Операторы попросили законодательно ввести запрет на использование данных их абонентов компаниям, которые устанавливают на сетях оборудование для исполнения так называемого закона о суверенном Рунете. Эта тема в четверг, 28 ноября, обсуждалась в Совете Федерации на закрытом семинаре-совещании, посвященном разработке и принятию нормативных правовых актов, необходимых для реализации закона. Об этом РБК рассказали четыре собеседника, знакомых с содержанием встречи.
По словам одного из них, сейчас сохранность данных, которые обрабатываются в рамках закона, ничем законодательно не обеспечена, и те, кто помимо операторов будут иметь к ним доступ, теоретически смогут использовать эти данные в своих коммерческих целях.
Представители Минкомсвязи и Роскомнадзора, а также соавтор закона сенатор Людмила Бокова отказались от комментариев.
Поправки в законы «О связи», «Об информации, информационных технологиях и о защите информации» (№ 90-ФЗ, так называемый закон о суверенном Рунете) вступили в силу 1 ноября этого года. По нему все операторы связи в стране должны установить на свои сети оборудование, которое им предоставит Роскомнадзор. С его помощью ведомство сможет централизованно управлять маршрутизацией трафика в случае появления угрозы для работы Рунета извне. В то же время это оборудование будет фильтровать весь трафик и блокировать доступ к ресурсам, включенным в список запрещенных в России. Пока закон не начал работать. Не решено, какое именно оборудование будет устанавливаться на сетях операторов. Кроме того, часть нормативно-правовых актов, которые должны уточнить требования закона, еще не приняты.
Ранее источники РБК сообщали, что крупнейшие операторы Уральского федерального округа — «Ростелеком», МТС, «МегаФон», «ВымпелКом» (бренд «Билайн»), «ЭР-Телеком Холдинг» и «Екатеринбург-2000» (бренд «Мотив») начали тестировать на своих сетях оборудование от компании «РДП.РУ». Завершить тестирование планируется до конца года, после чего будет решаться вопрос о развертывании системы в других регионах. Для внедрения систем фильтрации трафика была создана компания «Данные — центр обработки и автоматизации» (ДЦОА), которую возглавил экс-глава Nokia в России и бывший замминистра связи Рашид Исмаилов.
Представители МТС, «МегаФона», «ВымпелКома», «Ростелекома» и «ЭР-Телеком Холдинга» отказались комментировать, были ли прецеденты использования данных их абонентов в рамках тестов. Представитель «Екатеринбург-2000» сообщил, что им неизвестно, что бы кто-то собирал данные в рамках тестирования.
Связаться с представителем «РДП.РУ» не удалось. Представитель ДЦОА отказался комментировать, существует ли в принципе возможность использовать данные, которые анализируются в рамках закона «о суверенном Рунете», в коммерческих целях. В публичном поле детали контракта на выполнение заказа о фильтрации трафика РБК найти не удалось.
Исходя из конструкции закона «о суверенном Рунете», оборудование, которое должно быть использовано на сетях операторов связи, может собирать огромные объемы достаточно чувствительной информации, как персональных данных, так и данных, попадающих под понятие «тайна связи» (например, ID устройства, историю браузера), считает ведущий аналитик Российской ассоциации электронных коммуникаций (РАЭК) Карен Казарян. «Операторы ответственность за работу этого оборудования не несут, с другой стороны — и к производителю такого оборудования не предъявляется никаких требований о сохранности данных», — отметил он.
По мнению эксперта, требования о безопасности хранения данных, которые будет собирать предоставленное Роскомнадзором оборудование, и запрет на их распространение должны быть прописаны в законе или подзаконных актах.
«Возможность собирать эти данные может быть как у компании, которая устанавливает оборудование на сеть оператора, так и у производителя этого оборудования, в случае если на последнем есть соответствующий интерфейс», — пояснил Казарян.
Однако консультант по информационной безопасности Cisco Systems Алексей Лукацкий считает маловероятным, что у производителя оборудования для фильтрации трафика или у компании, которая его устанавливает, есть доступ к данным, которые это оборудование обрабатывает.
«Обычно основной доступ к таким данным может иметь только центр управления сетью, а также операторы связи. Но бывают исключения, когда оператор сам заключает с поставщиком договор на удаленную техническую поддержку оборудования, и тогда поставщик получает к нему полный доступ», — пояснил Лукацкий. Он отметил, что в законе «о суверенном Рунете» и подзаконных актах не прописано, как именно будут строиться взаимоотношения между оператором, поставщиком оборудования и центром управления сетью в части доступа к данным. По мнению эксперта, один из главных недостатков принятого закона — отсутствие раздела, посвященного рискам и ответственности за работоспособность сети.
В рамках выполнения требований закона Роскомнадзор создает Центр мониторинга и управления сетями связи, который будет заниматься сбором аналитики о работе сетей, курировать блокировку запрещенных ресурсов и в целом управлять Рунетом при возникновении угрозы безопасности. Как сообщало издание Meduza, недавно был назначен руководитель этого центра. Им стал Сергей Хуторцев, занимавший до этого должность советника президента «Ростелекома». Связаться с представителем центра не удалось.
Александра Посыпкина, Анна Балашова