс до заводских настроек Как сделать полный сброс данных на телефоне Samsung Galaxy S scLCD GT-I9003 из меню настроек
    Samsung GT-I9003 сброс до заводских настроек Как сделать полный сброс данных на телефоне Samsung Galaxy S scLCD GT-I9003 из меню настроек
    Что делать, если телефон сам перезагружается
    Что делать, если телефон сам перезагружается
    Телефон Android не включается дальше логотипа (не хочет загружаться)
    Телефон Android не включается дальше логотипа (не хочет загружаться)