Разделы

ПО Безопасность Госрегулирование Пользователю Стратегия безопасности Бизнес Телеком Интернет Веб-сервисы ИТ в госсекторе

«Яндекс» оставил ФСБ без ключей шифрования к данным своих пользователей

«Яндекс» получил от ФСБ запрос на предоставление ключей шифрования, позволяющих получить полный доступ к аккаунтам пользователей сервисов «Яндекс.диск» и «Яндекс.почта». Ответом на требование стал отказ, и теперь компании может грозить блокировка всех ее сервисов в России.

ФСБ против «Яндекса»

ФСБ России потребовала от компании «Яндекс» предоставить ей ключи шифрования информации пользователей двух ее популярных сервисов – облачного хранилища «Яндекс.диск» и электронной почты «Яндекс.почта», сообщает РБК со ссылкой на свои неназванные источники. Требование было предъявлено на основании «закона Яровой» и «закона о блогерах», поскольку оба проекта внесены в российский реестр ОРИ (организаторов распространения информации).

Согласно этим законам, на все ОРИ распространяется обязанность хранения информации обо всех пользователях в течение 180 дней (полгода), кроме того, ФСБ располагает полномочиями по запросу этих данных.

Чем ответил «Яндекс»

Согласно опубликованной информации, Федеральная служба безопасности направила в «Яндекс» запрос на получение требующихся ей сведений несколько месяцев назад – точную дату источник не называет. Тем не менее, компания не отреагировала на него, хотя по закону она должна была предоставить все необходимые сведения в течение 10 дней с момента получения уведомления.

yan601.jpg
ФСБ заинтересовала личная переписка пользователей «Яндекса»

Другими словами, на момент публикации материала ФСБ не располагала ключами к пользовательской информации сервисов «Яндекс.почта» и «Яндекс.диск». В России это уже не первый подобный случай – ранее за отказ предоставить ключи шифрования Роскомнадзор заблокировал популярный мессенджер Telegram. Тем не менее, несмотря на то, что официально он находится в блокировке, им все еще можно пользоваться на всей территории России без дополнительных ухищрений.

Какие ключи нужны ФСБ

По информации РБК, Федеральная служба безопасности затребовала у «Яндекса» так называемые «сессионные» ключи шифрования. Это особый вид ключей, которые применяются сугубо для одного соединения между пользователем и сервисом и действуют на время этого самого подключения (сессии). То есть сессионный ключ будет работать, пока пользователь не закроет вкладку браузера, на которой открыт нужный сервис.

По словам бывшего разработчика The Tor Project Леонида Евдокимова, сессионные ключи используются для шифрования широкого спектра личных данных пользователей, в том числе логинов и паролей от их аккаунтов, передаваемых сообщений и информации об IP-адресах, с которых был произведен вход в тот или иной профиль. Это означает, что передача «Яндексом» сессионных ключей ФСБ позволила бы силовикам получать доступ к почте и облачным хранилищам россиян без их на то разрешения, что будет прямым нарушением части 2. статьи 23 Конституции России, гарантирующей каждому гражданину России право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Отметим также, что Уголовный кодекс России содержит статью 138, предусматривающую наказание за нарушение тайны личной переписки, в том числе и почтовых сообщений.

Возможные последствия для «Яндекса»

В краткосрочной перспективе неподчинение требованиям ФСБ может грозить «Яндексу» штрафом в размере до 1 млн руб. Ему придется выплатить эту сумму в случае, если ФСБ составит на него протокол за нарушение статьи 13.31 КоАП России, передаст его в суд, и если судья примет решение в пользу силовиков.

В дальнейшем «Яндекс» теоретически может столкнуться с временной или постоянной блокировкой его сервисов на территории России. По словам партнера «Центра цифровых прав» Саркиса Дарбиняна, вероятность полной блокировки невысока, но регулятор (Роскомнадзор) по решению суда может осуществить временную блокировку в качестве устрашения. Подобное действие повлечет за собой крупные убытки для «Яндекса» и неудобства для пользователей.

yan602.jpg
«Яндекс» может попасть под санкции Роскомнадзора

В мире, отметим, уже создан прецедент блокировки «Яндекса» в целой стране: в мае 2017 г. бывший президент Украины Петр Порошенко подписал указ о введении в действие принятого 28 апреля 2017 г. решения Совета национальной безопасности и обороны страны, которое предусматривает санкции в отношении 468 российских и украинских структур, а также 1228 физических лиц. В «черный список» в месте с «Яндексом» тогда попали компании Mail.ru Group (включая все ее интернет-сервисы), «», Abbyy и др.

Избирательная ФСБ

Российские силовые структуры требуют ключи шифрования не у всех крупных интернет-сервисов и компаний, действующих на территории России. Ситуация с Telegram как с одним из крупнейших мессенджеров в мире стала знаковой, равно как и с «Яндексом», однако на момент публикации материала не было достоверно известно, чтобы соответствующее требование было направлено Google – глобальной интернет-корпорации. К слову, 3 июня 2019 г. в реестр ОРИ был внес популярный сервис знакомств Tinder, и теперь ФСБ вправе потребовать ключи шифрования и от него.

Евгений Некипелов, «БКЕ»: При переходе на российское ПО нам было важно, чтобы бурение нефти не останавливалось
Импортонезависимость

Эльяс Касми