Порядок формирования такого перечня Роскомнадзор утвердил в приказе №22 от 21 февраля 2023 г. В документе сказано, что формирование перечня происходит "на основании общедоступной информации, размещаемой в открытых источниках". Этим занимается "уполномоченное структурное подразделение ведомства", которое обязано также следить за актуальностью списка и своевременно вносить в него дополнения.
Первая итерация перечня из девяти позиций появилась 2 мая. Помимо Viber, WhatsApp, Telegram и WeChat, в него попали Skype, Microsoft Teams, Snapchat, Discord и Threema. По данным ведомства, пять сервисов из "черного списка" зарегистрированы в США, Viber – в Люксембурге, Threema – в Швейцарии. WeChat фигурирует в документе как сервис одноименной компании, находящейся в Сингапуре. В какой стране зарегистрирована Telegram messenger Inc., судя по документу, сотрудникам ведомства установить не удалось. Согласно данным из открытых источников, компания, созданная в 2013 г. в России Николаем и Павлом Дуровыми, с 2017 г. базируется в Дубае.
Операторов персональных данных (то есть организации и лица, которые собирают, хранят и обрабатывают такие данные) Роскомнадзор предупредил о том, что теперь ни через один из девяти мессенджеров нельзя передавать платежные документы, а также информацию о персональных данных россиян, об их счетах и вкладах, данные о денежных переводах и сведения, которые необходимы для платежей.
"Ведомство рекомендует операторам использовать отечественные мессенджеры. В условиях санкционной политики в отношении России это позволит устранить риски, связанные с несанкционированным доступом к информации со стороны зарубежных органов власти и односторонним отказом от обслуживания мессенджеров в связи с введением санкций иностранных государств", - говорится в сообщении пресс-службы на сайте Роскомнадзора.
В ответ на запрос ComNews в пресс-службе пояснили, что ведомство, в частности, рекомендует пользоваться такими сервисами, как "VK Мессенджер", "Яндекс.Мессенджер", "ТамТам", "Мой Мир" и ICQ.
Необходимость введения запрета сотрудник пресс-службы объяснил рисками, которые "связаны с ростом утечек персональных данных россиян". По его словам, в 2021 г. ведомство зафиксировало четыре подобных инцидента, а 2022 г. – более 140, а за 4 месяца 2023 г. – 57. "Содержание скомпрометированных баз раскрывает личную информацию о гражданах России, их актуальные социальные связи", - сказал представитель ведомства.
"Использование зарубежных мессенджеров из перечня Роскомнадзора неоднократно выявлялось в ходе аудиторских проверок, проводимых консалтинговой компанией "Б-152", - сообщила консультант по защите персональных данных Зухра Нигмедзянова, добавив, что речь идет о применении ботов для общения с клиентами в WhatsApp, Telegram, а также внутрикорпоративных коммуникациях в Microsoft Team. Однако она не видит в этом угроз утечки данных, поскольку зачастую в сервисах используются боты для ответов на часто задаваемые вопросы (FAQ), а это не попадает под условия запрета использования мессенджеров, установленных в ч. 8 ст. 10 закона "Об информации". "Перечень компаний, закрепленный в этом законе, весьма специфичен, требования актуальны для банков, некредитных финансовых организаций, госкомпаний, обществ с долей публичного участия в уставном капитале более 50% и т.п.", - уточнила Зухра Нигмедзянова.
По ее мнению, утечке данных могут быть подвержены мессенджеры любых компаний, как зарубежных, так и отечественных. "Однако, учитывая требования о локализации баз персональных данных, которые не может соблюдать большинство зарубежных мессенджеров, организация, по вине которой эта информация попадает к иностранным провайдерам, может быть оштрафована на сумму до 6 млн руб. по ч. 8 ст. 13.11 КоАП РФ", - отметила консультант.
Она напомнила также, что на рассмотрении в Госдуме находится проект федерального закона "Об ответственности за использование запрещенных зарубежных мессенджеров для передачи платежных документов, персональных данных граждан РФ и иных сведений". "За это нарушение авторы законопроекта предлагают штрафовать должностных лиц на сумму до 40 тыс. руб., а организации - до 700 тыс. руб.", - резюмировала она.
Ведущий консультант по информационной безопасности AKTIV.CONSULTING Александр Моисеев убежден, что использование иностранных мессенджеров действительно может угрожать утечкой персональных данных из-за слабого механизма обеспечения безопасности, уязвимости кода, недекларированных возможностей ПО и несертифицированной криптографии. "Данные пользователя могут быть ценным товаром для рекламных кампаний: к примеру, ключевые слова или местоположение могут быть монетизированы без ведома пользователя на сторонних платформах", - пояснил он, добавив, что, даже если ничего конфиденциального в мессенджере не хранилось и не обрабатывалось, "угнанная" учетная запись может использоваться в спам-рассылках и различных мошеннических действиях. Отвечая на вопрос СomNews о рекомендованных с точки зрения безопасности отечественных мессенджерах, ведущий консультант сослался на положения об ограничении конкуренции, но, тем не менее, назвал приложение ViPNet CSS Connect для защищенного общения корпоративных пользователей, корпоративный мессенджер TrueConf, платформу Frisbee для совместной работы на базе корпоративного мессенджера.
"Ограничения на передачу персональных данных через эти мессенджеры касаются не всех российских юридических лиц, а только тех, которые перечислены в п. 8 ст. 10 149-ФЗ: это компании с более чем 50% госучастия, бюджетные и муниципальные организации, госкомпании и финансовые организации. К последним относятся как банки, так и брокеры, МФО и прочие", - отметил главный юрисконсульт практики интеллектуальной собственности ООО "ЭБР" Кирилл Ляхманов. При этом он отметил, что передача персональных данных через зарубежный мессенджер не является фактором повышенного риска, особенно в чате, защищенном шифрованием и с автоматическим удалением прочитанного сообщения. "Кроме того, большинство перечисленных мессенджеров принадлежат компаниям, акции которых размещены на бирже: если причина массовой утечки будет заключаться в "сливе" со стороны мессенджера или нарушении протоколов шифрования, его владелец потеряет деньги из-за обвала стоимости бумаг", - обратил он внимание, добавив, что для финансовой организации крайней мерой ответственности является отзыв лицензии. "Однако вероятность применения такой санкции невысока", - подытожил эксперт.
Член Комитета Торгово-промышленной палаты (ТПП РФ) по предпринимательству в сфере медиакоммуникаций Павел Катков считает, что любой мессенджер может быть использован как в законных, так и в противоправных целях, причем наиболее вероятной угрозой может стать популярный мессенджер. "В данном случае, если я верно понимаю позицию Роскомнадзора, вопрос не ставится так, что мессенджеры из перечня "мошеннические", а так, что они не российские и на них не могут влиять органы власти страны", - предположил он. На вопрос ComNews об ответственности за использование мессенджеров из запрещенного списка, юрист ответил, что скорее всего виновные будут отвечать по статье КоАП РФ, которую вскоре введут в кодекс. "Также возможно, что будут применяться общие положения законодательства, в частности законодательства о персональных данных", - резюмировал он.
Павел Синяков