Как стало известно, несколько месяцев назад Федеральная служба безопасности РФ направила запрос российскому интернет-гиганту «Яндекс» о предоставлении ключей шифрования таких сервисов, как «Яндекс.Почта» и «Яндекс.Диск». Представители поисковика отрицают предоставление доступа спецслужбам к своим сервисам.
Согласно «закону Яровой» компании, которые числятся в реестре организаторов распространения информации (ОРИ) обязаны по требованию ФСБ предоставлять информацию, необходимую для декодирования электронной переписке пользователей. Это такие компании, чьими сервисами люди пользуются для обмена сообщениями.
Портал ProTarif.info решил разобраться законны ли действия российских силовиков.
Напомним, что за подобный отказ передать ключи шифрования в в прошлом году был заблокирован в России Telegram. Правоохранительные органы хотели получить ключи для дешифровки переписки пользователей, которые подозревались в организации терактов в метро Санкт-Петербурга. В итоге Роскомнадзор внес мессенджер Павла Дурова в реестр запрещенных ресурсов. Основатель Telegram отказался передавать информацию, мотивируя это защитой частной жизни и политикой конфиденциальности. Стоит отметить, что до сих пор технически ограничить доступ пользователей к мессенджеру так и не удалось.
Что касается ситуации с «Яндексом» можно сделать выводы, что ФСБ слишком широко трактует норму «закона Яровой», требуя предоставить сессионные ключи, которые, по факту, дают доступ не только к сообщениям в почте, но и позволяют анализировать весь трафик пользователей.
Сессионным ключом шифруются не только сообщения пользователя, но и все метаданные, не только, когда, кто и с какого IP-адреса заходил в аккаунт, а также логин и пароль, которые пользователь отправляет на серверы «Яндекса» в процессе авторизации. Поэтому передача сессионного ключа может позволить спецслужбам завладеть логином и паролем от почтового ящика каждого пользователя.
Ни для кого ни секрет, что российский поисковик использует систему Single Sign-On, при которой, авторизовавшись, например в «Яндекс.Почте», можно без повторной аутентификации перейти в сервисы «Яндекс.Музыка» и «Яндекс.Диск», да и в принципе во все приложения компании. Единый ключ шифрования по мнению экспертов является архитектурной проблемой «Яндекса», допущенной только для удобства своих пользователей.
Не предоставление ключей шифрования в установленный срок является нарушением действующего Кодекса об административных правонарушениях. По закону ФСБ должна составить протокол об административном правонарушении и, если суд признает «Яндекс» виновным, то может назначить компании штраф в размере до 1 млн руб. Если компания и после этого не предоставит ключи шифрования, Роскомнадзор вынесет ей предписание об устранении нарушения, на исполнение которого дается 15 дней. После этого Роскомнадзор может обратиться в суд с требованием заблокировать на территории России сервисы «Яндекса».
Не смотря на это в «Яндексе» заявили, что исполнение так называемого «закона Яровой» не должно вести к нарушению приватности данных пользователей. Компания отмечает, что работает в полном соответствии с действующим законодательством.
Отметим, что в реестре ОРИ на данный момент включено более 170 сервисов, среди которых Tinder, «ВКонтакте», «Одноклассники», BlaBlaCar, Badoo, Vimeo и др. У любого из этих сервисов ФСБ в любой момент может потребовать предоставить ключи для дешифровки переписки пользователей.
