Чтобы представить возможные проблемы с исполнением ЗЯ, стоит вспомнить принятые еще два года назад два аналогичных российских закона по усилению контроля на Интернетом - № 97-ФЗ от 5 мая 2014 г. ("закон о блогерах") и 242-ФЗ от 21.06.2014 (закон о хранении персональных данных россиян в России). Анализ их реального исполнения говорит о том, что эти закон, если и работают, то лишь в очень ограниченной (по сравнению в исходными задумками) мере.
Судя по всему, примерно это же ожидает и ЗЯ.[spoiler] Об этом, в частности, говорит история, приключившаяся на прошлой неделе с публикацией приказа ФСБ № 432 от 19 июля 2016 года "Об утверждении Порядка представления организаторами распространения информации в информационно-телекоммуникационной сети "Интернет", подготовленного как раз в рамках реализации ЗЯ. Анализ показывает: приказ формально выполняет требование закона по сборку ключей шифрования от "организаторов распространения информации" (ОРИ), но вот зачем эти ключи на самом деле собираются и что ФСБ будет делать с ними – совершенно не понятно. Точнее понятно – скорее всего, ничего не будет делать. Соберет, отчитывшись о выполнении требований закона, и все. Потому что на самом деле ключи эти практически никак нельзя использовать.
По этому делу (по приказу 432) на прошлой недели прошло несколько публикаций в СМИ, я лично узнал об этом из поста Леонида Волкова на "Эхо Москвы". Там все подробно расписано, не хочу повторять уже сказанное, но хочу выделить некоторые важные моменты этого дела.
Дело в том, что нашем законодательстве (точнее в ФЗ 149, от 27.07.2006, "Закон об информации…", поскольку принимаемые в последние годы законы, в том числе и ЗЯ, вносят поправки в этот закон) есть два основных субъекта – оператор связи (ОЗ) и ОРИ (в законе о персональных данных – еще и оператор ПД). ОЗ – это сервисы обмена сообщениями (в широком понимании термина "сообщения", включая сюда и телефонные разговоры), а ОРИ – это Web-сайты (практически любой информационный ресурс, к которому есть внешний доступ пользователей).
Так вот, ЗЯ содержит (в части Интернета, в законе есть еще много других положений по другим темам "обеспечения национальной безопасности") содержит два основных момента:
- обязанность хранить сообщения пользователей в течение некоторого времени (до трех лет, конкретные сроки определяются правительством);
- передачу в ФСБ ключей шифрования.
Но забавная "фишка" тут заключается в том, что первое требование предъявляется ОЗ, а второе – ОРИ!
То есть первые хранят архив сообщений, но у ФСБ нет ключей к ним, а вторые передают ключи, но ничего не сохраняют…
Забавно, не правда ли?
А следующая любопытная вещь заключается в том, что ключи шифрования собираются не со всех ОРИ (не со всех сайтов в России и в мире), а только с тех, кто числится в Реестре ОРИ, которые создается уже два года, согласно закону 97-ФЗ от 05.05.2014 г.
И вот сейчас выясняется, что фактически этот Реестр пуст.
Не совсем "ноль", но близко к этому – там всего 65 сайтов. Там правда, есть четыре российских "гиганта" (Яндекс, ВКонтакте, Рамблер, Мэйл.Ру), но все остальное – что-то вроде "городского портала города Орск" и форума "Мамы Абакана". Ни одного зарубежного сайта там, разумеется, вообще нет (хотя два года назад авторы закона грозились занести в него и Google, и Фейсбук).
Конечно, тут все не так просто. Наши закон сформулирован таким образом, что в ОРИ можно зачислить чуть ли не любой Web-сайт и любой Web-сервис. В том числе и Web-форум какого-нибудь поселка Гренландии, и Фейсбук. И потребовать от них ключи шифрования с вполне с ожидаемым вариантом ответов от них, на основании которого их можно будет законно заблокировать в России.
Но вот тут какое дело: за формирование Реестра ОРИ отвечает другое ведомство, не ФСБ, а Роскомнадзор. А РКН, судя по всему, уже давно "забил" на формирование этого Реестра, поняв непосильность и бесполезность этого дела.
Но формально, оба ведомства – и РКН, и ФСБ – принятые законы исполняют. Сказали сделать Реестр – сделали. Сказали издать приказ по сборку ключей – издали…
Все как обычно - "Солдат спит - служба идет".
Если принять за исходный тезис то, ФСБ не хочет исполнять закона (как не исполняет законы и Роскомнадзор), то ничего хорошего в этом тоже нет. Что хорошего, что важные орган исполнительной власти не исполняет законы?
И назвать ситуацию с неопределенность закона и порядка его выполнения нормально тоже никак нельзя. Отлично понятно, что сейчас закон "мертв", но его можно оживить в любой момент.
Публикации посвящены констатации сегодняшнего положения дел, при этом указывают на будущие серьезные угрозы.
Да, ФСБ собирает ключи, которые в принципе можно применить. Но основной трафик идет через зарубежные сервисы, а от них ФСБ никаких ключей не получит. Получается такая безопастность - вы ставите засов на одну дверь, не контролируя десяток других.
Да, я понимаю, что есть угроза, что другие двери могут просто "забетонировать". Конечно, такая законная возможность у "органов" есть.
Что касается очередного всплеска обсуждения "сколько стоит исполнение ЗЯ", то она мне видится давно ужасно неинтересной. Это как сидеть в болоте и вытаскивать то одну ногу, то другую...
Все это было понятно и известно изначально закон принимался, чтобы "завинтить гайки" и "получить деньги". Ни о какой реальной безопастности и "развитии страны" не было речь и нет.
Все это мы уже проходили не раз. В начале 2012 года за три месяца "освоили" 15 млрд. рублей на видео для выборов,
Теперь выбивают деньги из государства на ЗЯ. Обычные наши дела.
Наверное, что-то получат. А может и нет - денег-то в стране нет на это баловство.
Мы все это хорошо видим на примере активности Минкомсвязи, которое два года выступает с постоянными прожектам на миллиарды рублей, но им ничего не дают. Сами не хватает...
Вы привели ссылка на мою публикацию ноябре прошлого года. И что? Этот приказ правительства выполняется? Насколько я знаю - нет.
Удомля? Ну, посмотрим...
Вот это как раз и есть оптимизм.
Что хорошего, что важные орган исполнительной власти не исполняет законы?
Если закон плохой, то его неисполнение - это хорошо.
Но основной трафик идет через зарубежные сервисы, а от них ФСБ никаких ключей не получит.
Тогда заблокирует. Или будет применять MitM-технику.
денег-то в стране нет на это баловство.
Денег нет на пенсии. А на "баловство" могут найти.