«Те, кто готовы пожертвовать насущной свободой ради малой толики временной безопасности, не достойны ни свободы, ни безопасности»
Бенджамин Франклин,
официальное письмо Ассамблеи Пенсильвании
губернатору Томасу Уортону
11 ноября 1755 г.

В поне­дель­ник, 5 октяб­ря, закон­чил­ся при­ём отзы­вов в рам­ках обще­ствен­но­го обсуж­де­ния ново­го про­ек­та зако­на Минцифры РФ, вно­ся­ще­го изме­не­ния в 149-ФЗ «Об инфор­ма­ции, инфор­ма­ци­он­ных тех­но­ло­ги­ях и о защи­те информации»:

1) Статью 2 допол­нить пунк­том 21 сле­ду­ю­ще­го содержания:

«Протокол шиф­ро­ва­ния, поз­во­ля­ю­щий скрыть имя (иден­ти­фи­ка­тор) Интернет-страницы или сай­та в сети ‎«Интернет» – это абстракт­ный или кон­крет­ный про­то­кол, вклю­ча­ю­щий набор пра­вил, регла­мен­ти­ру­ю­щих исполь­зо­ва­ние крип­то­гра­фи­че­ских пре­об­ра­зо­ва­ний и алго­рит­мов в инфор­ма­ци­он­ные процессы.»;

2) Пункт 2 ста­тьи 10 допол­нить абза­ца­ми сле­ду­ю­ще­го содержания:

«Запрещается исполь­зо­ва­ние на тер­ри­то­рии Российской Федерации про­то­ко­лов шиф­ро­ва­ния, поз­во­ля­ю­щих скрыть имя (иден­ти­фи­ка­тор) ‎Интернет-страницы или сай­та в сети «Интернет», за исклю­че­ни­ем слу­ча­ев, уста­нов­лен­ных зако­но­да­тель­ством Российской Федерации.

Нарушение запре­та исполь­зо­ва­ния в Российской Федерации про­то­ко­лов шиф­ро­ва­ния, поз­во­ля­ю­щих скрыть имя (иден­ти­фи­ка­тор) Интернет-страницы или сай­та в сети «Интернет», вле­чет при­оста­нов­ле­ние функ­ци­о­ни­ро­ва­ния Интернет-ресурса в срок не позд­нее 1 (одно­го) рабо­че­го дня со дня обна­ру­же­ния дан­но­го нару­ше­ния упол­но­мо­чен­ным на то феде­раль­ным орга­ном испол­ни­тель­ной власти»

По мне­нию мно­гих экс­пер­тов, кото­рое мы пол­но­стью раз­де­ля­ем, в теку­щей фор­ме этот зако­но­про­ект не про­сто вре­ден, а опа­сен – в первую оче­редь для оте­че­ствен­но­го сег­мен­та интер­не­та, кото­рый он при­зван защищать.

Начнём немно­го изда­ле­ка. Значительная часть суще­ство­ва­ния и раз­ви­тия интер­не­та за послед­ние два деся­ти­ле­тия, с момен­та, когда он стал обще­при­ня­тым сред­ством ком­му­ни­ка­ции, в том чис­ле – для пере­да­чи кри­ти­че­ски важ­ной инфор­ма­ции, вклю­чая финан­со­вую, лич­ные дан­ные поль­зо­ва­те­ли и тому подоб­ное – это борь­ба с мошен­ни­ка­ми и дру­ги­ми людь­ми с недоб­ро­со­вест­ны­ми наме­ре­ни­я­ми. В ней было мно­го эта­пов: бур­ное раз­ви­тие анти­ви­ру­сов, защи­ты от спа­ма и под­дель­ных (фишин­го­вых) элек­трон­ных писем, рас­про­стра­не­ние сер­ти­фи­ка­тов, удо­сто­ве­ря­ю­щих, что сайт, на кото­рый вы зашли, дей­стви­тель­но тот, за кого он себя выда­ёт, нако­нец – шиф­ро­ва­ние пере­да­ва­е­мых меж­ду вашим ком­пью­те­ром и сай­том дан­ных так, что­бы мошен­ни­ки не смог­ли их пере­хва­тить, под­слу­шать, подделать.

Эти зада­чи реша­ют­ся посте­пен­но, как и в любом сорев­но­ва­нии сна­ря­да и брони.

Очередной этап защи­ты поль­зо­ва­те­лей интер­не­та от мошен­ни­ков – это сокры­тие от посто­рон­них лиц не толь­ко содер­жа­ния инфор­ма­ции, кото­рой вы обме­ни­ва­е­тесь с сай­та­ми, но и самих назва­ний сай­тов, на кото­рые вы захо­ди­те. Никто, кро­ме вас, не дол­жен знать, каким бан­ком и когда вы поль­зу­е­тесь, на каких сер­ви­сах заре­ги­стри­ро­ва­ны. Эти тех­но­ло­гии извест­ны про­фес­си­о­на­лам под назва­ни­ем eSNI и ECH, сей­час они нахо­дят­ся на ран­них ста­ди­ях внедрения.

Да, эти тех­но­ло­гии меша­ют Роскомнадзору бло­ки­ро­вать неже­ла­тель­ные сай­ты, в том чис­ле сай­ты, раз­ме­ща­ю­щие запре­щён­ный кон­тент. Но точ­но так же зам­ки на две­рях квар­тир и подъ­ез­дов меша­ют мили­ции пре­сле­до­вать подо­зре­ва­е­мых в совер­ше­нии пре­ступ­ле­ний – одна­ко здесь обще­ство без коле­ба­ний при­шло к кон­сен­су­су о том, что лич­ное про­стран­ство долж­но оста­вать­ся лич­ным и защи­щён­ным. Что пра­во на защи­ту это­го про­стран­ства не долж­но без­услов­но деле­ги­ро­вать­ся ком­пе­тент­ным орга­нам, пото­му что они всё рав­но не смо­гут поста­вить поли­цей­ско­го у каж­дой две­ри. Что есть гра­ни­ца, кото­рую нель­зя пере­хо­дить. Да, чест­но­му чело­ве­ку нече­го скры­вать. Нет, это не зна­чит, что мож­но запре­тить ему задёр­ги­вать што­ры на окнах.

К сожа­ле­нию, в обла­сти циф­ро­вых тех­но­ло­гий это­го кон­сен­су­са нет – поэто­му, если раз­ви­вать ана­ло­гию, Минцифра пред­ла­га­ет начать с запре­та на задёр­ги­ва­ние штор, а потом перей­ти и к неза­кон­но­сти зам­ков на дверях.

Помимо самой недо­пу­сти­мо­сти подоб­ных запре­тов, необ­хо­ди­мо отме­тить тот колос­саль­ный урон, кото­рый они нане­сут рос­сий­ской интернет-индустрии уже в сред­не­сроч­ной пер­спек­ти­ве. Вышеупомянутые eSNI и ECH явля­ют­ся частью обще­ми­ро­вых стан­дар­тов – напри­мер, стан­дар­та TLS v.1.3 – кото­рые не про­сто будут всё шире исполь­зо­вать­ся зару­беж­ны­ми ком­па­ни­я­ми, но и без­услов­но вой­дут в те или иные тре­бо­ва­ния, напри­мер, в тре­бо­ва­ния по обес­пе­че­нию без­опас­но­сти обра­бот­ки финан­со­вой инфор­ма­ции PCI DSS, кото­рым обя­за­ны удо­вле­тво­рять все бан­ков­ские и пла­тёж­ные организации.

Что отве­тит Минцифра, когда к ней при­дут пред­ста­ви­те­ли рос­сий­ских бан­ков и ска­жут, что боль­ше не могут рабо­тать с кар­та­ми VISA и MasterCard, пото­му что новая вер­сия PCI DSS дела­ет TLS v.1.3 обя­за­тель­ным – а Минцифра его запре­ти­ла? Когда ока­жет­ся, что круп­ней­шие миро­вые сер­ви­сы пере­хо­дят на новые стан­дар­ты про­сто в ходе пла­но­во­го обнов­ле­ния про­грамм­но­го обес­пе­че­ния на сво­их серверах?

Более того, край­няя нечёт­кость фор­му­ли­ро­вок зако­но­про­ек­та поз­во­ля­ет, в слу­чае его при­ня­тия, закрыть прак­ти­че­ски весь интер­нет, вклю­чая рос­сий­ский, бук­валь­но на сле­ду­ю­щий день. Фраза «поз­во­ля­ю­щих скрыть имя (иден­ти­фи­ка­тор) ‎Интернет-страницы» фор­маль­но может быть при­ме­не­на к любо­му сай­ту, рабо­та­ю­ще­му по про­то­ко­лу HTTPS – то есть, прак­ти­че­ски к 100 % круп­ных сай­тов. Зайдите на Яндекс, Мейл.ру, Сбербанк, Культура.рф – види­те зна­чок замоч­ка рядом с адре­сом сай­та? Это и есть тот самый HTTPS, кото­рый «скры­ва­ет имя Интернет-страниц» – а заод­но не даёт зло­умыш­лен­ни­кам под­ме­нить насто­я­щий сайт фей­ко­вым, пере­хва­тить дан­ные вашей кре­дит­ки или узнать ваши пароли.

Не отри­цая важ­но­сти борь­бы с рас­про­стра­не­ни­ем про­ти­во­прав­но­го кон­тен­та в интер­не­те, мы под­чёр­ки­ва­ем: при при­ня­тии в теку­щем виде зако­но­про­ект нане­сёт непо­пра­ви­мый урон рос­сий­ско­му сег­мен­ту интер­не­та, отре­зав рос­сий­ский рынок от круп­ней­ших миро­вых сер­ви­сов, поста­вив под угро­зу про­цесс циф­ро­ви­за­ции рос­сий­ской эко­но­ми­ки и рез­ко сни­зив кон­ку­рен­то­спо­соб­ность оте­че­ствен­ных интернет-компаний на меж­ду­на­род­ном рын­ке. Отставание в тех­но­ло­ги­ях защи­ты пере­да­ва­е­мых дан­ных поста­вит под угро­зу и наци­о­наль­ную без­опас­ность стра­ны, облег­чив сбор заин­те­ре­со­ван­ны­ми ино­стран­ны­ми аген­та­ми соот­вет­ству­ю­щей информации.

Мы наста­и­ва­ем, что зако­но­про­ект дол­жен быть ради­каль­но пере­смот­рен с учё­том выска­зан­ных выше замечаний.

Приложение: Отзыв экс­пер­тов Партии пря­мой демо­кра­тии на зако­но­про­ект «О вне­се­нии изме­не­ний в ста­тьи 2 и 10 Федерального зако­на «Об инфор­ма­ции, инфор­ма­ци­он­ных тех­но­ло­ги­ях и о защи­те инфор­ма­ции» (PDF, 171 кбайт)

Макаров Вячеслав Викторович
Генеральный секретарь Высшего координационного совета
Партии прямой демократии

Артамонов Олег Николаевич
Руководитель группы научно-технической экспертизы
Партии прямой демократии

Шевяков Тимофей Николаевич
Пресс-секретарь, член Высшего координационного совета
Партии прямой демократии

Лысаковский Дмитрий Иванович
Предприниматель, член Высшего координационного совета
Партии прямой демократии

Чигидин Борис Викторович
член Высшего координационного совета Партии прямой демократии, к.ю.н.

Филиппов Андрей Александрович
Член Высшего координационного совета
Партии прямой демократии

Палюлин Антон Юрьевич
управляющий партнер
юридического бюро «Палюлин и партнеры»

Нестерович Сергей Александрович
Зам. главного редактора «Агентства Политических Новостей»

Щербаков Алексей Александрович
Ведущий разработчик FoodPlex

Толкач Александр Александрович
Предприниматель, Community Lead в Gaijin Entertainment

Калошин Вячеслав Владимирович
Предприниматель, архитектор, проектный менеджер

Зайцев Алексей Владимирович
Веб-разработчик

Поволоцкий Александр Борисович
Системный администратор и программист

Большаков Николай Борисович
Руководитель проектов

Иванов Павел Борисович
руководитель проекта Learnee, разработчик

Маддалена Александр Николович
независимый профессионал

Петров Алексей Алексеевич
Предприниматель, web-разработчик

Вардиев Павел Анатольевич
IT специалист с более чем 20-летним опытом

Подписаться под обращением

Необходимо авто­ри­зо­вать­ся на сай­те с исполь­зо­ва­ни­ем мес­сен­дже­ра Telegram.