как работает закон яровой на практике
«Закон Яровой» вступил в силу: что дальше?
«Закон Яровой» вступил в силу: что дальше?
1 июля вступил в силу так называемый «закон Яровой». Это означает, что операторы связи обязаны начать хранить данные своих пользователей, включая записи разговоров, переписку, видео, изображения и сопутствующую информацию. Хранить все это придется в течение полугода.
Операторы связи уже приступили к реализации мер, прописанных в законе, но для того, чтобы выполнить все предписания, придется потратить много времени и еще больше — денег. Например, в случае «Мегафона» на организацию хранения данных пользователей во всей сети необходимо около пяти лет, о чем сообщает «РБК».
«Мы не могли на всей сети организовать хранение с 1 июля. Система будет поэтапно разворачиваться в разных регионах в течение пяти лет и к концу этого срока будет развернута по всей стране», — заявил гендиректор «Мегафона» Сергей Солдатенков.
Стоит отметить, что в законе нет четких формулировок относительно поэтапности введения положений. Говорится следующее: «порядок, сроки и объем хранения информации устанавливаются правительством». В ходе обсуждения закона операторы связи просили правительство возможности поэтапно реализовать положения закона — сначала в регионах, затем — по всей стране. Эту точку зрения поддерживал Николай Никифоров, который в 2017 году занимал пост главы Минкомсвязи. Но затем чиновники пришли к мнению, что закон необходимо реализовать одномоментно во всей стране.
Другие операторы связи не раскрывают ход реализации положений «закона Яровой», сообщая лишь, что все действия ведутся в рамках текущего законодательства. В Минкомсвязи говорят, что операторы должны вводить все положения закона сразу во всей сети, а не поэтапно. Тем не менее, в апреле этого года правительство опубликовало пояснения к закону. В нем говорилось о необходимости хранения текстовых сообщений и записей разговоров в течение полугода с момента «окончания их приема, передачи, доставки и (или) обработки». Что касается интернет-провайдеров, то им придется хранить данные клиентов в течение 30 суток, начиная с 1 октября этого года. Затем каждые пять лет компании обязаны на 15% в год увеличивать емкость «технических средств накопления».
Проблемой является то, что до настоящего момента не приняты документы с необходимыми техническими требованиями к оборудованию, которое должно использоваться для хранения информации. Например, «Ростелеком» до настоящего момента не заложил в собственный бюджет расходы на исполнение требований законодательства. «Несмотря на то что постановление правительства России по срокам хранения уже опубликовано, для оценки расходов необходимо дождаться выхода документов с требованиями к оборудованию», — заявил представитель компании.
Как бы там ни было, но проекты требований к оборудованию есть, поэтому провайдеры связи могут временно руководствоваться ими. А вот уровень ответственности операторов и интернет-компаний за неисполнение требований «закона Яровой» до сих пор не определен. По мнению специалистов, государство должно дать возможность обеспечить хранение данных, а не просто так наказывать операторов.
Что касается финансовых затрат, то у каждого из операторов реализация положений «закона Яровой» обойдется в миллиарды рублей. Общие расходы операторов, по мнению рабочей группы «Связь и информационные технологии» при правительстве России составит 5,2 трлн рублей. МТС оценивает необходимую сумму в 60 млрд рублей на ближайшие пять лет, «Мегафон» — 35-40 млрд, «Вымпелком» — 45 млрд.
Суммы могут изменяться в зависимости от того, какая именно конфигурация оборудования и какие требования к его производителям будут утверждены. «Пока что никто не знает, в каком виде государство будет запрашивать у участников рынка реализацию требований закона. Одно дело, если будет принят поэтапный порядок, скажем, в течение трех лет. Совсем другой сценарий, если полное соответствие нужно будет обеспечить за, скажем, несколько месяцев», — говорит гендиректор Linxdatacenter в России Ольга Соколова.
Затраты, насколько можно понять, будут возмещаться за счет клиентов. Расчеты показывают, что для компенсации затрат такой крупный оператор, как «Вымпелком» должен взимать с абонентов около 13 рублей на одного человека в месяц в течение пяти лет. Скорее всего, на такую сумму будут повышены тарифы для населения.
Проблемы Пакета Яровой 374-ФЗ
При этом по 6 делам суд отказался наказывать Оператора штрафом и ограничился предупреждением. Ещё по 2м судам апелляционная инстанция, признав нарушение судом процессуальных норм Стала рассматривать дела как Первая инстанция
После вступления в силу закона Яровой на рынке сложилась плачевная ситуация. Малым провайдерам установка оборудования обходится в 50–70% годовой выручки. Многие уходят с рынка в чёрные или серые схемы, или вынуждены продаваться. На продаже оборудования для СОРМ «кормятся» одни и те же компании-поставщики, у которых есть возможность получить лицензию Минпромторга на отечественное оборудование. Это закрытый рынок, на который не всех пускают… Сейчас в Краснодарском крае рекомендуют только трёх производителей ( см. переписку с органами на отраслевом форуме).
Судя по всему, в России только пять независимых компаний прошли сертификационные испытания на соответствие требованиям СОРМ-2 (всего производителей 9, 4 из которых принадлежат к одной группе):
Один из законов «пакета Яровой» обязывает операторов связи хранить звонки за шесть месяцев и трафик абонентов за 30 дней, а информацию о фактах приёма, передачи, доставки и обработки сообщений и звонков (метаданные) — три года.
Если сертифицированного оборудования нет, а власти настаивают на установке несертифицированного, то возникает вопрос: зачем его закупать? Может, возможно установить оборудование самостоятельно?
Представитель Минкомсвязи сказал, что им известно о проблеме в законодательстве, который будет устранён приказом в ближайшее время. Речь идёт не о корректирующем приказе, а о втором этапе пути до сертификации — принятия методики испытаний. Кстати, этот приказ вернули на доработку, так как производители не согласовали между собой методику испытаний (она утверждается приказом Минкомсвязи по согласованию с ФСБ). После ещё три этапа: монтаж стенда для СОРМ в дата-центре, где будут подключены тестовые операторы связи (должно хватить места и времени для всех производителей, желающих отсертифицироваться. Затем должны быть произведены сами испытания (это не быстрая процедура, ибо технические мероприятия СОРМ на оборудовании должны быть корректно видны с пульта управления СОРМ). Потом оформление сертификатов (три месяца). И также должны быть сертификаты ФСТЭК на контроль защищённости баз данных (чтобы СОРМ не взломали и не украли персональные данные).
Реалистичные сроки внедрения системы — середина 2020-го года.
Раньше предусматривалось 12 часов хранения, а потом нормы одномоментно повысили в 60 раз (Стало 30 суток). Что остается делать небольшим провайдерам, для которых закупка оборудования представляет неподъёмную задачу? Провайдер из Ейска нашел ответ.
«Пакет Яровой». Кто сможет читать мою переписку и прослушивать разговоры? Рассказываем, в чём заключается суть самого критикуемого законопроекта последних лет и чем это грозит всем нам.
Действительно, подписан закон был ещё летом 2016 года, однако вплоть до конца июня 2018-го в него вносили уточнения.
Действительно, два года назад операторы утверждали, что реализация некоторых пунктов закона технически невозможна. Но к 2018 году в строительство новых хранилищ данных было инвестировано несколько десятков миллиардов рублей и, по словам представителей некоторых крупных компаний, новая инфраструктура может быть отстроена в течение трёх лет.
За использование несертифицированного оборудования операторам может грозить административная ответственность, но они надеются, что до окончания сертификации проверок и наказаний для операторов всё же не будет.
Под действие закона попадают не все интернет-компании, а только те, которые входят в реестр организаторов распространения информации (ОРИ). Ведёт его Роскомнадзор. И да, ВКонтакте там тоже есть.
Также в реестр входят принадлежащие Mail.ru Group ресурсы (почтовый сервис, соцсети «Мой мир» и «Одноклассники», мессенджер «Агент Mail.ru» и облачное хранилище данных «Облако Mail.ru»), сервисы «Яндекса» («Яндекс.Почта» и «Яндекс.Диск»), многие сервисы знакомств. Год назад в этот список был внесён и мессенджер Telegram. Однако Павел Дуров отказался предоставлять доступ к переписке пользователей и выполнять требования «пакета Яровой». Из-за этого в апреле 2018 года Роскомнадзор приступил к блокировке Telegram на территории России после решения Таганского суда Москвы.
А вот не попали в этот реестр крупные иностранные интернет-компании: Facebook и принадлежащие ей мессенджер WhatsApp и Instagram. Нет там и Viber, Twitter, сервисов Microsoft (включая Skype) и сервисов Google, в том числе и почтового сервиса Gmail.
Некоторые эксперты высказывали мнение, что все эти нововведения станут губительными для интернет-отрасли. В первую очередь, из-за более чем внушительных сумм, которые потребуются для исполнения требований закона. Так, по подсчётам независимых экспертов, расходы операторов связи только на внедрение системы составят порядка 3,9 триллиона рублей, и это лишь стоимость оборудования. Примерно столько же можно прибавить к расходам интернет-компаний.
Были, но они связаны не с хранением данных. Изменения внёс ещё один документ, разработанный авторами «антитеррористического пакета». Причём они действуют уже с 2016 года.
Да. Буквально за полгода с начала действия поправок в УК было несколько довольно громких дел.
Так, например, по «миссионерской статье» самым громким делом стала история Дмитрия Угая. На фестивале в Санкт-Петербурге «Ведалайф» 22 октября 2016 года он прочитал лекцию о философии йоги, после чего был задержан. Поводом стало заявление петербуржца Наиля Насибуллина, который ещё до самой лекции сообщил полиции, что на фестивале «будет осуществляться миссионерская деятельность … с распространением религиозной литературы и проведением молитвенных собраний с чтением мантр». Сам Дмитрий настаивал на том, что его лекция была всего лишь рассказом об истории культуры йоги, что подтверждали и свидетельские показания. В итоге мировой суд Санкт-Петербурга прекратил дело в связи с отсутствием состава правонарушения.
Хранение с отсрочкой: как операторы начали выполнять «закон Яровой»
С 1 июля операторы связи должны начать хранить записи разговоров, переписку, видео, изображения и другую коммуникацию абонентов в течение шести месяцев, как того требует «закон Яровой». Гендиректор «МегаФона» Сергей Солдатенков в ответ на вопрос РБК о том, начала ли компания исполнять требования «закона Яровой», сообщил, что она приступила к «масштабному использованию» оборудования для хранения данных и систем оперативно-разыскных мероприятий (СОРМ), но «пока не на всей сети». «Мы не могли на всей сети организовать хранение с 1 июля. Система будет поэтапно разворачиваться в разных регионах в течение пяти лет и к концу этого срока будет развернута по всей стране», — рассказал Солдатенков.
В каких регионах хранение записей звонков и переписки абонентов начнется в первую очередь, он не уточнил, отметив, что это «закрытая информация».
В «законе Яровой» нет формулировки о введении в силу его положений по всей стране, только указание на то, что «порядок, сроки и объем хранения информации устанавливаются правительством». Операторы неоднократно выступали с предложениями внедрять положения закона поэтапно, сначала в нескольких пилотных регионах, а затем на всю страну. В 2017 году за подобную схему высказывался Николай Никифоров, на тот момент глава Минкомсвязи. Однако в начале этого года сам же Никифоров заявил, что требование хранения абонентского трафика будет вступать в силу одномоментно по всей стране.
Конкуренты «МегаФона» отказались раскрывать, выполняют они требования «закона Яровой» на территории всей страны или только в отдельных регионах. «На текущий момент «ВымпелКом» (работает под брендом «Билайн». — РБК), как и другие компании, приступил к реализации установленных правительством и Минкомсвязью требований», — отметил представитель пресс-службы оператора. Представитель «T2 РТК Холдинга» (торговая марка Tele2) сказал, что оператор «будет действовать в рамках закона», отказавшись отвечать на более детальные вопросы. Представитель МТС отказался от комментариев.
Источник РБК, близкий к одному из операторов «тройки», сообщил, что не только «МегаФон» не сразу на всю страну разворачивает систему для хранения информации по «закону Яровой». Он отметил, что внедрение СОРМ-2 (предназначена для мониторинга интернет-активности) в 2000-х годах и СОРМ-3 (для хранения метаданных — например, кто, кому, когда звонил) с 2014 года также происходило не одномоментно.
Что предписывает «закон Яровой»
Пакет антитеррористических поправок, известный как «закон Яровой», был принят в июле 2016 года. Среди прочего он предписывал с 1 июля 2018 года операторам связи и организаторам распространения информации в интернете (ОРИ, к ним относятся сервисы электронной почты, мессенджеры, социальные сети и другие интернет-площадки, на которых пользователи могут обмениваться сообщениями) хранить в срок до полугода записи звонков, содержание сообщений и другую коммуникацию пользователей. Срок хранения метаданных увеличивался для операторов до трех лет, а для ОРИ — до года.
В законе оговаривалось, что сроки и объем информации, которую необходимо хранить, должно уточнить правительство. В апреле было опубликовано соответствующее постановление, касающееся операторов связи: они должны хранить текстовые сообщения и записи разговоров в течение полугода с момента «окончания их приема, передачи, доставки и (или) обработки». Для операторов, которые предоставляют услуги передачи данных (интернет-провайдеров), срок хранения составит 30 суток начиная с 1 октября 2018 года. Последующие пять лет компании должны ежегодно увеличивать на 15% емкость «технических средств накопления» (оборудования, на котором будет храниться интернет-трафик). Во вторник, 26 июня, правительство утвердило постановление, устанавливающее срок хранения записей разговоров и переписки для ОРИ: как и для операторов связи, это шесть месяцев.
Но до сих пор не приняты документы с техническими требованиями к оборудованию, которое должно использоваться для хранения информации. В частности, как заявил представитель «Ростелекома», госоператор пока не заложил в свой бюджет расходы на исполнение требований по хранению данных в рамках закона. «Несмотря на то что постановление правительства России по срокам хранения уже опубликовано, для оценки расходов необходимо дождаться выхода документов с требованиями к оборудованию», — отметил он. Представитель этого оператора не ответил на вопрос, начнут ли они выполнять требования закона с 1 июля.
По словам Сергея Солдатенкова, это [неутвержденные требования к оборудованию] «неоднозначная ситуация», но содержание документов не станет сюрпризом для операторов, поскольку есть проекты этих требований. «МегаФон» исходит из прошлого опыта, когда в 2013 году был принят так называемый принцип MNP (mobile number portability, возможность сохранять свой номер телефона при смене мобильного оператора. — РБК). Уточняющие его нормативно-правовые акты были приняты за два дня до его вступления в силу. «Мы все стояли на голове в течение двух-трех месяцев во время подготовки к ним и не хотели идти по такому пути. Поэтому за полгода [до вступления в силу требований «закона Яровой»] провели определенные тесты решений, схем хранения. Если в требованиях, которые будут приняты, появятся какие-то изменения, наши поставщики готовы поменять под них свои решения», — рассказал Солдатенков.
Нерешенным остается и основной вопрос — какую ответственность будут нести операторы и интернет-компании за неисполнение требований «закона Яровой». Впрочем, по мнению Солдатенкова, даже если бы подобные документы уже были утверждены, государство вряд ли стало бы наказывать оператора. «Если мы говорим о том, что идем по плану, то не думаю, что возникнут какие-то претензии. Вопрос же со стороны государства не наказать оператора, а сделать так, чтобы была возможность обеспечить хранение данных», — пояснил он.
По мнению руководителя коммерческой практики юридической компании BMS Law Firm Дениса Фролова, «МегаФон» и другие операторы должны и в отсутствии нормативно-правовых актов выполнять требования закона, акты лишь «конкретизируют закон».
Дорогая скорость
В 2016 году экспертная рабочая группа «Связь и информационные технологии» при правительстве России спрогнозировала расходы операторов на хранение данных по «закону Яровой» в 5,2 трлн руб. Однако позже оценки несколько раз корректировались. Весной 2018 года МТС оценила необходимую сумму в 60 млрд руб. на ближайшие пять лет, «МегаФон» — в 35–40 млрд руб., «ВымпелКом» — в 45 млрд руб.
По словам гендиректора Linxdatacenter в России (поставщик услуг связи и центров обработки данных) Ольги Соколовой, размер затрат на хранение действительно зависит от того, какая конфигурация СОРМ и требования к производителям оборудования будут утверждены в документах. Она отметила, что пока особого всплеска обращений в связи с «законом Яровой» компания не наблюдает. «Пока что никто не знает, в каком виде государство будет запрашивать у участников рынка реализацию требований закона. Одно дело, если будет принят поэтапный порядок, скажем, в течение трех лет. Совсем другой сценарий, если полное соответствие нужно будет обеспечить за, скажем, несколько месяцев», — говорит Соколова. Она ожидает, что ситуация прояснится после 1 июля.
Законопослушные иностранцы
Гендиректор и председатель совета директоров международной группы Orange Стефан Ришар сообщил РБК, что компания следует положениям законодательства в любой стране, в которой работает, и с 1 июля готова выполнять требования «закона Яровой». «В Европе мы понимаем, что такое террористическая угроза, особенно во Франции. После событий 2015 года мы стали более тесно сотрудничать с властями», — отметил он. Компания не раскрывает, сколько потратила на подготовку к выполнению требований. Однако глава Orange Business Services (подразделение Orange) в России Ричард ван Вагенинген пояснил, что с учетом того, что компания работает здесь только в сегменте b2b и у нее ограниченное количество корпоративных клиентов, затраты были небольшими.
В июле 2017 года Институт исследований интернета (ИИИ) выпустил отчет, в котором указал, что «закон Яровой» противоречит требованиям GDPR (General Data Protection Regulation, общего регламента о хранении данных), который вступил в силу в Евросоюзе в мае 2018 года. В ИИИ указывали, что, согласно GDPR, для хранения информации о фактах коммуникации пользователя должно быть соответствующее подтверждение от спецслужб. Если российские операторы будут хранить информацию об иностранцах у себя на серверах без согласия самого пользователя и без решения суда предоставлять эти данные российским правоохранительным органам, будет нарушено европейское законодательство, говорилось в отчете.
Однако, по словам представителя Orange, компания видит, что может выполнять требования и того и другого закона в той мере, в которой они к ней относятся. Он отметил, что с точки зрения GDPR компания в ходе оказания услуг является «процессором» (физическое или юридическое лицо, госорган, учреждение, которое обрабатывает персональные данные по поручению «оператора» — того, с кем было заключено соглашение на обработку данных). «Также важно заметить, что вопросы в отношении национальной безопасности выведены из сферы действия GDPR, а «закон Яровой» относится как раз к этой сфере, что следует даже из официального названия», — указал представитель Orange.
Почему не работает «закон Яровой»
«Пакет Яровой» — чистой воды предпринимательский проект: с его помощью государство просто зарабатывает деньги. И использует максимально удобные для этой цели вопросы учета и безопасности. Если обосновать необходимость хранить огромные объемы информации сохранностью человеческих жизней, то можно с легкостью заставить бизнес тратиться на покупку бесконечного количества серверов и Data-центров, производством которых планировали заняться, например, Ростех и Ростелеком.
Кроме того, «закон Яровой» — это своеобразный федеральный фандрайзинговый проект. Государство сделало все, чтобы следить за своими гражданами за счет средств бизнеса в сфере информационных технологий.
«Закон Яровой» в целом и отдельно — постановление правительства о хранении операторами связи всего пользовательского трафика в течение 30 дней — нереализуем из-за целого списка причин. Главная из них — техническая.
Хранить все данные негде: подходящего и сертифицированного для этих целей оборудования в России просто нет. Есть несертифицированное, но за его использование операторам грозит штраф.
Когда строятся большие системы, где хранятся большие данные, доступ к ним обязательно получит кто-то посторонний
Вторая причина — финансовая. Даже если нужное оборудование появится, для всего цикла записи, шифрования, хранения и дешифрования потребуются немалые средства. По факту операторам придется удваивать свои инвестиции, потому что все перечисленные затраты прибавятся к уже существующим тратам на операционную деятельность. В результате предоставлять интернет, и особенно высокоскоростной, операторам станет просто невыгодно, и он окажется в дефиците.
Условия «пакета Яровой» пытались смягчить еще на этапе рассмотрения законопроекта. Тогда, увы, ничего не вышло. Зато сейчас, после истории с Русланом Бошировым (одним из подозреваемых в отравлении Сергея и Юлии Скрипаль, по версии Великобритании. — Прим. ред.), якобы реальные данные о котором попали в руки журналистов из интернета, существование закона вообще под вопросом. Не сложно представить, что будет, если все данные всех бесед россиян будут храниться фактически в одном месте. Ведь на самом деле этот проект сделан без учета того, насколько уязвимы любые данные — все можно купить на черном рынке. Предположим, мобильные операторы будут хранить их лишь 30 дней, кто-то будет покупать каждый месяц информацию и в итоге сможет сформировать годы переписок и разговоров. И если вы спросите меня, кто именно будет поставщиком таких данных, я отвечу: сами сотрудники служб безопасности, где продажными чекистами можно назвать каждого третьего. Вера в непогрешимость всех людей, которые будут обслуживать «закон Яровой», абсолютно иллюзорна.
И это фактически уже закон: когда строятся большие системы, где хранятся большие данные, доступ к ним обязательно получит кто-то посторонний. «Пакет Яровой» с уверенностью можно назвать проигрышной затеей. При его реализации Россия станет прозрачной не только для собственной власти, но и для каждого человека в мире.
При всей узколобости и корыстности нашего государственного аппарата, столь масштабная угроза национальной безопасности может заставить их если и не похоронить проект с концами, то хотя бы значительно сократить его размах.