Обращение к Минцифре: эксперты об опасности нового законопроекта

«Те, кто гото­вы пожерт­во­вать насущ­ной сво­бо­дой ради малой толи­ки вре­мен­ной без­опас­но­сти, не достой­ны ни сво­бо­ды, ни без­опас­но­сти»
Бенджамин Франклин,
офи­ци­аль­ное пись­мо Ассамблеи Пенсильвании
губер­на­то­ру Томасу Уортону
11 нояб­ря 1755 г.

В поне­дель­ник, 5 октяб­ря, закон­чил­ся при­ём отзы­вов в рам­ках обще­ствен­но­го обсуж­де­ния ново­го про­ек­та зако­на Минцифры РФ, вно­ся­ще­го изме­не­ния в 149-ФЗ «Об инфор­ма­ции, инфор­ма­ци­он­ных тех­но­ло­ги­ях и о защи­те инфор­ма­ции»:

1) Статью 2 допол­нить пунк­том 21 сле­ду­ю­ще­го содер­жа­ния:

«Протокол шиф­ро­ва­ния, поз­во­ля­ю­щий скрыть имя (иден­ти­фи­ка­тор) Интернет-страницы или сай­та в сети ‎«Интернет» — это абстракт­ный или кон­крет­ный про­то­кол, вклю­ча­ю­щий набор пра­вил, регла­мен­ти­ру­ю­щих исполь­зо­ва­ние крип­то­гра­фи­че­ских пре­об­ра­зо­ва­ний и алго­рит­мов в инфор­ма­ци­он­ные про­цес­сы.»;

2) Пункт 2 ста­тьи 10 допол­нить абза­ца­ми сле­ду­ю­ще­го содер­жа­ния:

«Запрещается исполь­зо­ва­ние на тер­ри­то­рии Российской Федерации про­то­ко­лов шиф­ро­ва­ния, поз­во­ля­ю­щих скрыть имя (иден­ти­фи­ка­тор) ‎Интернет-страницы или сай­та в сети «Интернет», за исклю­че­ни­ем слу­ча­ев, уста­нов­лен­ных зако­но­да­тель­ством Российской Федерации.

Нарушение запре­та исполь­зо­ва­ния в Российской Федерации про­то­ко­лов шиф­ро­ва­ния, поз­во­ля­ю­щих скрыть имя (иден­ти­фи­ка­тор) Интернет-страницы или сай­та в сети «Интернет», вле­чет при­оста­нов­ле­ние функ­ци­о­ни­ро­ва­ния Интернет-ресурса в срок не позд­нее 1 (одно­го) рабо­че­го дня со дня обна­ру­же­ния дан­но­го нару­ше­ния упол­но­мо­чен­ным на то феде­раль­ным орга­ном испол­ни­тель­ной вла­сти»

По мне­нию мно­гих экс­пер­тов, кото­рое мы пол­но­стью раз­де­ля­ем, в теку­щей фор­ме этот зако­но­про­ект не про­сто вре­ден, а опа­сен — в первую оче­редь для оте­че­ствен­но­го сег­мен­та интер­не­та, кото­рый он при­зван защи­щать.

Начнём немно­го изда­ле­ка. Значительная часть суще­ство­ва­ния и раз­ви­тия интер­не­та за послед­ние два деся­ти­ле­тия, с момен­та, когда он стал обще­при­ня­тым сред­ством ком­му­ни­ка­ции, в том чис­ле — для пере­да­чи кри­ти­че­ски важ­ной инфор­ма­ции, вклю­чая финан­со­вую, лич­ные дан­ные поль­зо­ва­те­ли и тому подоб­ное — это борь­ба с мошен­ни­ка­ми и дру­ги­ми людь­ми с недоб­ро­со­вест­ны­ми наме­ре­ни­я­ми. В ней было мно­го эта­пов: бур­ное раз­ви­тие анти­ви­ру­сов, защи­ты от спа­ма и под­дель­ных (фишин­го­вых) элек­трон­ных писем, рас­про­стра­не­ние сер­ти­фи­ка­тов, удо­сто­ве­ря­ю­щих, что сайт, на кото­рый вы зашли, дей­стви­тель­но тот, за кого он себя выда­ёт, нако­нец — шиф­ро­ва­ние пере­да­ва­е­мых меж­ду вашим ком­пью­те­ром и сай­том дан­ных так, что­бы мошен­ни­ки не смог­ли их пере­хва­тить, под­слу­шать, под­де­лать.

Эти зада­чи реша­ют­ся посте­пен­но, как и в любом сорев­но­ва­нии сна­ря­да и бро­ни.

Очередной этап защи­ты поль­зо­ва­те­лей интер­не­та от мошен­ни­ков — это сокры­тие от посто­рон­них лиц не толь­ко содер­жа­ния инфор­ма­ции, кото­рой вы обме­ни­ва­е­тесь с сай­та­ми, но и самих назва­ний сай­тов, на кото­рые вы захо­ди­те. Никто, кро­ме вас, не дол­жен знать, каким бан­ком и когда вы поль­зу­е­тесь, на каких сер­ви­сах заре­ги­стри­ро­ва­ны. Эти тех­но­ло­гии извест­ны про­фес­си­о­на­лам под назва­ни­ем eSNI и ECH, сей­час они нахо­дят­ся на ран­них ста­ди­ях внед­ре­ния.

Да, эти тех­но­ло­гии меша­ют Роскомнадзору бло­ки­ро­вать неже­ла­тель­ные сай­ты, в том чис­ле сай­ты, раз­ме­ща­ю­щие запре­щён­ный кон­тент. Но точ­но так же зам­ки на две­рях квар­тир и подъ­ез­дов меша­ют мили­ции пре­сле­до­вать подо­зре­ва­е­мых в совер­ше­нии пре­ступ­ле­ний — одна­ко здесь обще­ство без коле­ба­ний при­шло к кон­сен­су­су о том, что лич­ное про­стран­ство долж­но оста­вать­ся лич­ным и защи­щён­ным. Что пра­во на защи­ту это­го про­стран­ства не долж­но без­услов­но деле­ги­ро­вать­ся ком­пе­тент­ным орга­нам, пото­му что они всё рав­но не смо­гут поста­вить поли­цей­ско­го у каж­дой две­ри. Что есть гра­ни­ца, кото­рую нель­зя пере­хо­дить. Да, чест­но­му чело­ве­ку нече­го скры­вать. Нет, это не зна­чит, что мож­но запре­тить ему задёр­ги­вать што­ры на окнах.

К сожа­ле­нию, в обла­сти циф­ро­вых тех­но­ло­гий это­го кон­сен­су­са нет — поэто­му, если раз­ви­вать ана­ло­гию, Минцифра пред­ла­га­ет начать с запре­та на задёр­ги­ва­ние штор, а потом перей­ти и к неза­кон­но­сти зам­ков на две­рях.

Помимо самой недо­пу­сти­мо­сти подоб­ных запре­тов, необ­хо­ди­мо отме­тить тот колос­саль­ный урон, кото­рый они нане­сут рос­сий­ской интернет-индустрии уже в сред­не­сроч­ной пер­спек­ти­ве. Вышеупомянутые eSNI и ECH явля­ют­ся частью обще­ми­ро­вых стан­дар­тов — напри­мер, стан­дар­та TLS v.1.3 — кото­рые не про­сто будут всё шире исполь­зо­вать­ся зару­беж­ны­ми ком­па­ни­я­ми, но и без­услов­но вой­дут в те или иные тре­бо­ва­ния, напри­мер, в тре­бо­ва­ния по обес­пе­че­нию без­опас­но­сти обра­бот­ки финан­со­вой инфор­ма­ции PCI DSS, кото­рым обя­за­ны удо­вле­тво­рять все бан­ков­ские и пла­тёж­ные орга­ни­за­ции.

Что отве­тит Минцифра, когда к ней при­дут пред­ста­ви­те­ли рос­сий­ских бан­ков и ска­жут, что боль­ше не могут рабо­тать с кар­та­ми VISA и MasterCard, пото­му что новая вер­сия PCI DSS дела­ет TLS v.1.3 обя­за­тель­ным — а Минцифра его запре­ти­ла? Когда ока­жет­ся, что круп­ней­шие миро­вые сер­ви­сы пере­хо­дят на новые стан­дар­ты про­сто в ходе пла­но­во­го обнов­ле­ния про­грамм­но­го обес­пе­че­ния на сво­их сер­ве­рах?

Более того, край­няя нечёт­кость фор­му­ли­ро­вок зако­но­про­ек­та поз­во­ля­ет, в слу­чае его при­ня­тия, закрыть прак­ти­че­ски весь интер­нет, вклю­чая рос­сий­ский, бук­валь­но на сле­ду­ю­щий день. Фраза «поз­во­ля­ю­щих скрыть имя (иден­ти­фи­ка­тор) ‎Интернет-страницы» фор­маль­но может быть при­ме­не­на к любо­му сай­ту, рабо­та­ю­ще­му по про­то­ко­лу HTTPS — то есть, прак­ти­че­ски к 100 % круп­ных сай­тов. Зайдите на Яндекс, Мейл.ру, Сбербанк, Культура.рф — види­те зна­чок замоч­ка рядом с адре­сом сай­та? Это и есть тот самый HTTPS, кото­рый «скры­ва­ет имя Интернет-страниц» — а заод­но не даёт зло­умыш­лен­ни­кам под­ме­нить насто­я­щий сайт фей­ко­вым, пере­хва­тить дан­ные вашей кре­дит­ки или узнать ваши паро­ли.

Не отри­цая важ­но­сти борь­бы с рас­про­стра­не­ни­ем про­ти­во­прав­но­го кон­тен­та в интер­не­те, мы под­чёр­ки­ва­ем: при при­ня­тии в теку­щем виде зако­но­про­ект нане­сёт непо­пра­ви­мый урон рос­сий­ско­му сег­мен­ту интер­не­та, отре­зав рос­сий­ский рынок от круп­ней­ших миро­вых сер­ви­сов, поста­вив под угро­зу про­цесс циф­ро­ви­за­ции рос­сий­ской эко­но­ми­ки и рез­ко сни­зив кон­ку­рен­то­спо­соб­ность оте­че­ствен­ных интернет-компаний на меж­ду­на­род­ном рын­ке. Отставание в тех­но­ло­ги­ях защи­ты пере­да­ва­е­мых дан­ных поста­вит под угро­зу и наци­о­наль­ную без­опас­ность стра­ны, облег­чив сбор заин­те­ре­со­ван­ны­ми ино­стран­ны­ми аген­та­ми соот­вет­ству­ю­щей инфор­ма­ции.

Мы наста­и­ва­ем, что зако­но­про­ект дол­жен быть ради­каль­но пере­смот­рен с учё­том выска­зан­ных выше заме­ча­ний.

Приложение: Отзыв экс­пер­тов Партии пря­мой демо­кра­тии на зако­но­про­ект «О вне­се­нии изме­не­ний в ста­тьи 2 и 10 Федерального зако­на «Об инфор­ма­ции, инфор­ма­ци­он­ных тех­но­ло­ги­ях и о защи­те инфор­ма­ции» (PDF, 171 кбайт)

Макаров Вячеслав Викторович
Генеральный сек­ре­тарь Высшего коор­ди­на­ци­он­но­го сове­та
Партии пря­мой демо­кра­тии
Артамонов Олег Николаевич
Руководитель груп­пы научно-технической экс­пер­ти­зы
Партии пря­мой демо­кра­тии
Шевяков Тимофей Николаевич
Пресс-секретарь, член Высшего коор­ди­на­ци­он­но­го сове­та
Партии пря­мой демо­кра­тии
Лысаковский Дмитрий Иванович
Предприниматель, член Высшего коор­ди­на­ци­он­но­го сове­та
Партии пря­мой демо­кра­тии
Чигидин Борис Викторович
член Высшего коор­ди­на­ци­он­но­го сове­та Партии пря­мой демо­кра­тии, к.ю.н.
Филиппов Андрей Александрович
Член Высшего коор­ди­на­ци­он­но­го сове­та
Партии пря­мой демо­кра­тии
Палюлин Антон Юрьевич
управ­ля­ю­щий парт­нер
юри­ди­че­ско­го бюро «Палюлин и парт­не­ры»
Нестерович Сергей Александрович
Зам. глав­но­го редак­то­ра «Агентства Политических Новостей»
Щербаков Алексей Александрович
Ведущий раз­ра­бот­чик FoodPlex
Толкач Александр Александрович
Предприниматель, Community Lead в Gaijin Entertainment
Калошин Вячеслав Владимирович
Предприниматель, архи­тек­тор, про­ект­ный мене­джер
Зайцев Алексей Владимирович
Веб-разработчик
Поволоцкий Александр Борисович
Системный адми­ни­стра­тор и про­грам­мист
Большаков Николай Борисович
Руководитель про­ек­тов
Иванов Павел Борисович
руко­во­ди­тель про­ек­та Learnee, раз­ра­бот­чик
Маддалена Александр Николович
неза­ви­си­мый про­фес­си­о­нал
Петров Алексей Алексеевич
Предприниматель, web-разработчик
Вардиев Павел Анатольевич
IT спе­ци­а­лист с более чем 20-летним опы­том

Подписаться под обращением

Необходимо авто­ри­зо­вать­ся на сай­те с исполь­зо­ва­ни­ем мес­сен­дже­ра Telegram.

Эта фор­ма доступ­на толь­ко для заре­ги­стри­ро­ван­ных поль­зо­ва­те­лей.

Поделиться