Позиция по "пакету Яровой"

[Позиция высказана в письме Б.Ю.Титова Д.А.Медведеву от 23.06.2016]

Законопроектом №1039149-6 устанавливаются дополнительные требования, предъявляемые к операторам связи и организаторам распространения информации в сети Интернет, связанные с хранением данных пользователей. Задача требований - пресечение подготовки преступлений злоумышленниками с использованием сети Интернет. Суть требований следующая: • в течение трех лет хранить весь трафик • в случае необходимости предоставлять уполномоченным органам передаваемую информацию и ключи для декодирования сообщений.

ПОЗИЦИЯ

На основании консультаций с представителями экспертного сообщества интернет-омбудсменом сделаны следующие выводы: • требование хранить весь трафик в течение трех лет финансово невыполнимо • требование по раскрытию ключей для декодирования сообщений создает киберугрозы для национальной безопасности, для бизнеса, для частной жизни граждан • предлагаемый в законопроекте комплекс решений не соответствует поставленной задаче. По этим причинам законопроект требует доработки и не может быть принят в предложенной к третьему чтению редакции.

ОБОСНОВАНИЕ ПОЗИЦИИ

Угроза финансового коллапса отрасли Для решения задачи хранения и обработки всех текстовых сообщений, голосовой информации, изображений, звуков, видео и иных сообщений пользователей необходимо строительство дополнительных центров обработки данных, обеспечение их каналами связи, дорогим инженерным и ИТ-оборудованием, электропитанием и другими дорогостоящими ресурсами. Затраты на создание подобной инфраструктуры поставят крупных игроков на грань финансового коллапса, а для малых и средних будут означать невыполнение законодательства и выход либо из бизнеса, либо из правового поля, либо из российской юрисдикции. Следует особо отметить, что обратной стороной всех колоссальных затрат на создание требуемой инфраструктуры будет обогащение иностранных производителей оборудования, поскольку в России оно не производится, и закупать его придется за рубежом. Угрозы кибербезопасности Раскрытие ключей означает изменение алгоритма обеспечения кибербезопасности, а значит - фактически встраивание заведомой уязвимости в систему. Возрастут риски утечки конфиденциальной информации, что создает угрозу для страны, бизнеса и граждан. Угрозы российскому бизнесу на международных рынках Раскрытие ключей означает внесение изменений в международные стандарты безопасности, а значит, - исключение российских игроков из систем международного взаимодействия. В некоторых случаях это может быть весьма болезненным для экономики страны, например, в случае платежных систем, которые будут автоматически исключены из международного обмена в случае раскрытия ключей и нарушения таким образом требований международного стандарта PCI DSS. Раскрытие ключей поставит российские компании в неравные условия и затруднит деятельность российских компаний на международных рынках, поскольку иностранные компании могут отказаться от выполнения данных требований, так как они противоречат законодательству их стран. Отметим, что другие государства могут предъявить аналогичные требования по раскрытию ключей к российским компаниям. Неадекватность решения задаче законопроекта Следует особо отметить, что требование по раскрытию ключей для декодирования сообщений означает сосредоточение ключей от всех коммуникаций у одного владельца, что увеличивает риск их взлома иностранными разведками, хакерами, террористами, что создает угрозу национальной безопасности. Это работает на решение задачи законопроекта «с точностью до наоборот», поскольку способствует не пресечению, а подготовке преступлений злоумышленниками с использованием сети Интернет.