Я тебя по IP вычислю: бизнес против передачи силовикам данных о сетевых портах
Угол зрения и отражения
Комиссия по связи Российского союза промышленников и предпринимателей (РСПП) и Ассоциация больших данных (АБД; объединяет «Яндекс», VK, Сбербанк, Газпромбанк, «Мегафон», «Ростелеком», МТС, ВТБ и др.) раскритиковали проект постановления правительства, который был размещен Минцифры на портале проектов нормативных правовых актов 27 апреля. Их отзывы есть в распоряжении Forbes.
В документе Минцифры предложило расширить перечень сведений, которые интернет-ресурсы из реестра организаторов хранения информации (ОРИ) должны передавать силовикам по их требованию. По мнению регулятора, в этот список необходимо включить сетевые адреса (IP-адреса) и номера сетевого порта (идентификатор программы или процесса, которые обслуживают сетевые соединения на заданном IP-адресе) конечного пользователя и самого сайта.
В своих отзывах комиссия по связи РСПП и АБД отмечают: ОРИ не всегда имеют техническую возможность хранить информацию о номерах сетевых портов конечных пользователей, и предложили обязать хранить эту информацию, только если ресурс ее де-факто собирает. «В противном случае могут потребоваться значительные финансовые затраты на изменение программных и технических решений, приобретение дополнительного оборудования», — указывают в ассоциации.
В ответ на эти аргументы в МВД и Минцифры все равно настаивают на том, чтобы владельцы сайтов передавали силовикам больше информации о своих конечных пользователях. Об этом говорится в письмах Минцифры в адрес АБД и Комиссии по связи РСПП от 10 июня (есть у Forbes). «Технические характеристики протоколов TCP (UDP)/IP, которые используют ОРИ, позволяют идентифицировать канал передачи информации, используемый конкретным пользователем для обращения к серверному оборудованию ОРИ, по параметрам соединения транспортного уровня, — следует из письма Минцифры от 10 июня. — Предлагаемое проектом постановления хранение дополнительной информации о пользователях может быть обеспечено существующим оборудованием ОРИ».
«Сотни сайтов в регионах»
ОРИ должны сохранять информацию о фактах передачи сообщений своими пользователями в течение года, а само содержание этих сообщений, в том числе тексты, фотографии и аудиозаписи — на протяжении полугода. Такие требования действуют с 2018 года в рамках реализации так называемого антитеррористического «пакета Яровой». Эти данные ОРИ должны предоставлять по запросу силовым службам, прежде всего Федеральной службе безопасности. ОРИ со встроенными мессенджерами должны идентифицировать всех своих пользователей по номеру телефона. Для доступа силовых служб к информации о своих пользователях ОРИ обязаны установить системы технических средств для обеспечения функций оперативно-розыскных мероприятий (СОРМ) и системы хранения данных.
К ОРИ может относиться любое физическое или юридическое лицо, владеющее сайтом с возможностью коммуникации между пользователями или формой обратной связи. К ним относятся соцсети, мессенджеры, файловые хранилища, видеохостинги, сайты знакомств, СМИ, онлайн-магазины и сайты с наличием обратной связи, площадки объявлений, а также геосервисы, литературные сайты и ресурсы для врачей.
В Роскомнадзоре отказались от комментариев. В марте в службе рассказывали, что на тот момент в реестре зарегистрировано 348 ОРИ, которые владеют 619 интернет-сервисами.
В Минцифры отметили, что ОРИ используют стандартные наборы протоколов, так как на их основе построен принцип работы IP-сетей и интернета. «При этом хранить номер сетевого порта ОРИ могут на собственном оборудовании, установка которого предусмотрена законом», — добавили в министерстве.
В пресс-службе МВД не ответили на запрос Forbes.
Однако значительную часть ОРИ составляют не крупные участники — в реестр сейчас включены сотни сайтов, в том числе региональные, возражают в АБД. «Зачастую россияне используют VPN и иные технические решения для доступа в интернет, в том числе к ресурсам ОРИ. И в большинстве случаев получить информацию о сетевых портах таких пользователей технически невозможно. При соединении пользователя любого сервиса с сервером, принадлежащим ОРИ, есть возможность фиксировать только IP-адрес устройства, с которого устанавливается соединение. Если пользователь работает через NAT (технология, преобразующая IP-адрес) или прокси-сервер (посредник между пользователем и интернетом), или VPN с промежуточным сервером, то ОРИ просто не получает ниоткуда никакой информации об исходном адресе пользователя», — настаивают в ассоциации.
Проект-звоночек
Минцифры и МВД исходят из того, что если данные пользователей передаются, значит, есть порты, а если есть порты, то информацию о них можно записать и предоставить, рассуждает Станислав Шакиров, технический специалист «Роскомсвободы» (Минюст признал организацию иноагентом). «Однако не все сайты хранят информацию о посетителях, и точно не все хранят данные об используемых ими портах, хотя технически могут это делать», — добавил он.
«Если к данным об IP-адресах добавить еще информацию о сетевых портах, то, сопоставляя данные об интернет-сессиях, можно найти необходимого пользователя с гораздо большей долей вероятности», — пояснял Forbes ранее создатель проекта о блокировках «Эшер II» Филипп Кулин. Появление этого проекта — звоночек, что силовые органы действительно стали искать кого-то в интернете, рассуждал он.
Изначально СОРМ был предназначен для сбора и хранения информации, собираемой операторами связи, обращает внимание директор фонда «Общество защиты интернета» Михаил Климарев (включен в реестр СМИ-иноагентов). Использовать их для интернет-ресурсов было новшеством «пакета Яровой», добавляет он. У части ОРИ, по словам Климарева, просто нет никакой формы общения пользователей между собой или платформой, только обратная связь с руководством сайта, поэтому и технически нет портов, которые можно регистрировать.
Впрочем, несмотря на то, что информация о сетевых портах в некоторых случаях дает возможность точнее определить пользователя (особенно при использовании VPN или NAT), ценность этих данных довольно низкая, считает генеральный директор Института исследований интернета Карен Казарян. Но ОРИ в любом случае потребуется дополнительное оборудование или софт, говорит он. «Новые требования Минцифры увеличивают объем информации, которую надо хранить ОРИ, потребуются дополнительные системы хранения данных. А тем ресурсам, которые не собирают информацию о сетевых портах своих пользователей, придется модернизировать оборудование, чтобы это делать», — поясняет Казарян. При этом, по его словам, конечный объем данных и принципы этого будут прописаны на этапе соглашения ФСБ с конкретным ОРИ, которое чаще всего исходит из фактической собираемой информации.