Комитет Госдумы по информационной политике подготовил поправки ко второму чтению в так называемый законопроект о суверенном Рунете, которые обязывают передавать информацию в российском сегменте интернета с использованием отечественных средств шифрования, сообщает РБК со ссылкой на источники в IT-индустрии.
В проекте текста поправок, подписанном главой думского комитета Леонидом Левиным, говорится следующее: "Распространение или предоставление информации в электронном виде осуществляется с использованием кодирования такой информации. Правительство Российской Федерации устанавливает порядок выдачи и использования кодов и средств шифрования, необходимых для кодирования информации, а также определяет лиц, уполномоченных выдавать такие коды и средства шифрования". Сам Левин отметил, что поправки еще находятся в работе.
Кроме того, документ предполагает, что организаторы распространения информации (ОРИ) то есть компании, которые управляют сервисами по обмену сообщениями, обязаны обеспечить возможность использования дополнительного кодирования электронных сообщений с использованием средств шифрования, одобренных правительством. По данным РБК, речь идет о более чем 170 компаниях, в числе которых "Яндекс", Telegram, Сбербанк, Mail.Ru Group, Opera, WeChat, Vimeo.
Также поправки предусматривают использование отечественного шифрования в государственных информационных системах (ГИС), таких как госзакупки, госуслуги, государственные и муниципальные платежи.
В настоящее время, согласно справке, приведенной РБК, шифрование интернет-страниц происходит с помощью SSL-сертификатов, которые можно приобрести в специальных центрах сертификации. Годовая лицензия на популярные SSL-сертификаты стоит от 3 тысяч до 30 тысяч рублей. При этом собственных центров у России нет, и даже на государственных сайтах используются иностранные сертификаты. Например, на портале gosuslugi.ru действует сертификат американской компании COMODO, а на сайте nalog.ru - компании Thawte.
В мессенджерах, таких как WhatsApp, Telegram и Viber, в последние годы действует end-to-end шифрование при котором ключи генерируются и хранятся на устройствах пользователей, а у администрации сервиса нет к ним доступа. Из-за этого у Telegram возник конфликт с ФСБ: ведомство требовало предоставить ключи шифрования, чтобы декодировать переписку некоторых пользователей, а основатель компании Павел Дуров утверждал, что это невозможно, так как сервис ими просто не обладает.
Гендиректор Института исследований интернета Карен Казарян, комментируя предложенные поправки отметил, что, если они будут приняты, все крупные российские интернет-компании должны будут внедрить российские средства шифрования в свои продукты.
Разработчик отечественных систем шифрования Дмитрий Белявский сообщил, что в интернете сейчас 80% трафика зашифровано, и при этом высказал мнение, что предлагаемые поправками меры не дают шансов сделать использование отечественной криптографии добровольным и удобным.
"В идеале нужно было бы добиваться поддержки российской криптографии на международном уровне в массово распространяемом программном обеспечении, например браузерах. Я имею в виду не принудительно заставлять внедрять отечественное шифрование в "Яндекс.Браузер", а добиться поддержки отечественных средств шифрования в Google Chrome, Mozilla Firefox и так далее. Также необходим международно признанный удостоверяющий центр с российской криптографией, а об этом пока речи не идет", - заявил он.
По данным РБК, эксперты отрасли обеспокоены тем, что массовое использование отечественных средств шифрования может помочь российским силовым структурам расшифровывать российский интернет-трафик, который операторы связи и ОРИ с прошлого года должны хранить в рамках "закона Яровой".
Что касается иностранных компаний, эксперты сомневаются, что кто-то из них пойдет на внедрение российского шифрования, а также указывают, что, даже при желании, это невозможно по современным законодательным нормам.
"В реестре ОРИ есть немало иностранных компаний, поэтому требование использовать отечественную криптографию коснется и их. Но есть подозрение, что ни один иностранный игрок на это не пойдет, а даже если и решится, из-за экспортных ограничений внедрить российскую криптографию он не сможет", - сообщил Карен Казарян.
Независимый эксперт в сфере информационной безопасности Алексей Лукацкий разъяснил, что в настоящее время разработать средства криптографической защиты и встроить их в готовые решения могут только резиденты России, имеющие соответствующую лицензию ФСБ. Для иностранных вендоров единственный вариант - создание совместного продукта с российской компанией - разработчиком средств криптографической защиты информации (СКЗИ).
При этом, по данным РБК, на 90% рынок СКЗИ делят "ИнфоТеКС" и "Код безопасности", по оценке экспертов, эти компании могут оказаться бенефициарами законопроекта о "суверенном Рунете", если в него войдут соответствующие поправки.
"Роскомсвобода" уточняет, что документ уже подписан главой профильного комитета Леонидом Левиным.
Кроме того, технический директор портала Станислав Шакиров прокомментировал эту инициативу следующим образом: "Сервисы, у которых Россия - не основной рынок, просто дружно откажутся работать с таким законодательством, поскольку оно предполагает, что в "суверенном Рунете" должен курсировать только отечественный трафик, зашифрованный только отечественными средствами шифрования. Понятно, что "Яндекс" и "Сбербанк" на это пойдут, а все остальные просто уйдут с нашего рынка, если все это будет работать".
Также Шакиров подчеркнул, что - поскольку поправки предполагают встраивание в браузеры сертификатов, одобренных компаниями, приближенными к спецслужбам, - государство будет иметь доступ к информации в любом защищенном соединении.
При этом эксперт отметил: "Вряд ли все это будет реализовано, поскольку обычно браузеры блокируют такие центры сертификации, потому что понятно - это слежка, и никакому приличному браузеру держать внутри себя такое не нужно".
Напомним, пакет поправок к законам "О связи" и "Об информации", условно известный как законопроект о "суверенном интернете", сенаторы Андрей Клишас и Людмила Бокова, а также депутат Андрей Луговой внесли в Госдуму 14 декабря 2018 года. Он предусматривает создание инфраструктуры, способной обеспечить работу российских интернет-ресурсов в случае отключения отечественного сегмента интернета от зарубежных серверов. В нем определяются трансграничные линии связи и точки обмена трафиком, а их владельцы, операторы связи, обязываются при возникновении угрозы обеспечить возможность централизованного управления трафиком. Кроме того, предлагается установить на сетях связи "технические средства, определяющие источник передаваемого трафика".
12 февраля 2019 года Госдума приняла законопроект в первом чтении. Перед вторым чтением к нему готовятся поправки.
В конце марта секретарь Совета безопасности России Николай Патрушев заявил, что цель закона о "суверенном Рунете" - не ограничить использование интернета в России, а создать инфраструктуру для его надежной работы, и добавил, что риск отключения российских ресурсов от интернета реален.
- Войдите или зарегистрируйтесь, чтобы оставлять комментарии
