Несколько месяцев назад ФСБ РФ направила в компанию "Яндекс" требование предоставить ключи для дешифровки данных пользователей сервисов "Яндекс.Почта" и "Яндекс.Диск", сообщает РБК со ссылкой на источники. Уточняется, что до настоящего времени "Яндекс" не предоставил эти ключи, хотя по действующему законодательству на это отводится не более 10 дней. РБК отмечает, что ранее именно отказ предоставить ключи для дешифровки привел к судебному решению о блокировке Telegram.

Представитель пресс-службы компании "Яндекс" сообщил, что компания "работает в полном соответствии с действующим законодательством". При этом он отказался отвечать на вопросы о том, действительно ли получил "Яндекс" от ФСБ требование предоставить ключи шифрования и не передал их.

По данным РБК, ФСБ могла потребовать от "Яндекса" ключи для дешифровки, поскольку "Яндекс.Почта" и "Яндекс.Диск" находятся в реестре организаторов распространения информации (ОРИ), то есть интернет-площадок, на которых пользователи могут обмениваться сообщениями. Согласно "закону Яровой", Центр оперативно-технических мероприятий ФСБ может потребовать от любого сервиса из реестра ОРИ передать ему "информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей сети интернет".

При этом в "Яндексе", по словам источника РБК, считают, что ФСБ трактует соответствующую законодательную норму слишком широко: "Спецслужба требует от компании предоставить сессионные ключи, которые, по сути, дают доступ не только, например, к сообщениям в почте, но и позволяют анализировать весь трафик от пользователей к находящимся в реестре ОРИ сервисам "Яндекса". Не говоря уже о том, что дешифровка всего трафика в рамках пользовательской сессии несет значительные риски в плане безопасности".

Причем уточняется, что речь идет именно о сессионных ключах, то есть ключах шифрования, который используется только для одного соединения между пользователем и сервером (одной сессии).

Бывший разработчик The Tor Project Леонид Евдокимов пояснил: "В случае с Яндекс.Почта" он [сессионный ключ] вырабатывается, когда пользователь только заходит на страницу mail.yandex.ru, а прекращает свое действие в зависимости от настроек через какое-то время, после того как пользователь либо закроет вкладку "Яндекс.Почта", либо полностью закроет браузер, либо выключит компьютер".

Таким ключом, кроме сообщений пользователя, шифруются также все метаданные: IP-адрес, с которого заходили в аккаунт, время, когда это происходило, и так далее, а также логин и пароль, которые пользователь отправляет на серверы компании в процессе авторизации. Поэтому, по словам Евдокимова, "передача сессионного ключа какого-либо пользователя спецслужбам может позволить им завладеть логином и паролем от почтового ящика этого пользователя".

Кроме того, Евдокимов также отмечает снижение уровня безопасности в случае дешифровки пользовательского трафика. "Сама идея сессионного ключа состоит в том, что он не сохраняется. Тем самым обеспечивается безопасность передачи данных, так как в случае их перехвата злоумышленник не сможет их расшифровать. В этом смысле хранение и передача сессионных ключей создают определенные риски", - сказал он, а также отметил, что, получив ключ, можно анализировать само поведение пользователей, например, можно смотреть, кто и какие данные скачивал.

Алексей Лукацкий, консультант по информационной безопасности Cisco Systems, также подтвердил, что передача сессионного ключа даст ФСБ доступ к аутентификационным данным пользователя.

Партнер Центра цифровых прав Саркис Дарбинян пояснил, что непредоставление ключей шифрования в установленный срок представляет собой нарушение Кодекса об административных правонарушениях. По закону, ФСБ должна составить протокол об административном правонарушении. Затем, если суд признает "Яндекс" виновным по статье 13.31 КоАП, компания может быть оштрафована на сумму до 1 млн рублей.

Если после этого компания не предоставить ключи шифрования, Роскомнадзор вынесет предписание об устранении нарушения. На исполнение предписания дается не менее 15 дней.

В случае неисполнения предписания, Роскомнадзор может обратиться в суд с требованием заблокировать на территории России сервисы, ключи шифрования от которых отказываются предоставлять, отмечает Дарбиян, со ссылкой на прецедент с блокировкой Telegram, но уточняет, что в законе прямо не указаны полномочия Роскомнадзора и ФСБ в данной ситуации.

При этом Дарбиян отметил, что считает блокировку сервисов "Яндекса" маловероятной. "Скорее, они будут долго торговаться и в итоге придут к какому-то компромиссу".

РБК уточняет, что по закону "Об оперативно разыскной деятельности" ФСБ и сейчас может получать доступ к телефонным переговорам граждан и запрашивать у интернет-компаний переписку граждан, но только после получения постановления суда. При этом, по данным Судебного департамента при Верховном Суде России, в 2018 году российские суды удовлетворили 828,5 тысяч ходатайств правоохранительных органов об ограничении конституционных прав граждан на тайну переписки и контроле их телефонных переговоров. Отклонено за то же время было 6,6 тысяч ходатайств.

Также по данным РБК, в Реестр ОРИ в настоящее время включено более 170 сервисов, среди которых: Tinder, "ВКонтакте", "Одноклассники", BlaBlaCar, Badoo, Vimeo и другие, в том числе "Сбербанк Онлайн", который вошел в реестр в январе 2019 года из-за того, что у сервиса есть встроенный мессенджер.

На портале РБК появилась информация, что "Яндекс" ответил на сообщения о требовании ФСБ по ключам шифрования. В пресс-службе компании заявили, что нормы законодательства о предоставлении информации, необходимой для дешифровки сообщений, не должны подразумевать передачу спецслужбам ключей для расшифровки всего трафика.

"Цель закона - соблюдение интересов безопасности, и мы полностью разделяем важность этой цели. При этом исполнение закона возможно без нарушения приватности данных пользователей. Мы считаем важным соблюдать баланс между безопасностью и приватностью пользователей, а также учитывать принципы равноприменимости регулирования для всех участников рынка", - сообщили в пресс-службе.

При этом сам факт получения запроса от ФСБ пресс-служба "Яндекса" по-прежнему не комментирует.

Вчера, 3 июня 2019 года, РБК сообщал, что мобильное приложение для знакомств Tinder вошло в реестр ОРИ, а следовательно, теперь обязано предоставлять ФСБ данные для дешифровки переписки пользователей. Сегодня, 4 июня 2019 года, "Коммерсантъ" сообщил, что Tinder отрицает передачу данных о российских пользователях после попадания в реестр.

"Мы получили запрос на регистрацию от российских органов власти, и на данный момент мы зарегистрировались, чтобы соответствовать требованиям закона. Тем не менее, эта регистрация никоим образом не означает передачу каких-либо пользовательских или личных данных каким-либо российским регулирующим органам. Мы не передавали никаких данных российскому правительству", - заявил представитель компании.