Утром 4 июня стало известно о том, что ФСБ «несколько месяцев назад» запросила ключи шифрования «Яндекс.Почта» и «Яндекс.Диск». Источники РБК сообщают, что в Яндексе не собираются передавать ключи, ибо тем самым предоставят доступ к паролям пользователей всей экосистемы сервисов компании. Эксперты выразили своё мнение по этому поводу.

via Sergey Elkin, сайт DW

Требование ФСБ по текущему законодательству является достаточно обоснованным, однако с моральной точки зрения — это не так. Несмотря на то, что «Яндекс.Почта» и «Яндекс.Диск» находятся в реестре организаторов распространения информации, в компании выражают обеспокоенность передачей ключей спецслужбам: речь идёт о передаче сессионных ключей, которыми шифруются сообщения пользователей, а также логины и пароли к учётным записям и все метаданные (когда, кто, с какого IP-адреса заходил в аккаунт и так далее).

По словам источника РБК на ИТ-рынке, в Яндексе считают, что ФСБ слишком широко трактует норму «закона Яровой». Информацию про то, что ФСБ требует от компании именно сессионные ключи, подтвердил и второй собеседник РБК, близкий к интернет-холдингу, — пишет Мария Коломыченко, журналист РБК.

В Кремле уже отреагировали на данную информацию по просьбе журналистов. Пресс-секретарь президента России Дмитрий Песков заявил, что данный вопрос находится вне компетенции Администрации президента:

Это не тема Кремля всё-таки, нужно интересоваться в Федеральной службе безопасности или в правительстве, но это не тема Администрации президента, — подчеркнул Песков.

При чём тут судьба Telegram?

Сравнение текущей ситуации между ФСБ и Яндексом с Telegram тут не мимолётное. Как известно, основатель мессенджера Павел Дуров отказался от передачи ключей шифрования российским спецслужбам — в ответ на это решением Таганского районного суда Москвы Telegram был заблокирован. За три дня после принятия этого решения мировые правозащитные организации осудили блокировку Telegram, однако дальнейших конструктивный диалог с поиском компромиссов между командой Дурова и руководящими, а также исполняющими органами власти не состоялся — Дуров поставил конфиденциальность выше блокировки.

Эксперты согласны с тем, что передавать ключи Яндексу будет крайне небезопасно, так как хранение и передача сессионных ключей создают определённые риски — дело в том, что безопасность передачи данных в том числе заключается в отсутствии сохранения сессионных ключей, из-за чего злоумышленники не могут расшифровать данные:

Сессионный ключ в любом случае шифрует логин и пароль, которые пользователь передает на сервер в процессе авторизации, так что передача такого ключа ФСБ может дать доступ к аутентификационным данным пользователя. Ключ шифрования при переходе в разные сервисы должен быть свой, но если это не так, то это архитектурная проблема, которая может открыть доступ к данным в разных сервисах Яндекса, — объясняет журналистам РБК консультант по информационной безопасности Cisco Systems Алексей Лукацкий.

Что будет с Яндексом?

Отказ передавать ключи шифрования может повлечь за собой много неприятных последствий. Партнёр Центра цифровых прав Саркис Дарбинян объяснил, что ФСБ дальше может составить протокол об административном правонарушении — если суд признает Яндекс виновным по статье 13.31 КоАП «Неисполнение обязанностей организатором распространения информации в сети "Интернет"», то может назначить компании штраф в размере до 1 млн рублей.

Президент РФ Владимир Путин и сооснователь Яндекса Аркадий Волож. Фото: ТАСС

Дальше Яндекс может снова отказаться от предоставления ключей шифрования: в таком случае Роскомнадзор направит уведомление о необходимости устранения нарушения в течение как минимум 15 дней. При факте отсутствия исполнения требований Роскомнадзор направит в суд запрос с требованием заблокировать сервисы Яндекса, ключи от шифрования которых компания отказывается предоставлять.

Но произойдёт ли блокировка?

Мнение многих экспертов сводится к единому выводу — Яндекс не сможет повторить судьбу Telegram потому, что в компании боятся больших убытков из-за блокировки. Более того, у Яндекса в любом случае есть возможности договориться с властями, поэтому блокировка сервисов одной из крупнейших отечественных интернет-компаний считается абсурдной, с чем согласен и руководитель Агентства кибербезопасности, член экспертного совета комитета Госдумы по информполитике Евгений Лифшиц:

Никто никого блокировать не будет. Просто теперь это повод для диалога ФСБ и представителей сервисов. Когда что-то очень серьёзное, Яндекс будет идти навстречу, когда можно обойтись — будет нивелировать подобные сообщения. Яндекс может согласиться выдавать ключи, но афишировать точно не будет и, по-моему мнению, только точечно (будет выдавать данные, — прим. КД). Не всё подряд и не всем подряд сотрудникам ФСБ. Технически в отличии от Telegram они такую возможность имеют, — заключил Лифшиц.

Саркис Дарбинян считает, что, возможно, сервисы Яндекса «в целях устрашения» могут быть заблокированы на пару дней, но не более:

Скорее, они будут долго торговаться и в итоге придут к какому-то компромиссу. У государства здесь есть сильный рычаг. Если Яндекс совсем не будет идти на диалог, допускаю, что в целях устрашения они могут ограничить доступ к его сервисам на день-два — и это сразу же приведёт к большим убыткам для компании. Но это будет просто кошмар, если спецслужбы начнут блокировать сервисы крупнейшей российской интернет-компании на постоянной основе, — уверен Дарбинян.

«Мы работаем в полном соответствии с действующим законодательством», — заявляют в Яндексе

Исполнительный директор «Центра цифровых прав», эксперт «РосКомСвободы» Денис Лукаш заявил, что нельзя упрекать Яндекс в том, что компания раньше не выносила вопрос о необходимости предоставления ключей шифрования «в публичную плоскость» для того, чтобы обеспечить себе поддержку со стороны общественности:

Нельзя упрекнуть Яндекс в том, что они не выносили это в публичную плоскость, на практике это не способствовало раньше в решении такого рода проблем. Скорее это мог быть последний шаг. Вернее — сама возможность выноса в публичную плоскость укрепляла их переговорную кулуарную позицию. Стоит отметить, что при проведении ОРМ со стороны органов Яндекс вероятно и так передавал информацию о пользователях.

Подписывайтесь на «Код Дурова» в Telegram и во «ВКонтакте», чтобы всегда быть в курсе интересных новостей!