Чем грозят Tinder новые требования Роскомнадзора
Сервис для знакомств пополнил реестр организаторов распространения информации. Возникли вопросы о том, как это отразится на пользователях
Что случилось?
31 мая Роскомнадзор по требованию ФСБ России внес популярный мобильный сервис для романтических знакомств Tinder, насчитывающий более 50 млн пользователей и принадлежащий публичной акционерной компании Match Group, LLC (штаб-квартира США, Техас), в реестр «Организаторов распространения информации» (далее — реестр ОРИ).
И что означает этот реестр?
Законы последних лет, в том числе известный «пакет Яровой», обязывают всех лиц, включенных в реестр ОРИ, активно участвовать в обеспечении государственной безопасности России. Кому быть в этом реестре, решает ФСБ. Любой сайт или сервис, если в нем реализована любая возможность пользователей общаться или обмениваться контентом, потенциально попадает под критерии ОРИ. Включенные в реестр компании, владеющие сайтами или приложениями, вне зависимости от места их нахождения, должны хранить в течение 6 месяцев все данные пользователей, включая голосовую информацию, текстовые, видеосообщения, фотографии и все иные виды сообщений, а также в течение 1 года все метаданные (номера телефонов, email, финансовые транзакции, IP-адреса входа, время сессий, контакты пользователей и др.). Реализовано это так, что каждый оператор сервиса, включенного в реестр ОРИ, должен за свой счет установить хранилище, куда он должен копировать эти данные, и подключить его к пульту управления ФСБ. И в случае наличия оснований ФСБ может обратиться в суд для санкционирования прослушки и доступа к этим данным, связанным с каким-либо подозреваемым в преступлении. Кроме того, если владелец сервиса или сайта использует какую-либо криптографию, он также обязан передать в ФСБ ключи для декодирования сообщений.
Это уже работает?
Закон вступил в силу для ОРИ с 1 июля 2018 г. Уже приняты подзаконные акты, которые определяют правила хранения информации, однако до настоящего времени нет требований к сертифицированному оборудованию, на котором должны храниться эти данные. Поэтому закон все еще буксует и не применяется в полной мере.
Следит ли уже ФСБ за пользователями?
Перешедшая к нам еще с советских времен система технических средств для обеспечения функций оперативно-розыскных мероприятий (также известная как СОРМ-1, СОРМ-2, СОРМ-3) применяется в России уже многие годы на узлах всех операторов связи, и требования к таким программно-аппаратным комплексам постоянно усиливаются. Европейский суд по правам человека в 2015 году вынес прецедентное решение по жалобе Романа Захарова против России, в котором в деталях оценил всю систему нетаргетированной слежки в России. Суд пришел к выводу, что, хотя в российском законодательстве предусматривается предварительное судебное разрешение для ограничения тайны связи и тайны частной жизни, но на практике это можно легко обойти. Суд установил существование «произвольной и оскорбительной практики» слежения и отсутствие каких-либо реально эффективных инструментов надзора. Решение российского суда для осуществления слежки стало лишь формальной процедурой, а действующее законодательство дает возможность офицерам ФСБ в необходимых случаях (которые они определяют сами) до 48 часов прослушивать и перехватывать сообщения и без обращения в суд. То, что это вообще происходило, абонент, суд, прокуратура могут даже и не узнать. Поэтому правозащитники полагают, что аналогично применяемый порядок по ОРИ ведет к массовой нетаргетированной слежке и вмешательству в частную жизнь.
Почему их заинтересовал Tinder?
Объясняется такое требование тем, что это необходимо для борьбы с терроризмом. Если вдруг предполагаемые террористы решат использовать Tinder для подготовки и совершения теракта в России, ФСБ должно иметь доступ к данным. Это в теории. Реальные мотивы неизвестны. Возможно, кому-то в ФСБ просто захотелось иметь доступ к интимной переписке конкретных пользователей и получать больше информации о любовных похождениях интересующих лиц.
Это значит, что теперь Tinder будет сливать все данные в ФСБ?
Нет. Это еще ничего не значит, но может служить первым звоночком. Telegram, а также защищенные мессенджеры Threema, Blackberry, Zello и другие были ранее также внесены в этот реестр. Но все они сегодня находятся в цифровом андеграунде: официально заблокированы в России и недоступны без использования средств обхода блокировок. Telegram был внесен в реестр запрещенной информации Роскомнадзора в связи с дальнейшим отказом предоставить ключи шифрования, а остальные были заблокированы за то, что не предоставили информацию о компаниях, владеющих сервисами.
Администрация Tinder предоставила информацию о владельце приложения, но никаких дополнительных требований еще не получала. При этом представитель Tinder сообщил, что никаких данных пользователей российским органам власти до настоящего времени передано не было. Если после направления таких требований компания откажется сотрудничать с российскими спецслужбами, Tinder ждет штраф, блокировка и возможное удаление его из приложений AppStore и Google Play для россиян. Такое когда-то уже произошло с LinkedIn, который отказался локализировать персональные данные россиян на российских серверах.
Насколько безопасен Tinder?
Следует отметить, что Tinder использует симметричное шифрование в отличие от Telegram, использующего асимметричное шифрование сообщений. В асимметричном шифровании (или криптографической системе с открытым ключом), которую использует Telegram, у каждой из сторон переписки есть свой ключ дешифрования, известный только ему, который позволяет декодировать сообщения. Поэтому Павел Дуров всегда отмечает, что он даже технически не может передать ключи ФСБ и исполнить требования российского закона. Ключи хранятся на устройствах самих пользователей и после каждой завершенной сессии они уничтожаются. Tinder не имеет подобного механизма криптографической защиты, и уже год назад получал от агентства по кибербезопасности Checkmarx обвинения в том, что у него есть проблемы с безопасностью. Они все же были устранены путем шифрования всех данных, перемещаемых между серверами и приложением. При симметричном алгоритме шифрования компания, конечно, могла бы делиться ключами и даже начать применять отечественные стандарты криптографии, сертифицированные ФСБ, которые с недавних пор пытаются активно внедрять в Рунете.
Впрочем, после доклада Мюллера и обвинения российских хакеров и так называемых «фабрик троллей» во вмешательстве в американские выборы, Россия является для многих американских компаний токсичным рынком. Поэтому маловероятно, что компания из Техаса будет сотрудничать с ФСБ и Роскомнадзором. Тем более акции компании торгуются на фондовой бирже, и любое ее публичное обвинение во взаимодействии с российскими спецслужбами может потопить репутацию компании и серьезно сказаться на стоимости ее ценных бумаг.
_____
Всего в реестр ОРИ включено сегодня 175 сервисов. Среди них социальные сети VK и Одноклассники, сервисы знакомств Mamba, Badoo, Loveplanet, блог-платформы МирТесен, Хабра, сервисы Mail.ru, Yandex Disk, Yandex Cloud, имидж-борд 2ch и многие другие.