Несколько месяцев назад ФСБ направила в Яндекс требование предоставить ключи для дешифровки данных пользователей сервисов Яндекс.Почта и Яндекс.Диск. Источники на ИТ-рынке утверждают, что за истекшее время Яндекс так и не предоставил в спецслужбу ключи, хотя по закону на это отводится не более десяти дней.
Требование ФСБ основывается на том, что сервисы Яндекс.Почта и Яндекс.Диск находятся в реестре организаторов распространения информации (ОРИ), то есть интернет-площадок, на которых пользователи могут обмениваться сообщениями. Согласно закону Яровой, с 20 июля 2016 года Центр оперативно-технических мероприятий ФСБ может потребовать от любого сервиса из реестра ОРИ передать ему «информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей сети интернет».
Представитель пресс-службы Яндекса, на просьбу прокомментировать ситуацию, сообщил лишь, что компания «работает в полном соответствии с действующим законодательством», отказавшись отвечать на вопросы о том, действительно ли Яндекс получил требование от ФСБ предоставить ключи шифрования и не передал их.
По словам источника на ИТ-рынке, в Яндексе считают, что ФСБ слишком широко трактует нормы закона Яровой:
«Спецслужба требует от компании предоставить сессионные ключи, которые, по сути, дают доступ не только, например, к сообщениям в почте, но и позволяют анализировать весь трафик от пользователей к находящимся в реестре ОРИ сервисам Яндекса. Не говоря уже о том, что дешифровка всего трафика в рамках пользовательской сессии несет значительные риски в плане безопасности».
Консультант по информационной безопасности Cisco Systems Алексей Лукацкий подтверждает, что «сессионный ключ в любом случае шифрует логин и пароль, которые пользователь передает на сервер в процессе авторизации, так что передача такого ключа ФСБ может дать доступ к аутентификационным данным пользователя».
Он указал также, что Яндекс использует систему Single Sign-On, при которой, авторизовавшись в Яндекс.Почте, можно без повторной аутентификации перейти в Яндекс.Музыку, Яндекс.Диск и любой другой сервис компании:
«Ключ шифрования при переходе в разные сервисы должен быть свой, но если это не так, то это архитектурная проблема, которая может открыть доступ к данным в разных сервисах Яндекса. Тогда передавать сессионный ключ, конечно, небезопасно».
Партнер Центра цифровых прав Саркис Дарбинян пояснил, что непредоставление ключей шифрования в установленный срок является нарушением действующего Кодекса об административных правонарушениях. По закону ФСБ должна составить протокол об административном правонарушении и, если суд признает Яндекс виновным по статье 13.31 КоАП, может назначить компании штраф в размере до 1 млн рублей.
По его словам, если компания и после этого не предоставит ключи шифрования, Роскомнадзор вынесет ей предписание об устранении нарушения, на исполнение которого дается не менее 15 дней:
«В случае неисполнения предписания Роскомнадзор, в теории, может обратиться в суд с требованием заблокировать на территории России сервисы, ключи шифрования от которых отказываются предоставить. Во всяком случае такая процедура была использована в истории с блокировкой Telegram, в законе же прямо не указаны полномочия Роскомнадзора и ФСБ в данной ситуации».
Напомним, в апреле прошлого года, из-за отказа поделиться с ФСБ ключами шифрования, в России был заблокирован мессенджер Telegram. Основатель Telegram Павел Дуров отказался передавать информацию, мотивируя это защитой частной жизни и политикой конфиденциальности.