Лето 2019 года началось с новостей о том, что всё новые и новые популярные интернет-сервисы и ресурсы должны рассказывать ФСБ о своих клиентах буквально всё. «Фонтанка» спросила экспертов, как сегодня можно легально обеспечить свою приватность в Рунете.
Вслед за сервисом знакомств Tinder, который подтвердил свой первый шаг к такой открытости с российским государством, стало известно, что спецслужбы требуют от компании «Яндекс» доступ к содержимому почты клиентов, а также к сервису облачного хранения данных. «Яндекс» ответил, что будет действовать «по закону». Если подходить к вопросу философски, то приватность в Сети, она же безопасность, – это в основном вопрос доверия. И только потом – технических средств. Но если вы (конечно, не сомневаясь в чистоте намерений спецслужб) все же хотите понять, можно ли законно «запереться в домике», юристы и программисты дали «Фонтанке» ряд советов.
Средства обеспечения приватности
Одни эксперты успокаивают: по средствам обеспечения приватности рынок сегодня насыщен настолько, что может удовлетворить любой уровень паранойи. «Есть приватные инструменты для защиты от следящих сайтов, есть VPN, есть прокси-туннели, есть огромное количество мессенджеров, которые достаточно приватны и безопасны, – перечисляет ведущий юрист «Роскомсвободы», адвокат Саркис Дарбинян. – Инженерная мысль развивается вслед за желаниями государств всё знать, поэтому средства шифрования сегодня обычно сразу встраиваются в соответствующие технические решения».
«Доверять не стоит никому, включая владельцев мессенджеров и сайтов, – меж тем более осторожен программист, бывший технический директор «ВКонтакте» Антон Розенберг. – Поэтому предпочтение стоит отдавать системам с оконечным (end-to-end) шифрованием, желательно с открытым исходным кодом. В случае с облачным хранением файлов желательно загружать туда архивы с паролями». Однако в любой системе может быть уязвимость, да и в «железе» могут быть аппаратные закладки, историй хватает, – добавляет Розенберг. Поэтому проще всего решить вопрос разве что со средствами для доступа к заблокированным ресурсам. «Большинство систем сейчас используют шифрование как минимум на уровне клиент-сервер (для сайтов это HTTPS), и различные анонимайзеры, VPN, TOR-браузеры в целом не создают дополнительных угроз», – говорит Антон Розенберг.
Легальность средств обхода
По словам Саркиса Дарбиняна, на сегодняшний день в России нет никакой ответственности для конечных пользователей. «Можно спокойно пользоваться VPN и Telegram, – говорит он. – Пока за это не сажают и не штрафуют. Но всё может поменяться».
«Разве что могут быть проблемы, как у математика Дмитрия Богатова, которого арестовывали из-за стоявшей у него на компьютере ноды сети TOR, фактически из-за действий других людей, чей трафик проходил через его компьютер, – вспоминает Антон Розенберг. – Или как в историях с полицейскими, требующими предъявить переписку в Telegram, поскольку через него массово осуществляется продажа наркотиков».
Слежка за законами
Законы, связанные с использованием Интернета, меняются в России в последние годы часто, так что ухо надо держать востро. «За 7 лет, которые мы мониторим действия Роскомнадзора и властей РФ по контролированию российского онлайн-пространства, мы отследили порядка 30 изменений федерального закона об информации, – говорит юрист Дарбинян. – Каждое из этих тридцати изменений вносило новые обязанности и новую ответственность для субъектов цифровых отношений, для интернет-компаний и, в некоторых случаях, для пользователей». Сегодня, например, существует запрет на распространение информации, которая может причинить вред здоровью ребёнка, запрет на оскорбление органов власти, запрет распространять фейки, запрет без идентификации пользоваться мессенджерами и т. д.
«Яндекс» и Tinder – уже незаконно?
Еще законно. «Если крупнейшую компанию в России заблокировать, это равносильно тому, что вы полностью допиливаете сук, на котором сами сидите, – даёт популярное сравнение про «Яндекс» Дарбинян. – На мой взгляд, «Яндекс» будет выпрашивать особые условия по взаимодействию с российскими спецслужбами. Видимо, будут специальные условия и особые требования». «С «Яндексом» всё будет прекрасно», – был более лаконичен, но более загадочен бывший советник Владимира Путина по Интернету, председатель совета Фонда развития цифровой экономики Герман Клименко.
С Tinder сложнее. «Вопрос его блокировки – это вопрос времени, – уверен Саркис Дарбинян. – Когда ФСБ придут с требованием сдать ключи, Tinder навряд ли будет что-то делать. Может быть, ответит отказом и попадёт в цифровой андеграунд вместе со всеми остальными». «Я не уверен, что Tinder вообще понимает, о чем это, – то ли шутит, то ли всерьез говорит создатель сайта usher2.club (отслеживает блокировки Роскомнадзора), автор телеграм-канала Эшер II Филипп Кулин. – Его попросили, он не увидел беды предоставить. Мы же не видели перевод российских законов на английский».
Выбирать иностранное – панацея?
Как показывает практика, в вопросах сохранения приватности импортозамещение не работает. «Выбирать иностранное – панацея для сохранения приватности, – уверен Саркис Дарбинян. – Иностранные сервисы менее рискованны для россиян».
«Заставить иностранные компании соблюдать российские законы не так-то просто, тем более в условиях конфронтации России с Западом и усиления риторики в направлении защиты приватности и персональных данных в ЕС и США, – поясняет Антон Розенберг. – Еще лучше выбирать небольшие иностранные сервисы, до которых вряд ли дойдёт внимание российских властей, поскольку работа ведётся преимущественно в ручном режиме, а также которым не слишком важен российский рынок. Может быть, такие сервисы в России заблокируют, и придётся использовать для доступа VPN, но шансы, что они поставят сервера в Россию и перенесут на них данные российских пользователей, передадут ключи ФСБ и начнут не то что выполнять, но просто читать «законы яровых и клишасов», которые даже на английском вряд ли можно найти, исчезающе малы».
«Это тренд, – говорит и телеграм-евангелист, CEO Combot Фёдор Скуратов. – В Америке логично выбирать российское, в Китае – американское, в России – европейское. «Чужих» ты не интересуешь почти никогда, разве что насолил той стране, чьими сервисами пользуешься».
Логично предположить, что защита может понадобиться и от «информационного взлома» самими используемыми сервисами. «Правоохранительные органы той юрисдикции, к которой привязан сервис, прекрасно имеют к нему доступ, – уверен Герман Клименко. – Однако если не заниматься криминалом, то все юрисдикции достаточно неплохо защищают приватность граждан. Для получения данных о гражданине нужно решение суда».
Тем не менее Антон Розенберг дает еще один вариант. «Если купить за границей сим-карту (в большинстве стран это можно сделать даже без паспорта), привязать к ней аккаунт и заходить туда через прокси/VPN – оснований считать вас российским гражданином, на которого распространяются российские законы, у владельцев сервисов не будет практически никаких», – говорит Антон Розенберг.
Сколько стоит приватное хранилище данных
Антон Розенберг подсчитал, что виртуальный сервер можно арендовать за 4-5 долларов в месяц, что сравнимо со средним счётом за услуги мобильной связи. Установка выделенного сервера стоит порядка 3 тысяч рублей в месяц. «Дополнительно на этом сервере есть смысл настроить VPN, чтобы через него же ходить на все заблокированные в России ресурсы», – говорит Розенберг.
Защита гаджета и ПК от несанкционированного доступа
Универсального совета, как защитить устройство от несанкционированного доступа извне, не существует. Например, не секрет, что есть кейсы про программы-шпионы, которые делают скрины страниц. «Начните хотя бы с двухфакторной аутентификации, – говорит Саркис Дарбинян. – Не стоит доверять средствам связи, которые не имеют шифрования, обеспечивающего приватность. Когда вы должны где-то оставить телефон, надо понять, нужно ли сначала вытащить из него всю личную информацию».
«За последнее время находили много уязвимостей даже в процессорах, так что гарантировать, что к вашему устройству не смогут подключиться условные американские спецслужбы, практически невозможно, – более пессимистичен Антон Розенберг. – Единственный вариант – гарантировать, что компьютер не подключен ни к проводной, ни к беспроводной сети, в нём отсутствуют карты Wi-Fi и Bluetooth, а информацию переносить с него в виде зашифрованных архивов с помощью дискеты или флешки». Но даже в этом случае есть риск проникновения троянских программ.
Уникальность требований российских законов
Уникальность была не уникальной. Почти все государства пытаются контролировать огромную «печатную машинку» под названием Интернет. «И в США, и в Англии, и в других странах выдвигаются всё более жёсткие требования регуляторов», – говорит Саркис Дарбинян. «В США у спецслужб много полномочий, начиная с возможности запретить компании рассказывать о самом факте запроса», – добавляет Антон Розенберг. «Гугл» отвечает в год на 30 тысяч запросов регулирующих органов США (ФБР, ЦРУ и пр.), – согласен Герман Клименко. – Наше законодательство на порядок менее требовательно к игрокам рынка».
Однако, как отмечают другие эксперты, уникальность в российских нормативных актах, касающихся темы Интернета, все же есть. «У нас законы могут быть уникальны по отсутствию логики, ясности и понятности, что это вообще и для чего, как в случае с пресловутым «законом об автономности Рунета», один из авторов которого не знал даже, что такое «файрвол», – напомнил Антон Розенберг. – То же – с «законом Яровой», который предполагал хранить весь зашифрованный трафик, бесполезный в основной массе, но такой объёмный, что не хватило бы всего мирового производства дисков».
Николай Нелюбин, специально для «Фонтанки.ру»