img29 декабря 2018 в 14:20

Первый взгляд на новые требования к средствам хранения по «закону Яровой»

18 декабря был зарегистрирован приказ Минсвязи №573 от 29.10.2018 об утверждении требований к техническим и программным средствам для осуществления оперативно-розыскных мероприятий. В целом реакцию отрасли на новый документ вряд ли можно назвать позитивной.

18 декабря был зарегистрирован приказ Минсвязи №573 от 29.10.2018 об утверждении требований к техническим и программным средствам для осуществления оперативно-розыскных мероприятий. В целом реакцию отрасли на новый документ вряд ли можно назвать позитивной.

Приказ определяет систему хранения, как защищенную даже от технического персонала оператора базу с поиском, автоматическим удалением устаревшей информации и контролем времени поступления данных из сети. В документе приведен полный перечень сохраняемой информации, описан интерфейс и протокол взаимодействия системы с пультом управления, передаваемые сообщения и т.п., а также установлено предельное время выполнения запросов разного типа.

Приказ был принят лишь с четвертого раза. Трижды он возвращался на доработку Минюстом — ситуация для отрасли, мягко говоря, нетипичная. Требования вступают в силу 30 декабря 2018 года.

По мнению представителей отрасли, опубликованный приказ окончательно выводит из-под контроля операторов связи хранение информации по «закону Яровой». Как и предыдущие инициативы в области СОРМ, он не исключает возможность злоупотреблений и не лишен противоречий, на которых подробнее мы остановимся далее.

Движемся в сторону «черного ящика»

Директор Объединения альтернативных операторов связи Алексей Леонтьев, считает, что приказ укладываются в общую линию поведения Минсвязи, «которую мы наблюдали в 2017 - 2018 годах».

Он отметил, что когда только начала обсуждаться идея хранения данных о пользовательских действиях и сообщениях, ситуация могла развиваться двумя путями. Первый путь — хранение установленных законом данных в дата-центре оператора и передача по решению суда ФСБ и другим органам, осуществляющим оперативно-разыскные мероприятия (ОРМ). Второй путь, по которому в итоге и развиваются события, — это использование для хранения сертифицированного «черного ящика» от производителя оборудования СОРМ, который не контролируется оператором, но обеспечивает доступ ко всей сохраненной информации представителям следствия. Более того, зарегистрированный приказ Минсвязи (№573) «отправил» в этот черный ящик, помимо сообщений, передаваемых по сети, информацию о самих абонентах — их паспортные данные, актуальные контакты и так далее. Еще в постановлении правительства РФ от 30 декабря 2017 года «О внесении изменений в Правила взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность» говорилось, что данные об абонентах должны были храниться отдельно — в базе оператора.

Плодородная почва для злоупотреблений

Алексей Леонтьев также обратил внимание на то, что в новом приказе еще меньшее внимание уделяется конституционным правам граждан. Насколько можно понять из Требований, доступ органов, осуществляющих ОРМ, будет запрашиваться единожды, после чего представители этих структур смогут получать информацию обо всех абонентах оператора (речь идет о единой базе с поиском). К примеру, если есть разрешение на получение данных о некоем «Иване Ивановиче», никто не помешает сотруднику следственных органов заодно запросить через поиск информацию о его жене, детях или родителях, по которым судебного решения нет.

Алексей Леонтьев: «Это нарушает как закон о персональных данных, так и конституционные права абонентов. В свое время Европейский суд по правам человека уже давал негативную оценку СОРМ-2 как раз в связи с возможными злоупотреблениями и невозможностью для конечного абонента понять, были ли в отношении него совершены подобные злоупотребления. Но эта оценка явно не была учтена».

Оператор — заложник производителя СОРМ?

До сих пор в нормативных документах не было формулировки о том, что оборудование для хранения данных по «закону Яровой» необходимо приобретать. Как следует из ранее опубликованных документов, теоретически операторы могут реализовывать требуемые функции самостоятельно. И отрасль ждала условий его сертификации, чтобы принимать какие-то дальнейшие решения.

Опубликованный приказ усложняет процесс самостоятельной проработки решения. Он содержит 140 страниц текста, для освоения которых нужны высококвалифицированные специалисты. Все призрачнее становится идея о том, чтобы построить хранилище для данных по «закону Яровой» внутри отдельно взятой компании, однако пока это еще экономически целесообразно.

Дмитрий Галушко, генеральный директор компании «ОрдерКом» (специализируется на предоставлении юридической помощь в области связи и СМИ): «Закон не обязывает покупать ИСБД (информационная система баз данных об абонентах, далее — СОРМ-3), а лишь реализовывать. Поэтому операторам, имеющим узлы связи в трех и более субъектах РФ, чтобы не покупать СОРМ в каждом регионе (а УФСБ каждого региона требует установить у них в субъекте РФ) следует реализовать самостоятельно. Безусловно, это вызов для компаний».

Понятия смешались

Дмитрий Галушко проанализировал текст нового приказа еще до его подписания и обнаружил в нем принципиальные противоречия.

Во-первых, приказ смешивает требования к хранению информации и СОРМ, которые регулируются разными пунктами закона о связи. А это принципиальный момент, поскольку он разграничивает финансовую ответственность оператора. «Функция оперативно-розыскных мероприятий и функция хранения информации — две различные функции. Обязанности и расходы по данным функциям различны: по реализации п. 2 ст.64 ФЗ «О связи» (функция оперативно-розыскных мероприятий) расходы несут операторы связи, по реализации п. 1 ст.64 ФЗ «О связи» (функция хранения и накопления информации) операторы связи расходов не несут», отмечает Дмитрий Галушко.

Во-вторых, неясен статус услуг по предоставлению каналов связи и трансляции кабельного телевидения. В мае 2018 года по запросу Дмитрия Галушко Роскомнадзор разъяснил, что кабельщики и операторы, предоставляющие каналы связи, не обязаны хранить сообщения связи. А вот новый документ этому разъяснению противоречит. «Ранее правительство не установило правил хранения для КТВ и каналов связи. Это и логично, так как за контентом вещателей происходит отдельный контроль со стороны государства. А в рамках ориентированности на цифровую экономику этот контроль не должен быть „задвоен“. Таким образом, заставляя хранить данную информацию, Минкомсвязи идет вразрез [с высказанными ранее разъяснениями], забирая на себя полномочия, предоставленные правительству», — рассказал Дмитрий Галушко.

Очевидно, что какие-то последствия вступления приказа в силу мы увидим только в следующем году. «Телеспутник» будет следить за ситуацией.

__________________________________________________

Подписка на рассылку

Подпишитесь на рассылку, чтобы одним из первых быть в курсе новых событий