©Shutterstock/Fotodom
Закон Яровой о хранении пользовательского трафика распространят на владельцев технологических сетей связи – то есть практически на все компании, где ведется внутренняя переписка или записывается видео с камер. Голосовые и текстовые сообщения, изображения, звуки и видео нужно будет хранить в течение трех лет и по запросу предоставлять спецслужбам. Сейчас во многих компаниях нет необходимого для этого оборудования, но им дают всего 90 дней, чтобы закупить его и настроить. Поправки приведут не только к существенным расходам, но и к рискам для безопасности предприятий, заявляют эксперты.
Законопроект, разработанный Минкомсвязью, вносит изменения в ст. 56.2 закона «О связи». Поправки обязывают владельцев технологических сетей связи, имеющих номер автономной системы, хранить в течение трех лет информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, текстовых сообщений, изображений, звуков, видео или иных сообщений пользователей услугами связи. По запросу уполномоченных органов власти они должны будут передавать им эти данные. Документ уже получил одобрение правительственной комиссии по законопроектной деятельности и скоро будет внесен в Госдуму.
Что такое технологические сети связи, разъясняется в ст. 15. этого же закона. Это сети, предназначенные «для обеспечения производственной деятельности организаций, управления технологическими процессами в производстве».
Например, это сети, по которым ведется внутренняя переписка сотрудников или передаются записи с камер видеонаблюдения. Такими сетями пользуются практически во всех отраслях экономики.
С 1 июля 2018 года весь пользовательский трафик обязаны хранить и предоставлять по запросу спецслужб все операторы связи, которые работают в России. Эти требования установлены так называемым законом Яровой, принятым двумя годами ранее. Такой большой срок был предоставлен операторам для подготовки к исполнению требований закона, в том числе по причине финансовой: операторы оценивают затраты на исполнение закона в десятки миллиардов рублей. При этом, согласно закону, емкость хранилищ трафика должна ежегодно увеличиваться на 15%, что повышает рост капитальных затрат операторов на 10–20%.
Нынешние поправки дают владельцам технологических сетей связи на подготовку всего 90 дней.
Для вашей безопасности
Законопроект направлен на предотвращение использования корпоративных сетей (независимо от того, является собственником госкомпания, малый/средний бизнес или частное лицо) в различных незаконных целях или в целях вмешательства в российский сегмент сети Интернет извне, говорит член комиссии Ассоциации юристов России (АЮР) по новым технологиям и правовому обеспечению цифровизации общества Дмитрий Липин.
«С развитием в стране IT-отрасли возможность использования технологических сетей получили не только промышленники, но и любые коммерческие предприятия в принципе – на сегодняшний день у многих организаций имеется корпоративная автономная сеть, функционируют собственные мессенджеры и почтовые сервисы. Поскольку законодатель при принятии изменений в целях противодействия терроризму и экстремизму исходил из возможности передачи информации в противозаконных целях, то, очевидно, стоило изначально учесть возможность передачи этой информации и по технологическим сетям связи», – пояснил он.
То же относится и к автономным системам, подключаемым к сети Интернет, которые используются в корпоративных целях. Любой такой системе присваивается автономный номер, причем присваивается он находящейся под юрисдикцией США компанией IANA (Internet Assigned Numbers Authority).
«Это означает, что в условиях действующего российского законодательства из требований по обеспечению «суверенного интернета» коммерческий сектор фактически выпадает. Такой подход не только создает неравенство обязательств между операторами сетей общего пользования и интернет-провайдерами по сравнению с российскими компаниями, которые имеют собственную корпоративную связь, но и фактически сохраняет угрозы, в целях устранения которых принимались законодательные изменения последних пяти лет», – полагает эксперт.
2019 году был принят закон о «суверенном интернете», направленный на создание защитных механизмов, гарантирующих долгосрочное и устойчивое функционирование интернета в России, напомнил председатель правления АЮР Владимир Груздев. В частности, были определены правила маршрутизации трафика, предусмотрены меры для контроля их соблюдения, а также создана возможность для минимизации передачи за рубеж данных, которыми обмениваются между собой российские пользователи.
Так, в законе «О связи» появилось определение точки обмена трафиком. Это совокупность технических и программных средств или сооружений связи, с использованием которых собственник или иной их владелец обеспечивает возможность для соединения и пропуска в неизменном виде трафика между сетями связи, если собственник или иной владелец сетей связи имеет уникальный идентификатор совокупности средств связи и иных технических средств в сети Интернет.
«Иными словами, законодательно были выделены новые участники правоотношений в данной сфере: владельцы технологических сетей связи, имеющих номер автономной системы. Первоначально владельцами автономных систем признавались операторы связи, иные интернет-провайдеры, а также крупные организации, технологические сети которых имели независимые соединения с несколькими смежными сетями. После принятия закона о «суверенном рунете» уникальный номер автономной системы может быть получен в упрощенном порядке небольшими организациями, их группами и даже физическими лицами», – пояснил Владимир Груздев.
Такие владельцы автономных систем не являются операторами связи, но обязаны взаимодействовать со спецслужбами, предоставляя доступ к информации в рамках законодательства об оперативно-розыскной деятельности. При этом персональная информация может быть получена специальными службами только по решению суда.
Глава АЮР отметил, что аналогичные нормы действуют и в других странах, например, в США, Великобритании, Канаде, Австралии. Кстати, в Великобритании еще в конце 2016 года был принят закон «О полномочиях следствия», предоставивший 48 британским спецслужбам и иным ведомствам доступ к интернет-трафику физических и юридических лиц.
Бизнес в шоке
Безусловно, принятие поправок было вызвано объективными причинами, выявившими уязвимость отечественной инфраструктуры перед целым спектром угроз, как внешних, так и внутренних, признает директор по стратегическому консалтингу группы компаний «Систематика» Святослав Щенников.
Однако, по его словам, реализация закона потребовала привлечения очень серьезных ресурсов на закупку необходимых компонентов информационного ландшафта: серверов, систем хранения и т.п. – для покрытия объемов информации, подпадающих под определения, описанные в законе.
«Вместе с тем вскрытие этой проблемы обнажило целые цепочки связанных рисков, таких как импортозамещение, наличие собственных производств и их способности производить нужные элементы в требуемых объемах», – рассказал он.
Всего за 90 дней компании должны будут найти средства для закупки соответствующего оборудования, установить его и отладить работу, подчеркивает Дмитрий Липин.
«Если говорить именно о корпоративных сетях связи коммерческого сектора, то многие предприятия просто не найдут финансовые средства в предлагаемый срок, а в перспективе новые обязательства могут привести к подорожанию услуг и продукции для конечного потребителя, поскольку большинству предприятий придется возмещать затраты на исполнение новых требований закона именно за счет повышения цен на свою продукцию», – считает эксперт.
Об этом же год назад, когда законопроект только обсуждался в Минкомсвязи, заявляли в Российском союзе промышленников и предпринимателей. В РСПП входят большинство российских операторов связи и компаний, специализирующихся в области интернет-бизнеса. Сейчас во многих компаниях не предусмотрены информационные системы, которые им потребуется внедрять для выполнения требований по хранению трафика. Поправки приведут не только к существенным расходам, но и к рискам безопасности для предприятий, заявляли в союзе.
Между тем невыполнение требований закона может повлечь за собой приостановление и последующее аннулирование лицензии на оказание услуг, указывает управляющий партнер «Легес Бюро» Мария Спиридонова. Кроме того, теоретически оператор связи может быть привлечен к ответственности за осуществление деятельности с нарушением лицензионных требований (ч. 3 и 4 ст. 14.1 КоАП РФ), а также за непредоставление сведений (ст. 19.7 КоАП РФ) органам, осуществляющим оперативно-розыскную деятельность, если оператор не сможет по их требованию предоставить доступ к данным, которые обязан хранить.