Эксперты при Правительстве: «Интернет-слежка неисполнима, а национализация Рунета приведёт к деградации отрасли»

Эксперты при Правительстве РФ раскритиковали законопроект Минкомсвязи о жёсткой регуляции точек обмена трафиком и национальной системе DNS, а также выдвинутые министерством требования к интернет-сервисам поголовно устанавливать СОРМ

В распоряжении РосКомСвободы оказалось два документа рабочей группы «Связь и ИТ» Экспертного совета при Правительстве РФ, касающиеся двух недавних инициатив Минкомсвязи. Первая — изменения требований к организаторам распространения информации (ОРИ), согласно которым они будут обязаны устанавливать средства по проведению оперативно-розыскных мероприятий (СОРМ). Второе — относительно проекта закона о жёсткой регуляции точек обмена трафиком и создании на территории России национальной системы корневых серверов DNS. Правительственные эксперты считают, что в интернет-сервисы чисто технически невозможно внедрить СОРМ, как того требуют федеральные законы 97-ФЗ и 374-ФЗ («пакет Яровой»), и в случае такого внедрения возникнут проблемы в функционировании самих ОРИ. А поправки, вносимые в закон «О связи» не соответствует заявленным целям, состоит из прямых и скрытых отсылочных норм, что потребует наплодить ещё минимум 13 подзаконных актов, а также толкает российский сегмент интернета на путь Китая, КНДР и Кубы, негативно повлияв на реализацию основных положений Программы развития цифровой экономики.

В существующие интернет-сервисы невозможно интегрировать СОРМ, говорится в заключении экспертов. «Информационные системы каждого организатора распространения информации в интернете имеют уникальную архитектуру и специфичный набор интерфейсов, что делает невозможным внедрение типового решения программно-аппаратного технического средства ОРМ, либо возникнут проблемы в его функционировании», — утверждают правительственные эксперты.

СОРМ предназначен для получения, хранения, обработки данных о зарегистрированных пользователях, об их местоположении, о фактах обмена информацией и контентом, и раньше эту систему обязаны были устанавливать только операторы связи и провайдеры. Однако поскольку, согласно федеральному закону 97-ФЗ, все внесённые в реестр ОРИ интернет-сервисы обязаны исполнять вышеописанные требования и предоставлять данные о пользователях российским правоохранительным органам по первому требованию, Минкомсвязь недавно разработало правила установки СОРМ ко всем организаторам распространения информации во исполнение требований этого федерального закона, а также — с 1 июля 2018 года — более жёстких требований «пакета Яровой», согласно которому все операторы связи и ОРИ обязаны вести слежку за своими пользователями, сохраняя все звонки, сообщения, фото и другой контент в течение полугода и предоставляя эти данные ФСБ.

СОРМ можно внедрить, только если он будет разработан совместно ОРИ либо непосредственно самими интернет-сервисами. «Для этого следует максимально упростить/отменить сертификацию решений ОРМ ОРИ, сведя ее к согласованию плана внедрения ОРМ ОРИ с уполномоченным органом (ФСБ)», — говорится в заключении.

По оценкам экспертов, затраты для ОРИ на реализацию «пакета Яровой», который в том числе предполагает внедрение СОРМ, могут исчисляться миллиардами рублей.

Кроме этого, текст приказа нуждается в технических доработках в виду наличия многочисленных недочётов — например, требования выдачи информации даже в случае её отсутствия у ОРИ и так далее.

Позиции членов Экспертного совета, представителей ПАО Ростелеком, ПАО МТС, ПАО Вымпелкома, ООО Яндекс, НП РАЭК, ООО Бэйл.Ру, ОАО КОМКОР, независимых экспертов российского научного, технического и академического сообщества сообщества, были высказаны в рамках очного заседания Рабочей группы, а также в позициях и комментариях, направленных в Экспертный совет по электронной почте.

Второе заключение касается достаточно сложного вопроса — законопроекта, предлагающего дополнить цели федерального закона «О связи» указанием на самостоятельную цель «обеспечение целостности, непрерывности, стабильности, устойчивости и защищённости функционирования российского национального сегмента информационно-телекоммуникационной сети «Интернет»».

Для реализации этих целей предусматривается:

• прямое и постоянное управление сетями связи вместо решения задач определения политики маршрутизации трафика и создания резервной справочной системы на случай возникновения значимых инфидентов или возникновения чрезвычайных ситуаций;
• регулирование вопросов строительства, эксплуатации и обслуживания линий связи, пересекающих госграницу РФ;
• определение закрытого перечня элементов «критической инфраструктуры российского национального сегмента сети «Интернет»;
• введение прямого ограничения на иностранное владение одного из элементов «критической инфраструктуры нац.сегмента сети «Интернет» — точек обмена трафиком на территории РФ»;
• возложение обязанности на владельцев точек обмена трафиком в части участия в обеспечении ОРМ аналогичные обязанностям операторов связи (трёхлетнего срока хранения информации о фактах приёма, передачи, доставки и (или) обработки голосовой информации, текстовых сообщений, изображений, звуков, видео- или иных сообщений пользователей услугами связи, хранения до 6 месяцев текстовых сообщений пользователей услугами связи, голосовую информацию, изображения, звуки, видео-, иные сообщения пользователей).

Эксперты считают, что рассматриваемый Проект в представленном виде не соответствует заявленным целям. В нём практически отсутствуют какие-либо правовые нормы прямого действия, он в основном состоит из прямых и скрытых отсылочных норм, в связи с чем принятие данного законопроекта потребует издания как минимум 13 подзаконных актов.

По мнению экспертов, в проекте уже наметились существенные недостатки:

1. Расхождения с действующим законодательством.

Во-первых, он налагает ограничения на владельцев точки обмена трафиком по части иностранного владения не выше 20%, целесообразность которых сомнительна. В уже существующем законодательстве предусмотрены нормы, контролирующие данный аспект работы точек обмена. К тому же, установление подобных ограничений является обременительным и необоснованным, поскольку через точки обмена трафиком проходит сравнительно незначительная часть российского интернет-трафика (порядка 15%).

Во-вторых, проект закона предусматривает «регулирование отношений, возникающих в российском нац.сегменте сети «Интернет»», содержит положения, расходящиеся не только с положениями федерального закона о критической информационной инфраструктуре (КИИ) 187-ФЗ, но и с «Доктриной информационной безопасности РФ», утвержденной Указом Президента России в декабре 2016 года.

2. Необходима существенная переработка понятийного аппарата законопроекта, исходя из норм международного права, технологических и архитектурных особенностей функционирования интернета, а также сложившейся отраслевой практики.

В Проекте используется много терминов, содержание которых не установлено действующим законодательством:
— «ресурсы сети Интернет»,
— «национальный сегмент Российской Федерации»,
— «номерной идентификатор сетевого адреса» и др.

По мнению экспертов, интернет не может рассматриваться как некий единый объект правового регулирования отдельного государства, поскольку его технологическая инфраструктура объективно является многоуровневой, а целостность функционирования интернета обеспечивается уникальными идентификаторами интернета (системами номерных ресурсов и доменных имён) и сквозными стандартами в области технического взаимодействия и обмена информацией.

Кроме этого, национализация отечественного сегмента сети Интернет с высокой вероятностью приведёт к информационной блокаде со стороны других участников информационного обмена и негативно повлияет на реализацию основных положений программы развития цифровой экономики. Кроме того, сравнительный анализ опыта Китая, КНДР и Кубы показывает, что обособление нац.сегмента интернета ведёт к экономической деградации по инновационным направлениям (КНДР, Куба) и, напротив, широкое участие в глобальных процессах, основанных на сети Интернет, ведёт к экономическому росту (Китай). При этом, нельзя смешивать понятия технологического обособления сети Интернет и осуществление госконтроля над распространением информации в сети.

3. Избыточные требования к операторам связи.

Установление обязанности операторам осуществлять взаимодействие используемых ими сети связи через точку обмена трафиком входит в противоречие с правом на присоединение сетей электросвязи в форме прямых стыков и вступает в противоречие с некоторыми положениями закона «О связи», Правилами присоединения сетей электросвязи и их взаимодействия. Кроме того, обязательное взаимодействие сетей связи через точки обмена трафиком может иметь негативное влияние на устойчивость и экономическую эффективность российского сегмента Интернета.

Также законопроектом закрепляется обязанность операторов связи при пропуске трафика к взаимодействующим автономным системам других операторов «использовать сведения», полученные из ГИС «Интернет». Кроме отсутствия уточнения ряда понятий, очевидное влияние «использования сведений из ГИС» на целостность и устойчивость функционирования как сети связи общего пользования, так и нац.сегмента интернета отсутствуют. Указанное обязательство может быть актуальным и целесообразным только в условиях чрезвычайных ситуаций (ЧС). Необходимо также отметить, что в условиях ЧС для обеспечения устойчивого и непрерывного прохождения приоритетного трафика (сообщения органов безопасности, служб спасения и т.п.) целесообразно говорить об устойчивости и безопасности исключительно объектов КИИ.

4. Негативные последствия требований к точкам обмена трафиком (ТОТ).

Основные недостатки обязательного использования точек обмена:
— удлинение маршрутов как минимум за счёт появления «лишнего» маршрутазатора;
— высокая зависимость надёжности и безопасности функционирования участника обмена трафиком от надёжности и безопасности маршрутизаторов владельца точки обмена (третьей стороны);
— невозможность получить весь трафик в точках обмена трафиком;
— отсутствие возможности подключения к глобальному Интернету провайдерам первого уровня для получения полной связности с глобальным Интернетом.

Отнесение ТОТ к критической инфраструктуре — в данный момент не соответствует фактическому положению дел. ТОТ как инструмент для локализации трафика внутри страны приникает на себя не более 15% трафика, т.к. Остальные 85% проходят через прямые межоператорские соединения крупных операторов связи. Поэтому для повышения роли ТОТ необходимо обеспечить механизм перевода остальных 80% трафика на ТОТ. Для этого потребуется учесть финансовые затраты как со стороны владельцев ТОТ, необходимые на расширения монтируемой ёмкости используемого оборудования для покрытия оставшихся 80% трафика, так и всех операторов связи, обязанных осуществлять пропуск межсетевого интернет-трафика через ТОТ на основе «сведений из ГИС-Интернет».

Для первых потребуется увеличение числа портов и числа единиц оборудования в точках обмена трафиком не менее, чем в 8 раз, что потребует существенного увеличения капитальных затрат со стороны владельцев точек обмена трафиком. Для вторых — полная перестройка существующих магистральных сетей связи, отказ от существующих точек пропуска трафика, существенное сокращение количества возможных маршрутов пропуска трафика в ущерб надёжности сети.

В итоге это неизбежно снизит безопасность сети связи общего пользования, приведя к появлению «узкого горлышка» при пропуске трафика на территорию РФ, что противоречит и заявленным целям законопроекта. С учётом ежегодного 30% роста потребления трафика это создаст условия для проведения успешных кибератак на сети связи общего пользования РФ. Существующая же сейчас конфигурация сети связи общего пользования на практике доказала эффективность в части обеспечения устойчивости. Примечательно, что пояснительная записка не содержит никаких конкретных обоснований для изменения системы пропуска трафика, существующей на данный момент.

В совокупности мы можем получить существенной ухудшение связности и устойчивости сетей на территории РФ, деградации качества услуг связи вплоть до полной недоступности услуг в отдельно взятых регионах России. Таким образом, принятие законопроекта приведёт к результатам, полностью противоположным заявленным в документе.

5. Негативные последствия 20%-ного ограничения иностранного владения на операторов.

На текущий момент ни один из операторов «большой тройки» не соответствует требованиям по доле иностранного владения. Подобные предложения снижают рыночную стоимость российских компаний и ведут к снижению уровня инвестпривлекательности российского рынка ИКТ, ухудшают инвестклимат в РФ, создают существенные препятствия для реализации программы «Цифровая экономика».

С правовой точки зрения расширение действия некоторых федеральных законов, предусмотренных в законопроекте, невозможны по целому ряду причин. Многие требования также избыточны.

Эксперты предлагают Минкомсвязи доработать проект изменений в закон «О связи» с учётом замечаний, выделить в качестве объектов КИИ только национальную доменную зону .ru, .рф и инфраструктуру, обеспечивающую её функционирование. При этом требуется обосновать необходимость такого включения и в терминах федерального закона «О КИИ» описать правила её категорирования.

Для повышения целостности, устойчивости и безопасности функционирования КИИ установить, что на создаваемых согласно законопроекту «зеркалах» хранится исключительно информация об объектах КИИ, а также установить приоритет второго уровня (после сообщений о безопасности) для трафика таких объектов в условиях ЧС.

Для повышения целостности, устойчивости безопасности функционирования национальной доменной зоны определить перечень субъектов, устанавливающих на своих ресурсах «зеркала» серверов корневой зоны.

Необходимо определить минимальное зеркал серверов корневой зоны для создания мастер-копии корневой зоны при возникновении ЧС. Определить орган или организацию, ответственные за создание мастер-копии корневой зоны при наступлении аварийной ситуации. Определить порядок взаимодействия субъектов, установивших на своих ресурсах зеркала серверов корневой зоны, включая взаимодействие при возникновении ЧС.

Необходимые изменение в терминах и определениях эксперты изложили в соответствующем приложении к своему документу.

После прочтения вышеуказанных проектов нормативных правовых актов складывается ощущение, что документы Минкомсвязи становятся всё менее профессиональными с правовой и технологической точек зрения. В них всё больше идеологии, всё чаще это напоминает внутренние командообразующие документы какой-нибудь корпорации, где выставлены заведомо невыполнимые цели, к которым сплочённый коллектив должен стремиться чисто психологически, ежеутренне глядя на распечатанный над рабочим местом листочек с соответствующими тезисами. Конечно, нельзя забывать, что министерство в данном случае лишь исполнитель законодательных инициатив, которые за это лето прошли под знаком усиления цензуры, однако ни в момент принятия соответствующих законопроектов, ни при разработке подзаконных актов не возникло никаких замечаний к заведомо абсурдным законодательным инициативам, а просто создаётся такая же абсурдная правовая база, полная технологических и правовых ляпов. Похоже, описанные выше инициативы превращаются в очередной «пакет Яровой», бессмысленный и беспощадный, влекущие за собой планетарного масштаба затраты и сомнительные «усовершенствования» и без того неплохо работающих систем.