"Закон Яровой", по мнению операторов связи, не гарантирует безопасность конфиденциальных данных абонентов

С 1 июля 2018 года вступят в силу требования так называемого "закона Яровой" и операторы связи будут обязаны хранить на территории России текстовые сообщения пользователей, голосовую информацию, изображения, звуки, видео-, иные сообщения. Срок такого хранения может составлять до шести месяцев. Аналогичная обязанность будет возложена и на организаторов распространения информации в Интернете (Федеральный закон от 6 июля 2016 г. № 374-ФЗ "О внесении изменений в Федеральный закон "О противодействии терроризму" и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности").

Принятие этого закона вызвало широкий общественный резонанс. Сомнения в успешной реализации предусмотренных им требований высказали и представители отрасли. "Закон касается всех граждан России, а исполнять его должны частные и государственные компании. И когда закон принимался, с ними не посоветовались", – заявил вчера на круглом столе, организованном МИА "Россия Сегодня" интернет-омбудсмен Дмитрий Мариничев.

Участники дискуссии назвали ряд существенных проблем, которые могут возникнуть при реализации требований "закона Яровой".

Нарушение правил хранения информации, составляющей охраняемую законом тайну. "У операторов связи есть разные клиенты. Есть банки, нотариусы, адвокаты, лечебные организации. И понятно, что операторы для этих целей обязаны будут хранить информацию, которая охраняется соответствующими законами (тайна завещания, врачебная тайна, банковская тайна и др., а в некоторых случаях и государственная тайна)", – отметил директор по связям с государственными органами ПАО "Мегафон" Дмитрий Петров. Основной риск, по его словам, состоит в том, что вся указанная информация во многих случаях будет храниться у лиц, вызывающих сомнение. Так, по состоянию на 28 февраля 2017 года Роскомнадзором было выдано более 36 тыс. лицензий в области связи. Число операторов телематических услуг связи составило более 9,5 тыс., число операторов услуг связи по передаче данных – более 7 тыс., а число операторов услуг местной телефонной связи – более 3,5 тыс. "Где находится оборудование, которое должно будет хранить эту информацию, у небольших организаций, которые обслуживают, например, жилой дом, – на чердаке или в подвале – совершенно непонятно", – сетовал он. В данном случае информация о частной жизни лиц, а также сведения, представляющие охраняемую законом тайну, становятся потенциальной мишенью для злоумышленников – с помощью атак хакеры с легкостью смогут получить к ней доступ.

Недостаток технических возможностей для обеспечения безопасности данных пользователей. Организаторами распространения информации в Интернете являются, прежде всего, электронная почта, социальные сети и мессенджеры. Однако, по словам вице-президента и технического директора Mail.Ru Group Владимира Габриеляна ими считаются также игры, в которых есть чат или возможность общения игроков посредством голоса, а также различные форумы. "Среди этих компаний есть огромное количество стартапов со штатом 3-5 человек. Специалиста по информационной безопасности они наймут в последнюю очередь, просто потому что он им не нужен. Тем не менее, закон обязывает их накапливать эти огромные массивы данных", – сказал он. Более того, для исполнения "закона Яровой" потребуется усовершенствовать техническое оборудование. И даже для крупных компаний это является одной из ключевых проблем. "Наша компания провела оценку – для того, чтобы реализовать закон, нужно как минимум в 1 тыс. раз увеличить объемы хранилищ, которые на сегодняшний день существуют", – уточнил директор Департамента управления регуляторными рисками ПАО МТС Андрей Рего.

Человеческий фактор. "Конфиденциальную информацию будут обслуживать инженеры – обычные люди. А это десятки тысяч людей со своими проблемами, ипотеками, больными детьми и родителями. Нельзя исключать того, что эта информация будет с помощью этих людей попадать в нелегальный доступ", – поделился Дмитрий Петров. Специальных требований к подобным специалистам закон также не устанавливает.

Риск переориентации российских пользователей на зарубежные сервисы. Требования "закона Яровой" ведут к дополнительным издержкам со стороны операторов связи и организаторов распространения информации. Это, как отметил Владимир Габриелян, влечет за собой вынужденную необходимость повысить стоимость своих услуг, и в результате пользователь выберет более дешевый сервис. "То есть та редакция закона, которая сейчас существует, выдавит российского пользователя в зарубежные сервисы потому, что там будет дешевле. А это приведет к тому, что, во-первых, доступ к данным россиян получат зарубежные спецслужбы, а, во-вторых, те компетентные органы, которые занимаются пресечением преступлений в нашей стране, этот доступ потеряют, потому что пользователи будут работать с зарубежными продуктами", – заключил он. Более того, по его словам, необходимое для реализации закона оборудование (жесткие диски, серверы, коммуникационное оборудование) в России не производится. То есть все финансовые затраты, которые понесет отрасль, также будут направлены вовне.

Увеличение стоимости оборудования, необходимого для реализации требований закона. С момента вступления "закона Яровой" в силу стоимость необходимого оборудования кратно увеличится, убежден Андрей Рего. И это станет очередным ударом по отрасли, поскольку каждая компания заранее планирует свой бюджет и не будет готова к подобному росту цен.

Тем не менее, даже с учетом всех указанных рисков, профессиональное сообщество, по мнению директора по стратегическим проектам Института исследования Интернета, куратор рабочей группы "Связь и информационные технологии" Ирины Левовой, решает, прежде всего, не задачу обеспечения безопасности, а задачу реализации норм закона. А это не гарантирует повышения безопасности.

Решить указанные выше проблемы, по мнению экспертов, могут следующие предложения.

Во-первых, нужно переложить функции по ее хранению на сторону государства – это, убежден Дмитрий Петров, позволит снизить риск человеческого фактора и утечки конфиденциальной информации.

Во-вторых, Андрей Рего отметил необходимость снижения объемов хранимой информации: "Объемы хранения голосовой информации нужно сокращать как минимум раз в шесть. На первом этапе можно было бы говорить о хранении ее, например, в течение месяца".

В-третьих, государство должно ввести систему контроля или мониторинга цен, устанавливаемых производителями оборудования. "Это необходимо для того, чтобы мы не пришли к ситуации, когда по результатам тестирования пилотного проекта мы будем ориентироваться на одну сумму, а уже в процессе его реализации вынуждены будем корректировать бюджеты", – уточнил Андрей Рего.

В-четвертых, все специалисты сошлись во мнении, что "закон Яровой" для начала необходимо реализовать в пилотном проекте. "Таким образом мы сможем понять, какие потребуются финансовые затраты и какие технические возможности у нас есть, а также какие объемы информации необходимо хранить для нужд оперативно-разыскной деятельности для обеспечения безопасности. Возможно, в результате будут пересмотрены сроки вступления в силу норм закона или сокращен объем хранимой информации", – пояснила Ирина Левова.

Она также рассказала о том, что на площадке рабочей группы "Связь и информационные технологии" подготовлен проект дорожной карты, предлагающий план мероприятий по реализации и подготовке технического задания для реализации требований закона, в том числе по реализации пилотного проекта. В ближайшее время он должен быть доработан и передан в Минкомсвязь России и Правительство РФ с предложением присоединиться к работе и реализовать дорожную карту.